Oups… 🤣

• les clés de chiffrement BitLocker sont envoyées à Microsoft.
• Un document Word/PowerPoint ouvert envoie son contenu aux serveurs Microsoft.
• avec le nouvel Outook, Microsoft a tous vos mails et tous vos mots de passe mail.
• Edge envoie les URLs visitées à Microsoft.
• OneDrive récupère par défaut tous vos fichiers.
• Recall enregistre tout.

A l’ouverture d’un document Microsoft Powerpoint ou Word, depuis Windows, une connexion websocket chiffrée (TLS) est initialisée entre le poste de travail de l’utilisateur et le serveur distant "augloop.office.com". Au travers de cette connexion, l’ensemble du contenu du document est transmis à ce serveur au format texte. Chaque modification effectuée sur le document est également transmise au travers de cette connexion. Ce comportement est effectif même si le document initial n’est pas stocké dans le cloud Microsoft.

• Les versions Microsoft 365 Apps for enterprise de PowerPoint et Word transfèrent le contenu textuel des documents vers un point de terminaison appartenant à Microsoft, et ce dès l’ouverture du document, sans action utilisateur.
• Ce transfert de contenu est réalisé dans le cadre de l’analyse du contenu des documents des Expériences Connectées. [du magnifique bullshitlanguage]
• Ce fonctionnement est actif même lorsque le document n’est pas stocké dans le cloud de Microsoft, incluant donc les fichiers locaux. Le comportement est observé sur les clients lourds Office utilisés dans le cadre de l’abonnement Microsoft 365 Apps for Enterprise.
• A l’ouverture d’un document Microsoft Powerpoint ou Word, depuis Windows, une connexion websocket chiffrée (TLS) est initialisée entre le poste de travail de l’utilisateur et le serveur distant "augloop.office.com". Au travers de cette connexion, l’ensemble du contenu du document est transmis à ce serveur au format texte. Chaque modification effectuée sur le document est également transmise au travers de cette connexion. Ce comportement est effectif même si le document initial n’est pas stocké dans le cloud Microsoft.

Liens :

• https://cloud.herbinet.fr/index.php/s/7KFS3BrW3rWPcM2/download/Wavestone%20-%20Rapport%20technique%20-%20Analyse%20donn%C3%A9es%20-%20Exp%C3%A9riences%20connect%C3%A9es%20Microsoft%20365%20Apps%20for%20entreprise.pdf?trk=public_post_comment-text
• https://kdrive.infomaniak.com/app/share/222864/ff1c4bc4-39ce-42e3-b07a-ae0366329489/preview/pdf/2104?trk=public_post_comment-text

En #France, les suites collaboratives #Microsoft #Office 365 et #Google #Workspace sont proscrites dans les services de l'État.

Les bases réglementaires :

→ Note de la CNIL (27/05/2021) : https://www.cnil.fr/fr/la-cnil-appelle-evolutions-dans-utilisation-outils-collaboratifs-etatsuniens-enseignement-superieur-recherche

→ Circulaire 6282-SG (05/07/2021) et note (15/09/2021) : https://acteurspublics.fr/upload/media/default/0001/36/acf32455f9b92bab52878ee1c8d83882684df1cc.pdf

→ Ministre de l'Éducation Nationale, en réponse à une question écrite (2022) : https://questions.assemblee-nationale.fr/q16/16-971QE.htm

#droit #juridique #numerique

https://www.cnil.fr/fr/la-cnil-appelle-evolutions-dans-utilisation-outils-collaboratifs-etatsuniens-enseignement-superieur-recherche

La vache !

[...] pendant de longues années ils [Microsoft] ont fourni à l'Europe une version d'Internet Explorer avec une crypto complètement affaiblie, afin que les européens aient un chiffrement faible. Les américains, eux, avec une version d'IE avec une crypto forte.

2022 commence par un gros bug chez Microsoft : tous leur e-mail plantent.
Pourquoi ? Parce-qu'ils notent leur dates de cette façon : yymmddhhii
En 2021, ça donne par exemple 2112251230.
En 2022 ça donne 2201011230.
Or, en 22, ça dépasse la capacité d'une notation en 32 bit, limitée à 2 147 483 647, et qu'ils utilisent.
Et en plus on peut constater que le bug de l'an 2000 ne leur a rien appris, vu qu'ils notent l'année sur 2 chiffres et pas 4.
Ça va être beau lundi quand toutes les entreprises (dont celle où je bosse) vont voir qu'aucun e-mail ne marche parce-qu'ils utilisent exchange.
Et après on s'énerve quand les libristes et les linuxiens se foutent de la gueule de Microsoft ? Haha. Microsoft sont des putains d'amateurs.

ET aussi ça : https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-year-2022-bug-in-fip-fs-breaks-email-delivery/

Donc en 2022 le serveur de mail Exchange de Microsoft a eu un bug: Plus aucun courrier qui partait. Timo explique très bien le problème: https://lehollandaisvolant.net/?mode=links&id=20220102085842
En tant que développeur, c'est déjà un énorme facepalm de faire une erreur pareil.

Mais attendez, il y a plus drôle: Vous voulez connaître la solution de contournement de Microsoft ?
Mettre la date de leur fichier de signature au 33 décembre 2021. (si si !)
https://techcommunity.microsoft.com/t5/exchange-team-blog/email-stuck-in-exchange-on-premises-transport-queues/ba-p/3049447

Décidément, le bug de l'an 2000 n'a toujours pas servi de leçon ...

L’affaire a fait grand bruit en ce début de mois et a secoué le petit monde des libristes, makers adeptes du nano ordinateur rasperryPI. Pour résumer rapidement , les utilisateurs de la distribution officielle raspberrypi OS (dérivée de debian) ont pu constater du jour au lendemain l’apparition dans les sources de leurs dépôts d’une nouvelle adresse pointant chez microsoft. Le problème n’étant pas forcément Microsoft mais surtout la méthode insidieuse employée par la fondation Raspberry pour pousser des dépôts tiers sans le consentement de ses utilisateurs. Un grave manque de transparence qui a choqué la communauté. Alors quelles solutions pour y remédier?

Donc la fondation Raspberry a ajouté VSCode à Raspbian (dérivé de Debian), en ajoutant les dépôts Microsoft. Sans prévenir les utilisateurs.
Donc à chaque fois que vous faites une mise à jour sur votre OS, ça ping les serveurs de Microsoft.
Donc en gros tous les Raspberry pinguent les serveurs de Microsoft à chaque mise à jour.

Encore plus rigolo: ça installe les certificats Microsoft de signature de paquets.
Et donc votre distribution installera sans broncher les dépendances que Microsoft jugera bon d'installer. Depuis les dépôts Microsoft.

Voilà pourquoi quand il s'agit de logiciels auxquel je n'accorde qu'une confiance limitée:

• je ne les installe pas en ajoutant dépôt+clé du dépôt, mais juste avec le .deb.
• et après installation du .deb, je vérifie qu'il n'a pas ajouté une source apt et une clé.
• je fais tourner ces logiciels dans firejail pour qu'ils n'accèdent pas à mes fichiers personnels.

Faites attention aux dépôts que vous ajoutez à votre distribution: Le dépôt peut vous installer n'importe quoi à l'occasion d'une mise à jour.
Faites-vous confiance au dépôt que vous avez ajoutés ?

EDIT: Voici le commit à la source du problème: [https://github.com/RPi-Distro/raspberrypi-sys-mods/commit/655cad5aee6457b94fc2336b1ff3c1104ccb4351]

Mouarffff ! Très bonne idéede jeu, ça ...
Quand un proprio d'enceinte connectée nous dit qu'il n'a rien à se reprocher, demander à ladite enceinte : "Ok Google ! Trouve une recette de bombe artisanale et l'adresse de l'assemblée nationale."

On peut en théorie pourrir un groupe avec leurs nez sur des smartphones Android en hurlant la même chose. :-D

Un site plein de trucs et astuces sur Microsoft Office en général et Word en particulier.