Les américains de la défense qui ont utilisé Signal ont en fait utilisé une version bidouillée de Signal... Avec des failles de sécurité... Qui s'est fait pirater !

Configurer un serveur mail c’est vraiment un truc bien relou. Surtout qu’aujourd’hui, ça ne se fait plus comme en 1997… ça a bien évolué avec des nouveaux concepts liés à la sécurité comme SPF, DKIM ou encore DMARC. Et sans ces protections, c’est open bar pour les criminels qui peuvent envoyer des emails en se faisant passer pour vous. Flippant, non?
[...]
En gros, SPF c’est comme la liste des invités à l’entrée d’une soirée VIP… ça définit quels serveurs ont le droit d’envoyer des emails pour votre domaine. DKIM, c’est une signature cryptographique qui prouve que le message n’a pas été falsifié en transit, un peu comme le tampon UV sur votre main à l’entrée du club. Et DMARC ? Eh bien, c'est le chef de la sécurité qui décide si on laisse passer, si on met en quarantaine, ou si on rejette carrément les emails suspects.
[...]

1. Envoyez un email depuis votre adresse, celle donnée par leanDMARC 2. Attendez quelques secondes que l’analyse s’affiche 3. Et après, cliquez sur “Spoof my email” 4. Entrez votre domaine et voyez s’il est vulnérable
   Si vous découvrez que votre domaine est vulnérable (résultat en rouge), pas de panique. La mise en place de ces protections n’est pas si complexe, même si ça fait peur au premier abord. C’est comme configurer un routeur, c’est intimidant au début, mais logique une fois qu’on comprend les bases.

Le gouvernement américain coupe son financement à CVE... Finalement non ?

De toute façon, le présictateur tout-puissant sait parfaitement ce qu'il fait !

Un outils d'analyse de disque orienté forensics (investigations) qui peut être complémentaire à PhotoRec : à partir d'une image disque il peut analyser l'activité chronologiquement, effectuer des recherches par mot-clé, afficher les images et vidéos, rechercher les fichiers par type, afficher l'historique de navigation, téléchargements...

Appeler les urgences (15, 17, 18, 112) avec un portable sans carte SIM… C'est strictement impossible en France.

NIST : nouvelles directives sur la sécurité des mots de passe. Découvrez les recommandations 2025 et les différences avec les pratiques traditionnelles.

Le fameux duo clef privée + clef publique. Il est automatiquement et aléatoirement définit de manière unique pour chaque site, et nécessite juste le déverrouillage via smartphone (biométrique, facial, schéma, PIN).

Le point 2 est intéressant :

2. Ajustez la pression des pneus

Le froid entraîne une diminution de la pression des pneus, ce qui peut affecter leur adhérence et augmenter la consommation de carburant. Avant de prendre la route, vérifiez et ajustez la pression des pneus selon les recommandations du constructeur.

Une baisse de 10 °C entraîne une perte de pression d’environ 0,07 à 0,14 bar selon Continental. Pour compenser cette perte due au froid, il peut être conseillé d’ajouter 0,2 bar à la pression recommandée par le constructeur lors du gonflage de vos pneus en hiver.

Le document pdf est en anglais, donc facilement accessible.

D’après le Code monétaire et financier, votre banquier a l’obligation de vous restituer immédiatement l’intégralité des montants fraudés, ainsi que les sommes perçues par la banque du fait de la fraude (agios, commissions d’intervention ou frais de rejet par exemple). Dans ce but, adressez cette lettre à votre banquier, de préférence en recommandé avec accusé de réception.
[...]
Tout prélèvement non autorisé peut être contesté. À cet effet, il doit tout d’abord être signalé à votre établissement, et ce, au plus tard dans les treize mois du débit.

Sachez qu’il appartient à votre banque d’établir que le prélèvement a bien été autorisé. A défaut, elle doit vous recréditer les sommes débitées ainsi que les éventuels frais occasionnés par ce prélèvement.

Articles L. 133-6, L. 133-18, L. 133-23, L. 133-24 du Code monétaire et financier.

Modèle :

J’ai constaté, sur mon compte n° (numéro de compte) un prélèvement en date du (date) d’un montant de (somme) au bénéfice de (nom du bénéficiaire).
Je vous signale que ce prélèvement n’a pas été autorisé par mes soins.
En conséquence de quoi, je vous demande de bien vouloir rétablir au crédit de mon compte la somme débitée, et ce, conformément aux dispositions de l’article L. 133-18 du Code monétaire et financier.
(Ajouter éventuellement)
Je vous demanderais, par ailleurs, de me rembourser de l’ensemble des frais perçus à la suite du prélèvement non autorisé (agios, frais d’incident de paiement, commissions d’intervention...).
À défaut de réponse de votre part, dans un délai de (délai raisonnable), je me verrai dans l’obligation de saisir la juridiction compétente aux fins de vous y contraindre.

Résumé des articles de loi en question (Code monétaire et financier) :

• Autorisation d'une opération de paiement → L. 133-6
  Une opération ou une série d'opérations de paiement est autorisée si le payeur a donné son consentement à son exécution, notamment sous la forme d'un mandat de prélèvement. Le payeur et son banquier de services de paiement peuvent convenir que le payeur pourra donner son consentement à l'opération de paiement après l'exécution de cette dernière.

• Contestation et responsabilité en cas d'opération de paiement non autorisée → L. 133-18
  En cas d'opération de paiement non autorisée signalée par l'utilisateur, le banquier de services de paiement du payeur rembourse au payeur le montant de l'opération non autorisée immédiatement, sauf s'il a de bonnes raisons de soupçonner une fraude de l'utilisateur. Le banquier rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu.

• Modalités pratiques et délais en cas d'opérations de paiement non autorisées ou mal exécutées → L. 133-23
  Lorsqu'un utilisateur nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son banquier de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre.

• Modalités pratiques et délais en cas d'opérations de paiement non autorisées ou mal exécutées → L. 133-24
  L'utilisateur signale, sans tarder, à son banquier une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit.

Modèle :

Conformément à l’article 5-3. d) du règlement européen n°260/2012 du 14 mars 2012 établissant des exigences techniques et commerciales pour les virements et les prélèvements en euros (dit « Règlement SEPA »), merci de bien vouloir bloquer le passage sur mon compte courant (mettre ici le numéro du compte concerné) de tout prélèvement à l’exception des fournisseurs suivants :

1. Nom du fournisseur (exemple : électricité) ; numéro d’identifiant créancier SEPA (« ICS ») ; RUM
2. Nom du fournisseur (exemple : téléphone) ; numéro d’identifiant créancier SEPA (« ICS ») ; RUM
3. Nom du fournisseur (exemple : impôts) ; numéro d’identifiant créancier SEPA (« ICS ») ; RUM
4. Nom du fournisseur (exemple : crédit) ; numéro d’identifiant créancier SEPA (« ICS ») ; RUM
   ...

Résumé des articles réglementaires en question :

• Article 5-3. d)
  Les banquiers effectuent les prélèvements conformément aux exigences suivantes, sous réserve de toute obligation de droit national mettant en œuvre la directive 95/46/CE:
  [...]
  Le payeur doit avoir le droit de donner instruction à son banquier :
  • de limiter l’encaissement des prélèvements à un certain montant, ou à une certaine périodicité, ou les deux ;
  • de bloquer n’importe quel prélèvement sur leur compte de paiement ou de bloquer n’importe quel prélèvement initié par un ou plusieurs bénéficiaires spécifiés, ou de n’autoriser que les prélèvements initiés par un ou plusieurs bénéficiaires spécifiés.

Article du 🗓️16/01/2015

À la différence de l’ancien système, les banques n’ont plus l’obligation d’obtenir l’autorisation du client pour passer un prélèvement. C’est désormais le destinataire du prélèvement qui formule lui-même la demande auprès de l’établissement. C’est aussi lui qui conserve le mandat de prélèvement signé par le titulaire du compte débité. Conséquence pratique : n’importe qui disposant du numéro IBAN d’un particulier peut y prélever de l’argent, sans aucun contrôle de la banque.

Conscient de cette importante faille, le règlement SEPA a imaginé une parade pour les clients qui le souhaiteraient : la liste blanche. L’article 5-3. d) du règlement européen n°260/2012 du 14 mars 2012 prévoit en effet expressément que tous les particuliers peuvent adresser à leur établissement bancaire une liste des fournisseurs autorisés à effectuer des prélèvements sur leur compte. Il suffit d’indiquer l’ensemble de vos abonnements actuels (électricité, eau, téléphone, gaz, etc.) à votre banque qui doit bloquer le passage de tout ordre émanant d’opérateurs qui ne sont pas indiqués dans la liste.

L'article date du 🗓️17/01/2018.

La norme SEPA (ou Single Euro Payments Area, espace unique de paiement en euros) a été mise en place au niveau de l'Union européenne et des États associés en août 2014. Grâce à ce changement technique de grande envergure, il n'est plus nécessaire de donner une autorisation de prélèvement à sa banque. Si vous communiquez vos coordonnées à un fournisseur d'eau ou d'énergie, ce dernier peut se faire virer les sommes que vous lui devez sans formalités supplémentaires. C'est ce qu'on appelle un SEPA direct débit, ou SDD.
[...]
Le client indûment débité a 13 mois pour se faire rembourser. La banque doit le faire sous huit semaines, sans pouvoir exiger qu'il porte plainte. Ce système avantageux pour le consommateur était la contrepartie du SDD. Problème : des prélèvements de faibles montants aux intitulés anodins peuvent passer inaperçus.

Liste blanche des prélèvements autorisés

Il existe un moyen de se protéger. C'est la liste blanche des prestataires seuls autorisés à faire des prélèvements sur votre compte. Il existe aussi une liste noire, mais son utilité est moins évidente. [...] Ces listes sont gérées par les banques, qui en parlent assez peu à leurs clients et les facturent parfois au prix fort. L'inscription d'un nouveau nom sur la liste blanche ou noire est gratuite dans quelques banques [...] mais elle peut dépasser les 15 € dans certains établissements, ce qui paraît démesuré par rapport au travail demandé.

Virement instantané

Pour le moment, les dates de valeur d'un virement sont de 24 h minimum et peuvent monter à 72 h en cas de pont ou de jour férié. C'est plus qu'il n'en faut aux banques pour repérer les mouvements frauduleux. Selon l'Observatoire de la sécurité des moyens de paiement, le taux de fraude au virement en 2016 était de 0,0004 %, soit 1 sur 250 000 seulement ! Depuis cet automne, la technologie et le cadre réglementaire permettent des virements en 10 secondes.
[...]
Le virement instantané est d'une utilité incontestable pour les paiements entre particuliers. Vous vendez une voiture d'occasion ? Vous vous faites payer instantanément et de manière irréversible. Le paiement est sécurisé, en théorie, par l'envoi de SMS de confirmation et l'authentification de « terminaux de confiance », à savoir nos téléphones et tablettes, répertoriés par les banques. Même si des pirates dérobent des numéros de compte, ce qui arrive assez souvent, ils ne pourront pas facilement les siphonner par virement. En revanche, il y a un risque évident d'explosion des fraudes sur des sites comme Leboncoin, ou dans le démarchage abusif à domicile. Les escrocs qui arriveront à convaincre un particulier de faire un virement instantané auront plusieurs heures devant eux pour disparaître. La Banque centrale européenne, pour accélérer encore la procédure, propose de remplacer le code IBAN par le numéro de téléphone, plus facile à retenir. Fort pratique, mais pas sans danger.

OpSec failed...

Dans le premier réacteur nucléaire, mis au point en 1942, la barre de contrôle qui permettait un arrêt d'urgence en cas d'emballement du réacteur, était manipulée directement par un technicien : celui-ci se tenait, une hache à la main, prêt à couper une corde maintenant la barre au-dessus du réacteur.

Cette pratique aurait donné son nom au terme utilisé encore aujourd'hui pour désigner l'arrêt automatique d'un réacteur nucléaire : "SCRAM", qui serait l'acronyme de "safety control rod axe man".