Topic: mise à jour Ledger nano S (Read 19558 times)

En fait j'étais allée immédiatement au commissariat et à l'accueil on m'a dit de faire une plainte sur internet, alors que je savais où était le voleur. Par la suite j'ai appris que c'était une fausse information et que j'aurais dû faire le 17 pour une interpellation immédiate. Voilà. Donc je ne confonds rien : manque de moyens, manque de formation, manque de motivation dû aux manques de moyens, de formation, de soutien de la hiérarchie, de ras-le-bol généralisé.

Pour les caméras, elles ne servent que si quelqu'un est derrière l'écran ou qu'il y a un enregistrement a-minima. Ensuite les procédures sont longues pour récupérer tout ça, sauf en cas de flagrant délit.

Tu ne croyais quand même pas qu'ils allaient faire quelque chose juste pour un téléphonne?

Ne pas confondre Justice et Police.

Si une plainte est classée sans suite, c'est que c'est la justice qui l'a décidé (le procureur). Si c'était la police qui décidait, ca se passerait autrement et ca serait direct. Les policiers sont, comme les citoyens, victimes de ce laxisme judiciaire. Mélangé au fait de suppressions de postes (quitte à fermer des commissariats la nuit, et en faire fusionner d'autres), des manques de moyens.

Les caméras ne sont pas faites pour empecher un délit, mais pour en élucider.
C'est ce que les gens ne comprennent pas, et surtout les maires. Bon que les gens ne comprennent pas, on s'en fiche, mais les maires c'est autre chose. Croire que la machine (les caméras) allait remplacer l'homme (les policiers) pour faire baisser la délinquance, c'est une grosse erreur.
Alors nous avons des baisses d'effectifs humains, dans des villes avec une population croissante. Forcément, on peut pas avoir le même résultat.

résumé:
- Si je te donne un magasin Auchan demain. Tu vas vite comprendre l'interet d'avoir des caméras.

- Si je suis policier et que dans l'urgence, je dois choisir entre un téléphonne volé, et une femme qui se fait taper sur la gueule. Je vais au plus urgent, désolé pour ton téléphonne. Bien sur dans l'idéal je m'occuperais des 2 cas, mais manque de moyens + je sais très bien ce que la justice va faire pour ton téléphonne (plainte sans suite)

- Si tout le monde se tenait correctement, nous n'aurions pas besoin de tout ca. A qui la faute au final?

- Qu'est ce que ca fait pas comme message ce laxisme? Oh je peut faire des conneries, j'aurais pas grand chose...

Quand on sait que le cinéma et la littérature de science-fiction sont des dystopies à leur sortie et finissent par rejoindre la réalité... On a plus qu'à regarder les épisodes de Black Mirror ...

J'ai pisté le voleur du téléphone de mon fils (avec google), il est allé dans un hôtel, il y avait des vidéos. Jamais je n'ai été convoquée pour voir si je reconnaissais quelqu'un, d'ailleurs il n'y a pas eu de suites. Alors les caméras servent à qui et à quoi ? Servent-elles uniquement pour des agressions graves et pas des délits plus mineurs ? Si la justice est débordée, les caméras sont des accessoires inutiles malheureusement.

J'ai quand même le sentiment qu'il s'agit de surveillance généralisée des citoyens lambdas (sous couvert de terrorisme et de blanchiment d'argent) plutôt que de réelle protection de ces mêmes citoyens lambdas.

Et non on ne peut pas faire confiance aux gouvernements et contester un ordre (même uniquement sanitaire) et on aura plus accès à son compte bancaire et autres services. (comme on vient de le vivre comme un galop d'essai et les gens ont été plus ou moins obéissants).

Une fois que ce sera la reconnaissance faciale à tous les étages, ce sera moins facile de contourner les ordres que l'on trouve inadaptés ou injustes, à moins de se zébrer le visage ?

Et encore, nous en sommes qu'au début. Quand tu vois que dans certaines villes, il faut faire un KYC pour pouvoir sortir tes poubelles et les mettre dans la benne à ordure.... (bon tu ne le fais qu'une seule fois mais quand même).
Que des données sont collectées sur toi et tes poubelles...

Et oulala, si tu utilises un bloqueur de pubs sur ton ordi, whatsapp, signal, protonmail, tu pourrais être considérée comme ayant un comportement terroriste.
https://www.laquadrature.net/2023/06/05/affaire-du-8-decembre-le-chiffrement-des-communications-assimile-a-un-comportement-terroriste/
Pensez maintenant aux cryptos qui tomberaient dans ce sac

Tout ce qui est collecte de données c'est vachement intéressant quand même. J'aurais bien aimé faire comme métier data scientist, data manager et autres. C'est fou tout ce que tu peux faire avec et t'en servir pour faire "le bien". Mais seulement ca peut aussi  servir à faire "le mal" et se retourner contre les citoyens.

Et là est le dilemme:comment être certain de ne pas avoir de dérive. Peut on faire confiance au gouvernement? Ne peut on pas mettre un protocole pour éviter de telles choses?

L'exemple avec cette loi sur l'activation à distance:
Faut dire que ca peut aider dans certains cas. Si ton enfant se fait kidnapper, on serait bien content que ca existe. Non seulement toi, mais tous les gens aussi. Regarde les caméras: on disait gnagnagna mais c'est utile au final. C'est juste triste de se dire qu'on en est arrivé à un point ou on en a besoin, c'est ca le problème.

Après comme je disais, faut pas que ca serve à autre chose, mais comment être confiant envers le gouvernement.
On veut pas finir comme les chinois

---

Y'a pas longtemps, j'ai vu les gendarmes avec une sorte de tablette/téléphone. Il suffit de scanner ton visage avec pour avoir des infos (si tu es connu de leurs services ou pas). Je me suis "ah le truc de dingue"[/hr]

C'est marrant cette fonctionnalité commentaires masqués sur twitter, je ne connaissais pas, du coup si on peut les voir quand même, ça devient encore plus ridicule de les masquer, non ?

On vit une époque formidable en terme de vie privée quand même : d'accord pour le moment le KYC Ledger est une option (payante), mais on le sait que les autorités ont bien envie de mettre du KYC partout. Observer, fouiller, réquisitionner etc .... Déjà la future possibilité d'activer les smartphones à distance (https://www.01net.com/actualites/les-futures-regles-dactivation-a-distance-des-smartphones-par-la-police-sont-elles-trop-liberticides.html) ce n'est pas très rassurant non plus :


Alors toujours au début l'espionnite c'est soit pour protéger les utilisateurs, soit pour traquer les criminels. Et puis enfin il n'y a qu'un pas pour que ça se généralise.

Ledger semble vouloir freiner un peu (au moins temporairement) suite au scandale :

Et maintenant ils semblent tenter une campagne de communication sur une "opensourcisation" de leurs produits pour rassurer la clientèle :



https://journalducoin.com/actualites/polemique-recovery-sous-pression-ledger-fait-machine-arriere-et-joue-la-carte-de-lopen-source/

Quelle bande de charlots pardon mais difficile de faire pire niveau communication. On y comprend juste rien du tout. Ils n'ont pourtant pas compris que de manquer (délibérément?) de précision était le meilleur moyen de se prendre un retour de manivelle?
Je croyais avoir compris que la seed était divisée en 3 parties et qu'elles étaient envoyées à 3 entités différentes indépendantes? Ce n'est pas le cas finalement? C'est une seule et même entité? Par ailleurs comment peut-on "frozen" des fonds avec une seed? Il veut plutôt dire qu'un gouvernement peut vider la seed (apres l'avoir reconstituée) non? Ou alors est-ce qu'il veut dire que Ledger peut carrément geler votre clef ?




On a posté la news quasi simultanément avec Melja dans 2 sujets différents(comme quoi le forum sait être réactif) mais peut-être que ca aurait mérité un sujet dédié pour qu'elle soit plus visible
https://bitcointalksearch.org/topic/split-doublon-5452968

Edit : comme l'a quoté Paid2 dans l'interview, il suffirait qu'un tribunal ordonne la saisie auprès de 2 des 3 entités, pour avoir accès aux fonds et les saisir.

Ca par contre, c'est une conséquence logique (je veux dire, faut pas s'étonner).
C'est à mettre dans le même panier lorsqu'un gouvernement assigne une plateforme à bloquer ton compte et les fonds détenus dessus. C'est valable dès que tu confies quelque chose à une entreprise (peu importe quel type d'entreprise d'ailleurs).

Après, il suffit de ne pas utiliser cette fonction. De toute facon en y pensant, je ne suis pas sûr que ca va être quelque chose de beaucoup utilisé.
Par les newbies de chez les newbies (les arrivants), mais au fur et à mesure des jours, ils vont découvrir plus la crypto et réaliseront que c'est pas une bonne pratique à faire

Et même si ca arrive, c'est vraiment que tu as quelque chose à te reprocher et pas juste un truc de 100€. Quand tu as une masse de pognon à cacher, tu es certainement au courant des choses à faire et ne pas faire. (je veux dire, tu n'es pas un newbie dans la crypto)

Ca craint vraiment!


https://twitter.com/MasonVersluis/status/1659769485761613826?s=20

Wow le niveau est haut !


Intéressant..


Là ils ne marquent pas des points..


Ok, cool, mais alors comment ça se passe pour :


Comment les clients pourraient être couverts à hauteur de 50k sans que Ledger puisse doublecheck les montants stockés ? Les adresses publiques feraient foi ?

Cependant, techniquement, pour la puce "Elément Sécurisé" (un processeur avec de la mémoire et du stockage), ca peut créer une porte d'entrée. Une porte d'entrée qui pourrait être forcée à l'avenir. Qui sait?
C'est comme si vous aviez une maison avec deux portes. Si vous en construisez une troisième, vous donnez une troisième possibilité aux cambrioleurs de pénétrer dans votre maison.
Petit à petit, si vous continuez à ajouter des portes, autant laisser les fenêtres de votre maison ouvertes.

Secure Element, ce n'est qu'une puce certifiée aux normes industrielles. Industrielle qui n'est pas invulnérable. Par exemple, les téléphones utilisent ce type de puce pour stocker votre code PIN, pour effectuer des paiements NFC, etc... S'il est très difficile d'accéder aux puces SE, c'est parce que les secrets sont jalousement gardés. Il est donc possible que quelqu'un le découvre (les fabricants ne le montrent pas et ne le vendent pas à n'importe qui).

SE : il est également utilisé dans les passeports biométriques et, par exemple, sur le site https://www.ncsc.gov.uk/collection/biometrics/how-biometrics-are-attacked.

Mais je suis d'accord que d'autres portefeuilles ont les mêmes défauts et la possibilité de télécharger des logiciels malveillants.
La sécurité des portefeuilles Ledger repose sur la confiance que nous avons dans l'entreprise. Mais vous pouvez vous dire : "J'avais confiance quand je l'ai acheté, mais depuis ils ont ajouté un swap, ceci et cela et maintenant ceci". La charge de travail supplémentaire peut-elle être absorbée sans sacrifier la sécurité ? Est ce que je fais toujours confiance avec tout ca d'ajouté.

Pour moi oui, mais je trouve quand même que c'est un truc pas forcément le bienvenue

Oups j'avais loupé les discussions récentes ici, je croyais que personne n'en avais parlé 


C'est clair que beaucoup de gens n'ont pas compris comment fonctionnait leur Ledger... entre ceux qui croient que les cryptos se retrouvent dedans, ceux qui pensent que si tu paume la clé tout est perdu à jamais etc etc alors si se sont les mêmes qui postent des videos d'eux en train de brûler leur clé au chalumeau on est mal partis     

https://twitter.com/testoray_crypto/status/1659757698303311872

Pour continuer à se faire un avis, interview du cto (celui à l'accent anglais impeccable) --> https://www.thebigwhale.io/article/charles-guillemet-ledger-la-peur-autour-de-ledger-recover-est-totalement-irrationnelle


De même, je ne pense pas qu'on doive forcément fermer les yeux la dessus mais beaucoup sont déçu car ils pensaient que les clés privées était absolument inextractibles. Ensuite le bad buzz fait le reste...


https://twitter.com/_pgauthier/status/1658539402526638081
https://twitter.com/NFTherder/status/1659804179303366657

Merci pour le lien ! C'est intéressant de lire son point de vue, et ça confirme ce que je pensais déjà.

Comme tu le dis, je pense qu'il faut attendre un peu que la situation décante un peu avant de sauter à pieds joints dans le drama actuel sur le réseaux sociaux.

Je pense que les gens qui font scandale sur les réseaux sociaux depuis quelques jours ne comprennent pas ce qu'ils ont acheté lorsqu'ils ont acheté un Ledger. J'imagine que le mélange de la communication merdique de Ledger (putain le niveau en anglais est triste !) et de la non-compréhension du produit de la plupart des utilisateurs a vraiment augmenté la portée du scandale de manière disproportionnée. Je ne dis pas que c'est pas grave et que ce service à la con était nécessaire (ni pour nous, ni pour Ledger eux-mêmes d'ailleurs ), mais je trouve la réaction un peu excessive, dans la mesure où (aux dernières nouvelles) le service n'est pas obligatoire.


Je ne savais pas ça, n'utilisant pas de Trezor.

Sur le forum j'ai lu quelqu'un suggérer de se faire un Pitrezor pour remplacer son Ledger et éviter le service de seed recovery. J'imagine du coup que ça sert à rien, dans la mesure où l'image OS est la même que pour n'importe quel wallet Trezor ? 

Y a plus qu'à espérer que les 3 entreprises où ils vont dispatcher les morceaux de clés privées n'aient pas de fuite (/ ne se fassent pas attaquer) en même temps.

J'ai pas creusé le sujet, mais j'imagine que si tu as une passphrase, ils l'envoient aussi ? Parce que sinon, ça permettrait d'avoir au moins un (petit) rempart contre une utilisation non autorisée. Mais s'il y a la passphrase avec c'est juste du custodial en fait.

Tiens d'ailleurs puisque tu parles de la fuite de données, ce qui est encore et toujours reproché à Ledger, outre leurs bonnes idées de merde, c'est aussi leur communication. À l'époque de la fuite déjà c'était pas fameux, et là ça continue : https://twitter.com/0xfoobar/status/1658965272416452609

A propos de Ledger, je n'ai toujours pas reçu la Ledger Stax que j'ai commandée en décembre 2022.

Comme toute entreprise, si elle n'évolue pas, elle reste un dinosaure et devient obsolète. Donc une entreprise doit constament chercher à évoluer (ou au moins se renforcer). Mais là, ils ont tué le game, c'est des années de travail jetées en l'air... Tout ca, pour penser vouloir apporter quelque chose de nouveau. Je comprends le point de vue entreprenariat, mais là franchement... Si ca continue, ca va faire comme Coinbase et compagnie.
Déjà que le système de Swap, c'était limite... la carte bancaire encore plus...  (plus de nouvelles d'ailleurs).
Mais ils sont peut être entrain de se tirer des balles dans le pied, comme on dit. Allez, d'ici 1 an, ils vont pondre un web wallet, avec KYC en option.

Et en passant, c'est plutot bien accepté comme nouvelle...
Ici, les commentaires masqués. https://twitter.com/Ledger/status/1658458714771169282/hidden
Masqués par...

Ah, l'époque ou Ledger s'utilisait avec une extension chrome...

Ouais j'ai vu ça, et je me suis demandé comment des non-francais pouvaient réussir à le comprendre MDR  C'est dingue qu'ils n'aient pas quelqu'un de présentable pour faire ce genre de vidéo, le côté amateur ne va pas rassurer beaucoup de monde je sens. A moins que le french accent soit rassurant, et un label de qualité... 

Je sais pas s'ils ont sorti le CTO de Ledger en urgence pour éteindre le début d'incendie, mais l'anglais était pas son fort à l'école : https://twitter.com/Ledger/status/1658458714771169282

En gros, c'est optionnel. Et la seed n'est pas 'transféré directement", mais coupée en 3. Est-ce safe à 100%, ça je sais pas.
Pas glop pour le KYC, mais c'est clairement pour rassurer madame Michu.

Edit :

Le problème c'est qu'il semble que la seed serait transférée directement depuis la clef ledger sans que l'utilisateur n'ait à la copier manuellement montrant ainsi que leurs clefs ne sont pas "étanches" et que la seed peut bien être extraite numériquement depuis un PC. Et donc potentiellement par un malware, en plus d'eux-mêmes. Les gens crient à la backdoor sur les RS et affirment que ledger n'est pas ou plus sécurisé.
https://twitter.com/sayinshallah/status/1658446353863786503



Sketch parodiant une opératrice chez Ledger qui en dit long sur le niveau de bad buzz
https://twitter.com/AshleyDCan/status/1658487380222017537

 
Fuyez pauves fous !

(Ledger et leurs potes, ce sont bien eux qui ont laissé fuiter leurs fichiers clients ?)