@fs0c131y's Threads
37 added
1/ Parlons des choses intéressantes. #StopCovid a un important problème de sécurité. Ce problème réside dans le protocole ROBERT créé et choisi par la France.
Il est connu depuis des semaines, mais YOLO on a foncé la tête baissée par idéologie.
Il est connu depuis des semaines, mais YOLO on a foncé la tête baissée par idéologie.
2/ Un protocole c'est une spécification de plusieurs règles pour un type de communication particulier. Ici on a 2 maisons: centralisé vs décentralisé
Pour schématiser, la France a choisi centralisé, le reste du monde décentralisé.
Pour schématiser, la France a choisi centralisé, le reste du monde décentralisé.
3/ Première conséquence: La solution de la France ne sera pas interopérable. #StopCovid ne fonctionnera pas en dehors de la France. Dans le cadre d'une pandémie mondiale et d'un monde qui se déconfine, le système devient caduque.
Mais encore ca n'est pas le pire
Mais encore ca n'est pas le pire
1/ Hier, j’ai accepté d’intervenir sur la chaîne RT. Depuis l’annonce, plusieurs personnes m’ont demandé pourquoi j’acceptais d’aller sur “la chaîne de Poutine”
Tout d’abord, le sujet est StopCovid pas les libertés individuelles.
Tout d’abord, le sujet est StopCovid pas les libertés individuelles.
2/ Le débat sur #StopCovid a, dès le départ, été mal posé. Le principal problème de StopCovid c’est son inutilité. Faire fantasmer les gens sur un dispositif à la Chinoise, essayer de leur faire peur, c’est non productif et surtout faux.
3/ Oui, #StopCovid est un pas dans une mauvaise direction, vers un modèle de société que je ne souhaite pas pour la France. Toutefois, il faudrait que les militants réfléchissent 30s avant de jouer la carte libertés individuelles sans même comprendre le sujet.
1/ So previously I shown that the old version of the iWatch Dallas was sending the location of the users every minute without their consent.
I deleted my tweets to avoid confusion because it was not the latest version BUT the story it's not finished. Time for a bit of #OSINT
I deleted my tweets to avoid confusion because it was not the latest version BUT the story it's not finished. Time for a bit of #OSINT
2/ The package name of the old version I analysed is "com.ithinqware.iWatchDallas". The APK has been signed by "Daniel Elliott" at iThinQware. 
3/ If you look at the APK on apkpure you can see that the developer name is "Closewatch Technologies"
By looking at the helicopter trajectories over a city, you can guess where the protests take place. #GeorgeFloydProtests
Los Angeles
Los Angeles
San Francisco
New York
Il est possible que mon nom soit mentionné ce soir au JT de TF1 🤘
Suis pas ultra fan de la citation mais bon 🤷♂️
Rendre compréhensible une chose aussi technique dans un temps aussi court est très compliqué. Au delà de la phrase, c’est le message qui compte, ce que les gens vont retenir => StopCovid, marge d’erreur
Je viens d’avoir une idée. Si ça fonctionne, et ça va fonctionner, je vais pouvoir répondre *très* précisément à la question: Est ce que l’application #StopCovid fonctionne en arrière plan sur iOS?
Pourquoi c’est tjs la nuit que j’ai ce style d’idée ?
Mon idée fonctionne 🙂 Si je me motive j’écrirai un article dessus et surtout les résultats
1/ Il me paraît important de faire une précision concernant #StopCovid. Une application mobile développée en si peu de temps, avec si peu de tests, aura forcément des "problèmes".
Et ça n'est pas grave. C'est normal. Ca ne veut pas dire que les devs ont fait du mauvais boulot.
Et ça n'est pas grave. C'est normal. Ca ne veut pas dire que les devs ont fait du mauvais boulot.
2/ La réalité est souvent dans la nuance. L'application ne possède pas beaucoup de fonctionnalités, la surface d'attaque est donc réduite. Les "problèmes" que l'on peut trouver seront à la mesure de l'app. + ou - sérieux mais rien de catastrophique.
3/ Il ne sert donc à rien de bomber le torse et dire que l'app est "uncrackable". Comme il ne sert à rien de fantasmer sur le fait que #StopCovid va aspirer vos contacts. Les 2 sont faux
Alors @srichard parlons en. J’ai ouvert 10 tickets hier soir au bug bounty de #StopCovid pour 10 problèmes + ou - grave. Un des soucis, un des plus stupide, est de la faute directe des développeurs d’Orange.
Il serait bon d’arrêter de dire n’importe quoi sur les plateaux
Il serait bon d’arrêter de dire n’importe quoi sur les plateaux
Dans le cas contraire, ça serait dommage pour tout le monde que les soucis se retrouvent dans les médias.
@cedric_o: Contrôler vos troupes.
@cedric_o: Contrôler vos troupes.
Je joue le jeu du bug bounty jusqu’au bout. Les rapports seront, en théorie, tous public à la fin de celui-ci.
D’ici là, faisons tous notre boulot: le hacker hacke et respecte les règles du bug bounty, le PDG d’Orange gère Orange et arrête de dire n’importe quoi. Deal?
D’ici là, faisons tous notre boulot: le hacker hacke et respecte les règles du bug bounty, le PDG d’Orange gère Orange et arrête de dire n’importe quoi. Deal?
Le niveau général des discours sur #StopCovid est bas... De la condescendance et du mépris, des citations dignes d'un devoir de philo de terminale, des chamailleries politiques comme dans une cour d'école.
Vous n'êtes pas à la hauteur.
Vous n'êtes pas à la hauteur.
Les Français méritent mieux. Ils méritent des élus avec de la hauteur, avec du réalisme.
Ca me donne envie de m'engager. De monter dans l'arène et de présenter les faits. Pas une idéologie. Juste d'expliquer simplement les faits, de les exposer. Chacun se fera une idée ensuite.
Ici même les faits sont tronqués, déformés.
Ici même les faits sont tronqués, déformés.
Certains journalistes, ainsi que votre serviteur, venons de recevoir la dernière version de #StopCovid. La nuit va être courte #HackThePlanet
J'ai éclaté de rire en voyant la 1er faille. C'est digne d'un étudiant qui apprend le java
J'ai rigolé nerveusement en voyant le 1er souci de privacy
I'm gonna break this thing (or at least try 😅) #StopCovid
Publier une app, la veille d'un débat parlementaire sur la question, avec lorem ipsum sur la page confidentialité est pas le truc le plus malin à faire. Je dis ca je dis rien
In fine, Orange a quand même réussi a pousser sa petite lib BLE hérité de StopC19
L'@INRIA vient, finalement, d'ouvrir le code source de #StopCovid pour Android et iOS:
- gitlab.inria.fr/stopcovid19/st…
- gitlab.inria.fr/stopcovid19/st…
Oui oui, c'est des .zip...
- gitlab.inria.fr/stopcovid19/st…
- gitlab.inria.fr/stopcovid19/st…
Oui oui, c'est des .zip...
Comme j'ai un peu de savoir vivre j'ai mis les sources sur Github:
- github.com/fs0c131y/stopc…
- github.com/fs0c131y/stopc…
- github.com/fs0c131y/stopc…
- github.com/fs0c131y/stopc…
Android compile pas out of the box, faut pas déconner non plus hein...
1/ THREAD: 3 days ago, the @washingtonpost wrote about the North and South Dakota's Care19 #Covid19 app: "One of the first contact-tracing apps violates its own privacy policy".
I'm curious to see if this app respects the user privacy (spoiler: no)
washingtonpost.com/technology/202…
I'm curious to see if this app respects the user privacy (spoiler: no)
washingtonpost.com/technology/202…
2/ On the South Dakota gov website we can read: "Your information is 100% anonymous and will be used in an aggregated form"
covid.sd.gov/care19app.aspx
covid.sd.gov/care19app.aspx
3/ The 1st thing done by the app is to initialize @bugfenderapp. Their official description is "Remote Logger, Crash Reporter and In-App User Feedback"
1/ In France, the lockdown ended 11 days ago. Today, the weather is pretty good and it’s a 4 days weekend. It’s 6pm and for the 1st time since a long time, I’m going in the center of Toulouse.
My very own personal feelings
My very own personal feelings
2/ A general feeling: the streets are it very full. In this configuration, weather, 4-days weekend, time, this unusual
I never saw so much store owners outside their stores. They are waiting in front of their stores, smoking, discussing with their neighbor.
I never saw so much store owners outside their stores. They are waiting in front of their stores, smoking, discussing with their neighbor.
3/ More than 50% doesn’t wear a mask. One big exception, the majority of people above 50+ years old I met, wear a mask. This is a very positive thing.
A lot of people wear a mask before entering into a store because it’s mandatory. When they go out they take it off
A lot of people wear a mask before entering into a store because it’s mandatory. When they go out they take it off
1/ Hier, le hashtag MacronDestitution est resté dans les tendances au top de Twitter France toute la journée. Regardons ensemble pourquoi ce hashtag a connu ce succès soudain et qui l'a propulsé sur le devant de la scène.
2/ Pour répondre à ces questions j'ai capturé tous les tweets qui contiennent le mot MacronDestitution depuis le début de l'année. Je n'ai gardé que les tweets originaux et les retweets avec un commentaire.
3/ En excluant les retweets simples, sans commentaire, on se focalise sur les personnes qui fabriquent cette tendance, les producteurs de contenu. Les retweets simples propulsent une tendance, ce n'est pas notre sujet ici. On veut savoir qui se cache derrière ce hashtag
PyCharm is testing my patience
Of course it was a missing parenthesis. It's always a missing parenthesis 😅
Is it only me or writing an IDA script is a torture?
Le Monde a publié un (court) édito écrit par 2 chercheurs de l’INRIA travaillant sur #StopCovid. Ils nous expliquent que “bon ok, c’est vrai on sait pas trop si une app de contact tracing est réellement utile” mais “oh, s’opposer est injustifiable” lemonde.fr/idees/article/…
Ca serait risible si l’enjeu n’était pas aussi important. Les 3 défenseurs restants de #StopCovid, conscient de la faiblesse de leur projet, essayent de polariser le débat: “Si vous êtes contre, vous êtes dogmatique, irresponsable, dans la caricature”
Alors:
- La France est un pays libre, on a le droit d’exprimer son point de vue, surtout sur des sujets d’importance
- Vos propres chercheurs à l’INRIA s’oppose à votre projet. Eux aussi, ils sont dans une posture dogmatique?
- La France est un pays libre, on a le droit d’exprimer son point de vue, surtout sur des sujets d’importance
- Vos propres chercheurs à l’INRIA s’oppose à votre projet. Eux aussi, ils sont dans une posture dogmatique?
1/ Ce matin, le hastag antisémite sijetaitunjuif a fait son apparition dans les tendances au top de Twitter France. Regardons ensemble qui a lancé cette insulte à la langue Française
2/ En regardant le volume des tweets, on s'aperçoit que ce hashtag a été lancé hier soir vers les 21h et a connu une accélération ce matin.
3/ La 1re chose que l'on remarque en regardant le graphique des interactions est la communauté en haut à gauche. Elle a participé activement mais n'interagit pas avec les autres communautés.
1/ Force people to install a mobile app doesn’t make any sense. When you publish an app, the main metric you should look at is the number of people who are using your app, not the number of downloads.
You want to create a community, a group of people who regularly use your app.
You want to create a community, a group of people who regularly use your app.
2/ If you app is good enough, people will use your app everyday. The next metric you will look at is the retention. You want the users to come back to your app everyday during a long time (forever if possible). For that, your app need to be really useful (Waze, WhatsApp, ...)
3/ If your app has some in app purchases, your “addicted users” are the target. You want them to improve their everyday experience by buying this small pack at only 4.99€.
Should we release publicly a mod of #AarogyaSetu?
It's clearly a complicated question and not a definitive yes on my side. This is why I created this poll
Ethically, this question is extremely interesting
On nous avait promis une partie du code de l’application #StopCovid. On se retrouve avec le SDK “Robert” utilisé par l’application.
Donc on a pas le code côté serveur, ni le code de l’app. Ça doit être ça la transparence version startup nation.
gitlab.inria.fr/stopcovid19
Donc on a pas le code côté serveur, ni le code de l’app. Ça doit être ça la transparence version startup nation.
gitlab.inria.fr/stopcovid19
“pour prouver que la démarche open source est sérieuse”...
Pour prouver que la démarche open source est sérieuse, je sais pas moi, vous pouvez peut être commencer par publier le code. Enfin je dis ça, je dis rien.
Même à l'INRIA on commence à douter du déploiement de #StopCovid:
"Le caractère temporaire du projet [..], s’il est déployé, à la durée de gestion de l’épidémie de Covid-19."
inria.fr/fr/le-projet-s…
"Le caractère temporaire du projet [..], s’il est déployé, à la durée de gestion de l’épidémie de Covid-19."
inria.fr/fr/le-projet-s…
Sachant que @cedric_o a annoncé un lancement de l'app au 2 Juin, et que l'état d'urgence sanitaire vient d'être prolongé jusqu'au 10 Juillet, la durée de vie de l'app sera donc de 5 semaines...
Le 1er tweet de @cedric_o sur #StopCovid date du 8 Avril. Nous en sommes donc à 2 mois pour créer une app à l'efficacité incertaine, qui au final aura une durée de vie d'1 gros mois...
Hi @AmdavadAMC,
Do you think it's a good idea to pinpoint the houses of #Covid19 patients and deaths publicly on your website?
Even sick or dead, you deserve privacy.
Regards,
Do you think it's a good idea to pinpoint the houses of #Covid19 patients and deaths publicly on your website?
Even sick or dead, you deserve privacy.
Regards,
Is it down only for me or everyone? They already took it down?
Damn, it was fast.
I tweet, you fix
I tweet, you fix
