Tootfinder

Référentiel technique sur la vérification de l’âge pour la protection des mineurs contre la pornographie en ligne
https://www.arcom.fr/se-documenter/espace-juridique/textes-juridiques/referentiel-technique-sur-la-verification-de-lage-pour-la-protection-des-mineurs-contre-la-pornographie-en-ligne
Vérification de l'âge en ligne : la CNIL a rendu son avis sur le référentiel de l’Arcom concernant l’accès aux sites pornographiques
https://www.cnil.fr/fr/verification-de-lage-en-ligne-la-cnil-rend-son-avis-sur-le-referentiel-de-larcom
Mon analyse de la solution de la CNIL (jugée nulle Š chier) : https://broken-by-design.fr/posts/proto-authz-porn/
Je me tiens Š la disposition des journalistes. Je ne suis pas mauvais en vulgarisation.
Les boosts sont appréciés.

IronNet goes bankrupt. Nope, I hadn't heard of 'em either.
"Collapse of national security elites' cyber firm leaves bitter wake" | AP News
https://apnews.com/article/keith-alexander-ironne…

Collapse of national security elites' cyber firm leaves bitter wake
IronNet, a cybersecurity startup, had promised it would combat hackers using a unique blend of expertise and software. Helmed by a former director of the National Security Agency, the firm went public in 2021, and its value shot past $3 billion. Then it collapsed. The firm declared bankruptcy last year, leaving behind a trail of bitter investors and former employees who remain angry at the company and say it misled them about its financial health and potential. National security experts, former…

Boom, toutes les boites "IT" Š la con qui ont utilisé des noms de domaine en .io pour faire les malins.
Le TLD .io pourrait disparaitre Š plus ou moins court terme. Merci bisous.
On répète après moi : les noms de domaine ne sont PAS des outils marketing. Surtout les TLD. Ne laissez pas les noms de domaine dans les mains de vos marketeux.
https://infosec.exchange/@mttaggart/113272616968966433
Pour rappel, le guide DNS de l'ANSSI dont j'ai été l'auteur principal : https://cyber.gouv.fr/publications/bonnes-pratiques-pour-lacquisition-et-lexploitation-de-noms-de-domaine

Pourquoi la solution de la CNIL ne convient pas ?
1) aucune protection des habitudes de consommation des utilisateurs/utilisatrices.
2) il existe des risques majeurs pour la vie privée en cas de collusion entre les vérificateurs d'attributs et les sites nécessitant cette preuve d'âge
Le point 1) provient du fait que les preuves d'âge ne peuvent pas être stockées, et doivent être renouvelées Š chaque visite. Donc **Š chaque fois** que tu te paluches, tu vas d'abord demander la permission Š un service d'identité...
L'excuse avancée par l'Arcom et la CNIL, c'est d'éviter la fraude. Manque de bol, j'ai au moins deux techniques en tête qui m'ont pris exactement 10 secondes Š trouver qui permettent de passer outre leurs mesures anti-fraudes... et elles sont déjŠ connues et utilisées par certaines personnes qui piratent les contenus Onlyfans... donc c'est pas réservé Š une élite technique.
Le point 2) provient du fait que le protocole de la CNIL (le fameux machin en "double anonymat") repose sur le fait que le téléphone ou le navigateur de la personne font juste passe plat. Le site vérificateur d'âge et le site consulté voient donc passer la même preuve. En cas de collusion, ils peuvent donc associer l'activité sur le site consulté Š l'identité de la personne lors de l'établissement de la preuve. Et la CNIL et l'Arcom le savent très bien. C'est pour ça qu'il y a l'exigence "Indépendance du prestataire de système de vérification de l’âge vis-Š-vis des services visés diffusant des contenus Š caractère pornographique".
Sauf que le respect de cette exigence n'est pas prouvable ou vérifiable par les citoyen·nes.
Or, il existe des moyens techniques pour l'empêcher. Mais la CNIL ne les a pas employés. Pourquoi ? Parce que l'État en a décidé ainsi.
#cnil #arcom #porno #age #porn