Suivre

:linux:

Rappel: Si vous êtes forcé⋅e d'utiliser une application en laquelle vous n'avez pas trop confiance (genre... Microsoft Teams), vous pouvez l'isoler du système facilement et l'empêcher d'accéder à votre vrai répertoire HOME.

1) créez un répertoire vide pour cette appli.
2) lancez-la avec Firejail:

firejail --noprofile --private=. bash -c "/usr/bin/teams"

@sebsauvage Le répertoire vide, où est-ce qu'il faut le créer ? Et je n'arrive pas à voir où il est dans la commande que tu donnes ^^'

@lamecarlate

ttsss...
Tu le créé où tu veux.

Moi j'ai créé un répertoire ~/apps/ dans lequel je met toutes les applications de ce genre.

Chacune leur petit répertoire, elles ne peuvent pas en sortir.

Ça marche aussi des avec applications genre Skype.

@lamecarlate @sebsauvage Dis moi si je me trompe, mais il est sous-entendu par le "--private=.", dans la commande. Cette dernière est conçue pour être lancé depuis le-dit répertoire vide. 😉

@Apitronics @lamecarlate

oui pardon j'aurais dû être plus précis.

Il faut effectivement lancer cette commande quand on est dans le répertoire en question.

@sebsauvage @Apitronics Ah, ok ! Ça faisait partie de mes hypothèses, j'aurais dû le dire dans ma question… Merci de l'astuce en tout cas !

@sebsauvage @Apitronics @lamecarlate
Grand merci pour le tuyau. 🙏
Si je lance la bloatapp depuis le menu d'application, suffit-il d'indiquer le répertoire de travail

@Egide @Apitronics @lamecarlate

oui en indiquant le répertoire de travail ça devrait être bon.

Tu peux contrôller en vérifier que ton répertoire vide n'est plus vide une fois que tu aura lancé l'application
(penser à afficher les fichiers/répertoires cachés)

@sebsauvage Firejail très bien - dommage pas dispo pour Android$

Sinon pour ceux sous Windows :

Safing Portmaster – safing.io/portmaster/

Application sous Licence Libre
Blocage - filtrage DNS a partir du noyau, règles globale ou par application,
Domaines, chiffrement du DNS ( Enforce DNS over TLS) et choix du DNS.

Pour PC sous GNU/Linux, Mac$ et Windows$

GitHub - safing/portmaster: ❌ Block Mass Surveillance - 🏞 Love Freedom – github.com/safing/portmaster/

@sebsauvage Moi je fais tourner discorde et ça marche bien

@sebsauvage Certes, je trouve pertinent l'idée d'éviter facilement une sorte de curiosité mal placée de ce genre d'applications, mais ça ne protège pas vraiment de la collecte d'info faite lors de l'utilisation. Compte, IP, heure, durée, o.s., qualité du réseau, géolocalisation, fuseau horaire, sans parler du contenu, des contacts, etc.

L'idée est sympa, pour les accès locaux.

J'ai pas le sentiment qu'il y a une conscience de l'importance des méta-données. Par exemple, le site web de firejail est truffé d'appels extérieurs (worpress, youtube, gravatar, google analyics,etc).

En comparaison, Qubes OS, propose aussi ces notions de sandboxing, et leur site web est cohérent avec les concept de base.

M'enfin bon, je fais de mon nez mais je n'utilise pas de trucs M$, pas firejail et pas (encore?) QubeOS.

Whatever… c'est bon d'avoir des outils qui aident à reprendre un peu la main sur l'exploitation des données. 🙇

@sebsauvage
Le mieux c'est de proposer des alternatives libres à son employeur, s'il refuse vous refusez de donner vos données personnelles à Microsoft. Et puis accessoirement vous pouvez changer de boulot... Proposez Mattermost ou Rocket.chat

@wallace
Moi ce sont mes clients qui utilisent teams, en interne il n'est pas question de ces m*rdes chez moi. Là, ça commence à devenir compliqué si je dois virer tous les clients qui utilisent teams.
@sebsauvage

@sossalemaire
A quel moment tu te connectes sur leurs teams? Notre boîte refuse de se connecter aux messageries des clients, ils passent par le ticketing pour la traçabilité et c'est nous qui appelons ou lançons des visio sur un jitsi.
@sebsauvage

@sossalemaire
@wallace

Idem ici : boîte de libristes, mais parfois obligés de passer les trams des nombreux clients. On a un BBB qui marche très bien, mais il peut y avoir des problèmes de pare feu chez certains clients.

@sossalemaire
Radical chez nous que Chromium et Firefox et Teams refuse Firefox linux et Chromium ça n'accroche jamais du coup c'est toujours nous qui proposons un Jitsi qu'on héberge.
@sebsauvage

@sebsauvage

Il faut lancer firejail depuis le répertoire vide en question, j'imagine ?

@sebsauvage

trop bien!! Enfin un truc pour que ce foutu teams soit contenu ⛓️ (et typiquement que teams ne se mette pas dans les applications lancées au démarrage dans ubuntu à chaque fois qu'il se lance 😡 )

Merci 🙇🏿

@sebsauvage ou utiliser un autre utilisateur ? Quoique ca ne l'empeche pas de se relancer avec sa crontab

@sebsauvage et puis sous X11 (et peut etre wayland?), recupérer les frappes clavier alors que l'appli n'a pas le focus est trivial.

@tuxicoman

Justement, de mémoire firejail est capable d'isoler aussi au niveau X11.

@sebsauvage @tuxicoman
Hmm de mon côté ce qui me gène plus c'est la gestion audio, et en particulier le fait que Teams ne "relâche" pas les périphériques d'entrée et de sortie audio après un appel : un processus "Skype" reste en effet connecté (et continue de capturer) au microphone après avoir raccroché

@tuxicoman @sebsauvage
Ça semble de toute évidence être un bug (certainement lié à Chrome) mais ce n'est pas très rassurant surtout si on ne dispose pas d'une commande "mute" matérielle (pour le voir il suffit d'exécuter pavucontrol et de lancer puis arrêter un appel vocal Teams tout en surveillant l'onglet "enregistrement")

@sebsauvage
Mieux : teams ou zoom marchent bien juste dans le navigateur. Il y a peut être quelques fonctionnalités en moins mais je ne sais pas trop lesquelles. J'ai desinstallé les binaires.

@stupeflo

On peut aussi utiliser firejail pour lancer une application sans lui laisser accéder au réseau (--net=none)

Inscrivez-vous pour prendre part à la conversation
Framapiaf

Le réseau social de l'avenir : Pas d'annonces, pas de surveillance institutionnelle, conception éthique et décentralisation ! Possédez vos données avec Mastodon !