Jérôme Signouret 🌱 retweetledi
In case you missed it, last week Bram and Dr Nick overviewed the new Proof of Space 2.
Video and blog link below.
English
Jérôme Signouret 🌱
7.1K posts
Jérôme Signouret 🌱 retweetledi
April Recap:
- Instant Recovery: A major update to the Chia Cloud Wallet. You can now rekey your vault using your spend key for faster, secure recovery.
- Chia Signer: Now available in beta on Android. Securely sign transactions on the go.
- Consensus: Missed our Q&A on Proof of Space 2.0? Catch up on the future of Chia mining.
- Gaming: A first look at @Koba42’s Arcade21 demo on Chia Gaming.
English
Jérôme Signouret 🌱 retweetledi
Jérôme Signouret 🌱 retweetledi
🎙️ Gossip News Flash #23
Join @damipator live as we go through the newest updates and ongoing progress across the ecosystem.
📅 Tuesday, 28 April 2026
⏰ 5:30 PM CET
📺 Live on X and YouTube - links shared on the day
Starting in under an hour.
English
Jérôme Signouret 🌱 retweetledi
👉 L'UE a mis à jour le code de son application de vérification d'âge en ligne... bah c'est pas mieux que la première fois (même pire).
Version simplifiée ➡️
🔒 1. Des cadenas… rouillés
Pour protéger vos données, ils ont utilisé des outils de sécurité officiellement abandonnés par leurs créateurs depuis.... 2020 pour certains. C'est comme poser un verrou dont le fabricant dit lui-même "ne l'utilisez plus, il n'est plus sûr".
📱 2. Une vérification contournable en quelques minutes
L'app détecte si votre téléphone a été "modifié" en cherchant certains fichiers précis. Le problème : les techniques pour tromper ce type de vérification sont connues et documentées depuis plus de 10 ans. N'importe quelle personne un peu motivée peut passer éclater ça.
🛂 3. Votre photo de CNI ou passeport non protégée
Le bingo : lors de la vérification, votre passeport est scanné. La photo n'est toujours pas chiffrée pendant le processus Mais (quand même) elle est bien supprimée ensuite. Entre les deux, elle est vulnérable.
🔑 4. Le code PIN mal sécurisé
Votre PIN est protégé par une technique dépassée, avec des paramètres copiés-collés depuis une mauvaise source. Résultat : un attaquant avec du matériel moderne pourrait tester toutes les combinaisons possibles beaucoup trop facilement.
Bref, Paul Moore contribue activement a améliorer la sécurité de l'app avec ses sacrées découvertes 😂
Paul Moore - Security Consultant @Paul_Reviews
The @EU_Commission has released an update to patch out the issues I raised last week, v2026.04-2 (#release-notes_1" target="_blank" rel="nofollow noopener">ageverification.dev/releases/#rele…
) Honestly, I don't know if I should laugh or cry. Let's review each one: 1. On-device data: database and settings encrypted at rest, with keys protected by the device’s hardware-backed key store. Sounds great, until you look closer. They introduced androidx.security:security-crypto, deprecated in 2025. Also androidx.security.crypto.EncryptedSharedPreferences, deprecated in 2025. Finally, androidx.security.crypto.MasterKeys, which were deprecated in 2020. 3 deprecated dependencies introduced following criticism over weak security. These weren't left over and missed during an update... they've added them now to "harden security". Remember, this isn't an isolated app. It's intended to lay the foundation for many production applications; all using deprecated security libraries from the outset. Worse, they already correctly use KeystoreController in their codebase. The correct answer already existed and they still got it wrong. 2. Runtime: the app checks device integrity on startup and refuses to run on rooted or jailbroken devices. Production deployments should complement it with stronger device-attestation mechanisms appropriate to their infrastructure and compliance requirements. They check for su, check package manager for root apps, run "which su" and checks if it's a custom ROM. Paths: /system/bin/su /system/xbin/su /sbin/su /system/su /data/local/su /data/local/bin/su /data/local/xbin/su /system/app/Superuser.apk /system/app/SuperSU.apk Great... in 2015. These are all trivially bypassed in 2026. 3. Passport onboarding: more stable scanning; the passport photo is stored privately and deleted as soon as it’s no longer needed. They're still not encrypted, so I'm not sure what "privately" means - but they are deleted correctly now. 4. PIN: stricter rules block easy-to-guess PINs; PINs are salted and hashed, never stored in plain form. They salt correctly (a true CSPRNG), then use PBKDF2-SHA256 - which is outdated and only recommended where FIPS compliance is required, which doesn't apply here. To make matters worse, they use just 210,000 iterations. For those of a NISTy disposition, you're likely already shaking your head. 210,000 seems oddly specific. It is. It's the @owasp minimum for PBKDF2-SHA512, not SHA256. Right number, wrong algorithm. In reality, OWASP recommended 600,000 iterations as a minimum in 2023. Worse still, 600,000 is the baseline minimum for passwords, not PINs with 1 million permutations. You could use 1B iterations, you're not measurably increasing security when there are so few attempts required to break it. At the very least, use a modern hash with reasonable brute-force resistance against a 2026 threat model. All this... cited as a "first hardening step". Again, utter security theatre. None of this negates my fundamental point. This isn't fixable through code - it's fundamentally ill-conceived and poorly implemented. Français
Jérôme Signouret 🌱 retweetledi
Jérôme Signouret 🌱 retweetledi
🎙️ Gossip News Flash #22
Join @damipator live as we dive into the latest updates and progress across the ecosystem.
📅 Tuesday, 21 April 2026
⏰ 5:30 PM CET
📺 Live on X and YouTube - links shared on the day
We’re going live in less than 30 minutes.
English
Jérôme Signouret 🌱 retweetledi
Refusez le Pass Numérique ! Le gouvernement ne saura pas protéger vos pièces d'identité et vos données.
C'est dingue ce qui se passe mais personne n'a l'air de s'en inquiéter plus que ça.
Actuellement, les 19M de données administratives piratées à l'ANTS ont certainement été achetées par d'autres puissances étrangères ou le seront prochainement...
On se réveillera probablement trop tard en pleine campagne présidentielle quand des candidats à l'élection, des membres de leurs équipes de campagne ou encore des proches seront victimes de pression, de doxxing, de ciblage...
C'est vraiment grave ce qui se passe !
Bientôt je devrais revoir ma statistique et dire qu'en 2026, 10 français sur 10 ont été victime d'une fuite de données...
Français
Jérôme Signouret 🌱 retweetledi
.@FranceTitres (ANTS) qui est en charge du déploiement de la vérification d'âge dans France Identité - On se marre moins là, non ?
Christophe Boutry@Ced_haurus
🚨 INFOS | Le gouvernement s’apprête à sortir une appli de vérification d’âge, adossée à la carte d’identité et intégrée à France Identité. Selon les infos de @emile_marzolf , elle est déjà en bêta, en phase de test, et serait proposée gratuitement aux plateformes pour rendre l’interdiction des réseaux sociaux aux moins de 15 ans “applicable”. On comprend mieux l’urgence à légiférer dès ce soir : quand l’outil est prêt, il ne manque plus qu’un cadre pour l’imposer. ❌Le point critique : l'absence de double-anonymat. Dans un système protecteur, la plateforme ne reçoit qu’un “oui/non” (15+ / 18+), et l’émetteur de la preuve ne sait pas sur quel site ou service la vérification est faite. Autrement dit, personne ne peut relier identité et usage. Sans double-anonymat, on change de registre. Le contrôle d’âge peut devenir une brique de vérification généralisée, où l’accès à des plateformes dépend d’une identité numérique. @GabrielAttal on ne parlait pas ce matin de tiers de confiance ? Vous nous aviez caché que France Identité deviendrait l'outil pour utiliser les réseaux sociaux. L'application se teste en ce moment sur un site “factice” de réservation de places de cinéma mis en place dans le cadre des tests européens. Ils avaient déjà tout prévu et la surveillance est en marche.
Français
Jérôme Signouret 🌱 retweetledi
🥲 Fatigué. Il y a quelques semaines, je renouvelle ma CNI. Avec des données nouvelles, certifiées non fuitées ✅ J'ai activé le portail France Titres...
Tu peux avoir la meilleure Opsec / Hygiène numérique du monde, tu ne peux pas lutter contre la sécurité merdique des systèmes de l’État, à moins de sortir complètement du système. Et encore.
Français
Jérôme Signouret 🌱 retweetledi
🔴 Une carte postale, deux timbres et un gadget à 5€ : comment un simple traceur a permis de traquer l’escorte du Charles de Gaulle
Une simple carte postale, deux timbres et un traceur Bluetooth glissé à l’intérieur : c’est tout ce qu’il a fallu pour suivre les déplacements d’un bâtiment militaire escortant le Charles de Gaulle en Méditerranée.
👉 Une faille de sécurité physique et opérationnelle qui interroge sur la protection des infrastructures militaires face à des outils grand public.
En exploitant une faille dans le contrôle du courrier militaire (enveloppes non scannées), un média a pu tracer une frégate engagée dans une mission sensible, poussant le ministère de la Défense à revoir en urgence ses protocoles de sécurité.
Français
Jérôme Signouret 🌱 retweetledi
Quand je pense au bordel que l'@ANSSI_FR a fait quand SaxX a évoqué une fuite de données de l'ANTS. Le mépris reçu de leur part. L'energie dépensé pour dire que tout est safe. Les 4 interviews de Vincent Strubel pour nous dire "faut pas en faire un drame, c'est pas pire qu'avant". Les papiers sur les "influ-cybers", trop alarmistes. Et tu as des types de 17 piges, qui se grattent le slip dans leur chambre au fond de la Lozère et qui te poutre via une faille de merde... A un moment donné, il va surtout falloir arrêter de prendre les citoyens pour des cons.
Journal du Coin@LeJournalDuCoin
🇫🇷❌ L’ANTS aurait subi une fuite touchant 19 millions de Français après une faille basique sur son API, exposant des données sensibles et ravivant les inquiétudes sur la cybersécurité des services publics.
Français
Jérôme Signouret 🌱 retweetledi
Bypassing #EU #AgeVerification using their own infrastructure.
I've ported the Android app logic to a Chrome extension - stripping out the pesky step of handing over biometric data which they can leak... and pass verification instantly.
Step 1: Install the extension
Step 2: Register an identity (just once)
Step 3: Continue using the web as normal
The extension detects the QR code, generates a cryptographically identical payload and tells the verifier I'm over 18, which it "fully trusts".
This isn't a bug... it's a fundamental design flaw they can't solve without irrevocably tying a key to you personally; which then allows tracking/monitoring.
Of course, I could skip the enrolment process entirely and hard-code the credentials into the extension... and the verifier would never know.
Paul Moore - Security Consultant @Paul_Reviews
Hacking the #EU #AgeVerification app in under 2 minutes. During setup, the app asks you to create a PIN. After entry, the app *encrypts* it and saves it in the shared_prefs directory. 1. It shouldn't be encrypted at all - that's a really poor design. 2. It's not cryptographically tied to the vault which contains the identity data. So, an attacker can simply remove the PinEnc/PinIV values from the shared_prefs file and restart the app. After choosing a different PIN, the app presents credentials created under the old profile and let's the attacker present them as valid. Other issues: 1. Rate limiting is an incrementing number in the same config file. Just reset it to 0 and keep trying. 2. "UseBiometricAuth" is a boolean, also in the same file. Set it to false and it just skips that step. Seriously @vonderleyen - this product will be the catalyst for an enormous breach at some point. It's just a matter of time.
English
Jérôme Signouret 🌱 retweetledi
👉 NOUVEAU HACK DE @Paul_Reviews qui démonte encore plus l’arnaque de l'application de vérification d’âge de l’UE. 🫠
Il a porté toute la logique de l’application Android dans une extension Chrome.
Plus besoin de téléphone, de biométrie ni de PIN. L’extension détecte les QR codes, génère un payload cryptographiquement identique et le vérificateur dit « +18, fully trusted ». Ce n’est PAS un bug.
(Je simplifie : l’extension détecte le QR code, génère un code crypté parfaitement valide, et le site dit aussitôt “+18, tout est bon”.)
C’est un flaw de design fondamental : les clés cryptographiques ne sont pas correctement liées à l’utilisateur.
Pour les lier vraiment, ils devraient te tracker à vie. Sinon, tout reste contournable en 30 secondes.
L’UE veut nous imposer un système de contrôle d’identité « pour nous protéger »… mais il est tellement mal conçu qu’un mec seul le réduit à néant en une après-midi.
Paul Moore - Security Consultant @Paul_Reviews
Bypassing #EU #AgeVerification using their own infrastructure. I've ported the Android app logic to a Chrome extension - stripping out the pesky step of handing over biometric data which they can leak... and pass verification instantly. Step 1: Install the extension Step 2: Register an identity (just once) Step 3: Continue using the web as normal The extension detects the QR code, generates a cryptographically identical payload and tells the verifier I'm over 18, which it "fully trusts". This isn't a bug... it's a fundamental design flaw they can't solve without irrevocably tying a key to you personally; which then allows tracking/monitoring. Of course, I could skip the enrolment process entirely and hard-code the credentials into the extension... and the verifier would never know.
Français
Jérôme Signouret 🌱 retweetledi
English
Jérôme Signouret 🌱 retweetledi
Jérôme Signouret 🌱 retweetledi
🎙️ Gossip News Flash #21
Join @damipator live as we dive into the latest updates and progress across the ecosystem.
📅 Tuesday, 14 April 2026
⏰ 5:30 PM CET
📺 Live on X and YouTube - links shared on the day
We’re going live in 2 hours.
English
Jérôme Signouret 🌱 retweetledi
De qui parle les médias d’après vous ?
De:
Sophie Adenot CV :
Baccalauréat scientifique
Classes préparatoires scientifiques
Diplôme d’ingénieur aéronautique
Master (MSc)
Diplôme de pilote d’essai
Brevet diplôme d’astronaute
Ou de
Maria Carolina de Bourbon etc. CV : ❌
Français
Jérôme Signouret 🌱 retweetledi
🦔A researcher invented a fake eye condition called bixonimania, uploaded two obviously fraudulent papers about it to an academic server, and watched major AI systems present it as real medicine within weeks.
The fake papers thanked Starfleet Academy, cited funding from the Professor Sideshow Bob Foundation and the University of Fellowship of the Ring, and stated mid-paper that the entire thing was made up. Google's Gemini told users it was caused by blue light. Perplexity cited its prevalence at one in 90,000 people.
ChatGPT advised users whether their symptoms matched. The fake research was then cited in a peer-reviewed journal that only retracted it after Nature contacted the publisher.
My Take
The researcher made the papers as obviously fake as possible on purpose. The AI systems didn't catch it. Neither did the human researchers who cited it in real journals, which means people are feeding AI-generated references into their work without reading what they're actually citing.
I've covered the FDA using AI for drug review, the NYC hospital CEO ready to replace radiologists, and ChatGPT Health launching this year. All of that is happening in the same environment where a condition funded by a Simpsons character and endorsed by the crew of the Enterprise was being presented as emerging medical consensus. The people making these deployment decisions seem to believe the pipeline from research to AI to patient is more supervised than it actually is. This experiment suggests it isn't supervised much at all.
Hedgie🤗
nature.com/articles/d4158…
English
Jérôme Signouret 🌱 retweetledi
@durov That's why @UseGossip is the next evolution in private messaging
@massachain Built Gossip on decentralized Massa network for privacy-by-design, post-quantum encryption. Try the Alpha at gossip.massa.network.
English