JMAP, ou JSON Meta Application Protocol, fait son entrée comme une alternative moderne aux protocoles traditionnels tels qu’IMAP et SMTP.

Mais qu’est-ce que JMAP exactement, et pourquoi mérite-t-il notre attention dans le domaine de l’emailing ? Cet article vous guide à travers les principales caractéristiques techniques de JMAP et son utilité.

Qu’est-ce que JMAP ?

Le JSON Meta Application Protocol (JMAP) est un ensemble de protocoles Internet standard et ouverts conçus pour gérer les emails. JMAP est mis en œuvre à l’aide d’API JSON et a été créé comme une alternative aux protocoles IMAP/SMTP ainsi qu’aux API de messagerie propriétaires telles que celles de Gmail (Google) ou MAPI (Microsoft Outlook). En plus de la gestion des emails, JMAP sert de base pour d’autres protocoles et modèles de données, notamment pour la synchronisation des contacts et des calendriers, visant à remplacer potentiellement CardDAV et CalDAV. D’autres extensions sont également en cours de développement.

Pourquoi JMAP ?

Les limitations du protocole IMAP sont bien connues : performance lente, complexité de la gestion des connexions multiples, et inefficacité en matière de synchronisation des emails sur plusieurs appareils. En réponse à ces problématiques, JMAP a été développé pour apporter plusieurs avantages majeurs :

API Unifiée : JMAP unifie la gestion de différents aspects des services de messagerie, y compris les emails, les contacts et les calendriers, en une seule API, facilitant ainsi la gestion d’applications complexes.

Simplicité : JMAP repose sur HTTP et utilise le format JSON, bien connu des développeurs, ce qui simplifie énormément le travail d’intégration. Contrairement à IMAP, il n’est pas nécessaire de maintenir une connexion persistante pour surveiller les nouveaux emails.

Performance : JMAP permet une meilleure gestion des connexions grâce à l’utilisation de requêtes par lot (batch requests) et une gestion optimisée des ressources. La récupération des emails est plus rapide et plus efficace, notamment dans les environnements où la bande passante est limitée.

Synchronisation plus rapide : Avec JMAP, la synchronisation des emails, calendriers et contacts entre plusieurs appareils est instantanée. Les notifications de nouveaux emails peuvent être reçues en temps réel sans nécessiter de multiples requêtes réseau.

Comment fonctionne JMAP ?

Le fonctionnement de JMAP repose sur des principes simples mais puissants. Voici un aperçu technique de son mécanisme :

Mécanisme de synchronisation : JMAP inclut des mécanismes de synchronisation intelligente qui permettent de ne récupérer que les changements depuis la dernière synchronisation. Cela élimine le besoin de ressaisir toutes les données, ce qui est particulièrement avantageux pour les utilisateurs disposant de connexions lentes.

Utilisation de HTTP/HTTPS : JMAP utilise HTTP comme protocole de transport, ce qui est déjà omniprésent dans la plupart des infrastructures réseau. Cela permet une intégration fluide avec les services web et mobiles.

Représentation des données en JSON : Toutes les données, qu’il s’agisse des emails, des contacts ou des informations de synchronisation, sont échangées sous format JSON. Ce format est à la fois léger et facile à interpréter, ce qui réduit la complexité et la taille des réponses.

Requêtes par lot (Batching) : Contrairement à IMAP, où chaque action (vérification de nouveaux emails, lecture, marquage comme lu, etc.) nécessite une requête distincte, JMAP permet d’envoyer plusieurs actions dans une seule requête HTTP. Cela réduit considérablement le nombre de requêtes réseau et améliore les performances globales.

Cas d’usage de JMAP

Applications Web et Mobiles : Les clients email modernes, qu’ils soient sous forme d’applications mobiles ou de clients web, peuvent grandement bénéficier de JMAP. La rapidité de synchronisation et la gestion des requêtes par lot rendent ces applications plus fluides et réactives.

Fournisseurs d’email : Les fournisseurs de services de messagerie, en adoptant JMAP, peuvent réduire la charge sur leurs serveurs, tout en offrant une meilleure expérience utilisateur. De plus, la compatibilité avec HTTP/HTTPS permet une intégration plus facile avec les systèmes déjà existants.

API Unifiée : Les développeurs qui cherchent à intégrer la gestion des emails dans leurs applications peuvent s’appuyer sur ces API. Cela simplifie l’implémentation des services liés aux emails tout en assurant une synchronisation et une gestion optimisées.

Comparaison JMAP vs IMAP/SMTP

29061064-8bc8-4aea-8a1b-856b7bb1a857-image.png

Serveurs Opensource qui supportent JMAP

Cyrus-IMAP, qu’on ne présente plus, a été un des premiers à supporté JMAP et ce dès 2018, à partir de sa version 3.0. Tout n’est pas encore supporté à 100%, mais tout n’est pas encore standardisé non plus côté IETF.

Apache James (Java Apache Mail Enterprise Server) est une solution de serveur de messagerie complète qui prend en charge JMAP

Stalwart JMAP Server est une solution légère et rapide qui implémente JMAP, ainsi que d’autres protocoles comme IMAP, SMTP, et Sieve. Il est conçu pour être performant et s’intégrer facilement dans des environnements modernes. Stalwart se distingue par son focus sur JMAP, offrant une alternative simple et efficace aux autres serveurs traditionnels.

Stalwart, fait en Rust, semble un projet très intéressant que je vous invite à suivre si vous êtes passionné du mon de l’email !

Notre avis sur JMAP

En résolvant les problèmes de performance, de complexité et de compatibilité des anciens protocoles comme IMAP et SMTP, JMAP présente des arguments qui semblent vraiment intéressants pour l’avenir des services de messagerie. JMAP est le protocole à surveiller de près.

En tout cas, chez Sweego, JMAP nous semble très intéressant pour de nouveaux services que nous aimerions proposer et qui sont demandés par nos clients. Wait and see…

– Sources :

https://jmap.io

https://www.sweego.io/fr/canal/email/jmap-nouveau-protocole-email-qui-vise-a-remplacer-imap

–> Article un peu promo mais néanmoins intéressant

A noter qu’on peut utiliser leur site pour tester : https://aip.librai.tech/app/fact-check/new
Crédits gratuits avec le code indiqué.

Sinon voici les tarifs :
https://i.imgur.com/8bB98zq.png

chaîne youtube vraiment très sympa

Les e-mails, documents et autres contenus non fiables peuvent créer des souvenirs malveillants.

Lorsque le chercheur en sécurité Johann Rehberger a récemment signalé une vulnérabilité dans ChatGPT qui permettait aux attaquants de stocker de fausses informations et des instructions malveillantes dans les paramètres de mémoire à long terme d’un utilisateur, OpenAI a sommairement clos l’enquête, qualifiant la faille de problème de sécurité et non, techniquement parlant, de faille de sécurité.

Rehberger a donc fait ce que font tous les bons chercheurs : il a créé un exploit de validation de principe qui a utilisé la vulnérabilité pour exfiltrer toutes les entrées des utilisateurs à perpétuité. Les ingénieurs d’OpenAI en ont pris note et ont publié un correctif partiel plus tôt ce mois-ci.

Se promener dans le passé

OpenAI expérimente en donnant à ChatGPT une mémoire de conversation à long terme
La vulnérabilité exploitait la mémoire de conversation à long terme, une fonctionnalité qu’OpenAI a commencé à tester en février et rendue plus largement disponible en septembre . La mémoire avec ChatGPT stocke les informations des conversations précédentes et les utilise comme contexte dans toutes les conversations futures. De cette façon, le LLM peut connaître des détails tels que l’âge, le sexe, les croyances philosophiques et à peu près tout le reste d’un utilisateur, de sorte que ces détails n’ont pas besoin d’être saisis lors de chaque conversation.

Trois mois après le déploiement, Rehberger a découvert que des mémoires pouvaient être créées et stockées de manière permanente par injection indirecte d’invites , un exploit d’IA qui amène un LLM à suivre des instructions provenant de contenus non fiables tels que des e-mails, des articles de blog ou des documents. Le chercheur a démontré comment il pouvait tromper ChatGPT en lui faisant croire qu’un utilisateur ciblé avait 102 ans, vivait dans la Matrice, et a insisté sur le fait que la Terre était plate et que le LLM intégrerait ces informations pour orienter toutes les conversations futures. Ces faux souvenirs pourraient être implantés en stockant des fichiers dans Google Drive ou Microsoft OneDrive, en téléchargeant des images ou en parcourant un site comme Bing, tout cela pourrait être créé par un attaquant malveillant.

Rehberger a rapporté en privé la découverte à OpenAI en mai. Le même mois, l’entreprise a clôturé le ticket de rapport. Un mois plus tard, le chercheur a soumis une nouvelle déclaration de divulgation. Cette fois, il a inclus un PoC qui a amené l’application ChatGPT pour macOS à envoyer une copie textuelle de toutes les entrées utilisateur et des sorties ChatGPT à un serveur de son choix. Il suffisait à la cible de demander au LLM d’afficher un lien Web hébergeant une image malveillante. À partir de ce moment-là, toutes les entrées et sorties vers et depuis ChatGPT ont été envoyées au site Web de l’attaquant.

“Ce qui est vraiment intéressant, c’est que la mémoire est désormais persistante”, a déclaré Rehberger dans la démo vidéo ci-dessus. « L’injection rapide a inséré une mémoire dans le stockage à long terme de ChatGPT. Lorsque vous démarrez une nouvelle conversation, les données sont toujours exfiltrées.

L’attaque n’est pas possible via l’interface web ChatGPT, grâce à une API OpenAI déployée l’année dernière .

Bien qu’OpenAI ait introduit un correctif qui empêche l’utilisation abusive des mémoires comme vecteur d’exfiltration, a déclaré le chercheur, un contenu non fiable peut toujours effectuer des injections rapides qui amènent l’outil de mémoire à stocker des informations à long terme implantées par un attaquant malveillant.

Les utilisateurs de LLM qui souhaitent empêcher cette forme d’attaque doivent prêter une attention particulière pendant les sessions aux résultats indiquant qu’une nouvelle mémoire a été ajoutée. Ils devraient également examiner régulièrement les mémoires stockées pour détecter tout ce qui aurait pu être implanté par des sources non fiables. OpenAI fournit ici des conseils pour gérer l’outil de mémoire et les mémoires spécifiques qui y sont stockées. Les représentants de l’entreprise n’ont pas répondu à un e-mail lui demandant quels étaient ses efforts pour empêcher d’autres piratages générant de faux souvenirs.

Source: https://arstechnica.com/security/2024/09/false-memories-planted-in-chatgpt-give-hacker-persistent-exfiltration-channel/

Le pire c’est que je les verrais même pas avec adaway

Maintenant, faudra voir du côté de l’europe comment ça se passe. Est-ce que peugeot, Mercedes & Co… vont produire des électriques qui se baladent toutes seules tout en étant connectées ?
Y serait intéressant qu’une version “libre” de ces logiciels de surveillance sorte…
histoire de péter loin le côté commercial de cette surveillance.
le côté militaire de la chose ? hmmmmm

De toute façon, si Merco & Co veut vendre, va falloir s’y mettre.

@Raccoon a dit dans Royaume Uni: Les télévisions intelligentes Sky ne s'allument plus :

Les points quantiques c’est un partenariat avec Guerlain ? :ahah:

Ben, j’ai fait des recherches parce que ça m’a interpelé aussi, en fait les écrans à points quantiques existent bel et bien.

En gros la source de lumière principale de chaque point est uniquement bleue pur et traverse un tube ou un film selon le fabricant qui “convertit” cette lumière bleue en un rouge pur ou un vert pur à la demande, le terme quantique est utilisé parce que le même point peut avoir plusieurs couleurs ou états mais c’est pas rajeunissant.

De ce fait, les écrans, en plus du fait d’avoir des couleurs profondes, ont également des luminosités intenses tout en diminuant le nombre de leds nécessaires à leur fonctionnement, c’est nouveau et avec les dalles doubles leds superposées (pour doubler la luminosité), ils vont changer la donne dans le milieu des écrans.

Même au boulot je ne peux pas tester, il faut être admin du tenant M365 pour ajouter des machines aux utilisateurs

image.png

@Raccoon Pourquoi pas ! C’est pas mal pour une tireuse à bière non?

J’espère aussi qu’ils seront 1 Hz, parce que quand on ne joue pas et que l’image est relativement statique, pas la peine de la rafraîchir 120 fois par seconde. 🙂

L’odeur des pets de stress dans le sous marin quand ils ont compris
En même temps c’était mal parti des le départ, on lui a dit de pas le faire

@Raccoon Mais est-ce qu’il peut les faire exploser/brûler à distance comme certains (humour noir) vu que c’est déjà arrivé à pas mal de ces véhicules, période de beta test ?:lol:

Une coalition d’organismes chargés de l’application de la loi a déclaré avoir fermé un service qui facilitait le déverrouillage de plus de 1,2 million de téléphones portables volés ou perdus afin qu’ils puissent être utilisés par quelqu’un d’autre que leur propriétaire légitime.

Le service faisait partie d’iServer, une plate-forme de phishing en tant que service qui fonctionne depuis 2018. iServer, basé en Argentine, vendait l’accès à une plate-forme offrant une multitude de services liés au phishing par courrier électronique, SMS et appels vocaux. . L’un des services spécialisés proposés a été conçu pour aider les personnes en possession d’un grand nombre d’appareils mobiles volés ou perdus à obtenir les informations d’identification nécessaires pour contourner les protections telles que le mode perdu pour les iPhones, qui empêchent l’utilisation d’un appareil perdu ou volé sans entrer. son mot de passe.

012df7e4-bebd-42b2-b0a7-3279be9f1687-image.png
Modèle de phishing en tant que service d’iServer.

La cantine des voleurs peu qualifiés

Une opération internationale coordonnée par le Centre européen de lutte contre la cybercriminalité d’Europol a déclaré avoir arrêté le ressortissant argentin derrière iServer et identifié plus de 2 000 « débloqueurs » qui s’étaient inscrits sur la plateforme de phishing au fil des ans. Les enquêteurs ont finalement découvert que le réseau criminel avait été utilisé pour débloquer plus de 1,2 million de téléphones portables. Les responsables ont déclaré avoir également identifié 483 000 propriétaires de téléphones qui avaient reçu des messages de phishing visant à obtenir les informations d’identification de leurs appareils perdus ou volés.

Selon Group-IB, la société de sécurité qui a découvert le racket de déverrouillage du téléphone et l’a signalé aux autorités, iServer a fourni une interface Web qui a permis aux déverrouillages peu qualifiés d’hameçonner les propriétaires légitimes de l’appareil pour obtenir les codes d’accès de l’appareil et les informations d’identification des utilisateurs à partir du cloud. plateformes mobiles et autres informations personnelles.

Groupe-IB a écrit :

Au cours de leurs enquêtes sur les activités criminelles d’iServer, les spécialistes du Group-IB ont également découvert la structure et les rôles des syndicats criminels opérant avec la plateforme : le propriétaire/développeur de la plateforme vend l’accès à des « débloqueurs », qui à leur tour fournissent des services de déverrouillage de téléphone à d’autres criminels avec appareils volés verrouillés. Les attaques de phishing sont spécifiquement conçues pour collecter des données permettant d’accéder aux appareils mobiles physiques, permettant aux criminels d’acquérir les informations d’identification des utilisateurs et les mots de passe des appareils locaux pour déverrouiller les appareils ou les dissocier de leurs propriétaires. iServer automatise la création et la diffusion de pages de phishing qui imitent les plates-formes mobiles cloud populaires, avec plusieurs implémentations uniques qui améliorent son efficacité en tant qu’outil de cybercriminalité.

Les déverrouillages obtiennent les informations nécessaires au déverrouillage des téléphones mobiles, telles que l’IMEI, la langue, les détails du propriétaire et les coordonnées, souvent accessibles via le mode perdu ou via des plates-formes mobiles basées sur le cloud. Ils utilisent les domaines de phishing fournis par iServer ou créent les leurs pour mettre en place une attaque de phishing. Après avoir sélectionné un scénario d’attaque, iServer crée une page de phishing et envoie un SMS avec un lien malveillant à la victime.

En cas de succès, les clients iServer recevraient les informations d’identification via l’interface Web. Les clients pouvaient alors déverrouiller un téléphone pour désactiver le mode perdu afin que l’appareil puisse être utilisé par une nouvelle personne.

En fin de compte, les criminels ont reçu les informations d’identification volées et validées via l’interface Web iServer, leur permettant de déverrouiller un téléphone, de désactiver le « mode perdu » et de le détacher du compte du propriétaire.

Pour mieux camoufler la ruse, iServer a souvent déguisé les pages de phishing en appartenant à des services basés sur le cloud.

81f9a1e2-cf9d-4151-a8e8-e57cdba2f70a-image.png
Message de phishing demandant un mot de passe.

af63dd9a-7c46-4174-916c-b862e1cd943b-image.png
Le message de phishing se fait passer pour un service basé sur le cloud avec une carte une fois le code d’accès saisi.

Outre l’arrestation, les autorités ont également saisi le domaine iserver.com.

a5c2a496-9d41-43d9-b785-890a6ce45d68-image.png
Le site iServer tel qu’il apparaissait avant le retrait.

Le retrait et les arrestations ont eu lieu du 10 au 17 septembre en Espagne, en Argentine, au Chili, en Colombie, en Équateur et au Pérou. Les autorités de ces pays ont commencé à enquêter sur le service de phishing en 2022.

Source: https://arstechnica.com/security/2024/09/cops-bust-website-crooks-used-to-unlock-1-2-million-stolen-mobile-phones/

Commentaires:

Je ne comprends pas du tout comment ils trouvent les informations du propriétaire pour envoyer des tentatives de phishing. Cela signifie-t-il que si vous signalez la perte de votre téléphone, vos informations seront alors fournies à la partie qui le trouve ?

Non; les informations se trouvent généralement dans la section d’identification médicale du téléphone, accessible sans se connecter. Si ces informations sont vides, ils peuvent rechercher le numéro de téléphone en ligne ou rechercher l’IMEI lorsque le téléphone essaie de se connecter à une tour de téléphonie cellulaire. De plus, si les notifications de l’écran de verrouillage sont activées, elles peuvent collecter toutes sortes d’informations simplement à partir de ce qui apparaît à l’écran. Si le contenu des notifications de l’écran de verrouillage est activé, ils peuvent même voir les codes SMS uniques dès leur arrivée sur le téléphone.

@Ashura Réparable, mais beaucoup plus cher :kleenex_2:

Merci d’avoir pris un taxi Vision 🙂

@Ashura C’est pareil dans les autres pays, faut pas rêver et même pour certains c’est pire…

En France on à Incogni par exemple avec un forfait en E/mois

Ce sont des articles de partenariat, j’en suis désolé mais Korben explique bien (je trouve) le délire des data-brokers et compagnie donc je trouvais ça intéressant de les partager.

Concernant le cas US, je ne suis pas étonné et vu qu’ils n’ont pas de RGPD ça semble encore plus OpenBar que chez nous avec des sociétés comme décrites dans l’article qui ne sont pas très fiables…

Il y a du business partout.

https://korben.info/data-brokers-incogni.html

https://korben.info/types-de-data-brokers.html

https://korben.info/data-brokers-incogni.html

https://korben.info/risques-lies-aux-data-brokers.html

@duJambon Ok, merci pour la précision.

eff583ed-e814-46f7-802f-9355d9181775-Live Long & Prosper.jpg 

HaLow ? HaLow ?? No mais HaLow, quoi !!

Moi ce que je vois, c’est qu’il y a encore 9 états qui ne voient pas le problème 🤔 :clac: