Tag Archives: privacy

Sécurité d’Android

Voici un article très intéressant sur le chiffrement des données du système Android. Il s’agit surtout de la sécurité de l’appareil (en cas de réquisition, de perte ou de vol) et non des problèmes liés aux applications qui peuvent laisser fuiter des données déchiffrées (backdoor, etc.).

L’article me rend plus enthousiaste que d’habitude. À condition d’utiliser un PIN correct (et non un PIN de 4 caractères) nos données semblent plutôt bien protégées avec Android 4.4. Android L (5.0) intégrera normalement un système équivalent à Secure Enclave. Il s’agit d’une puce où est stocké un UID (lors de l’assemblage du smartphone) et qui est conçue pour ne pas laisser sortir les clés de chiffrement). Un peu comme avec les Trusted Platform Module.

Un autre article traitant de ce sujet pour iOS 8 (article moins intéressant car il est plus compliqué de discuter d’un système privateur).

Si vous désirez contrôler ce que les applications envoient sur Internet je vous conseil d’utiliser orWall avec orBot.

Des documents à propos de FinFisher

WikiLeaks met à notre disposition la suite d’espionnage de FinFisher ainsi que des données très intéressantes. FinFisher, une société opérant depuis l’Allemagne, a en effet été victime d’un piratage en Août dernier. Les pauvres.

FinFisher développe donc des logiciels utilisés pour espionner notamment des journalistes ou des activistes. La liste des clients fait parti des documents qu’il est maintenant possible de consulter. Ils sont très variés. On peut constater que le chiffre d’affaire estimé de FinFisher est très important.

Dans la base de données nous retrouvons aussi des noms, des clés PGP, des adresses email (comptes GMail, comptes hébergés au Qatar, etc.) et des discussions. Par exemple une personne ayant recours au helpdesk car elle n’arrive plus à envoyer son trojan ou encore une autre personne ne parvenant pas à contrôler l’état de l’ordinateur d’une victime. J’imagine bien le support, “Oui bonjour, j’utilise votre kit FinIntrusion et depuis ce matin je ne parviens plus à me connecter à l’ordinateur de Mme. Merkel. D’où pourrait provenir le problème?”. Ça pourrait être hilarant, mais ça ne l’est pas vraiment. Surtout lorsque l’Allemagne donne des leçons au gouvernement Américain.

Pas de panique

Vous êtes en zone sécurisée. Ce site dispose maintenant d’un certificat à la norme X.509 certifié par l’autorité de certification CAcert.org que votre navigateur ne connaît peut-être pas. Donc ne paniquez pas si vous voyez un message d’alerte. Vérifiez l’empreinte du certificat et acceptez le (si vous voulez).

Je vous incite également à utiliser Tor pour votre surf sur le Web (ce n’est pas la peine si vous ne vous intéressez pas à votre vie privée). J’utilise moi-même Tor pratiquement pour me connecter à tous les serveurs Web. Sauf les serveurs qui fournissent uniquement une connexion HTTP, auxquels je dois m’identifier (avec des données privées). Donc jusqu’à aujourd’hui je ne pouvais pas m’identifier sur ce blog ou ce wiki en utilisant le réseau Tor. Ce problème est résolu. Ainsi j’écris en ce moment même ce billet en passant par quelques noeuds du réseau Tor et je sais que la connexion entre le noeud de sortie et le serveur hébergeant le blog est sécurisée.

Pourquoi je veux utiliser HTTPS?
D’abord pour vous, mes chers lecteurs. Certains tentent peut-être, comme moi, de faire des efforts pour préserver un semblant de vie privée.
Mais surtout car je veux participer à la généralisation d’un Web plus sécurisé (raison pour laquelle je poste régulièrement des billets de propagande pour le réseau Tor), en partie en inondant des agences comme la NSA de données chiffrées.

Vie privée sur le Web

Je viens de mettre à jour la liste de recommandations permettant de ne plus être traqué sur le Web.

Une nouvelle extension Firefox y fait son apparition, Privacy Badger, développée par l’Electronic Frontier Foundation (également auteur de HTTPS Everywhere). Bonne alternative à Ghostery.
Vous trouverez aussi une nouvelle configuration à réaliser via la page about:config de Firefox. Il s’agit de fixer la valeur de la variable network.http.sendRefererHeader à 0.

Le Web et moi (partie 2)

You don't have any mail! Our servers are feeling unloved.

Cela me prends du temps mais je vais y parvenir. Comme vous devez le savoir je tends à limiter au maximum mon usage du Web social (en tout cas, tout ce qui ma fait perdre trop de temps). En ce moment je m’attaque à mon compte Google. J’y vais progressivement car je me suis trop reposé sur Gmail, que j’utilise de moins en moins. Heureusement pour moi, je n’ai jamais cessé d’utiliser parallèlement Kmail et ainsi je dispose de l’intégralité des emails sur le NAS.
J’ai pratiquement supprimé toutes mes photos de Google +, également supprimé mon profil Scholar (ainsi que les références), et pleins d’autres choses. Ce qui m’amuse un peu, c’est que les services Google qui me manqueraient le plus demain seraient Google+ et Google Maps. J’utilise aussi des paramètres beaucoup plus strict.
J’ai donné ma tablette et donc elle n’a plus d’accès à mon compte. Je pense que le smartphone n’en a plus pour longtemps. Je donnerai une chance à Mozilla ou Ubuntu.

Globalement la liste des services que j’utilise se fait de plus en plus courte et ce n’est pas terminé. Le but réel n’est pas de simplement la réduire, mais au moins d’utiliser les services qui me sont utiles et ne me donnent pas l’impression d’être uniquement un produit.