Tag Archives: privacy

Naviguer sur le Web avec un minimum d’anonymat

Quelques conseils techniques (simples et non contraignants) pour une navigation sur le Web plus anonyme:

utilisez le navigateur Firefox avec les extensions:
- BetterPrivacy;
- Ghostery;
- NoScript;
- Adblock Plus;
- FoxyProxy Standard.
vérifiez que la fonction Do Not Track est activée;
utilisez en priorité le moteur de recherche DuckDuckGo. Ajoutez le dans la liste des moteurs de recherche de Firefox et en tant que page par défaut afin de vous habituer plus rapidement (si vous ne savez pas comment faire). L’interface très soignée est proche de celle de Google. (Évidemment je ne suis pas contre Google. Je crois que tout le monde sait ici que les technologies émanentes de cette entreprise me séduisent généralement);
utilisez Tor. Il faut choisir à qui faire confiance. Vous pouvez aussi utiliser Tor sur votre appareil Android;
n’utilisez pas de DNS menteurs. Google (encore) fourni un DNS qui ne ment pas et qui devrait respecter votre vie privée en plus d’être réactif. Le problème est surtout que si vous utilisez les autres services Google, ça commence à faire beaucoup. Ne surtout pas utiliser le DNS de Free.

Sincèrement, en appliquant ces pratiques la qualité de la navigation n’est pas dégradée.
Le plus dérangeant est la vitesse de la navigation qui est tout de même assez ralentie par l’utilisation de Tor. C’est le seul point qui peut être bloquant et c’est pour ça que j’utilise l’extension FoxyProxy qui me permet de naviguer plus rapidement d’un clique lorsque j’en ai envie. J’avoue que de temps en temps je n’utilise pas Tor à cause de ce problème. Pour cette raison, je pense de plus en plus à contribuer au réseau Tor.

29c3: Keynote de Jacob Appelbaum

Jacob Applebaum invité à présenter le keynote du 29C3 (29th Chaos Communication Congress) : Not My Department. Il y est brillant.

hack.lu 2012

Cette année la conférence hack.lu se déroulera du 23 au 25 octobre. J’espère qu’on s’y croisera! Voici la liste des interventions.

Nous deviendrons tous pirate

Aux yeux de l’état. Des pirates nuisibles et à surveiller. La fin d’une ère de la sécurité. Les black hat (méchants) ne sont plus une priorité depuis un bon moment. J’aimerai voir ce monde de surveillance dans 15 ans. Lorsque l’on ne verra plus les caméras et autres systèmes de surveillance. Nous serons alors tous des délinquants, à qui il ne faut faire confiance et trop idiots.

Pour le moment nous sommes anesthésié par des grands groupes pour notre confort. Notamment le confort de ce merveilleux cloud omniprésent et si pratique. Mais c’est la technologie dans son ensemble qui s’incruste dans nos vies. Si les grands groupes font bien leur travail, la majorité des personnes ne sera même pas choquée et ça évitera une éventuelle révolution.

Les comptes de messagerie sont plus précieux que les comptes bancaires

C’est bien pour cette raison que ça me fait toujours sourire de voir que la plupart des personnes stockent le mot de passe de leur messagerie (ou comptes Google Plus, Dropbox, etc.) dans le navigateur, mais pas le mot de passe pour le site de la banque.
Ce qui montre bien qu’il n’est pas si simple d’évaluer la criticité d’un contexte ainsi que l’impact (direct ou indirect) d’une attaque (comme l’usurpation d’identité).

Collusion

Lorsque je regarde cette vidéo je me dis que mes extensions Firefox protègent quand même bien ma vie privée. Le graphe ci-dessus représente deux semaines de navigation.

J’usite en autres, Ghostery, NoScript et Adblock Plus. GNU LibreJS est aussi intéressant.

Réponse d’ESR à Hollywood

Une traduction de ce texte. Ça donne envie de relire “The Success of Open Source“.

Des Bucks dans ton Wallet?

Il semble que Google va s’inspirer de bitcoin et avoir sa propre monnaie: Google Bucks.

De plus en plus flippant. Bientôt on pourra peut-être contracter un crédit immobilier au près de Google et le rembourser en partie grâce à Google AdSense (ou en troquant sa vie privée). Ou Simplement faire les courses avec Android, Google Wallet et Google Bucks.

Une autre hypothèse serait que c’est un plan pour nous sauver de la crise financière…

Rappel: tout don pour ma personne peut être effectué via cette adresse bitcoin: 1GVmhR9fbBeEh7rP1qNq76jWArDdDQ3otZ. Évidemment je suis disposé à donner mon RIB.

hack.lu 2011

On se donne rendez-vous du 19 au 21 septembre 2011 à hack.lu 2011? Évidemment! C’est par ici.

Quand le ciel se couvre

Ces derniers temps avec la monté en puissance du cloud computing pour le grand public nos applications tendent à disparaîtres et nos PC se transforment en petit espace de stockage (quelques gigaoctets sur un SSD) connectés. Les serveurs d’avant deviennent intelligents et ne se content plus de stocker. Ils nous fournissent applications et données. Applications propriétaires. Données trop publiques.

Un récent billet de Joanna Rutkowska me fait penser à une vieille idée. Dans ces conditions je serai partant pour utiliser quelque chose comme un Chromebook. Mon problème principal de la perte du contrôle des données est presque résolu. La solution est le chiffrement. Le chiffrement protège nos données de toute une série d’acteurs dont nous sommes forcé d’accorder notre confiance.

Le problème: est-ce que les fournisseurs de services seraient prêts à héberger toutes nos données chiffrées (donc inintelligible)? En générant nos clés de chiffrement et en chiffrant côté client les données avant de les envoyer sur le cloud toute cette polémique autour de dropbox n’aurait pas eu lieu. En même temps on pouvait s’y attendre, franchement comment un service comme dropbox ou Google pourrait héberger nos données pour ne rien en faire? Absolument rien, mis à part les stocker. Il n’y aurait donc aucune exploitation possible de ces données, quasiment plus d’intelligences dans ce cloud, juste du stockage. Un service si gentil serait de toute manière sous une licence type AGPL. Sinon où est l’intérêt?
Et cette intelligence sur le cloud, qu’elle est son utilité? Généralement établir notre graphe social (comme le dit Éric Schmidt de manière décomplexée), découvrir nos centres d’intérêts. Ce serait un peu plus compliqué avec un carnet d’adresses chiffré.

Je serai vraiment surpris que dans un avenir plus ou moins proche il soit possible de faire cela avec un Chromebook. Nous avons toutes les technologies et l’expérience requise pour implémenter cette idée, ce n’est que de la cryptographie. Il faudrait adapter un peu quelques applications clientes (pensez au potentiel d’aKonadi). Avec différents couples de clés on pourrait choisir avec qu’elle personne ou groupe(s) de personnes on partage une information Il y a des protocoles cryptographiques spécifiques pour ça. La notion d’espace partagé et surtout public de dropbox est une hérésie. Pour de nombreux types de données (agenda, localisation, numéro de téléphone, etc.) l’utilisateur a un besoin presque naturel de partager à des groupes de différents niveaux de confiance. Confiance relative. Confiance absolue pour le partage public.

Il faut donc garder nos bonnes vieilles applications clientes. Mettre plus de données chiffrées dans ce cloud qui est en train de tous nous baiser. Cela n’exclue pas de garder des applications web-based comme Gmail. Avec la solution de Joanna Rutkowska une application comme Gmail pourrait aussi avoir accès à nos données chiffrées.
De plus conserver les applications clientes ne peut que favoriser les standards et l’interopérabilité. J’aime savoir que Kontact, Evolution et Thunderbird puissent exploiter les mêmes données sur mon cloud, ou alors LibreOffice et KOffice. Avec des applications uniquement en ligne comme Gmail ou Google Docs on risque de perdre en interopérabilité (on sera rattaché à un service) et en qualité. Je trouve surtout ça moins élégant d’un point de vue informatique.
Certaines personnes aiment écrire des logiciels amateurs (par plaisir de comprendre comment fonctionne un ordinateur ou pour un besoin particulier) ou aiment savoir si une mise à jour d’un programme utilisé courrament a changée son comportement. La culture du Do It Yourself a besoin de ça.

Par sécurité (cf. les problèmes d’Amazon, du PSN et bien d’autres) il serait bon de synchroniser par exemple un NAS personnel avec notre petit morceau de cloud. Ce support de stockage devrait disposer (tout comme notre smartphone, tablette et PC portable) des clés appropriées pour garder les données non chiffrées (sécurité oblige, mais si souhaitable à ce niveau on peut utiliser TPM ou TXT). Le PC de bureau peut être connecté localement au NAS. Je pense que sur un PC fixe il est idiot d’utiliser un service cloud alors qu’on a un support de stockage qui peut s’occuper de synchroniser les modifications effectuées depuis ce PC. Si je veux regarder Titanic dans mon salon et qu’il est sur mon NAS non chiffré, pourquoi aller le chercher sur Internet? De même pour un simple fichier (et oui, bientôt avec Google Music vous pourrez écouter dans votre salon de la musique en ligne. La même qui se trouve sur votre disque dur). Par contre si le fichier est modifié, le support de stockage peut s’occuper de faire le chiffrement et la synchronisation. Par la suite on pourra continuer à éditer ce fichier avec un smartphone ou appareil type Chromebook sur le cloud. Pourquoi faire confiance inutilement à toute une flopée de services et gâcher des ressources?
On peut citer la couche d’abstraction d’aKonadi qui est très intéressante pour interagir avec le cloud. aKonadi permet de synchroniser son calendrier ainsi que ces contacts (sur gmail ou serveur personnel de façon transparente). Lorsque j’édite mon calendrier en ligne avec ma tablette mon calendrier KOrganizer est mis à jour sur le PC de bureau. Connexions sécurisées et calendrier sur mon disque dur disponible en mode non connecté (malheureusement le calendrier en ligne est visible pour Google). C’est un peu ce fonctionnement qu’il faudrait généraliser à toutes nos données.

La cryptographie est une arme puissante et incontournable qui nous aidera à conserver notre vie privée.

On pourra lire également ceci.

~/blog

Linux, system-level security stuff, Python and Photography.