Tag Archives: security

Vie privée sur le Web

Je viens de mettre à jour la liste de recommandations permettant de ne plus être traqué sur le Web.

Une nouvelle extension Firefox y fait son apparition, Privacy Badger, développée par l’Electronic Frontier Foundation (également auteur de HTTPS Everywhere). Bonne alternative à Ghostery.
Vous trouverez aussi une nouvelle configuration à réaliser via la page about:config de Firefox. Il s’agit de fixer la valeur de la variable network.http.sendRefererHeader à 0.

Messagerie instantanée du projet Tor

Très bientôt vous allez pouvoir tester le système de messagerie instantanée de Tor, Instant Messaging Bundle (TIMB), basée sur Instantbird. Une première version pourrait être publiée le 31 Mars 2014, sans le support d’OTR.

C’est une bonne nouvelle car l’intégration dans Instantbird va faciliter la diffusion (si possible des intégrations dans Pidgin et Kopete seraient aussi les bienvenues). En effet le problème est toujours l’acceptation avec ce genre de technologies (même GnuPG) pas facilement abordables pour l’utilisateur moyen.

Nouvelle attaque sur les utilisateurs de Tor

Une attaque, une injection JavaScript, affecte les utilisateurs de Tor utilisant Windows et Firefox (version 17 et antérieure).

Je pense que la porté de cette attaque est limité car la plupart des utilisateurs de Tor devraient utiliser un Firefox à jour avec l’extension NoScript. Avec du recul je constate que le fait de désactiver JavaScript par défaut permet d’éviter de nombreuses attaques. D’autres extensions, certainement aussi utilisées par les utilisateurs de Tor, vous aideront à garder l’anonymat et naviguer en sécurité. Vous pouvez lire mes recommandations sur ce billet. J’ajouterai juste que depuis quelques semaines je n’utilise plus Ghostery.

En plus des extensions Firefox à utiliser, il est important de vérifier la configuration de votre navigateur. Y compris pour les autres navigateurs, par exemple Rekonq que j’aime bien. La capture suivante présente mes configurations en ce qui concerne la gestion des cookies:

Cookies Firefox

Cela peut paraître un peu restrictif mais une fois que vous aurez listé vos sites de confiance la qualité de la navigation ne sera pas dégradée. Ma configuration est identique pour Rekonq qui passe également par Privoxy/Tor puisque tout mon bureau KDE est connecté à Internet via Tor (y compris Blogilo utilisé pour poster ce billet). J’avais évoqué la démarche à suivre, très simple, sur ce billet. Par la même occasion vous pourrez aussi désactiver Java.

Bitmessage

Bitmessage est un système de messagerie publié en novembre 2012 et dont la popularité vient de faire un petit bon suite à l’affaire PRISM. Le système est décentralisé et fonctionne sans autorité de confiance. Une implémentation expérimentale Python est disponible.

Son fonctionnement est assez intéressant, il est possible de voir des analogies avec Bitcoin. Par exemple vos adresses de messagerie (environ 36 caractères) sont générées à partir de votre clé ou d’une passphrase. Vous pouvez donc générer une nouvelle adresse dès que vous le souhaitez au dépend de la réputation, sauf si vous signez vos messages avec votre clé GPG.

De plus Bitmessage cache les méta-données comme l’adresse de l’expéditeur et du destinataire.

Lorsque vous envoyez un message à une personne tous les noeuds du réseau reçoivent le message mais seul le destinataire sera capable de le lire. Il est possible d’envoyer un message à une ou plusieurs personnes. Il est même possible d’envoyer un message broadcast à toutes les personnes abonnées à votre adresse.

Tout comme avec Bitcoin, tout le monde peut voir qui envoie un message à qui. Ceci n’est pas un problème car vous pouvez changer d’adresse e-mail à chaque nouvel envoie. Et sauf si vous le faites de manière explicite, il n’est pas possible d’établir un lien entre deux adresses.

Le projet est très peu documenté mais l’installation sur les différentes plate-formes est vraiment simple. L’utilisation pour une personne initiée aux techniques de cryptographies et de communications pair-à-pair est assez simple mais peu déstabiliser les novices. Un tutoriel avec des images est disponible ici. Vous constaterez que l’interface est déjà plutôt bien faite.

Une intégration dans la suite Kontact sera vraiment la bienvenue!

Mon adresse Bitmessage de prise de contact est: BM-2D91oZfKyoq7NYy5cFrf2YtCcfirmQvjLe

Discours de Bruce Schneier sur le pouvoir et la sécurité

Un discours qui vaut vraiment le coup d’être écouté.

La sécurité avec le cloud computing: “someone else take care of it“. Et souvent nous n’avons d’autres choix que de donner une confiance totale.

Il évoque également le fait que les ordinateurs ressemblent de plus en plus à des tablettes. Bientôt les applications devront toutes provenir des stores, c’est le cas avec Windows RT. Ce que fait depuis quelques temps la Chine en quelques sortes.