Lavabit, Snowden et la vie privée

L’affaire Snowden a pris ces derniers jours une nouvelle tournure, lorsque le boss de Lavabit a tout bonnement et simplement décidé de fermer son service de messagerie. Lavabit, c’est quoi ? Un minuscule fournisseur de messagerie e-mail mais qui mettait un point d’honneur à défendre la vie privée. Caleb Delisle, un copain américain, faisait partie des utilisateurs. Il nous explique pourquoi lui, et certainement Snowden, avai(en)t choisi ce service et comment faire aujourd’hui qu’il n’existe plus.

L’affaire Snowden a pris ces derniers jours une nouvelle tournure, lorsque le boss de Lavabit a tout bonnement et simplement décidé de fermer son service de messagerie. Lavabit, c’est quoi ? Un minuscule fournisseur de messagerie e-mail mais qui mettait un point d’honneur à défendre la vie privée. Caleb Delisle, un copain américain, faisait partie des contributeurs utilisateurs. Il nous explique pourquoi lui, et certainement Snowden, avai(en)t choisi ce service et comment faire aujourd’hui qu’il n’existe plus.

Capture du 2013-08-13 12:13:25

Comme certains d’entre vous le savent déjà, mon ancienne adresse e-mail et son fournisseur, Lavabit.com, n’existent plus.

Il ya quatre ans j’étais à la recherche d’un fournisseur de messagerie gratuit quand j’ai découvert lavabit.com.Il n’était pas le seul fournisseur de messagerie, mais j’ai été attiré par son côté geeko-friendly, minimaliste, et le sérieux, voire le dévouement, avec lequel ils s’accordaient à protéger la vie privée.

À une époque où la confidentialité était considérée comme une vieille chose, Lavabit luttait seul contre le marché, pour ce en quoi ils croyaient. Ils luttaient pour pour qu’un moment partagé entre amis, en famille ou avec des proches ne soit pas une donnée qui tombe dans les réseaux du marketing. Alors que nous, les enfants web2.0, qui nous exposions nous-mêmes au quotidien, prenions des paris sur la subsistance de ces « services » croyant que nous aurions fini par devenir modestes.

Ce que Lavabit avant construit était une merveille. Ils ont utilisé la cryptographie pour assurer que VOS e-mails ne puissent pas être lus sans mot de passe de connexion, même pas par l’administrateur du serveur Lavabit lui-même. Au cours des 4 dernières années, j’ai recommandé Lavabit à des amis et à de la famille. Je n’avais que le bouche à oreilles à leur offrir. Lavabit était évidemment un service basé sur la passion : La vie privée n’est tout simplement pas rentable.

Il y a cinq jours, Lavabit a cessé de répondre

Ce n’était pas un problème majeur, c’était déjà arrivé. Mais après douze heures de temps d’arrêt je suis devenu inquiet. J’ai décidé de ne pas bouger et de voir ce qui se passait. Après environ deux jours, une foule sans cesse croissante de compatriotes utilisateurs a commencé à se plaindre sur le web. Le propriétaire a finalement décidé de jeter l’éponge.

La page d’accueil de Lavabit, qui annonçait juste que le site était indisponible cause d’opération de maintenance, disait que l’opérateur, Ladar Levison, avait choisi d’arrêter le site plutôt que « devenir complice de crimes contre le peuple américain » et qu’un bâillon l’empêchait de dire quoi que ce soit d’autre.

Au fil du temps, nous avons appris que Lavabit avait parfois reçu l’ordre de fournir des informations dans des cas de maltraitance d’enfants. Ils avaient facilement respecté la vie privée (dans la mesure où la cryptographie leur permettrait). Tout ce qui s’est passé ces derniers jours devait donc être plus important qu’un mandat de perquisition de routine. Nous avons aussi appris que ce minuscule fournisseur de service e-mail était utilisé aussi par Edward Snowden.

Si les agents exigent de la part d’un bureau de poste que des lettres soient ouvertes, ces lettres doivent rester ouvertes, laissant comme preuve que les courriers ont été lus. Dans un ordinateur, il n’y a pas de preuve. Ainsi, demander à un fournisseur d’accéder aux e-mails d’une personne, exige qu’il trompe leurs propres clients en laissant entendre que tout est normal. Cette demande que Ladar juge abusive vis à vis de la confiance de ses utilisateurs est probablement ce qui l’a poussé à tout fermer.

Quoi qu’il en soit, Lavabit et calebdelisle@lavabit.com n’existent plus.

Cet e-mail est sûr parce que j’ai toujours préféré, pour télécharger mes e-mails sur mon ordinateur portable, utiliser Thunderbird. Même si il est en effet gênant de changer d’adresse, je suis fier d’avoir fait un petit bout de chemin avec un homme qui, pour autant que nous le sachions, s’est battu jusqu’à la fin contre ce à quoi il ne croyait pas. Après quatre ans à utiliser Lavabit, je ne peux pas me résoudre à utiliser Gmail ou Hotmail ou tout autre service de messagerie glamour.

Je suis un fier utilisateur du nouveau service de courrier hyperboria.ca

Il n’est pas aussi beau que gmail et il n’est pas aussi sûr que Lavabit mais il est géré par les gens, moi y compris, qui pensent que le courrier électronique est plus qu’un outil pour recueillir des informations marketing. Hyperboria.ca n’est accessible qu’aux membres du réseau Hyperboria. Je n’ai pas le temps ni la volonté de lancer un « vrai » serveur de messagerie chez moi.

Si tout le monde devait faire une seule chose pour l’amour de la vie privée, utilisez Thunderbird. Vous pouvez l’utiliser avec votre compte de messagerie « normal » et une fois que vous avez essayé, vous ne recommencerez jamais à taper des mots de passe sur un site Web. Avec Thunderbird, vous pouvez non seulement lire votre e-mail sur votre PC au lieu de « dans le cloud », mais vous pouvez également utiliser l’extension Enigmail PGP.

PGP signifie « Pretty Good Privacy » qui vous permet d’envoyer des messages que personne d’autre que le destinataire ne peut lire.

J’utilise PGP pour écrire à ma mère, non pas parce que nous « avons quelque chose à cacher », mais parce qu’une conversation entre une mère et son fils n’est pas une question de sécurité nationale et certainement pas non plus de « marketing ». Nous sommes le peuple, nous valons plus que cela.

Et vous en êtes aussi.

Si vous n’êtes pas porté sur la technique, demandez à un ami ou membre de votre famille, s’ils ne sont pas utilisateurs de Thunderbird et PGP.

Il est grand temps qu’on apprenne !

Merci à Caleb pour temps qu’il a su consacrer à la rédaction de ce texte.

  • Les liens qui vont bien

Un autre service de messagerie, Silent Circle, ferme aussi.
Armes d’interception numériques : usages et tentatives d’opposition.
La page d’accueil de Lavabit
Un peude lecture
Et si on changeait de FAI ?

RATP le Streisand de la reconnaissance faciale

Hier, je vous parlais de reconnaissance faciale à la RATP à l’occasion de la publication d’un appel d’offre tout ce qu’il y a de plus officiel sur un site d’appels à projets dédié à nos belles PME.

Hier, je vous parlais de reconnaissance faciale à la RATP à l’occasion de la publication d’un appel d’offre tout ce qu’il y a de plus officiel sur un site d’appels à projets dédié à nos belles PME.

L’info a pas mal tourné, notamment sur Numérama qui l’a reprise en fin d’après midi et ce matin, surprise, tout a disparu : le fichier du cahier des charges n’est plus dans sa dropbox, le site des PME ne met plus de lien vers l’appel d’offre en question. C’est comme si tout cela n’avait pas existé.

Tout cela n’a effectivement pas existé dans le bureau des communicants de la RATP sauf que tout cela a vraiment existé et existe encore (bisous, la communication qui balance de l’erreur 404 !)

Il suffit en effet d’aller rechercher la page d’appel d’offres dans ton moteur de recherche préféré et d’ouvrir la page en cache. Et hop, elle est de retour ! (bonjour Kévin en charge du dossier !)

Rhaaaa, mais sur ce lien, pas de cahier des charges. Flute alors !

Sauf que.. Sauf que le cahier des charges existe aussi, et pas que dans la dropbox de Kévin ! Tu pourras le consulter sur le serveur du Numendil ou dans l’article de pciNpact.

Sinon, la RATP, t’as des explications à nous donner sur le sujet ? (bisous quand même, hein..)

Capture d’écran 2013-05-22 à 12.49.20

smartphones, attention danger

Attention, le vilain méchant voleur de données va rentrer dans ta maison pour venir tout te prendre ! Mieux, on s’extasie comme si tout ça sortait tout juste d’un chapeau alors que nous avons tous la possibilité d’assister à cette fuite de données au quotidien, le téléphone à la main.

5601654995_a787e9acf5_n

Tout le monde s’alarme de la collecte de données personnelles en lien avec l’usage des smartphones, on en est presque à la mode du moment depuis que la CNIL a sorti un rapport sur le sujet.

Attention, le vilain méchant voleur de données va rentrer dans ta maison pour venir tout te prendre ! Mieux, on s’extasie comme si tout ça sortait tout juste d’un chapeau alors que nous avons tous la possibilité d’assister à cette fuite de données au quotidien, le téléphone à la main.

Oui, nous savions et nous savons. Rien de nouveau sous le soleil, si ce n’est certains chiffres qu’on a sous les yeux qui peuvent faire frissonner la ménagère. Voilà bien longtemps que ton téléphone n’est plus juste un téléphone, lecteur. Il s’agit d’un vrai petit ordinateur de poche qui te donne l’heure, la météo, les news, te permet de discuter en direct par écrit, de twitter, de consulter tes mails, surfer sur internet et même tout chiffrer si tu veux un peu protéger tes données.

« Aujourd’hui, 24 millions de français possèdent un smartphone, près d’1 million d’applications sont disponibles et font partie de leur quotidien.»

Lorsque tu télécharges une application, lecteur, qu’il s’agisse d’un téléphone sous Androïd ou d’un iPhone (désolée, je n’ai pas testé l’Ubuntuphone), avant de valider ta demande de téléchargement/installation, s’affiche une page avec les fonctionnalités de l’application.

Elle peut, par exemple, se connecter à ta microSD pour stocker de la musique, des images, elle peut aussi se connecter à ton accès 3G ou wifi si elle a un quelconque rapport avec Internet.

Et toi, tu cliques sur valider pour l’installer

Sauf que ton appli, il est parfois possible qu’elle accède à ton répertoire, qu’elle se serve de ta géolocalisation, qu’elle accède à tes SMS, qu’elle en envoie, voire qu’elle balance tes données au créateur de l’appli.

Ce n’est pas nouveau, c’est juste écrit, il suffit de lire pour s’en apercevoir et choisir, ou non, de télécharger une application. Skhaen en parlait d’ailleurs, il y a presque un an, dans sa conférence à PSES.

Le problème c’est que, comme d’hab, nous faisons passer notre petit confort perso, nos envies, avant ces questions de sécurité qui sont primordiales. On baisse les bras, préférant feindre de ne pas voir plutôt que de se priver de la dernière appli à la mode.

J’avais essayé, il y a quelques mois, de signaler ce problème à des collègues journalistes avec qui je bossais alors et qui téléchargeaient une application de dessin sur smartphone. Juste lire les conditions d’utilisation avant de signer. Trop tard : « Rhooo, c’est bon, la geek, arrête… »

On veut dessiner alors… mais à quel prix ?

******************************************************

MAJ du 13/04

Le précédent titre ayant été breveté par une compagnie du spectacle ainsi que par une candidate d’émission de télé réalité, j’ai du supprimer le head de ce papier.

Ton dossier médical sur Internet

Le cas n’est pas isolé puisqu’en février dernier, Actusoins révélait les résultats de son enquête sur l’accessibilité en ligne des données médicales. Il suffisait de taper le nom d’un médecin suivi de la mention « hopital foch » pour accéder au serveur de l’hosto de Suresne et se taper la totalité des dossiers de ses patients.

Voilà quelques mois que l’on parle de ces questions de sécurité de données médicales. Le marché est florissant et visiblement, tous les acteurs ne mettent pas le même entrain à chiffrer, puisque une Marseillaise à découvert, tranquillette en surfant sur la toile, son dossier médical en ligne.

Capture

Le cas n’est pas isolé puisqu’en février dernier, Actusoins révélait les résultats de son enquête sur l’accessibilité en ligne des données médicales. Il suffisait de taper le nom d’un médecin suivi de la mention « hopital foch » pour accéder au serveur de l’hosto de Suresne et se taper la totalité des dossiers de ses patients.

La faille a été réparée depuis mais il a quand même été possible d’accéder en quelques clics aux dossiers médicaux pendant plusieurs mois. C’est la non sécurisation en amont des données et le fait qu’il ait fallu que l’article sorte pour que l’administration hospitalière daigne prendre les choses en main qui est ici problématique.

Business de la protection sociale

Mieux ! le site révélait aussi que les listings étaient accessibles et que l’on pouvait ainsi connaitre jusqu’au numéro de chambre des patients et le service dans lequel ils étaient soignés… De quoi déduire, pour certains d’entre eux, que la personne hospitalisée est atteinte d’une grave maladie.

Les conséquences sont désastreuses puisque si fuite de données médicales il y a, les assurances peuvent s’en servir pour refuser de prendre en charge tel ou tel patient, pour augmenter leurs tarifs suivant les problèmes médicaux des personnes… Le business de la protection sociale que cela pourrait entraîner s’ajouterait donc à la violation de vie privée.

L’enquête pointe aussi du doigt la volonté de certaines administrations hospitalières à refuser de faire appel à des sociétés agréées par l’Etat, qui garantissent la protection de ces données médicales. Elles préfèreraient auto-héberger leurs données dans des conditions de sécurité déplorables plutôt que de dépenser le budget nécessaire.

NewsWeek, Twitter, données personnelles, biodéchets, google, SFR, féminisme, USA… Les liens du dimanche #11

Cette semaine, dans ton monde, un colosse de papier a édité son dernier numéro. Newsweek s’éteint, vivotera sur le Ouaibe avec de la dépêche. Newsweek tel que nous le connaissons s’éteint. Un journal qui meurt c’est un peu de démocratie en moins.

Newsweek-Final-Cover
Cette semaine, dans ton monde, un colosse de papier a édité son dernier numéro. Newsweek s’éteint, vivotera sur le Ouaibe avec de la dépêche. Newsweek tel que nous le connaissons s’éteint. Un journal qui meurt c’est un peu de démocratie en moins.

Mis à part ça, les gamins de la twittosphère jouent avec des hashtags et les grands enfants du web qui font du fric sur nos données personnelles pourraient faire l’objet d’une nouvelle taxe.

L’Ademe publie son audit sur les biodéchets, 900.000 tonnes de déchets seraient produits chaque année par le secteur de la restauration.

Chez Google, un homme a fait la grève de la faim pour réclamer deux mois de salaire impayés par le géant américain et l’ancien gouvernement est accusé d’avoir fait un joli cadeau à SFR qui aurait économisé au passage 163 millions d’euros.

LaPeste accuse le NouvelObs d’avoir abusé d’elle et raconte sa situation de pigiste plutôt bien lotie jusqu’à un largage de manière assez pourrie par le média en question.

 ailleurs…

Ailleurs, au loin, au Swaziland que tu vas t’empresser d’aller chercher sur une carte, les femmes n’ont plus le droit de porter la mini-jupe. Avancée sociale ? Alors qu’aux Philippines, on avance dans le bon sens puisque les femmes y ont enfin droit à la contraception… Un pas de plus vers l’indépendance.

Obama remplace Hilary Clinton, qui ne voulait pas garder son poste un second mandat, par John Kerry, ex candidat malheureux à la Maison Blanche.

OPSEC et le langage écrit… ou la faille de sécurité entre la chaise et le clavier

J’ai lu, il y a quelques jours, un billet de TomChop qui m’a bien fait cogiter et reprend de manière très simple, certains des principaux risques en terme de sécurité informatique, entre sécu pure et social Engineering. Il m’a permis de le traduire et de vous le poster ici. Bonne lecture.

 J’ai récemment eu le plaisir de parcourir les diapositives d’une présentation de The Grugq(EN) appelé OPSEC pour les hackers(EN). Comme vous l’aurez deviné, le thème principal est la sécurité opérationnelle(EN). La sécurité opérationnelle, la sécurité des opérations, l’OPSEC… c’est tout sur les mesures qu’on prend pour s’assurer que ses actions (ou inactions) ne laissent pas fuiter certaines informations (utiles) à un adversaire éventuel. Certains l’appellent la paranoïa, d’autres l’appellent… OPSEC.

Continuer la lecture de « OPSEC et le langage écrit… ou la faille de sécurité entre la chaise et le clavier »

RFIDanger

Renaud travaille depuis plusieurs mois à prouver que le système présent dans ces cartes n’est pas du tout sécurisé. Il a d’ailleurs fait plusieurs conférences sur ce thème à PSES (en français) et à HES (en anglais). Je vous invite à voir l’une ou l’autre de ceux deux conférences et à consulter les slides qu’il met à disposition de l’Internet mondial, histoire de nous ouvrir les yeux. Surtout que la période semble propice aux arnaques à la carte bancaire via Internet, d’après Les Echos et la BCE.

J’aime bien quand j’ai des amis brillants et qui font des trouvailles intéressantes. C’est le cas de Renaud, un pote trentenaire qui fait de la recherche sur les puces RFID depuis quelques années. Il est d’ailleurs l’un des seuls, en France, à travailler sur le sujet.

Continuer la lecture de « RFIDanger »

Le fail du site de l’Elysée

En me baladant un peu sur le Ouaibe, j’ai parfois des envies saugrenues… Ce matin, c’était écrire au Président de la République (et ouais !) pour je ne sais quelle raison, il suffit de quelques clics pour en trouver une bonne : l’inviter à PSES.

Continuer la lecture de « Le fail du site de l’Elysée »