Les membres du G20 encore ciblés par des attaques

Poofpoint vient de démonter dans un article que les dirigeants du dernier G20 étaient visés par une attaque sophistiquée.Cette histoire n’est pas sans me rappeler quelques souvenirs.

Continuer la lecture de « Les membres du G20 encore ciblés par des attaques »

Dans #CVR sur LCP

J’étais invitée la semaine dernière de l’émission Ca Vous Regarde sur la chaîne LCP avec les députés Laure de la Raudière, Florian Bachelier et le journaliste Damien Leloup.

Continuer la lecture de « Dans #CVR sur LCP »

Présumés coupables

Le projet de loi sur le renseignement suscite beaucoup de débats autour de moi, parfois très animés. Il a surtout du traîner pendant un moment dans des tiroirs avant qu’on ne le révèle pile au moment qui va bien afin qu’il soit adopté.

Dans une période « normale », dirons-nous, il aurait été difficile de faire passer une loi liberticide donnant à peu près tous les droits aux services de renseignements : écoutes sauvages, rentrer chez toi sans demander la permission d’un juge, y poser des micros, et faire que tu te retrouves au centre d’une enquête alors que tu n’es qu’un simple témoin ou que, encore mieux, que tu connais quelqu’un, qui connaît quelqu’un qui connaît lui-même quelqu’un qui a mangé un tajine un jour. Cela fait de toi un possible suspect, un présumé coupable… autant te dire que si tu as de vieux disques de Cheb Mami, ils prendront un soin particulier à bien réécouter les bandes et vérifier si tu te rases le matin.

Continuer la lecture de « Présumés coupables »

Ne laissez pas Google chiffrer vos mails

sauf que les techniques de chiffrement sont déjà bien anciennes. PGP, par exemple, date de 1991.

La première question qu’il faudrait donc se poser c’est « pourquoi seulement aujourd’hui ? » Un an après les premières révélations d’Edward Snowden, Google essaie plutôt de coller à/créer une mode « oui, je suis sur Gmail et je chiffre mes courriels ».

A savoir, vous pouvez déjà chiffrer vos mails en étant sur Gmail, comme des grands, avec GPG sans que personne d’autre n’y mette la main dedans…

Google va chiffrer les emails,
Viva Google !
C’est la révoution !
bla, bla, bla… L’info est tombée la semaine dernière et tout le monde s’extasie en pensant que Google permettre de chiffrer ses mails.

sauf que…

Continuer la lecture de « Ne laissez pas Google chiffrer vos mails »

Orbot, retour d’utilisation

De passage en Jordanie (oui, j’ai mis du temps à écrire ce billet) j’ai testé Orbot. Orbot c’est quoi donc ? C’est l’équivalent de Tor, dont on a déjà parlé ici, mais sur smartphone.

Orbot sert à préserver votre anonymat en ligne qu’il s’agisse de surfer sur le Ouaibe ou d’autres utilisations d’Internet. Il fournit l’accès au réseau Tor aux utilisateurs de smartphones Androïd.

Autre avantage pour une utilisation grand public, il permet de choisir de manière assez user friendly, en quelques clics, les applications dont le trafic passera par le réseau Tor : mails, navigation, tchat… ou alors de choisir de faire transiter les flux de la totalité de vos applications.

Capture du 2013-10-24 11:00:38

Un test bien basique pour savoir si votre connexion transite bien par le réseau Tor, celui de d’aller consulter les sites qui vous indiquent quelle est votre IP, du genre mon-ip.com, qui vous localisera quelquepart dans le monde mais sans doute pas là où vous vous trouvez.

Pour l’anonymat et vous permettre de vous connecter sans avoir à subir les restrictions du pays dans lequel vous vous trouvez physiquement, c’est une bonne chose, donc.

Cet outil a tout de même un problème, celui de tirer pas mal sur la batterie, donc plutôt limité en termes de mobilité. Impossible, par exemple, de le laisser tourner plusieurs heures d’affilée, sur une connexion « grand public » par exemple, via wifi dans le salon d’un hôtel, à moins d’avoir son chargeur et une prise à portée de main.

Moins grand public, en connexion 3G, ne surtout pas laisser tourner Orbot plusieurs heures sur votre machine ou au moment où vous aurez vraiment besoin de téléphoner, il ne vous restera plus de jus.

Eteindre Orbot ?

Oui mais…

Oui mais si vous rechargez vos mails coûte que coûte, en continu, votre application s’y connectera sans ce programme, et donc à quoi cela peut-il servir de le faire tourner épisodiquement ? Dans ce cas précis, il faut abandonner l’idée du chargement des mails en continu et s’astreindre, à chaque fois qu’on en a envie, à retaper son mot de passe.

A titre personnel, je suis plutôt opposée au chargement des emails sur mobile, et je m’en passe, mais dans certains pays, le smartphone est parfois le seul ordinateur qu’une personne possède, elle ne peut donc pas faire autrement.

Très bon retour, donc, sur Orbot, même si son utilisation doit s’accompagner d’autres mesures de sécurité dans le cadre d’un reportage, qu’il s’agisse de sécurité informatique ou de comportements personnels. Le seul souci majeur noté étant celui de la consommation d’énergie.

  • Les liens qui vont bien

télécharger Orbot sur tes dépots préférés
Les téléphones mobiles et la sécurité
Utilisez votre smartphone en sécurité

Et Dieu créa l’INTERNET, Christian Huitema

Christian Huitema est ingénieur. En 1986, il rejoint l’Institut national de recherche en informatique et en automatique (INRIA) de Sophia Antipolis et travaille sur ce qui allait devenir Internet.

Christian Huitema est ingénieur. En 1986, il rejoint l’Institut national de recherche en informatique et en automatique (INRIA) de Sophia Antipolis et travaille sur ce qui allait devenir Internet.

La plupart des jeunes de 16 ans aujourd’hui, croient que l’Internet a toujours existé. Et bien non !

Alors que nous gambadions de manière pas encore très assurée jusqu’au pot et que faire nos lacets relevait encore du tour de magie, Christian Huitema, lui, participait à la création d’internet (non, pas du Ouiabe!).

Il nous décrit les premières années de la recherche télécoms et réseaux, sur ce projet et surtout les différences énormes entre les projets américains et européens.

Il nous décrit l’Europe comme un capharnaüm administratif où il fallait toujours attendre l’aval du politique ou d’un administration pour pouvoir débuter des recherches, parfois dans un sens que n’approuvaient pas les chercheurs qui auraient, au départ, voulu suivre la même ligne que leurs confrères américains.

En Europe, on préfère mettre les moyens sur un réseau centralisé, donc contrôlable, alors qu’aux USA, on préfère la décentralisation, relier les ordinateurs les uns aux autres… De ces recherches naîtront le Minitel chez nous et Arpanet, qui deviendra Internet chez eux.

« En éliminant tout point central, ils ont créé un réseau très robuste »

Au delà des deux pensées complètement opposées, on voit aussi comment ce qui allait devenir Internet était une vraie révolution à l’époque.

Plus besoin d’attendre à côté du fax pour recevoir un papier personnel, il suffisait d’ouvrir une boite mail. Plus besoin de se creuser la tête des heures, un chercheur, possiblement sur un autre continent avait forcément la réponses, alors on écrivait à un groupe… sauf que la réponse mettait parfois 24 heures à arriver, voire plus si on compte le décalage horaire, car le débit ne ressemblait pas du tout à ce que l’on a aujourd’hui.

Alors ils cherchaient, ils tatonaient.

Ce sont eux qui ont mis en place ces « routes », passant d’un ordinateur à un autre, de sauts de puce(s) en sauts de puce(s) pour atteindre un serveur, et le chemin inverse.

Puis Huitema a eu la chance, et il en parle avec humour, de faire « le français » dans un groupe de chercheurs a l’échelle internationale. Il a donc pu participer directement aux travaux initiés par les Américains mais avec des valeurs qui prennent sens encore aujourd’hui :

« L’intérêt de protéger la vie privée doit l’emporter sur les considérations du maintien de l’ordre et de la défense »

Enfin, il rappelle en conclusion qu’Internet n’est pas un média à sens unique et permet à tout un chacun d’écrire, de commenter :

« la possibilité pour chacun d’être à la fois un consommateur et une source d’info. »

[youtube]http://youtu.be/A5Ix72dJvqo[/youtube]

 

Tails, ou la sécurité dans une clé USB

Ca fait un petit bout de temps que je n’avais pas créé de clé Tails. A vrai dire, je n’en n’avait pas eu l’utilité pendant la transition Windows-Ubuntu il y a un peu plus d’un an, et pas non plus l’occasion depuis que je fonctionne sur du libre.

Ca fait un petit bout de temps que je n’avais pas créé de clé Tails. A vrai dire, je n’en n’avait pas eu l’utilité pendant la transition Windows-Ubuntu il y a un peu plus d’un an, et pas non plus l’occasion depuis que je fonctionne sur du libre.

J’ai donc relevé mes manches mercredi matin et décidé de créer une clé Tails via mon terminal préféré.

Tails, c’est quoi ?

Il s’agit d’un système d’exploitation qui s’installe sur CD ou clé USB. C’est un outil donc très utiles pour les journalistes en zone « chelou » puisque, une fois le papier/son rédigé/monté et envoyé, il n’y a plus qu’à éteindre l’ordinateur, retirer la clé (ou le CD) et il ne restera plus aucune trace de la production sur l’ordinateur.

Vous pouvez donc aussi la perdre, la donner, la jeter à la poubelle en cas de problème, on ne pourra pas accéder à votre travail par ce biais puique, à la première utilisation, vous lui attribuez une phrase de passe.

Une clé bootable

Branchez votre clé USB, et démarrez votre ordinateur. Oui, dans cet ordre… L’ordinateur démarrera sur l’OS présent sur votre clé, Tails. Vous y êtes, avec un bureau Debian, du libre, donc. Et non, cela n’altère en rien votre ordinateur ou le/les OS qui tourne(nt) dessus, vous le(s) retrouverez une fois votre ordinateur éteint et redémarré sans la clé.

Comme à la maison

Tails est équipé d’audacity, pour ceux qui voudraient monter du son, de logiciels de bureautique (rédaction, tableur, etc.) et permet donc d’effectuer toutes les taches habituelles, un message s’affichant parfois pour vous dire que tel ou tel processus est en cours. La seule différence réside donc dans le fait que ce système est un poil moins rapide mais il faut se rappeler qu’il est utilisé depuis un périphérique extérieur. CQFD.

Capture du 2013-08-21 17:48:37

Anonymat et sécurité

La clé est équipée du pack vous permettant de surfer anonymement, via Tor, déjà installé et en cours de fonctionnement dès que vous bootez sur la clé. Votre trafic passe par ce réseau… sauf si vous choisissez d’utiliser un autre navigateur fourni où il est précisé, au démarrage, que votre trafic ne passera pas par le réseau Tor.

Vous trouvez aussi de quoi chiffrer vos documents et même, une couverture rigolote qui, en option, peut donner des allures de Windows à votre bureau.

La seul limite reste le fait que cette clé bootable n’est pas utilisable dans un cybercafé puisqu’elle nécessite le redémarrage de la machine, impossible de passer inaperçu avec les compteurs de temps des cybers.

L’installation

Nous y voilà. Chez Windows, de l’userfriendly comme d’habitude, mais surtout une démarche que l’on exécute sans trop la comprendre : on sélectionne l’iso, on sélectionne le périphérique de destination pour l’installation et on laisse la machine mouliner en vaquant à d’autres joyeusetés.

Chez Ubuntu, c’était donc ma première création de clé Tails via cet OS, on se remonte les manches et on dégaine la ligne de commande. Il faut d’abord installer Syslinux dans lequel se trouve l’outil isohybrid qui nous intéresse

sudo apt-get install syslinux

Premier probleme, souvent le même sur les tutos, c’est que le « sudo » pour les utilisateur Ubuntu, n’est pas précisé. Le novice qui a décidé d’utiliser Ubuntu, se trouve donc face à un mur dès le début avec une commande « apt-get… » sans savoir faire un « su » pour passer en mode root ou tout simplement un « sudo » avant la commande.

Il fut ensuite brancher votre clé USB, vierge cela va sans dire, et la retrouver parmi vos fichiers sur terminal. En général /dev/sdquelquechose

Et c’est parti pour l’install !

isohybrid [tails.iso] –entry 4 –type 0x1c

dd if=[tails.iso] of=[device] bs=16M

sauf que…

sauf que [tails.iso] est à remplacer par le chemin jusqu’à l’iso parmi vos fichiers et que [device] est à remplacer par votre clé « dev/truc »

Autrement dit, si vous ne maîtrisez pas la ligne de commande, c’est coton.

Cette commande qui me nous paraît simple, et vite réglée si l’on triche à coup d’autocomplétion, est tout bonnement irréalisable par un novice.

On se heurte donc au problème habituel du libre, pas encore assez user friendly et accessible, même si, contrairement à Windows, on contrôle (et on comprend) exactement toute les actions de A à Z et ça, c’est pour moi la base… même si le novice aura d’autres attentes et se retrouvera bloqué.

Conclusion

Je continuerai donc à prêcher pour le libre, même si, je conseillerai à certaines personnes, de faire leur clé Tails via Windows, sous peine de les voir abandonner.

  • Les liens qui vont bien

A toi de jouer
Protéger ses sources
Il était une fois un clicodrome

Lavabit, Snowden et la vie privée

L’affaire Snowden a pris ces derniers jours une nouvelle tournure, lorsque le boss de Lavabit a tout bonnement et simplement décidé de fermer son service de messagerie. Lavabit, c’est quoi ? Un minuscule fournisseur de messagerie e-mail mais qui mettait un point d’honneur à défendre la vie privée. Caleb Delisle, un copain américain, faisait partie des utilisateurs. Il nous explique pourquoi lui, et certainement Snowden, avai(en)t choisi ce service et comment faire aujourd’hui qu’il n’existe plus.

L’affaire Snowden a pris ces derniers jours une nouvelle tournure, lorsque le boss de Lavabit a tout bonnement et simplement décidé de fermer son service de messagerie. Lavabit, c’est quoi ? Un minuscule fournisseur de messagerie e-mail mais qui mettait un point d’honneur à défendre la vie privée. Caleb Delisle, un copain américain, faisait partie des contributeurs utilisateurs. Il nous explique pourquoi lui, et certainement Snowden, avai(en)t choisi ce service et comment faire aujourd’hui qu’il n’existe plus.

Capture du 2013-08-13 12:13:25

Comme certains d’entre vous le savent déjà, mon ancienne adresse e-mail et son fournisseur, Lavabit.com, n’existent plus.

Il ya quatre ans j’étais à la recherche d’un fournisseur de messagerie gratuit quand j’ai découvert lavabit.com.Il n’était pas le seul fournisseur de messagerie, mais j’ai été attiré par son côté geeko-friendly, minimaliste, et le sérieux, voire le dévouement, avec lequel ils s’accordaient à protéger la vie privée.

À une époque où la confidentialité était considérée comme une vieille chose, Lavabit luttait seul contre le marché, pour ce en quoi ils croyaient. Ils luttaient pour pour qu’un moment partagé entre amis, en famille ou avec des proches ne soit pas une donnée qui tombe dans les réseaux du marketing. Alors que nous, les enfants web2.0, qui nous exposions nous-mêmes au quotidien, prenions des paris sur la subsistance de ces « services » croyant que nous aurions fini par devenir modestes.

Ce que Lavabit avant construit était une merveille. Ils ont utilisé la cryptographie pour assurer que VOS e-mails ne puissent pas être lus sans mot de passe de connexion, même pas par l’administrateur du serveur Lavabit lui-même. Au cours des 4 dernières années, j’ai recommandé Lavabit à des amis et à de la famille. Je n’avais que le bouche à oreilles à leur offrir. Lavabit était évidemment un service basé sur la passion : La vie privée n’est tout simplement pas rentable.

Il y a cinq jours, Lavabit a cessé de répondre

Ce n’était pas un problème majeur, c’était déjà arrivé. Mais après douze heures de temps d’arrêt je suis devenu inquiet. J’ai décidé de ne pas bouger et de voir ce qui se passait. Après environ deux jours, une foule sans cesse croissante de compatriotes utilisateurs a commencé à se plaindre sur le web. Le propriétaire a finalement décidé de jeter l’éponge.

La page d’accueil de Lavabit, qui annonçait juste que le site était indisponible cause d’opération de maintenance, disait que l’opérateur, Ladar Levison, avait choisi d’arrêter le site plutôt que « devenir complice de crimes contre le peuple américain » et qu’un bâillon l’empêchait de dire quoi que ce soit d’autre.

Au fil du temps, nous avons appris que Lavabit avait parfois reçu l’ordre de fournir des informations dans des cas de maltraitance d’enfants. Ils avaient facilement respecté la vie privée (dans la mesure où la cryptographie leur permettrait). Tout ce qui s’est passé ces derniers jours devait donc être plus important qu’un mandat de perquisition de routine. Nous avons aussi appris que ce minuscule fournisseur de service e-mail était utilisé aussi par Edward Snowden.

Si les agents exigent de la part d’un bureau de poste que des lettres soient ouvertes, ces lettres doivent rester ouvertes, laissant comme preuve que les courriers ont été lus. Dans un ordinateur, il n’y a pas de preuve. Ainsi, demander à un fournisseur d’accéder aux e-mails d’une personne, exige qu’il trompe leurs propres clients en laissant entendre que tout est normal. Cette demande que Ladar juge abusive vis à vis de la confiance de ses utilisateurs est probablement ce qui l’a poussé à tout fermer.

Quoi qu’il en soit, Lavabit et calebdelisle@lavabit.com n’existent plus.

Cet e-mail est sûr parce que j’ai toujours préféré, pour télécharger mes e-mails sur mon ordinateur portable, utiliser Thunderbird. Même si il est en effet gênant de changer d’adresse, je suis fier d’avoir fait un petit bout de chemin avec un homme qui, pour autant que nous le sachions, s’est battu jusqu’à la fin contre ce à quoi il ne croyait pas. Après quatre ans à utiliser Lavabit, je ne peux pas me résoudre à utiliser Gmail ou Hotmail ou tout autre service de messagerie glamour.

Je suis un fier utilisateur du nouveau service de courrier hyperboria.ca

Il n’est pas aussi beau que gmail et il n’est pas aussi sûr que Lavabit mais il est géré par les gens, moi y compris, qui pensent que le courrier électronique est plus qu’un outil pour recueillir des informations marketing. Hyperboria.ca n’est accessible qu’aux membres du réseau Hyperboria. Je n’ai pas le temps ni la volonté de lancer un « vrai » serveur de messagerie chez moi.

Si tout le monde devait faire une seule chose pour l’amour de la vie privée, utilisez Thunderbird. Vous pouvez l’utiliser avec votre compte de messagerie « normal » et une fois que vous avez essayé, vous ne recommencerez jamais à taper des mots de passe sur un site Web. Avec Thunderbird, vous pouvez non seulement lire votre e-mail sur votre PC au lieu de « dans le cloud », mais vous pouvez également utiliser l’extension Enigmail PGP.

PGP signifie « Pretty Good Privacy » qui vous permet d’envoyer des messages que personne d’autre que le destinataire ne peut lire.

J’utilise PGP pour écrire à ma mère, non pas parce que nous « avons quelque chose à cacher », mais parce qu’une conversation entre une mère et son fils n’est pas une question de sécurité nationale et certainement pas non plus de « marketing ». Nous sommes le peuple, nous valons plus que cela.

Et vous en êtes aussi.

Si vous n’êtes pas porté sur la technique, demandez à un ami ou membre de votre famille, s’ils ne sont pas utilisateurs de Thunderbird et PGP.

Il est grand temps qu’on apprenne !

Merci à Caleb pour temps qu’il a su consacrer à la rédaction de ce texte.

  • Les liens qui vont bien

Un autre service de messagerie, Silent Circle, ferme aussi.
Armes d’interception numériques : usages et tentatives d’opposition.
La page d’accueil de Lavabit
Un peude lecture
Et si on changeait de FAI ?

smartphones, attention danger

Attention, le vilain méchant voleur de données va rentrer dans ta maison pour venir tout te prendre ! Mieux, on s’extasie comme si tout ça sortait tout juste d’un chapeau alors que nous avons tous la possibilité d’assister à cette fuite de données au quotidien, le téléphone à la main.

5601654995_a787e9acf5_n

Tout le monde s’alarme de la collecte de données personnelles en lien avec l’usage des smartphones, on en est presque à la mode du moment depuis que la CNIL a sorti un rapport sur le sujet.

Attention, le vilain méchant voleur de données va rentrer dans ta maison pour venir tout te prendre ! Mieux, on s’extasie comme si tout ça sortait tout juste d’un chapeau alors que nous avons tous la possibilité d’assister à cette fuite de données au quotidien, le téléphone à la main.

Oui, nous savions et nous savons. Rien de nouveau sous le soleil, si ce n’est certains chiffres qu’on a sous les yeux qui peuvent faire frissonner la ménagère. Voilà bien longtemps que ton téléphone n’est plus juste un téléphone, lecteur. Il s’agit d’un vrai petit ordinateur de poche qui te donne l’heure, la météo, les news, te permet de discuter en direct par écrit, de twitter, de consulter tes mails, surfer sur internet et même tout chiffrer si tu veux un peu protéger tes données.

« Aujourd’hui, 24 millions de français possèdent un smartphone, près d’1 million d’applications sont disponibles et font partie de leur quotidien.»

Lorsque tu télécharges une application, lecteur, qu’il s’agisse d’un téléphone sous Androïd ou d’un iPhone (désolée, je n’ai pas testé l’Ubuntuphone), avant de valider ta demande de téléchargement/installation, s’affiche une page avec les fonctionnalités de l’application.

Elle peut, par exemple, se connecter à ta microSD pour stocker de la musique, des images, elle peut aussi se connecter à ton accès 3G ou wifi si elle a un quelconque rapport avec Internet.

Et toi, tu cliques sur valider pour l’installer

Sauf que ton appli, il est parfois possible qu’elle accède à ton répertoire, qu’elle se serve de ta géolocalisation, qu’elle accède à tes SMS, qu’elle en envoie, voire qu’elle balance tes données au créateur de l’appli.

Ce n’est pas nouveau, c’est juste écrit, il suffit de lire pour s’en apercevoir et choisir, ou non, de télécharger une application. Skhaen en parlait d’ailleurs, il y a presque un an, dans sa conférence à PSES.

Le problème c’est que, comme d’hab, nous faisons passer notre petit confort perso, nos envies, avant ces questions de sécurité qui sont primordiales. On baisse les bras, préférant feindre de ne pas voir plutôt que de se priver de la dernière appli à la mode.

J’avais essayé, il y a quelques mois, de signaler ce problème à des collègues journalistes avec qui je bossais alors et qui téléchargeaient une application de dessin sur smartphone. Juste lire les conditions d’utilisation avant de signer. Trop tard : « Rhooo, c’est bon, la geek, arrête… »

On veut dessiner alors… mais à quel prix ?

******************************************************

MAJ du 13/04

Le précédent titre ayant été breveté par une compagnie du spectacle ainsi que par une candidate d’émission de télé réalité, j’ai du supprimer le head de ce papier.

Google est ton ami (ou pas)

Je lis mes mails sur ma machine via un client ThunderBird. Parfois avec Tor, parfois avec un VPN, parfois avec les deux en même temps, qui tournent en fond et donc modifient mon adresse IP.
Et ça, monsieur, il n’aime pas.

J’ai un petit souci de mail ces derniers temps, aujourd’hui plus qu’hier. Je me demande si monsieur google a remanié sa politique de sécurité mais lui et moi, on n’est pas amis !

La raison ? Je lis mes mails sur ma machine via un client ThunderBird. Parfois avec Tor, parfois avec un VPN, parfois avec les deux en même temps, qui tournent en fond et donc modifient mon adresse IP.

Et ça, monsieur, il n’aime pas.

Continuer la lecture de « Google est ton ami (ou pas) »