Internet – Page 18 – Pixellibre.net

Courier : l’application sécurisée qui aide à contourner la censure.

The Guardian Project vient de mettre en ligne une nouvelle application pour smartphones : Courier.

Courier est un lecteur de flux RSS, mais pas forcément très classique : il embarque un certain nombre d’outils dédiés à la protection de vos données, votre vie privée, la sécurité … et il permet de contourner la censure installée çà et là dans les Internets, afin de permettre à ceux qui subissent cette censure d’accéder à ce qui est bloqué.

Je l’ai testé et, premier point positif, il n’y aura pas de copies d’écran : l’application verrouille cette fonction, tout comme la prise de vidéo d’ailleurs.

Au démarrage de l’application, on vous demande une phrase de passe qui permet de chiffrer vos données, vous tombez ensuite sur une petite présentation de l’application ainsi que sur un « panic buton », un bouton qui permet de supprimer l’ensemble des données de l’application ou mieux encore, désinstaller l’application.

A ce sujet, après avoir testé, je trouve que cette fonction n’est pas encore aboutie car on bascule sur le gestionnaire d’applications android, qui demande si on veut bien désinstaller l’application. C’est un fonctionnement parfaitement normal, mais du coup le bouton panique perd de son intérêt.

Ensuite, point que j’ai trouvé bien fait, l’application est entièrement configurable, on peut choisir de passer par le réseau Tor ou pas, de diffuser des informations via courier ou pas, de communiquer hors de l’application, de diffuser des informations via le réseau Wi-Fi ou bien encore de partager l’application via un réseau Wi-Fi aussi.

Côté réseau, l’application est plutôt bien optimisée, ce qui est fort agréable surtout lorsque le réseau est un peu en carton…

Bien évidemment, l’application permet de rajouter ses propres flux RSS, bien qu’elle en propose quelques-uns par défaut.

Côté passe de phrase, c’est assez poussé : il est possible de configurer un temps d’expiration pour la phrase de passe et de configurer un kill password : une phrase de passe qui efface l’application ainsi que ses données. C’est pratique pour ceux qui risquent leur vie rien qu’en lisant des informations interdites, même si ça semble peut être fou pour quelques personnes.

Enfin, côté langues, Courier est disponible en anglais, chinois, tibétain, ukrainien et russe. Ces choix peuvent sembler étranges mais ils correspondent, selon moi, à des besoins actuels, la Russie et les autres n’étant pas des modèles de liberté d’information…

Dans les fonctionnalités que j’aimerais voir dans une prochaine mise à jour, il y a celle des flux en https. L’application ne fait pas elle-même de recherches sur le https des flux ajoutés en http, en résumé : si vous ajoutez un flux en http, il restera en http et courier n’ira pas chercher le https (si vous utilisez l’application et que ça fonctionne chez vous, prévenez-moi, c’est peut-être un bug chez moi).

Bref, je ne peux que vous inviter à au moins tester l’application, et à l’adopter si vous l’appréciez !

Enfin, l’application étant encore en beta (v 0.1.8 actuellement), n’hésitez pas à remonter des bugs ou des fonctionnalités que vous souhaitez voir dans de prochaines versions, The Guardian Project disposant d’un système de remontée de bugs

CAFAI, le F.A.I dont vous êtes le héros, épisode 2.

J’avais rédigé un petit truc, il y a un temps, sur C.A.F.A.I, un fournisseur d’accès à Internet neutre qui fait partie de la Fédération French Data Network (FFDN).

Les F.A.I neutres sont des associations, composées de membres, qui sont en capacité de proposer un accès à Internet, le « vrai Internet », pas la cam’ que les gros F.A.I vous refourguent.

Ces F.A.I fournissent un accès à Internet neutre. Pour rappel, la neutralité des réseaux est la pierre angulaire des Internets tels que vous les connaissez, pierre donc voici quelques principes (source) :

transmission des données par les opérateurs sans en examiner le contenu ;
transmission des données sans prise en compte de la source ou de la destination des données ;
transmission des données sans privilégier un protocole de communication ;
transmission des données sans en altérer le contenu.

En résumé, un F.A.I neutre… c’est un fournisseur qui respecte sa propre définition : un fournisseur d’accès à Internet, point.

Son rôle c’est juste de vous fournir des tuyaux, à la bonne taille, contre rémunération.

Sauf que, dans les faits, nos opérateurs sont plus des « F.A.S », des fournisseurs d’accès à des services, généralement les leurs, au détriment du reste d’Internet.

Ces fournisseurs d’accès piétinent la neutralité du Net en développant des modèles économiques discriminants, ils favorisent tel site par rapport à un autre, interdisent tel ou tel protocole et tous ont pour ambition d’aller encore plus loin : faire des offres « à tiroir » où il sera possible de monnayer l’accès à n’importe quel site web, protocole ou service.

Tous ? Non. Une bande de gus dans un garage plus si petit que ça défend toujours la neutralité du net, ils sont regroupés en associations et proposent un accès à Internet neutre.

Mais pour se faire, ils ont besoin de membres, de visibilité, de nous.

Et c’est là que la magie d’Internet, de nous donc, entre en jeu.

Pour que C.A.F.A.I puisse exister, comme les autres fournisseurs d’accès Internet associatifs, il leur faut un peu de visibilité, un peu plus que l’actuelle qui consiste à partager l’information entre gens « qui savent ». Il faut donc faire circuler l’information afin qu’elle touche un public plus large, c’est le but de ce billet.

Le second point, c’est qu’un F.A.I associatif à besoin de gens, d’adhérents, pour exister. C’est comme une entreprise qui n’existe que parce qu’elle a des clients, sauf que là, c’est bien mieux, c’est votre F.A.I, un fournisseur où vous pouvez participer, interagir, agir tout court. Alors, si vous avez du temps, de l’énergie et l’envie d’apporter votre contribution à un monde meilleur, n’hésitez pas.

Le dernier point, c’est que les abonnements sont ouverts chez C.A.F.A.I, et c’est là que ça se passe.

Vous pouvez retrouver le site de l’association ici : https://cafai.fr.

Si vous souhaitez les joindre par mail, vous pouvez le faire sur contact (at) cafai.fr.

CAFAI dispose aussi d’une mailing-list, vous pouvez demander à vous inscrire à cette dernière.

CAFAI dispose également d’un salon Jabber : cafai (at) chat.cafai.fr.

N’hésitez pas à les faire connaitre, reprenez ce billet ou partagez-le, ça ne pourra que leur faire du bien.

Pour finir, pour celles et ceux qui n’habitent pas en Champagne-Ardenne, la Fédération FDN est implantée çà et là, un peu partout en France, plus d’informations ici.

Microsoft a le droit de lire vos emails.

La nouvelle vient de Microsoft et porte sur une enquête sur la fuite d’un certain nombre de données internes de Microsoft.

Un employé de la firme, Alex Kibkalo, est entré en contact avec un blogueur en France et lui a transmis des secrets industriels portant sur Windows 8 RT, sur le kit de développement de « Microsoft Activation Server » et sur d’autres éléments en relation avec tout ceci.

L’affaire remonte à 2012 mais le jugement de tout ceci, lui, date du 17 mars 2014 et c’est à cette occasion que Microsoft a reconnu avoir récupéré les données de l’adresse Hotmail (devenue Outlook.com depuis) du blogueur.

Si les motivations de Microsoft portent sur quelque chose d’illégal et donc, justifient une investigation, il n’en reste pas moins que la firme à quand même cherché le contenu de communications privées, à savoir les mails dudit blogueur.

Pas question pour moi de crier au scandale d’une firme qui se permet de lire les communications privées d’un utilisateur de ses services. En effet, Microsoft à le droit de lire vos emails et vous devriez le savoir, puisque c’est inscrit dans les conditions générales d’utilisation (Terms of service) du service :

Microsoft reserves the right to review materials posted to the Communication Services and to remove any materials in its sole discretion.

La conclusion à tirer de tout ceci, pour moi, est plus : si vous ne voulez pas qu’une firme qui vous offre un service puisse lire vos mails, n’allez pas poser vos affaire chez eux. Préférez une société respectueuse de votre vie privée, qui annonce dans ses conditions d’utilisation qu’elle ne peut pas lire vos mails. A défaut, montez votre propre système de messagerie ou, pour terminer, chiffrez vos échanges.

Une backdoor matérielle découverte dans les équipements Samsung

Cette nouvelle, trouvée chez tonton Korben, va déplaire à quelques personnes, les autres s’en moquent puisqu’ils n’ont rien à cacher.

Les développeurs de chez Replicant viennent de mettre la main sur une backdoor matérielle dans les téléphones Samsung. (lien en anglais)

Pour information, Replicant est un groupe de bidouilleurs / développeurs qui a pour but de faire une distribution d’Android totalement libre.

Dans le détail, cette backdoor est détectée dans la puce Baseband des terminaux de la gamme Galaxy, la puce baseband en question gère la partie modem des téléphones. Dans les terminaux mobiles, il y a un ensemble de composants dont deux puces, l’une permet de gérer le téléphone et les fonctions de ce dernier et l’autre permet de gérer la partie data, connexions, modem & Co. du téléphone, c’est la puce baseband dont-il et question ici.

Généralement, cette puce est totalement vérouillée, propriétaire et il est officiellement impossible de savoir ce qu’elle fait exactement à un instant T. Korben explique que cette puce permet déjà de géolocaliser le téléphone et d’activer l’appareil photo à l’insu de l’utilisateur et ce malgré les autorisations du système installé sur le téléphone.

Pour être plus clair, si vous avez interdit à l’ensemble de vos applications d’accéder à votre GPS où à votre appareil photo, la puce s’en moque et peut le faire en contournant les autorisations du système.

Et c’est donc dans cette puce baseband que Replicant vient de dénicher une backdoor.

Cette découverte devrait nous alerter quant à un problème sans réelles solutions actuellement : les backdoors matérielles et le respect de l’intimité des gens.

S’il est facile de désinstaller ou de verrouiller les autorisations d’une application, il est quasi impossible de faire de même avec le matériel.

Quelle est la portée d’une sécurisation féroce de son système s’il n’est pas possible de faire confiance au matériel installé ? Cela revient à construire une maison très solide… sur des fondations bancales.

La seule solution viable consiste à avoir une puce totalement libre, qui assure aux communautés et aux utilisateurs qu’elle ne fera rien d’étrange sans que cela puisse se savoir.

Malheureusement, ce n’est pas pour aujourd’hui, à moins d’un miracle. Nous commençons à peine à prendre conscience des failles logicielles qui exposent nos vies privées et intimités, alors une faille matérielle…personne ou presque ne se sentira exposé et concerné.

Fiction… ou réalité ?

La nouvelle commencée s’arrête ici, sur les rapports remontés par ce réseau AYBABTU, cf. les récents billets « Fiction ? »

La question que je vous pose maintenant, c’est « est-ce une fiction ou alors un billet avec quelques années d’avance ? »

Certaines parties de cette nouvelle sont, je l’espère, de l’ordre de l’impossible en France : ne pas aimer la personne qui dirige le pays n’est ni un délit, ni une atteinte à la sécurité nationale. Cependant, les moyens mis en place pour surveiller notre héros éphémère eux, sont réels ou le deviendront certainement.

Faisons le point sur les outils qui existent déjà et que j’ai décidé d’utiliser dans mon histoire :

Les caméras de surveillance : elles existent. Censées nous protéger, elles sont de plus en plus présentes à chaque coin de rue. Il n’est pas impossible, aux vues des évolutions technologiques, qu’une autorité unique puisse avoir accès à l’ensemble des caméras de surveillance actuelles ainsi qu’aux prochaines. Prochaines caméras qu’on peut imaginer beaucoup plus poussées, connectées à un système de reconnaissance faciale en temps réel, à des bases de données françaises et européennes, capables d’analyser, pourquoi pas, votre façon de marcher qui rappelons-le vous est propre et peut vous identifier dans une foule d’individus.

Les objets connectés : ils existent et nous sommes à l’aube de cette ère de « l’Internet des objets », puisque c’est le nom commercialo-bullshit choisi. Je pense qu’il n’est pas insensé d’imaginer des caméras, des micros, des métadonnées et tout un tas de choses remonté par ces objets connectés.

Le suivi d’un individu : il existe déjà. Vos appels, sms, conversations, vos courriers électroniques et, de façon générale, toute donnée utilisable en fonction de la loi et du motif invoqué pour le suivi.

Les métadonnées : elles existent et il faudrait arrêter de dire que ce n’est pas de la donnée. Les métadonnées sont déjà bien trop bavardes :

Il est interdit de récupérer le contenu de votre navigateur… mais il est possible de savoir que vous avez fait telle recherche, êtes allés sur tel site, pendant tant de temps, puis sur tel autre site en relation avec le premier site. Prenons quelques exemples…

Le renseignement ne sait pas que vous avez un problème d’intimité. Il sait en revanche que vous avez effectué une recherche sur une IST, que vous êtes ensuite allé sur un site qui en parle, puis que vous avez pris un rendez-vous chez votre médecin.
Il ne sait pas que vous êtes enceinte. Il sait, en revanche, que vous avez lu des forums, que vous cherchez des informations dessus et que vous cherchez un comparatif des gynécologues de votre ville….Donc il le sait… D’ailleurs, il le sait même avant votre conjoint ou conjointe.
Il ne sait pas que vous comptez divorcer, mais, parce que vous avez effectué des recherches sur les procédures administratives d’un divorce, que vous voyez un conseiller avec votre partenaire et que, bien que n’ayant pas le droit de lire vos mails, il sait qu’une adresse mail vous contacte énormément depuis quelques mois, il le sait.
Vous souhaitez avorter, vous cherchez donc des informations sur un site. Google Analytics récupère cette requête et ainsi, quelqu’un est en capacité de savoir, via une base, que vous avez fait des recherches sur l’avortement, pris rendez-vous avec un médecin pour conseil, ou avec un hôpital, que vous avez envoyé un mail à une amie pour lui en parler. Le tout sans jamais rentrer dans votre vie privée puisque les métadonnées ne font pas partie de votre vie privée.

Il sait même que vous allez vous mettre avec quelqu’un ou que vous allez divorcer avant vous, en fait. Par l’analyse de vos comportements numériques et par vos attitudes sur Internet ou sur des sites web.

Et tout, ou presque, fonctionne ainsi dès lors que vous passez par Internet, que vous passez par un service de collecte de données, par Google ou un truc similaire avec un autre nom.

De plus en plus de services sont interconnectés, imbriqués les uns avec les autres : votre compte Google qui vous permet de tweeter un contenu sur Youtube et Facebook qui récupère chaque page que vous visitez, chaque service stockant la moindre information sur vous est une source utilisable.

La géolocalisation s’installe dans les pratiques essentielles des grandes oreilles des états et ça ne dérange pas plus que ça. On vous donne le moyen de tracer vos propres téléphones, d’activer le micro à distance, de récupérer des sms, de le situer sur une carte avec une précision de l’ordre du mètre. C’est toujours la même chose, pour instaurer la quelque chose sans que personne ou presque ne bronche, il faut toujours faire croire à l’utilisateur qu’il est gagnant (vidéo surveillance, Google, géolocalisation …)

Si vous êtes capables de faire ça, dites-vous que d’autres peuvent faire beaucoup plus avec vos données.

Et les objets connectés, derrière leur utilisation sans doute très sympathique, sont également redoutables : ils sont chez vous, physiquement présents et révèlent vos attitudes et comportements lorsque vous n’êtes pas devant un écran. Le rachat de Nest par Google est un bon exemple de tout ceci : Google s’invite chez vous, hors de vos écrans, pour récupérer des données la façon dont vous vivez. Il n’est pas, à nouveau, absurde de déclarer que ces objets vont remonter des données qui pourront être exploitées par « On ne sait pas qui ». D’ailleurs, le fait que Google rachète Nest pour 3.2 milliards de dollars n’est pas anodin, c’est un des montants les plus élevés d’un rachat par Google, pour un « simple » fabriquant de thermostats

Le vrai risque que je cherche à souligner dans cette nouvelle c’est « l’interconnexion de tout » sans savoir qui peut accéder à nos informations, sans savoir ce qui en est fait et sans réel moyen de contrôler tout ceci. C’est pratique et appréciable d’avoir des interconnexions de plein d’outils, de plein de bases partout, mais cela devrait nous forcer à se poser un bon nombre de questions.

C’est pratique un réfrigérateur connecté, on peut avoir des recettes et passer des commandes directement depuis l’appareil, il peut vous dire ce qu’il lui reste dans le ventre… mais qu’est-ce qui prouve qu’il n’envoie pas de données on ne sait pas trop où ? Est qu’est-ce qui vous prouve qu’il est sécurisé ?

L’évolution de la surveillance généralisée est, selon moi, liée à l’évolution technologique. Même si la technologie est neutre, chaque avancée est un pas de plus dans l’observation de nos comportements, habitudes, façons de vivre, lire, écrire, naviguer… et cela devrait nous alerter bien plus que l’ersatz de réaction actuelle.

Peut-être avons-nous oubliés beaucoup de choses qui ne devaient pas être oubliées ?

Peut-être, oui. Le fichage des personnes en fonction de leur age, sexe, ethnies, religions, façon de consommer, la stigmatisation de tout ce qui « sort du lot », le fait de ne « rien avoir à cacher » sont pour moi autant de signes inquiétants qui ne font croire que nous avons perdu notre mémoire.

Bref, la prochaine fois que vous cherchez quelque chose sur Internet, pensez-y.

Fiction ? Episode III

Il est préférable d’avoir lu l’épisode II pour comprendre ce billet.

Rapport de réseau - AYBABTU - 29-12-2018

Classification "très secret"

Archivage dans 7 heures

Archives AYBABTU classifiées « archive incommunicable » - L 2008-696

Rapport activité

Sujet : Paul Colog

Age : 19 ans

Raisons : suspicions d'appartenance à un
groupe terroriste orienté contre la présidence.

--------------------------------------------------

Rapport journée du  29 décembre 2018

Conclusions : Comportement suspect détecté.

Raisons : Détection trajet inhabituel par réseau caméras de surveillance. 14 minutes de retard au réveil et utilisation luminaires. Information réseau Linky.

Réseau Nest – compagnie Woogle : Prise d’un café au lieu d’un thé.

Comportement inhabituel : Passage dans la chambre, confirmé par le réseau Linky.

Sujet tente d’éviter les lieux d’écoutes, n’a pas son téléphone avec lui. Capteur thermique défectueux dans détecteur de fumé obligatoire, confirmation présence du suspect dans salon : KO

Activation mesures d’urgences : contrôle micros, poubelles, systèmes Woogle Nest, activation de l’ensemble des capteurs de présence. Présence sujet confirmée dans salon, comportement suspect, sujet ne regarde pas la télévision.

08h02 Demande pistage – procédure standard, sujet ne se comporte pas comme d’habitude, signes suspects détectés, sujet sort du domicile à heure classique + 12.

Demande automatique accordée.

08h15 Caméras de surveillance indiquent « Sujet n’a pas pris trajet habituel – détection de 14 caméras, évaluation : danger potentiel détecté.

08h16 Arrivée lieu de travail – heure classique + 16 minutes – démarrage interception Macrosoft – Air’droid – Woogle

Aucune anomalie détecté. Individu se maitrise.

17h02 Perte signal de l’individu,

Retour des sondes :

Scan biométrique : KO

Scan panneaux publicitaires :  KO

Scan caméras, distributeurs banque, réseaux tiers : KO

Scan caméras lampadaires : KO

Scan fréquences mobiles, géolocalisation : KO

17h08 alerte de réseau caméra : « individu détecté en bordure réseau »

Sujet pénètre en zone non couverte.

Fin de rapport journée.

-- Rapport data AYBABTU --

Activités détectées

07h14 – allumage lumière salle de bains

07h21 – démarrage machine – sélection café noir – activité anormale.

07h30 – aucun signal micro, signalisation AYBABTU sur capteur thermique défectueux

08h01 – fermeture porte

20h02 – ouverture porte

20h02 – allumage luminaires salons

20h08 – démarrage ordinateur

20h11 – démarrage navigation

20h12 – vérification e-mails sur partenaire Woogle, connexion chiffrée, récupérations metadonnées

ouverture mail.

Expéditeur « Franck »
Sujet : « l’autre conne »

ouverture mail.

Expéditeur « vente-exclusives-destockage@utbabya.com »
Sujet : « Profitez d’une offre exceptionnelle sur les détecteurs de fumée dernière génération ! »

ouverture mail

Expéditeur « D. Chaumriet – votre médecin traitant »
Sujet : Votre bilan médical

20h25 – démarrage de connexion chiffrée, attention données partielles :

Ouverture site

rapport Woogle.fr recherche – recherche indisponible — contournement engagé —

ouverture du site + contournement chiffrement

rapport woogle analytics / woogle : recherche trouvée
- Recherche effectuée « Soigner HSV type 1 »

ouverture site

```
combattreherpes.info
```
- temps passé en minutes : 10

ouverture site

```
combattreherpes.info/herpes-genitale
```
- temps passé en minutes : 20

ouverture site

```
votremedecin.com
```
- temps passé en minutes : 1

ouverture site

votremedecin.com/recherche?=lieu+Paris+11ieme+specialise+HSV

temps passé en minutes : 9

21h05 Réception S.M.S

« Monsieur Colog, nous vous confirmons votre rendez-vous avec le docteur Chaumriet le 2018-01-30 17:00 pour soigner : HSV. Votre service médical. »

21h10 Ouverture du réfrigérateur – alerte réseau sur manque de produits

Situation anormale détectée

21h15 Appel pour commande de pizza

21h55 individu s’endort dans le canapé

-- Fin de rapport --