LordPhoenix's Blog

Informatique, Internet , Logiciels libres, photographie et petites histoires.

Étiquette : Sécurité

Quelques extensions Firefox qui aide à protéger votre vie privé

Difficile à l’heure actuel d’être un utilisateur intensif du net sans être exposé à un véritable traçage de vos activité avec tout ce que cela peut dévoiler de vos habitudes, centres d’intérêt, et autres préoccupation qui après tout relève plus de votre vie privé.

Heureusement Firefox propose quelques extensions qui aident bien pour ceux qui voudraient se protéger un tant soit peu. Personnellement j’utilise :

  • Ghostery : qui permet de bloquer tout les scripts qui sous prétexte de statistiques et autres services à ajouter dans un site web ne sont en fait que d’énormes traceur à internaute. (Je suis d’ailleurs assez effaré de voir le nombre de site consacré au libre qui utilisent Google Analytics… Hé les gars faudrait peut-être réfléchir un peu non? ). À noter que cette extension est disponible aussi pour chromium.
  • Flashblock : Elle n’est pas vraiment dédié à protéger votre vie privé mais comme elle empêche les applis flash de démarrer sans que vous l’ayez explicitement demandé les multiples pub en flash disséminé sur le web ne peuvent pas vous tracer grâce aux cookies qu’elles laissent sur votre ordinateurs.
  • Https-everywhere : Malheureusement de nombreux sites web sur lesquelles vous vous connectez et à qui vous envoyez des données privées ne vous proposent pas par défaut de crypter votre connexion en utilisant le protocole https. Même si bien souvent ils le permettent ce n’est quasiment jamais proposé par défaut. Cette extension, édité par l’Electronic Frontier Fondation,  forcera les sites qui le permettent à systématiquement utiliser https afin de chiffrer1  les données que vous envoyez. Cette extension devrait être obligatoire pour toutes les  personne qui utilisent un portable et qui se connectent sur des hot-spots wifi public. Dites vous bien que dans ce contexte, sans https, toutes les données que vous envoyez circulent en clair sur un réseau que n’importe qui peut écouter2 . Le fait que les fournisseurs de services web ne proposent pas l’utilisation du https par défaut est un scandale et cette extension est le moyen le plus simple de s’assurer que chaque fois que c’est possible ce sera le cas.

Certes ce petit tour est loin d’être exhaustif, il y a bien d’autres possibilité mais c’est ce que l’on pourrait appeler un «service minimum»

Et vous vous en avez d’autre à suggérer?


  1. on dit bien chiffrer, crypter est un horrible anglicisme 

  2. une extension Firefox en a fait la démonstration récemment 

Loppsi : Pas si évident de trancher.

Après la loi Hadopi l’un des gros buzz en ce moment sur le web c’est bien entendu la Loppsi (Loi Organique de Programmation et de Performance pour la Sécurité Intérieure). Je voulais en parler plus tôt mais ça c’est révélé plus compliqué que prévu car tout simplement Loppsi n’est pas Hadopi.

Comme le souligne très bien Samuel dans ce billet la genèse de la loi a été beaucoup plus sérieuse. Elle a été faite par des professionnels plus soucieux d’efficacité que de lobbyisme et cela se comprend vite. l’interview du chef des cyber-flics français sur pc-inpact est assez explicite. On sent bien le professionnel sérieux qui cherche à avoir les outils qu’il estime nécessaire pour bien faire son boulot ni plus ni moins même si d’autre point de vues sont tout aussi défendable. Tout cela ne m’empêche pas de me poser pas mal de question à propos de cette loi.

AJOUT : Je vous conseille d’ailleurs cette article de Jean-Michel Planche Ma position sur la Loppsi Qui détaille beaucoup plus que moi les conséquences potentielles du filtrage du réseau coté opérateurs.

Histoire d’alimenter le débat quelques réflexions issu de mon abîme de perplexité.

  1. D’abord comme pour tout débat sur la sécurité en France il est quasiment impossible d’avoir une analyse juridique complète, claire et pédagogique du contenu de cette loi. Normalement ce devrait être le rôle des médias mais à l’heure ou le contenu se raccourcit de plus en plus autant rêver. Et non maître éolas n’a pas encore abordé le sujet.1
  2. En ce que concerne les mouchards le problème me semble beaucoup plus large et ne concerne pas seulement internet. Si on trouve normal, ou à la limite acceptable, que pour certaines raisons et avec toutes les précautions nécessaire on puisse mettre quelqu’un sous surveillance, écouter ses conversations téléphoniques voire placer des dispositifs d’écoutes chez lui je ne vois pas en quoi l’ordinateur devrait y échapper. Si on est pas d’accord avec ces dispositifs de surveillance c’est à l’ensemble de la politique pénale actuelle qu’il faut s’en prendre et là je dois bien reconnaître atteindre mes limites de compétence.

    Si le principe de recourir à ces méthodes ne me semble pas condamnable en soit, les conditions dans lesquelles on les autorise me paraissent elles beaucoup plus critiquable surtout actuellement. Vouloir attaquer la Loppsi sur ce terrain là me semble être donc un faux problème. De manière générale je dirais que c’est un combat qui doit se mener ailleurs notamment dans les urnes2.

  3. Quand à la problématique du filtrage il faut bien reconnaître que c’est du grand n’importe quoi. Mais en même temps je suis porté à croire que cela relève plus de la bêtise et de la paranoïa que du complot. Même si cela soulève beaucoup de question sur la capacité des hommes politiques à prendre en compte les évolutions de notre société. D’ailleurs à ce sujet je vous conseille ce commentaire de Benjamin Bayart sur le billet que j’ai cité plus haut. C’est à mon avis ça le cœur du problème. On a une élite3 qui en est encore à l’heure du minitel qui n’a toujours pas compris qu’internet est et doit être décentralisé ne serait ce que pour des raisons de sécurité et de fiabilité du réseau.

  1. D’ailleurs si quelqu’un me trouve un article vraiment complet il gagne un billet gratuit ici même 

  2. À ce propos n’oubliez pas de voter dimanche 

  3. pas seulement politique 

La sécurité selon Apple

C’est un cas extrême mais cette histoire absolument incroyable est vraiment révélatrice des risques que nous font encourir l’ensemble des sociétés qui fournissent des services sur le web. Si elles ne prennent pas les précautions nécessaire les risques d’usurpation d’identitéssont et seront de plus en plus élevés.
Ces sociétés ont une responsabilité très importante en ce domaine et elles doivent vraiment mettre en place les procédures nécessaires car plus que des problématiques techniques c’est aussi une question de méthode d’entreprise. Et une histoire comme celle ci laisse pour le moins songeur quand aux méthode d’Apple.

Par contre je n’ai pas vraiment trop d’information sur les obligations juridiques en ce domaine et en plus cela dépend bien sur de la localisation géographique de la société concerné car évidemment ces société ne sont soumis qu’a la législation de leur propre pays.

D’ailleurs qu’est ce qu’il en est exactement en France? Si quelqu’un a des infos je suis bien entendu preneur

Internaute : Souriez vous êtes fliqués

Source : revue de presse du magIT
Et ça continue comme en 40. On avait déjà eu droit à une première loi sur la rétention des données en mars 2006 et bien ça ne suffit pas à ces messieurs les politiques. Et en plus cette fois ci il semble que le nombre de sociétés concerné serait beaucoup plus large puisque d’après ce que j’ai compris l’ensemble des prestataires permettant à quelqu’un de publier des contenus serait tenus de stocker pendant un an l’ensemble des données d’identification et de connexion (y compris les mots de passe!!! Bonjours la sécurité)

à Lire :

C’est vraiment du grand n’importe quoi!! Encore une fois l’anti terrorisme est utilisé pour permettre une surveillance systématique et à priori de tout les citoyens sur internet. Surveillance dont l’utilité est franchement plus que douteuse.

En plus visiblement le texte actuel semble peu clair notamment sur la responsabilité des hébergeurs ce qui ne pourra pas être sans conséquences. Et en même temps soulève beaucoup de question notamment du point de vue du financement. J’imagine mal comment les hébergeurs associatifs (comme l’APINC ou tuxfamily par exemple) pourront mettre en place ce genre de dispositifs.

À chaque fois qu’une loi de ce style sort je ne peux m’empêcher de penser à cette phrase de Benjamin Franklin

ceux qui acceptent d’échanger un peu de liberté contre la sécurité ne méritent ni la liberté ni la sécurité

Ajout du 25 février :
Quand au silence assourdissant de la CNIL sur le sujet l’explication peut être trouvé dans cet autre article

Verisign fourniseur OpenID

J’ai déjà eu l’occasion de vous parler dans ce blog de la solution OpenID. C’est un système d’authentification centralisé (SSO pour Single Sign On en anglais). La crédibilité d’une solution de ce genre passe bien sur par le poids des sociétés soit qui l’utilise soit qui deviennent des fournisseurs d’identification. Coté utilisation il n’y a pas encore de poids lourd mais coté fournisseur OpenID il y a maintenant un gros (qui publie déjà sa propre solution SSO propriétaire) en la personne de Verisign.

Plus connu sur le web comme le registrar en charge des TLD (Top Level Domain) .com .net 1 Verisign est un fournisseur de services dans les domaines du réseau et notamment de la sécurité et de l’authentification d’un poids non négligeable voir un tel fournisseur proposer des solutions OpenID est à mon sens une très bonne nouvelle.

Pour en savoir plus :
OpenID avec verisign

Il ne reste plus qu’a un gros service de partage de données ou réseau social de se mettre à l’utiliser et on aura bien avancé.


  1. et peut être même d’autres encore 

Test du plugin OpenID pour WordPress

J’ai découvert depuis quelques temps le projet OpenID dont le but est de fournir un système d’identification centralisé pour le web. Personnellement je suis complétement fan du principe, tout n’est pas encore parfait et il y a encore peude sites qui s’en servent mais je trouve ça vraiment très pratique. Avec la multiplication des services en ligne ce genre de solution vont à mon avis rapidement devenir indispensable et il est important qu’il y ait un projet libre permettant la mise en place d’un standard.

J’ai donc décidé de mettre en place sur ce site un système d’identification utilisant openID pour ceux quiveulent poster des commentaires.
Notez bien que ce n’est absolument pas obligatoire la méthode habituelle fonctionne toujours.

Si vous voulez en savoir plus sur sur OpenId je vous conseille ces lectures sur biologeek.com

Si vous voulez utiliser openid je vous conseille d’utiliser myopenid comme fournisseur. leurs système d’identification via certificat SSL est très intéressante niveau sécurité surtout si vous vous connecter souvent à partir des mêmes ordinateurs (pensez bien sur à utiliser un certificat différentds pour chaque machine). Et pour trouver des sites utilisant OpenID comme moyen d’identification vous pouvez aller voir sur openid directory

Quand les gros sites de partages de données (comme youtube ou flickr par exemple) auront compris l’importance de ce problème d’identification et l’importance du service rendu à leurs visiteurs quand ils offriront ces services il est évident que cela va exploser. Il existe déjà de nombreuse solution propriétaires et il est donc important qu’il y ait une solution reposant sur un standard ouvert à y opposer.

Pour en revenir à ce blog si vous rencontrez le moindre problème avec le fonctionnement du plugin n’hésitez pas à m’en faire part.

Du grand n’importe quoi….

« Heuh dites je peux garder mes habits??? »
Encore une fois on fait rimer sécurité et démagogie…
Finalement je me demande qui a le plus d’impact négatif sur les libertés individuelles la connerie de nos dirigeant ou les terroristes qui comptent dessus?
à lire sur lemonde.fr

Le sommet du ridicule

Lu sur brain not found
Qu’est ce que l’on ne ferait pas pour la sécurité :
No Fly List : empêcher tout le monde de voler… sauf les terroristes
L’administration américaine actuelle est en train de battre tout les records du ridicule. Il va bientôt lui falloir un guiness book à elle toute seule. Ç’est vraiment pitoyable.
J’aimerais bien en rire et mettre ça dans la catégorie humour mais vu l’impact que ce genre de connerie peuvent avoir sur les libertés individuelles je mettrais ça en coup de gueule car une telle incompétence à ce niveau de responsabilité c’est absolument intolérable.

WIFI Le cryptage Wep Mort et enterré

Lu aujourd’hui sur linuxfr  le cryptage wep définitivement enterré
Pour ceux qui ne connaîtrait pas le sujet; le WEP est une technologie de cryptage des connexions Wifi. C’est censé protéger la confidentialité de la connexion entre votre ordinateur et le point d’accès Wifi que vous utilisez (qui est bien souvent le modem loué par votre FAI) ainsi que d’empêcher tout personne non autorisé de se connecter a votre point d’accès. Malheureusement ce cryptage est loin d’être fiable et il suffit maintenant de quelques secondes pour craquer une clef Wep.

Mais le plus grave dans tout cela c’est le volume important de matériel WIFI qui a été vendue et qui est encore vendu (ou loué) n’offrant que le Wep comme solution de protection alors qu’ils existe depuis plusieurs années une nouvelle norme plus efficace1. C’est notamment le cas de nombreuses « box » des fournisseurs d’accès internet hors ces modems sont souvent ceux qu’utilisent les personnes les moins à même techniquement parlant de savoir gérer ces problèmes. Je trouve cette attitude particulièrement irresponsable de la part de société qui s’adressent aux grand public. Il est plus que probable que les fournisseurs ont mis à jour leurs matériel voir même fourni des nouveaux firmware pour les anciens modèle mais dans le grand public combien de personne se préoccupent de ces problèmes et ont fait les mise à jour régulière? Probablement très peu.

Il ne faut pas oublier qu’il ne s’agit pas simplement de faire mumuse à craquer la clef wep du voisin. Il s’agit d’une mise en danger grave des données personnelles contenues sur les ordinateurs (fonctionnant sous windows pour la plupart) de millions de personnes. Je trouve que l’association cryptage wep + faille de sécurité windows est un cocktail explosif particulièrement dangereux.

Tout cela parce que des intérêts commerciaux à court terme l’ont emporté sur la volonté2 de fournir une solution technologique mature, sure et fiable.

En tout cas je ne suis pas près de me mettre au WIFI.


  1. bien que elle aussi limité 

  2. en admettant qu’il y en ait eu une ce dont je doute énormément 

Fièrement propulsé par WordPress & Thème par Anders Norén