Clochix

Aller au contenu | Aller au menu | Aller à la recherche

mercredi 8 octobre 2008

11 octobre contre la peur

Freedom not fear : non, ce n'est pas le nom d'une prochaine opération militaire des USA, mais d'une journée internationale de mobilisation pour la défense des libertés numériques. Le 11 octobre, samedi prochain, dans le monde entier des initiatives vont avoir lieu pour défendre le droit à la vie privée et à la liberté d'expression en ligne. Vu le nombre de menaces qui planent sur nos vies digitales et numériques, c'est plus que d'actualité. L'initiative en revient à des groupes de hackers et des associations de défense des liberté d'un peu partout.

L'appel du collectif français est assez clair, inutile que je le paraphrase:

Le 11 octobre 2008 de nombreuses organisations dans le monde participent à une journée d’action contre les atteintes à la vie privée, et à la liberté d’expression et d’information.
En France, ces atteintes sont particulièrement graves: fichage général de la population, des préférences sexuelles, des origines raciales, des opinions politiques ou religieuses (Ardoise, Edvige, Cristina). Fichage des élèves (Base élèves, Sconet). Instrumentalisation des enfants afin de faire accepter le contrôle biométrique (bornes biométriques dans les écoles). Prélèvements génétique et fichage adn des militants, voire des journalistes. Puçage et traçage RFID (internet des objets). Géolocalisation.Extension de la vidéo surveillance, utilisation de Drones en banlieue. Mise sur écoute préventive des activités des internautes et de leurs communications. Riposte graduée (projet de loi hadopi de désabonnement des internautes). Filtrage de l’internet. Prohibition logicielle et verrouillage des contenus (loi DADVSI, amendement VU,DRM). Privatisation de la justice du net en matière de liberté d’expression (LCEN-Responsabilité des hébergeurs). Prohibition de la mise en ligne de vidéos démontrant des violences policières (Loi prévention délinquance). Projet de Labellisation des ‘bons’ sites d’information par le ministère de la culture et de la communication (Rapport Tessier). Cyber-ordre moral (Commission nationale de déontologie). Nouvelles menaces législatives sur le délai de prescription des délits de presse en ligne.
L’ensemble de ces atteintes, menant tout droit à un véritable totalitarisme informationnel, nous concerne tous

A Paris, une manifestive est appelée à 14h au départ de la Place de la République, vers la Porte de la Villette. Elle sera suivie de deux fiestas, l'une dans le 13°, l'autre dans le 19°, avec des débats, des ateliers, des projections, des concerts, des rencontres...

Toutes les infos sur Human Rights. Vous pouvez aussi lire le communiqué des Big Brother Awards France,

Signer des pétitions en ligne, écrire des billets, débattre dans les forums, c'est nécessaire, mais parfois il faut aussi montrer que l'on tient suffisamment à ces libertés pour se mobiliser IRL. Moi, j'y serai, on s'y croisera ?

lundi 15 septembre 2008

Pas besoin d'être paranoïaque pour se méfier de Google Chrome

Le cas est fréquent: vous développez un site web pour un client, et pour lui permettre de le tester, vous déposez le site sur un serveur connecté à la vaste toile. Le client n'arrivant pas à se dépatouiller avec l'authentification HTTP, vous la désactivez, en vous contentant de protéger le site avec une adresse difficilement devinable. Et quelques jours avant la mise en production, vous vous apercevez qu'il y a déjà des visiteurs sur le site. Une rapide analyse des logs vous apprend que c'est Google qui les a menés là, et qu'il indexe déjà tout le nouveau site. C'est gênant à plus d'un titre:

Lire la suite...

samedi 13 septembre 2008

Alertez les bébés

Connaissez-vous TrixieTracker ? C'est un logiciel et un site web édités par une compagnie étasuniennes qui proposent aux parents de saisir de nombreuses informations sur leurs bébés, afin de les comparer aux données des autres membres et à des "normes" pour détecter tout problème de développement de leur enfant. Les données collectées sont de tous ordres: sommeil, couches, alimentation, de la durée de chaque allaitement au volume des biberons et à la composition des repas), problèmes de santé et médicaments... Bref, le site propose de mettre en fiche toute la vie de bébé dès ses premières heures.

Lire la suite...

vendredi 5 septembre 2008

Quelques choses que votre navigateur révèle de vous

Je viens de tomber (via Nexen) sur un article expliquant comment, quelles que soient les précautions que vous prenez, n'importe quel site peut essayer de cerner votre personnalité. La méthode est si simple que je me sens très con de n'y avoir jamais pensé.

Vous savez que par défaut votre navigateur affiche les liens que vous avez déjà consultés avec une autre couleur que celle des liens sur lesquels vous n'avez pas cliqué. Ca peut être pratique pour l'utilisateur, mais cela permet aussi à un site d'avoir une idée des adresses que vous visitez: il lui suffit d'afficher une série d'url et de regarder leur couleur. Il pourra ainsi savoir si vous êtes déjà allé sur un site. Si vous effacez votre historique de navigation à la fin de chaque session, ça ne révélera sans doute pas grand chose, mais la barre géniale de Firefox 3 est si géniale que moi-même je n'efface plus que rarement mon historique.

Cette méthode ne permet certes pas de connaître votre fréquence de consultation de ces sites, mais comme dit l'adage: dis-moi sur quels sites tu vas et je te dirai qui tu es. Ainsi par exemple l'article essaie de déterminer le genre de son lecteur, et m'annonce qu'il y a 78% de chances que je sois une fille, je ne dois pas fréquenter assez de sites fleurant bon la testostérone ;-) En poussant le concept un peu plus loin, un autre bloggueur affiche un nuage de tags de vos centres d'intérêt, basé sur la catégorisation des sites les plus populaires d'un service de partage de marque-pages. Les résultats peuvent manquer de pertinence car ils testent votre fréquentation de sites étasuniens. Mais je ne doute pas qu'on puisse facilement obtenir un bon niveau de pertinence en géolocalisant l'internaute à partir de son adresse IP et en testant des urls de son pays.

Exemple pratique

Wikio publie régulièrement un classement de 300 blogs populaires. Peu importe la pertinence de ce classement, il y a des chances pour que vous lisiez plusieurs de ces blogs. Le petit script suivant, à exécuter dans Firebug sur cette page, va vous donner une idée de vos centres d'intérêts:

// Ajout d'une règle de style pour afficher tous les liens en rouge
var _style=document.createElement("style");
_style.setAttribute("type","text/css");
_style.innerHTML = "A:visited{color: red ! important}"
document.getElementsByTagName("head")[0].appendChild(_style);
// Boucle sur les liens
var _links, category;
var _res = {}
for each (var _item in document.getElementById('tab1').getElementsByTagName('tr'))
{
 if (_item.getElementsByTagName)
 {
  _links = _item.getElementsByTagName("A")
  // Si le lien est rouge, on incrémente le compteur de sa catégorie
  if (window.getComputedStyle(_links[0], '').color == 'rgb(255, 0, 0)')
  {
    _category = _links[1].textContent.replace(/\s/g,'');
    if (_res[_category]) _res[_category]++; else _res[_category]=1;
  }
 }
}
// Affichage des résultats.
for (_category in _res){console.log(_category, _res[_category])};

Tiens, apparemment je suis technophile[1] ;-)

L'expérience peut se répéter à l'infini, avec d'autres listes de sites. Elle peut révéler vos centres d'intérêt, vos affinités politiques, vos usages... Un site peut injecter dynamiquement ce code dans sa page, récupérer le résultat en un coup d'Ajax puis effacer le script. Un peu d'offuscation et ça devient difficilement détectable. Et si le site en plus vous a convaincu de vous inscrire, et connaît donc votre mail, voire votre nom... Brrr, je vais finir par devenir parano.

Notes

[1] en fait non, car je lis beaucoup de blogs via leurs flux RSS, et les seuls remontés par mon script sont ceux sur lesquels je suis passé par hasard

Quand Facebook vous trouve trop gros

Il est parfois difficile de trouver de bons exemples pour expliquer le danger d'utiliser certains sites ou services comme Facebook ou Google. Heureusement Tristan est là, et a ramené aujourd'hui dans ses filets un article fort édifiant d'une journaliste du Washington Post : les publicités de Facebook ciblent là où ça fait mal. A lire et à méditer...

Lire la suite...

mercredi 20 août 2008

Pourquoi je n'utilise pas gmail

Je suis de plus en plus excédé par le caractère quasi obligatoire aujourd'hui dans nos milieux webranchouillardeux d'avoir un compte gmail, d'utiliser Google reader pour lire ses feeds, Google doc pour partager ses documents, Gtalk pour papoter...[1]. Donc, pour ne pas avoir à le répéter et à m'en expliquer moult fois, je le clame ici : non je n'utilise aucun des services des adogoosoftoo, ni messagerie ni plate-forme collaborative, et je me refuse à le faire, que ce soit à titre privé ou professionnel. Point. (ce qui ne m'empêche pas d'avoir une vie numérique épanouie, je vous remercie).

Les raisons en sont multiples et leur exposé demanderait un long billet. Comme cela n'intéresse personne et que je n'ai pas le temps ce soir, voici un simple rapide résumé de quelques pistes.

Notes

[1] et ce n'est sans doute encore rien face à la pression des ados entre eux pour être sur MSN ou Facebook

Lire la suite...

vendredi 1 août 2008

Un Prophet pour libérer vos données du nuage

Prophet est un projet de base de données distribuée capable de fonctionner sans être connectée au réseau et de se synchroniser avec des services en ligne. Elle pourrait permettre de reprendre le contrôle sur toutes les données que nous stockons dans les réseaux...

Lire la suite...

vendredi 4 juillet 2008

Edvige, tu veux que j'te dige...

... je crois que tu vas beaucoup beaucoup beaucoup trop loin !

Lire la suite...

vendredi 8 février 2008

Chiffrer sa home sous GNU/Linux

Je n'ai étonnement pas trouvé de tutoriel en français expliquant comment créer un répertoire home chiffré sous GNU/Linux avec encfs. Je vais donc essayer de résumer les quelques manipulations à faire.

Je m'inspire d'une documentation Ubuntu. Le machin a été testé avec succès sous Ubuntu 7.10 et en Debian Sid.

Update du 24.04.2008 : Attention, le paquet libpam-encfs est cassé dans la dernière version d'Ubuntu (Hardy 8.04). Il empêche tout bonnement de se connecter. En attendant que ce bogue soit corrigé, je déconseille très fortement de mettre à jour Buntu.

FUSE est un logiciel permettant de créer et de manipuler des systèmes de fichier sans avoir besoin de modifier le système ni de posséder des droits d'administrateur. Cette technologie a de nombreuses applications : elle permet entre autres d'accéder à des ressources comme si elles étaient sur le disque, Par exemple de parcourir directement le contenu d'une archive ou d'un fichier compressé; d'utiliser des bases de données comme système de fichier; d'utiliser des fichiers sur un serveur distant comme s'ils étaient en local, via ssh, ftp, webdav, samba, etc, etc. Avec sshfs vous pouvez "monter" un répertoire distant à travers ssh et travailler sur les fichiers du serveur comme s'ils étaient en local, c'est à dire que tous vos outils les voient comme des fichiers locaux. FUSE permet également, c'est l'objet de ma disserte, de créer des répertoires chiffrés, via différents module dont EncFS.

EncFS permet de créer un répertoire chiffré, c'est à dire que l'ensemble du répertoire et de ses fichiers sont contenus dans un seul fichier chiffré. Vous y accédez en saisissant un mot de passe et vous pouvez alors utiliser de façon transparente les fichiers du dossier. Fonctionnement classique permis par de nombreux autres logiciels et bien décrit dans la documentation Ubuntu francophone. Mais chiffrer un répertoire ne me suffisait pas, j'aurais voulu pouvoir chiffrer la racine de mon compte, mon home directory. La plupart des applications stockent en effet leurs données directement à la racine (mails de Thunderbird, log des clients de messagerie instantanée, etc, etc). Plutôt que de paramétrer tous ces logiciels pour qu'ils stockent leurs données dans un autre répertoire chiffré, je voulais chiffrer directement mon ). Cela implique qu'il soit déchiffré automatiquement quand je me connecte, et "démonté" quand je me déconnecte.

C'est là qu'intervient PamEncfs, un module permettant de monter automatiquement à la connexion un répertoire chiffré avec encfs.

Assez de blahblah, un peu de ligne de commande. Je vais créer une maison sécurisé pour l'utilisateur toto, préalablement créé, et qui réside classiquement à /home/toto.

Commencez pas installer les packages nécessaires:

sudo apt-get install libpam-encfs

Les dépendances devraient installer tout ce qui va bien.

Fuse est un module du noyau. Pour qu'il soit chargé automatiquement à chaque démarrage, ajoutez-le au fichier /etc/modules. Pour le charger à la main:

sudo modprobe fuse

Les utilisateurs autorisés à utiliser fuse doivent être membres du groupe fuse:

sudo adduser toto fuse

Pour fonctionner, PamEncfs a besoin d'utiliser certaines options de fuse qui nécessitent d'ajouter ou dé-commenter l'option user_allow_other dans le fichier de configuration de fuse : /etc/fuse.conf.

Il faut ensuite ajouter le module PamEncfs à PAM : éditez le fichier /etc/pam.d/common-auth et insérez avant la ligne contenant pam_unix.so une ligne:

auth    sufficient      pam_encfs.so

Ajoutez également la directive use_first_pass aux lignes suivantes pour que PAM ne vous demande qu'une fois votre mot de passe.

L'étape suivante est de créer quelque part dans l'arborescence le fichier qui contiendra le répertoire chiffré. Par exemple:

sudo mkdir -p /mnt/storage/enc/toto

Votre utilisateur doit être propriétaire de ce fichier:

chown toto:toto /mnt/storage/enc/toto

C'est à toto de jouer, car c'est lui qui doit créer le conteneur chiffrer. Demandez-lui de se connecter:

su toto

Créez le répertoire chiffré en le liant au home de l'utilisateur (attention, si ce home existait déjà, renommez-le pour ne pas l'effacer !!!)

encfs /mnt/storage/enc/toto /home/toto

Répondez aux différentes questions. A celle sur le mot de passe, saisissez le mot de passe de toto !

Il de vous reste plus qu'à redevenir vous-même:

exit

Et c'est tout ! à chaque fois que toto se connectera, son répertoire chiffré sera automatiquement monté. Il sera démonté à la déconnexion.

Avec ce système, même quand l'utilisateur est connecté personne d'autre que lui ou elle ne peut accéder aux fichiers de son répertoire, pas même root !

La seule contrainte que je vois pour l'instant est qu'il faut penser, si l'on modifie le mot de passe du compte, à modifier simultanément celui du répertoire, ce qui se fait au moyen de la commande encfsctl passwd /mnt/storage/enc/toto

Vala. J'attends vos commentaires.

dimanche 7 janvier 2007

Voici venir les détecteurs de mensonges personnels

Une société annonce avoir développé un détecteur de mensonges pour Skype, le fameux logiciel de téléphonie sur Internet. Le "KishKish ™ Lie Detector", c'est le nom de ce machin, analyse le flux audio de la voix de votre correspondant pour essayer de déterminer le niveau de stress de celui ou celle-ci.

Je n'utilise pas Skype[1], et n'ai donc pas pu tester ce pluggin. Mais peu importe que le détecteur fonctionne bien ou soit encore balbutiant, l'importance à mes yeux est que la technologie existe aujourd'hui et est facilement utilisable. D'ici peu de temps, chaque fois que vous passerez un appel téléphonique, votre interlocuteur pourra grâce à des gadgets de ce genre analyser votre niveau de stress, et apprendre ainsi certaines choses sur vous. Je présume que le principe est simple à décliner, et que l'on pourra dans la foulée trouver prochainement des appareils capables d'analyser en direct n'importe quelle conversation. Imaginez que vous soyez en permanence soumis à un détecteur de mensonge, lors d'un entretien d'embauche, d'une réunion avec des partenaires, ou une discussion avec des proches... Une perspective réjouissante, non ?

Notes

[1] pas envie de confier mes communications téléphoniques à un logiciel propriétaire utilisant des formats fermés, appartenant à une grosse société étasunienne et à la sécurité discutable

- page 1 de 2