TUTO : Supprimer les métadonnées de ses photos sur Windows grâce à Metanull

Il y a quatre ans (diantre, que le temps passe si vite), j’avais posté ce petit tutoriel sur l’utilisation de Metanull sur Windows.

Aujourd’hui, les liens étant morts et ayant un blog, je me permets de le reposter.


Temps : 5 Minutes.
OS : Microsoft Windows.
Pas besoin d’installation.

Aujourd’hui, petit tuto sur Metanull : Un petit soft très léger (20 Ko) ne nécessitant pas d’installation qui permet de dégager les métadonnées qui peuvent-être contenues dans les photos.

Pour information, supprimer les métadonnées des images est indispensable en cas de diffusion de leaks ou de tout autre élément sensible, en effet, les métadonnées des photos peuvent contenir les coordonnées GPS, la date de la prise de vue ou encore le modèle du téléphone ou de l’appareil photo.

Ces données peuvent permettre l’identification et/ou la confirmation d’une personne ayant prise ou diffusée une photo.

Avec Metanull, ces métadonnées peuvent-être supprimées rapidement sans grande manipulation :

Etape 1 : Télécharger Metanull (lien).

Etape 2 : Lancer Metanull (ne nécessite aucune installation) :

Etape 3 : Si vous avez un dossier de photos ou un seul fichier, séléctionner l’option adéquate (Single File ou Batch Folder) ainsi que votre/vos image(s).

Image contenant des métadonnées :

Etape 4 : Séléctionnez le dossier de destination de votre image dans Copy result image(s) to (différent de l’original car sinon Metanull plante).

Etape 5 : Cliquez sur Null iT !.

Une fois que Metanull a supprimé les métadonnées dans l’image, il afiche un bref log :

Vous pouvez vérifier, votre image a bien été nettoyée de ses vilaines métadonnées :

Taille : 20,0 Ko, Format : exe

Télécharger :

Télécharger Metanull ici

Fichier sans virus, lien VirusTotal : Ici

 

 

 


Fail : Quand le compte twitter de la réserve cyberdéfense Française twitte un image d’illustration… de la cyberdéfense de l’US Navy

On pourrait se demander si Jipoune n’a pas pris le contrôle du compte Twitter de la Réserve citoyenne de la cyberdéfense.

En effet, ce dernier a eu l’excellente idée de twitter une image du centre de commandement des opérations de cyberdéfense de… l’US Navy.

En effet, après avoir simplement masqué les écussons apposés sur les chemises, ils ont twitté le tout, comme si de rien n’était.

Voyons cela de plus près…

Image présente sur la publication web :

Le tweet publié (avec la même image) :

L’image d’origine de l’US Navy :

 

Repéré par x0rz‏.


Application Skred : Une copie à revoir : Réponse de Scred et contre-réponse

Suite à la publication de l’article “Application Skred : Une copie à revoir“, les éditeurs de l’application ont publié un commentaire sur mon blog.

Analysons-le rapidement ensemble.

Tout d’abord, pas une trace dans le commentaire concernant les questionnements techniques dans le billet de blog, c’est un peu dommage.

Nous comprenons votre attachement à l’application Signal, mais posez-vous la question de savoir pourquoi cette application vous demande votre numéro de téléphone ?

Tou simplement car Signal utilise le numéro de téléphone des utilisateurs comme identifiants.

Notre solution est en peer-to-peer, sécurisée de bout-en-bout…

Comme précisé dans le billet de blog, il n’y a aucune documentation sur ce qui est avancé par Skred, rien n’est documenté sur le soit disant fonctionnement en P2P tout comme sur le chiffrement.

Loin de faire une grosse publicité à Signal (qui reste à améliorer AMHA), lorsque Open Whisper Systems (éditeur de Signal) reçoit une réquisition judiciaire, ils sont incapables de fournir fournir les données demandées à cause de l’architecture technique :


#34c3 Jour 4 : Quelques images

Quatrième et dernier jour au 34c3 à Leipzig, première conférence sur la recherche et le suivi des capacités de surveillance du gouvernement italien au moyen d’outils de transparence en utilisant la disponibilité des ensembles de données sur les marchés publics, requis par les lois anti-corruption, pour découvrir les capacités de surveillance du gouvernement en Italie.

Italy’s surveillance toolbox : Quelques images :

Ça cause en salle Dijkstra. :

Point Catcher at :

Seconde conférence sur Briar “Resilient P2P Messaging for Everyone” : une nouvelle messagerie chiffrée sur smartphone en peer-to-peer :

Briar est une application de messagerie peer-to-peer qui résiste à la censure et fonctionne même sans accès à Internet. L’application chiffre toutes les données de bout en bout et masque également les métadonnées en utilisant les services d’oignon de Tor.

Dans le monde entier, la communication est de plus en plus surveillée et restreinte. Si la communication ne peut pas être écoutée, elle est souvent complètement bloquée.

Nous devons développer des outils plus résilients face à ces menaces. La communication et l’expression doivent être libres. La censure ne devrait pas être possible. Même si Internet était totalement bloqué (CF en Iran ces dernires heures), les gens devraient être capables de communiquer.

Quelques images :

Troisième conférence sur un référendum à propos de la surveillance aux Pays-Bas :

Les agences de renseignement néérlandaises seront bientôt autorisées à analyser massivement les données de masse de civils, en interceptant le trafic internet et en accédant en temps réel à toutes sortes de bases de données.

“Fuck Dutch mass-surveillance : let’s have a referendum ! Forcing the Netherlands to publicly debate privacy and the intelligence agencies”.

Quelques images :

Enfin, dernière conférence sur l’internet à Cuba :

L’accès à Internet à Cuba est notoirement restrictif. ETECSA, le FAI géré par le gouvernement, offre 60 hotspots sans fil dans les parcs et les hôtels, permettant aux étrangers et aux citoyens de “visiter” Internet pour seulement 1 $ de l’heure, c’est ce que la plupart des touristes connaissent d’Internet à Cuba.
Dans cet exposé, nous examinerons de plus près la vie des hackers cubains et nous visiterons un ensemble dynamique de réseaux communautaires que les touristes ordinaires ne voient jamais. L’histoire qui émerge est une vision inspirante de ce que les communautés peuvent (et ne peuvent pas) accomplir face à l’adversité.

Quelques images :

Pour conclure, quelques images du dernier jour au 34c3 :


#34c3 Jour 3 : Quelques images

Pour cette troisième journée au 34c3 à Leipzig, la première conférence de 11H30 portait sur la taxation des grands groupes de l’internet (dont les GAFAM), et en particulier sur les procédés d’évasion fiscale dont ils sont les spécialistes.

Il s’agit d’une belle plongée dans le monde merveilleux des affaires (koukou Elise Lucet).

Quelques images :

Seconde conférence, sur les DRM : Ces menottes numériques ou matérielles qui brident les utilisateurs dans l’utilisation de leurs biens ou services.

Ce qu’on perd avec les DRM ? L’accessibilité, par exemple la possibilité de modifier pour en faire quelque chose de mieux.

Les DRM restreignent l’utilisation des produits par l’utilisateur alors que c’est ce dernier qui paye le produit restreint…

Comment sortir du monde des DRM au quotidien ?

Quelques images :

Troisième et dernière conférence de la journée sur Wireguard : un paquet VPN qui est promis à un bel avenir.

Quelques images :

Pour conclure, quelques images du 34c3 :


#34c3 Jour 2 : Quelques images

Ce billet contient beaucoup de photos, il peut être long à charger.

Pour cette seconde journée au 34c3 à Leipzig, la première conférence de 11H30 portait sur l’interception concernant les mobiles : “Mobile Data Interception from the Interconnection Link” et était présentée par Silke Holtmanns.

Quelques images :

Seconde conférence de la journée : “Spy vs. Spy: A Modern Study Of Microphone Bugs Operation And Detection” : En 2015, l’artiste Ai Weiwei a été mis sous écoute chez lui, vraisemblablement par des acteurs gouvernementaux. Cette situation nous a sensibilisés au manque de recherche dans notre communauté concernant l’utilisation et la détection des microphones d’espionnage. Notre plus grande préoccupation était que la plupart des connaissances provenaient de films de fiction.

Quelques images :

Troisième conférence de la journée : “Internet of Fails” : consacré aux objets connectés et à leur absence de sécurité.

Une seule image :

Enfin, dernière conférence de la journée : “The Snowden Refugees under Surveillance in Hong Kong” à propos de la situation des réfugiés qui ont aidé Snowden.

En effet, depuis l’an passé, ils ont été systématiquement ciblés et persécutés par le gouvernement de Hong Kong sur la base de cet avis politique.

Edward Snowden est apparu en direct depuis Moscow :

Quelques photos :

Quelques images du CCC la nuit :

 


#34c3 Jour 1 : Quelques images

Petit retour en images sur cette première journée du 34c3 qui se déroule à Leipzig.

En coulisses, le staff prépare les T-shirts et hoodies, ils seront disponibles demain dès 14 heures :

Première conférence de la journée : #WTFrance présentée par Agnès et Okhin de la Quadrature du Net.

Cette conférence aborde les problèmatiques du chiffrement en France, au niveau de l’évolution et des récentes lois liberticides :

Evolution des différentes lois liberticides au fil des années :

Petit best-of des citations d’hommes politiques sur le chiffrement et/ou internet :

Petite conclusion via des propositions de solutions :

Petit tour par le village associatif et le stand de TOR :

Puis petite conférence sur la situation d’internet et des réseaux de communication en Iran présentée par Mahsa Alimardani :


Application Skred : Une copie à revoir

Depuis plusieurs mois, en écoutant la radio Skyrock, impossible de passer à côté de la publicité pour l’application Skred.

L’application propose “Enfin le vrai anonymat” qui utilise “toutes les techniques des services secrets”, afin de débunker cela, je vous propose la lecture de ce petit billet de blog.

Tout d’abord, l’application Skred est éditée par le groupe TELEFUN SAS, ce qui explique la publicité de cette appli uniquement et massivement sur la radio Skyrock.

Je vous propose quelques éléments de constatation et de réflexion, entrons dans le vif du sujet…

Eléments commerciaux :

  • En confondant anonymat et chiffrement, le discours commercial (via la publicité audio sur Skyrock) de cette application est totalement trompeur.
  • Concernant les demandes des autorités, il est indiqué ceci :

Que ce passe t’il si le gouvernement Espagnol (concernant ce qui se passe en Catalogne en ce moment) ou si le gouvernement Burkinabé fait une demande légale à Skyrock ? ou si le gouvernement Français fait une demande concernant les données d’un blogueur ? Comme le pointe justement NextInpact, “Étant donné les dérives sécuritaires locales, cela ne sera pas forcément pour rassurer ceux qui ont un besoin de sécurité complet”.

Très loin donc du “sans aucune trace.”

Eléments techniques :

  • Cette application est dévelopée, gérée et maintenue par une société commerciale.
  • On ne sait pas quel(s) protocole(s) de chiffrement sont utilisés afin de sécuriser les communications.
  • NextInpact pense que c’est WebRTC/XMPP qui sert de base pour la communication mais sans aucune information écrite ou solide là dessus.
  • On ne sait pas si il y a une vérification des contacts, ce qui peut-être problématique en cas d’attaque MITM (Attaque Man In The Middle, l’homme du millieu).
  • On ne sait pas si il y a un système de confidentialité persistante via le changement des clés.
  • Comment sont stockées les clés de chiffrement ?
  • Skred affirme que “Les technologies de chiffrement sont open source” mais ne précise pas quelles technologies sont utilisées.
  • Le code source de l’application n’est pas disponible.
  • Par conséquent, cette application, bien qu’elle prétend utiliser du logiciel libre, agit parfaitement comme une véritable boîte noire : on ne sait pas ce qui s’y passe dedans.

Conclusion :

Utilisez plutôt une application documentée qui a été auditée de manière indépendante et récente, dont le code source est disponible, qui utilise le chiffrement pendant le transit, dont les messages ne peuvent être lus par l’éditeur de l’application, qui impose la vérification des contacts, la confidentialité persistante via le changement des clés, très utile en cas de vol des clés (type PFS en quelque sorte).

Une application comme Signal par exemple (tutoriel pour Android, tutoriel pour iOS).

Par l’intermédiaire de ce petit billet de blog, j’invite Skyrock a mieux communiquer et à revoir sa copie.

Ne faites pas confiance aux discours commericaux, renseignez-vous sur les applications avant de les installer et de les utiliser.


Petit retour sur le GreHack 2017

 

 

Pour sa cinquième édition, le GreHack s’est un peu plus professionnalisé, toujours présentée en langue anglaise avec un programme assez chargé et varié, la conférence se déroule dans le même amphi depuis quelques années déjà.

Les améliorations apparues l’an passé comme le Wi-fi ont étés maintenues, notons l’apparition de grosses boîtes type Siemens et Google en tant que sponsors.

Cependant, l’organisation reste toujours DIY, et cela se remarque via les conférences non nommées disponibles sur Youtube ou le rangement des badges avant distribution peu de temps avant l’ouverture au public.

Le buffet (enfin, les buffets) sont toujours au rendez-vous et bien garnis.

Quelques images :

 


Quand le Cnous géolocalise ses étudiants et renseigne des sociétés publicitaires…

Après avoir laissé pourrir ses résidences étudiantes, ne pas avoir respecté la réglementation concernant l’amiante (à lire ici et ici), puis pour avoir mis en place des lits connectés à l’insu des étudiants, le CROUS était déjà fiché.

C’est maintenant au tour de l’organisation au dessus des CROUS : Le CNOUS (qui regroupe par conséquent tous les CROUS) de se faire tapper sur les doigts pour fliquer des centaines de milliers (millions ?) d’étudiants :

L’article est signé -par l’excellent- Martin Untersinger et est disponible sur le site du Monde à cette adresse :

Izly, l’appli du Cnous qui géolocalise des étudiants et renseigne des sociétés publicitaires

«Le Monde» a enquêté sur cette application qui permet à des centaines de milliers d’étudiants de payer leurs repas au restaurant universitaire.

Mise à jour le 21 octobre, à 15 h 30 : Suite à la parution de notre article, le Cnous a annoncé ce samedi que « pour qu’il n’y ait aucune ambiguïté ni inquiétude, la possibilité de diffusion des données de géolocalisation est supprimée du système Izly ».

Tous les jours, des centaines de milliers d’étudiants dégainent leur smartphone et l’application Izly pour payer leur « restau U ». Ce qu’ignorent nombre d’entre eux, c’est qu’à chaque utilisation de cette application, s’ils l’ont autorisée à les géolocaliser, leur position au mètre près est envoyée à deux sociétés de marketing, afin que des marques ou des magasins puissent leur proposer des messages publicitaires ciblés.

Quelles sont ces entreprises et que font-elles de ces données ? Pourquoi le Cnous (Centre national des œuvres universitaires et scolaires), établissement public, a-t-il décidé d’insérer dans une application qu’il fait utiliser à tous les étudiants un dispositif potentiellement très intrusif, dans lequel interviennent quatre sociétés privées ?

Nous avons mené l’enquête sur ce service utile aux étudiants, et en partie financé avec leurs données personnelles, sans qu’ils en soient pleinement conscients et informés, révélateur d’un certain écosystème numérique contemporain.

Tout commence sur l’ordinateur de Rémy Grünblatt. Après avoir assisté à une conférence à Paris peu avant l’été sur la sécurité des applications mobile, cet étudiant en informatique à l’Ecole normale supérieure de Lyon s’intéresse à Izly, application qu’il utilise quotidiennement.

Surpris de voir sa géolocalisation s’échapper de ce qui devrait être une simple solution de paiement, il y consacre un article sur son blog.

En l’absence de réaction, il décide de contacterLe Monde. Nous avons installé l’application afin d’intercepter et analyser toutes les communications de l’application sur Internet.

Nous avons ainsi pu confirmer l’existence de cette fonctionnalité dans Izly, sur Android comme sur iOS.

Rien qu’en lançant l’application, et sans même nous y connecter, cette dernière communique à une entreprise tierce nos coordonnées GPS précises, celles du siège du Monde, où nous nous trouvons. Les données bancaires, très sensibles, ne sont pas communiquées à cette entreprise.

En analysant les flux Internet sortant de l’application, nous avons confirmé que nos données GPS étaient transmises par l’application. Capture d’écran

Les coordonnées GPS correspondent parfaitement au siège du « Monde ».

Plusieurs sociétés privées intermédiaires

Ces données géographiques sont envoyées vers beaconforstore.com. Ce site appartient à Neerby, entreprise filiale de la société française Ezeeworld.

Se présentant comme une « plate-forme de retargeting physique », elle promet aux entreprises de cibler leurs clients potentiels « en analysant leurs habitudes et leurs trajets » en s’appuyant justement sur des données collectées par des applications tierces.

Neerby peut ainsi « connaître la fréquentation [du consommateur] (temps de présence, récurrence…) et ses lieux de vie (lieu d’habitation, de travail, loisirs…) », se vantait, au mois d’avril, le gérant d’Eezyworld, Patrick Chatanay, sur le site spécialisé Ecran Mobile. L’entreprise stocke-t-elle les données des centaines de milliers d’usagers de l’application Izly ?

Les utilise-t-elle pour les proposer à ses clients ? Le gérant d’Ezeeworld a refusé à plusieurs reprises de répondre à nos questions, insistant sur le fait que sa société n’était qu’un intermédiaire technique entre l’application Izly, utilisée par les Crous, et une troisième entreprise, Take & Buy.

Cette autre société est spécialisée dans la mise en place, dans des magasins, de « beacons », des émetteurs Bluetooth qui permettent d’envoyer un message promotionnel sur les appareils mobiles passant à proximité.

Au téléphone, son gérant, Jean-Philippe Allocio, confirme être client de S-money, la filiale de la banque Natixis qui réalise l’application Izly pour les Crous, et avoir passé un contrat avec Neerby pour récupérer les données.

Selon lui, les Crous et S-money cherchaient un moyen de proposer aux étudiants des services spécifiques et localisés, comme un mécanisme d’alerte en cas de surcharge du restaurant universitaire ou de la bibliothèque. Ils se sont donc tournés vers son entreprise et son parc de 20 000 émetteurs « beacons » installés dans toute la France.

« En échange, on leur a demandé de proposer un certain nombre d’opérations [publicitaires]. Ils l’ont accepté mais avec de gigantesques restrictions, qui éliminent quasiment tous les annonceurs : sur 103 opérations proposées, ils en ont accepté quatre », précise-t-il encore.

L’intrusion publicitaire est limitée, mais qu’arrive-t-il à ces données ? M. Allocio nie formellement les stocker et explique qu’aussitôt qu’elles parviennent à Take & Buy, celle-ci vérifie si une entreprise cliente désire envoyer un message publicitaire à l’utilisateur.

Si cette entreprise ne le désire pas, toujours selon M. Allocio, les données disparaissent. « Je ne vends pas de profils », assure M. Allocio, affirmant ne « jamais, jamais, jamais [sic] stocker l’ombre d’une information sur un utilisateur ».

« Aucune donnée n’est stockée par Ezeeworld », confirme Olivier Tilloy, directeur général adjoint de S-money, l’entreprise qui édite l’application Izly pour le Cnous, ajoutant qu’en ayant « un droit d’audit sur Take & Buy, [S-money] peut à tout moment vérifier qu’il respecte bien le traitement des données ».

Le trajet des données personnelles collectées via Izly.

Des notifications géographiquement ciblées

« Pour des annonceurs, c’est un frein si l’utilisateur a la désagréable sensation qu’on a analysé sa vie », se justifie encore M. Allocio. Ce dernier évoque l’existence d’un « agrément » de la Commission nationale de l’informatique et des libertés (CNIL).

Or cette dernière n’en délivre pas. Interrogé sur le sujet, M. Allocio a précisé avoir procédé à une déclaration auprès de l’organisme – de fait, une obligation légale élémentaire qui ne garantit pas la légalité du traitement.

Dans cette dernière, déposée en mars et que nous nous sommes procurée, Take & Buy ne dit collecter que l’identifiant publicitaire du téléphone, sans un mot sur les données de géolocalisation.

 

Dans sa demande d’avis au sujet d’Izly, déposée auprès de la CNIL, que nous avons également consultée, le Cnous ne mentionne pas non plus les données de géolocalisation.

Les données de géolocalisation sont en fait envoyées à une deuxième société, distincte d’Ezeeworld. Les coordonnées GPS des téléphones ayant activé la géolocalisation parviennent à la société Accengage, qui édite le service Ad4Push, une solution qui permet d’envoyer des notifications sur les smartphones. Les données géographiques sont-elles nécessaires ?

Oui, selon Olivier Tilloy, de S-money. Il doit être possible, explique-t-il, d’envoyer à l’étudiant des notifications géographiquement ciblées, spécifiques à sa région voire à son université, or l’application Izly est nationale. « L’actualité d’un étudiant n’est pas la même partout, on a besoin de contextualiser le message pour les étudiants », explique M. Tilloy.

« Tendre vers le zéro cash » dans les restaurants

Pour comprendre pourquoi ces deux sociétés reçoivent les données de géolocalisation des étudiants, il faut revenir à la genèse d’Izly. Depuis des années, et comme il l’a rappelé lors de la rentrée universitaire, le Cnous veut « tendre vers le “zéro cash” » dans ses restaurants universitaires afin de « sécuriser les transactions » et de « fluidifier le passage en caisse ».

Aujourd’hui, le Cnous essaie par tous les moyens de populariser cette solution auprès des étudiants. Des « ambassadeurs portant haut et fort les valeurs du dispositif » sont ainsi recherchés par le Crous d’Aix-Marseille-Avignon, des promotions « telles qu’un café offert, des pâtisseries à prix mini » sont proposées par le Crous de Grenoble, ou des places de cinéma sont offertes par le Crous de Toulouse.

Certains Crous, comme ceux de Grenoble ou de Paris, intègrent même le dispositif Izly dans une carte multiservice destinée, par exemple, à régler les photocopies ou à accéder à certains bâtiments.

En mars 2014, le Cnous se met à la recherche d’une solution dématérialisée pour remplacer le système Moneo, utilisé dans certains de ses centres mais jugé insatisfaisant.

Quatre mois plus tard, il noue pour six ans un contrat – fixé lors d’un l’appel d’offre à 3,5 millions d’euros – avec le groupe bancaire BPCE (Banques populaires et Caisses d’épargne), l’un des cinq plus grands établissements français.

Le groupe dispose d’une filiale, S-money, fondée en 2011 et spécialisée dans solutions de paiement mobile. C’est ainsi l’application de S-money qui sert de base technique à l’application d’Izly.

L’installation du système est financée intégralement par le Cnous. Dans un second temps, comme l’attestent les spécifications techniques du marché que nous avons obtenues, le fonctionnement quotidien est rémunéré par le prélèvement d’une fraction des flux financiers générés par le système mais également par le « recours au sponsoring et/ou publicité ».

« Nous voulons faire des choses intéressantes, tester l’apport de nouvelles technologies », avance Olivier Tilloy. « Mais pour l’instant, financièrement, il n’y a pas réellement d’intérêt, nous avons envoyé moins de 20 000 notifications.

Nous filtrons les demandes d’annonceur, car notre objectif c’est de générer plus d’usage autour d’Izly, et pas d’envoyer des messages sans intérêt pour les étudiants », explique-t-il encore.

Aucune mention de l’envoi des données

Dans les spécifications du marché, le Cnous a prévu d’encadrer au maximum ces « prestations supplémentaires » : elles doivent en effet « être en adéquation à l’éthique de l’institution », « dans une démarche mesurée » et « être mises en œuvre avec l’accord préalable et explicite de l’ayant droit à chaque fois que des données personnelles sont utilisées ».

Au Cnous, on fait ainsi remarquer que l’étudiant a donné son consentement pour activer la géolocalisation. Mais combien d’étudiants savaient-ils comment ces données étaient réellement utilisées et quelles étaient les entreprises qui les recevaient ?

Si, sur le site officiel, il est indiqué qu’« Izly s’engage (…) sur la protection de vos données personnelles et de votre confidentialité », il n’y est fait nulle mention de l’envoi de données de localisation à des sociétés publicitaires.

Il faut se pencher sur les quelques lignes d’une autre version des conditions d’utilisation du service, très loin d’être lues par la majorité des étudiants, pour savoir que les données personnelles de l’utilisateur sont recueillies par « S-money, le groupe BPCE, ainsi [que par] ses filiales directes et indirectes ou [par] ses partenaires commerciaux » et peuvent être utilisées pour de la « prospection et [de] l’animation commerciale ».

Toujours selon ces conditions, les utilisateurs de l’application peuvent s’opposer à ce que leurs données soient utilisées de la sorte. Il faut pour cela contacter directement S-money. Par courrier postal.

 

Izly, l’appli du Cnous qui géolocalise des étudiants et renseigne des sociétés publicitaires.