Application Skred : Une copie à revoir : Réponse de Scred et contre-réponse

Suite à la publication de l’article “Application Skred : Une copie à revoir“, les éditeurs de l’application ont publié un commentaire sur mon blog.

Analysons-le rapidement ensemble.

Tout d’abord, pas une trace dans le commentaire concernant les questionnements techniques dans le billet de blog, c’est un peu dommage.

Nous comprenons votre attachement à l’application Signal, mais posez-vous la question de savoir pourquoi cette application vous demande votre numéro de téléphone ?

Tou simplement car Signal utilise le numéro de téléphone des utilisateurs comme identifiants.

Notre solution est en peer-to-peer, sécurisée de bout-en-bout…

Comme précisé dans le billet de blog, il n’y a aucune documentation sur ce qui est avancé par Skred, rien n’est documenté sur le soit disant fonctionnement en P2P tout comme sur le chiffrement.

Loin de faire une grosse publicité à Signal (qui reste à améliorer AMHA), lorsque Open Whisper Systems (éditeur de Signal) reçoit une réquisition judiciaire, ils sont incapables de fournir fournir les données demandées à cause de l’architecture technique :


#34c3 Jour 4 : Quelques images

Quatrième et dernier jour au 34c3 à Leipzig, première conférence sur la recherche et le suivi des capacités de surveillance du gouvernement italien au moyen d’outils de transparence en utilisant la disponibilité des ensembles de données sur les marchés publics, requis par les lois anti-corruption, pour découvrir les capacités de surveillance du gouvernement en Italie.

Italy’s surveillance toolbox : Quelques images :

Ça cause en salle Dijkstra. :

Point Catcher at :

Seconde conférence sur Briar “Resilient P2P Messaging for Everyone” : une nouvelle messagerie chiffrée sur smartphone en peer-to-peer :

Briar est une application de messagerie peer-to-peer qui résiste à la censure et fonctionne même sans accès à Internet. L’application chiffre toutes les données de bout en bout et masque également les métadonnées en utilisant les services d’oignon de Tor.

Dans le monde entier, la communication est de plus en plus surveillée et restreinte. Si la communication ne peut pas être écoutée, elle est souvent complètement bloquée.

Nous devons développer des outils plus résilients face à ces menaces. La communication et l’expression doivent être libres. La censure ne devrait pas être possible. Même si Internet était totalement bloqué (CF en Iran ces dernires heures), les gens devraient être capables de communiquer.

Quelques images :

Troisième conférence sur un référendum à propos de la surveillance aux Pays-Bas :

Les agences de renseignement néérlandaises seront bientôt autorisées à analyser massivement les données de masse de civils, en interceptant le trafic internet et en accédant en temps réel à toutes sortes de bases de données.

“Fuck Dutch mass-surveillance : let’s have a referendum ! Forcing the Netherlands to publicly debate privacy and the intelligence agencies”.

Quelques images :

Enfin, dernière conférence sur l’internet à Cuba :

L’accès à Internet à Cuba est notoirement restrictif. ETECSA, le FAI géré par le gouvernement, offre 60 hotspots sans fil dans les parcs et les hôtels, permettant aux étrangers et aux citoyens de “visiter” Internet pour seulement 1 $ de l’heure, c’est ce que la plupart des touristes connaissent d’Internet à Cuba.
Dans cet exposé, nous examinerons de plus près la vie des hackers cubains et nous visiterons un ensemble dynamique de réseaux communautaires que les touristes ordinaires ne voient jamais. L’histoire qui émerge est une vision inspirante de ce que les communautés peuvent (et ne peuvent pas) accomplir face à l’adversité.

Quelques images :

Pour conclure, quelques images du dernier jour au 34c3 :


#34c3 Jour 3 : Quelques images

Pour cette troisième journée au 34c3 à Leipzig, la première conférence de 11H30 portait sur la taxation des grands groupes de l’internet (dont les GAFAM), et en particulier sur les procédés d’évasion fiscale dont ils sont les spécialistes.

Il s’agit d’une belle plongée dans le monde merveilleux des affaires (koukou Elise Lucet).

Quelques images :

Seconde conférence, sur les DRM : Ces menottes numériques ou matérielles qui brident les utilisateurs dans l’utilisation de leurs biens ou services.

Ce qu’on perd avec les DRM ? L’accessibilité, par exemple la possibilité de modifier pour en faire quelque chose de mieux.

Les DRM restreignent l’utilisation des produits par l’utilisateur alors que c’est ce dernier qui paye le produit restreint…

Comment sortir du monde des DRM au quotidien ?

Quelques images :

Troisième et dernière conférence de la journée sur Wireguard : un paquet VPN qui est promis à un bel avenir.

Quelques images :

Pour conclure, quelques images du 34c3 :


TUTO : Installer Privacy Badger pour préserver sa vie privée en ligne

Difficulté : Très facile.

Aujourd’hui, petit tutoriel sur Privacy Badger, ce plug-in disponible sur Firefox, Chrome et Opera.

Privacy Badger est développé par l’EFF, une association américaine très connue, qui défend les libertés dans l’espace numérique.

Privacy Badger est une extension qui empêche les annonceurs et autres trackers tiers de pister les pages que vous visitez sur le web. Si un annonceur semble vous pister sans votre autorisation sur plusieurs sites Web, le Privacy Badger l’empêche automatiquement de charger davantage de contenu dans votre navigateur. Pour l’annonceur, c’est comme si vous aviez soudainement disparu.

Privacy Badger analyse le comportement de chaque site tiers au fil du temps et choisit le paramètre qu’il considère adapté pour chaque site.

Contrairement à certaines autres extensions, Privacy Badger ne bloque pas une liste prédéfinie de pisteurs, mais apprend de la navigation de l’utilisateur, par conséquent, vous devez le configurer et alimenter régulièrement cette configuration (contrairement à Adblock ou Gosthery).

Ce tutoriel est basé pour Firefox, à titre personnel, je ne vois aucun interêt à utiliser ce genre de plug-in sur Chrome sachant que Google pompe l’historique des sites visités.

  • Etape 1 : Aller sur la page de téléchargement du plug-in :

https://addons.mozilla.org/fr/firefox/addon/privacy-badger17/

Et cliquez sur Ajouter à Firefox.

Le module va se télécharger :

  • Etape 2 :

On installe le plug-in :

En théorie, pas besoin de redémarrer Firefox.

  • Etape 3 :

Une fois le plug-in installé, une page d’accueil en Anglais va s’afficher, vous pouvez la fermer :

  • Etape 4 :

L’icône de Privacy Badger s’affichera dans la barre des modules de Firefox :

Configuration de Privacy Badger :

Pour configurer Privacy Badger, on va cliquer sur l’icône affichée ci-dessus et cliquer ensuite sur la petite molette :

 

La page de configuration s’ouvre dans un nouvel onglet :

Dans l’option Paramètres des filtres utilisateurs, il est possible de laisser ou de bloquer un domaine :

  • La sélection verte autorisera le domaine.
  • La sélection jaune bloquera les cookies du domaine.
  • La sélection rouge bloquera le domaine.

L’onglet Domaines autorisés vous permettra de mettre en liste blanche un domaine entier :

 

Concernant les Réglages généraux, je vous conseille de séléctionner la dernière case, en effet, Privacy Badger propose une fonctionnalité sympa : Le blocage WebRTC (pour plus d’info lire ceci).


Fnac, agitateur de sécurité.

En 2017, des personnes bossant dans de grands groupes ignorent qu’il faudrait mettre le site de leur société en full HTTPS, surtout quand il y a de la vente en ligne.

Le site ouèb de la FNAC propose un service innovant, le HTTP semi-sécurisé :

En quoi cela consiste ?

Si HOST commence par “livre.”, HTTP est au singulier.
Sinon HTTP est au pluriel avec un grand S.

Vous en voulez plus ?

En pratique, ça donne cela :

Tout sur le client se balade à poil : adresse IP, âge, prénom, date d’inscription à la FNAC, email…

Où partent les données -plus que- personnelles ?

Ce service est gratuit et disponible dans d’autres rayons.

Il faudrait également virer le vilain DES3.

 

Fnac, agitateur de curiosité sécurité.

Remerciements : & Aeris.

 

Réaction de la FNAC :

La FNAC a été contactée via Twitter.

Après exactement 8 prises de contact et 2 jours et demi, elle s’est enfin décidée à communiquer :

MAJ en cas de nouveauté.