TUTO : Supprimer les métadonnées de ses photos sur Windows grâce à Metanull

Il y a quatre ans (diantre, que le temps passe si vite), j’avais posté ce petit tutoriel sur l’utilisation de Metanull sur Windows.

Aujourd’hui, les liens étant morts et ayant un blog, je me permets de le reposter.


Temps : 5 Minutes.
OS : Microsoft Windows.
Pas besoin d’installation.

Aujourd’hui, petit tuto sur Metanull : Un petit soft très léger (20 Ko) ne nécessitant pas d’installation qui permet de dégager les métadonnées qui peuvent-être contenues dans les photos.

Pour information, supprimer les métadonnées des images est indispensable en cas de diffusion de leaks ou de tout autre élément sensible, en effet, les métadonnées des photos peuvent contenir les coordonnées GPS, la date de la prise de vue ou encore le modèle du téléphone ou de l’appareil photo.

Ces données peuvent permettre l’identification et/ou la confirmation d’une personne ayant prise ou diffusée une photo.

Avec Metanull, ces métadonnées peuvent-être supprimées rapidement sans grande manipulation :

Etape 1 : Télécharger Metanull (lien).

Etape 2 : Lancer Metanull (ne nécessite aucune installation) :

Etape 3 : Si vous avez un dossier de photos ou un seul fichier, séléctionner l’option adéquate (Single File ou Batch Folder) ainsi que votre/vos image(s).

Image contenant des métadonnées :

Etape 4 : Séléctionnez le dossier de destination de votre image dans Copy result image(s) to (différent de l’original car sinon Metanull plante).

Etape 5 : Cliquez sur Null iT !.

Une fois que Metanull a supprimé les métadonnées dans l’image, il afiche un bref log :

Vous pouvez vérifier, votre image a bien été nettoyée de ses vilaines métadonnées :

Taille : 20,0 Ko, Format : exe

Télécharger :

Télécharger Metanull ici

Fichier sans virus, lien VirusTotal : Ici

 

 

 


TUTO : Installer Ghostery pour préserver sa vie privée en ligne

Difficulté : Très facile.

Précision : Ce tutoriel a été rédigé fin Août 2017 avec la version 7.3.2.5 de Ghostery, il se peut que plusieurs éléments du plug-in peuvent avoir changé depuis.

Aujourd’hui, petit tutoriel sur Ghostery, ce plug-in disponible sur Firefox, Chrome et Opera.

Ghostery détecte et bloque les technologies de tracking afin d’accélérer le chargement des pages, éliminer le superflu et protéger tes données.

Ce plug-in dispose donc d’une liste prédéfinie de trackers, en opposition à Privacy Badger.

Ghostery est géré pat une société commerciale : Cliqz GmbH, une compagnie allemande ayant son siège à Munich.

Contrairement à Privacy Badger, ce plug-in n’est pas un logiciel libre.

Ce tutoriel est basé pour Firefox, à titre personnel, je ne vois aucun interêt à utiliser ce genre de plug-in sur Chrome sachant que Google pompe -entres-autres- l’historique des sites visités.

  • Etape 1 : Aller sur la page de téléchargement du plug-in :

https://addons.mozilla.org/fr/firefox/addon/ghostery/

Et cliquez sur Ajouter à Firefox.

  • Etape 2 :

On installe le plug-in :

Les autorisations demandées sont légitimes, en effet, Ghostery va modifier les données des pages web afin de bloquer ou non les trackers.

L’icône de Ghostery s’affichera dans la barre des modules de Firefox :

En théorie, pas besoin de redémarrer Firefox.

  • Etape 3 :

Une fois le plug-in installé, une page de configuration du plug-in va s’afficher :

Ghostery va demander votre autorisation pour la collecte d’information d’utilisation, pour ma part, j’ai indiqué non merci, idem pour la création d’un compte, ces options ne sont pas indispensables au bon fonctionnement du plug-in, libre à vous de configurer comme vous le souhaitez.

Au pire, vous pouvez revenir en arrière en allant sur la page de configuration, dans l’onglet Général puis, la dernière option, Soutenir Ghostery :

Ensuite, la page des options de blocage des mouchards va s’afficher, cliquez sur Bloquer tous :

Concernant les options disponibles dans l’onglet Général :

Je conseille d’activer le blocage des nouveaux mouchards, ainsi que de limiter à 5 secondes l’affichage de la boîte violette :

Lors de la navigation, en cliquant sur le logo de Ghostery, vous pouvez visualiser les différents éléments bloqués :

En cliquant sur les trois petits points, vous pouvez afficher les paramètres basiques :

Précision importante :

Vu que Ghostery bloque les trackers et autres objets externes aux sites internets, il peut-être ammené à bloquer des éléments utiles, à titre d’exemple concret, la page de paiement de Bouygues Telecom, pour cela, utilisez la liste blanche :


TUTO : Installer Privacy Badger pour préserver sa vie privée en ligne

Difficulté : Très facile.

Aujourd’hui, petit tutoriel sur Privacy Badger, ce plug-in disponible sur Firefox, Chrome et Opera.

Privacy Badger est développé par l’EFF, une association américaine très connue, qui défend les libertés dans l’espace numérique.

Privacy Badger est une extension qui empêche les annonceurs et autres trackers tiers de pister les pages que vous visitez sur le web. Si un annonceur semble vous pister sans votre autorisation sur plusieurs sites Web, le Privacy Badger l’empêche automatiquement de charger davantage de contenu dans votre navigateur. Pour l’annonceur, c’est comme si vous aviez soudainement disparu.

Privacy Badger analyse le comportement de chaque site tiers au fil du temps et choisit le paramètre qu’il considère adapté pour chaque site.

Contrairement à certaines autres extensions, Privacy Badger ne bloque pas une liste prédéfinie de pisteurs, mais apprend de la navigation de l’utilisateur, par conséquent, vous devez le configurer et alimenter régulièrement cette configuration (contrairement à Adblock ou Gosthery).

Ce tutoriel est basé pour Firefox, à titre personnel, je ne vois aucun interêt à utiliser ce genre de plug-in sur Chrome sachant que Google pompe l’historique des sites visités.

  • Etape 1 : Aller sur la page de téléchargement du plug-in :

https://addons.mozilla.org/fr/firefox/addon/privacy-badger17/

Et cliquez sur Ajouter à Firefox.

Le module va se télécharger :

  • Etape 2 :

On installe le plug-in :

En théorie, pas besoin de redémarrer Firefox.

  • Etape 3 :

Une fois le plug-in installé, une page d’accueil en Anglais va s’afficher, vous pouvez la fermer :

  • Etape 4 :

L’icône de Privacy Badger s’affichera dans la barre des modules de Firefox :

Configuration de Privacy Badger :

Pour configurer Privacy Badger, on va cliquer sur l’icône affichée ci-dessus et cliquer ensuite sur la petite molette :

 

La page de configuration s’ouvre dans un nouvel onglet :

Dans l’option Paramètres des filtres utilisateurs, il est possible de laisser ou de bloquer un domaine :

  • La sélection verte autorisera le domaine.
  • La sélection jaune bloquera les cookies du domaine.
  • La sélection rouge bloquera le domaine.

L’onglet Domaines autorisés vous permettra de mettre en liste blanche un domaine entier :

 

Concernant les Réglages généraux, je vous conseille de séléctionner la dernière case, en effet, Privacy Badger propose une fonctionnalité sympa : Le blocage WebRTC (pour plus d’info lire ceci).


TUTO : Installer Pidgin et OTR sous Windows pour communiquer via XMPP

Aujourd’hui, petit tutoriel sur les communications : Comment installer un client XMPP (ou Jabber) : en l’occurence Pidgin avec l’utilisation du module OTR afin de chiffrer nos communications.

Comme l’explique très bien le wiki de JabberFr, Jabber est un système standard et ouvert de messagerie instantanée basé sur le protocole XMPP : il permet aux personnes de communiquer en temps réel sur Internet et de voir quand leurs contacts sont connectés. Jabber n’est pas seulement composé d’un logiciel, mais d’une multitude de logiciels (clients) pouvant se connecter au même service (réseau) en utilisant des points d’accès différents (serveurs).

Toujours comme l’explique le Wiki de JabberFr, Pidgin (anciennement Gaim) est un client multiprotocole libre (licence GNU GPL), multi-plateformes et gratuit, supportant Jabber, IRC et d’autres protocoles propriétaires.

On télécharge Pidgin sur le site officiel :

https://pidgin.im/

On se dirige vers le lien Sourceforge :

Afin d’enregistrer le fichier :

Ensuite, pendant que Pidgin est en cours de téléchargement, on en profite pour télécharger le plug-in OTR, pour se faire, on se dirige vers le site officiel du projet :

https://otr.cypherpunks.ca/

Afin de trouver la version adaptée à l’OS (pour ce cas, Windows) :

On enregistre le fichier d’installation :

On dispose désormais de nos deux fichiers : Pidgin et le plug-in OTR :

 

 

 

 

On commence par installer Pidgin :

Cliquez sur “Suivant” systématiquement, il n’y a pas de programme chelou qui va s’installer, à titre personnel, j’ai désactivé le raccourci dans le Menu Démarrer pour le mettre dans le Bureau, faites comme bon vous semble.

A la fin de l’installation de Pidgin, vous aurez cette icône :

On va maintenant passer à l’installation du plug-in OTR qui va nous permettre de chiffrer les communications.

Rien de très compliqué, on clique sur cette icône :

On se laisse guider, il n’y a aucun logiciel ou option malsain(e) qui va s’installer en plus, une fois cette étape effectuée, on lance Pidgin :

Vu qu’il s’agit du premier lancement,  il va nous proposer d’ajouter un compte, dans l’onglet Protolole vous indiquerez XMPP.

Si vous n’avez pas encore de compte Jabber, vous devez en créer un.

Je vous conseille le serveur Jabber de la Quadrature du Net où il est possible d’y créer un compte ou sur la liste des serveurs Jabber ouverts au public. ou encore sur la page d’Inscription à un serveur Jabber par JabberFR.

Vous noterez bien vos informations afin de les indiquer dans Pidgin :

Il est possible de mémoriser le mot de passe, libre à vous.

Une fois le compte ajouté, vous vous connectez, la liste de vos contacts ajoutés apparaîtra :

On passe maintenant à l’activation du plug-in OTR dans Pidgin.

Pour se faire, allez dans Outils puis Plugins.

Ce listing apparaîtra :

Séléctionnez Messagerie Confidentielle Off-The-Record.

Facultatif : Séléctionnez également Notification de nouvelle version (ça permet d’être prévennu en cas de nouvelle version de Pidgin).

Ensuite, validez en cliquant sur Configurer le plugin.

Il va falloir générer une clé privée pour notre compte, il suffit de cliquer sur Produire :

On patiente quelques dizaines de secondes selon la puissance de notre machine :

Concernant les options cochées, je conseille de laisser ces dernières par défaut.

Et hop, voilà une fingerprint toute neuve :

Vous pouvez communiquer votre adresse Jabber ainsi que votre fingerprint à vos contacts.

Le fingerprint permet de vous authentifier auprès de vos contacts, en cas de fingerprint différent, il faut se poser des questions, il faut savoir que ce dernier change en cas de réinstallation de Pidgin par exemple.


TUTO : Télécharger et installer TOR Browser sur Windows

Aujourd’hui, petit tutoriel sur le téléchargement & l’installation de TOR (Tor Browser) sur Windows, même si il n’y a rien de très compliqué, beaucoup de personnes en font la demande en cryptoparty/café vie privée/ateliers divers sur la protection des données personelles.

Avant toute chose, pour les puristes, TOR ne s’installe pas vraiment, il s’agit d’un “dossier compressé” qui va déposer un répertoire au choix de l’utilisateur.

Il n’y a pas de procédure de désinstallation de TOR, pour “désinstaller TOR” il suffit de supprimer le dossier “Tor Browser”.

Pour télécharger TOR, il faut aller sur la page officielle du projet TOR :

https://www.torproject.org/download/download-easy.html.en

Il est important d’aller sur cette page et non un site comme 01net ou un autre site de téléchargement.

En effet, seule cette version est authentique, les autres sites peuvent proposer des versions qui contiennent des adwares ou des suppléments d’installation (Google Chrome par exemple).

Sur la page de téléchargement, séléctionnez la langue et lélécharger le TOR Browser :

Ensuite, vous aurez cette icône qui va apparaître dans un dossier ou sur votre bureau :

On va passer à une étape facultative : La vérification du fichier téléchargé.

Si vous souhaitez ignorer cette étape, descendez jusqu’au second trait horizontal.


Facultatif (en fonction de votre modèle de menace) :

Si vous êtes un simple particulier qui veut chercher à sécuriser son surf et que vous vivez en France en utilisant votre connection perso, cette étape est facultative.

Cependant, si vous bossez chez Thalès, Safran, une multinationale (ou grand groupe industriel similaire/CAC 40), que vous êtes un blogueur, un journaliste, un employé qui veut leaker des documents ou que vivez dans un pays type dictature ou similaire, que vous utilisez la connection de votre boulot ou un réseau public ou ouvert au public, n’hésitez pas un quart de seconde à réaliser cette étape, elle est importante pour votre sécurité.

Je vous propose une vérification de signature pour vérifier qu’il s’agit bien du bon fichier téléchargé.

Pour info, cette procédure est disponible ici sur le site officiel mais en Anglais.

Pour télécharger PGP4WIN sur le site officiel c’est ici.

PGP4WIN peut aussi permettre de chiffrer les mails, dans ce cas précis, il va nous peremttre de comparer la signature du fichier d’installation de TOR.

Pour l’installer cliquez sur “Suivant” à chaque fois, il n’y a pas de programme ou d’option malsaine qui va s’installer.

Une fois ce programme installé, il faut lancer CMD.EXE sous Windows (Windows -> Rechercher les programmes & fichiers -> Tappez CMD.EXE).

Collez ceci :

C:\Program Files\Gnu\GnuPg\gpg.exe" --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290

Cette commande permet d’importer la clé qui va être comparée.

"C:\Program Files\Gnu\GnuPg\gpg.exe" --fingerprint 0x4E2C6E8793298290

Cette commande permet de vérifier que l’empreinte est correcte.

Nomalement, ce message devrait apparaître :

    pub   4096R/93298290 2014-12-15
          Key fingerprint = EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
    uid                  Tor Browser Developers (signing key) <torbrowser@torproject.org>
    sub   4096R/F65C2036 2014-12-15
    sub   4096R/D40814E0 2014-12-15
    sub   4096R/C3C07136 2016-08-24

On va vérifier la signature du fichier d’installation, pour cela il faut télécharger le fichier .asc disponible juste à côté du lien de téléchargement :

Et mettez-le sur votre bureau, tout comme le fichier d’installation :

Le fichier d’installation à gauche, la signature à droite.

Ensuite, on va éxécuter cette commande :

"C:\Program Files\Gnu\GnuPg\gpg.exe" --verify
    C:\Users\VOTRE NOM D'UTILISATEUR\Desktop\torbrowser-install-6.5.2_en-US.exe.asc
    C:\Users\VOTRE NOM D'UTILISATEUR\Desktop\torbrowser-install-6.5.2_en-US.exe

Remplacez “VOTRE NOM D’UTILISATEUR” par le nom de votre session.

IMPORTANT : J’ai pris la version en Anglais (en-US) pour la comparaison.

Suite à la commande précédente, le message suivant devrait s’afficher :

gpg: Signature made Tue 24 Jan 2015 09:29:09 AM CET using 
RSA key ID D40814E0 gpg: Good signature from "Tor Browser 
Developers (signing key) <torbrowser@torproject.org>" 
gpg: WARNING: This key is not certified with a trusted signature! 
gpg: There is no indication that the signature belongs to the owner. 
Primary key fingerprint: EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 
8290

Ainsi que l’empreinte suivante :

 5242 013F 02AF C851 B1C7  36B8 7017 ADCE F65C 2036
 BA1E E421 BBB4 5263 180E  1FC7 2E1A C68E D408 14E0
 A430 0A6B C93C 0877 A445  1486 D148 3FA6 C3C0 7136

Pour celles et ceux qui comprennent bien l’Anglais, la procédure est disponible ici.


Ensuite, il faut cliquer sur le fichier téléchargé, comme on peut le voir, l’éditeur est “The TOR Project” :

On séléctionne ensuite la langue :

On séléctionne ensuite le dossier dans lequel TOR va être installé (un répertoire “TOR Browser y sera créé) :

Dix secondes d’attente…

Et c’est terminé, la seconde case propose de laisser un racourci sur le bureau ainsi que dans le menu démarrer :


Comment sécuriser (un peu) wordpress : quelques règles simples

Quelques éléments de contexte…

Quand j’ai décidé de monter mon blog en Février 2017 (ce truc tout moche là), j’avais déjà (co)-géré par le passé d’autres projets collectifs sous Wordpress.

Pourquoi ce CMS et pas un autre ?

Pour sa facilité d’installation, d’hébergement, de configuration, de mise en page, de lecture, le référencement, les mises à jour, le laaaaaaarge choix et les utilités des plugins, bref, Wordpress (WP pour les intimes) est à mon humble avis l’outil idéal.

Wordpress est très utilisé dans le monde par tout un tas d’acteurs : qu’ils soient simples blogueurs particuliers, associations ou sociétés commerciales.

Mais un grand nombre de ces personnes font des erreurs (fin, quelques fois quand-même on se demande si ce n’est pas volontaire) dans la sécurisation de leur site internet.

Exemples concrets ? Quelques articles :

Comment la cybersécurité pourrait s’inviter à la présidentielle de 2017

  • Présidentielle 2017 chez Macron :

Le screen des vulnérabilités début Février 2017 (screen Reflets.info).

Ce que les déclarations de l’équipe Macron et les articles des journalistes disent sur leur niveau en sécurité informatique

Emmanuel Macron et son mot de passe…

Macron, les Russes, les jeunes et le gruyère…

  • Présidentielle 2017 chez Fillon :

Le screen des vulnérabilités début Février 2017 (screen Reflets.info).

L’article de Streepress “Le site Fillon2017.fr est un gruyère ouvert aux hackers”.

  • La série WTF :

Le site de Jacques Attali qui contient un fichier de backup (avec la BDD dedans tant qu’à faire, sinon ce n’est pas rigolo) dans le répertoire /uploads : Jacques Attali digital, au propre et au figuré.

Par conséquent, j’ai décidé de pondre ce petit tuto/conseil que j’applique moi-même.

Précision : Dans ce petit tuto, j’aborde uniquement cette problématique concernant le CMS Wordpress et sur les blogs “hébergés par vos soins”, comprennez ceux qui n’utilisent pas le service commercial proposé par automattic “.wordpress.com”.

Passons aux choses -un peu- sérieuses…

Avant toute chose : sachez que ces quelques conseils ne sont pas exaustifs, déjà au sein de Wordpress, ensuite vous pouvez avoir un CMS “blindé” mais un serveur en carton, l’OS serveur pas du tout MAJ, ou un PC compétement vérolé, la sécurité informatique est une chaine dans laquelle chaque maillon à son importance.

Mes conseils ne sont pas classés par ordre chronologique ou d’importance.

Avant toute manipulation, faites une sauvegarde, au cas où, il ne vaut mieux jamais être trop prudent.

  • Conseil Numéro 1 : Les MAJ de WPs.

Faire les mises à jour de Wordpress et s’y tenir.

A chaque mise à jour disponible, un avertissement sera visible et la mise à jour sera proposée dans la page /wp-admin/update-core.php.

La liste des vulnérabilités -connues- de Wordpress par version est disponible sur wpvulndb.com.

  • Conseil Numéro 2 : Les MAJ des plugins.

Faire les mises à jour des plugins de Wordpress et s’y tenir.

Tout comme pour Wordpress, à chaque mise à jour disponible, un avertissement sera visible et la mise à jour sera proposée dans la page /wp-admin/update-core.php.

La liste des vulnérabilités -connues- des plugins de Wordpress par version est disponible sur wpvulndb.com.

  • Conseil numéro 3 : Le mot de passe :

Un bon mot de passe, long (plus de 10 caractères hein), avec des lettres, des chiffres, des majuscules et des caractères spéciaux, c’est chiant (même impossible) à retenir, simple à réaliser mais c’est efficace.

Tant qu’à faire, on le change de temps en temps.

  • Conseil numéro 4 : Changer sa page de login :

La solution la plus simple est d’utiliser le plugin Rename wp-login.php en ayant préalablement noté la nouvelle page.

  • Conseil numéro 5 : Un “anti-bruteforce” :

L’attaque par force brute/bruteforce (la page Wikipédia est ici) est possible sur tous les systèmes, bien évidemment, elle est beaucoup utilisée sur Wordrpress comme on peut le lire sur cet article de 2013 ou sur celui-ci datant de 2015.

Pour cela, j’utilise le plugin “Loginizer” (en version gratuite), il existe d’autres plugins mais celui-ci est très bien.

  • Conseil numéro 6 : Cacher le numéro de version de Wordpress :

Si vous n’avez pas effectué la dernière mise à jour de Wordpress, ou pire, comme François Fillon vous avez plusieurs MAJ de retard (Article Streetpress) ou même aucune des deux situations, vous pouvez cacher votre numéro de version de Wordpress, bien qu’il soit possible dans certaines conditions de le retrouver…

Pour cela, éditez le fichier “functions.php” du thème que vous utilisez (/wp-content/themes) :

function remove_version_generator() { return '';}
add_filter('the_generator', 'remove_version_generator');

Regardez également du côté du fichier “readme.html” qui crache aussi votre version de Worpress, vous pouvez le supprimer.

  • Conseil numéro 7 : Empêcher le listage des utilisateurs :

Pour cela, j’utilise le plugin “Stop User Enumeration”.

Comme pour l’anti-bruteforce, il existe tout un tas de plugins similaires, même des tout-en-un gratuits ou payants.

  • Conseil numéro 8 : Empêcher le listage des répertoires :

Afin d’éviter que les répertoires /wp-includes ou /wp-content soient ouverts au 4 vents (un peu comme Magnificia ici) on va bidouiller un peu pour aller créer un fichier “index.php” dans chaque répertoire que l’on veut masquer.

Ensuite, on va regarder du côté du “fameux” .htaccess pour y intégrer la ligne suivante :

Options All -Indexes

Pour cela il faut également regarder du côté des permissions des fichiers via Filezilla par exemple.

Afin de vérifier cela, tout comme l’anti-bruteforce j’utilise le plugin “Loginizer” (en version gratuite) qui va indiquer la valeur conseillée et celle appliquée.

Si vous tentez de mettre en place ces mesures mais que vous galérez un peu, n’hésitez pas à me contacter.