TUTO : Supprimer les métadonnées de ses photos sur Windows grâce à Metanull

Il y a quatre ans (diantre, que le temps passe si vite), j’avais posté ce petit tutoriel sur l’utilisation de Metanull sur Windows.

Aujourd’hui, les liens étant morts et ayant un blog, je me permets de le reposter.


Temps : 5 Minutes.
OS : Microsoft Windows.
Pas besoin d’installation.

Aujourd’hui, petit tuto sur Metanull : Un petit soft très léger (20 Ko) ne nécessitant pas d’installation qui permet de dégager les métadonnées qui peuvent-être contenues dans les photos.

Pour information, supprimer les métadonnées des images est indispensable en cas de diffusion de leaks ou de tout autre élément sensible, en effet, les métadonnées des photos peuvent contenir les coordonnées GPS, la date de la prise de vue ou encore le modèle du téléphone ou de l’appareil photo.

Ces données peuvent permettre l’identification et/ou la confirmation d’une personne ayant prise ou diffusée une photo.

Avec Metanull, ces métadonnées peuvent-être supprimées rapidement sans grande manipulation :

Etape 1 : Télécharger Metanull (lien).

Etape 2 : Lancer Metanull (ne nécessite aucune installation) :

Etape 3 : Si vous avez un dossier de photos ou un seul fichier, séléctionner l’option adéquate (Single File ou Batch Folder) ainsi que votre/vos image(s).

Image contenant des métadonnées :

Etape 4 : Séléctionnez le dossier de destination de votre image dans Copy result image(s) to (différent de l’original car sinon Metanull plante).

Etape 5 : Cliquez sur Null iT !.

Une fois que Metanull a supprimé les métadonnées dans l’image, il afiche un bref log :

Vous pouvez vérifier, votre image a bien été nettoyée de ses vilaines métadonnées :

Taille : 20,0 Ko, Format : exe

Télécharger :

Télécharger Metanull ici

Fichier sans virus, lien VirusTotal : Ici

 

 

 


#34c3 Jour 4 : Quelques images

Quatrième et dernier jour au 34c3 à Leipzig, première conférence sur la recherche et le suivi des capacités de surveillance du gouvernement italien au moyen d’outils de transparence en utilisant la disponibilité des ensembles de données sur les marchés publics, requis par les lois anti-corruption, pour découvrir les capacités de surveillance du gouvernement en Italie.

Italy’s surveillance toolbox : Quelques images :

Ça cause en salle Dijkstra. :

Point Catcher at :

Seconde conférence sur Briar “Resilient P2P Messaging for Everyone” : une nouvelle messagerie chiffrée sur smartphone en peer-to-peer :

Briar est une application de messagerie peer-to-peer qui résiste à la censure et fonctionne même sans accès à Internet. L’application chiffre toutes les données de bout en bout et masque également les métadonnées en utilisant les services d’oignon de Tor.

Dans le monde entier, la communication est de plus en plus surveillée et restreinte. Si la communication ne peut pas être écoutée, elle est souvent complètement bloquée.

Nous devons développer des outils plus résilients face à ces menaces. La communication et l’expression doivent être libres. La censure ne devrait pas être possible. Même si Internet était totalement bloqué (CF en Iran ces dernires heures), les gens devraient être capables de communiquer.

Quelques images :

Troisième conférence sur un référendum à propos de la surveillance aux Pays-Bas :

Les agences de renseignement néérlandaises seront bientôt autorisées à analyser massivement les données de masse de civils, en interceptant le trafic internet et en accédant en temps réel à toutes sortes de bases de données.

“Fuck Dutch mass-surveillance : let’s have a referendum ! Forcing the Netherlands to publicly debate privacy and the intelligence agencies”.

Quelques images :

Enfin, dernière conférence sur l’internet à Cuba :

L’accès à Internet à Cuba est notoirement restrictif. ETECSA, le FAI géré par le gouvernement, offre 60 hotspots sans fil dans les parcs et les hôtels, permettant aux étrangers et aux citoyens de “visiter” Internet pour seulement 1 $ de l’heure, c’est ce que la plupart des touristes connaissent d’Internet à Cuba.
Dans cet exposé, nous examinerons de plus près la vie des hackers cubains et nous visiterons un ensemble dynamique de réseaux communautaires que les touristes ordinaires ne voient jamais. L’histoire qui émerge est une vision inspirante de ce que les communautés peuvent (et ne peuvent pas) accomplir face à l’adversité.

Quelques images :

Pour conclure, quelques images du dernier jour au 34c3 :


#34c3 Jour 2 : Quelques images

Ce billet contient beaucoup de photos, il peut être long à charger.

Pour cette seconde journée au 34c3 à Leipzig, la première conférence de 11H30 portait sur l’interception concernant les mobiles : “Mobile Data Interception from the Interconnection Link” et était présentée par Silke Holtmanns.

Quelques images :

Seconde conférence de la journée : “Spy vs. Spy: A Modern Study Of Microphone Bugs Operation And Detection” : En 2015, l’artiste Ai Weiwei a été mis sous écoute chez lui, vraisemblablement par des acteurs gouvernementaux. Cette situation nous a sensibilisés au manque de recherche dans notre communauté concernant l’utilisation et la détection des microphones d’espionnage. Notre plus grande préoccupation était que la plupart des connaissances provenaient de films de fiction.

Quelques images :

Troisième conférence de la journée : “Internet of Fails” : consacré aux objets connectés et à leur absence de sécurité.

Une seule image :

Enfin, dernière conférence de la journée : “The Snowden Refugees under Surveillance in Hong Kong” à propos de la situation des réfugiés qui ont aidé Snowden.

En effet, depuis l’an passé, ils ont été systématiquement ciblés et persécutés par le gouvernement de Hong Kong sur la base de cet avis politique.

Edward Snowden est apparu en direct depuis Moscow :

Quelques photos :

Quelques images du CCC la nuit :

 


#34c3 Jour 1 : Quelques images

Petit retour en images sur cette première journée du 34c3 qui se déroule à Leipzig.

En coulisses, le staff prépare les T-shirts et hoodies, ils seront disponibles demain dès 14 heures :

Première conférence de la journée : #WTFrance présentée par Agnès et Okhin de la Quadrature du Net.

Cette conférence aborde les problèmatiques du chiffrement en France, au niveau de l’évolution et des récentes lois liberticides :

Evolution des différentes lois liberticides au fil des années :

Petit best-of des citations d’hommes politiques sur le chiffrement et/ou internet :

Petite conclusion via des propositions de solutions :

Petit tour par le village associatif et le stand de TOR :

Puis petite conférence sur la situation d’internet et des réseaux de communication en Iran présentée par Mahsa Alimardani :


Yasmine Benzelmat, conseillère régionale ex-FN, suggère de mettre sur écoute des journalistes

Yasmine Benzelmat, conseillère régionale ex-FN, suggère de mettre sur écoute les journalistes de l’AFP pour trouver leurs sources :

Visiblement la liberté de la presse et le secret des sources posent toujours autant problème chez certains de nos politiques.

Pour information, en Juin dernier, dans la salle Maurice Ravel à Vélizy-Villacoublay lors d’un “meeting” pour les dernières éléctions législatives -où Yasmine Benzelmat s’était portée candidate sous l’étiquette FN-, elle avait affirmé -entres-autres – que la DGSE et la DGSI avaient fusionnées et avait plutôt du mal a répondre à des contradictions face à un petit jeune…


Application Skred : Une copie à revoir

Depuis plusieurs mois, en écoutant la radio Skyrock, impossible de passer à côté de la publicité pour l’application Skred.

L’application propose “Enfin le vrai anonymat” qui utilise “toutes les techniques des services secrets”, afin de débunker cela, je vous propose la lecture de ce petit billet de blog.

Tout d’abord, l’application Skred est éditée par le groupe TELEFUN SAS, ce qui explique la publicité de cette appli uniquement et massivement sur la radio Skyrock.

Je vous propose quelques éléments de constatation et de réflexion, entrons dans le vif du sujet…

Eléments commerciaux :

  • En confondant anonymat et chiffrement, le discours commercial (via la publicité audio sur Skyrock) de cette application est totalement trompeur.
  • Concernant les demandes des autorités, il est indiqué ceci :

Que ce passe t’il si le gouvernement Espagnol (concernant ce qui se passe en Catalogne en ce moment) ou si le gouvernement Burkinabé fait une demande légale à Skyrock ? ou si le gouvernement Français fait une demande concernant les données d’un blogueur ? Comme le pointe justement NextInpact, “Étant donné les dérives sécuritaires locales, cela ne sera pas forcément pour rassurer ceux qui ont un besoin de sécurité complet”.

Très loin donc du “sans aucune trace.”

Eléments techniques :

  • Cette application est dévelopée, gérée et maintenue par une société commerciale.
  • On ne sait pas quel(s) protocole(s) de chiffrement sont utilisés afin de sécuriser les communications.
  • NextInpact pense que c’est WebRTC/XMPP qui sert de base pour la communication mais sans aucune information écrite ou solide là dessus.
  • On ne sait pas si il y a une vérification des contacts, ce qui peut-être problématique en cas d’attaque MITM (Attaque Man In The Middle, l’homme du millieu).
  • On ne sait pas si il y a un système de confidentialité persistante via le changement des clés.
  • Comment sont stockées les clés de chiffrement ?
  • Skred affirme que “Les technologies de chiffrement sont open source” mais ne précise pas quelles technologies sont utilisées.
  • Le code source de l’application n’est pas disponible.
  • Par conséquent, cette application, bien qu’elle prétend utiliser du logiciel libre, agit parfaitement comme une véritable boîte noire : on ne sait pas ce qui s’y passe dedans.

Conclusion :

Utilisez plutôt une application documentée qui a été auditée de manière indépendante et récente, dont le code source est disponible, qui utilise le chiffrement pendant le transit, dont les messages ne peuvent être lus par l’éditeur de l’application, qui impose la vérification des contacts, la confidentialité persistante via le changement des clés, très utile en cas de vol des clés (type PFS en quelque sorte).

Une application comme Signal par exemple (tutoriel pour Android, tutoriel pour iOS).

Par l’intermédiaire de ce petit billet de blog, j’invite Skyrock a mieux communiquer et à revoir sa copie.

Ne faites pas confiance aux discours commericaux, renseignez-vous sur les applications avant de les installer et de les utiliser.


Quand le Cnous géolocalise ses étudiants et renseigne des sociétés publicitaires…

Après avoir laissé pourrir ses résidences étudiantes, ne pas avoir respecté la réglementation concernant l’amiante (à lire ici et ici), puis pour avoir mis en place des lits connectés à l’insu des étudiants, le CROUS était déjà fiché.

C’est maintenant au tour de l’organisation au dessus des CROUS : Le CNOUS (qui regroupe par conséquent tous les CROUS) de se faire tapper sur les doigts pour fliquer des centaines de milliers (millions ?) d’étudiants :

L’article est signé -par l’excellent- Martin Untersinger et est disponible sur le site du Monde à cette adresse :

Izly, l’appli du Cnous qui géolocalise des étudiants et renseigne des sociétés publicitaires

«Le Monde» a enquêté sur cette application qui permet à des centaines de milliers d’étudiants de payer leurs repas au restaurant universitaire.

Mise à jour le 21 octobre, à 15 h 30 : Suite à la parution de notre article, le Cnous a annoncé ce samedi que « pour qu’il n’y ait aucune ambiguïté ni inquiétude, la possibilité de diffusion des données de géolocalisation est supprimée du système Izly ».

Tous les jours, des centaines de milliers d’étudiants dégainent leur smartphone et l’application Izly pour payer leur « restau U ». Ce qu’ignorent nombre d’entre eux, c’est qu’à chaque utilisation de cette application, s’ils l’ont autorisée à les géolocaliser, leur position au mètre près est envoyée à deux sociétés de marketing, afin que des marques ou des magasins puissent leur proposer des messages publicitaires ciblés.

Quelles sont ces entreprises et que font-elles de ces données ? Pourquoi le Cnous (Centre national des œuvres universitaires et scolaires), établissement public, a-t-il décidé d’insérer dans une application qu’il fait utiliser à tous les étudiants un dispositif potentiellement très intrusif, dans lequel interviennent quatre sociétés privées ?

Nous avons mené l’enquête sur ce service utile aux étudiants, et en partie financé avec leurs données personnelles, sans qu’ils en soient pleinement conscients et informés, révélateur d’un certain écosystème numérique contemporain.

Tout commence sur l’ordinateur de Rémy Grünblatt. Après avoir assisté à une conférence à Paris peu avant l’été sur la sécurité des applications mobile, cet étudiant en informatique à l’Ecole normale supérieure de Lyon s’intéresse à Izly, application qu’il utilise quotidiennement.

Surpris de voir sa géolocalisation s’échapper de ce qui devrait être une simple solution de paiement, il y consacre un article sur son blog.

En l’absence de réaction, il décide de contacterLe Monde. Nous avons installé l’application afin d’intercepter et analyser toutes les communications de l’application sur Internet.

Nous avons ainsi pu confirmer l’existence de cette fonctionnalité dans Izly, sur Android comme sur iOS.

Rien qu’en lançant l’application, et sans même nous y connecter, cette dernière communique à une entreprise tierce nos coordonnées GPS précises, celles du siège du Monde, où nous nous trouvons. Les données bancaires, très sensibles, ne sont pas communiquées à cette entreprise.

En analysant les flux Internet sortant de l’application, nous avons confirmé que nos données GPS étaient transmises par l’application. Capture d’écran

Les coordonnées GPS correspondent parfaitement au siège du « Monde ».

Plusieurs sociétés privées intermédiaires

Ces données géographiques sont envoyées vers beaconforstore.com. Ce site appartient à Neerby, entreprise filiale de la société française Ezeeworld.

Se présentant comme une « plate-forme de retargeting physique », elle promet aux entreprises de cibler leurs clients potentiels « en analysant leurs habitudes et leurs trajets » en s’appuyant justement sur des données collectées par des applications tierces.

Neerby peut ainsi « connaître la fréquentation [du consommateur] (temps de présence, récurrence…) et ses lieux de vie (lieu d’habitation, de travail, loisirs…) », se vantait, au mois d’avril, le gérant d’Eezyworld, Patrick Chatanay, sur le site spécialisé Ecran Mobile. L’entreprise stocke-t-elle les données des centaines de milliers d’usagers de l’application Izly ?

Les utilise-t-elle pour les proposer à ses clients ? Le gérant d’Ezeeworld a refusé à plusieurs reprises de répondre à nos questions, insistant sur le fait que sa société n’était qu’un intermédiaire technique entre l’application Izly, utilisée par les Crous, et une troisième entreprise, Take & Buy.

Cette autre société est spécialisée dans la mise en place, dans des magasins, de « beacons », des émetteurs Bluetooth qui permettent d’envoyer un message promotionnel sur les appareils mobiles passant à proximité.

Au téléphone, son gérant, Jean-Philippe Allocio, confirme être client de S-money, la filiale de la banque Natixis qui réalise l’application Izly pour les Crous, et avoir passé un contrat avec Neerby pour récupérer les données.

Selon lui, les Crous et S-money cherchaient un moyen de proposer aux étudiants des services spécifiques et localisés, comme un mécanisme d’alerte en cas de surcharge du restaurant universitaire ou de la bibliothèque. Ils se sont donc tournés vers son entreprise et son parc de 20 000 émetteurs « beacons » installés dans toute la France.

« En échange, on leur a demandé de proposer un certain nombre d’opérations [publicitaires]. Ils l’ont accepté mais avec de gigantesques restrictions, qui éliminent quasiment tous les annonceurs : sur 103 opérations proposées, ils en ont accepté quatre », précise-t-il encore.

L’intrusion publicitaire est limitée, mais qu’arrive-t-il à ces données ? M. Allocio nie formellement les stocker et explique qu’aussitôt qu’elles parviennent à Take & Buy, celle-ci vérifie si une entreprise cliente désire envoyer un message publicitaire à l’utilisateur.

Si cette entreprise ne le désire pas, toujours selon M. Allocio, les données disparaissent. « Je ne vends pas de profils », assure M. Allocio, affirmant ne « jamais, jamais, jamais [sic] stocker l’ombre d’une information sur un utilisateur ».

« Aucune donnée n’est stockée par Ezeeworld », confirme Olivier Tilloy, directeur général adjoint de S-money, l’entreprise qui édite l’application Izly pour le Cnous, ajoutant qu’en ayant « un droit d’audit sur Take & Buy, [S-money] peut à tout moment vérifier qu’il respecte bien le traitement des données ».

Le trajet des données personnelles collectées via Izly.

Des notifications géographiquement ciblées

« Pour des annonceurs, c’est un frein si l’utilisateur a la désagréable sensation qu’on a analysé sa vie », se justifie encore M. Allocio. Ce dernier évoque l’existence d’un « agrément » de la Commission nationale de l’informatique et des libertés (CNIL).

Or cette dernière n’en délivre pas. Interrogé sur le sujet, M. Allocio a précisé avoir procédé à une déclaration auprès de l’organisme – de fait, une obligation légale élémentaire qui ne garantit pas la légalité du traitement.

Dans cette dernière, déposée en mars et que nous nous sommes procurée, Take & Buy ne dit collecter que l’identifiant publicitaire du téléphone, sans un mot sur les données de géolocalisation.

 

Dans sa demande d’avis au sujet d’Izly, déposée auprès de la CNIL, que nous avons également consultée, le Cnous ne mentionne pas non plus les données de géolocalisation.

Les données de géolocalisation sont en fait envoyées à une deuxième société, distincte d’Ezeeworld. Les coordonnées GPS des téléphones ayant activé la géolocalisation parviennent à la société Accengage, qui édite le service Ad4Push, une solution qui permet d’envoyer des notifications sur les smartphones. Les données géographiques sont-elles nécessaires ?

Oui, selon Olivier Tilloy, de S-money. Il doit être possible, explique-t-il, d’envoyer à l’étudiant des notifications géographiquement ciblées, spécifiques à sa région voire à son université, or l’application Izly est nationale. « L’actualité d’un étudiant n’est pas la même partout, on a besoin de contextualiser le message pour les étudiants », explique M. Tilloy.

« Tendre vers le zéro cash » dans les restaurants

Pour comprendre pourquoi ces deux sociétés reçoivent les données de géolocalisation des étudiants, il faut revenir à la genèse d’Izly. Depuis des années, et comme il l’a rappelé lors de la rentrée universitaire, le Cnous veut « tendre vers le “zéro cash” » dans ses restaurants universitaires afin de « sécuriser les transactions » et de « fluidifier le passage en caisse ».

Aujourd’hui, le Cnous essaie par tous les moyens de populariser cette solution auprès des étudiants. Des « ambassadeurs portant haut et fort les valeurs du dispositif » sont ainsi recherchés par le Crous d’Aix-Marseille-Avignon, des promotions « telles qu’un café offert, des pâtisseries à prix mini » sont proposées par le Crous de Grenoble, ou des places de cinéma sont offertes par le Crous de Toulouse.

Certains Crous, comme ceux de Grenoble ou de Paris, intègrent même le dispositif Izly dans une carte multiservice destinée, par exemple, à régler les photocopies ou à accéder à certains bâtiments.

En mars 2014, le Cnous se met à la recherche d’une solution dématérialisée pour remplacer le système Moneo, utilisé dans certains de ses centres mais jugé insatisfaisant.

Quatre mois plus tard, il noue pour six ans un contrat – fixé lors d’un l’appel d’offre à 3,5 millions d’euros – avec le groupe bancaire BPCE (Banques populaires et Caisses d’épargne), l’un des cinq plus grands établissements français.

Le groupe dispose d’une filiale, S-money, fondée en 2011 et spécialisée dans solutions de paiement mobile. C’est ainsi l’application de S-money qui sert de base technique à l’application d’Izly.

L’installation du système est financée intégralement par le Cnous. Dans un second temps, comme l’attestent les spécifications techniques du marché que nous avons obtenues, le fonctionnement quotidien est rémunéré par le prélèvement d’une fraction des flux financiers générés par le système mais également par le « recours au sponsoring et/ou publicité ».

« Nous voulons faire des choses intéressantes, tester l’apport de nouvelles technologies », avance Olivier Tilloy. « Mais pour l’instant, financièrement, il n’y a pas réellement d’intérêt, nous avons envoyé moins de 20 000 notifications.

Nous filtrons les demandes d’annonceur, car notre objectif c’est de générer plus d’usage autour d’Izly, et pas d’envoyer des messages sans intérêt pour les étudiants », explique-t-il encore.

Aucune mention de l’envoi des données

Dans les spécifications du marché, le Cnous a prévu d’encadrer au maximum ces « prestations supplémentaires » : elles doivent en effet « être en adéquation à l’éthique de l’institution », « dans une démarche mesurée » et « être mises en œuvre avec l’accord préalable et explicite de l’ayant droit à chaque fois que des données personnelles sont utilisées ».

Au Cnous, on fait ainsi remarquer que l’étudiant a donné son consentement pour activer la géolocalisation. Mais combien d’étudiants savaient-ils comment ces données étaient réellement utilisées et quelles étaient les entreprises qui les recevaient ?

Si, sur le site officiel, il est indiqué qu’« Izly s’engage (…) sur la protection de vos données personnelles et de votre confidentialité », il n’y est fait nulle mention de l’envoi de données de localisation à des sociétés publicitaires.

Il faut se pencher sur les quelques lignes d’une autre version des conditions d’utilisation du service, très loin d’être lues par la majorité des étudiants, pour savoir que les données personnelles de l’utilisateur sont recueillies par « S-money, le groupe BPCE, ainsi [que par] ses filiales directes et indirectes ou [par] ses partenaires commerciaux » et peuvent être utilisées pour de la « prospection et [de] l’animation commerciale ».

Toujours selon ces conditions, les utilisateurs de l’application peuvent s’opposer à ce que leurs données soient utilisées de la sorte. Il faut pour cela contacter directement S-money. Par courrier postal.

 

Izly, l’appli du Cnous qui géolocalise des étudiants et renseigne des sociétés publicitaires.


TUTO : Installer Ghostery pour préserver sa vie privée en ligne

Difficulté : Très facile.

Précision : Ce tutoriel a été rédigé fin Août 2017 avec la version 7.3.2.5 de Ghostery, il se peut que plusieurs éléments du plug-in peuvent avoir changé depuis.

Aujourd’hui, petit tutoriel sur Ghostery, ce plug-in disponible sur Firefox, Chrome et Opera.

Ghostery détecte et bloque les technologies de tracking afin d’accélérer le chargement des pages, éliminer le superflu et protéger tes données.

Ce plug-in dispose donc d’une liste prédéfinie de trackers, en opposition à Privacy Badger.

Ghostery est géré pat une société commerciale : Cliqz GmbH, une compagnie allemande ayant son siège à Munich.

Contrairement à Privacy Badger, ce plug-in n’est pas un logiciel libre.

Ce tutoriel est basé pour Firefox, à titre personnel, je ne vois aucun interêt à utiliser ce genre de plug-in sur Chrome sachant que Google pompe -entres-autres- l’historique des sites visités.

  • Etape 1 : Aller sur la page de téléchargement du plug-in :

https://addons.mozilla.org/fr/firefox/addon/ghostery/

Et cliquez sur Ajouter à Firefox.

  • Etape 2 :

On installe le plug-in :

Les autorisations demandées sont légitimes, en effet, Ghostery va modifier les données des pages web afin de bloquer ou non les trackers.

L’icône de Ghostery s’affichera dans la barre des modules de Firefox :

En théorie, pas besoin de redémarrer Firefox.

  • Etape 3 :

Une fois le plug-in installé, une page de configuration du plug-in va s’afficher :

Ghostery va demander votre autorisation pour la collecte d’information d’utilisation, pour ma part, j’ai indiqué non merci, idem pour la création d’un compte, ces options ne sont pas indispensables au bon fonctionnement du plug-in, libre à vous de configurer comme vous le souhaitez.

Au pire, vous pouvez revenir en arrière en allant sur la page de configuration, dans l’onglet Général puis, la dernière option, Soutenir Ghostery :

Ensuite, la page des options de blocage des mouchards va s’afficher, cliquez sur Bloquer tous :

Concernant les options disponibles dans l’onglet Général :

Je conseille d’activer le blocage des nouveaux mouchards, ainsi que de limiter à 5 secondes l’affichage de la boîte violette :

Lors de la navigation, en cliquant sur le logo de Ghostery, vous pouvez visualiser les différents éléments bloqués :

En cliquant sur les trois petits points, vous pouvez afficher les paramètres basiques :

Précision importante :

Vu que Ghostery bloque les trackers et autres objets externes aux sites internets, il peut-être ammené à bloquer des éléments utiles, à titre d’exemple concret, la page de paiement de Bouygues Telecom, pour cela, utilisez la liste blanche :


TUTO : Télécharger et installer TOR Browser sur Windows

Aujourd’hui, petit tutoriel sur le téléchargement & l’installation de TOR (Tor Browser) sur Windows, même si il n’y a rien de très compliqué, beaucoup de personnes en font la demande en cryptoparty/café vie privée/ateliers divers sur la protection des données personelles.

Avant toute chose, pour les puristes, TOR ne s’installe pas vraiment, il s’agit d’un “dossier compressé” qui va déposer un répertoire au choix de l’utilisateur.

Il n’y a pas de procédure de désinstallation de TOR, pour “désinstaller TOR” il suffit de supprimer le dossier “Tor Browser”.

Pour télécharger TOR, il faut aller sur la page officielle du projet TOR :

https://www.torproject.org/download/download-easy.html.en

Il est important d’aller sur cette page et non un site comme 01net ou un autre site de téléchargement.

En effet, seule cette version est authentique, les autres sites peuvent proposer des versions qui contiennent des adwares ou des suppléments d’installation (Google Chrome par exemple).

Sur la page de téléchargement, séléctionnez la langue et lélécharger le TOR Browser :

Ensuite, vous aurez cette icône qui va apparaître dans un dossier ou sur votre bureau :

On va passer à une étape facultative : La vérification du fichier téléchargé.

Si vous souhaitez ignorer cette étape, descendez jusqu’au second trait horizontal.


Facultatif (en fonction de votre modèle de menace) :

Si vous êtes un simple particulier qui veut chercher à sécuriser son surf et que vous vivez en France en utilisant votre connection perso, cette étape est facultative.

Cependant, si vous bossez chez Thalès, Safran, une multinationale (ou grand groupe industriel similaire/CAC 40), que vous êtes un blogueur, un journaliste, un employé qui veut leaker des documents ou que vivez dans un pays type dictature ou similaire, que vous utilisez la connection de votre boulot ou un réseau public ou ouvert au public, n’hésitez pas un quart de seconde à réaliser cette étape, elle est importante pour votre sécurité.

Je vous propose une vérification de signature pour vérifier qu’il s’agit bien du bon fichier téléchargé.

Pour info, cette procédure est disponible ici sur le site officiel mais en Anglais.

Pour télécharger PGP4WIN sur le site officiel c’est ici.

PGP4WIN peut aussi permettre de chiffrer les mails, dans ce cas précis, il va nous peremttre de comparer la signature du fichier d’installation de TOR.

Pour l’installer cliquez sur “Suivant” à chaque fois, il n’y a pas de programme ou d’option malsaine qui va s’installer.

Une fois ce programme installé, il faut lancer CMD.EXE sous Windows (Windows -> Rechercher les programmes & fichiers -> Tappez CMD.EXE).

Collez ceci :

C:\Program Files\Gnu\GnuPg\gpg.exe" --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290

Cette commande permet d’importer la clé qui va être comparée.

"C:\Program Files\Gnu\GnuPg\gpg.exe" --fingerprint 0x4E2C6E8793298290

Cette commande permet de vérifier que l’empreinte est correcte.

Nomalement, ce message devrait apparaître :

    pub   4096R/93298290 2014-12-15
          Key fingerprint = EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
    uid                  Tor Browser Developers (signing key) <torbrowser@torproject.org>
    sub   4096R/F65C2036 2014-12-15
    sub   4096R/D40814E0 2014-12-15
    sub   4096R/C3C07136 2016-08-24

On va vérifier la signature du fichier d’installation, pour cela il faut télécharger le fichier .asc disponible juste à côté du lien de téléchargement :

Et mettez-le sur votre bureau, tout comme le fichier d’installation :

Le fichier d’installation à gauche, la signature à droite.

Ensuite, on va éxécuter cette commande :

"C:\Program Files\Gnu\GnuPg\gpg.exe" --verify
    C:\Users\VOTRE NOM D'UTILISATEUR\Desktop\torbrowser-install-6.5.2_en-US.exe.asc
    C:\Users\VOTRE NOM D'UTILISATEUR\Desktop\torbrowser-install-6.5.2_en-US.exe

Remplacez “VOTRE NOM D’UTILISATEUR” par le nom de votre session.

IMPORTANT : J’ai pris la version en Anglais (en-US) pour la comparaison.

Suite à la commande précédente, le message suivant devrait s’afficher :

gpg: Signature made Tue 24 Jan 2015 09:29:09 AM CET using 
RSA key ID D40814E0 gpg: Good signature from "Tor Browser 
Developers (signing key) <torbrowser@torproject.org>" 
gpg: WARNING: This key is not certified with a trusted signature! 
gpg: There is no indication that the signature belongs to the owner. 
Primary key fingerprint: EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 
8290

Ainsi que l’empreinte suivante :

 5242 013F 02AF C851 B1C7  36B8 7017 ADCE F65C 2036
 BA1E E421 BBB4 5263 180E  1FC7 2E1A C68E D408 14E0
 A430 0A6B C93C 0877 A445  1486 D148 3FA6 C3C0 7136

Pour celles et ceux qui comprennent bien l’Anglais, la procédure est disponible ici.


Ensuite, il faut cliquer sur le fichier téléchargé, comme on peut le voir, l’éditeur est “The TOR Project” :

On séléctionne ensuite la langue :

On séléctionne ensuite le dossier dans lequel TOR va être installé (un répertoire “TOR Browser y sera créé) :

Dix secondes d’attente…

Et c’est terminé, la seconde case propose de laisser un racourci sur le bureau ainsi que dans le menu démarrer :


Les hackers de la DCRI (Livre “Bienvenue place Beauvau”)

Un petit chapitre sympa dans le livre intéressant “Bienvenue Place Beauvau” sorti il y a peu, entre les pages 163 à 167 :

(On ne parlera pas du “vol d’adresse IP”, promis).

Reste à savoir si :

  • Ces pratiques ont perduré à la création de la DGSI (Premier Semestre 2014).
  • Si le nom du FAI en question est un mélange entre le rouge et le jaune.
  • Où ils allaient pécho leur shit ou leur herbe.

Sinon, le livre est interessant, AMHA il complète “L’espion du président” des mêmes auteurs, sorti en 2012 (un nombre important de mentions y apparaît).

 

Bienvenue Place Beauvau.
Olivia Recasens, Didier Hassoux & Christophe Labbé.
Ed. Robert Laffont, Mars 2017.
ISBN : 978-2-221-19898-8