ka.da - Tag - privacy

news sécurité informatique (ou Vos Données Chiffrées Ne Sont Pas Aussi Sûres Que Vous Ne Le Pensiez)

er:k — Tue, 29 Apr 2008 19:32:00 +0200

Un petit récapitulatif des nouvelles concernant la sécurité informatique intéressantes vues (plus ou moins) récemment sur la toile.

Tout d'abord, une news très importante : la découverte que vos disques durs chiffrés ne sont pas aussi sûrs que vous (et moi !) ne le pensiez. En effet, une étude a démontré que la clé d'un disque dur chiffré reste encore quelques minutes dans la RAM après l'extinction d'un ordinateur, rendant celui-ci vulnérable. Cette nouvelle a fait le tour du web sécurité et voici donc quelques liens pour approfondir le sujet :
- l'article d'origine sur Freedom to tinker [via lwn.net];
- un article sur le blog de Russell Coker;
- on en parle également sur écrans.fr;
- ou sur... linuxfr;

dans le même ordre d'idée : un outil permettant de voler un ordinateur sans l'éteindre [via Bruce Schneier et engadget];

un article original expliquant comment l'OLPC pourrait être détourné de son but premier (l'utilisation par des enfants) et utilisé à des fins militaires;

d'autres informations importantes si vous voyagez aux USA : il semble que les douanes puissent nous seulement vous demander de sortir votre ordinateur portable, de l'ouvrir et de l'allumer mais également de leur laisser accéder aux données voire de leur donner le mot de passe ou clé de chiffrement : c'est également chez Bruce Schneier. (pour d'autres infos concernant les douanes US sur le même blog, voyez ici et là);
tiens, le magazine Wired nous fait un howto pour passer plus facilement les check-in d'aéroport, ça tombe bien...

Un article très intéressant de Bruce Schneier sur wired.com concernant le respect de la vie privée ('privacy') et la surveillance généralisée. Il nous explique que l'éternel argument opposé aux réfractaires/résistants à la surveillance généralisée est celui de la surveillance mutuelle : vous savez ce que je fais, et moi je sais ce que vous faites. Malgré le fait que cette situation n'est pas idéale, elle semble tenir la route. Mais malheureusement, l'équilibre est rompu par un autre aspect, celui du pouvoir. En effet, par exemple, lorsqu'un officier de police vous demande vos papiers d'identité, même si il vous donne les siens, son pouvoir est considérablement supérieur au vôtre puisqu'il peut lui avec les informations chercher dans les bases de données de la police des informations sur vous, chose que vous ne pouvez faire. Je vous laisse lire l'article pour la suite de l'argumentation;
Francis Pisani nous parle également des policiers via la présentation d'un site pour noter ceux de Los Angeles;

un article en anglais expliquant comment protéger sa vie privée sur internet. Il est notamment destiné aux personnes risquant leur vie pour défendre leurs opinions mais certaines informations sont intéressantes pour tous [via grepgrrl.org];

où l'on reparle des tags RFID et notamment des mifare et de leur (fausse) sécurité...

un petit appel au troll : les délais concernant les mises à jour de sécurité pour les principales distributions Linux... on dirait bien que Debian est classée en tête, cool !;

un billet concernant Tor nous rappelant que l'anonymat et la protection de la vie privée ('privacy'), ce n'est pas tout à fait la même chose même si les deux concepts sont liés;

des articles un peu plus techniques :

utiliser une clé USB comme mot de passe;
GPG c'est bien, mais à condition de sécuriser ses clés : une solution pour les protéger;
une solution pour chiffrer tout son disque dur et utiliser une clé USB pour stocker la clé de chiffrement : Passwordless Encrypted Root in Debian;

seingyellow.com

er:k — Tue, 31 Jul 2007 22:35:00 +0200

Vous vous souvenez peut-être de l'article que j'avais écrit (il y a déjà presque deux ans !) expliquant que les fabricants d'imprimantes ont fait en sorte que celles-ci cachent des informations afin de vous identifier^[1] sur toutes les pages que vous imprimez.
De nombreuses personnes ont réagi à cette information en contactant le fabricant de leur imprimante pour désactiver cette "fonctionnalité", et au moins une de celles-ci a reçu la visite des services secrets des États-Unis.
Benjamin Mako Hill^[2] vient donc de mettre en ligne un site afin d'aider les gens à s'organiser pour contacter les fabricants d'imprimante, partant du principe que les services secrets ne pourront pas rendre visite à tout le monde. Donc, si vous aussi vous possédez une imprimante et vous voulez défendre votre droit à la vie privée (privacy), allez faire un tour sur ce site.

[via et]

Pour savoir si votre imprimante est concernée ou dans le cas où vous devriez en acheter une, vous pouvez consulter cette liste maintenue par l'EFF.

Notes

[1] ou tout au moins identifier l'imprimante ce qui permet de remonter jusqu'à vous

[2] une personnalité importante du monde du logiciel libre, que l'on retrouve dans des organisations/communautés comme Ubuntu, Debian, One Laptop Per Child, Wikipedia/Wikimedia, et qui vient d'être nommé au conseil d'administration de la FSF (voyez une biographie sur linux.com ou wikipedia anglais)

chiffrement de disque dur... la suite

er:k — Sun, 08 Jul 2007 18:34:00 +0200

Je vous parlais l'autre jour de la sécurité qu'apporte un chiffrement complet de disque dur. Mais malheureusement, actuellement, sous Linux, vous êtes obligé de garder une partie non chiffrée qui est /boot, et l'intégrité de celle-ci devient essentielle pour assurer la sécurité de l'ensemble des données. On trouve justement sur ce billet un rapide howto sur les modifications à faire sur votre système Debian pour le faire booter sur un cdrom contenant le kernel et tout ce qui va bien tiré de /boot.

non testé

sécurité informatique

er:k — Sat, 09 Jun 2007 19:43:00 +0200

Une série de billets (datant de fin 2006 mais bien évidemment toujours d'actualité) de Russell Cooker concernant la sécurité informatique (des données surtout) en environnement professionnel (les commentaires sont à lire également) :

les commentaires m'ont renvoyé vers des sites comme :

libgfshare -- A secret sharing library qui est une bibliothèque permettant de séparer un secret (comme une clé privée GPG) en plusieurs morceaux dont un certain nombre sont indispensables pour recomposer le secret;
une réponse aux billets de Russell;
security engineering - the book un livre sur l'ingénierie de la sécurité consultable en ligne.

Le principe du chiffrement de disque dur est aujourd'hui un moyen simple et efficace de protéger des données pouvant être volées (sur des ordinateurs portables bien sûr mais également sur des postes fixes). Heureusement aujourd'hui les plus grandes distributions Linux le supportent nativement, et c'est bien sûr le cas de Debian. Si vous devez donc en installer une, je vous conseille d'activer le chiffrement du disque dur. C'est ce que j'ai fait pour mon portable en suivant le petit guide disponible sur le blog de Uwe Hermann.

Firefox^WIceweasel 2 est sorti...

er:k — Tue, 19 Dec 2006 09:57:36 +0000

Comme vous le savez sûrement^[1] Mozilla Firefox 2.0 est sorti. Je vous passe la liste des nouveautés, vous renvoyant plutôt vers la page officielle, néanmoins en voici quelques-unes que j'ai remarqué plus particulièrement :

Firefox possède maintenant un restaurateur de session. Quand vous fermez celui-ci avec des onglets ouverts, il vous les rouvrira au prochain lancement (paramétrable dans les préférences) :
la gestion des flux RSS est améliorée puisque vous pouvez avoir un aperçu avant de l'insérer dans le gestionnaire interne de Firefox ou l'envoyer vers une application sur votre ordinateur ou même un service en ligne ;
Firefox possède maintenant un détecteur de phishing ;
la possibilité d'annuler la la fermeture d'un onglet (bouton droit sur un onglet) est une fonctionnalité très intéressante.

Plus d'infos sur les choix faits sur l'ergonomie des onglets

J'en ai profité pour faire le tour du site dédié aux extensions et thèmes des produits Mozilla pour découvrir les dernières (extensions) indispensables, dont beaucoup liées à la sécurité ou la protection de la vie privée ('privacy'), en voici quelques unes :

CookieSafe est l'extension indispendable pour gérer les cookies sous Firefox, offrant (enfin !) une ergonomie comparable à celle de Mozilla Suite/Seamonkey ;
NoScript vous offre une protection accrue en désactivant par défaut Javascript et vous permettant de l'activer que pour certains domaines de confiance ;
Flashblock pour désactiver les animations flash qui polluent les pages web (pubs principalement, entêtes...) et les réactiver ponctuellement ;
SafeHistory et SafeCache pour des protections supplémentaires quand vous surfez ;
CFG.Search est l'extension indispensable si vous utilisez Gmail ou tout autre service Google mais que vous ne voulez pas laisser des cookies à chaque recherche... je ne l'ai pas encore testée, mais elle semble très intéressante ;
Foxtor pour facilement basculer entre utilisation de Tor ou pas ;
Stealther pour temporairement désactiver TOUT (cache, historique, cookies, referer...) et Distrust pour la même chose ;
et bien sûr l'extension pour Beagle.

Sinon, à côté de ça, sachez que sur Debian (et donc potentiellement toutes les dérivées, telle Ubuntu) Firefox, Thunderbird et Mozilla Suite/Seamonkey ont été remplacées par respectivement IceWeasel, IceDove et IceApe. Sans entrer dans les détails et encore moins sur la polémique que l'on a vu fleurir sur les blogs des divers "camps", sachez que ces "forks" sont dûs à des problèmes de copyright de la Fondation Mozilla sur ses produits. Ces copyrights interdisent de distribuer ces logiciels avec leur nom et les icônes associés si le code source a été modifié... ce qui est une hérésie du point de vue Linux et open source (à quoi sert le code source si on ne peut le modifier ?) et une impossibilité pour Debian (qui corrige les failles de sécurité pendant toute la durée de vie de sa branche stable, celle-ci étant énormément plus longue que le support offert par la MoFo/MoCo^[2]). Je vous encourage à parcourir les sites de news et les blogs pour découvrir plus en détail cette affaire si elle vous intéresse, je pense que vous trouverez assez facilement...

[Vous pouvez trouver plus d'infos par ex sur cette page qui semble être celle du mainteneur Debian des paquets Mozilla/GnuZilla/IceLizard]

Notes

[1] vu le retard que je prends au niveau des billets de ce blog... le manque d'internet à la maison n'aidant pas...

[2] Mozilla Foundation/Mozilla Corporation

des nouvelles de Google

er:k — Mon, 12 Jun 2006 22:25:36 +0000

Ça faisait un bon moment que je n'avais pas parlé de Google et j'imagine donc que ça vous manquait, alors c'est reparti...

Tout d'abord Google continue sur sa stratégie, et sort un tableur en ligne disponible à l'adresse spreadsheets.google.com.

Tristan Nitot le trouve rudimentaire, mais suffisant pour la majorité des gens^[1];
TechCrunch Fr nous en parlait en exclusivité avant sa sortie officielle : tableur en Ajax, capable d'importer du CSV et du XLS, et pouvant exporter en CSV, XLS et HTML, et en profitait pour nous donner quelques alternatives comme Zohosheet, iRows, ou NumSum, tous ses tableurs permettant bien évidemment de partager des feuilles de calcul avec d'autres utilisateurs;
TechCrunch Fr nous parle également de l'initiative de WikiCalc, qu'il trouve beaucoup plus intéressante que celle de Google Spreadsheets, et qui consiste à proposer un tableur Open Source basé sur un Wiki et pouvant être hébergé directement dans les entreprises... pour celles n'ayant pas assez confiance en Google pour leur confier leurs données importantes...

D'ailleurs, les critiques commencent (?) à pleuvoir sur Google :

sur TechCrunch Fr justement;
sur La grange [via pep];
chez Daniel Glazman [via] à propos de

la nouvelle extension Firefox de chez Google^[2] Google Browser Sync qui vous propose de stocker sur leur serveur votre historique, vos marque-pages, vos cookies et même vos mots de passe Firefox sur leurs serveurs afin de pouvoir y accéder depuis n'importe quel ordinateur... sympa, non ?

Allez ciao...

ps : cf également linuxfr.org : Google, le futur grand méchant loup ?

update : Ian Murdock (qui se définit lui-même comme un client Google) émet lui aussi une critique sur les produits Google, qui, quoique tous innovants, ne sont pas assez liés pour créer une plateforme de services. Uwe Hermann quant à lui nous présente la version Linux de Google Earth 4 Beta.

Notes

[1] en effet, la majorité des gens n'utilisent que 10% des possibilités d'un tableur moderne, comme pour beaucoup de logiciels d'ailleurs !

[2] encore eux... ah oui, c'est un billet qui leur est consacré, 'suis con...

Picasa sous Linux

er:k — Mon, 29 May 2006 21:43:43 +0000

Le logiciel de gestion de photos de Google Picasa est enfin disponible pour Linux, et l'est même "nativement" pour Debian/Ubuntu^[1]... magnifique, non ?

Pour information, Google n'a pas réellement porté Picasa mais a utilisé Wine (implémentation libre des bibliothèques Windows sous Linux, cf Wikipédia) et a contribué via de nombreux patchs au développement de ce logiciel.
Il semble que la prochaine étape pour Google soit de faire tourner Google Earth sous Linux (cf cette news sur le site de Wine) même si il semble que certaines personnes ait déjà réussi à le faire tourner avec Wine (un Howto pour Gentoo).

Bien entendu, Picasa n'est pas un logiciel libre (regardez-moi cette jolie licence et la politique de 'privacy' de Google^[2]) mais sachez que de nombreux logiciels libres offrent les mêmes possibilités, tout d'abord F-spot le plus prometteur mais pas encore très stable sous Debian testing, gThumb pour Gnome, Digikam ou KPhotoAlbum/Kimdaba sous KDE. Tous ceux-ci permettant de classifier vos photos par catégories, tags, voire de les éditer de façon assez puissante.

Il est intéressant de noter que la version de Picasa pour Linux arrive avant celle pour MacOS... mais peut-être est-ce justement dû à Wine qui a évité à Google un portage complet de leur application.

[via linuxfr.org]

Notes

[1] avec un paquet .deb quoi !

[2] et n'oubliez pas GooDiff pour la surveiller, cf ici

Google Calendar

er:k — Thu, 27 Apr 2006 23:03:17 +0000

Cette fois-ci, c'est fait, Google a sorti son calendrier en ligne. Après quelques jours de tests, voici quelques impressions :

très belle interface : c'est joli (je dirais même "smooth"), l'ajout d'une entrée est rapide, le déplacement ou "l'agrandissement" d'un rendez-vous se fait super bien grâce à l'interface en AJAX que l'on a déjà découvert avec gmail. Petit détail qui tue : si plusieurs rendez-vous se chevauchent, ils se retaillent afin d'être tous visibles... magnifique !
la possibilité de créer plusieurs calendriers
la possibilité de partager un ou des calendriers. Chaque calendrier peut être privé, public (accessible par tout internet) ou partagé pour certaines personnes (utilisant gmail bien sur :)
on peut inviter des gens à un rendez-vous
on peut facilement voir ou ne pas voir un calendrier (il suffit de décocher le calendrier dans la barre de gauche)
il semblerait que dans un calendrier public on peut avoir des évènements privés (donc non visibles) et vice-versa... ce qui parait une bonne idée, mais à mon avis, il faut ensuite faire attention !
l'intégration dans gmail bien entendu !
on peut importer et exporter aux formats CSV et iCal et il semble également qu'on puisse s'abonner aux flux RSS des calendriers et à une URL iCal... mais je n'ai pas réussi à m'y abonner avec le Calendrier Mozilla, à tester donc avec une autre application compatible iCal. Dans tous les cas, il semble que ce ne soit que de la consultation et que cette URL ne permette pas de mettre à jour le calendrier à travers son application favorite (on dirait que je ne suis pas le seul à avoir des problèmes)
pour les développeurs, Google fournit une API et les premières applications commencent déjà à arriver, getCals et goocal un extension pour Firefox pour ne cite quelles

Voilà, maintenant, à vous de voir si en plus de confier vos mails à Google vous voulez aussi lui confier votre agenda... :-(

Pour information, sachez qu'il existe des alternatives sur le web, voyez ce billet qui en citent quelques-unes, et je crois que Yahoo en propose un également.

Pour les plus geeks qui disposent de leur propre serveur, sachez qu'il existe également Hula qui est un serveur de mail et de calendrier avec une interface aussi sympa, et là c'est du logiciel libre... (plus d'infos sur le planète Hula et l'appel de Nat Friedman pour battre Gmail à son propre jeu).

un service pour surveiller les documents légaux des principaux fournisseurs de service sur Internet

er:k — Thu, 20 Apr 2006 12:04:35 +0000

Quand vous souscrivez à un service sur Internet, que celui-ci soit gratuit ou payant, on vous demande de déclarer que vous avez lu et que vous acceptez les conditions générales de vente (les fameuses CGV). Si par hasard vous faites partie du petit nombre de personnes (dont je fais également partie... en général :) qui les lisent (ce que vous devriez faire), dans ce cas vous aimeriez également être averti quand celles-ci changent.

Un nouveau service appelé GooDiff s'est justement monté pour vous permettre d'en avoir une vision simple. Il est basé sur un script python nommé GooDiffMonitor qui met à jour un 'repository' Subversion (c'est un des nombreux logiciels open source permettant le contrôle de version) et vous affiche le résultat grâce à Trac.

Pour l'instant, seuls quelques services sont surveillés, mais vous pouvez en proposer d'autres. Je vous conseille d'aller voir les changements récents de politique sur les données personnelles de Google Picasa et appréciez... c'est visuel, non ?

[via linuxfr.org]

le passeport biométrique : la sécurité ?

er:k — Fri, 03 Feb 2006 14:12:52 +0000

Un article de The Register nous explique que le passeport biométrique et RFID danois a déjà été craqué. En effet une entreprise spécialiste de la sécurité des cartes a réussi a pénétré le système inclus dans la carte et à en extraire des données comme la data de naissance, la photographie et l'empreinte digitale. Les passeports danois sont protégés par de la cryptographie malheureusement il semblerait que l'implémentation souffre de plusieurs failles de sécurité.
Vous trouverez plus d'informations sur le site de Riscure.

En tout cas, cela fait pas mal réfléchir au moment où les passeports biométriques se répandent dans la plupart des pays occidentaux (souvent sur pression des États-Unis d'ailleurs...) et que l'on nous les vend comme un moyen de garantir notre sécurité face au terrorisme.

[via]

réflexions sur l'anonymat et la protection de la vie privée

er:k — Fri, 20 Jan 2006 10:48:55 +0000

Sur le blog de Bruce Schneier, on retrouve mention d'un article de Kevin Kelly appelé "More anonymity is good: that's a dangerous idea.". Cet article est paru sur un site appelé Edge The World Question Center dans la section What is your dangerous idea?.
Je vous laisse étudier les réflexions de Schneier et les commentaires postés, qui mettent en lumière le lien entre anonymat et protection de la vie privée, et laisse un peu de côté le sempiternel "pourquoi je voudrais être anonyme, je n'ai rien à me reprocher !".

update : Bruce Schneier reparle lui-même de l'article de Kevin Kelly sur wired.com : Anonymity Won't Kill the Internet et l'indique dans son blog. Il y explique la différence entre l'anonymat et la "réputation"/"traçabilité" (je n'ai pas trouvé de meilleurs termes) et défend l'idée que dans beaucoup de cas (eBay, hackers célèbres, Usenet même) la réputation suffit et permet à l'anonymat d'exister sans mettre en péril le système.