par Laurent | 2 Avr 2019 | Informatique
C’est un sujet de fond ; nous vivons une période où les libertés individuelles sont de plus en plus menacées et nos activités sur internet pistées. Il suffit d’aller sur une plateforme d’achat en ligne puis ensuite d’aller sur son réseau social préféré pour voir apparaître des publicités liées aux objets que nous avons précédemment consultés.
Pour se prémunir de ce genre de comportement – le profilage entre autres – des institutions comme l’Union Européenne ont mis en place des mesures légales ; c’est l’objet du Règlement Général pour la Protection des Données (RGPD) qui permet de limiter la diffusion de nos données et l’intrusion dans notre vie privée. Ces dispositions légales sont malheureusement contraintes par leur portée géographique et elle n’empêcheront pas les groupes internationaux surfant sur plusieurs législations nationales de collecter bon gré mal gré ce qu’ils souhaitent au grand dam de la personne concernée.
La liberté c’est aussi celle de l’accès au savoir ; internet est un formidable outil de la diffusion des connaissances qui permet à chaque utilisateur d’avoir une égalité d’accès au savoir. Et pourtant nous vivons une époque formidable où les fake news sont légion et où l’accès au savoir sur internet est de plus en plus contraint à des abonnements voire à des restrictions légales ordonnées en fonction des intérêts des uns et des autres. C’est notamment le cas avec les 2 sites dédiés à la recherche scientifique, bloqués en France et autorisés dans d’autres pays à savoir libgen.is et sci-hub.se…
Alors, comment se prémunir des profilages, limiter le fait d’être pisté sur internet et garantir ses accès à la connaissance ? N’y allons pas par 4 chemins, j’encourage l’utilisation de « The Onion Routeur », TOR pour les intimes.
TOR est un outil qui est simple d’utilisation puisqu’il est basé sur le navigateur (vraiment libre) FireFox. Il a été développé pour permettre aux internautes qui vivent dans des pays où internet est fortement contrôlé de surfer sur les sites qu’ils souhaitent. Pour simplifier, pour permettre à ceux qui vivent dans des dictatures d’avoir accès aux sites « occidentaux ». Évidemment, c’est aussi valable pour les internautes qui vivent dans des pays occidentaux où il y aurait une propension importante à la censure.
Le principe de TOR est simple, c’est un protocole particulier qui crée un chemin à travers plusieurs serveurs et plusieurs pays avant de pouvoir se connecter au site souhaité. Le chemin change toutes les x secondes… ce qui limite évidemment le fait d’être profilé. Certains lui reprocheront sa lenteur, ce qui était vrai il y a plusieurs années et qui l’est moins aujourd’hui. Plus il y aura d’utilisateurs de TOR et plus ce sera rapide…
Le réseau TOR est accessible ici : https://www.torproject.org/fr/ ; c’est un logiciel gratuit à installer, il est open source et c’est un outil majeur pour défendre ses libertés sur internet. Cependant, comme nous ne connaissons pas les serveurs où l’information transite, je ne recommande pas encore son utilisation pour tout ce qui est opération financière (achats, paiements… c’est un avis personnel).
Avec TOR vous avez même accès à Facebook en mode « Onion » grâce à cette adresse : https://www.facebookcorewwwi.onion/ (si vous n’avez pas installé TOR, n’essayez pas de cliquer dessus, cela ne vous mènera nulle part). A ce sujet je vous invite à lire l’excellent article de Numerama sur ce sujet : https://www.numerama.com/tech/165998-tor-aide-un-million-de-personnes-a-acceder-facebook-sans-censure.html
Bon surf libre !
par Laurent | 2 Oct 2016 | Informatique
Il convient aujourd’hui de parler du https ; c’est le nouveau standard qui sécurise les sites web.
La différence entre le http et le https tient en cette simple lettre ajoutée à la fin de http : « s ».
En fait le web devient sécurisé, la lettre « s » signifiant « secure », sécurisé dans la langue de Shakespeare. La sécurisation permet à un visiteur de vérifier l’identité d’un administrateur de site web. Par exemple, vous êtes sur mon site qui est désormais https://www.keltika.org . Un petit cadenas vert vous informe que mon identité a été vérifiée et que vous savez qui est le responsable de ce site grâce à un certificat de sécurité donné par une autorité tierce. Cette vérification est effectuée à chaque navigation sur le site concerné.
Ce n’est pas un site anonyme ou tenu par des personnes douteuses. Vous pouvez donc surfer sur ce site en toute sécurité.
Quel impact sur votre navigation ?
Sachez que les principaux moteurs de recherche ont décidé d’afficher en priorité, dans les résultats des requêtes, les sites affichant leur identité. C’est important car ainsi vous avez la certitude que vous surfez sur un site en toute confiance, ce qui n’était pas nécessairement le cas auparavant.
Ainsi, sachez que tous les sites que j’administre et qui sont ma propriété (j’en ai un très gros comme vous le savez pour certains) sont progressivement en train de passer en https.
Bon surf !
par Laurent | 21 Juil 2015 | Informatique
Depuis que la loi sur la sécurité informatique a été adoptée par les deux chambres, certains ont émis les inquiétudes de se voir espionnés ou tracés, de voir leurs habitudes de surf scrutées et analysées.
Faisons un point sur la loi qui vient d’être adoptée. Elle permet aux forces de l’ordre ou à un ministère d’installer sur le PC de n’importe qui un système d’audit et de traçabilité. Elle permet aussi aux F.A.I., les Fournisseurs d’Accès à Internet d’écouter sur demandes des autorités les activités internet d’une personne, ceci sans qu’un Juge n’ait eu à donner son avis. La motivation de cette loi est la lutte contre le terrorisme. Je trouve cette loi particulièrement dangereuse ou inadaptée pour deux raisons :
- La première est que les réseaux terroristes n’oeuvrent plus sur l’internet conventionnel depuis longtemps. Ils utilisent de darknet pour communiquer anonymement. Le réseau darknet est utilisé par à peu près toutes les agences de renseignement du monde et tous les réseaux de trafiquants, de terroristes en tous genres.
- La seconde est que cette loi met à disposition d’un gouvernement des outils d’écoute inédits qui, si ils tombaient en de mauvaises mains, permettraient d’espionner toute personne présente sur le territoire national pour des raisons pas nécessairement liées au terrorisme telles que l’activisme politique, l’espionnage industriel et j’en passe…
Alors le darknet, c’est quoi ?
Le darknet, le côté obscure d’internet, est un réseau sous terrain utilisant les mêmes lignes qu’internet mais utilisant des protocoles de communication différents. Ce protocole de communication inclut le passage par 5 proxys différents avec un changement de chemin toutes les 20 secondes ((cette durée est variable, elle peut être contrôlée par l’utilisateur)) . Chaque proxy connait le proxy précédent et le proxy suivant. Aucun d’eux ne connaît l’ensemble du chemin. Ces proxys peuvent être situés dans plusieurs pays différents ce qui, compte tenu des législations rend très difficile l’accès aux journaux de connexions ((les logs)) . Un proxy est un serveur transitoire.
Ajoutons à cela un protocole spécial de communication fondé sur un cryptage complexe des données, un domaine particulier pour les sites visités (les .onion)… et vous avez une idée de la difficulté pour un gouvernement de retrouver un chemin particulier. C’est théoriquement réalisable, dans la pratique c’est un vrai travail de fourmi qui nécessite beaucoup de temps, d’argent et de diplomatie.
Surfer Anonymement
Néanmoins, en tant qu’utilisateur lambda, vous pouvez surfer anonymement ((sous réserve de ce que nous avons vu)) sur l’internet normal en utilisant les proxys du réseau Tor. Installez TOR en le téléchargeant à cette adresse : httpss://www.torproject.org/download/download-easy.html
Sélectionnez la langue « Français »… Une fois téléchargé, lancez le.
Vous avez vu, c’est très simple… Vous pensez que ça ne marche pas ? Allez donc sur ce site et regardez où il croit que vous vous situez : https://whatismyipaddress.com/fr/mon-ip .
Vous utilisez gmail et vous ne souhaitez pas être lu ?
Rassurez vous, gmail est déjà crypté grâce au protocole httpss. Cependant, si vous souhaitez ajouter une couche de cryptage, vous pouvez toujours utiliser le plugin mymail-crypt (httpss://chrome.google.com/webstore/detail/mymail-crypt-for-gmail/jcaobjhdnlpmopmjhijplpjhlplfkhba) qui cryptera vos emails et les rendront lisibles à votre correspondant à l’unique condition qu’il en possède la clé.
Qu’en est il de nos conversations téléphoniques ?
Là encore, les plus paranoïaques d’entre nous pourront utiliser OpenWhisper pour Apple et Android (httpss://whispersystems.org/). Ces applications cryptent les conversations téléphoniques sans passer par internet. C’est un système open-source ce qui signifie que le code du programme est connu.
Internet est un espace de liberté, d’échanges, de connaissances et de convivialité où le bénévolat, le don est une pratique encore courante. Il appartient à chacun de contribuer à sa préservation…
par Laurent | 8 Juin 2015 | Informatique
Que n’entend on pas sur la sécurité et le piratage informatique ! « Je me suis fait piraté » dira l’utilisateur moyen devant un écran dont il ne comprendra pas le sens, comme si les pirates informatiques s’intéressaient aux photos de vacances de Mr Hulot… Relativisons. Le but de ce billet est de rappeler quelques consignes élémentaires de sécurité et surtout de bon sens informatique qui vous permettront d’avoir un indice de sécurité de 99% ((Le 100% n’existant pas en informatique)).
D’abord quelques chiffres :
- 95% des informations confidentielles sont sur internet. Vous cherchez quelque chose ? Il y a énormément de chance pour que l’information ait déjà été diffusée sur le réseau des réseaux. Pour cela essayez votre moteur de recherche favori et sachez aller au delà de la page 3 des résultats. Si l’information que vous cherchez n’est pas présente, elle l’est ailleurs. Affinez vos recherches, au bout d’un moment vous la trouverez sinon vous aurez obtenu des pistes de recherche. Sachez analyser des informations convergentes même si vous pensez qu’elles n’ont rien à voir avec l’objet de votre recherche.
- 80% des faits de piratages sont liés à des indiscrétions volontaires ou involontaires. La confidentialité s’applique à l’ensemble de tous les actes de la vie courante. Recevoir des amis à diner un samedi soir n’autorise pas à dévoiler ce qui se passe dans son entreprise sauf à vouloir lui nuire de façon intentionnelle ou pas. Il m’est arrivé par ce biais d’avoir accès à une information essentielle concernant un concurrent. Le piratage informatique n’est pas nécessairement une attaque en force brute qui sature les serveurs. Les bons piratages sont insidieux et pérennes; il collecte vos informations à votre insu sur du long terme.
Renforcer la sécurité informatique, c’est avoir un comportement sain et responsable avec les informations et le matériel que nous détenons. Voici quelques comportements à adopter :
Je n’ouvre jamais une pièce jointe dont je ne connais pas l’expéditeur ou que je trouve suspecte (le patron qui envoie une photo de Pamela Anderson dans ses années d’Alerte à Malibu est suspect, si, si, je vous assure !). Dans les années 2000 il y a eu un virus qui s’est fortement propagé ainsi. En fait un collègue recevait d’un expéditeur inconnu une photo ((d’une femme en tenue d’Eve, cela va de soi)) sur laquelle il devait cliquer pour l’agrandir. Le fait de cliquer dessus faisait suivre cette photo à l’ensemble du carnet d’adresse, effaçait certaines parties du disque dur et transmettait certains de vos fichiers ailleurs sur le web. Le simple fait de ne pas ouvrir la pièce jointe était salvateur.
Je ne vais pas sur des sites douteux et je ne télécharge rien dont je ne sois certain ; même avec le meilleur antivirus possible, il existe des sites franchement malveillants qui permettent de littéralement prendre le contrôle de votre ordinateur. C’est gênant surtout lorsque vous y allez avec l’ordinateur du bureau. Vous pouvez me dire que vous avez un excellent antivirus, ceux ci sont rétroactifs ce qui signifie qu’ils fonctionnent sur des virus déjà identifiés ou des comportements douteux de certains de sites webs. Ils ne sont efficaces à 100% en aucun cas car les pirates malveillants sont créatifs. La sécurité absolue n’existe pas.
Je ne travaille pas dans les transports en communs (trains, avions, bus, métro…). Hein ??? Mais que va penser mon patron si je ne travaille pas pendant mon Paris-Clermont Ferrand en train ? Il pensera que vous aurez bien fait ! Dans un poste précédent, j’ai eu la chance de remporter un appel d’offre parce que mes concurrents étaient assis juste devant moi dans l’avion et qu’ils passaient en revue leur présentation au client. C’était le prestataire qui était déjà en place chez le client et nous avons ainsi pu savoir combien il y avait exactement de ressources sur le site concerné par l’appel d’offre. Nous avons adapté notre présentation et notre offre. Nous avons ainsi remporté le marché. De même on ne parle pas des fournisseurs, des clients ni des chiffres de la société dans les transports. On ne sait jamais qui nous écoute.
Je ne parle pas de l’activité de ma société avec mes amis ou ma famille. On peut parler de l’ambiance de la société, en revanche on ne parle pas de l’activité. C’est une règle élémentaire. Personne n’a besoin de se faire mousser sur le compte de sa société surtout si cela la met potentiellement en danger. J’insiste sur ce dernier comportement car c’est le plus pernicieux de tous. Lors d’un repas familial, j’ai appris qu’un concurrent direct ouvrait une succursale en Inde. Cela nous a permis de revoir notre stratégie de présentation client lorsque celui ci était faisait partie des compétiteurs.
Lorsque mon PC est allumé, j’ai un écran de veille qui est désactivé avec un mot de passe… Si l’écran de veille se met en route, c’est généralement que je suis absent. Mettre un mot de passe empêche temporairement l’accès à mon PC. Si je dois m’absenter plus de 15 minutes, j’éteins mon PC. Il ne me faut pas plus de 15 minutes pour avoir accès aux informations de votre PC, même si vous avez un écran de veille avec un mot de passe. Idéalement vous pouvez crypter votre disque dur. Ceci pose néanmoins un problème au cas où votre disque dur commence à montrer des signes de faiblesses ; si vous n’avez pas fait des copies de vous fichiers, ils seront définitivement perdus. Il faut alors pour le pirate savoir où sont les copies des informations 
. Si vous tenez à crypter vos données, je vous recommande d’utiliser un disque virtuel, une sorte de gros fichier qui s’ouvre avec un mot de passe, qui crée un lecteur supplémentaire et dont vous pouvez avoir une copie sur un autre disque ou sur une clé USB. Je ne recommande pas le cryptage brut des disques dur pour des raisons de pérennité.
Ces règles de base et de bon sens vont vous permettre d’avoir une attitude responsable.
