Les métadonnées de vos impressions couleurs

Depuis au moins 10 ans, les imprimantes couleurs impriment en filigrane des points jaunes. Ils sont quasiment invisible à l’oeil nu mais on peut les apercevoir en scannant la page en 600dpi et en zoomant (image d’environ 1cm) :

dots_sample_closeupC’est bien plus flagrant avec GIMP en décomposant les canaux de couleurs avec GIMP et en ne conservant que le bleu :dots_sample_closeup_blue_channelCertaines imprimantes utilisent un mode inversé (zone blanches sur trame jaune très fine). J’ai pu en retrouver sur beaucoup de papier que je reçois (banque, facture, etc…)

A quoi cela sert-il ? Et bien à tracer les documents imprimés.

C’est une métadonnée que l’Electronic Frontier Fondation a réussi à décoder pour les imprimantes Xerox DocuColor.

xerox printer dotXerox encode sur chaque page, l’heure d’impression et le numéro de série de la machine. Ainsi il est facile de remonter l’origine d’une fuite de document confidentiel, d’un tract militant, ou encore confondre les imprimeurs de faux tickets de trains.

Les USA ont reconnu avoir conclu un accord avec 10 fabricants d’imprimantes afin de permettre d’identifier les documents imprimés.

D’après l’EFF, la plupart des fabricants d’imprimantes imposent l’impression de métadonnées en filigrane, sans que l’utilisateur ne puisse, par quelque manière que ce soit, connaître la teneur des informations qu’ils encodent.

Malheureusement, le filigrane est apparemment appliqué par une puce dans le hardware, ce qui rend impossible sa désactivation par un driver libre.

Vous comprenez mieux comment le réservoir d’encre jaune peut se vider… Et comme pour les métadonnées récoltées par Google, c’est vous qui payez.

Par contre, ça m’a donné une idée, pourrait-on utiliser la même technique pour faire de la stéganographie invisible à l’oeil nu sur du papier (en utilisant les quelques modèles d’imprimantes qui n’appliquent pas de filigrane constructeur)? Si vous connaissez un peu OpenCV ou autre pour écrire un code qui pourrait lire un pattern de ce type sur une image scannée, faites-moi signe.

J'aime(8)Ferme-la !(0)

Vous avez dit anonyme?

anonymous-logo-1L’anonymat consiste à ne pas pouvoir être identifié.

A l’ère du numérique, nos communications laissent d’innombrables traces indélébiles. Il devient vain de chercher à ne pas laisser de traces. Le jeu consiste alors à rendre impossible ou très difficile de remonter jusqu’à l’identité mère.

Par exemple, si vous utilisez un pseudonyme occasionnel il protège votre identité. Mais si vous utilisez partout alors il est facile de remonter à votre identité. Par exemple, il est désormais facilement possible de recouper tous les commentaires postés par un pseudonyme sur le web. (Sûrement le business des plugins de commentaires comme Disqus).

Certains services comme Gmail, GoogleAnalytics, GooglePlayServices (Android avec Google apps installés), disent récolter des informations « anonymes », il justifient cet anonymat car toutes les infos qu’ils récupèrent sur vous sont attribuées un identifiant généré aléatoirement. Sauf que les informations attachées à cet identifiant sont tout sauf anonyme ! Vous signez votre email avec votre nom? C’est bien la position de chez vous que votre smartphone envoie toutes les nuits? La liste des contacts que vous stockez dans le cloud comporte un nom associé à chaque numéro et votre Android envoie le numéro de chaque appel reçu à Google?

Il faut réaliser que:

  • L’anonymat ne se prétend pas. Il se vérifie.

Cherchez toujours à estimer comment on pourrait remonter jusqu’à vous. C’est ce qui vous donnera la meilleure indication de l’anonymat que vous avez en faisant une action. Vous verrez que souvent, il est assez faible en réalité :p

  • L’anonymat est relatif

Malgré cela, on peut facilement être anonyme pour une cible donnée sans être anonyme envers tout le monde.

Par exemple, je peux poster un commentaire avec un pseudo inconnu de mes amis. Je ne serai pas reconnu par eux mais la police peut remonter à mon IP et l’admininistrateur du site me confondre avec mes autres pseudo par un cookie.

A l’inverse, je peux utiliser un ami comme passerelle pour communiquer sur Internet et seul mon ami pourra remonter jusqu’à moi.

J'aime(1)Ferme-la !(0)

Facebook lit les documents Google Doc partagés

  1. Créez un nouveau document Google Doc.
  2. Créez un lien de partage (seuls les personnes connaissant le lien peuvent accéder au document)
  3. Partagez ce lien dans un message privé sur Facebook.
  4. Regardez immédiatement la page web Google Doc, vous verrez 2 utilisateurs anonymes connectés à votre document ! Et ce alors que votre destinataire n’a pas encore lu votre message !

Facebook a l’air d’aspirer tous les nouveaux documents Google Doc échangés sur Facebook. Le même comportement s’observe si vous publiez le lien Google Doc sur votre mur Facebook.

Autre élément corroborant, une vignette miniature du document apparaît dans Facebook à coté de votre lien. Cela montre que Facebook l’a lu et en a fait une capture d’écran. Votre document a de forte chances d’être exploité à toute fin utile pour Facebook et les USA (tracking publicitaire, détection des terroristes et pédophiles, espionnage commercial par la NSA, etc…)

Bref, Facebook, ce n’est pas chez vous, et ce n’est pas privé. Relisez ses conditions d’utilisation.

J'aime(6)Ferme-la !(0)

Google Chrome : Économiseur de données. Refusez de donner le contenu de vos visites !

J’ai été très surpris par l’article de NextInpact nommé « Google : une extension Chrome pour réduire la quantité de données consommées »

L’article est plutôt complaisant alors que l’extension ne fait ni plus ni moins que d’utiliser les serveurs de Google comme proxy pour acheminer vos communications avec tous les sites web que vous consultez. Sauf que Google n’a pas le statut d’un FAI et n’a aucune obligation de ne pas lire et analyser le contenu de vos communications personnelles. Et c’est d’ailleurs pour avoir à l’intégralité de vos communications qu’il vous propose ce service.

Google avait déjà :

  • l’historique complet de vos recherches (cookie Google)
  • l’historique de toutes vos visites si vous utilisez Chrome (si vous avez activé la synchronisation dans le cloud)
  • le tracking sur les sites web (cookie GoogleAnalytics sur plus de 60% des sites web)
  • le contenu de vos emails (si vous envoyez un mail à ou depuis une adresse Gmail)

Et avec ce plugin installé volontairement par l’utilisateut il pourra lire le contenu complet de vos échanges y compris mot de passes, commentaires, contenu des pages web, etc… C’est horrible ! Il faut refuser ça ! On ne doit pas faire d’article complaisant tel que l’a fait NextInpact sans sensibiliser fortement les utilisateurs sur ce qui se passe réellement derrière la publicité de Google. Quand je vois les commentaires tous gentils sur la page de l’extension je prends peur…

google economiseur

Si Google et les webmasters voulaient honnêtement accélérer le web, ils enlèveraient tout leurs codes de tracking, les publicités et les redirections sur chaque lien !

Par exemple, j’ai fait moi aussi un proxy qui nettoie la page de résultats de Google, résultat : 13ko pour afficher les résultats de la première page. La même page de résultat sur le site officiel de Google c’est 1000ko!

Faites vous plaisir le code source de mon proxy est libre.

J'aime(13)Ferme-la !(0)

Après il sera trop tard

Le gouvernement est à 2 doigts de légaliser la surveillance généralisée de toute la population. Ça va se passer dans 2 semaines. Après il sera trop tard.

Pour ceux que l’info aurait épargné, NextInpact explique ce projet de loi ligne par ligne.

Une fois le pouvoir avec ce joujou, sachez bien qu’il n’y aura pas de retour en arrière. Regardez le consensus des députés de tout bord politique pour voter cette loi.

Notez aussi que vous ne pourrez plus vous protéger. Quand un état a les moyens financiers pour acheter des failles 0-day, qu’il légalise leur usage pour lui uniquement et qu’il a un accès direct aux communications de tous vos appareils connectés à Internet (PC, smartphone et tout ce que l’avenir nous réserve… tv, voiture, maison, etc…), vous pensez bien que nos défenses font pale figure.

Imaginez le pire, une fois cet outil aux mains du FN…

Il restera bien quelques zones d’ombres pour les marginaux (utilisateur de Tor, personnes sans smartphone ni compte bancaire, etc…) mais qui est prêt à payer le coût social de cette marginalisation? Pour les terroristes, pas de soucis, ces zones d’ombres suffisent amplement.

Notez aussi que cela va créer un sentiment de prison chez tout le monde. Vous vous sentirez jugés à chaque instant. Et vous le serez. Et ce sera du jugement de masse par des algorithmes, sans fioriture. Un pas sur la ligne jaune et la machine se chargera de vous amener des emmerdes que vous voudrez éviter à tout prix.

Cela va augmenter encore le rapport de force des dominants (états, grand entreprises) sur les dominés (citoyen). Les dominants auront d’autant plus de moyens de pression sur les humains isolés. C’est la fin de la démocratie.

J'aime(10)Ferme-la !(2)

Où est Charlie?

Aujourd’hui en France, cinq sites sont bloqués par le pouvoir exécutif sans décision de justice ni débat public :

(Source de la liste : Numerama)

La France se rabaisse au niveau de la Chine et son « bouclier doré » .

La liberté d’expression ne s’arrête pas à la ligne politique du gouvernement. Ces blogs sont de ridicules proies (des blogs avec 2 commentaires seraient des outils de propagande…. LOL ) qui n’influent en rien sur la sécurité des citoyens français. C’est la liberté d’information des français qu’on assassine.

Où sont les Charlies pour défendre la liberté d’expression du politiquement incorrect ? Car bon, Charlie, vu les élections récentes, c’est presque lus choquant… :-/

charlie FN

J'aime(6)Ferme-la !(1)

Proxy Web avec SSH

Imaginons que vous soyez sur un réseau où certains sites web sont bloqués.
Si vous avez une machine à l’extérieur et un accès SSH dessus, vous pouvez l’utiliser comme proxy.

1ère étape

Lancez la commande suivante pour créer un proxy :

$ ssh Utilisateur@MachineExterne -C -N -D 8080

Les options sont les suivantes :

  • -C : compresse la transmission pour économiser la bande passante
  • -N : n’ouvre pas de shell
  • -D : ouvre un proxy dynamique

Vous devez garder le proxy ouvert, ne fermez donc pas la console sur laquelle vous l’avez ouvert !

Cette commande fonctionne pour Linux et MacOS. Pour Windows, je vous laisse regarder du coté de Putty.

2eme étape

Configurez ensuite votre navigateur pour pour rediriger le flux TCP et DNS vers le proxy :
proxyN’oubliez pas de cocher la case « DNS distant ». Et voila !

Vous avez en plus changé d’IP sur Internet. Vous utilisez désormais celle du serveur proxy.

J'aime(4)Ferme-la !(0)

Fausses antennes GSM pour espionner les gouvernements européens

Triple-scandale en Norvège, en Suède et en Finlande: En mesurant le trafic numérique dans les quartier gouvernementaux les journalistes ont découvert au moins six fausses stations de téléphonie mobile (IMSI catcher) installées pour intercepter les conversations téléphoniques, suivre les déplacements des détenteurs de téléphones portables et télécharger leurs données.

L’avis des experts et des journalistes des trois pays divergent quant à l’origine de ces fausses bases de réception dans les quartiers gouvernementaux des trois capitales: les USA ou la police locale sont les plus plausibles.

Source La voix de la Russie

Pendant ce temps, à Paris, à deux pas de l’Elysée, l’ambassade américaine a elle aussi son antenne espion GSM. et la NSA ne s’est pas privée d’espionner de fond en comble l’ambassade française aux USA (à lire !)

J'aime(3)Ferme-la !(0)