Panopticon

Le panopticon est un type d’architecture carcérale imaginée à la fin du XVIIIe siècle. L’objectif de la structure panoptique est de permettre à un gardien, logé dans une tour centrale, d’observer tous les prisonniers, enfermés dans des cellules individuelles autour de la tour, sans que ceux-ci puissent savoir s’ils sont observés. Ce dispositif devait ainsi créer un « sentiment d’omniscience invisible » chez les détenus.

L’historien et philosophe Michel Foucault reprend le concept du Panopticon, en 1975, dans Surveiller et punir :

« Le vrai effet du Panopticon, c’est d’être tel que, même lorsqu’il n’y a personne, l’individu dans sa cellule, non seulement se croie, mais se sache observé. (…) Pas besoin d’armes, de violences physiques, de contraintes matérielles. Mais un regard qui surveille et que chacun, en le sentant peser sur lui, finira par intérioriser au point de s’observer lui-même : chacun, ainsi, exercera cette surveillance sur et contre lui-même. » […]


L’intérieur de la prison Presidio Modelo, à Cuba, construite sur le modèle du panoptique

C’est le même effet, à mon avis, que créent les croyances religieuses ou la surveillance électronique de masse.

J'aime(3)Ferme-la !(0)

Comment ne pas être traqué lors de vos visites web

Nombre de sites web incluent des composants externes dans leur pages web (vidéos Youtube, bouton social Facebook, fil d’actu twitter, compteur de visites Google Analytics, polices d’écriture Google, script Jquery, gestionnaire de commentaires Disqus, etc…)

La particularité de ces composants est d’être hébergés hors du site web que vous visitez. On les appelles les composants « tiers ». Votre navigateur web fait alors un téléchargement directement ces composants sur les serveurs hébergeant ses composants tiers et les intègre tout seul dans la page web que vous voyez.

Le truc, c’est que si un composant « tiers » est présent sur de multiple sites que vous visitez, il peut vous pister facilement. A chaque page web, vous lui dites que c’est vous (cookie unique) et que vous visitez telle page (referrer).

Pour visualiser ce tracking, je vous invite à installer le module Lightbeam pour Firefox.
Ce module va enregistrer pour chaque site que vous visitez, les serveurs tiers avec qui vous communiquer. A la fin, vous aurez un graphe mettant tout ce beau monde en relation vous aurez probablement ceci :

lightbeam

Oui, Google par l’intermédiaire de Google Analytics peut vous pister sur la plupart des sites. Selon W3techs, 63% des sites web utilisent les services de Google. Ce qui veut dire que au bout de 5 sites visités, vous avez 99.3% de chances de transmettre à Google des informations personnelles sur votre surf sur le web.

Pour éviter cela, il y a 2 méthodes:
– avoir une page web propre qui ne comporte pas de traqueur. Ca demande une prise de conscience des webmasters. Vous pouvez leur envoyer en mail dans ce sens.
– si vous avez quand même envie de visiter un site web truffé de traqueur, mettez une capote à votre navigateur pour qu’il évite de télécharger tout et n’importe quoi sous prétexte que le webmaster a décidé de l’inclure dans la page web. C’est vous qui décidez quand même !

Je vais passer en revue les différents modules Firefox permettant d’appliquer la seconde solution:
Ghostery : C’est un plugin propriétaire qui est incité à revendre vos données de connexion. Hop poubelle.
Disconnect : Ne détecte pas tous les contenus tiers… (ex: googleapis.com) Bizarre non? Donc, c’est pas possible de bloquer les traqueurs qui m’embêtent. Je suppose que ca ne marche pas encore bien sur les requêtes javascript un rien camouflées. De plus, leur moteur de recherche anonyme est une blague, leur page de résultat de recherche d’images vous fait télécharger toutes les image depuis Google. La honte, je suis désolé. Ca laisse penser le pire sur la capacité de ces gens. Comparez avec mon moteur https://search.jesuislibre.net/
Privacy badger : Le concept est intéressant. Au fur et à mesure que vous visitez des sites web, il bannit les serveurs tiers les plus communs qui sont logiquement ceux qui auront la vision la plus panoramique(panoptique?) sur vous. Mais dans la pratique, peu de traqueurs sont décelés. Dommage.
Adblock Plus : Il y a une case à décocher pour bloquer les sites web de publicités soit disant « non intrusives ». Je ne vois pas en quoi c’est non intrusif si ca me traque mais bon, une case à décocher et voila! Bon premier filtre automatique. Supprime les publicités sur Youtube (killer feature) N’indique pas les connexions tierces non filtrées donc nécessite un complément.
RequestPolicy : Très bonne détection des connexions aux serveurs tiers. On peut bannir ou allouer les connexions par site web et par serveur tiers. Parfait mais demande beaucoup de travail manuel quand on va sur un nouveau site web pour trier le grain de l’ivraie.
Noscript : Bloque efficacement les scripts même obscurs. Comme souvent les scripts externes sont des traqueurs, je les bloque tous par défaut. Comme ca, ils ne vont pas essayer de se connecter à leur serveur, et donc ne vont pas indiquer de requête dans RequestPolicy. Ca me fait du travail de tri en moins dans RequestPolicy.

Ghostery tient un comparatif entre ces outils en se gardant bien d’inclure RequestPolicy et Noscript dont l’efficacité risquerait de faire bien trop d’ombre à leur produit :

privacy catchers

Bilan, si vous voulez être tranquille, je vous conseille : AdblockPlus + RequestPolicy + NoScript + https://search.jesuislibre.net/. Ca fonctionne bien pour l’ordinateur. Maintenant pour le smartphone, je ne sais pas quoi utiliser. Des avis?

Nota : Si vous utilisez Tor mais continuez d’envoyer vos cookies à Google, ca ne sert à rien. Donc cet article apporte des mesures orthogonales à l’utilisation d’un dispositif anonymisant votre IP seulement.

Une page web pour en savoir plus sur le tracking.

J'aime(7)Ferme-la !(0)

Big data ou Big brother

La Belgique va espionner la vie de ses citoyens pour voir si ils ne fraudent pas les aides d’Etat.

Le gouvernement va instaurer un système de transmission des données de consommation de gaz, eau et électricité. Si ces consommations sont anormalement élevées pour une personne, cela signifiera qu’il y a des soupçons qu’elle ne vit pas seule. Si les personnes ne consomment rien, ce sera le signe qu’elles ont une domiciliation fictive et qu’elles n’habitent donc pas où elles le prétendent.

Ceci est rendu possible car les données sur votre vie privée sont devenues faciles et peu chères à obtenir. Et quand on donne toutes ces données gratuitement dans les mains d’un seul homme, forcément il est tenté de s’en servir pour se rendre service.

Compteurs d’électricité, smartphones, carte bancaire, cartes de transports en commun, cartes de cantine, bracelet fitness, etc… Tous les objets connectés vont envoyer des données sur vous si nous n’y prenez garde.

Réveillez vous et dites non maintenant. Après, il sera trop tard, et vous serez dans la case automatiquement dans la case « suspect », « individu à risque », « refus d’information » ou que sais-je.

J'aime(4)Ferme-la !(0)

L’Etat allemand va acheter des failles 0-day

Der Spiegel, dit avoir pris connaissance, au travers de documents secrets que le Service d’information Allemand (Bundesnachrichtendienst ou BND) a maintenant un budget de 4,5 millions deuros pour acheter des failles 0-day au marché noir pour craquer SSL et ainsi espionner ses citoyens.

Tout va bien. Ne paniquez pas.

D’un coté, ça prouve que SSL est assez sûr (si on ne fait pas confiance aux autorité de certification :D)

De l’autre, ça fout les boules sur la volonté de tous ces gouvernements de maîtriser leur population (NSA, DCRI, BND, ils font tous la même chose)

Est-ce que Vupen, fournisseur de 0-day, participera à cette entreprise de domination des masses?

 

J'aime(1)Ferme-la !(0)

Les prix varient selon votre profil

Ce qui devait arriver arriva, les sites web marchants proposent désormais des tarifs différents aux internautes en fonctions de leur profil (compte, cookies, OS, etc…)
Si les vendeurs veulent tant en savoir sur vous, c’est dans leur intérêt, pas le votre. Mettez vous ça dans le crane.

Par exemple, votre localisation est utilisée pour déterminer si vous être proche d’un magasin concurrent. Dans ce cas Staples, vous proposera un meilleur prix que si vous êtes devant un de leur magasin afin de vous dissuader d’acheter chez le concurrent.

Lorsque vous voulez réserver un hotel en ligne sur Orbitz, les offres mises en avant seront plus chers si vous consultez le site depuis un ordinateur Apple.

Ces pratiques sont opaques, les sites web n’informant pas leurs clients que les offres sont choisies ou modifiées pour leur profil.

Une récente étude américaine, menée sur 19 sites web marchands par 300 personnes qui consultent les mêmes produits avec des profils différents (avec cookie, sans cookie, avec compte, sans compte, différente marques d’ordinateur, etc…), montre que les produits mis en avant et leur prix varie fortement suivant votre profil.

L’étude le choix des produits mis en avant est très souvent personnalisé en fonction de votre profil. Le site cherche à maximiser son chiffre d’affaire en proposant les offres au maximum de votre consentement à payer (les plus chères que vous êtes susceptibles d’acheter).

Plus rare (< 3.5% des cas) mais plus dérangeant, les prix peuvent différents pour le même produit suivant votre profil pour Home Depot, Sears, Cheaptickets, Orbitz, Priceline, Expedia et Travelocity (et principalement pour les locations de voitures). Avec parfois de belles différences de plusieurs centaines de dollars. Exemple : le même hôtel sans profil(565$), avec profil (633$) :

price discrimination2

price discrimination
L’étude montre aussi que beaucoup de personnes reçoivent des offres personnalisées sur tous les sites web marchands, sans savoir expliquer les raisons. Est ce que cela signifie que le traqueur qui vend votre profil au site marchand est transversal à tous les sites (Google, Facebook?)

Car ce n’est que le début car le profilage des internautes est encore jeune… Imaginez quand Google (présent sur 65% des sites web) commencera à vendre vos données, lui qui connaît vos achats et factures dans vos mails, vos destinations de vacances, vos déplacements, vos heures de sommeil, vos relations, etc… Il pourrait nous proposer ce qu’on à besoin quand on en a besoin au prix qu’on est prêt à mettre. Vente et profits garantis.

Avec le profilage croissant des internautes, on va voir fleurir de plus en plus des « offres personnalisées », doux nom pour ne pas dire des prix à la gueule du client. Là où c’est pernicieux, c’est qu’il est quasiment impossible de savoir quel critère influe sur le prix qu’on va nous proposer et donc d’optimiser à coup sûr l’offre pour le client et non le vendeur. C’est le secret de cuisine de la société qui établit les offres et les prix.

Par exemple, l’étude a découvert que Travelocity propose des prix moins cher pour le même produit si vous visitez le site depuis un iOS (mobile Apple) car il veut être concurrentiel sur le marché mobile. Orbitz, propose parfois des prix plus bas si vous avez un compte chez eux, sans communiquer publiquement sur cet avantage. Expedia et Hotel.com rangent les utilisateurs dans 3 catégories et les incitent à acheter des offres plus luxueuses.

J'aime(8)Ferme-la !(0)

Le déréférencement est-il la solution ultime?

Quand on ne peut pas bloquer on déréférence.

L’assemblée veut voter un loi qui permette à l’exécutif de déréférencer les sites terroristes ou pédopornographiques , pour commencer.

Les ayants droits ont aussi leur mots à dire, et poussent Google à déréférencer les sites de partage illégal.

Le droit à l’oubli européen est aussi un moyen fort de contraindre Google à déréférencer des liens qui sont parfois digne d’intérêt.

Mais attention au retour de baton, comme l’explique The Pirate Bay: « Que Google nous référence moins bien est en quelque sorte une bonne chose pour nous. Nous aurons plus de trafic quand les gens ne trouveront plus ce qu’ils cherchent en utilisant Google, car ils viendront directement sur The Pirate Bay »

Ca me fait penser à l’effet Youtube, on ne cherche plus de vidéo sur Internet mais directement sur sur le site de Youtube car on sait que les résultats ont plus de chance d’y être pertinents.

J'aime(2)Ferme-la !(1)

Blocage des sites web… encore !

J’entends que l’assemblée a encore voté pour le filtrage des sites web consultable depuis la France, sans décision judiciaire.

Premièrement, d’un point de vue technique, c’est chaud :

  • Le blocage par DNS est facilement contournable et ne concernera que ceux qui ne savent pas mettre « 8.8.8.8 » dans une case de Windows. Autrement dit, une efficacité si nulle que même un gamin de 12 ans saura la contourner sur son smartphone
  • Le blocage par DPI, plus efficace, coûterait 200 millions d’euros par an au contribuable. Pas sûr que ce soit politiquement acceptable vu le maigre bénéfice et surtout la conséquence que cela mettrait sur pied une infrastructure d’espionnage généralisé de toutes les communications des français.
  • Le blocage par IP, qui bloquerait tous les sites hébergés sur un serveur mutualisé. Sans parler que bloquer une IP dynamique bloquerait tous les utilisateurs qui récolterait après l’IP blacklistée.
  • Aucune solution technique pour pouvoir bloquer une page Youtube sans bloquer tout Youtube si Youtube n’approuve pas la demande de censure. (SSL masque l’adresse complète de la page web vue, bon courage)
  • Je n’ai même pas parlé des VPNs dont l’usage se généralise (entreprise, téléchargement, pays censurés, etc…)

Donc déjà là, on se dit que discuter du blocage des sites web dans une loi sans savoir si c’est possible, c’est comme décrêter qu’il faudrait arrêter l’air !

En plus, l’Etat voudrait faire cela sans contrôle judiciaire à priori. Quelle menace du pouvoir sur le citoyen !

Les sites web bloqués seraient consignés aux opérateurs soit par une liste confidentielle à l’abri du regard citoyen (bienvenue en pays totalitaire), soit par une liste publique (quel merveilleux annuaire!)

Il va falloir s’y faire, Internet n’est pas fait pour la censure. L’ère de l’ORTF est finie.

J'aime(4)Ferme-la !(0)

Steam sur Debian Jessie : OpenGL GLX context is not using direct rendering

Si en lançant Steam, vous avez un message d’erreur du type :

Error: OpenGL GLX context is not using direct rendering, which may cause performance problems.
For more information visit https://support.steampowered.com/kb_article.php?ref=9938-EYZB-7457.

Vérifiez d’abord que vous avez le « Direct rendering » actif par la commande suivante :
$ glxinfo | grep direct

Si non, il s’agit d’un problème de driver graphique (mal installé, carte graphique non supportée…)
Si oui, il se peut que ce soit simplement votre driver qui demande une librairie C plus récente que celle fournie par Steam. Donc pour forcer Steam à utiliser la librairie C de votre système :
$ locate stdc++ | grep steam | xargs rm

Et voila !

J'aime(1)Ferme-la !(0)

Browserleaks montre comment identifier votre navigateur web

Au cas ou vous ne le sauriez pas encore, il est possible de vous identifier par les traces que nos navigateurs web diffusent lors d’une visite sur un site web. L’IP, le referrer et les cookies sont les traces les plus connues.

Mais il en existent bien d’autres créées par les nouvelles fonctionnalités de nos navigateurs. Le navigateur peut être amener à divulguer :

Browserleaks est un site web qui permet de voir tout ca en action. C’est vraiment impressionnant.

L’ensemble des traces combinées ne fournit pas un moyen d’identification fiable à 100%.

Cependant ces traces peuvent fournir au site web qui recevrait plusieurs requêtes de la même IP la certitude qu’elles proviennent de 2 machines différentes.
De même, elles peuvent être utilisées pour comparer 2 requêtes et estimer avec un grand taux de probabilité s’il s’agissait de la même machine.

J'aime(2)Ferme-la !(0)

Apprendre à programmer, oui mais…

Le week-end dernier, le ministre de l’éducation nationale Benoît Hamon a livré une interview au Journal Du Dimanche pour annoncer qu’il y aurait dès le mois de septembre une « initiation au code informatique » à l’école primaire, mais uniquement de façon facultative, sur le temps périscolaire.

Bon, déjà « sur le temps périscolaire », ç’est une manière édulcorée de dire que c’est une mesure fantôme, sans budget ni temps.

De plus, en primaire ! Alors qu’ils savent à peine faire une division. Ça n’a pas de sens.

La programmation c’est d’abord réfléchir à un bon algo. Puis l’implémenter en connaissance des atouts et faiblesses des ordinateurs contemporains.

La programmation, c’est un moyen pas une fin.

Ca permet de rendre ses jouets plus « intelligents », de résoudre ses équations du second degré d’un clic en s’évitant de refaire encore et toujours les mêmes calculs, de faire des dessins complexes, des jeux vidéos avec une IA, etc… Chacun ses problèmes et ses envies.

Découvrir cela en fin de collège/lycée quand les besoins et désirs naissent lorsque notre calculette nous parait tout d’un coup désuète me parait plus adapté.

Et puis pour le coup, il faudra que l’enfant choisisse une licence pour publier son code source. Bon courage pour expliquer que l’on peut ou pas copier à un enfant :D

J'aime(10)Ferme-la !(3)