Vers la fin des plugins Flash et JAVA

Plusieurs failles critiques dans les plugins Flash et dans JAVA ont été révélées récemment. L’exploitation de ces failles permet de prendre le contrôle de votre ordinateur à distance.

La succession de failles découvertes sur ces logiciels depuis quelques années déjà montrent qu’ils sont des vecteurs d’attaques très faciles à exploiter. Flash Player a reçu 15 mises à jour de sécurité en 7 mois…

Aussi, il est conseillé de les désinstaller si vous n’en avez pas besoin. Aujourd’hui, très peu de sites web requièrent Flash ou JAVA. La navigateurs actuels lisent les vidéos grâce à HTML5.

Apple et Facebook partagent cet avis.

J'aime(2)Ferme-la !(0)

YunoHost, l’auto-hébergement simplifié

Yunohost est un OS dérivé de Debian pour s’autohéberger facilement. Le nom du projet provient de la phrase « why you no host yourself ».

On peut y installer en quelques clics des applications comme Owncloud, WordPress, Wallabag, RoundCube, etc… Les interfaces utilisateurs et administrateurs m’ont l’air agréables à utiliser.

Ca m’a l’air d’être une bonne tentative pour simplifier l’auto-hébergement. Je ne l’ai pas installé mais je testerai bien à l’occasion.

Coté sécurité, je ne sais absolument pas ce que ça vaut. Le code se trouve sur GitHub. Mais je ne sais pas si le projet est assez suivi pour avoir du code review. Il s’agit quand même d’exposer toutes ses données personelles sur le net et la moindre erreur peut se payer très cher…

J'aime(4)Ferme-la !(1)

Wikileaks révèle que la NSA opère un espionnage économique envers la France

Wikileaks révèle que la NSA opère un espionnage économique envers la France visant à déstabiliser les entreprises françaises pour le profit des entreprises américaines.

On retrouve des transcriptions d’échanges téléphoniques entre notre ministre des finances et un sénateur. Entre des diplomates.

Les Etats Unis, par les écoutes, traînent en justice les entreprises françaises pour corruption car ils savent les petits secrets de nos fleurons. Hahaha.

Lisez l’article sur Mediapart, ca vaut le coup.

Mais notre gouvernement va juste fermer sa gueule car il vient de voter la semaine dernière la loi sur le renseignement qui légalise cette pratique de l’espionnage économique  pour lui même ! (Art. L. 811-3.)

J'aime(2)Ferme-la !(0)

Suivre les avions en temps réel

Le site flightradar24.com permet de suivre en temps réel le trajet des avions du monde entier. C’est impressionnant.

Capture d'écran de 2015-06-28 12:31:16

Ceci est possible car le signal radio émis par les avions est facilement déchiffrable. La majeure partie des localisations provient de la captation de ce signal par des radio amateurs.

Maintenant vous pourrez dire à vos enfants quel est l’avion qui passe au dessus de votre jardin :-)

J'aime(3)Ferme-la !(0)

IMSI Catcher : explication

Une vidéo de présentation pas trop technique sur ce qu’est un IMSI Catcher

En gros, un IMSI catcher transparent et efficace (3G) peut être fabriqué en détournant le FemtoCell d’un box ADSL (ce qui doit être dans les possibilité de services compétents) Ça a été prouvé publiquement par des amateurs en 2011 déjà.

Et il n’y a pas vraiment de protection efficace…

J'aime(1)Ferme-la !(0)

Vote de la loi légalisant en France les écoutes massives des citoyens par son gouvernement

Le Mercredi 24 Juin 2015 au soir, alors qu’ils ont passé la journée à décrier les actions des services de renseignement des USA qui espionne les instances gouvernementales et entreprises françaises dans le but d’avoir un pouvoir sur eux (et on peut voir dans leur absence de réaction que cela fonctionne), les politiciens votent (ou laissent voter… ce qui est identique vu la médiatisation et la gravité du sujet) une loi qui permettra techniquement au gouvernement d’espionner en masse ses citoyens.
Le gouvernement vient de perdre toute crédibilité à défendre ses citoyens.

J'aime(3)Ferme-la !(0)

Google Caller ID

Sous Android 4.4 (KitKat) et supérieur, par défaut, Google reçoit le numéro de chaque personne qui vous appelle. Cette fonctionnalité s’appelle « Google Caller ID ».Et bien sûr c’est pour mieux vous servir.

Cela faisait partie des nouveautés annoncées lors de la sortie de KitKat. Ce qui était moins clair c’était que votre position, votre ID et le numéro de votre destinataire étaient aussi envoyés quand vous composiez un numéro.

Sur Cyanogenmod 11 (KitKat), ces fonctionnalités sont aussi activées par défaut. Mais il est possible de les désactiver ou de choisir de donner nos informations personnelles à une autre entreprise que Google :

Screenshot_2015-06-11-20-28-26 Screenshot_2015-06-11-20-26-39
Screenshot_2015-06-11-20-26-50 Screenshot_2015-06-11-20-27-02

J'aime(6)Ferme-la !(0)

Si j’ai bien tout compris

Analyse de la loi sur sur le renseignement votée au Sénat :

L’état français va en toute légalité recueillir les informations ou documents auprès des opérateurs de communication (Internet, téléphone, etc…) pour des motifs aussi larges que (entre autres):

– Les intérêts essentiels de la politique étrangère, l’exécution des engagements européens et internationaux de la France et la prévention de toute forme d’ingérence étrangère ;
– Les intérêts économiques et scientifiques de la France
– La prévention des atteintes à la forme républicaine des institutions
– La prévention du terrorisme (responsable de 2 morts par an depuis 20 ans en France alors qu’on n’avait pas ces moyens)

Pour ces motifs, l’utilisation de dispositifs techniques permettant la captation, la fixation, la transmission et l’enregistrement de paroles prononcées à titre privé ou confidentiel, ou d’images dans un lieu privé sera également autorisée. Comprendre, installer des micros, caméras, traqueurs de positions directement chez vous ou sur vos appareils (téléphone, ordi, voiture, etc…)

Les écoutes illégales seront facilitées car des moyens d’écoutes seront placés directement chez les fournisseurs d’accès Internet. Aucun contrôle effectif ne sera effectuécar la « commission de contrôle » ne rends que des avis consultatifs. Le gouvernement fait ce qu’il veut.

Cette commission fantôche sera composée de 8 cravatés qui ne savent même pas ce que TLS veut dire et d’un seul gars de l’ARCEP. Elle fera semblant de tamponner des autorisations comme la CNIL ou FISA aux Etats-Unis, tout en payant grassement ses membres qui n’ont aucune responsabilité sur leur travail (il peuvent abuser de négligence dans leur « contrôles », il n’auront aucune sanction)

D’ailleurs, l’Etat a-t-il attendu pour écouter illégalement les français? Il faut croire que non vu que l’Etat s’abstient de toute réponse quand on lui pose la question et refuse de soutenir ouvertement Snowden. Le ministre de l’intérieur parle de rendre enfin légale des pratiques illégales et les douanes achètent des IMSI catchers depuis 2010. Donc, pourquoi cela changerait demain? Ce sera juste plus facile avec des mouchards directement dans l’infrastructure des FAI et avec un accès performant et permanent à tout le trafic réseau. Jamais le ministre de l’intérieur ne parle de sanction sur les pratiques illégales actuelles dont il a vraisemblablement connaissance puisqu’il les utilise abondamment pour justifier la nécessité de cette loi.

Il est complètement schizophrène de penser qu’on va détecter les « terroristes non encore identifiés » tout en respectant la vie privée des gens. Techniquement, ça ne marche pas comme ça. En vrai, cela justifie que l’Etat doive écouter massivement tout le monde et garder les infos suffisamment longtemps (pour pouvoir savoir si quelqu’un se connecte régulièrement sur un site web). Donc ce prétexte permet, malgré lui de profiler en masse les individus.

Cependant, le système ne sera performant pour déceler tous les terroristes. Ce qui justifiera toujours de nouvelles privation de vie privée. Et si c’était le cas, cela voudrait dire que vous n’avez plus de liberté de penser (l’Etat sait ce que vous pensez et vous arrête avant que vous n’agissiez) Je crois que c’est encore pire que tout. Un chiffrement basique suffira à faire passer un message sans qu’il soit compris par le système à XXX millions, au même titre qu’une transaction bancaire ne peut être décodée par n’importe quel acteur sur le réseau (imaginez les conséquences qui auraient déjà eu lieu sinon..). N’importe quel terroriste en herbe sera tranquille.

Par contre, si vous n’avez rien à cacher et utilisez Internet en bon père de famille, alors toutes vos « informations et documents personnels » (je cite la loi) pourront être récoltés et utilisés par l’Etat (enfin les politiciens et leur amis au pouvoir)

Jamais il n’est question du prix que ce système va coûter aux français à travers leurs impôts. Car les machines qui vont analyser le trafic et le stockage de tout ceci prendront bien un entrepôt. Il faudra compter plusieurs dizaines voir centaines de millions d’euros. On sera donc bien les dindons de la farce à se faire espionner par des équipements qu’on paie nous mêmes.

On voit déjà venir la deuxième étape où le gouvernement va vouloir rentabiliser le coût de ce système, soit en revendant nos données « anonymisées » comme le fait Orange, soit pour d’autre finalités (lutte contre la copie illicite?, taxation au contenu?, licence globale :D)

J'aime(15)Ferme-la !(1)

Whatsapp est sous surveillance

Whatsapp est chiffré de bout en bout. Du moins c’est qu’annonçaient les journalistes qui ne font que du copié coller des communiqués de presse sans jamais chercher à vérifier ce qu’ils écrivent.

Cependant, la Belgique a réussi à reconstruire les relations (voir communications) d’utilisateurs de Whatsapp :

Les deux groupes avaient multiplié les contacts via la plateforme de messagerie électronique Whatsapp. La police belge affirme avoir collaboré étroitement avec les Etats-Unis pour contrôler ces communications.

Une des failles de TextSecure, Whatsapp, et beaucoup de services de communications modernes, c’est que le carnet d’adresse de chaque  utilisateur est connu du serveur central. Comme celui-ci est basé USA, il est soumis au Patriot Act/FISA qui permet légalement l’espionnage des non-américains. Déjà, rien qu’en sachant ça, vous devriez avoir fui le truc.

De plus, pour joindre un destinataire, il faut obligatoirement demander au serveur la mise en relation avec celui-ci. Le serveur note à chaque fois, qui communique avec qui, tout le temps. Et le chiffrement du contenu de la communication n’a rien à voir avec ce processus.

Qu’est ce que la Belgique paie en échange du service rendu par les USA ? Apparemment, l’espionnage leur opérateur de télécom national Belgacom, leur service de transmission bancaire Swift et le parlement européen par la NSA ne semblent pas avoir rompu les relations de leurs services de renseignement.

J'aime(4)Ferme-la !(1)