Mac OS X Yosemite récolte vos données en douce

Lorsque l’utilisateur fait une simple recherche dans Spotlight (le moteur de recherche de fichiers de votre ordinateur) ou Safari (le navigateur web), Mac OS Yosemite envoie ces informations à Apple :

  • votre position géographique
  • le type de matériel que vous utilisez
  • les mots recherchés
  • la langue de votre session
  • la liste des applications utilisées récemment
  • la liste des applications en cours

Effrayant de découvrir cela sans que l’utilisateur n’en soit averti.

Tout cela est fait pour vous donner de meilleurs résultats de recherche. Par exemple, des résultats dans votre langue et proche de chez vous. Mais il aurait été plus élégant de demander son avis à l’utilisateur avant !


Dans le même esprit, lorsque vous commencez un nouveau document dans les applications compatibles iCloud, (éditeur de texte, Page, etc…) le contenu de votre document est envoyé en permanence sur iCloud en attendant que vous le sauviez sur votre disque dur. En d’autre termes, vous ne pouvez pas perdre votre brouillon puisqu’Apple en a une copie. Cela bien sûr pour votre bien (oubli de sauvegarder, ou continuation de l’écriture du document sur un autre appareil) mais là encore, aucun avertissement des utilisateurs qui ne peuvent s’assurer que leur document reste confidentiel sur leur machine.

Le business d’Apple n’est pas à première vue basé sur l’exploitation de vos données personnelles (contrairement à Google ou Ubuntu avec son partenariat avec Amazon). Néanmoins, l’effet est le même à savoir qu’il est de plus en plus difficile de garder vos données privées. Car une fois sorties de chez vous, qui sait où vos données vont atterrir et qui pourra y avoir accès. Les stars d’Hollywood l’ont déja appris à leur dépend (attention images XXX choquantes)

Source LifeHacker

J'aime(4)Ferme-la !(0)

Liberté, éga… oups!

libertéfrancaisEncore un sondage de merde. Pour y répondre pertinemment il faudrait déjà savoir qu’est ce qu’une mesure d’exception? C’est une mesure exceptionnelle, dans le temps? par les règles constitutionnelles qu’elle enfreint? Quelle est l’avantage promis en échange?

Tout ce qu’on sait c’est ce que les Français sont prêts à perdre pour un mirage : leur liberté. Il va falloir changer la devise de la France.

J'aime(12)Ferme-la !(0)

Eviter les piratages « bêtes »

Le Monde raconte de quelle façon il s’est fait « piraté » son compte Twitter.

C’est intéressant comme dé-mystification de l’image du pirate. On y voit que les attaquants :

  • cherchent à provoquer l’erreur humaine en envoyant des faux mails (n’importe qui peut choisir le nom et l’adresse de l’émetteur des mails qu’il envoie) qui contiennent un lien vers une page web imitant l’interface d’administration des sites qu’elle connaît (LeMonde, Facebook, Gmail, etc…) dans le but de lui soutirer son mot de passe. Et ça marche !
  • volent le compte en parvenant à répondre à la fameuse « question personnelle » qui permet de récupérer son compte ou son mot de passe sur la majorité des services en ligne comme Gmail, Facebook ou Twitter.

Il n’y a donc point d’exploit informatique ici, juste une méconnaissance des usagers vis à vis des bonnes pratiques:

  • Ayez un ordinateur non compromis (pas de virus, pas de cheval de Troie). Ceux qui ont compris ça utilisent uniquement des logiciels de confiance (pas de crack qui vient de n’importe où, pas de logiciel gratuits à publicités qui viennent t’espionner). Le mieux est d’utiliser uniquement des logiciels libres compilés par une tierce personne de confiance. Ça diminue encore les risques.
  • Vérifier toujours l’adresse de la page web sur laquelle vous êtes quand vous rentrez un mot de passe. C’est la seule garantie que vous envoyez le mot de passe au bon site. Ne vous fiez pas à la charte graphique. Vérifiez également que le cadenas SSL est présent.
  • Hébergez vos services vous même, comme ca pas besoin de « question personnelle » pour récupérer votre compte puisque vous avez accès à la machine pour modifier le mot de passe si besoin :-)
    • ou activez la double authentification (il faut une confirmation depuis votre smartphone pour changer le mot de passe du compte) et donnez une « question vraiment très personnelle » pour récupérer votre compte que ni un recherche Google ni votre plus proche ami, mère ou copain ne pourrait trouver. Sinon cette question devient une porte d’entrée plutôt qu’une sécurité.
J'aime(9)Ferme-la !(1)

Installer un serveur Mumble sur Debian

Ils commencent à m’emmerder ces ploutocrates à vouloir m’espionner sans juges ! Voici comment avoir des discussions audio en toute intimité avec le logiciel libre Mumble.

Et ce sera la preuve que leurs systèmes d’écoute automatisée sur les réseau téléphone, Skype, etc… ne va renifler que les honnêtes gens, ou les terroristes de pacotille.

mumbleDonc pour discuter en toute discrétion, il vous faut:

  • un PC
  • dont vous connaissez l’IP sur Internet
    (astuce pour la connaître en ligne de commande : $ curl ifconfig.me)
  • et qui accessible depuis Internet sur les ports UDP and TCP 64738. Ca se configure dans la box/routeur de votre FAI si vous avez ça.

Une fois que vous avez ça. Il suffit d’installer le serveur libre Murmur.

Je donne l’exemple d’installation pour Linux pour la suite, mais Murmur marche aussi sous Windows et Mac OS. Donc voila la commande d’installation et configuration pour Debian :

# apt-get install mumble-server

Et voila, c’est tout! Dur hein?

Le serveur tourne, est accessible à tous les clients Mumble et les communications sont chiffrées entre le serveur et chaque client (chacun a un certificat). La classe.

Vous pouvez y accéder depuis votre Linux,Windows,Mac avec Mumble et de votre smartphone android avec Plumble, un logiciel libre disponible sur Fdroid ou Mumblefy sur iPhone.

Pour rendre le serveur privé, vous avez juste à renseigner un mot de passe derrière le paramètre serverpassword= dans le fichier /etc/mumble-server.ini.

Et cerise sur le gateau, le codec audio Opus est supporté par défaut :

J'aime(9)Ferme-la !(0)

Comment se faire traquer sur internet sans cookies avec HSTS

Sam Greenhalgh a montré qu’on pouvait utiliser la fonctionnalité HSTS pour facilement tracer les utilisateurs. La faille est intéressante car elle est conceptuelle va être très compliquée à bloquer et touche quasiment tous les navigateurs web même les assez vieux ( >= Firefox 4 ).

Explication

Le principe d’ HSTS est simple. Lorsque le navigateur arrive sur un site web en HTTPS, et que le site web implémente HSTS, alors le navigateur reçoit du site web une directive indiquant qu’il doit toujours revenir en HTTPS sur le site web pour les prochaines visites sur ce nom de domaine.

HSTS permet ainsi de contenter les visiteurs qui veulent toujours accéder aux site web en HTTPS sans bloquer les autres visiteurs qui préfèrent utiliser HTTP.

Imaginons maintenant que http://1.toto.com renvoie un texte : « 0 » mais que https://1.toto.com renvoie une valeur différente : « 1 », ce qui est tout à fait faisable. Il n’y a pas d’obligation que les services HTTP et HTTPS soient des miroirs.

Donc si, sur mon site web « bidon.com », j’inclus un lien vers un contenu situé à l’adresse http://1.toto.com le contenu aura une valeur différente selon que l’utilisateur a déjà ou non visité « 1.toto.com » en HTTPS. Intéressant !

Avec seulement 33 requêtes différentes (1.toto.com, 2.toto.com, etc…, 33.toto.com) qui peuvent valoir 2 valeurs différentes : 0 ou 1 (HTTPS visité ou pas), j’ai 2^33 possibilités soit 8.6 milliards de valeurs différentes, soit suffisamment pour assigner une valeur différente à chaque humain sur Terre.

La faille est donc simple, un visiteur lambda arrive sur mon site « bidon.com », j’ai envie de lui coller un numéro, par exemple « 5 ». Je convertis ce numéro en binaire sur 33 bits ce qui fait 00000000000000000000000000000101. Je le fait charger des contenus en HTTP sur http://1.toto.com, http://2.toto.com, etc… sauf https://31.toto.com et https://33.toto.com où je lui donne des liens en HTTPS.

Quand le visiteur lambda reviendra sur mon site « bidon.com », je lui ferai encore charger charger mes 33 contenus mais en mettant des liens HTTP uniquement (http://1.toto.com, http://2.toto.com, etc…, http://33.toto.com). Normalement, ça devrait renvoyer 33 fois « 0 » sil m’était inconnu . Mais comme il a déjà visité 31.toto.com 33.toto.com en HTTPS, son navigateur va automatiquement modifier ses requêtes de http://31.toto.com et http://33.toto.com en https://31.toto.com et https://33.toto.com et ça renverra 00000000000000000000000000000101. Bingo, je l’ai reconnu.

Comment s’en protéger?

HSTS est enregistré comme préférence du site et non comme un cookie. Supprimer les cookies est donc inutile.

Votre identifiant peut être stocké dans dans les préférences de multiples sites web et non dans celui qui vous traque.

Or pour supprimer la préférence HSTS d’un domaine, il faut supprimer les toutes les préférences du site web depuis la page about:permissions sur Firefox, ce qui supprime aussi les mots de passe et son historique… Bref, pas très utilisable.

Bloquer Javascript sur le site du traqueur rend aussi la technique inefficace, mais difficile de savoir différencier le bon script du mauvais script sur un site web.

Dur dur…

J'aime(13)Ferme-la !(0)

Cacher ses adresses mail, numéros de téléphone, etc… des spammeurs sur WordPress

Si vous laissez votre adresse email sur un site web, nul doute qu’un robot va venir la lire et l’ajouter à son fichier de SPAM. Pour éviter cela, on peut encoder l’email en Javascript.

Les humains regardant la page web verront l’email proprement car leur navigateur va décoder le javascript. (Aucun problème de copier coller contrairement aux images)

Les robots ne vont pas exécuter le javascript car c’est trop long et trop complexe pour eux.

Cette technique s’applique aux emails mais aussi à tout contenu que vous voudriez protéger des bots comme votre numéro de téléphone etc…

Il existe un plugin pour WordPress pour mettre en place cette technique facilement : Email encoder bundle

Pour cacher un email ou tout autre contenu des robots, écrivez celui-ci entre balises dans votre article :

[eeb_content]toto@gmail.com[/eeb_content]

J'aime(8)Ferme-la !(2)

Forcer l’utilisation de SSL pour se connecter à WordPress

Un des moyens de ne pas se faire voler son mot de passe et login WordPress est de se connecter uniquement en chiffrant la connexion par SSL (HTTPS). WordPress a une fonctionnalité, un peu cachée, pour forcer l’utilisateur à utiliser SSL lors de sa connexion.

Pour activer cette fonctionnalité, vous devez rajouter dans le fichier wp-config.php la ligne suivante :

define('FORCE_SSL_ADMIN', true);

Source : Codex WordPress

J'aime(1)Ferme-la !(0)

Mettre à jour le plugin Flash sous Debian

J’ai récemment eu un petit problème avec Flash, Youtube m’avertissant que le plugin Flash n’était pas à jour !

Vous pouvez vérifier que vous avez la dernière version :
# update-flashplugin-nonfree --status
Flash Player version installed on this system : 11.2.202.406
Flash Player version available on upstream site: 11.2.202.425

En effet, une nouvelle version de Flash est disponible et fixe des problèmes de sécurité dont notamment le CVE-2014-9163 déjà en cours d’exploitation en décembre.

Vous pouvez mettre à jour par cette commande en root:
# update-flashplugin-nonfree --install

Il faudrait vraiment que le plugin Flash se mette à jour tout seul sous Debian à chaque nouvelle version d’Adobe !

J'aime(5)Ferme-la !(3)

Générer un mot de passe aléatoire avec OpenSSL

Parfois, on a besoin de générer un mot de passe aléatoire complexe.

Se pose alors la question comment en trouver un?
Oubliez la méthode de la frappe au hasard sur le clavier. C’est chiant et vous y verrez des motifs récurrents (genre « sdfsdf » :D).

Rien de plus simple avec OpenSSL. Par exemple, pour générer un mot de passe de 8 caractères :

$ openssl rand -base64 8 | cut -c 1-8
Q+0F+Hwb

Notez que ca doit marcher sous MacOS aussi.

Autre solution encore plus pratique, en utilisant la commande mkpasswd contenu dans le paquet whois. (appuyez juste sur entrée quand vous demande le Password :

$ mkpasswd
Password:
KELshv5A8StGo

Par défaut le mot de passe fait 13 caractères ce qui me semble robuste.

J'aime(2)Ferme-la !(0)