Google Caller ID

Sous Android 4.4 (KitKat) et supérieur, par défaut, Google reçoit le numéro de chaque personne qui vous appelle. Cette fonctionnalité s’appelle « Google Caller ID ».Et bien sûr c’est pour mieux vous servir.

Cela faisait partie des nouveautés annoncées lors de la sortie de KitKat. Ce qui était moins clair c’était que votre position, votre ID et le numéro de votre destinataire étaient aussi envoyés quand vous composiez un numéro.

Sur Cyanogenmod 11 (KitKat), ces fonctionnalités sont aussi activées par défaut. Mais il est possible de les désactiver ou de choisir de donner nos informations personnelles à une autre entreprise que Google :

Screenshot_2015-06-11-20-28-26 Screenshot_2015-06-11-20-26-39
Screenshot_2015-06-11-20-26-50 Screenshot_2015-06-11-20-27-02

J'aime(6)Ferme-la !(0)

Pourquoi vous devriez désinstaller Google Play Services de votre smartphone

Petit rappel préalable sur ce qu’est Google Play Services.

Ce logiciel fournit de multiples services aux autres applications : Localisation à partir de signaux wifi (via Google Location service), envoi et réception de notification push unifiée (via Google Push Messenging), mise à jour silencieuse des appllications, etc…

De nombreux logiciels en dépendent. Toutes les applications Google (Youtube, GooglePlay, HangOut, Maps, etc…) mais aussi beaucoup d’applications tierces qui, pour fonctionner (récupérer la position de l’utilisateur, recevoir des notifications push, etc…), vont se baser sur un service qui est présent sur quasiment tous les Android : GooglePlayServices.

Derrière cet aspect pratique, Google en a faut sa pierre angulaire pour maîtriser l’écosystème Android. Les fabricants ont l’obligation de le préinstaller pour avoir le droit de vendre des appareils sous Android ! Il est nécessaire pour accéder à la principale source de logiciels : GooglePlay.

Son code source et sont fonctionnement restent opaques. Le logiciel a une connexion permanente avec les serveurs de Google. Les échanges de données effectués sont chiffrés et vous ne pouvez en avoir connaissance. Son installation doit se faire avant le démarrage du système car le logiciel prend contrôle de votre système et fonctionne en tant que root (sinon il ne pourrait pas faire de mise à jour silencieuses par exemple).

Google peut donc, en permanence et sans délai, effacer, modifier, installer ou exécuter ce qu’il veut sur votre smartphone sans votre consentement. (mais vous auriez pu vous en douter quand Google vous a dit qu’il vous était possible d’effacer votre smartphone à distance..)

De plus, la connexion permanente rapporte à tout instant votre position à Google dès que cela est possible, même quand votre Wifi est éteint.

Tout cela devrait déjà vous révolter. Mais le plus rigolo, c’est que ce flux permanent de données avec Google pompe à mort sur votre batterie, même en veille. C’est beau, vous achetez un smartphone hors de prix et Google dépense votre batterie pour vous espionner, haha. En supprimant GooglePlayServices, vous augmenterez votre autonomie d’environ 1/3. Rien que ça.

J’ai un Samsung Galaxy S3 qui a 3 ans maintenant et je tiens 48H en utilisation journalière (utilisation environ 2/3 h par jour : RSS, mails, web, chat, et vidéo) et je ne l’éteins pas la nuit. Si je ne m’en sers que rarement dans la journée, entre le matin et le soir, j’ai perdu seulement 25% de batterie :p. Et sans compromis (j’ai une sychro contacts/agenda. une messagerie Jabber, réception des emails en notification push….)

Malheureusement, GooglePlayServices ne se supprime pas d’un clic comme vous avez pu le lire. A ma connaissance, il faut réinstaller une ROM vierge type Cyanogen et donc ne pas installer les GoogleApps.

Pour remplacer GooglePlay comme source de logiciels, vous avez Fdroid qui ne contient que des logiciels libres (garantis sans spyware, et rarement liés à des services en ligne. Là aussi : consommation CPU et radio réduite)

Et si il vous manque des logiciels disponibles uniquement sur le GooglePlay, vous pouvez les télécharger au format APK depuis mon logiciel GooglePlayDownloader (il faut Linux bon… c’est une autre histoire)

J'aime(23)Ferme-la !(12)

Big data sur les données des opérateurs télécom

Un étude récente montre que 90% des adultes ont un téléphone mobile aux USA.

Lors de chaque communication (sms, appel, data, etc…). L’opérateur peut déterminer la position du téléphone à position à 250m près dans 90% des cas.

Si on enregistre et stocke ces données, on se retrouve avec de quoi analyser une population. Conscient de la valeur de ces données, les opérateurs de téléphonie mobiles se sont mis à les vendre (sans vous demander votre accord explicite ni vous donner un centime bien sûr)

En France

Par exemple, Orange vends un produit nommé Flux Vision qui revends les données de ses utilisateurs sous formes de données « statistiques », je cite leur page web :

des domaines d’activités multiples
Acteur public ou privé, vous bénéficiez d’une nouvelle source d’information pour améliorer votre connaissance des parcours citoyens ou parcours clients, des mobilités géographiques et de l’utilisation de vos infrastructures.

Dans le secteur du tourisme, Flux Vision vous permet par exemple de connaître les déplacements des visiteurs et la fréquentation des différents sites … Dans le secteur du transport, vous observez  les parcours des voyageurs pour mieux adapter vos infrastructures. Dans le secteur marchand, vous étudiez plus finement les itinéraires empruntés par vos clients sur votre zone de chalandise pour adapter votre stratégie commerciale.

une protection des données et un respect de la vie privée
L’offre repose sur des procédés exclusifs d’anonymisation irréversible développés par Orange permettant de supprimer toute possibilité d’identifier ses clients. Ils peuvent transformer des millions de données par minute en indicateurs statistiques. Son développement a fait l’objet d’échanges avec les services de la CNIL. Flux Vision s’inscrit dans le respect des engagements pris par Orange en matière de protection des données personnelles de ses clients.

 

On ne saura pas plus sur les procédés d’anonymisation que le « en conformité avec les avis et recommandations de la CNIL ». Pourtant, c’est le point le plus intéressant. J’imagine que ce que qui intéressent les clients sont les données « locales ». Le traffic de telle route, tel quartier, etc… Jusqu’où s’arrête la précision géographique?

Aux états Unis

AirSage est un société agréée à pouvoir accéder aux données des opérateurs de téléphonies. Ils reçoivent 15 milliards de positions par jour !

La aussi, c’est du temps réel avec historique . AirSage indique pouvoir donner la position en temps réel des téléphones dans quasiment toutes les villes majeures des USA.

On nous promet juré craché que les données son anonymisées avant analyse, mais sans dire comment. Alors que c’est ce qui est intéressant. Que sait-on sur chaque mesure de localisation? Car apparemment d’après les quelques exemples de rapport, on sait leur provenance (assez précis, à l’intérieur d’un état), leur historique, le revenu personnel de leur porteur, où ils habitent, à quelle heure ils partent de chez eux, à quelle heure ils rentrent, etc…

Et dans le même temps, on met l’accent sur le fait que les données sont bien gardées et les personnes qui y ont accès sont triées sur le volet. Ah ben mince, je croyais que les données étaient anonymisées, pourquoi donc est ce crucial qu’elles soient si bien éloignées du regard?

Et les gouvernements?

Comment imaginer que les gouvernements ne s’intéressent pas aussi à ces données servies sur un plateau. Si une start-up peut collecter, traiter et stocker 15 milliards de données par jour, on peut facilement imaginer qu’un gouvernement avec un budget de plusieurs milliards de dollars comme la NSA peut faire de même les mains dans le dos.

La France serait aussi bien placée à ce jeu étant donné qu’Orange a ses antennes implantées dans beaucoup de pays du monde.

J'aime(3)Ferme-la !(0)

Citizen Four

LE documentaire sur la rencontre des journalistes avec Edward Snowden.

citizenfour

Je vous invite vivement à le regarder, tant que c’est n’est pas encore classé comme « apologie du terrorisme » en France. Car vraiment il y a de quoi se révolter.

La plus grande menace pour la démocratie, c’est la surveillance de masse des populations par leur propre gouvernement. Lorsque chaque citoyen se sentira sous contrôle permanent, lorsque chacune de ses expressions et actions, enregistrée à vie, pourra lui être retournée contre lui, alors que restera-t-il de la liberté de penser? Comment pourra-t-il exprimer son mécontentement vis à vis de ceux qui le surveillent sans avoir peur d’être puni de manière légale… ou illégale?

Encore merci à Edward Snowden d’avoir donné sa vie pour nous avertir du danger.

Le plus incroyable c’est que ce jeu de dupe est pratiqué par tous les états. L’Angleterre espionne les communications des américains pour le compte de la NSA pour contourner les lois américaines. En même temps que le téléphone personnel de la chancelière allemande est espionné par les USA, l’Allemagne héberge des bases d’écoutes comme à Bad Aibling :

La NSA a infiltré l’opérateur belge Belgacom qui est, comme par hasard, l’opérateur principal du pays qui héberge le parlement européen. Des antennes d’interception GSM sont disposées sur les ambassades des USA à Paris et Berlin à 2 pas de l’Elysée et de la Chancellerie. Et la France et l’Allemagne refuse toujours de donner un asile politique à Edward Snowden. C’est sûr, c’est plus facile de défiler avec un post it de « Charlie » sur la veste. (Qu’on pourra retourner à l’occasion comme d’hab)

J'aime(9)Ferme-la !(0)

Installer un serveur Mumble sur Debian

Ils commencent à m’emmerder ces ploutocrates à vouloir m’espionner sans juges ! Voici comment avoir des discussions audio en toute intimité avec le logiciel libre Mumble.

Et ce sera la preuve que leurs systèmes d’écoute automatisée sur les réseau téléphone, Skype, etc… ne va renifler que les honnêtes gens, ou les terroristes de pacotille.

mumbleDonc pour discuter en toute discrétion, il vous faut:

  • un PC
  • dont vous connaissez l’IP sur Internet
    (astuce pour la connaître en ligne de commande : $ curl ifconfig.me)
  • et qui accessible depuis Internet sur les ports UDP and TCP 64738. Ca se configure dans la box/routeur de votre FAI si vous avez ça.

Une fois que vous avez ça. Il suffit d’installer le serveur libre Murmur.

Je donne l’exemple d’installation pour Linux pour la suite, mais Murmur marche aussi sous Windows et Mac OS. Donc voila la commande d’installation et configuration pour Debian :

# apt-get install mumble-server

Et voila, c’est tout! Dur hein?

Le serveur tourne, est accessible à tous les clients Mumble et les communications sont chiffrées entre le serveur et chaque client (chacun a un certificat). La classe.

Vous pouvez y accéder depuis votre Linux,Windows,Mac avec Mumble et de votre smartphone android avec Plumble, un logiciel libre disponible sur Fdroid ou Mumblefy sur iPhone.

Pour rendre le serveur privé, vous avez juste à renseigner un mot de passe derrière le paramètre serverpassword= dans le fichier /etc/mumble-server.ini.

Et cerise sur le gateau, le codec audio Opus est supporté par défaut :

J'aime(9)Ferme-la !(0)

MySearch and GooglePlayDownloader passent en version 1.6

Voila c’est Noël avant l’heure, je sors une nouvelle version de mes 2 logiciels libres :

  • Mysearch : un métamoteur de recherche anonymisateur, sans pub, et avec la pertinence des résultats Google.
  • GooglePlayDownloader : il vous permet de télécharger les applications gratuites du PlayStore sans nécessiter d’utiliser un compte Google personnel ni d’installer les applis Google avec les droits root sur votre smartphone Android

Par un hasard incroyable ils atteignent le même numéro de version (1.6) en même temps :-)

Si vous voulez me faire plaisir, faite connaître ce blog plus largement sur la toile, ça me suffit.

Amusez-vous bien !

J'aime(9)Ferme-la !(0)

GooglePlayDownloader 1.5

Je viens de sortir une mise à jour pour le GooglePlayDownloader, logiciel libre pour télécharger les APK du GooglePlay store (sans vous demander votre compte Google).

-Nouveaux identifiants valides pour se connecter au GooglePlay
-Résolution des dépendances pour installation sur Debian Jessie
-Python2 est appelé explicitement pour ceux qui utilisent Python3 par defaut
-Corrige la génération d’AndroidID pour certaines configurations de Java.

Le téléchargement se passe par là : .deb et source

J'aime(4)Ferme-la !(0)

Comment Google verrouille Android

Un bon article sur ArsTechnica (en anglais) et quelques slides qui expliquent comment Google verrouille Android.

Le code source d’Android est libre mais :

  • son développement se fait dans l’ombre des bureaux de Google et le code source n’est publié qu’après la sortie de la nouvelle version. Pas de décision collégiale sur l’orientation du développement logiciel donc.
  • les applications de base (SMS, navigateur web, recherche, lecteur de musique, etc…) sont maintenant des logiciels au code source opaques et propriétaires de Google. Les applications de base fournies avec l’Android open source sont les vieilles applications qui ne sont plus développées.
  • les services Google sont devenus presque obligatoires. Beaucoup d’applications plantent désormais si ceux-ci ne sont pas présents. Or les installer revient à laisser Google communiquer avec le smartphone en permanence, au travers d’un logiciel opaque qui a les droits root.
  • les fabricants qui veulent vendre des smartphones avec les applications Google (dont le fameux GooglePlay Store) sont contraints par un accord avec Google de ne pas développer de système Android qui n’utiliserait pas les applications Google.
J'aime(10)Ferme-la !(0)

Linux Action Show cite GooglePlayDownloader

Mon logiciel GooglePlayDownloader a été mis en lumière dans ce « Linux Action Show » (de 6:46 à 10:18)

Apparement, ca leur a plu !

Sur l’autonomie, ne pas installer les applications Google apporte forcément un gain important puisque votre téléphone ne communique plus avec Google à longueur de journée (pour transmettre les réseaux wifi que vous avez rencontré, vérifier les mises à jours d’applis, synchroniser l’agenda, contacts, etc…)
Il est difficile de savoir quelle part du gain annoncé (de 1 jours d’autonomie à 3 jours!) provient de lolipop et de ne pas installer les applications Google. Pour ma part, mon Galaxy S3 de 2 ans tient 36h debout sans forcer(2 jours d’utilisation avec messagerie instantanée, lecture de flux RSS et quelque pages web).

Merci à Jean pour avoir répéré la vidéo et à Yamakaky pour son paquet pour Archlinux. Et apparement, il fonctionne aussi sous Windows. Quelqu’un est motivé pour faire un installeur?

J'aime(0)Ferme-la !(0)

Verizon Wireless ajoute un identifiant unique sur tout votre traffic web

Le DPI c’est génial. Une fois le contenu de chaque paquet analysé, il est trop tentant de vouloir modifier celui-ci.

Exemple avec Verizon Wireless, un FAI américain aux 100 millions d’abonnés en 2013. Celui-ci ajoute automatiquement un tracker à toutes les entêtes HTTP du type :

X-UIDH: OTgxNTk2NDk0ADJVquRu5NS5+rSbBANlrp+13QL7CXLGsFHpMi4LsUHw

Cet identifiant est lié à votre compte abonné. Il permet au site web de demander à Verizon des infos sur votre profil personnel pour afficher les publicités auxquelles vous êtes le plus sensibles de succomber et ainsi améliorer ses revenus.

Premièrement, je trouve cela fou que le FAI se permette de modifier le contenu de transmissions personnelles. C’est comme si la Poste mettait des prospectus dans votre courrier pro. Et ces pratiques mettent les FAI en position de force. Ça me rappelle Free qui appliquait un filtre anti-pub directement sur le traffic web de telle sorte que l’utilisateur ne reçoivent que les publicités avalisées par Free. C’est une grave entorse à la neutralité des moyens de communications.

Deuxièmement, cette entête donne à tous les sites web que vous visitez un supercookie qui vous colle à la peau jusqu’à ce que Verizon décide de le changer (toutes les 2 semaines apparemment). Ca pue vraiment pour votre vie privée.

Ces pratiques devraient être interdites.

Source

J'aime(6)Ferme-la !(0)