Où est Charlie?

Aujourd’hui en France, cinq sites sont bloqués par le pouvoir exécutif sans décision de justice ni débat public :

(Source de la liste : Numerama)

La France se rabaisse au niveau de la Chine et son « bouclier doré » .

La liberté d’expression ne s’arrête pas à la ligne politique du gouvernement. Ces blogs sont de ridicules proies (des blogs avec 2 commentaires seraient des outils de propagande…. LOL ) qui n’influent en rien sur la sécurité des citoyens français. C’est la liberté d’information des français qu’on assassine.

Où sont les Charlies pour défendre la liberté d’expression du politiquement incorrect ? Car bon, Charlie, vu les élections récentes, c’est presque lus choquant… :-/

charlie FN

J'aime(5)Ferme-la !(1)

Mise à jour Flash player

Des vulnérabilités ont récemment été corrigées dans le plugin Adobe Flash Player. Si vous l’utilisez sous Linux, vous devez rapidement le mettre à jour à la version 11.2.202.451

Comme la mise à jour de ce plugin ne se fait pas automatiquement, je vous renvoie vers la procédure pour mettre à jour le plugin Flash sous Debian.

Je vous conseille également de profiter de cette occasion pour essayer de ne plus l’utiliser : bloquage du plugin dans le navigateur et si vous ne rencontrez pas de problème -> désinstallation du paquet flashplugin-nonfree. Youtube utilise HTML5 pour la majorité de ses vidéos désormais.

J'aime(2)Ferme-la !(0)

Piwik, la statistique auto hébergée

Si vous voulez un compteur de visites un peut évolué sur votre site web, je vous conseille Piwik.

Ca donne des statistiques basiques : types de navigateurs, origine géographique des visiteurs, sites web de provenance, titre des pages visitées, heure des visites, etc…
Vous avez un historique de toutes ces statistiques au jour le jour et vous pouvez les suivre en temps réel.

Le compteur de visiteurs m’a l’air fiable, il ne compte pas les robots et ne surestime donc pas les chiffres. J’ai testé des plugins comme Statpress, SlimStat, Post view stats et Piwik est celui qui me donne le moins de visiteurs.

Il ne ralentit pas beaucoup les visites ou l’utilisation de WordPress contrairement aux plugins sus-cités.

Mais le plus important est que les statistiques que vous récoltez sur vos visiteurs ne sont partagées avec personne à part vous. Ainsi vous ne participez pas au suivi des internautes d’un site à l’autre en livrant les données de vos visiteurs à un site central (coucou GoogleAnalytics) qui recoupe tout ça pour retracer le parcours des internautes sur le web tout entier. (et ce n’est pour rigoler puisque que c’est leur business model)

Vous n’aurez pas beaucoup d’informations sur les mots clés utilisés dans les moteurs de recherche pour vous trouver. Ceci car Google, entre autres, utilise un page de transition afin de gommer le paramètres de l’URL de recherche. Ca donne un peu plus de vie privée aux internautes sur les sites web qu’ils visitent. Cependant, cela permet aussi à Google d’enregistrer sur quel lien vous avez cliqué… :D Du coup, puisque seul Google sait quels mots clés vous avez recherché, peut-être que cette info est disponible dans leur outil de statistique maison GoogleAnalytics? je n’ai pas la réponse à cette question ne l’ayant jamais utilisé.

Finalement, je m’en sers juste pour mesurer la popularité de mon blog. Pas vraiment fameuse à vrai dire (400 visiteurs journaliers lorsque je ne publie pas de nouveaux articles, 2000 quand un article a du succès)

L’installation se fait vraiment rapidement si vous êtes déjà autohébergé. J’ai été surpris par sa simplicité de mise en oeuvre et je l’aurais mis en place plus tôt si j’avais su cela au lieu de perdre du temps sur des alternatives.

J'aime(5)Ferme-la !(2)

Proxy Web avec SSH

Imaginons que vous soyez sur un réseau où certains sites web sont bloqués.
Si vous avez une machine à l’extérieur et un accès SSH dessus, vous pouvez l’utiliser comme proxy.

1ère étape

Lancez la commande suivante pour créer un proxy :

$ ssh Utilisateur@MachineExterne -C -N -D 8080

Les options sont les suivantes :

  • -C : compresse la transmission pour économiser la bande passante
  • -N : n’ouvre pas de shell
  • -D : ouvre un proxy dynamique

Vous devez garder le proxy ouvert, ne fermez donc pas la console sur laquelle vous l’avez ouvert !

Cette commande fonctionne pour Linux et MacOS. Pour Windows, je vous laisse regarder du coté de Putty.

2eme étape

Configurez ensuite votre navigateur pour pour rediriger le flux TCP et DNS vers le proxy :
proxyN’oubliez pas de cocher la case « DNS distant ». Et voila !

Vous avez en plus changé d’IP sur Internet. Vous utilisez désormais celle du serveur proxy.

J'aime(4)Ferme-la !(0)

Conditions de service de Facebook

Article 2 des conditions de service de Facebook :

Pour le contenu protégé par des droits de propriété intellectuelle, comme les photos ou les vidéos (contenu de propriété intellectuelle), vous nous donnez expressément la permission suivante, conformément à vos paramètres de confidentialité et des applications : vous nous accordez une licence non exclusive, transférable, sous-licenciable, sans redevance et mondiale pour l’utilisation des contenus de propriété intellectuelle que vous publiez sur Facebook ou en relation avec Facebook (licence de propriété intellectuelle). Cette licence de propriété intellectuelle se termine lorsque vous supprimez vos contenus de propriété intellectuelle ou votre compte, sauf si votre contenu a été partagé avec d’autres personnes qui ne l’ont pas supprimé.

Pas de besoin de chercher loin, dès les première lignes des conditions de service, on trouve une clause inacceptable. En clair, vous donnez consciemment les droits d’exploitation de vos photos et vidéos à Facebook pour toute utilisation commerciale et pour gratos en plus.

vous n'etes pas un fichierDes solutions alternatives existent : WordPress (blog), Owncloud (stockage et partage de fichiers), Jabber (chat), et le mail bien sur !

Des réseaux sociaux intégrés comme Movim ou Jappix sont en développement.

J'aime(6)Ferme-la !(0)

Mac OS X Yosemite récolte vos données en douce

Lorsque l’utilisateur fait une simple recherche dans Spotlight (le moteur de recherche de fichiers de votre ordinateur) ou Safari (le navigateur web), Mac OS Yosemite envoie ces informations à Apple :

  • votre position géographique
  • le type de matériel que vous utilisez
  • les mots recherchés
  • la langue de votre session
  • la liste des applications utilisées récemment
  • la liste des applications en cours

Effrayant de découvrir cela sans que l’utilisateur n’en soit averti.

Tout cela est fait pour vous donner de meilleurs résultats de recherche. Par exemple, des résultats dans votre langue et proche de chez vous. Mais il aurait été plus élégant de demander son avis à l’utilisateur avant !


Dans le même esprit, lorsque vous commencez un nouveau document dans les applications compatibles iCloud, (éditeur de texte, Page, etc…) le contenu de votre document est envoyé en permanence sur iCloud en attendant que vous le sauviez sur votre disque dur. En d’autre termes, vous ne pouvez pas perdre votre brouillon puisqu’Apple en a une copie. Cela bien sûr pour votre bien (oubli de sauvegarder, ou continuation de l’écriture du document sur un autre appareil) mais là encore, aucun avertissement des utilisateurs qui ne peuvent s’assurer que leur document reste confidentiel sur leur machine.

Le business d’Apple n’est pas à première vue basé sur l’exploitation de vos données personnelles (contrairement à Google ou Ubuntu avec son partenariat avec Amazon). Néanmoins, l’effet est le même à savoir qu’il est de plus en plus difficile de garder vos données privées. Car une fois sorties de chez vous, qui sait où vos données vont atterrir et qui pourra y avoir accès. Les stars d’Hollywood l’ont déja appris à leur dépend (attention images XXX choquantes)

Source LifeHacker

J'aime(4)Ferme-la !(0)

Fail2ban pour Owncloud 7 sur Debian Jessie

Petit guide pour couper court au crackage de vos passwords par le formulaire de login d’Owncloud.

Ajouter dans le fichier /etc/fail2ban/jail.conf :

[owncloud]
enabled = true
port = http,https
filter = owncloud
logpath = /var/log/owncloud.log
maxretry = 3

Modifier le fichier /etc/owncloud/config.php

'loglevel' => '2',
'logtimezone' => 'Europe/Brussels',

Le loglevel ne doit pas être supérieur à 2 pour que les tentatives de login soient enregistrées dans le log !
le logtimezone doit être accordé avec l’heure de votre serveur. Sinon fail2ban pensera toujours que la connexion est ancienne et ne bannira rien.

Créer un fichier /etc/fail2ban/filter.d/owncloud.conf:

[Definition]
failregex = .*"message":"Login failed:.*IP: '<HOST>'.*
ignoreregex =

Relancer le service fail2ban:
# systemctl fail2ban restart

Faites trois mauvaises tentatives de login sur Owncloud pour vérifier !
Pour vérifier le status de fail2ban:

# fail2ban-client status owncloud

Pour débloquer une IP:

# fail2ban-client set owncloud unbanip 192.168.0.13

Cette configuration de Owncloud et Fail2ban devraient être par défaut dans Debian à mon sens.

On peut également se connecter à Owncloud par l’API REST. Je n’ai pas testé si les erreurs de connexion par cette API étaient aussi enregistrées dans le fichier de log, et donc prises en compte par Fail2ban.

J'aime(6)Ferme-la !(1)

Ne demandez plus d’email pour poster un commentaire

Il y a déjà 2 ans, je me posais déja la question, toujours sans réponse, Pourquoi faut-il renseigner son e-mail pour poster un commentaire?

En effet, sans email :

  • Askimet est toujours aussi performant pour supprimer les spams.
  • On peut suivre les commentaires d’un billet particulier par RSS.
  • C’est plus facile pour tout le monde d’écrire un commentaire sous pseudonyme.
  • C’est mieux pour la vie privée pour ceux qui ont une IP dynamique (les autres je vous ai à l’oeil :p)
  • Ca évite de se casser la tête à donner un email bidon ou de se faire spammer si votre email est utilisée à mauvais escient.

Si vous aussi, vous trouvez que ça n’a pas de sens, installez le plugin WordPress :  Remove Email from Comments

J'aime(13)Ferme-la !(2)

Comment se faire traquer sur internet sans cookies avec HSTS

Sam Greenhalgh a montré qu’on pouvait utiliser la fonctionnalité HSTS pour facilement tracer les utilisateurs. La faille est intéressante car elle est conceptuelle va être très compliquée à bloquer et touche quasiment tous les navigateurs web même les assez vieux ( >= Firefox 4 ).

Explication

Le principe d’ HSTS est simple. Lorsque le navigateur arrive sur un site web en HTTPS, et que le site web implémente HSTS, alors le navigateur reçoit du site web une directive indiquant qu’il doit toujours revenir en HTTPS sur le site web pour les prochaines visites sur ce nom de domaine.

HSTS permet ainsi de contenter les visiteurs qui veulent toujours accéder aux site web en HTTPS sans bloquer les autres visiteurs qui préfèrent utiliser HTTP.

Imaginons maintenant que http://1.toto.com renvoie un texte : « 0 » mais que https://1.toto.com renvoie une valeur différente : « 1 », ce qui est tout à fait faisable. Il n’y a pas d’obligation que les services HTTP et HTTPS soient des miroirs.

Donc si, sur mon site web « bidon.com », j’inclus un lien vers un contenu situé à l’adresse http://1.toto.com le contenu aura une valeur différente selon que l’utilisateur a déjà ou non visité « 1.toto.com » en HTTPS. Intéressant !

Avec seulement 33 requêtes différentes (1.toto.com, 2.toto.com, etc…, 33.toto.com) qui peuvent valoir 2 valeurs différentes : 0 ou 1 (HTTPS visité ou pas), j’ai 2^33 possibilités soit 8.6 milliards de valeurs différentes, soit suffisamment pour assigner une valeur différente à chaque humain sur Terre.

La faille est donc simple, un visiteur lambda arrive sur mon site « bidon.com », j’ai envie de lui coller un numéro, par exemple « 5 ». Je convertis ce numéro en binaire sur 33 bits ce qui fait 00000000000000000000000000000101. Je le fait charger des contenus en HTTP sur http://1.toto.com, http://2.toto.com, etc… sauf https://31.toto.com et https://33.toto.com où je lui donne des liens en HTTPS.

Quand le visiteur lambda reviendra sur mon site « bidon.com », je lui ferai encore charger charger mes 33 contenus mais en mettant des liens HTTP uniquement (http://1.toto.com, http://2.toto.com, etc…, http://33.toto.com). Normalement, ça devrait renvoyer 33 fois « 0 » sil m’était inconnu . Mais comme il a déjà visité 31.toto.com 33.toto.com en HTTPS, son navigateur va automatiquement modifier ses requêtes de http://31.toto.com et http://33.toto.com en https://31.toto.com et https://33.toto.com et ça renverra 00000000000000000000000000000101. Bingo, je l’ai reconnu.

Comment s’en protéger?

HSTS est enregistré comme préférence du site et non comme un cookie. Supprimer les cookies est donc inutile.

Votre identifiant peut être stocké dans dans les préférences de multiples sites web et non dans celui qui vous traque.

Or pour supprimer la préférence HSTS d’un domaine, il faut supprimer les toutes les préférences du site web depuis la page about:permissions sur Firefox, ce qui supprime aussi les mots de passe et son historique… Bref, pas très utilisable.

Bloquer Javascript sur le site du traqueur rend aussi la technique inefficace, mais difficile de savoir différencier le bon script du mauvais script sur un site web.

Dur dur…

J'aime(13)Ferme-la !(0)

Google en intraveineuse

google-spyLes journaux en ligne dénoncent souvent le profilage constant des internautes par les Google, Facebook, NSA & co et sont toujours prompt à défendre Snowden. Pourtant, à l’encontre de leur discours, ce sont eux qui participent le plus au flicage des internautes.

Les journaux en ligne gratuits, vivant essentiellement de la publicité, y sont contraint par leur modèle économique. Ils cherchent à maximiser leur audimat par tous les moyens (Facebook, etc…) et leurs revenus publicitaires et cela passe par donner vos infos de connexions à la régie publicitaire (Google). Il n’y a donc rien à attendre d’eux sinon qu’ils ferment leur gueule et se remettent en question en lisant leurs propres articles (cela leur permettrait de corriger leur fautes d’orthographe également).

Plus inquiétant, les journaux payants tels que Mediapart, incluent le traqueur Google Analytics sur toutes leurs pages. Piwik s’installe pourtant en quelques clics. Il y a donc un manque de volonté de mettre une action derrière les mots.

Encore plus inquiétant, des journaux payants spécialisés sur le sujet et en informatique tels que NextInpact (nouveau nom de PCInpact), qui pourtant désactivent Google Analytics pour les abonnés sur leur pages , viennent de m’envoyer (je suis abonné) un questionnaire à remplir sur Google Forms ! Ben oui, c’est simple, c’est gratuit et c’est moi le produit ! Pourtant il existe Limesurvey qui s’installe aussi en quelques clics.

Bref, Google semble présent en intraveineuse même chez les plus éduqués des grands journaux en ligne, pour des fonctionnalités aisément remplaçables avec un peu de volonté.

J'aime(16)Ferme-la !(0)