Mettre à jour le plugin Flash sous Debian

J’ai récemment eu un petit problème avec Flash, Youtube m’avertissant que le plugin Flash n’était pas à jour !

Vous pouvez vérifier que vous avez la dernière version :
# update-flashplugin-nonfree --status
Flash Player version installed on this system : 11.2.202.406
Flash Player version available on upstream site: 11.2.202.425

En effet, une nouvelle version de Flash est disponible et fixe des problèmes de sécurité dont notamment le CVE-2014-9163 déjà en cours d’exploitation en décembre.

Vous pouvez mettre à jour par cette commande en root:
# update-flashplugin-nonfree --install

Il faudrait vraiment que le plugin Flash se mette à jour tout seul sous Debian à chaque nouvelle version d’Adobe !

J'aime(2)Ferme-la !(2)

Lightbeam, suivre votre trace sur le web

Dans mon article Comment ne pas être traqué lors de vos visites web, je vous expliquais comment éviter de vous faire pister par les géants du web. Je vous donnait aussi le lien vers le plugin Firefox Lighbeam pour mieux connaître les traces que vous .

Voici les résultats sur ma machine :

lightbeamEn première place, on peut voir que mon site web (gros rond blanc) me piste parce que j’ai tout autorisé en provenance de mon site web dans RequestPolicy.

En deuxième place, Youtube qui est présent partout et que j’accepte pour voir les vidéos que je viens chercher….

Ensuite sur la myriade de sites que je visite, les liaisons inter-sites sont bloquées ce qui rend le suivi de mon parcours sur le web impossible pour eux (sauf s’ils partagent leurs logs mais je ne crois pas que ce soit encore le cas :D).

J'aime(0)Ferme-la !(0)

Nettoyer la base de données de WordPress

Après 7 ans de blog, il était temps de faire un peu de nettoyage dans la base de donnée de WordPress.

J’ai trouvé le plugin WP-Optimize pour faire cela et qui m’a diminué ma base de données de moitié.

Une autre source d’embompoint pour la base de données, les tables que les plugins de statistiques ne suppriment pas à leur désinstallation comme « wp_statpress » pour Statpress ou « wp_cn_track_post » pour Post views Stats. Ca peut vitre chiffrer dans les 50Mo.

Au final, ma base de données de WordPress fait désormais 10Mo pour 1000 articles et 3000 commentaires.

J’utilise désormais Piwik pour mes statistiques dans une base de données séparée.

J'aime(0)Ferme-la !(0)

Comment ne pas être traqué lors de vos visites web

Nombre de sites web incluent des composants externes dans leur pages web (vidéos Youtube, bouton social Facebook, fil d’actu twitter, compteur de visites Google Analytics, polices d’écriture Google, script Jquery, gestionnaire de commentaires Disqus, etc…)

La particularité de ces composants est d’être hébergés hors du site web que vous visitez. On les appelles les composants « tiers ». Votre navigateur web fait alors un téléchargement directement ces composants sur les serveurs hébergeant ses composants tiers et les intègre tout seul dans la page web que vous voyez.

Le truc, c’est que si un composant « tiers » est présent sur de multiple sites que vous visitez, il peut vous pister facilement. A chaque page web, vous lui dites que c’est vous (cookie unique) et que vous visitez telle page (referrer).

Pour visualiser ce tracking, je vous invite à installer le module Lightbeam pour Firefox.
Ce module va enregistrer pour chaque site que vous visitez, les serveurs tiers avec qui vous communiquer. A la fin, vous aurez un graphe mettant tout ce beau monde en relation vous aurez probablement ceci :

lightbeam

Oui, Google par l’intermédiaire de Google Analytics peut vous pister sur la plupart des sites. Selon W3techs, 63% des sites web utilisent les services de Google. Ce qui veut dire que au bout de 5 sites visités, vous avez 99.3% de chances de transmettre à Google des informations personnelles sur votre surf sur le web.

Pour éviter cela, il y a 2 méthodes:
– avoir une page web propre qui ne comporte pas de traqueur. Ca demande une prise de conscience des webmasters. Vous pouvez leur envoyer en mail dans ce sens.
– si vous avez quand même envie de visiter un site web truffé de traqueur, mettez une capote à votre navigateur pour qu’il évite de télécharger tout et n’importe quoi sous prétexte que le webmaster a décidé de l’inclure dans la page web. C’est vous qui décidez quand même !

Je vais passer en revue les différents modules Firefox permettant d’appliquer la seconde solution:
Ghostery : C’est un plugin propriétaire qui est incité à revendre vos données de connexion. Hop poubelle.
Disconnect : Ne détecte pas tous les contenus tiers… (ex: googleapis.com) Bizarre non? Donc, c’est pas possible de bloquer les traqueurs qui m’embêtent. Je suppose que ca ne marche pas encore bien sur les requêtes javascript un rien camouflées. De plus, leur moteur de recherche anonyme est une blague, leur page de résultat de recherche d’images vous fait télécharger toutes les image depuis Google. La honte, je suis désolé. Ca laisse penser le pire sur la capacité de ces gens. Comparez avec mon moteur https://search.jesuislibre.net/
Privacy badger : Le concept est intéressant. Au fur et à mesure que vous visitez des sites web, il bannit les serveurs tiers les plus communs qui sont logiquement ceux qui auront la vision la plus panoramique(panoptique?) sur vous. Mais dans la pratique, peu de traqueurs sont décelés. Dommage.
Adblock Plus : Il y a une case à décocher pour bloquer les sites web de publicités soit disant « non intrusives ». Je ne vois pas en quoi c’est non intrusif si ca me traque mais bon, une case à décocher et voila! Bon premier filtre automatique. Supprime les publicités sur Youtube (killer feature) N’indique pas les connexions tierces non filtrées donc nécessite un complément.
RequestPolicy : Très bonne détection des connexions aux serveurs tiers. On peut bannir ou allouer les connexions par site web et par serveur tiers. Parfait mais demande beaucoup de travail manuel quand on va sur un nouveau site web pour trier le grain de l’ivraie.
Noscript : Bloque efficacement les scripts même obscurs. Comme souvent les scripts externes sont des traqueurs, je les bloque tous par défaut. Comme ca, ils ne vont pas essayer de se connecter à leur serveur, et donc ne vont pas indiquer de requête dans RequestPolicy. Ca me fait du travail de tri en moins dans RequestPolicy.

Ghostery tient un comparatif entre ces outils en se gardant bien d’inclure RequestPolicy et Noscript dont l’efficacité risquerait de faire bien trop d’ombre à leur produit :

privacy catchers

Bilan, si vous voulez être tranquille, je vous conseille : AdblockPlus + RequestPolicy + NoScript + https://search.jesuislibre.net/. Ca fonctionne bien pour l’ordinateur. Maintenant pour le smartphone, je ne sais pas quoi utiliser. Des avis?

Nota : Si vous utilisez Tor mais continuez d’envoyer vos cookies à Google, ca ne sert à rien. Donc cet article apporte des mesures orthogonales à l’utilisation d’un dispositif anonymisant votre IP seulement.

Une page web pour en savoir plus sur le tracking.

J'aime(8)Ferme-la !(0)

WebRTC est-il un framework peer to peer?

Tout d’abord, il y a le signaling server, qui va mettre les utilisateurs en relation, et mérite donc la confiance des utilisateurs.

Mais ensuite, si l’un des utilisateurs est derrière un NAT (une bête box ADSL) alors il y a de grandes chances que la connexion nécessite un serveur relai pour acheminer l’ensemble de la communication.

Bref, on est loin modèle du peer to peer dans ce cas plutôt assez commun.

Je vous invite à lire WebRTC: Not Quite Magic et WebRTC: If it’s P2P, why do I need a server? qui explique le pourquoi du comment.

J'aime(2)Ferme-la !(0)

Les prix varient selon votre profil

Ce qui devait arriver arriva, les sites web marchants proposent désormais des tarifs différents aux internautes en fonctions de leur profil (compte, cookies, OS, etc…)
Si les vendeurs veulent tant en savoir sur vous, c’est dans leur intérêt, pas le votre. Mettez vous ça dans le crane.

Par exemple, votre localisation est utilisée pour déterminer si vous être proche d’un magasin concurrent. Dans ce cas Staples, vous proposera un meilleur prix que si vous êtes devant un de leur magasin afin de vous dissuader d’acheter chez le concurrent.

Lorsque vous voulez réserver un hotel en ligne sur Orbitz, les offres mises en avant seront plus chers si vous consultez le site depuis un ordinateur Apple.

Ces pratiques sont opaques, les sites web n’informant pas leurs clients que les offres sont choisies ou modifiées pour leur profil.

Une récente étude américaine, menée sur 19 sites web marchands par 300 personnes qui consultent les mêmes produits avec des profils différents (avec cookie, sans cookie, avec compte, sans compte, différente marques d’ordinateur, etc…), montre que les produits mis en avant et leur prix varie fortement suivant votre profil.

L’étude le choix des produits mis en avant est très souvent personnalisé en fonction de votre profil. Le site cherche à maximiser son chiffre d’affaire en proposant les offres au maximum de votre consentement à payer (les plus chères que vous êtes susceptibles d’acheter).

Plus rare (< 3.5% des cas) mais plus dérangeant, les prix peuvent différents pour le même produit suivant votre profil pour Home Depot, Sears, Cheaptickets, Orbitz, Priceline, Expedia et Travelocity (et principalement pour les locations de voitures). Avec parfois de belles différences de plusieurs centaines de dollars. Exemple : le même hôtel sans profil(565$), avec profil (633$) :

price discrimination2

price discrimination
L’étude montre aussi que beaucoup de personnes reçoivent des offres personnalisées sur tous les sites web marchands, sans savoir expliquer les raisons. Est ce que cela signifie que le traqueur qui vend votre profil au site marchand est transversal à tous les sites (Google, Facebook?)

Car ce n’est que le début car le profilage des internautes est encore jeune… Imaginez quand Google (présent sur 65% des sites web) commencera à vendre vos données, lui qui connaît vos achats et factures dans vos mails, vos destinations de vacances, vos déplacements, vos heures de sommeil, vos relations, etc… Il pourrait nous proposer ce qu’on à besoin quand on en a besoin au prix qu’on est prêt à mettre. Vente et profits garantis.

Avec le profilage croissant des internautes, on va voir fleurir de plus en plus des « offres personnalisées », doux nom pour ne pas dire des prix à la gueule du client. Là où c’est pernicieux, c’est qu’il est quasiment impossible de savoir quel critère influe sur le prix qu’on va nous proposer et donc d’optimiser à coup sûr l’offre pour le client et non le vendeur. C’est le secret de cuisine de la société qui établit les offres et les prix.

Par exemple, l’étude a découvert que Travelocity propose des prix moins cher pour le même produit si vous visitez le site depuis un iOS (mobile Apple) car il veut être concurrentiel sur le marché mobile. Orbitz, propose parfois des prix plus bas si vous avez un compte chez eux, sans communiquer publiquement sur cet avantage. Expedia et Hotel.com rangent les utilisateurs dans 3 catégories et les incitent à acheter des offres plus luxueuses.

J'aime(8)Ferme-la !(0)

Verizon Wireless ajoute un identifiant unique sur tout votre traffic web

Le DPI c’est génial. Une fois le contenu de chaque paquet analysé, il est trop tentant de vouloir modifier celui-ci.

Exemple avec Verizon Wireless, un FAI américain aux 100 millions d’abonnés en 2013. Celui-ci ajoute automatiquement un tracker à toutes les entêtes HTTP du type :

X-UIDH: OTgxNTk2NDk0ADJVquRu5NS5+rSbBANlrp+13QL7CXLGsFHpMi4LsUHw

Cet identifiant est lié à votre compte abonné. Il permet au site web de demander à Verizon des infos sur votre profil personnel pour afficher les publicités auxquelles vous êtes le plus sensibles de succomber et ainsi améliorer ses revenus.

Premièrement, je trouve cela fou que le FAI se permette de modifier le contenu de transmissions personnelles. C’est comme si la Poste mettait des prospectus dans votre courrier pro. Et ces pratiques mettent les FAI en position de force. Ça me rappelle Free qui appliquait un filtre anti-pub directement sur le traffic web de telle sorte que l’utilisateur ne reçoivent que les publicités avalisées par Free. C’est une grave entorse à la neutralité des moyens de communications.

Deuxièmement, cette entête donne à tous les sites web que vous visitez un supercookie qui vous colle à la peau jusqu’à ce que Verizon décide de le changer (toutes les 2 semaines apparemment). Ca pue vraiment pour votre vie privée.

Ces pratiques devraient être interdites.

Source

J'aime(6)Ferme-la !(0)

Le déréférencement est-il la solution ultime?

Quand on ne peut pas bloquer on déréférence.

L’assemblée veut voter un loi qui permette à l’exécutif de déréférencer les sites terroristes ou pédopornographiques , pour commencer.

Les ayants droits ont aussi leur mots à dire, et poussent Google à déréférencer les sites de partage illégal.

Le droit à l’oubli européen est aussi un moyen fort de contraindre Google à déréférencer des liens qui sont parfois digne d’intérêt.

Mais attention au retour de baton, comme l’explique The Pirate Bay: « Que Google nous référence moins bien est en quelque sorte une bonne chose pour nous. Nous aurons plus de trafic quand les gens ne trouveront plus ce qu’ils cherchent en utilisant Google, car ils viendront directement sur The Pirate Bay »

Ca me fait penser à l’effet Youtube, on ne cherche plus de vidéo sur Internet mais directement sur sur le site de Youtube car on sait que les résultats ont plus de chance d’y être pertinents.

J'aime(2)Ferme-la !(1)

Chrome donne tous vos mots de passe à Google

En utilisant le navigateur Google Chrome et en vous connectant à votre compte Google avec Chrome (« Menu » / « Se connecter à Chrome… »), Google synchronise par défaut les données du navigateur avec son cloud.

Cela comprend les favoris, l’historique et l’ensemble des mots de passe mémorisés localement. C’est utile pour récupérer ou partager ses préférence entre plusieurs appareil mais pourquoi donc cela est-il fait sans chiffrement, de telle sorte que Google, et tous les services qui en demandent l’accès NSA, etc.. aient un accès tout trouvé à vos secrets, accès et historique de navigation?

Je vous conseille d’utiliser plutôt la solution de Mozilla Firefox  appelée « Sync » qui fait la même chose (sauvegarde dans le cloud et partage de votre historique, favoris et mots de passe entre appareils) mais de telle sorte que vous seul puissiez en connaître le contenu.

Enfin, on savait déjà l’appétit de Google pour vos infos personnelles. Chrome n’est qu’un moyen pour leur core business, il ne faut pas l’oublier.

J'aime(14)Ferme-la !(1)

La vidéoconférence par WebRTC est elle sécurisée?

Actuellement, le schéma WebRTC actuellement proposé par moult sites web comme Talky.io, vLine etc… est similaire. C’est le serveur web qui est responsable de la première mise en relation des clients et de leur authentification.

Le premier utilisateur rejoint une « salle » identifiée par une URL et chaque client qui se connecte à cette URL se joint à la « salle » de visioconférence.

Cela pose un problème de sécurité. Qu’est ce qui m’assure que :

  • le serveur web ne va pas s’interposer entre les clients pour enregistrer toutes les conversations? (il s’assurer que l’IP d’échange de données est bien celle de chaque correspondant)
  • qu’un client caché n’est pas aussi présent dans la salle? (il faudrait vérifier et comprendre le code source livré par le site web à chaque exécution)
  • que mon correspondant ou moi-même ne sommes pas l’objet d’un MITM sur un nœud de connexion réseau. Par exemple, un routeur de mon FAI ou de mon réseau local pourrait relayer la vidéo.

Ces problèmes sont présents actuellement dans les services proposés au grand public. Je vous invite à lire cet article : WebRTC Security – an overview & privacy/MiTM concerns (including a MiTM example) pour aller plus loin sur le sujet.

J'aime(0)Ferme-la !(0)