J'avais préparé il y a quelque temps quelques slides d'une future présentation de façon vulgarisée, des principes du DNS, du filtrage et de son contournement, de DNSSEC... Les slides de la conférence : Source LaTEX/Beamer + pdf sont disponibles sur
https://github.com/genma/DNS_vulgarisation, le pdf peut être téléchargé ici.

This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.

Pour créer un profil sous Firefox, voici la liste des étapes :

Il faut lancer firefox avec l'option -p :
firefox.exe -p (sous Windows)
./firefox -p(sous Linux)

On a alors l'image de Choix de profil qui apparait :

Dans l'illustration, j'ai déjà deux profils de créés. On clique sur "Créer un profil" et on a les images suivantes :

C'est là que l'on défini un répertoire qui contiendra les données personnelles (cela peut être un répertoire d'un disque chiffré, voir l'article correspondant

Si je choisis le profil par défaut (pas d'extension, pas de thèmes), j'ai l'image suivante :

Si je choisis mon profil chiffré (contenant extensions, mot de passe enregistré, thème...), j'ai l'image suivante :

Pour en savoir plus sur les profils et Firefox, je vous invite à lire cette page. Et pour savoir comment garder les données de son profil (mot de passe etc.) dans un environnement chiffré, je vous invite à lire mon article :
Firefox et la protection de ses mots de passe.

Sous ce titre innocent, je voudrais commencer l'année avec un billet assez long et j'espère intéressant. Je n'ai rien publié pendant les deux dernières semaines pour plusieurs raisons : tout d'abord les fête de fin d'années et congés, les billets publiés pendant cette période ont moins d'audience. J'ai aussi pris du temps pour réfléchir et faire un peu le point sur moi-même. Et surtout, j'ai commencé du ménage sur le blog. En voici la raison.

Quand Zenzla fait un POC

Un POC, c'est un Proof Of Concept. Une démonstration. Zenzla, auteur du blog du même nom Le Blog de Zenzla http://www.zenzla.com/ est, comme il se décrit lui-même un passionné des logiciels libres, et tous ce qui tourne autour !! j'essaie de plus en plus de me débarrasser de l'oppression des Big Brothers du net. Il coanime avec moi les Café vie privée et autre chiffrofête et à ce titre, est donc au fait de tout ce qui touche au domaine de la vie privée.

Ayant quelques heures devant lui, il s'est adonnée à l'exercice suivant. Durant près de 5 heures, il a parcouru les différents billets de mon blog, que je publie depuis des années, et il a accumulé un certain nombre d'informations très personnelles. Il a compilé ces informations dans un long billet qu'il m'a soumis. Ces 4 pages contenaient effectivement des informations personnelles, uniquement que j'avais mises en ligne. Il avait fait une sorte de biographie assez poussé de moi, qui racontait mon enfance, mon adolescence, ma vie d'étudiant, mon entrée dans la vie active, l'évolution de mon état d'esprit, mes craintes pour l'avenir...

Il a donc effectué une sorte de stalking, de doxing. A la lecture de son mail, je savais que toutes ces informations étaient bel et bien sur le blog, je pouvais même dire "ça, j'en ai parlé dans tel billet à tel moment", car je connais assez bien le contenu du blog. Je sais que ce qui j'y ai mis, durant toutes ces heures que j'ai passé à rédiger des billets en dix ans. J'ai écrit beaucoup de billets sur le pseudonymat, la volonté que j'ai de le préserver, sur les failles potentielles que je connais au mien... Et à côté de ça, il y avait tous ces billets plus intimistes, plus personnels. Et le fait que dans le corps de mes billets, je fais régulièrement des liens et des renvois vers des billets plus anciens, pour les nouveaux lecteurs. Mais ces liens facilitent également où chercher pour, assez rapidement, avoir un certain nombre d'informations.

Chaque billet pris indépendamment ne posait pas forcément de problème. Ils étaient des témoignages, des tranches de vie. Mais le risque, comme Zenzla l'a démontré via son POC, le cumul de ces informations permettent de me TRES bien me connaître, dans ma psychologie, dans qui je suis. Mais aussi dans les systèmes d'exploitation que j'utilise, les technologies que j'utilise. Un attaquant potentiel, quel-qu'il soit, est donc face à une véritable mine d'or d'informations personnelles lui permettant d'établir un plan d'attaque qu'il est sûr de faire réussir. Il connaît mes failles pour faire du social engineering, sait quelles failles potentielles exploiter pour corrompre ma machine...

J'avais moi-même pensé faire ce genre d'exercice sur mon propre blog, mais sachant ce que j'y ai mis et où chercher, le résultat aurait été biaisé. Par le long travail qu'a effectué Zenzla, j'ai eu ma réponse : quelqu'un qui prend le temps de le faire aura l'équivalent de ce qu'il a pu accumulé (et même plus) pour son mail. Je ne pouvais lui faire aucun reproche. Tout ce qu'il avait compilé était effectivement sur le blog, car cela fait plus de 10 ans que j'écris, et j'ai toujours tout gardé sur le blog et faisant rarement du ménage.

Depuis que je suis dans le groupe "Chiffrofête", je réfléchis beaucoup. Régulièrement. A tout ça. A toutes ces informations que j'ai mise et que je continue de mettre en ligne. D'un côté il y a la volonté de reconnaissance, le fait que j'aime bien ce pseudo, cette évolution de moi, ce témoignage de vie, je peux voir ma propre évolution. Et d'un autre, il y a ma vie privée qui ne l'est plus. Je sais très bien depuis le début du blog que tout ce que je mettais dessus était public, je n'ai jamais eu aucune illusion là-dessus. Mais ces dernières années, mon blog a beaucoup évolué. C'est resté avant tout un blog, mais j'ai de plus en plus attaché plus d'importance à ma vie privée, tout en devant quelqu'un de plus public, en donnant des conférences, en acquérant une certaine notoriété (toute relative).

J'ai ce blog depuis 10 ans et mon ennemi ce n'est pas la NSA ou un quelconque dictateur. Ce n'est peut-être même pas Google ou les GAFAM, vu que je sais et que j'utilise moins, peu ou plus leurs services. C'est le stalker, celui qui comme Zenzla, voudrait compiler les infos que je peux donner. Des infos que je sais avoir mise en ligne, que j'ai mise en ligne de façon volontaire.

J'ai identifié deux risques à ce que ces données restent en ligne :
quelqu'un qui me connaît uniquement sous le nom de Genma pourrait faire le lien Genma -> "qui je suis". Il peut potentiellement le mettre sur le web et une recherche donnerait alors ma véritable identité.
quelqu'un me connaissant un peu, un collègue, pourrait-il faire le lien entre ce qu'il sait de moi (mais je ne parle pas de mes passions et
centres d'intérêts, je suis assez réservé) et "Genma". Il saurait alors qui je suis vraiment, ce que je pense, mes "connaissances" et "capacités".
Un collègue, en googlant, pourrait-il lier mon pseudo à ma véritable identité ou inversement en se basant sur le contenu de mon blog ?

Aux grands maux les grands remèdes

Comme je le dis, j'ai un modèle de menace clairement défini. Et par conséquence, j'ai décidé de faire du ménage. J'ai gardé des articles de réflexions mais j'ai enlevé des articles trop personnelles, donnant des informations sur ma vie, mes études... Dans le cas de mes études, j'ai un parcours assez spécifique, que l'on retrouve dans mon CV en ligne (J'en ai profité au passage pour faire du ménage sur mes comptes "pro" Linkedin et Viadeo pour limiter le lien).

En 10 ans, Il y avait beaucoup d'essai de catégorie, de billets inutiles, futiles, sans intérêts, des billets d'annonce de sortie de logiciels... Il y avait aussi beaucoup de vieux billets que je gardais par nostalgie. J'ai enlevé des billets associés à des mots clefs et à des rubriques. Pour ne garder que ce que j'estimais pertinent, utile, non démodé et non menaçant/utilisable dans le cadre de mon modèle de menace.

Ce ménage a été l'occasion de bien purger le blog. Et la sauvegarde de la base de données est désormais réduite, passant de 10Mo à 2Mo.

Et pour la nostalgie, la trace historique

J'ai fait une sauvegarde avant de me lancer dans le grand nettoyage. Ma sauvegarde me permettra d'avoir un historique, une trace du moi sur ces 10 ans, que je pourrais consulter à titre privée, pour voir mon évolution personnelle. Et ce sera également une sauvegarde si un billet qui ne devait pas l'être a été effacé par erreur. Enfin bien qu'effacés, les billets ne le sont pas vraiment, il y a toujours des traces d'eux sur Internet, mais ils se perdront dans les archives du web. Ca y a aura été mais ce sera désormais beaucoup moins visible, moins en évidence.

En conclusion

Cela fait longtemps que je voulais faire du ménage, du tri sur le blog. Peut-être pas de façon aussi violente, mais il y avait besoin de faire les poussières. Ce mail a été l'occasion, la motivation qui me manquait pour me lancer. Il y aura sûrement des liens cassés, je corrigerai ça avec le temps. Il faudra également voir l'impact sur le référencement. On verra. Enfin, pour mes prochains billets de réflexions à terme, je donnerai toujours des avis, mais je serai moins dans le détail, j'essaierai de ne pas donner d'information "personnel" ou intimiste, sauf si elles ont lieu d'être vraiment utiles et pertinentes.

La communauté francophone de Mozilla travaille depuis quelques semaines à la mise en place de rom alternative à celle fournie par défaut pour le téléphone ZTE Open C commercialisé en France. Toutes les informations sont ici : http://builds.firefoxos.mozfr.org/doc/fr/devices/zte-open-c-fr

Passage sous la version 2.1 de Firefox

La page expliquant la procédure est très bien documentée. Notez qu'à tout moment, il est possible de revenir sur la version qui était fournie par défaut avec le téléphone à l'origine en ré-exécutant l'outil de root. Le changement de version fait que l'on perd les données si on ne les a pas sauvegardées

Personnellement, les seules données importantes sont mes contacts que j'importe/exporte sur la carte SD.

Ayant deux téléphones ZTE Open C, un de test et un pour l'usage au quotidien, j'ai effectué les migrations suivantes :
Téléphone de test : Il était initialement en version 1.3 de Firefox, la ROM par défaut de ZTE. J'y avais mis la version 2.0 via la ROM/Procédure de Furious Therapy. Je l'ai "rooté" sans soucis, ce qui a permis de le migrer ensuite en 2.0 communautaire via une carte SD.
Téléphone du quotidien : Il était initialement en version 1.3 de Firefox, la ROM par défaut de ZTE. Il n'a jamais eu d'autres versions. Là aussi, je l'ai "rooté" sans soucis, ce qui a permis de le migrer ensuite en 2.1 communautaire via une carte SD.

Une fois la mise à jour effectuée (en suivant uniquement la documentation), j'ai ajouté mes contacts, compte mail, changer de sonnerie, le fond d'écran etc.

Quelques jours avec la version 2.1 de Firefox dans sa version build communautaire}

Je suis donc passé sous la ROM 2.1 communautaire pour #FirefoxOS 2.1. On va voir à l'usage si il y a des bugs ou autre. Pour l'instant, les premières impressions sont que l'on peut constater le gros travail d'affinement qui a été réalisé à tous les niveaux (effets, fonds et animations d'écran, couleurs, réglages disponibles, options du clavier...) et c'est toujours très rapide à l'usage. Pour la fluidité, c'est plus fluide et réactif que la 1.3. Ca se ressent à l'usage. Pour l'autonomie, c'est pareil, voir mieux. Je tiens une journée et demi en usage courant comme avant. Il faut voir si c'est un effet psychologique ou réelle.

Il faudra que je teste l'ajout de la fonctionnalité "Privacy Panel" qui permet, à distance, de faire sonner/localiser/bloquer, le téléphone via un SMS (et que je regarde les conditions/le respect de la vie privée, vu que ça géolocalise le téléphone).

Pour tout savoir en images sur les nouvelles fonctionnalités/changement de la version 2.1, je vous invite à lire FFOS 2.1 … une mise à jour qui m'a fait du bien ! sur le blog de AldoLinux.

Bug connus/apparents

Problème de partage de connexion

Il est possible avec le téléphone de partager sa connexion 3G et donc de l'utiliser comme Modem/Hotspot. Il y a un bug avec le partage de la connexion ""en mode USB", cela marche par contre en mode Wifi, tant que l'on n'a pas activé le partage en mode USB, qui fait bloque ensuite tout partage de connexion, nécessitant d'éteindre (pas un reboot, éteindre) le téléphone et le rallumer pour de nouveau avoir le partage de connexion par Wifi fonctionnel.

Voici le scénario de test qui m'a permis d'arriver à cette conclusion et de :
Le mode partage en Wifi marche.
Test du partage en mode USB : ça ne marche pas.
Si on l'active et le désactive (vu que ça ne marche pas quelque soit l'OS), le mode partage en Wifi ne marche alors plus.
Un reboot du téléphone ne suffit pas. Il faut éteindre complètement le téléphone pour que le partage en Wifi marche de nouveau.
Dès lors que l'on active le partage en mode USB, ca ne marche de nouveau plus, il faut éteindre le téléphone.

=> Le problème est donc lié à l'activation du mode partage de connexion en USB.
=> Cela a été confirmé par les personnes que je connais qui travaille sur ces builds communautaires (sur la mailing-liste de mozfr.org).

Ce bug n'est pas trop gênant, je partage ma connexion avec mon PC via le Wifi quand j'en ai besoin et cela me convient (même si je préfèrerais pour des raisons d'autonomie la partager via l'USB).

Problème d'heure si pas de connexion Quand il n'y a pas de connexion 2G/Edge ou de connexion wifi, la date et l'heure sont fausses à chaque redémarrage du téléphone (date du dernier build ou alors carrément au 01 janvier 1970). Cela peut s'avérer gênant pour pas mal de choses comme l'agenda, le classement des sms.

Conclusion

La procédure de migration depuis un téléphone ZTE acheté est simple, rapide et marche bien. On installe le logiciel de Root, on met la ROM sur une SDCard et c'est bon. Je tiens à remercier toute la communauté Mozilla/FirefoxOS fr pour le travail effectué.

La suite ? Comme fonctionnalités importantes à mes yeux, il manque encore le copier-coller (qui arrive avec la 2.2), la gestion de clef GPG, de TOR et la connexion à un VPN, un logiciel de type/compatible textsecure, et les extensions dans le navigateurs. Ce serait alors parfait, on y serait enfin. En attendant, la voie est longue, mais la voie est libre.

Prérequis

Avoir un téléphone sous FirefoxOS en version 2.x
Avoir créer un compte sur le site https://find.firefox.com/

Sur le téléphone, sous FirefoxOS, dans la partie Paramétrage, Zone Gestion des comptes :
Ajouter le compte dans Comptes Firefox
Activer la localisation de l'appareil
Dans la partie Paramétrage, Zone Vie privée et Sécurité :
Verrouillage activé : on active l'écran de verrouillage , le verrouillage par code (on définit un code à 4 chiffres) et on indique un temps à partir duquel il faut demander le code d'accès.

Présentation du service fourni par Mozilla

Description issu du site https://find.firefox.com/
Si vous avez perdu un téléphone Firefox OS, Localiser mon appareil peut vous aider à le retrouver. Vous pouvez le visualiser sur la carte, déclencher une sonnerie et lui faire afficher un message. Vous pouvez également le verrouiller par sécurité ou supprimer toute information personnelle.

Une fois que l'on est connecté, on a donc accès à différents services que j'ai testé.

Faire sonner

Si vous constatez qu'il se trouve à proximité sur la carte, vous pouvez faire sonner le téléphone, même si la sonnerie est désactivée. Le but est donc de déclencher une sonnerie sur l'appareil pour le retrouver plus facilement.

Pratique si on a oublié son téléphone dans une poche de veste par exemple. Ca marche bien (si le téléphone est allumé, bien évidemment).

Verrouiller l'appareil

Afin de protéger vos données personnelles, vous pouvez verrouiller votre écran et y afficher un message pour que quelqu'un puisse vous le rendre.

Là aussi j'ai testé. Le téléphone se verrouille et affiche le message que l'on a saisit. Le code que l'on avait défini est nécessaire pour le déverrouiller.
Si il n'y a pas de code de verrouillage, cela propose d'en ajouter un, que l'on ne peut pas changer à distance (il faut déverrouiller le téléphone en lui-même).

Effacer l'appareil

Si vous ne parvenez pas à localiser votre téléphone, vous pouvez l'effacer de façon définitive. Mais attention, cette action est irréversible. En effaçant votre appareil vous allez :
Supprimer vos contacts, médias, messages et applications installées
Restaurer l'appareil à ses valeurs d'usine
Désactiver Localiser mon appareil

Non tester, je n'ai pas envie de réinitialiser mon appareil.

Localiser l'appareil

Tant que votre téléphone reste allumé et connecté à Internet, vous pouvez visualiser sa position sur la carte.

Testé via la connexion 3G et la géolocalisation d'activer, le téléphone n'est pas localisé. Non testé quand l'appareil se connecte à un Wifi.

Les conditions d'utilisation

Il faudrait que je regarde dans les détails Les conditions d'utilisation/la Politique de confidentialité de Mozilla pour savoir ce qu'il en est de l'utilisation de ces données qui sont très personnelles (car le téléphone indique potentiellement où l'on se trouve à Mozilla).

Aller plus loin dans la sécurité de son téléphone

On mettra le temps de verrouillage de l'écran à immédiat. Cela contraint à saisir le code dès que le téléphone s'est verrouillé (quand on arrête de l'utiliser), mais cela peut éviter des problèmes. On activera également le verrouillage au niveau de la carte SIM : pour plus de sécurité, on activera également le code PIN sur la carte SIM. Cela se fait via la partie Paramétrage, Zone Sécurité carte SIM.

Au niveau des applications, on vérifiera le paramétrage de chacune, plus particulièrement en ce qui concerne l'usage de la géolocalisation : Paramétrage>Vie privée et sécurité>Permissions des applications. Ce, afin que seules les applications que l'on choisit ait accès à notre géolocalisation.

Pour l'instant, il n'y a pas de chiffrement des supports de stockage du téléphone. On prendra donc attention à ne pas y mettre de données trop sensibles.

Si le téléphone est volé et que l'on a activé ce service fournit par Mozilla, on bloque le téléphone a distance il y a plusieurs cas de figures :
le voleur n'est pas technophile, un simple code sur la carte SIM (car il va retirer la batterie et la remettre pour relancer le téléphone) sera suffisant. Téléphone inexploitable, il le jette.
si le voleur est technophile, il fera un reset usine (via le pack root) de FirefoxOS. Cela sous entend qu'il connait FirefoxOS, qu'il sait qu'il peut changer la ROM et qu'il sait comment faire. Ca fait beaucoup de "si", c'est peu probable.

Le plus simple est donc de demander à ce que le téléphone soit effacé. On n'a plus le téléphone, mais le données sont "préservées".