Torify est une commande qui, placée devant le nom d'une commande/d'un programme qui utilise le réseau, permet que ce dernier/cette dernière fasse passer son trafic par TOR. Ainsi, n'importe quelle application pourra passer par TOR au lieu de se connecter directement à Internet, et ce, à la demande de l'utilisateur.

Prérequis

Il faut que Tor soit installé sur la machine, ce qui sous Debian, Ubuntu et dérivé se fait par :

Une fois installé, dans le fichier de configuration /etc/tor/torrc, on décommente (on enlève le #) la ligne
In this example we'll keep all the standard configuration but 2 things, in the file /etc/tor/torrc you should uncomment the directive :
ControlPort 9051
Et on met la valeur de CookieAuthentication à 0
CookieAuthentication 0

Avec ces deux options, on fixe le port sur lequel Tor écoute pour les connexions locales et on dit à Tor qu'il n'y a pas besoin d'authentification. Ainsi n'importe quel programme peut contrôler Tor (il ne faut donc pas faire ça sur un ordinateur partagé ou un serveur. Noté qu'il est également possible de fixer un mot de passe pour Tor, toujours via le même fichier de configuration). Il faut alors relancer Tor avec la commande :
sudo /etc/init.d/tor restart

Pour tester la commande, on pourra faire, par exemple
$ torify elinks http://genma.free.fr
Ce qui aura pour conséquence de lancer le programme Elinks dont la navigation sur le web passera par le réseau Tor.

Tutoriel inspiré de la page How to anonymize the programs from your terminal with torify en anglais.

Les conférences Blackhat

Les conférences Blackhat https://www.blackhat.com/ sont des conférences organisées partout dans le monde, sur le thème de la sécurité informatique. Une caractéristique de ces rassemblements est que les présentations sont considérées comme étant très techniques : ils s'adressent ainsi principalement aux experts de la sécurité. Source.

La prochaine se tiendra aux USA, à Las Vegas, du 2 au 7 août.

La conférence désanonimisation des utilisateurs de Tor

Apparemment des chercheurs auraient réussis à "casser/désanonymiser Tor en le rendant donc vulnérable", pour un budget d'environ 3.000 dollars. « YOU DON'T HAVE TO BE THE NSA TO BREAK TOR : DEANONYMIZING USERS ON A BUDGET, l'annonce de cette conférence avait été relayé par différents sites spécialisés en anglais et j'étais passé à côté.

Le problème est que pour l'instant, il est difficile d'en savoir plus tant que la conférence n'a pas eu lieu.

La conférence a été annulée

Depuis quelques heures, l'annonce de l'annulation de la conférence circule de nouveau les sites spécialisés, et en anglais pour l'instant. J'ai trouvé un site d4n3ws.polux-hosting.co qui évoque l'annulation de la conférence : Une présentation devant avoir lieu à la conf BlackHat sur la désanonimisation des utilisateurs de Tor a été annulée.
Apparemment ce ne serais pas une volonté de censure mais plus un désaccord entre les chercheurs faisant la présentation et l'université de Carnegie-Mellon d'où ils proviennent, situation qui a déjà été vu dans d'autres cas… Source.

Est-ce une volonté du projet Tor de cacher quelque chose ?

Le projet Tor a réagi à travers une mailing-liste/un billet sur les blogs pour donner leur explications et leur non implicaiton dans cette annulation. Le message original est ici :

https://blog.torproject.org/blog/recent-black-hat-2014-talk-cancellation
https://lists.torproject.org/pipermail/tor-talk/2014-July/033954.html

On the recent Black Hat 2014 Talk Cancellation - A propos de la récente annulation de la conférence à la Black Hat 2014, par Roger Dingledine

Salut les gens,

Les journalistes nous questionnent à propos de l'annulation de la conférence Black Hat sur l'attaque de Tor. Nous travaillons toujours avec le CERT pour faire une communication détaillée (si tout va bien cette semaine), mais j'ai pensé que je devais partager quelques détails avec vous au plus tôt.
1) Nous n'avons pas demandé à la Black Hat ou au CERT d'annuler la conférence. Nous avons posés (et le faisons encore) des questions aux présentateurs et au CERT sur certains aspects de leurs recherches, mais nous n'avions aucune idée de la conférence serait annulée avant que l'annonce en soit faite.

2) En réponse à nos questions, nous avons reçu certains informations. Nous n'avons pas reçu de diapositives ou une description plus détaillée de ce qui sera présenté dans la conférence en dehors de ce qui était disponible sur la page Web de Black Hat.

3) Nous encourageons la recherche sur le réseau Tor, avec une divulgation responsable de toutes les attaques nouvelles et intéressantes. Les chercheurs qui nous ont remontés de bogues par le passé nous ont trouvé très utile dans la résolution des problèmes, et c'était généralement positif de travailler avec eux.

Qu'en pensez ?

De ce que je comprends/sais au moment de la rédaction de ce billet, l'équipe derrière Tor explique qu'ils sont pour qu'on leur informe de toute faille/problème ou autre afin qu'ils les corrige. Diffuser des failles, étant donné les enjeux (risque de vie ou de mort pour des dissidents par exemple), ne devrait pas être fait de façon publique mais remontée aux équipes du projet afin qu'ils puissent agir en conséquence en les corrigeant. Pour l'instant, il est difficile de se prononcer. Je vais surtout suivre l'évolution de la communication autour de ce problème et essaierait de vulgariser/communiquer via ce blog.

Pour compléter, je traduis un extrait de l'article Carnegie Mellon Kills Black Hat Talk About Identifying Tor Users — Perhaps Because It Broke Wiretapping Laws

Il a eu beaucoup de spéculations sur ce qui se passe, mais Chris Soghoian a une assez bonne thèse que les chercheurs n'ont probablement pas l'approbation institutionnelle ou le consentement des utilisateurs dont il a été fait l'identification, ce qui signifie qu'ils ont été potentiellement violer les lois sur l'écoute électronique. Comme il le souligne, l'exécution d'un serveur Tor pour tenter d'espionner le trafic Tor sans en parler à des avocats est une très mauvaise idée. Bien qu'il n'ait pas encore été confirmé que c'est ce qui s'est passé, c'est certainement une théorie assez sensible.

Bien sûr, rien de tout cela ne change le fait qu'il est possible d'identifier certains utilisateurs de Tor. Mais ... ce n'est pas particulièrement nouveau. En fait, nous en avons discuté dans le passé comment le gouvernement fédéral peut identifier les utilisateurs de Tor. Tor ajoute une couche de protection importante, mais il ya beaucoup des façons de pouvoir être identifiés en utilisant Tor. Il suffit de demander à Russ Ulbricht. Le problème n'est pas tant Tor lui-même, mais la façon dont les gens l'utilisent - et le fait est que la plupart des gens l'utilisent d'une manière qui finira par révéler qui ils sont.

Je vous invite d'ailleurs à lire ma traduction d'un texte du site du projet Tor : "Vous voulez que Tor marche vraiment ?", qui vous en dira plus sur les erreurs de base à ne pas commettre quand on utilise Tor.

Dans cet billet, je voudrais vous faire par d'un webinar (un Webinar est un terme pour désigner une conférence en ligne) qui se déroulera le 31 juillet prochain, pour présenter la nouvelle version du Raspberry Pi, à savoir la B+.

Le Raspberry Pi B + est la prochaine étape dans le cadre de l'évolution de la très populaire plate-forme Raspberry Pi. Eben Upton présentera les caractéristiques et les fonctionnalités de la version B +, et montrera comment les améliorations de sa polyvalence vous permettront d'améliorer vos projets, des plus simples aux plus avancées.

Ce webinar sera présenté par le Dr Eben Upton, leader technologique reconnu internationalement et visionnaire. Il est l'inventeur de la Raspberry Pi et le fondateur de la Fondation Raspberry Pi. Il est aussi un directeur technique et un architecte ASIC chez Broadcom. Il a été directeur des études d'informatique de l'université de St John, Cambridge. Enfin il a obtenu son doctorat en informatique et titulaire d'un Executive MBA de l'Université de Cambridge.

Quand et où :
Diffusion sur le site element14.com
Heure de début : 31/07/2014 4:00 PM CEST (Europe/Paris)
Heure de fin : 31/07/2014 5:00 PM CEST (Europe/Paris)

La conférence sera en anglais, mais vu qu'elle est faite par l'inventeur du projet, c'est un événement à ne pas manquer ;-)

Pour en savoir plus, toutes les infos et l'inscription sont sur :element14.com

Fin juin, c'était PasSage en Seine 2014, comme je l'avais annoncé et à cette occasion, en plus d'assister à certaines conférences (les autres je les vois une à une via leur mise à disposition en ligne ici : http://numaparis.ubicast.tv/channels/#pas-sage-en-seine-2014), avoir animer différents Cafés vie privée, j'ai également donné une conférence le jeudi sur le thème : Des cryptoparties aux Café vie privée, le chiffrement en pleine démocratisation.

Une retranscription a été faite par une membre de l'April, et je tiens donc à dire UN TRES GRAND MERCI à Marie-Odile pour tout le travail effectué. En effet, retranscription veut dire écouter la conférence plusieurs fois et taper tout ce qui a été dit mot à mot par le conférencier (moi-même), mais aussi les questions du public...

Le texte écrit est ce qui a été dit à l'oral, et c'est là qu'on voit que j'ai beaucoup de travail à faire pour améliorer la conférence. Je travaille donc à la rédaction d'un vrai texte pour améliorer les futures présentations, pour pouvoir le mettre en support de la présentation pour ceux qui voudraient à leur tour prêcher la bonne parole.

Ce travail de retranscription est important. Car il permet à des personnes malentendantes ou sourdes de savoir ce que j'ai dit. Avec les mêmes fautes de français, de grammaire, d'hésitations, des tournures de phrases alambiquées. Tout y est ;-)

<link rel="stylesheet" href="http://numaparis.ubicast.tv/statics/mediaserver/stylesheets/embed.css" type="text/css"/>

Rappel des liens

Pour les slides, c'est ici sur slideshare ou dispo sur Github.

Si vous préférez voir la vidéo, elle est ici http://numaparis.ubicast.tv/videos/cryptoparty/.

Et pour le texte de la transcription, c'est ici : Des cryptoparties aux Café vie privée, le chiffrement en pleine démocratisation - conférence de Genma à Pas Sage En Seine, juin 2014.

Encore une fois un grand merci à Marie-Odile, mais aussi à Bookynette et Aeris ;-)
ET VOUS AUSSI, LANCEZ-VOUS, FAITES DES CAFES VIE PRIVEE.

Présentation de l'éditeur

Une nouvelle révolution industrielle ?

L'impression 3D, qui permet de créer des objets par superposition de fines couches de matière, est une technologie en plein essor. Longtemps réservée aux industries de pointe, elle s'est récemment démocratisée avec l'arrivée sur le marché d'imprimantes moins onéreuses et plus rapides, ainsi qu'un choix plus varié de matériaux imprimables. Ce premier ouvrage français sur le sujet en dresse un panorama complet, des différents procédés aux types de machines, des multiples champs d'application (design, architecture, médecine, agroalimentaire...) aux conseils pratiques pour les particuliers. Il explique pourquoi ce nouveau mode de fabrication risque d'avoir un formidable impact sur notre société, en remettant en cause toute la chaîne de production traditionnelle.

A qui s'adresse ce livre ?
A tous les makers, bricoleurs, bidouilleurs, geeks, designers, artistes, inventeurs...
Aux particuliers ou aux décideurs souhaitant utiliser l'impression 3D dans leur quotidien ou leur entreprise

Plus d'informations sont disponibles sur le site de l'éditeur Eyrolles,
L'impression 3D par Mathilde Berchon, Bertier Luyt

Pour vous procurer le livre : Cliquer ici

La critique du Genma

Quand Eyrolles m'a proposé de m'envoyer ce livre, j'ai accepté car j'ai dans mes amis quelqu'un qui s'est lancé dans la construction d'une RepRap et j'ai pensé que ça lui ferait un cadeau, une fois que j'aurai lu le livre en vue d'en rédiger une présentation et critique pour mon blog.

La première chose que j'ai remarqué et la qualité du livre. Le papier est épais et mat, les illustrations dans le livre sont nombreuses et il n'y a que très peu de page où l'on a pas une photographie en couleur de haute résolution pour illustrer les propos. Il est vrai que la thématique du livre, à savoir les imprimantes 3D, nécessite des illustrations pour faciliter la compréhension.

Ce livre n'est toutefois pas un livre d'images ou un banal catalogue. Même si le fait qu'il liste toutes les imprimantes existantes au moment de la publication (le livre que j'ai reçu était la 2ème révision) en fait une bible, une référence, un très bon travail de rédaction a été fait par les deux auteurs et les textes sont bien écrits et instructifs.

Je connaissais quelques petites choses sur les imprimantes 3D, pour être aller dans des Fablabs, avoir discuté avec les manipulateurs et vue des RepRap en action, mais j'étais loin d'imaginer l'étendue du champ d'application des imprimantes 3D. En particulier dans le domaine professionnel, la variété des matériaux, des modèles, des procédés d'impressions... . On peut imprimer en couleur, en plastique, mais aussi en métal, en céramique... Il y a des prothèses chirurgicales, des prototypes industriels, des éléments articulés.... La variété des procédés et des applications décrites dans le livre m'ont montrées que les RepRap ne sont qu'un élément parmi d'autres dans la diversité de l'impression en trois dimension....

Avec ce livre, j'ai donc appris plein de choses. Enfin j'ai beaucoup appréciée la partie concernant les perspectives et l'avenir de ces imprimantes et la mini-révolution de notre société qu'elles impliquent posent les bonnes questions, à savoir les problématiques du copyright, la réappropriation de la réparation d'objets de notre quotidien via l'impression de pièce défectueuse. Même la polémique de l'impression d'armes à feu est évoquée ; le livre est donc on ne peut plus complet.

De ce fait, je le recommande vivement à toute personne intéressé par le sujet, du simple curieux au passionné.