Alternative aux extensions Ghostery et Noscript l'extension Request Policy permet de contrôler quelles requêtes « cross-site » sont autorisées et ainsi d'améliorer le respect de sa vie privée durant la navigation.

A chaque fois qu'un site veut transmette des informations à des sites tiers (régies publicitaires, réseaux sociaux ou autre), on aura un message qui s'affichera qui permettra de décider si oui ou non on souhaite transmettre des informations aux sites concernées.

Une extension de plus à ajouter à la liste des extensions permettant d'avoir un peu plus de vie privée et à téléchager ici : https://addons.mozilla.org/fr/firefox/addon/requestpolicy.

Présentation du service

L'annonce a été publiée sur Free Mobile lance un système de notification SMS pour vos appareils connectés Free Mobile vient de mettre en place un nouveau service, activable gratuitement depuis l'espace abonné. Nommé « notification par SMS », ce service permet d'envoyez des notifications par SMS sur votre propre mobile via n'importe quel équipement connecté à internet. Vous pouvez, par exemple, configurer une centrale d'alarme ou un NAS (type Synology) à votre domicile de telle sorte qu'ils envoient un SMS sur votre téléphone Free Mobile lorsqu'un événement se produit.

Et s'en sont suivi des tutoriels expliquant comment exploiter cette nouvelle fonctionnalité Tutoriel : Utiliser la notification SMS Free Mobile avec un NAS (Synology).

Comme tout le monde n'a pas un NAS, on peut être tenté de vouloir tester et un article proposant d'utiliser un script en ligne a été rédigé, toujours sur UniversFreebox Amusez-vous à tester très simplement la nouvelle fonction « notification SMS » de Free Mobile.

Attention ! Ce type de script qui permet peut-être à son propriétaire de récupérer des identifiants et clés API Free Mobile. Le fichier du code source semble indiquer qu'il n'y a pas de risque, mais rien ne permet d'être sûr que le fichier code source et le script ont le même contenu... Il faut donc installer ce script sur son propre serveur... (Source du script)

Si pour des raisons de sécurité vous vouliez renouveler la clef, il vous suffit de désactiver puis de réactiver l'option.

Et ça sert à quoi ?

Nombreux sont les commentaires qui demandent à quoi peut servir une telle fonctionnalité, comme dans l'article de NextINpact par exemple.

Un cas d'utilisation en dehors de l'envoi d'un SMS quand une tâche est finie par le NAS et celui de supervision d'un serveur : associer à fail2ban, on a une système d'alerte de tentative d'intrusion, à une sonde icmp, une alerte si le serveur down, etc. Certains disent qu'il vaut mieux utiliser des notifications par mail. Ce à quoi, ce commentaire que j'ai sélectionné, répond :Les notifications par mail, c'est une très très mauvaise idée, au taff, on a plusieurs nagios, avec plein de faux positifs bien sûr, et ça inonde nos boîtes de mail et les trucs importants sont noyés dans les spams / mail de robots / etc. Au final, je filtre et j'ignore tout, je ne peux pas réagir vite à un mail. Par SMS, je peux facilement faire sonner un téléphone spécial astreinte en cas d'urgence, et configurer l'envoi de SMS au cas par cas (par exemple, pour le check qui vérifie que les utilisateurs peuvent se connecter, que les serveurs de stockage sont montés, etc). Ca évite de se lever à 2h du matin pour un spam.

Personnellement, je rejoins ce commentaire Quelle est la plus-value par rapport à une notification par mail ? Si on ne regarde pas ses mails sur son smartphone ou même si on un smartphone, on n'a pas besoin d'avoir de couverture 3g. Cela peut donc s'avérer très utile pour avoir l'information en temps réel.

Alors comment et qu'est qu'on en fait ?

Une fois l'option activée et les identifiants et clefs connus, on peut soit suivre les tutoriaux et se créer son script, soit en utiliser un déjà tout fait en shell... Par exemple, Claude Duvergier en a publié un en licence GPL sur freemobile-smsapi-client. Je l'ai repris et je l'adapte à mes besoins. Pour un script en php, il y a celui-là .

La seule limite est dans l'envoi du nombre de SMS et l'usage que l'on veut en faire. Avec un Rasberry Pi par exemple, on peut imaginer des usages et fonctionnalités sympas dans un cadre domotique par exemple... Ca tombe bien, je devrais recevoir un Rasberry Pi prochainement, je rédigerai des exemples de ce que j'en fais à ce moment là....

Dans cet article je voudrais réagir à Le piratage de sites pédophiles, coup de génie des Anonymous, article de Daneel Ellinggton.

Attention l'article en question a été publié le 29-10-2011. Ma réaction est celle de ce jour, 26 mai 2014. Elle s'applique bien au texte en lui-même, tout en faisant référence à des éléments récents.

L'opération en elle-même

Je suis et m'intéresse au mouvement Anonymous depuis plusieurs années et j'ai dans ce cadre, fait une Critique du livre Anonymous - Peuvent-ils changer le monde ? de Frédéric Bardeau et Nicolas Danet et demandé une interview de deux Anonymous contactés via Twitter (Interview d'un Anonymous, @AnonLegionFR et Interview d'un Anonymous, @Anon_Fr)

Quand j'ai lu cet article, je ne savais pas trop quoi penser. Et un nouvel Anonymous
@AnonymouSpeak m'a aidé à me faire un avis en m'envoyant le lien vers un communiqué d'Anonymous https://newsanonfr.wordpress.com/communiques-2/stop-oppedo/. Je vous invite à le lire en entier, j'en cite quelques passages :
est contre-productif car il sape le travail de police existant, et les preuves accumulées sont pour la grande majorité irrecevables. (...)ce n'est pas aux Anons de se substituer à la police.(...)Notre rôle est plutôt d'informer, de saisir l'opinion publique et la presse. (...) Anonymous se bat avant tout pour la liberté des peuples et la liberté d'expression. Notre combat quotidien doit être utile à cette lutte. Le combat contre la pédophile n'est pas du domaine d'Anonymous et toute action menée risque même l'effet inverse de l'objectif initialement escompté !

Ce communiqué fait preuve d'une certaine maturité et me plait bien. Il est simple à comprendre et donne un exemple ce que sont les Anonymous. N'importe qui peut se cacher derrière le pseudonyme d'Anonymous, peut faire des actions sous ce nom, c'est là le principe même d'Anonymous.

Critique de la qualité de l'article

Le travail d'un journaliste quand à lui est de faire son travail et d'écrire quelque chose de correct. Quand on lit l'article de Daneel Ellinggton, on a un mot, lâché comme ça. Darknet.

On en revient une fois de plus à "je mets Darknet, ça fait sensationnel". Oui il y a de la pédopornographie dans le Darknet, je ne le nie pas. Mais le restreindre à ça, ( comme on le fait souvent sur l'usage de TOR), c'est ne pas faire son travail de journalisme. Si vous voulez lire des choses sur le Darknet, je vous invite à lire tous les articles d'Amaelle Guiton sur http://www.techn0polis.net/ et ou encore sur Slate car elle fait du vrai bon travail sur le sujet.

Si on continue dans l'article, on a Ces monstrueux pirates sont donc des gens plus intelligents que les gars de la Hadopi ?. Hadopi a toujours été pour lutter contre le téléchargement illégal. Qu'est ce que ça vient faire là ? La phrase d'après vient quand même relever le niveau Mais alors... Qui nous a menti ? Qui nous a vendu de la peur pour mieux nous contrôler nous, honnêtes citoyens ?(...)A quoi sert tout ce flicage si les vrais méchants se planquent ailleurs ?. Oui Hadopi a été créér pour faire entrer dans la tête des gens le fait que la surveillance d'Internet était normal, qu'il fallait "civiliser ce far-west" et autre joyeuseté du genre. Moi, je suis plus dans le discours de Benjamin Bayart qui nous montre qu'Internet est un outil de démocratie, d'expression et est donc dangereux pour le politique, d'où la volonté de reprendre le contrôle dessus.

Ces dernières phrases relèvent le niveau de l'article mais au final, ça mélange "Darknet", "pedophilie", "anonymous", "injustices numériques", ça fait article écrit à la va-vite et loin d'être bon.

Pour en savoir plus sur la lutte contre la pédopornographie

Sur le sujet de la lutte contre la pédophilie, je vous invite à lire le blog de Zythom, expert judiciaire, (interviewé ici) qui montre ce qu'est un vrai travail : http://zythom.blogspot.fr/
avec des articles émouvants comme Je suis trop faible . Car c'est ça un vrai travail de lutte contre ce problème.

Dans ce billet, je voudrais parler deux sites qui sont assez récents que je vous invite à découvrir et suivre régulièrement.

Paranord - le Fablab de Valenciennes

Paranord est donc un Fablab qui s'est ouvert tout récemment sur Valenciennes. Si vous êtes dans la région, je vous invite à y aller pour rencontrer les membres et les fondateurs de ce Fablab (des personnes fort sympathiques que j'ai eu l'occasion de rencontrer).

Pourquoi aller dans de FabLab ? Un large éventail de personnes peut se retrouver dans un FabLab comme le nôtre : que vous soyez bidouilleur du dimanche, ingénieur, designer, informaticien, libriste, musicien ou bien encore un simple curieux, vous avez votre mot à dire et vous trouverez un moyen de participer à nos activités diverses : projets mécaniques, électroniques ou informatiques, ateliers de sensibilisation et d'information sur le numérique, ses bons usages et beaucoup de data love <3.

Pour suivre les activités du Fablab, suivre les activités des co-fondateurs, voici les différents liens :
http://www.paranord.org
Twitter : @Paranordlab
Les comptes Twitter des différents co-fondateurs :
Warfdog
Edge
Falkken

EDGE.sec - Votre dose de sécu à l'heure du café

L'un des cofondateurs du Fablab, Edge m'avait contacté par mail pour me demander quelques conseils pour se lancer dans un blog. C'est chose faite. Son blog et les premiers billets sont en ligne. Présenter comme étant De l'info, de la sécu, du data et de la réflexion, le blog EDGE.sec est donc un tout nouveau blog que je vais suivre de façon régulière, via le fil RSS. Et je vous invite à faire de même, à faire vos retours à Edge et à l'encourager. Souhaitons lui bon courage et de perdurer dans le temps, en publiant de façon régulière. L'adresse du blog : http://edgesec.blog.com

Lors du cycle de conférence haxpo, Julie Gommes, aka Jujusete a donnée une conférence intitulée Security Nightmare for journalists One day, we'll be all SysAdmin - La sécurité, cauchemar des journalistes. Un jour, nous serons tous administrateur système. Cette présentation étant en anglais mais sous licence CC-by-SA, voici donc la traduction du texte des diapositives.

Le support de la conférence est disponible ici : Haxpo-D1-Security-Nightmares-for-Journalists.pdf

licence CC-by-SA

Résumé de la présentation :
De nos jours, si nous voulons faire notre travail de journaliste de façon correcte et en toute sécurité, nous aurions besoin d'au moins deux heures de présentation sur la sécurité et l'administration système :
Créer sa clef GPG
Avoir son propre serveur mumble afin de pas utiliser Skype
Utiliser rsync pour transférer les fichiers sur son propre serveur afin de ne rien avoir avec soi en cas de contrôle à la frontière ou en cours de traversée d'un pays.
Savoir se connecter en SSH à son serveur auto-hébergé
Savoir ce qu'est une carte SD avec du contenu aléatoire au sein duquel il y a un conteneur chiffré caché.

L'idée de cette conférence est de parcourir toutes les technologies qu'il est nécessaire de connaître de façon rapide et avec humour. Si vous voulez vraiment faire votre travail de journaliste, cela demande de recourir à l'usage de différents outils liés à la vie privée et au chiffrement, et cela n'est pas (encore) enseigné dans les écoles de journalisme. Sachant qu'en France, il y a « urgence » vu que l'existence d'une nouvelle loi dite « LPM » qui donne le pouvoir à l'armée / aux militaires afin de surveiller le trafic français.

A propos de Julie Gommes

Julie est une journaliste qui développe et communique avec son ordinateur par la ligne de commande. Elle a travaillé dans la presse écrite, pour le web et la radio avant de devenir formatrice à la rédaction d'un journal français au Laos, enseignant le journalisme en Egypte et apprenant l'Infosec pendant les révolutions en Egypte et en Syrie. Maintenant, elle enseigne la sécurité aux journalistes et participe à certains groupes français qui luttent pour la neutralité du Net.
Son Twitter : @jujusete
Son blog seteici.ondule.fr/
Mon interview Interview de Jujusete

TRADUCTION

Voici donc la traduction du texte des différentes diapositives de la présentation Security Nightmare for journalists One day, we'll be all SysAdmin - La sécurité, cauchemar des journalistes. Un jour, nous serons tous administrateur système

A l'étranger, vous devez...
Maitriser les outils que vous utilisez
Vous connectez à un serveur distant pour y mettre vos données
Savoir comment vous connecter de façon sécurisée (via SSH par exemple) pour pouvoir déposer vos données sur le serveur.

Et c'est là que commence le cauchemar

Maitriser ses outils

Si vous ne savez pas comment fonctionne votre ordinateur, vous ne saurez pas comment faire pour effacer/supprimer/éliminer toutes traces de vos données et fichiers
Si vous n'utilisez pas des logiciels libres, comment pouvez-vous savoir ce que font vos appareils ?
Depuis les révélations de Snowden, on sait que si l'on achète un ordinateur, on ne peut savoir si la NSA n'a pas mis quelque chose à l'intérieur.

Avoir son propre serveur

Hébergé chez soi ou dans un datacenter
On doit utiliser la ligne de commande pour l'administrer
On doit savoir le sécuriser

Utiliser le serveur d'un(e) ami(e)
Il faut qu'il soit correctement paramétré afin qu'il/elle ait accès (ou non) à votre espace
C'est un bon début pour apprendre

Si n'importe qui peut avoir accès à ce serveur, les données ne sont pas en sécurité.

Ne vous inquiétez pas, ce n'est que le début...

"Je suis trop fatiguée pour que tu me lises une histoire ce soir, papa. Tu n'as qu'à me l'envoyer par mail et je la lirais demain".

Transférer les données sur le serveur

En utilisant Rsync
En utilisant la ligne de commande-
Attention à ne pas oublier de nettoyer le fichier .bash_history

Via un classique (s)FTP

Nettoyage des cartes SD

Sur les cartes SD, rien n'est supprimé physiquement tant que de nouvelles données n'y sont pas inscrites.
Utiliser la commande 'rm' pour effacées les données ? DANGER !
Les fichiers sont encore présents et n'importe quel logiciel de récupération des données permettra de les retrouver
La seule protection efficace : à chaque fois, il faut réécrire la carte SD dans son intégralité, avec des données aléatoires, via la commande dd if=/dev/urandom of=/dev/sdX bs=4M

Transfert de données

Ouvrir les fichiers avant de les avoir transférer est un autre danger :
Les logiciels utilisés pour ouvrir les documents gardent un historique des fichiers qui ont été ouverts
Les images et les fichiers sons contiennent également des métadonnées : la date de l'enregistrement, la position GPS, le modèle de l'appareil...
Il faut donc nettoyer tout ça
https://wiki.archlinux.org/index.php/Secu
rely_wipe_disk

.bash_history

L'usage de la commande rsync utilisée pour le transfert de donnée est mentionnée dans le fichier utilisateur .bash_history.

Il faut donc modifier le fichier .bash_history pour ne pas laisser de trace de l'usage de Rsync.

http://www.techrepublic.com/article/linux-command-line-tips-history-and-histignore-in-bash/

La sécurité du serveur

Se connecter en SSH
Chiffré les dossiers dans un dossier chiffré lui-même sur un disque chiffré...?
Ne pas conserver d'éléments dont on ne connait pas le niveau de sécurité
Pensez à vérifier les droits sur les répertoires
Qui a accès à ce serveur ?

Quand le cauchemar devient rêve....

Ne jamais laisser tomber ses rêves...

Utiliser Tails

A chaque fois que vous avez besoin de transférer des données
Ne laisse aucune trace sur le disque dur
La connexion se fera via TOR
Rsync est inclus dans Tails

Se connecter en SSH via TOR ?

Doit-on utiliser une clef privée ou une passphrase ?
Il faut penser à conserver la clef privée sur un clef USB chiffrée (via Luks)
On monte la clef USB au sein de la distribution live
Est-ce plus complexe que de gérer une phrase de passe (complexe) ?

Merci à vous. Questions

Le support de la conférence est disponible ici : Haxpo-D1-Security-Nightmares-for-Journalists.pdf

NOTE DE GENMA : suite à l'annonce de la mise en ligne du support de cette conférence, une discussion a été lancée sur Twitter afin d'apporter des éléments d'amélioration aux conseils données dans cette conférence. Il est par exemple conseiller que l'accès SSH se fasse via hidden service de TOR et uniquement de cette façon, afin de ne pas exposer l'adresse IP de son propre serveur, qui sera visible au noeud de sortie TOR.