PROJET AUTOBLOG


Le blog de Genma

Site original : Le blog de Genma

⇐ retour index

Internet et les réseaux sociaux : que dit la loi ? chez Eyrolles

jeudi 1 janvier 1970 à 01:00

Présentation par l'éditeur

Cet ouvrage de référence vulgarise pour tout internaute le cadre juridique de la publication de contenus et de l'usage des services sur Internet : liberté d'expression, réseaux sociaux, droits d'auteur, licences Creative Commons, données personnelles... Cette nouvelle édition est à jour des dernières jurisprudences ainsi que des nouvelles lois, et explique par de nombreux exemples concrets la protection des données communiquées aux e-commerçants, les transactions e-commerce, l'utilisation d'Internet en entreprise, ou encore les accès frauduleux. Un livre toujours aussi indispensable pour comprendre ses droits et ses devoirs sur Internet !

Thématiques abordées : Neutralité du Net • Liberté d'expression • Responsabilité • Données personnelles • Vie privée • E-réputation • Réseaux sociaux • Anonymat • Identité numérique • Droits d'auteur • DRM, téléchargements illégaux et Hadopi • Transactions • Achats en ligne • Ventes entre particuliers • Litiges • Internet au bureau • BYOD et télétravail • Parler de son employeur sur les réseaux sociaux • Cybercriminalité • Phishing • Spam

Internet et les réseaux sociaux : que dit la loi ? chez Eyrolles

La critique du Genma

Au même format et dans la même collection que le livre Anonymat sur Internet de Martin Untersinger, soit un format poche, ce livre va prendre une place d'importance dans ma bibliothèque. En effet, il est condensé de vulgarisation comme je l'aime pour tout ce qui concerne la loi et Internet.

On entend beaucoup de choses autour de la loi et d'Internet, que ce soit du côté des politiques qui veulent réguler Internet, ce far-west et du côté des défenseurs d'un Internet libre, ouvert et neutre. Ce livre pose tout, fait le point sur les lois existantes au niveau législatif français. Qu'est ce que la liberté d'expression ? A t-on le droit d'être anonyme ? Qu'est ce que la vie privée ? Qui est responsable pour des propose tenus ?

Bien que le titre laisse à penser que ce livre ne parle que des réseaux sociaux, c'est toute la communication (écrite, image, vidéo) sur Internet qui est abordé. On y parle de e-réputation et de gestion de son identité numérique (là encore deux sujets qui me sont chers), du droit d'auteur.

Ce livre va devenir pour moi une référence pour pouvoir mentionner ou renvoyer vers un article de loi quand j'en aurai besoin. Ce livre montre que beaucoup de lois s'appliquent déjà à Internet et que ceux qui disent le contraire sont des menteurs. Ce livre permet de mieux comprendre et appréhender ces lois.

Seul regret, le fait qu'il faudra faire une 3ème édition pour parler de l'impact de la Loi Renseignement sur Internet, car étant donné la date de sortie de cette nouvelle édition (courant juin 2015), aucune mention n'a pu être faite sur cette loi.

En conclusion, un livre que je recommande.

A lire une interview de l'auteur sur le blog du modérateur qui viendra compléter cette critique en apportant un complément d'information sur l'intérêt de la lecture de ce livre.

Mettre à jour Debian via Tor - apt-transport-tor

jeudi 1 janvier 1970 à 01:00

De même que l'on souhaitera mettre à jour ses clefs GPG via Tor (cf mon billet sur Parcimonie), on peut souhaiter mettre à jour sa distribution Debian via Tor. C'est pour répondre à cette problématique qu'a été lancé le projet apt-transport-tor dont les sources sont disponibles ici https://github.com/diocles/apt-transport-tor

Pour rappel, le port utilisé par apt est le port 80 et donc cela ne pose pas de soucis de faire une mise à jour via Tor.

But du projet

La description du projet décrit assez bien le but du projet de façon assez simple : il est décrit comme étant un moyen simple d'installer ses packages Debian par Tor. Comme indiqué sur la page du projet : Le téléchargement des paquets Debian sur Tor empêche un attaquant qui reniflait votre connexion réseau d'être en mesure de dire quels paquets vous récupérez, et même d'associé votre trafic au fait que votre système tourne sous Debian.
Toutefois, cela ne signifie vous défend pas :
- d'un adversaire passif global (qui pourraient potentiellement corréler le trafic du noeud de sortie avec votre trafic Tor local)
- d'un attaquant qui regarderait la taille de vos téléchargements, et qui ferait une supposition avisée sur le contenu
- d'un attaquant qui a compromis votre machine
Enfin, les vitesses de téléchargement seront plus lentes via Tor.

Comment ça marche

Le paquet implémente une méthode d'acquisition des paquets en cherchant des URLS du type "tor+http://" or "tor+https://" dans le fichier sources.list.

Les dépôts Debian utilisés sont les dépôts standards (on ne parle pas d'utiliser des dépôts Debian en Hidden services ou fichiers cachés), ou de dépôts alternatifs. On se connecte aux mêmes dépôts qu'habituellement, mais via une connexion Tor ce qui permet d'être anonyme vis à vis du serveur du dépôt.

Rq : sur la page de documentation, les liens indiqués pour le source liste sont sous la forme http. Http et non HttpS. Mais ce n'est pas un problème. Bien qu'il n'y ait pas de dépôt officiel Debian en HTTPS, les paquets Debian étant signé via GPG, le risque de compromission du paquet ne se pose pas. Voir à ce sujet mon billet Vérifier l'intégrité des paquets Debian.

Différence avec un torrify apt-get install

Je me suis posé la question de la différence entre l'utilisation de cette commande et une commande du type torrify apt-get install (Voir La commande Torify pour plus de détails).

J'ai eu la réponse suivante : torify / torsocks is a huge hack with Linux library preloading. Not very clean, can leak DNS, etc. With apt-transport-tor, you use the Tor SOCKS5 proxy directly (and correctly) que je traduirais par >torify / torsocks se basent sur des hacks énormes de librairies préchargées de Linux. Ce n'est pas très propre, il y peut y avoir des fuites de DNS (les DNS Leak). Avec la commande apt-transport-tor, on utilise directement et correctement le proxy Tor SOCKS5.

Pourquoi un routeur wifi proposant Tor n'est pas une bonne idée ?

jeudi 1 janvier 1970 à 01:00

Un routeur wifi permettant de se connecter à Tor de façon transparente

On trouve de nombreux tutoriaux qui explique comment mettre en place un relais Tor sur un Raspberry pi ou autre. L'idée est la suivante : on se connecte au réseau Wifi proposé par le Raspberry pi et celui reroute le trafic via Tor (en passant par la connexion ethernet et la box à laquelle il est relié). C'est le Raspberry qui établit le circuit Tor et cela reste transparent pour l'utilisateur.

Je nuance de suite le titre de l'article : je vais tenter d'expliquer pourquoi, à l'heure actuelle, un routeur wifi proposant une connexion qui passe par Tor n'est pas une bonne idée. L'idée en elle-même et louable et ce n'est pas l'idée que je critiquerai, mais sa mise en oeuvre.

Pourquoi ce n'est pas une bonne idée ?

Pour expliquer je citerai l'intervention de Lunar lors de la conférence de Pas Sage en Seine 2015 sur La brique internet

Au sein du projet Tor, il est considéré que ce n'est pas une bonne approche de proposer un point d'accès ouvert où tout passe par Tor. La meilleure façon d'utiliser le réseau Tor est du chiffrement point à point entre l'utilisateur et le réseau Tor. Avec ce type de configuration, l'utilisateur sur son ordinateur n'a plus la possibilité de savoir ce qui se passe. Si on lance le TorBrowser sur sa machine, on fait du "Tor dans du Tor", le trafic est ralenti, il y a des pertes de paquets et des problèmes de sécurité... Un utilisateur non averti se verra confronté aux problématique des usagers de Tor : saisie de captcha etc. et/ou peut avoir un faux sentiment de sécurité.

Ce qui est conseillé : filtrer toutes les connexions qui par défaut ne vont pas vers le réseau Tor (les noeuds d'entrées ayant des adresses connues et publiques), les rediriger vers un portail captif proposant un guide et l'installation du TorBrowser. L'intérêt de ce type d'approche est que les utilisateurs restent en contrôle de leur usage de Tor.

L'utilisateur n'a pas le contrôle sur Tor. L'entrée sur le réseau Tor se fait au niveau du routeur et non de la machine de l'utilisateur. On ne voit pas ce qui se passe, on ne sait pas si la connexion passe bien par Tor : il peut y avoir un soucis, le routeur n'est plus connecté à Tor et le trafic passe alors par le chemin traditionnel et on ne le sait pas. Si le TorBrowser est fourni avec un certain nombres de modifications par défauts (javascript désactivé, pas de plugin flash etc.) c'est qu'il y a des raisons. Si le TorBrowser propose de pouvoir changer de circuit, c'est qu'il y a des raisons. Et avec ce type de connexion on perd toutes ces fonctionnalités qui peuvent avoir leur importance.

Donc pour l'instant, si ce n'est pour s'amuser et apprendre, je ne conseillerai pas de mettre en place "un routeur Tor". On travaille sur une box Tor qui ferait le travail proprement dixit Aeris en commentaire lors de la même conférence, donc tout espoir n'est pas perdu.

Et le cas du VPN ?

Par contre, fournir un point d'entrée à un tunnel VPN - on se connecte au Wifi et on entre dans un tunnel VPN pour ressortir ailleurs, sur un réseau propre comme celui de FDN, là, c'est une très bonne idée. C'est d'ailleurs ce que fait / ce qui est proposé par le projet de LaBriqueÎnter.net. Un VPN est plus simple dans son usage d'autant plus si c'est fait de façon transparente.

L'impression 3D par Mathilde Berchon, Bertier Luyt

jeudi 1 janvier 1970 à 01:00

Présentation de l'éditeur

Une nouvelle révolution industrielle ?

L'impression 3D, qui permet de créer des objets par superposition de fines couches de matière, est une technologie en plein essor. Longtemps réservée aux industries de pointe, elle s'est récemment démocratisée avec l'arrivée sur le marché d'imprimantes moins onéreuses et plus rapides, ainsi qu'un choix plus varié de matériaux imprimables. Ce premier ouvrage français sur le sujet en dresse un panorama complet, des différents procédés aux types de machines, des multiples champs d'application (design, architecture, médecine, agroalimentaire...) aux conseils pratiques pour les particuliers. Il explique pourquoi ce nouveau mode de fabrication risque d'avoir un formidable impact sur notre société, en remettant en cause toute la chaîne de production traditionnelle.

A qui s'adresse ce livre ?
- A tous les makers, bricoleurs, bidouilleurs, geeks, designers, artistes, inventeurs...
- Aux particuliers ou aux décideurs souhaitant utiliser l'impression 3D dans leur quotidien ou leur entreprise

Plus d'informations sont disponibles sur le site de l'éditeur Eyrolles,
L'impression 3D par Mathilde Berchon, Bertier Luyt

La critique du Genma

Quand Eyrolles m'a proposé de m'envoyer ce livre, j'ai accepté car j'ai dans mes amis quelqu'un qui s'est lancé dans la construction d'une RepRap et j'ai pensé que ça lui ferait un cadeau, une fois que j'aurai lu le livre en vue d'en rédiger une présentation et critique pour mon blog.

La première chose que j'ai remarqué et la qualité du livre. Le papier est épais et mat, les illustrations dans le livre sont nombreuses et il n'y a que très peu de page où l'on a pas une photographie en couleur de haute résolution pour illustrer les propos. Il est vrai que la thématique du livre, à savoir les imprimantes 3D, nécessite des illustrations pour faciliter la compréhension.

Ce livre n'est toutefois pas un livre d'images ou un banal catalogue. Même si le fait qu'il liste toutes les imprimantes existantes au moment de la publication (le livre que j'ai reçu était la 2ème révision) en fait une bible, une référence, un très bon travail de rédaction a été fait par les deux auteurs et les textes sont bien écrits et instructifs.

Je connaissais quelques petites choses sur les imprimantes 3D, pour être aller dans des Fablabs, avoir discuté avec les manipulateurs et vue des RepRap en action, mais j'étais loin d'imaginer l'étendue du champ d'application des imprimantes 3D. En particulier dans le domaine professionnel, la variété des matériaux, des modèles, des procédés d'impressions... . On peut imprimer en couleur, en plastique, mais aussi en métal, en céramique... Il y a des prothèses chirurgicales, des prototypes industriels, des éléments articulés.... La variété des procédés et des applications décrites dans le livre m'ont montrées que les RepRap ne sont qu'un élément parmi d'autres dans la diversité de l'impression en trois dimension....

Avec ce livre, j'ai donc appris plein de choses. Enfin j'ai beaucoup appréciée la partie concernant les perspectives et l'avenir de ces imprimantes et la mini-révolution de notre société qu'elles impliquent posent les bonnes questions, à savoir les problématiques du copyright, la réappropriation de la réparation d'objets de notre quotidien via l'impression de pièce défectueuse. Même la polémique de l'impression d'armes à feu est évoquée ; le livre est donc on ne peut plus complet.

De ce fait, je le recommande vivement à toute personne intéressé par le sujet, du simple curieux au passionné.

Outer mon hacktivisme ?

jeudi 1 janvier 1970 à 01:00

Outer ?

Outer, c'est faire son coming-out. Cela correspond à faire l'annonce publique de toute caractéristique personnelle, jusque-là tenue secrète par peur du rejet ou par discrétion. Cela concerne généralement l'orientation sexuelle, mais ce terme s'utilise également dans d'autres cas.

Hacktivisme ?

L'hacktivisme, c'est la contraction de hacker et activisme. Je ne suis pas un grand hacktiviste, je ne suis pas très actif, je ne fais que des actions modestes et je n'ai pas la prétention d'être hacktiviste. Toutefois je me reconnais dans ce mouvement/ces valeurs. Et le fait que je cherche à partager mes connaissances autour de la vie privée (via les Cafés vie privée et autres chiffrofêtes"), que j'utilise et apprenne chaque jour sur les techologies

font que je suis apparenté à ce domaine

Identité numérique

Nombreux sont les billets dans lesquels je parle de mon identité numérique, un peu moins depuis le Ménage sur le blog.

Reste toutefois des billets comme Faire le lien entre mon pseudo et ma véritable identité ou encore Quel est mon modèle de menace ? dans lesquels j'explique le pourquoi de mon pseudonyme, ce que je fais pour essayer de le décorréler de mon identité civile...

Outer mon hacktivisme ?

A la fin de l'année, fin octobre ou début novembre, j'aurai un nouvel entretien annuel avec la personne qui est censée me représenter lors du conseil durant lequel se décidera mon évolution de carrière etc. en fonction de mon évolution au cours de l'année. Le soucis est que cela fait deux ans que je suis sur une même mission, sans perspective d'évolution, sans réel enjeu etc. (cf mes anciens billets effacés depuis ménage).

Pourtant, durant cette année, je n'aurai cessé de progresser, d'acquérir des compétences, de l'expérience à travers ce blog et les billets que j'y rédige, mes conférences, ateliers que je co-anime au sein des Cafés vie privée et autres Chiffrofêtes... Cela fait plusieurs années que je m'intéresse aux problématiques de la vie privée, mais depuis les révélations de Snowden, il y a eu une montée en intérêt pour moi sur ces problématiques, une acquisition de connaissances assez conséquentes.

Le temps que j'ai de libre (et j'en ai beaucoup) sur ma mission actuelle est donc mis à contribution pour apprendre sans cesse toujours plus sur des sujets que j'aime et étroitement liés au domaine de l'hacktivisme.

Je me tâte donc à "outer" (faire un coming-out) sur mon hacktivisme pour valoriser/mettre en avant mes compétences. Dire à ce manger : "Je suis Genma". Oui, lui dire de but en blanc qui je suis. Moi qui cache mon pseudonyme, lui dire. Lui expliquer tout ce que je connais, tout ce qui m'intéresse, tout ce sur quoi je suis à l'aise (prise de paroles en publique, formation, partage de connaissances, vulgarisation, technologies comme Tor).

Quelles conséquences ?

Je ne maitrise pas encore l'enjeu et les conséquences d'une telle révélation. Car ce serait :
- avouer que je contourne allègrement les règles de sécurité de mon entreprise (proxy, par exemple) en apportant pourtant plus de sécurité (je chiffre les données de l'entreprise, je n'utilise pas DropBox et autres services Google contrairement à mes collègues) ;
- avouer que je suis fiché (vu que j'ai été militant contre la Loi Renseignement) ;
Mais et surtout perdre tout le côté séparation des mes identités numériques avec des conséquences que je ne maitrise pas, dont je n'ai pas encore conscience.

D'où ce billet et mon appel : lecteur-trice-s, qu'en pensez-vous ? Un avis ? Laissez un commentaire ou envoyez moi un mail. Merci d'avance.