Attention On me signale que RequestPolicy n'est plus maintenu et est à remplacer par RequestPolicyContinued https://requestpolicycontinued.github.io/

Présentation de Request policy

Request policy est une extension Firefox qui permet de Contrôler quelles requêtes « cross-site » sont autorisées. Améliorer la vie privée durant la navigation. S'auto-sécuriser contre les CSRF (« sea-surfing ») et autres attaques. Disponible ici https://addons.mozilla.org/fr/firefox/addon/requestpolicy/

Billet d'Ataraxia, invité du blog

Genma m'avait demandé il y a fort longtemps de faire un article sur l'add-on request policy. J'avais trouvé l'idée intéressante puis j'ai oublié. Récemment Arrêt sur images a publié un article où il dénonce le contenu sponsorisé foireux des principales régies : outbrain, ligatus et taboola. Arrêt sur images pointe le fait que ce contenu ne peut pas être bloqué par adblock. C'est pour cette raison que j'utilise Request policy.

Capture sur le site de l'express qui est un florilège

Cet add-on est radicale dans son concept, toute interaction d'un site tiers est rejeté par défaut. Cela a un gros avantage, on n'est pas embêté par du contenu non désiré mais par contre, il faut tout accepter à la main. Sur les sites de presse, c'est bien pratique. Certains regorgent de liens vers différents trackers et contenus indésirables : Et du coup, il n'y a plus à se soucier de ligatus, outbrain et taboola. Par contre, cette protection a un cout. Vous passerez beaucoup de temps à accepter les requêtes manuellement.

Un petit conseil, quand vous voulez autoriser plusieurs requêtes d'un coup, pensez à désactiver dans les préférences l'actualisation automatique de la page quand vous modifiez la liste blanche. Sinon, la page va s'actualiser à chaque requête autorisée. Il faut faire aussi attention aux requêtes de sites tiers vers encore d'autres sites. Ces requêtes de second niveau apparaissent dans la case du menu déroulant intitulée "Autres origines dans cette page".

L'utilisation peut être problématique pour les paiements en ligne. Pour les sites comme wlp-acs.com (qui sécurise les paiements par cb en vous envoyant un sms). Sinon, vous allez péter un câble. Les requêtes n'apparaissent que quand elles demandent une autorisation. Pour une vidéo, l'intérêt de désactiver l'actualisation automatique devient évidente. Si vous ne le faites pas, à chaque fois que vous autoriser une requête, la page s'actualise et vous devez ensuite recliquer pour relancer la vidéo.

Si vous avez trois ou quatre requêtes à autoriser, cela peut être assez long. Il est à noter qu'il devient difficile de faire fonctionner certaines redirections comme trib.al. Il est quand même conseillé d'avoir un autre navigateur sans request policy, si vous avez besoin parfois d'accéder impérativement à un lien.

Et hop ! Ligatus est bloqué sur rue89.

Enfin, beaucoup de DNS sont inconnus. C'est à la fois un avantage et un désavantage. Désavantage car vous ne savez pas quelles sont toujours les requêtes devant vous. Avantage, car cela vous force à vous renseigner et du coup, vous acquiescez une vraie connaissance sur les différents trackers. Des efforts qui paient car si vous ajoutez l'appli lightbeam, vous verrez très peu de triangles pour les parties tiers et très peu de liens entre les différents sites. Request policy retient vos choix donc sur vos sites habituels, vous n'aurez plus les manips à faire. C'est le début qui est difficile d'utilisation qui est très difficile.

Pour conclure, Request policy demande une grosse volonté avec beaucoup de manips à faire. La vie au quotidien est beaucoup plus compliqué mais le tracking et les contenus indésirables sont éradiqués.

Attention On me signale que RequestPolicy n'est plus maintenu et est à remplacer par RequestPolicyContinued https://requestpolicycontinued.github.io/

Ce samedi 13 juin, à Ivry sur seine, se tiendra le salon http://sce2015.com/ dans l'école ESIEA.

Au programme, différentes conférences dont à 14h celle de Stéphane Bortzmeyer qui parlera de la neutralité de l'informatique… Et à 15h "TOR - Présentation et Usage" par moi-même.

Cette conférence est importante. Déjà parce que je passe après Stéphane Bortzmeyer qui est un très bon orateur et étant donné le sujet de ma conférence, le public devrait être nombreux. Mais surtout, vu que j'ai déjà fait une conférence similaire lors de l'Ubuntu Party. Et suite à celle-ci, j'ai pu discuté et écouté les critiques constructives et conseils de différents hacktivistes, et je pense avoir compris leurs remarques. J'ai donc repris ma présentation, je l'ai revue, améliorée et j'y travaille encore. Pour cela, j'ai passé des heures et des heures plongé dans la documentation du projet de Tor, sur les mailing-liste, à lire les supports de conférences de NosOignons...

J'ai repris et corrigé le support de conférence pour y apporter plus de sérieux et de précision. Mon but étant que ce soit précis, vrai, que je sois sûr d'avoir compris ce que je serai amener à présenter. J'ai préparé des annexes, j'ai creusé chaque sujet pour essayer, si ce n'est de le maîtriser, de bien en comprendre le fonctionnement, les enjeux et les conséquences. Je dois pouvoir savoir ce que je sais et maîtrise et ce que je ne sais pas. Je dois être capable de ne pas dire de bêtises car en tant que conférencier, mes paroles sont prises comme une valeur sûre, des affirmations, quoi que j'en dise.

Alors je relis les fondamentaux, je questionne, je me renseigne… D'autant plus que la Loi Renseignement a été votée, il ne faut plus rien prendre à la légère, il ne faut pas laisser de failles/de lacunes dans ses connaissances. Car sait-on si un jour je n'aurai pas vraiment besoin de ces connaissances... Moi ou une des personnes à qui je les aurai transmises... D'où l'importance de la préparation.

Je passe plusieurs heures par jour à lire la documentation et mettre en pratique, et je constate tout ce qu'il reste à apprendre… avant de pouvoir avoir une conférence sérieuse qui n'approxime pas, ne raconte pas d'erreur. Et j'ai dès à présent constater que Tor ce n'est pas simple, ce n'est pas "je télécharge, j'installe, je lance" (Même si je le savais déjà). Il y beaucoup a trop de possibilités de faire des erreurs et de se tromper, de faire n'importe quoi…

Les hacktivistes ont raison. Si on veut de la sécurité, c'est compliqué.

Le résultat en cours de préparation est disponible ici, sachant que je revoie et améliore jusqu'au dernier moment https://github.com/genma/Le_reseau_Tor (Source Latex-Beamer et pdf).

Prérequis :
Savoir comment fonctionne GPG,
Savoir ce qu'est un serveur de clefs, un trousseau de clef,
Avoir des notions d'administration / d'édition de fichier de configuration sous GNU/Linux

Quel est le problème ?

Lorsque l'on a un certain nombre des clefs GPG dans son trousseau de clefs et qu'on les met à jour/rafraichit, le processus est assez long. Et surtout, par défaut, c'est l'IP publique de la connexion que l'on utilise qui est directement exposée au serveur de clefs. Il est donc possible d'associer une adresse IP (celle de votre box, chez vous) avec une série de clef GPG et donc avec des personnes avec lesquelles vous êtes en contact via des communications chiffrées....

Présentation de Parcimonie

Développé par Intrigeri - développeur (entre autre) de Tails - Parcimonie permet de rafraichir ses clefs GPG via TOR. Je traduis "librement" ici la page de présentation du projet que l'on trouve ici http://manpages.ubuntu.com/manpages/precise/man1/parcimonie.1p.html

Parcimonie est un démon qui rafraichit lentement le trousseau de clefs depuis un serveur de clef GnuPG publique. Les clefs sont mises à jour une par une ; entre chaque mise à jour, Parcimonie s'arrête pendant quelques temps, suffisamment longtemps pour que le circuit TOR précédemment utilisé soit expiré.

Avec ce procédé, il est alors beaucoup plus difficile pour un attaquant de faire une corrélation entre les différentes opérations de mises à jour des clefs.

Comment ça marche

Il faut installer Parcimonie via son gestionnaire de paquets. Une fois installé,

Il est possible d'aller beaucoup plus loin, de gérer différentes options (serveur de clef utilisé, délai de rafraichissement du circuit emprunté sur le réseau TOR...). Tout est bien décrit sur la manpage de Parcimonie et nécessite de comprendre l'anglais, mais surtout de comprendre ce que l'on fait, pourquoi on modifie tel ou telle option... Il faudra peut être que je prenne le temps de bien étudier tout ça en vue d'en faire un nouveau billet.

Vous aimez l'urbex, les photos de lieux abandonnés et insolites ? Alors le livre Glauqueland - Patrimoines oubliés devraient vous intéresser....

Petit rappel sur la définition de l'Urbex, tirée de la page de présentation du projet L'exploration urbaine, ou Urbex, consiste à visiter des lieux abandonnés : manoirs, usines, ou des lieux plus inattendus comme des parcs d'attraction ou des prisons. Chaque explorateur a ses motivations : la photo, le frisson, la découverte, le patrimoine, mais on retrouve en général l'appréciation d'une esthétique où la nature reprend ses droits, voire de l'ambiance post-apocalyptique.

Krilin, de l'excellent feu-podcast Bazingcast et son ami Tim, auteur de BD et blogueur, se lancent donc dans la conception d'un livre sur l'Urbex.

Un livre me direz-vous ? Sachant que sur le domaine de l'Urbex, on peut déjà trouver des tas de photos de très bonne qualité sur les sites et forums de passionnés... Personnellement, je pense que même les photos sont de très bonnes qualités et certains ont de réels talents en photographie, sont passionnés et savent transposer leurs passions à l'écran, rien ne remplacera un livre. Un livre contient beaucoup moins de photos - c'est une évidence, mais il sera le fruit d'un choix éditorial, d'une démarche artistique (pourquoi telle ou telle photo) des auteurs qui nous racontent une histoire, leur histoire. Ils nous prennent par la main et nous guident dans leur univers, partageant ainsi leur passion.

Les textes, les plans, les descriptions qui accompagneront les photos dénotent bien le travail de préparation qui sera effectué, la volonté d'une démarche de type encyclopédique. Les auteurs ne font pas dans la facilité en publiant un ensemble de photos. Il y a un vrai travail qui est fourni pour la création de ce livre, quand on peut le voir sur la page de présentation du projet.

Le rapport à l'objet livre est quelque chose qu'il ne faut pas perdre, qui est important. Tenir dans ses mains un livre de qualité, avec de belles photos sur du papier glacé, c'est une sensation unique, qui n'est pas comparable au fait de faire défiler des milliers d'images (certes très belles) sur un écran devant soi.

Pourquoi se procurer se livre (financer sa conception dans un premier temps, avant de le recevoir) ? Quelqu'un qui s'intéresse au domaine de l'exploration urbaine pourra le mettre en évidence sur une étagère, en vue de susciter l'interrogation de ses amis quand ils viennent chez lui, lançant alors la conversation autour de cette passion. Il y a également la possibilité de l'offrir en cadeau, pour faire découvrir et partager sa passion...

Les raisons de choisir de financer et donc de se procurer ce livre peuvent être nombreuses... Le plus simple reste encore de vous faire votre propre avis en consultant la page du projet, sur laquelle vous retrouverez tous les détails... A noter que la complétude de la description du projet sont pour moi gage de qualité et de sérieux. https://www.kickstarter.com/projects/1157177166/glauqueland-patrimoines-oublies

Applications mobiles avec Cordova et PhoneGap par Sébastien Pittion, Bastien Siebman aux Editions Eyrolles

Présentation de l'éditeur

Maintenus par Adobe et la fondation Apache, Cordova et sa distribution PhoneGap sont des outils open source qui permettent de créer facilement et simultanément des applications mobiles pour plusieurs plates-formes du marché, comme ioS, Android, Windows Phone, et bien d'autres encore. En effet, il suffit aujourd'hui d'un seul développement pour assurer un déploiement multiple vers les différents magasins d'applications (App Store, Google Play Store, etc.). Utilisant les langages HTML, CSS et JavaScript, ces outils à la popularité croissante offrent une excellente alternative au code natif, notamment pour les développeurs web.

Concret et accessible, cet ouvrage est un recueil de bonnes pratiques et d'astuces pour réussir la création d'applications mobiles avec Cordova et PhoneGap, jusqu'à leur soumission sur les principaux magasins en ligne. Il comporte en outre une étude de cas complète, qui détaille la conception d'une application multi-plate-forme.

Applications mobiles avec Cordova et PhoneGap par Sébastien Pittion, Bastien Siebman sur le site de l'éditeur Eyrolles.

La critique du Genma

Ce livre ne vous apprendra pas à développer une application mobile multiplateforme (on retrouve quelques fois des conseils dans le développement (bien penser son projet avant de se lancer, bien tester...). Par exemple, les possibilités, les spécificités d'une application mobile ne sont pas abordés. Les gestions de droits, les spécificités de chaque plateforme non plus... Des notions sur les applications mobiles et de développement (en javascript, HTML5 et CSS3) sont un prérequis pour comprendre les exemples donner sous forme de code. Ce livre est une introduction au concept et à l'usage de Cordova et se concentre donc sur Cordova ; Cordova permettant de développer une application mobile multiplateforme.

Une fois les concepts liés à Cordova compris, la maitrise passera par la mise en place et la pratique. On pourra alors se lancer dans son projet d'une application multiplateforme basée sur les technologies du web.

Une fois l'application développée et testée, on pourra alors aborder les chapitres dédiés à la publication d'une application sur l'AppleStore et le GooglePlay (dont les étapes sont détaillés dans ce livre).