Ceci est une traduction libre/mix de deux billets en anglais à savoir :
Tor Browser 4.5 is released
Tor Browser 4.5 introduces security slider and improvements

L'équipe de Tor Browser a publié Tor version 4.5 pour tous les systèmes d'exploitation supportés. La mise à jour est considérée comme significative ce qui explique pourquoi les mises à jour automatiques ont été retardés pendant une semaine. Les utilisateurs de Tor exécutant une ancienne version du navigateur peuvent télécharger la version la plus récente depuis la page officielle du projet. https://www.torproject.org/download/download-easy.html

Rappel : Tor Browser est une version à la sécurité renforcée et personnalisée de Firefox qui utilise le réseau Tor pour protéger votre vie privée sur Internet. Le navigateur vient avec Tor intégré par défaut (et des extensions de sécurité tels que NoScript et HTTPS Everywhere) ce qui signifie que vous n'avez qu'à le télécharger et le lancer pour rester anonyme sur Internet et à améliorer la sécurité et la confidentialité de votre navigation.

L'Historique de navigation et les données ne sont pas enregistrées qui signifie Tor Browser fonctionne en mode de navigation privée de façon permanente à moins que la fonction ne soit désactivée. En outre, les plugins sont désactivés les cookies tiers restreints.

Amélioration de l'usabilité

Sur le plan de l'usabilité, nous avons amélioré l'expérience utilisateur au niveau du lancement de Tor pour les utilisateurs de Windows et Linux. Pendant l'installation les utilisateurs de Windows se voient proposés les choix d'ajouter le Tor Browser au menu Démarrer/Mes Programmes, ce qui permet de faciliter le lancement de ce dernier. Ce choix est par défaut, mais il peut être désactivé, et n'affecte que la création de raccourcis, la version du Tor Browser actuelle reste une application portable (tout ce qui lui est nécessaire se trouvant dans son dossier).

Pour les utilisateurs de Linux, il est désormais possible de lancer le Tor Browser via un nouveau lanceur qui vient s'ajouter dans le menu Application, sur le bureau, ou dans le Gestionnaire de fichiers. Le même lanceur peut être également utilisé depuis la ligne de commande.

Nous avons également simplifié le menu Tor (l'oignon vert) et les fenêtres de configuration associés. Le menu fournit désormais des informations sur le Circuit Tor en cours d'utilisation pour une page, et fournit également une option pour demander un nouveau circuit Tor pour un site. Le Tor Browser fait aussi mieux dans la manipulation de circuits Tor en général : tant qu'un site reste en utilisation active, toutes les demandes associées continueront à être effectuées via le même circuit Tor. Cela signifie que les sites ne devraient plus changer brusquement de langues, des comportements, ou vous déconnecter alors que vous les utilisez.

Améliorations de la sécurité

Sur le plan de la sécurité, les nouveautés les plus excitantes sont le nouveau curseur de sécurité. Le curseur de sécurité prévoit la réduction de la surface de la vulnérabilité de façon conviviale - lorsque le niveau de sécurité est augmentée, les fonctionnalités de navigation qui ont été montrées comme ayant des vulnérabilités historiques élevées par les Partenaires ISEC sont progressivement désactivées. Cette fonctionnalité est disponible depuis le menu de l'Oignion, champ "Paramètre de confidentialité et de sécurité".

Si vous passez de "Faible" à Moyen-Bas", des modifications sont apportées au navigateur. Voici une liste de ce que chacun des changements de niveau impliquent :
Haut - JavaScript est désactivé sur tous les sites par défaut, certains types d'images sont désactivées.
Moyen-Haut - Tous les optimisations de performances JavaScript sont désactivés, certains police fonctionnalités de rendu sont désactivées, JavaScript est désactivé sur tous les non-sites HTTPS par défaut.
Moyen-Bas - HTML5 audio et vidéo sont en mode click-to-play, quelques optimisations de performances JavaScript sont désactivés, les fichiers JAR à distance sont bloqués et quelques méthodes pour afficher des équations mathématiques sont désactivées.
Faible (par défaut) - Toutes les fonctions du navigateur sont activés.
La compatibilité diminue et la sécurité augmente avec chaque niveau de sécurité.

Nos paquets pour Windows sont maintenant signés avec un token de signature matériel gracieusement offert par DigiCert. Cela signifie que les utilisateurs de Windows ne devraient plus être alerté par une mention sur un Tor Browser provenant d'une source inconnue. En outre, nos mises à jour automatiques sont maintenant signés individuellement avec une clé de signature déconnecté. Dans les deux cas, ces signatures peuvent être retirées de manière reproductible, de sorte que les constructeurs peuvent continuer à vérifier que les paquets qu'ils produisent correspondent aux binaires officiels construits.

La série 4.5 dispose également d'une réécriture de l'obfs2, obfs3 (protocole d'offuscation) et du protocole de transport ScrambleSuit dans le langage golang, ainsi que l'introduction du nouveau protocole obfs4. Le protocole obfs4 offre des fonctionnalités supplémentaires de résistance au DPI (Deep Packet Inspection) permettant d'empêcher le scan/balayage automatisé de ponts Tor (Bridge). Tant qu'ils ne sont pas découverts par d'autres mécanismes, les adresses récentes de ponts obfs4 seront effectifs en Chine dès aujourd'hui. En outre, à moins de nouvelles attaques, les adresses de ponts obfs4 privés devraient continuer à travailler indéfiniment.

Améliorations pour la vie privée

Sur le plan de la vie privée, la série 4.5 améliore sur notre mise en œuvre préexistante d'un premier compartimentage pour prévenir le suivi/tracking par un tiers. Le cloisonnement premier fait en sorte que les publicités de tiers, comme les boutons, et contenu multimédia qui sont inclus sur un seul site ne sauront que pour votre activité sur ce site, et ne seront pas en mesure de le faire correspondre à votre activité lorsque vous êtes sur tout autre site. En d'autres termes, ce compartimentage, Facebook, Twitter, Google+ et ne peut pas vous suivre tout autour du web en utilisant leur infâme boutons "j'aime", "+1"...

Plus précisément, dans la version 4.5, nous nous assurons maintenant que les blobs d'URL (Voir Codes UTM et vie privée) ont une portée limitée à l'adresse URL qui les a créés, et que l'API SharedWorker a été désactivée pour éviter le cross-site et la communication à un tiers. Nous faisons aussi maintenant pleinement usage du compartimentage des circuits Tor pour nous assurer que toutes les demandes de tout contenu tiers inclus par un site passe par le même Circuit Tor. Cet isolement assure également que les requêtes vers le même site tiers utilisent effectivement des Circuits Tor séparés lorsque l'adresse URL est différente. Cet isolement reste applique même si des connexions longue-durée "HTTP Keep-Alive" sont utilisés.

Nous avons également amélioré notre empreinte locale de défense, et nous désactivons maintenant les capteurs/senseurs des appareils et les API de statistiques vidéo.

Nouveau moteur de recherche

Notre moteur de recherche} par défaut a également été changé pour Disconnect. Disconnect fournit des résultats de recherche Google privées aux utilisateurs Tor sans captchas ou interdictions.

A lire sur le même sujet :
Le TorBrowser Bundle est un bundle
Comment vérifier l'intégrité du TorBrowser quand on le télécharge ?
Tor à travers un proxy - vulgarisation
Vous voulez que Tor marche vraiment ?

Dans ce billet, je voudrais raconter une petite anecdote qui doit vous amener à réfléchir.

Mon anecdote

Samedi dernier, mon beau-frère et ma soeur était chez mes parents et voulait se connecter au wifi fournit par la Freebox (Mes parents sont abonnés Free). Je n'étais pas là et c'est moi qui suis en charge de l'informatique familiale (je fais les mises à jour et c'est moi qu'on appelle quand ça marche pas). Ce jour là, je n'étais pas disponible (en train d'animer un café vie privée), mes parents ignorent les codes et mots de passe permettant de se connecter au site web de Free pour accéder à l'interface d'administration permettant de connaitre le nom du réseau Wifi et surtout la clef de chiffrement WPA2.

Mais mon beau-frère qui s'y connait un peu a eu l'idée de brancher le boitier télé et d'aller dans l'application dédiée au paramétrage et de faire afficher le nom du réseau Wifi et le code associé. C'est là une des fonctionnalités de la Freebox partie télévision, bien connue.

Le nom du réseau et la clef du Wifi (une belle phrase de passe, bien compliqué, avec des caractères spéciaux, des chiffres, et des mots sans lien entre eux) étant compliqué à taper, il l'a pris en photo... sur son Iphone. Pour pouvoir la saisir ensuite dans le téléphone de ma soeur puis dans son smartphone. Et ils ont pu se connectés au Wifi.

Ce que nous apprend cette histoire

Parfois les moyens les plus simples sont les meilleurs. Pour avoir la clef du Wifi, certains auraient sortis tout un arsenal, mais vu le niveau de chiffrement que j'ai mis, ce serait plus simple d'attendre que je sois disponible.

Je n'ai pas mis en place de filtrage par adresse MAC, pas d'IP fixe (DHCP activé par défaut), je n'ai donc pas poussé à l'extrême la non possibilité de se connecter au réseau de mes parents. Le faire maintenant, je vais en entendre parler...

Sur un Iphone, il y a une belle photo la phrase de passe qui est utilisée chez mes parents. Certe Free la connait aussi (vu qu'elle est utilisée sur la Freebox). Mais là, c'est sur un téléphone. Il se le fait voler. On trouve la photo... On a le mot de passe. Il serai noté sur un post-it que ce serait pareil... Si (mais ce n'est pas le cas) cette phrase de passe est utilisée ailleurs (compte personnel ou autre), j'aurais à considérer qu'elle est compromise...

A lire sur le même sujet :
Des mots de passe que l'on utilise au quotidien...
Les phrases de passe

Sébastien Gambs est un chercheur à l'INRIA, Université de Rennes dont le domaine de recherche est la protection de la vie privée. Sur la page du site de l'université qui lui est consacré, on retrouve différents cours/td/tp universitaires qu'il donne et le tout est accessible à quiconque s'intéresserait à ces sujets.

J'ai donc récupéré l'ensemble des cours qu'il donne dans les thématiques suivantes
Introduction à la sécurité informatique
Autour de l'authentification (AUTH)
Protection de la vie privée (PVP)

Soit 3 fois 16h de cours et 16h de TP, soit un total de 96h de cours à potasser. De quoi bien m'occuper pendant quelques temps pour avoir encore plus de connaissances à dispenser lors des prochains Café vie privée que je serai amener à animer.

Présentation de l'éditeur Eyrolles

La typographie est la "voix" du design et l'outil le plus puissant dont vous disposiez pour communiquer avec vos lecteurs. Apprenez à manier la lettre avec esprit et talent : jugez les polices, évaluez les contraintes techniques, créez des systèmes typographiques flexibles et constituez votre collection de caractères favoris.

Dans cet ouvrage, Jason Santa Maria, designer graphique de renom, veut vous amener à voir au-delà du code et des ornements pour vous faire découvrir comment la typographie façonne notre façon de lire et comment adapter nos pratiques de la discipline à l'écran. Lancez-vous : choisissez et mariez les caractères, composez et invitez votre public à la lecture !

Typographie web par Jason Santa Maria sur le site d'Eyrolles.

La critique du Genma

Avant de lire ce livre, je n'avais que quelques connaissances en typographie, je connaissais quelques éléments sur le sujet, mais sans plus. J'ai donc lu ce livre avec un mélange de curiosité intellectuelle et d'intérêt, tout en sachant que je ne suis pas graphiste et que ce que j'apprendrais, je ne le mettrais peut être jamais en oeuvre.

Pourtant, j'ai beaucoup aimé ce livre. Le style d'écriture de l'auteur, Jason Santa Maria, est très fluide et le livre se lit très vite. Il s'adresse directement au lecteur, en lui parlant, en l'interpelant, lui posant des questions et j'ai beaucoup aimé cette façon de faire.

De nombreuses illustrations présentent des concepts, viennent appuyer les présentations de concepts et argumentés les propos, permettent de se faire son propre jugement. On peut comparer un même texte avec différentes polices et juger par soi-même. On acquiert alors peu à peu un petit bagage sur le domaine de la typographie et on peut donc voir ce livre comme une bonne introduction à ce domaine. On y apprendra quelques mots de vocabulaire, des concepts, et à exercer son esprit critique quand aux choix de polices pour la conception, même basique, d'un site web par exemple.

Ce livre ne fera surement pas de vous un professionnel mais il permettra de mieux comprendre, de pouvoir interagir avec des professionnels du domaine, de pouvoir mieux exprimer ses propres besoins. Et c'est là une bonne chose.

Vous êtes libre ce soir organise un Café vie privée

Chaque mardi, Vous êtes libre ce soir tient des ateliers sur différents thèmes, sur Paris, du coté de la gare de Lyon. Toutes les informations sont sur leur site http://paris.libre.cc/.

Le mardi 21 avril soir, j'animais, suite à l'invitation des membres de Vous êtes libre ce soir, un mini café vie privée. Durant 2h30 nous avons abordés différents thèmes, dont celui des mots de passe.

Le sensationnalisme et le journalisme

En effet, Raphaëlle Mantoux, journaliste à France Inter, était venue sur place. Son but : recueillir des extraits sonores pour un montage d'un reportage de 4 minutes pour l'émission Service Public. Elle s'est présenté et a demandé à ce qu'on lui fasse une démonstration de "piratage de mot de passe". "Vous piratez mon mot de passe ?" revenait comme une sorte de leitmotiv. J'ai trouvé ses questions et ses interventions allant dans un seul but : "faire du sensationnalisme".

Or, ce n'est pas légal de faire ça, et ce probablement même en présence du titulaire du compte vu que le service associé appartient à un tiers. De plus, faire dans le sensationnalisme ne sert pas l'intérêt général. France Inter est peut être une radio généraliste grand public, le reportage est court et il faut donc faire simple, mais j'estime que vouloir diffuser des informations qui renforce une fois de plus les croyances populaires, je n'appelle pas ça faire du bon journalisme...

Le reportage est en ligne

Le reportage a été mis en ligne et fait partie de l'émission Service Public - Mot de passe partout sur France Inter.

13:33s "J'ai rencontré Un groupe de professionnel pour piratez le mail de l'émission". Ca commence mal... Mais bon.

Comme le montre le reportage qui commence à 13 minutes30, nous étions dans un Café vie privée. Aux questions "comment on peut hacker un mot de passe", j'ai commencé par évoquer différentes façons de faire. Tout d'abord, le social enginering ou ingénieurie sociale. Puis nous avons parlé de phishing/hameçonnage. Le café vie privée se déroulait normalement, malgré le côté parfois insistant de la journaliste qui voulait une démonstration, voir un piratage de ses propres yeux... Nous avons poursuivi nos explications comme nous le ferions dans n'importe quel Café vie privée, parlant de la taille des mots de passes, de Keepass. Puis nous avons abordés l'importance d'HTTPS et c'est là qu'a été évoqué le fait que les mots de passes sont susceptibles de circuler en clair...

Un de membres présents a fini par accepter de faire une démonstration de Wireshark, (logiciel qui permet de récupérer les trames réseaux). Il a pu lui montré que si l'on se connecte à un site en Http (ici le site d'OpenFoodFact dont il est un membre de la communauté), le mot de passe circule en clair. La journaliste avait enfin son "piratage de mot de passe" pour son reportage...

Sur le moment, j'étais très dubitatif sur ce que donnerai les prises de son au montage pour l'émission. Mais au final, le bon point de ce reportage est que mes explications pédagogiques n'ont pas été censurées. (J'avais toutefois bien fait attention à mes propos, pour qu'on ne puisse pas me faire dire autre chose par le montage) Le montage de mon intervention est bon, les propos ne sont pas "trop" déformés. Le message passe bien, l'aspect sensationnaliste qui était ma grande crainte n'est pas si présent que ça. (Si ce n'est l'usage du mot hacker...) Et en plus, petit bonus, la mention "Café vie privée" est entendue, ce qui nous fait un peu de publicité et ce n'est pas de refus.

Aspects négatifs : l'image "bande de hacker" est renforcé une fois de plus. On est des gus dans un garage, on est donc complètement à l'encontre de l'éducation populaire que Vous êtes libre ce soir cherche à faire chaque mardi.... On ne saura pas ce qu'est le projet OpenFoodFact (je vous invite à aller ici pour découvrir ça : http://fr.openfoodfacts.org/), ça a été coupé au montage, on retiendra juste que ce site n'est pas sécurisé...

Un reportage de Raphaëlle Mantoux : « Comment hacker ? » à écouter ici Service Public - Mot de passe partout sur France Inter disponible à l'écoute en ligne.

L'émission en elle-même

Le reportage s'inscrit dans une émission Service Public, sur France Inter que j'ai pris le temps d'écouter dans son intégralité. L'émission est de qualité. Pendant un peu moins d'une heure, les sujets des mots de passes, des risques, la sécurité sont abordés avec des spécialistes du domaine de façon pédagogique et didactique. Les invités sont bien choisis, leurs propos sont bons. Rien à redire.

Je pense que le grand public et plus particulièrement les auditeurs de France Inter et de cette émission apprendront des choses. Et c'est toujours une bonne chose d'élever le niveau de connaissances dans ce domaine. Pour des personnes plus initiées comme moi, c'est l'occasion de conforter ses connaissances, d'écouter la façon dont les choses sont présentées, afin de réutiliser certaines formulations, exemples pédagogiques lors de prochains café vie privée.