Re: Informatique : protéger sa vie privée, ses métadonnées, et sa personnalité

par Helhest Mer 8 Avr 2020 - 14:08

J'utilise déjà UBlock sans Adblock depuis un moment Wink

par Invité Mer 8 Avr 2020 - 16:28

Si tu veux aller plus loin dans la config de Firefox : https://github.com/ghacksuserjs/ghacks-user.js/

par Helhest Mer 8 Avr 2020 - 19:50

Je pense être déjà pas trop mal à l'heure actuelle : pc sous linux (lubuntu, c'est une veille bécane, windows en dual boot, utilisé quelques fois dans l'année quand j'ai besoin de photoshop), 4 profils Firefox distincts selon les usages (avec Disconnect/HTTPS/UBlock/NoScript), histoire que les traces que j'accepte de laisser soient spécifiques à certains profils, Veracrypt pour les données sensibles, activé uniquement à la demande (donc non accessible quand je suis parti de chez moi). Pas d'oiseau bleu, d'insta, et pas de FB sur le téléphone, pas même via le navigateur.

Tout est question de compromis entre la facilité de transition/installation, d'utilisation, par rapport au gain en vie privée/ce que j'accepte de laisser comme infos. En fait, le gros pas que j'aimerais encore faire, c'est me séparer de Google pour les mails (là, ça casserait beaucoup les liens possibles/infos récupérables par monsieur G.), ce qui voudrait très probablement dire basculer sur Protonmail (déjà testé) avec offre payante pour gérer plus facilement ça et profiter du bridge Thunderbird. Le problème réside dans les mails eux même qui seront très difficiles à transférer.

par Invité Jeu 9 Avr 2020 - 17:58

Oui, dèja pas trop mal Smile

Il y a aussi Tutanota comme messagerie. Mais je te rejoins, la portabilité des mails est une catastrophe....

En ce qui concerne les options payantes je m'en méfie comme de la peste, puisque la traçabilité est établie au travers de ton paiement par carte bleue Wink

par Helhest Jeu 9 Avr 2020 - 20:22

J'avais fait le tour il y a quelques temps, j'étais bien tombé sur Tutanota, mais je ne sais plus pourquoi je l'avais éliminé. De toutes façons, rien que le côté open source de Protonmail, et la politique tarifaire/de financement clair me donnent globalement confiance sur la solution. J'ai en fait déjà 3 adresses mails Proton, mais très peu utilisées, justement à cause de la portabilité des mails.

La traçabilité via la carte, c'est justement le genre de chose que je ne veux pas trop m'embêter à gérer. Au bout d'un moment, on ne s'en sort plus sinon. J'ai deux cartes de deux comptes différents, dont l'un me permet de créer des cartes temporaires (validité limitée, montant fixé par moi même) pour payer sur internet, ça me suffit. Par contre les options payantes de Proton me seront utiles : regroupement de compte mieux géré et bridge de "communication" avec Thunderbird qui, si je me souviens bien, je peux pas du tout fonctionner nativement avec Proton (ou seulement en version à 2FA, je ne sais plus, mon étude remonte à un moment).

par Invité Ven 10 Avr 2020 - 14:57

J'avais essayé ProtonMail à l'époque, mais ils demandaient un numéro de téléphone pour finaliser l'inscription, ce qui m'a fait abandonner la solution, sans compter les lois Suisses sur la sécurité... Tutanota ne demande rien, le code est en opensource également, et la messagerie est accessible par Tor sans souci, mais là aussi, les lois européennes s'interposent. Mais, effectivement, il n'y a aucune interface possible avec un client "lourd" de type thunderbird. Après, il y a les messageries en .onion ...

Remarque d'un puriste :

Rien de tout ça n'est vraiment sécure, et le mieux à faire est d'avoir un soft de cryptage sur une machine "air gaped", puis de porter en ascii le texte crypté dans sa messagerie habituelle. De l'autre coté : impression, puis scan et OCR sur la machine "air gaped", puis décryptage.

Ceci étant, quoi que l'on fasse, des métadonnées restent apparentes : Les requêtes DNS et les adresses IP auxquelles nos machines se connectent sont visibles par les opérateurs, et donc sont connues les fonctions auxquelles nous voulons accéder.

Pour éviter peu ou prou cela, il vaudrait mieux utiliser DNS overs HTTPS (DoH), mais il n'y a en ce moment que des gros CDN qui proposent cela, et je m'en méfie aussi.

Enfin, concernant les cartes bleues, je sais bien ce que cela nécessite comme effort de s'en passer. Je comprends bien ce que tu fais avec plusieurs cartes, et le blocage des montants au paiement pour éviter le vol. Il n'en reste pas moins que, au travers des lois comme celles du blanchiment d'argent permettent aux banques de connaitre toutes les cartes détenues par un même titulaire (la banque de France est d'ailleurs au courant par exemple).

Il faut reconnaitre que la nasse dans laquelle nous somme pris est bien profonde...

par Helhest Ven 10 Avr 2020 - 22:19

ludion a écrit:J'avais essayé ProtonMail à l'époque, mais ils demandaient un numéro de téléphone pour finaliser l'inscription, ce qui m'a fait abandonner la solution, sans compter les lois Suisses sur la sécurité... Tutanota ne demande rien, le code est en opensource également, et la messagerie est accessible par Tor sans souci, mais là aussi, les lois européennes s'interposent. Mais, effectivement, il n'y a aucune interface possible avec un client "lourd" de type thunderbird. Après, il y a les messageries en .onion ...

Pas eu besoin de donner un numéro de téléphone, de mémoire, lors de la création de mes comptes d'essais. Et à y avoir regardé aujourd'hui, à priori ils ont un soft en version bêta (mais pas de version Linux...) pour rappatrier des mails de gmail : https://protonmail.com/blog/import-export-beta/

ludion a écrit:
Rien de tout ça n'est vraiment sécure, et le mieux à faire est d'avoir un soft de cryptage sur une machine "air gaped", puis de porter en ascii le texte crypté dans sa messagerie habituelle. De l'autre coté : impression, puis scan et OCR sur la machine "air gaped", puis décryptage.

Ceci étant, quoi que l'on fasse, des métadonnées restent apparentes : Les requêtes DNS et les adresses IP auxquelles nos machines se connectent sont visibles par les opérateurs, et donc sont connues les fonctions auxquelles nous voulons accéder.

Pour éviter peu ou prou cela, il vaudrait mieux utiliser DNS overs HTTPS (DoH), mais il n'y a en ce moment que des gros CDN qui proposent cela, et je m'en méfie aussi.

On en revient à mon histoire de curseur : au bout d'un moment autant abandonner plutôt que de se mettre 50.000 contraintes. Pas d'usage d'internet, c'est plus facile à sécuriser Very Happy

(oui, caméras, reconnaissance faciale, tout ça)

ludion a écrit:
Enfin, concernant les cartes bleues, je sais bien ce que cela nécessite comme effort de s'en passer. Je comprends bien ce que tu fais avec plusieurs cartes, et le blocage des montants au paiement pour éviter le vol. Il n'en reste pas moins que, au travers des lois comme celles du blanchiment d'argent permettent aux banques de connaitre toutes les cartes détenues par un même titulaire (la banque de France est d'ailleurs au courant par exemple).

A la base, j'ai surtout deux comptes pour :
- Tester la banque en ligne
- Avoir deux cartes sur deux réseaux différents, comme ça si Visa est en vrac, ma carte Mastercard reste utilisable, et vice versa
- Pouvoir ponctuellement utiliser un peu plus de mon argent, ce qui me permet de conserver des plafonds relativement bas, sans utiliser de chèques
En bonus, j'ai même un de mes comptes qui me permet l'utilisation de cartes virtuelles, du coup dès que je commande sur un site inconnu, je créée une carte temporaire.
Je pars du principe que dans tous les cas, la banque peut savoir où je fais mes achats (mais pas le détail de ceux ci). Si je veux une totale discrétion vis à vis de ma banque, il reste les espèces, là ils ne peuvent pas savoir où ça part.

par Invité Dim 12 Avr 2020 - 12:21

Re Hellhest

Eh bien c'est une bonne nouvelle, car je leur avait écrit à l'époque pour leur faire remarquer que la confidentialité dont ils faisaient l'apologie laissait à désirer. Le service est-il toujours accessible par Tor ?
J'e viens de prendre connaissance du lien que tu as fourni, mais j'ai toujours la même remarque à faire : Connecter l'ancienne et la nouvelle messagerie revient à cire à l'ancienne (et à Google dans ton cas, quelle est ta nouvelle identité). Il est plus fastidieux de passer par Thunderbird, mais y stocker tes messages par synchro complète, puis les reverser dans la prochaine boîte reste possible.
Mais il y a quand même encore un problème : Tu dois prévenir tes contacts que ton @ mail à changé, et ces contacts sont aussi sous Gmail, Yahoo mail, Hotmail, etc. et donc l'association entre toi et telle ou telle boîte est encore et toujours possible. De plus, on te demande encore et encore une adresse mail de secours en cas de problème, utilisée par exemple pour te faire confirmer la suppression d'un compte de messagerie...

Oui, pas d'accès Internet, pas de problème hors de la sécurité physique. Mais mon propos n'est pas là. Il est de souligner toutes les interconnections que j'ai en conscience pour que ceux qui nous lisent en prennent connaissance, et finissent par considérer que le ver est dans le fruit.

Ensuite, l'argent liquide. Mais oui, c'est le dernier refuge de la confidentialité minimale. Mais tu ne peux plus rien payer en liquide au dessus de 1500 €, et, si tu veux retirer plus, ton banquier te demande la raison de ceci, soit disant pour lutter contre le blanchiment (et la fraue à la TVA par la même occasion ^^)
D'autre part, le paiement sans contact est désormais admis dès 1€ chez pratiquement tous les commerçants, et le confinement fait que l'on t'y incite fortement, ce qui tend à aller vers l'étude qu'à fait l'Union europénne sur la suppression de l'argent liquide. Donc, refuge oui, mais pour combien de temps ?

Je n'ai pas à porter de jugement sur qui que ce soit, car je tiens à ma "liberté" donc n'aimerait pas que l'on m'inflige des sentences brutalement, même si leur bien fondé se fait jour. Je pense donc que c'est le partage qui fait sens. Mais cela ne m'empêche pas de constater que l'inertie ou le désir de practicité fait que ceux qui propagent l'usage de cette informatique intrusive ne réussissent que parce que pratiquement tout le monde en consomme sans trop se poser de questions...

par Helhest Dim 12 Avr 2020 - 13:06

ludion a écrit:
Eh bien c'est une bonne nouvelle, car je leur avait écrit à l'époque pour leur faire remarquer que la confidentialité dont ils faisaient l'apologie laissait à désirer. Le service est-il toujours accessible par Tor ?

Aucune idée, je n'ai pas encore vraiment creusé le sujet de Tor de toutes façons (question de priorités et de temps disponible...).

ludion a écrit:
J'e viens de prendre connaissance du lien que tu as fourni, mais j'ai toujours la même remarque à faire : Connecter l'ancienne et la nouvelle messagerie revient à cire à l'ancienne (et à Google dans ton cas, quelle est ta nouvelle identité). Il est plus fastidieux de passer par Thunderbird, mais y stocker tes messages par synchro complète, puis les reverser dans la prochaine boîte reste possible.

Je ne connais pas encore bien Thunderbird, mais intéressant à savoir qu'il y a possibilité de fair ela manip à la main, ça m'éviterais de retourner sous windaube pour faire ça.

ludion a écrit:

Mais il y a quand même encore un problème : Tu dois prévenir tes contacts que ton @ mail à changé, et ces contacts sont aussi sous Gmail, Yahoo mail, Hotmail, etc. et donc l'association entre toi et telle ou telle boîte est encore et toujours possible. De plus, on te demande encore et encore une adresse mail de secours en cas de problème, utilisée par exemple pour te faire confirmer la suppression d'un compte de messagerie...

Rien n'empêche de créer une boite fantôme qui ne sert qu'à la fonction de récupération des autres adresses mails, et rien d'autre.
Oui, les associations restent possibles, mais de mon point de vue, c'est la version extrémiste. Rien que de sortir de Google et l'empêcher d'accéder à ce que je reçois/écris mettrait un sacré coup dans l'aile. Savoir que j'ai également telle adresse, sans pouvoir savoir ce que j'en fais, ça a une valeur infiniment plus faible que de pouvoir lire tout ce qui y transite Wink

ludion a écrit:
Ensuite, l'argent liquide. Mais oui, c'est le dernier refuge de la confidentialité minimale. Mais tu ne peux plus rien payer en liquide au dessus de 1500 €, et, si tu veux retirer plus, ton banquier te demande la raison de ceci, soit disant pour lutter contre le blanchiment (et la fraue à la TVA par la même occasion ^^)
D'autre part, le paiement sans contact est désormais admis dès 1€ chez pratiquement tous les commerçants, et le confinement fait que l'on t'y incite fortement, ce qui tend à aller vers l'étude qu'à fait l'Union europénne sur la suppression de l'argent liquide. Donc, refuge oui, mais pour combien de temps ?

De toutes façons, en dehors de tout cadre légal, ça ne me rassure pas de me trimballer 1500€ sur moi. Donc la limite de paiement en liquide ne me gêne pas tant que ça. Idem pour le paiement sans contact : j'y vois l'avantage de ne pas composer mon code = zéro risque de lecture par un tiers. Alors oui, la banque sait où je fais mes achats... mais c'est tout. Ils n'ont pas le détail du ticket de caisse, donc vu l'info relativement limitée, j'accepte de leur laisser. A la limite ça me dérange presque plus les cartes de fidélités qui elles permettent un bien meilleur profilage vu qu'il y passe la date, le détail des achats, etc.
Par contre sans argent liquide, comment feraient ceux qui ne peuvent pas avoir de carte bancaire ? Illettrés, mineurs, interdits bancaires, etc. ?

par Invité Lun 13 Avr 2020 - 14:17

hello Hellfest Smile

Bien sûr que l'on peut creer de boîtes aux lettres poubelle et à usage unique. D'ailleurs il y a une liste de fournisseurs qui permettent ça ;

https://techreviewpro.com/best-anonymous-email-service-providers-7020/#20_Best_Free_Anonymous_Email_Service_Providersto_Send_Email_Anonymously

ceci étant, je n'ai pas testé depuis un moment déjà, donc il faudrait revalider s'ils fonctionnent encore tous.

Bien sûr encore que le plus important est de ne pas voir ses mails lus. ceci étant, et j'insiste là dessus, les métadonnées sont importantes, bien plus qu'on ne le croit, car elles tissent un filet de présomptions autour de la personne. N'oublie pas que le serveur de messagerie, même s'il ne peut lire (encore) les message cryptés, possède en ses logs à la fois le destinataire et l'émetteur - et que ces informations sont en clair puisque la RFC SMTP précise explicitement que les en-têtes ne peuvent être cryptés. Et c'est logique, puisque les serveurs de courriel routent les messages grâce à eux. Donc, vois-tu, même si le contenu est inaccessible, on sait quand même qui communique avec qui. Et si ton vis-à-vis a quelque chose à se repprocher dont tu ne sais rien, tu peux être la cible d'une surveillance sans même le savoir, pas plus que tu ne sais si, par la suite, une petit saloperie n'a pas été posée sur ta machine afin de prendre place entre ton clavier et ton interface de messagerie (si c'est le cas, tu peux oublier le cryptage...)

Ensuite, je suis bien d'accord avec la dangerosité des cartes de fidélité. Tu dis par contre que seuls les magasins ont la liste de tes achats et les relient à toi quand tu paies avec une CB. Eh bien... non. Parce que tous ces mouvements sont enregistrés à la fois en comptabilité analytique (ou tu as sans le savoir un compte client (qui sert aussi la pub ciblée)) et dans la CRM. Et comme les bilans comptables peuvent être vérifiés par l'Etat (même, si je reconnais que cette possibilité est infinitésimale) ...

Je ne fais JAMAIS le pari d'ignorer les signaux faibles, surtout quand je vois la loi de Moore qui ne s'arrête pas. Et cela n'est pas écrit par paranoïa, car je pars du principe que d'être averti nous permet de mieux utiliser l'outil qui reste néamnoins très utile.

par Invité Lun 13 Avr 2020 - 17:50

Salut,
Et du coup... comment on met en place un VPN ?

Petit cadeau musical que j'adore :
ha zut, comme je suis nouvelle , je n'ai pas le droit de mettre un lien ...
Chercher "Rien à cacher" de Jérémmie Zimmerman et la parisienne libérée

par Invité Lun 13 Avr 2020 - 18:00

Salut Sun31.

Fan de Solaris et des processeurs Sparc ?

Pour des VPN hors commerciaux, regardes là par exemple : https://www.strongswan.org/

Et j'ai aussi vu tes questions sur le biomimétisme en informatique. Je ne sais pas si tu connais mais cherche Intel LOIHI par exemple

par Invité Lun 13 Avr 2020 - 18:14

@ludion
Oh... Shocked

Premier coup d'oeil : pffiou, c'est un langage humain ?
2d coup d'oeil : ha ok, c'est une liste de solutions, merci. Very Happy

Puce neuromorphique...je réagirai bien, mais on va nous dire de changer de salon, non ?

par Invité Lun 13 Avr 2020 - 18:25

Oui, ce n'est pas le lieu pour cette discussion.

Je ne sais pas trop où l'on peut aller. Si tu veux crée un fil, c'est sans doute le mieux. Ou viens en discuter sur le mien si tu en as envie. En tout état de cause, la discussion ne pourrait pas seulement s'arrêter au neuromorphisme (qu'IBM inplémente aussi, mais je n'ai plus le nom en tête là). Il faudrait aborder les algorithmes génétiques (qui servent par exemple au classement des URL), les moyens de communication internes aux gros systèmes (comme le CrossBar ou l'Infiniband), la mémoire SRAM, puis les réseaux convolutifs, etc...

Vaste débat, vaste domaine...

par Invité Lun 13 Avr 2020 - 18:55

@ludion et.. il est où ton fil ?
pour les autres : désolée de polluer ce fil, mais n'ayant pas les 7 jours requis je ne peux pas passer par les mp...

pour me faire pardonner :
- imagotv/surveillance , il y a 4 documentaires en accès libre : "nothing to hide", "the internet's own boy", "we are legion" et "les gardiens du nouveau monde"
- sur viméo "la bataille du libre" de Philippe Borel

Pour participer à la réflexion collective : on parle beaucoup des données privées récoltées via les GAFAM, et concernant nos échanges dans le cercle amical, familial, professionnel. Mais cette "logique" englobe aussi la santé. Pour donner un exemple concret, j'ai un ami diabétique type B. On passe sur les détails, mais il a la possibilité de contrôler sa glycémie via une application (imposée) sur son smartphone. Quand il va voir son médecin, celui ci a accès en un flash à toutes les données récoltées : il voit tout de suite si le patient a fait des excès, combien, etc... C'est pour son bien ? L'enfer est pavé de bonnes intentions..

par Invité Lun 13 Avr 2020 - 19:00

@SUN31:

par Helhest Mar 14 Avr 2020 - 12:58

ludion a écrit:
Donc, vois-tu, même si le contenu est inaccessible, on sait quand même qui communique avec qui. .

Certs, mais dans mno objectif d'en laisser le moins possible à Google (et le résiduel n'étant que "présomption" et non assurance"), c'est suffisant (en fait, ça l'est à partir du moment ou je ne passe plus par eux pour les mails, du moins ce que je peux maîtriser, parce qu'ils peuvent toujours faire un lien entre un expéditeur tiers et mon adresse non-gmail).

ludion a écrit: Et si ton vis-à-vis a quelque chose à se repprocher dont tu ne sais rien, tu peux être la cible d'une surveillance sans même le savoir, pas plus que tu ne sais si, par la suite, une petit saloperie n'a pas été posée sur ta machine afin de prendre place entre ton clavier et ton interface de messagerie (si c'est le cas, tu peux oublier le cryptage...).

Ca pour le coup, OK, je n'y avais pas pensé. Bon, le risque est faible : je ne converse quasiment jamais par mail, si j'élimine tous les mails envoyés par des robots, il ne reste presque plus rien. Par contre j'ai plus de doutes sur la "petite saloperie" : impossible d'installer un logiciel ou faire des mises à jour importantes sans que je donne mon mot de passe root Linux (et forcément, je ne vais pas indiquer le mot de passe si je n'ai pas moi même lancé une installation/MAJ). On pourrait encore installer des trucs à l'insu de mon plein gré ?

ludion a écrit:
Ensuite, je suis bien d'accord avec la dangerosité des cartes de fidélité. Tu dis par contre que seuls les magasins ont la liste de tes achats et les relient à toi quand tu paies avec une CB. Eh bien... non. Parce que tous ces mouvements sont enregistrés à la fois en comptabilité analytique (ou tu as sans le savoir un compte client (qui sert aussi la pub ciblée)) et dans la CRM. .

Oui, mais ces données restent internes. Qu'est ce qui pourrait sortir de la gestion de la chaîne de magasins et qui permettrait le lien entre le détail précis de mes achats et moi ?

par Invité Mar 14 Avr 2020 - 13:14

Salut Hellhest

1/ Comment peut-on installer des saletés sur ta machine sans ton accord ?

2 exemples :

https://www.schneier.com/blog/archives/2006/01/countering_trus.html

https://gruss.cc/files/netspectre.pdf

Et je ne te parle même pas des outils d'attaque de la CIA ou de la NSA (pour ne citer que ces agences, hein ^^) dont le code circule, après les révélations de Wikileaks...

Parce que je suis SüR que tu n'as pas jeté un oeil sur les sources de ton compilateur, que tu ne sais peut-être pas que les téléchargement de tes mises à jour se font en HTTP et passent par les proxies de ton opérateur (c'est pas du man in the Middle çà ?), etc...

2/ Les données des magasins ne restent pas en interne. La plupart du temps maintenant, les chaines les hébergent sur des clouds (et qui en sont les plus gros fournisseurs, dis-moi ?) et soustraitent leurs analyses de marché à des experts en BigData...

par Helhest Mar 14 Avr 2020 - 13:40

Je reviens, je vais coder mon propre OS Laughing

par Invité Mar 14 Avr 2020 - 13:47

Je sais bien que cela ne tranquilise pas. C'est pourtant ce qui est sous-jacent et là en permanence...

Après il y a quelques trucs à faire de son coté. Par exemple virer le disque dur et booter sur un CD non réinscriptible, utiliser QubeOS en recompilant compilateur et noyau monolithique (en y embarquant les pilotes quoi). Exécuter cela sur une machine de type de celles-ci : https://puri.sm/ ...

Bref...

par Invité Mar 21 Avr 2020 - 20:33

Des mesures sur le tracking effectué par un millon de sites et autres infos

https://www.cs.princeton.edu/~arvindn/publications/OpenWPM_1_million_site_tracking_measurement.pdf

https://webtransparency.cs.princeton.edu/webcensus/

https://securehomes.esat.kuleuven.be/~gacar/persistent/the_web_never_forgets.pdf

par Invité Sam 25 Avr 2020 - 12:40

https://tube.aquilenet.fr/videos/watch/6966e68b-0436-4ee6-8a5e-ce6eaf34bc00

par Stegos Sam 25 Avr 2020 - 13:39

ludion a écrit:https://tube.aquilenet.fr/videos/watch/6966e68b-0436-4ee6-8a5e-ce6eaf34bc00

Pour ceux qui préfèrent lire : https://www.april.org/le-prix-du-gratuit-emmanuel-revah-rmll-2018

par Invité Jeu 30 Avr 2020 - 9:11

Merci Stegos

Maintenant, des nouvelles du front...

Pour ceux, par exemple, qui apprécient leur téléphone équipé de capteurs biométriques (il vaut mieux savoir lire l'anglais par contre...) :

https://thehackernews.com/2020/04/deanonymize-device-biometrics.html (Article daté d'avril 2020)

L'étude citée dans cet article : https://arxiv.org/abs/2001.08211

par Stegos Jeu 30 Avr 2020 - 9:18

On en parle de l'application Stop-Covid...juste pour rire...

https://www.01net.com/actualites/plus-de-140experts-en-securite-informatique-alertent-sur-l-application-stopcovid-1902345.html

Dans une lettre ouverte, les experts français estiment que ce genre de logiciel ouvre la porte à une surveillance de masse par le biais de la collecte des interactions entre les individus, le graphe social.:

https://www.01net.com/actualites/anonymat-bluetooth-sur-ios-la-techno-de-l-application-de-tracage-stop-covid-semble-dans-l-impasse-1897321.html#content/contribution/edit

Anonymat, Bluetooth sur iOS… la techno de l'application de traçage Stop Covid semble dans l’impasse:

Bref, si Apple REFUSE que le gouvernement trace les utilisateurs d'iSpy, c'est que ça doit VRAIMENT puer...

Informatique : protéger sa vie privée, ses métadonnées, et sa personnalité - Page 10 D8af29ad4300e1801d3dad638df74

Informatique : protéger sa vie privée, ses métadonnées, et sa personnalité - Page 10 D8af29ad4300e1801d3dad638df74

D’ailleurs, ROBERT fait d’ores et déjà l’objet de nombreuses critiques de la part d’experts en informatique, à commencer par le cryptographe Nadim Kobeissi. « En bref, ROBERT repose entièrement sur la confiance envers les autorités centrales et sur l’hypothèse qu’ils se comporteront honnêtement et seront imperméables aux compromis de tiers. Je ne suis pas en mesure de déterminer en quoi il s’agit d’une approche solide, voire sérieuse et réaliste d’une protection réelle des données des utilisateurs », explique-t-il dans un message posté sur le dépôt GitHub de ROBERT.

De son côté, l’ingénieur Stéphane Bortzmeyer estime que les auteurs de ROBERT font un usage abusif du terme « anonyme ». « Le document ROBERT utilise le terme "anonyme" de façon assez libérale. Le pire est "pseudonyme anonyme" (un oxymore) dans le document de synthèse. L’anonymat nécessite le manque de traçabilité. Si les identifiants sont permanents, ils ne peuvent pas être appelés "anonymes" », écrit-il dans un autre message sur GitHub. Dans une note de blog, il estime par ailleurs que l’analyse de sécurité faite par les auteurs de ROBERT est « très insuffisante » et qu’ils ont évacué trop facilement les problèmes liés au serveur central ont affirmant simplement qu’il sera « honnête et sécurisé ».

Avec un telle architecture centralisée, il y a un risque important d’être déanonymisé ou de dévoiler son réseau de fréquentations, bref d’être happé par Big Brother. Certes, le système ne manipule pas de données personnelles, mais quelques opérations de recoupement pourraient suffire pour révéler l’identité des utilisateurs, par exemple en collectant les adresses IP, les adresses MAC ou d’autres informations sur eux. Par ailleurs, en collectant les codes anonymes reçus des personnes infectées, le serveur central est théoriquement capable de reconstituer le graphe social de ces personnes.

Des réserves pour les droits humains

Néanmoins, des voix institutionnelles s'élèvent contre le projet. Sur FranceInfo, lundi 27 avril, le président de la Commission nationale consultative des droits de l'homme (CNCDH), Jean-Marie Burguburu, a estimé que « du point de vue des droits de l'homme, ce système est dangereux ». Selon lui, cette application inquiète aussi le Conseil scientifique, la Cnil et le CNnum « mais ils finissent par donner un feu vert ». « Je ne suis pas sûr que nous [...] parce que les droits de l'homme nous préoccupent au premier plan, nous pourrons donner un feu vert. »

En fait, les politiciens rêvent d'un système de crédit social à la chinoise...mais chuuuutt, il ne faut pas le dire, la France est une démocratie....circulez, il y a rien à voir, et encore moins à comprendre.

par Invité Jeu 30 Avr 2020 - 9:31

Eh bien oui Stegos, mais maintenant que tout le monde a financé son bracelet électronique et que toute la galaxie numérique presse pour faire que le pékin moyen paie avec son téléphone, n'est-il pas un peu tard pour crier au loup ?

Quant à la RGPD, tout lecteur attentif de cette dernière verra que la charge de la protection revient à l'utilisateur qui doit se désinccrire de partout ! Ce règlement protège les entreprises, pas les consommateurs.

Quant au traçage des utilisateurs et de leurs contacts, il y a un moment que c'est possible, il suffit d'utiliser Maltego par exemple. La seule chose que permettrait en plus cette application, c'est de le faire en temps réel...

M'enfin une alerte de plus ne peut qu'enfoncer le clou pour ceux qui veulent bien se poser et réfléchir...

par Stegos Jeu 30 Avr 2020 - 9:41

Bah, quelqu'un leur dit que la tech qu'ils prétendent vouloir utiliser, le BLE (Bluetooth Low Energy) IMPOSE d'activer la géolocalisation ?....hein..

Et que si depuis Android 6 il est prévu que la MAC du BLE PUISSE changer toutes les XX secondes, certains constructeurs (coucou Samsung) ont prévu que les XX secondes c'est en fait 4294967295 secondes...ce qui fait...ahem...à peine 136 ans ?

Et je ne vais pas parler des MAC des cartes Wifi, ni des IMEI des téléphone, ça pourrait causer des fâcheries...

Et je suis en train d'éduquer des députés, français et européens.
Ces gens là votent des lois, alors qu'ils n'y comprennent RIEN !!
Ils n'ont pas l'idée de demander QUI va faire l'application, OÙ va se trouver le serveur, ils ne pensent PAS à s'entourer d'experts...
Quand à la technologie utilisée, c'est "Harry Potter" à tous les étages.

Une technologie suffisamment avancée est indiscernable de la magie (3^ème loi de Clarke)...certes...mais c'est pas une raison pour voter une loi qui l'autorise

par Invité Jeu 30 Avr 2020 - 9:56

Oui, je sais tout ça. J'aide aussi un pote qui intervient auprès des députés français pour la même raison ...
Il n'empêche encore un fois que le pékin moyen s'en fout comme de sa première chemise, et qu'à mon avis, la pression ne peut pourtant venir que des citoyens, les lobbys étant d'une puissance inimaginable...

Et tu dis qu'ils ne s'entourent pas d'experts. C'est vrai. Et s'en entourent-ils pour le médical ? Pour les pesticides ? etc...
Toujours la même histoire... le pecus vulgum délègue en fermant les yeux et râle quand le train passe...

par Topsy Turvy Jeu 30 Avr 2020 - 20:54

Tiens, ça faisait longtemps que je n'avais plus entendu parler d'Alice et Bernard.
Merci, ça complète bien le court passage de FranceCulture proposé par Confiteor.

par Invité Ven 1 Mai 2020 - 19:17

Je ne peux pas résister à poster des vidéos issues des conférences de sécurité allemandes de 2020 concernant Samsug et Android - pour rebondir sur ce que disait Stegos.

Elles sont techniques et il faut comprendre l'anglais. Ceci étant, elles valent leur pesant de cacahouètes (comme on dit) pour ceux et celles qui veulent découvrir d'un nouvel oeil ce qu'ils ont dans la main...

par plusdidee Sam 2 Mai 2020 - 2:46

Pourquoi voulez vous crypter vos données puisque le cryptage est une arme de catégorie A ?????

Jamais compris ce truc ...... ça m'echarpe Mort de rire

par Invité Sam 2 Mai 2020 - 11:04

Salut plusdidee Very Happy

La question à poser à ce sujet est : Pourquoi le cryptage est-il classé comme une arme ? De mon coté, cela me fait largement réfléchir et me laisse penser que le message sous-jacent est le suivant : Moi, gouvernant, moi dirigeant, moi publicitaire, etc... je ne peux pas me mêler de ce que les gens diffusent, ni espionner mes confrères...

Ensuite, il ne faudrait pas confondre (je ne dis pas que tu le fais), cryptage et obfuscation, ce qui est du pareil au même dans la tête de beaucoup.

Et, troisièmement, il faudrait aussi comprendre que si l'on veut garder quelque chose secret, le meilleur moyen d'y arriver de nos temps est bien de ne le poser sur aucun système informatique qui soit...

par Invité Sam 2 Mai 2020 - 13:21

En parallèle à la protection des données, il y a aussi l'attention à porter aux influences pernicieuses auxquelles nous sommes soumis.

Le papier date un peu, mais il est à mon avis, toujours bon de relire ce type de choses :

Tristan Harris a été "philosphe produit" ( Shocked

...

) chez Google pendant 3 ans. Et il s'est mis à expliquer "comment la technologie pirate l'esprit des gens" (en anglais) :

https://medium.com/thrive-global/how-technology-hijacks-peoples-minds-from-a-magician-and-google-s-design-ethicist-56d62ef5edf3

Et il a alors créé une site pour promouvoir le fait que la technologie soit à notre service et pas nous à la sienne :

https://humanetech.com/

par Stegos Sam 2 Mai 2020 - 22:29

par Invité Dim 3 Mai 2020 - 18:25

A propos des Antivirus, quelques petites choses qu'il est intéressant de rappeller

https://restoreprivacy.com/antivirus-privacy/

par Tahine Ven 8 Mai 2020 - 10:33

Bonjour à tous,
Ce matin au réveil, en lisant le gentil mail dans lequel Google m'informait de mes déplacements du mois d'avril, j'ai eu envie d'installer une version non Googlisée d'Android... Et je vais pas savoir faire, en fait ! Si des gens savent, et ont le temps et l'envie de partager leur savoir, je veux bien en profiter Smile

par Invité Ven 8 Mai 2020 - 11:59

Bonjour Tahine

Trois liens avec des infos pratiques.

Dans le troisième, tu trouveras d'autres liens qui te guideront dans ta démarche.

1/ https://www.makeuseof.com/tag/using-android-without-google/

2/ https://fsfe.org/campaigns/android/liberate.en.html

3/ https://android.gadgethacks.com/how-to/use-android-without-any-google-apps-services-0193735/

par Invité Lun 11 Mai 2020 - 23:31

A lire avec grande attention

https://krebsonsecurity.com/2020/04/when-in-doubt-hang-up-look-up-call-back/

par Stegos Mar 12 Mai 2020 - 20:12

par Invité Mer 13 Mai 2020 - 18:28

C'est le moment de changer votre mot de passe d'accès à ZC, le site est passé en HTTPS hier.

par Invité Ven 15 Mai 2020 - 23:52

Le 20 avril et le 9 mai, ZECOPS a fait une pré-annonce puis une annonce encore passées sous le radar de beaucoup : Une vulnérabilité critique est restée caché depuis plus de 10 ans dans les iPhones.

https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/

https://blog.zecops.com/vulnerabilities/seeing-maildemons-technique-triggers-and-a-bounty/

C'est le moment de rappeller qu'il serait bien d'au moins réfléchir à ça : https://www.freethesandbox.org/

par Invité Jeu 21 Mai 2020 - 8:08

En parlant d'Apple (mais il ne sont pas les seuls à faire cela, c'est évident), un de leur employés, un français du nom de Thomas le Bonniec, vient d'alerter le 20/05/20 tous les organismes européens de protection des données à propos de l'enregistrement indu des conversations alors que Siri n'était pas explicitement activé par les utilisateurs.

Ici vous verrez l'article publié par un journal anglais à ce propos : https://www.cnet.com/news/apple-siri-whistleblower-pushes-eu-for-more-reforms-on-voice-recording-tech/

Et là la lettre écrite par le lanceur d'alerte : https://noyb.eu/sites/default/files/2020-05/public-statement-siri-recordings-tlb.pdf

Et j'espère au passage que cela mettra un peu de plomb dans la tête aux utilisateurs compulsifs de ce bracelet électronique que représente un smartphone (relire "de la servitude volontaire" de La Boétie ne ferait sans doute pas de mal)...

par Invité Lun 29 Juin 2020 - 9:16

Allez, à destination de ceux qui pensent encore un peu qu'on ne les trace pas :

Tests de ce que dévoile votre browser (surprise sur prise ^^)

https://www.deviceinfo.me/

https://amiunique.org/

Comment se prémunir un minimum :

https://restoreprivacy.com/

Et pour les possesseurs de smartphone (qui lisent l'anglais et qui sont férus d'informatique) analysant comment vous êtes tracés sans pouvoir rien n'y faire - Etude on ne peut plus sérieuse, datée de 2019, par le département sécurite de l'IEEE :

https://www.ieee-security.org/TC/SP2019/papers/405.pdf

par Invité Lun 29 Juin 2020 - 10:49

ludion a écrit:Allez, à destination de ceux qui pensent encore un peu qu'on ne les trace pas :

Tests de ce que dévoile votre browser (surprise sur prise ^^)

https://www.deviceinfo.me/

Le truc, quand on n'y connait rien, comme moi, c'est qu'on a beau aller voir, on ne voit... rien qui nous parle !

Je veux dire par là que faire passer le message de la sécurité informatique, c'est pas gagné avec des gens comme moi qui ne comprennent du fonctionnement de l'internet que ce qu'ils en voient. Je ne pense pas que ces mises en garde soient alarmistes, loin de là, simplement je n'en comprends pas les mécanismes, le vocabulaire, et n'en saisis qu'assez vaguement les enjeux.
(mais j'essaye quand même de me tenir au courant... ^^)

par Stegos Lun 29 Juin 2020 - 12:46

Wyrdwynn a écrit:
ludion a écrit:Allez, à destination de ceux qui pensent encore un peu qu'on ne les trace pas :

Tests de ce que dévoile votre browser (surprise sur prise ^^)

https://www.deviceinfo.me/

Le truc, quand on n'y connait rien, comme moi, c'est qu'on a beau aller voir, on ne voit... rien qui nous parle !

Je veux dire par là que faire passer le message de la sécurité informatique, c'est pas gagné avec des gens comme moi qui ne comprennent du fonctionnement de l'internet que ce qu'ils en voient. Je ne pense pas que ces mises en garde soient alarmistes, loin de là, simplement je n'en comprends pas les mécanismes, le vocabulaire, et n'en saisis qu'assez vaguement les enjeux.
(mais j'essaye quand même de me tenir au courant... ^^)

Le site te montre ce que le serveur "voit" à distance de ta configuration locale, donc ce qui peut servir à te traquer, au travers de l'ensemble des informations recueillies.
Tout ce qui est affiché correspond à ton ordinateur, ton FAI, la géolocalisation, etc etc...

par Invité Mar 30 Juin 2020 - 11:06

Ah... oui du coup je vois un peu plus de choses... un peu trop peut-être. Va falloir que je me penche là-dessus... merci Stegos...

par Invité Mar 30 Juin 2020 - 11:09

Désolé Wyrdwynn et merci Stegos

Il est vrai que je pars du principe (idiot de ma part...) que les lecteurs sont avertis, et donc je ne prends pas la précaution élémentaire de préciser ce que les informations affichées signifient et d'où elle proviennent...

par Invité Mer 1 Juil 2020 - 16:26

Ne sois pas désolé, Ludion : il y a tellement d'informaticiens ou de personnes avec un bon niveau en informatique sur ce forum que ta façon de répondre était adaptée aux lieux.
C'est juste moi qui détonne... ^^

Anecdote et paranoïa inside:

par plusdidee Mer 1 Juil 2020 - 18:10

Puis-je me permettre ? Nous sommes déjà beaucoup plus loin.... mais beaucoup beaucoup plus loin

par Invité Mer 1 Juil 2020 - 18:42

Je sais plusdidee... mais est-ce la peine de commencer les explications par l'abscons total auprès de non initiés ?

par plusdidee Mer 1 Juil 2020 - 18:50

Dire que nous pouvons déjà les fumer et qu'en plus il en sont content et consentant ???

Tu as raison, ceci n'est pas une question. C'est juste une interrogation existentielle de notre part.

Désolé, parfois j'ai des doutes.