Debian FreedomBox

Posté par (page perso) . Modéré par patrick_g.
69
26
fév.
2011
Debian

La FreedomBox est un projet de la FreedomBox Foundation qui veut permettre à chacun d'héberger ses propres informations à partir de chez lui pour ne plus dépendre de sociétés qui regroupent toutes ces informations. Le projet a été annoncé par Eben Moglen devant l'ISOC à New York le 2 février 2010.

L'idée est de se baser sur les plug computer afin de fournir un système qu'il suffit de brancher chez soi pour qu'il soit opérationnel. Ce serveur tournerait grâce à des logiciels libres afin de garantir le respect de la vie privée des utilisateurs.

Le but est d'éviter de reproduire ce qu'il s'est passé en Tunisie ou en Égypte, même si cela s'est bien terminé. En effet, les gens ont principalement communiqué via Twitter et Facebook et la seule parade a été de couper Internet, mais que se serait-il passé si ces sociétés étaient forcées (ou ne pouvaient pas s'offrir le luxe de refuser) de couper les communications ou pire, de donner la listes des gens qui ont participé à tel groupe ou écrit tel tweet.

La FreedomBox doit permettre à chacun de maitriser ses données et ses canaux de communications. En mettant en œuvre Logiciels Libres, cryptographie et réseaux P2P, ces boitiers auront pour objectifs d'offrir les services suivants :

  • un réseau social protégé
  • des sauvegardes sécurisées
  • une protection contre la censure sur les réseaux
  • la publication anonyme sûre
  • la sécurité du réseau local
  • les courriels chiffrés sans peine
  • la VOIP privée.

Vous pouvez dès maintenant participer à cette initiative en faisant un don sur Kickstarter pour aider à financer la fondation, en participant à Debian qui sera la base de la future FreedomBox ou encore en commençant à vous auto-héberger.

NdM : merci à Xavier Claude qui a rédigé une bonne partie de cette dépêche.

  • # Bonne idée

    Posté par . Évalué à  8 .

    J'apprécie l'idée, et je suis même aller faire une promesse de don. Dans l'absolu, je trouve tout ça un peu fumeux (si on donnait de l'argent à tous les gens qui promettent un Facebook libre et distribué...), mais j'ai confiance en Eben Moglen pour mener un projet et fédérer des gens compétents autour de lui. Je ne pense pas que le résultat final sera exactement à la hauteur des espérances, mais le projet est très ambitieux et une réussite partielle serait déjà une bonne chose.

  • # Intéressant

    Posté par (page perso) . Évalué à  10 .

    Vous pouvez aussi regarder la conférence d'Eben Moglen au FOSDEM 2011. Il y présente le projet FreedomBox, et il y a un point en particulier que je trouve intéressant de constater : il envisage de concevoir les systèmes de communication futurs sur le principe que le réseau est hostile.

    C'est très amusant, parce qu'un tel principe est évidemment une réaction naturelle de protection contre des dérives. On le constate également lorsque l'on nous impose des systèmes de surveillance, récemment avec l'HADŒPDI : les gens se mettent à utiliser des systèmes basés sur l'hostilité potentielle du réseau, à savoir du chiffrement de masse et des techniques de dissimulation d'identité (tunnels anonymisants).

    C'est encore plus amusant, parce que tous ces gens qui souhaitent, de façon consciente ou non, prendre le contrôle du réseau, sont en train de faire mettre en place des systèmes incontrôlables. Je ne sais pas comment ça va finir mais ce qui est certain, c'est que ça va être amusant à observer.

    • [^] # Re: Intéressant

      Posté par . Évalué à  10 .

      D'ailleurs, un des revers de cette tentative de contrôle, c'est qu'il est de plus en plus difficile de déterminer si quelqu'un chiffre ses connexions pour télécharger le dernier film à la mode, ou pour des choses plus grave.

    • [^] # Re: Intéressant

      Posté par (page perso) . Évalué à  6 .

      Jonathan Corbet a fait un résumé de cette conférence, et une traduction est disponible sur le framablog.

      « Un animal d'une atterrante stupidité : il est persuadé que si vous ne le voyez pas, il ne vous voit pas non plus » (H2G2)

    • [^] # Re: Intéressant

      Posté par . Évalué à  8 . Dernière modification : le 27/02/11 à 22:02

      On le constate également lorsque l'on nous impose des systèmes de surveillance, récemment avec l'HADŒPDI

      Ce n'est pas à proprement parler un "système de surveillance", étant donné que TMG accède à des données publiques. Ou alors, Google est un système de surveillance.

      J'ai beau tourner la question dans tous les sens, je ne vois pas de différence entre installer apache2, mettre du warez dans /var/www, se faire référencer par Google pour dire "youhou j'ai ça", et installer amule, mettre du warez dans ~/.aMule/Incoming, et se connecter au réseau Kad pour dire "youhou j'ai ça".

      C'est plutôt LOPPSI2 le système de surveillance qui craint, avec ses mouchards installés à l'insu des gens. Également système de censure, sous prétexte de lutter contre le pédoporno.

      Après, il ne faut pas se faire d'illusion, la majorité des internautes sont avant tout inquiets à l'idée que TMG les voit en train de publier une contrefaçon. C'est la raison majeure de l'opposition à cette loi.
      Des épiphénomènes comme :

      • "HADŒPDI peut se tromper d'IP et vous accuser à tort",
      • "avec LOPPSI2 on peut vous moucharder chez vous"
      • ou bien "avec LOPPSI2 la liberté d'expression n'est plus garantie",

      j'ai l'impression que tout le monde s'en cogne. Étant donné que la solution technique la plus souvent mise en avant par les internautes lambda est "le direct download", qui empêche certes TMG de savoir que vous publiez une contrefaçon, mais ne protège ni d'une accusation à tort, ni des mouchards de LOPPSI2, ni de la censure. Mais ça, chut, Kevin s'en fout.

      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

      • [^] # Re: Intéressant

        Posté par . Évalué à  10 .

        Ce n'est pas à proprement parler un "système de surveillance", étant donné que TMG accède à des données publiques. Ou alors, Google est un système de surveillance.

        Quand les caméras accèdent à des données publiques, par exemple en filmant les usagers des transports en commun, ça suffit à ne plus les considérer comme des outils de surveillance ?

        À mon avis, tu confonds surveillance et espionnage. Si ce dernier se distingue du premier par le caractère secret des informations, il n'amoindrit pas l'importance de la surveillance, et sa gravité.

        C'est plutôt LOPPSI2 le système de surveillance qui craint, avec ses mouchards installés à l'insu des gens. Également système de censure, sous prétexte de lutter contre le pédoporno.

        Ça tombe bien, LOPPSI vise aussi à déployer les caméras dans les villes, caméras qui collecteront de fait essentiellement des données publiques. Sauf que ceux qui nous surveillent disent que c'est pour notre bien, vidéo-protection ils appellent ça.

        Après, il ne faut pas se faire d'illusion, la majorité des internautes sont avant tout inquiets à l'idée que TMG les voit en train de publier une contrefaçon. C'est la raison majeure de l'opposition à cette loi.

        J'observe la même chose.

        Des épiphénomènes comme "HADŒPDI peut se tromper d'IP et vous accuser à tort", "avec LOPPSI2 on peut vous moucharder chez vous" ou bien "avec LOPPSI2 la liberté d'expression n'est plus garantie", j'ai l'impression que tout le monde s'en cogne.

        Pas tout le monde, non. J'ai l'impression que les gens sont résignés et qu'ils comptent beaucoup trop sur leur prochain bulletin de vote. Mais je remarque surtout que les gens sont très peu informés de ce genre de choses, les média ont focalisé les tipis et le reste est passé à la trappe (mais bon, c'est leur boulot d'attirer notre attention).

        Tout ça pour dire qu'en lisant ta première phrase, j'ai foutrement eu l'impression de lire la prose de nos amis d'extrême-droite, d'un Devedjian ou d'un Hortefeux. J'ai vérifié le pseudo c'était bien Grunt pourtant. Flagrant-délit d'usurpation d'identité ?

    • [^] # Re: Intéressant

      Posté par (page perso) . Évalué à  7 .

      Il y a aussi la conférence d'eben moglen lors de Debconf 10, et d'autres sur http://wiki.debian.org/FreedomBox . Sinon, il y a également eu un certain nombre de projet du même acabit, le projet Nobox de fdn ( qui risque de s'effacer devant le projet FreedomBox ), le projet soxyd ( http://hackable-devices.org/projects/project/nobox/ ) qui a/va changé de focus , et j'ajouterais aussi ce projet, présenté lors de Linux conf australia et au FOSDEM , pour une infrastructure de téléphone en mesh, basé sur du logiciel libre, et du matériel ouvert ( http://www.villagetelco.org/ ).

    • [^] # Re: Intéressant

      Posté par (page perso) . Évalué à  10 .

      En fait je vais aller un peu plus loin. Ce n'est pas tant baser les nouveaux systèmes sur le principe de base que le réseau est hostile qui est nouveau, ça c'est secondaire.

      Ce qui est nouveau, c'est la méfiance, ou plutôt l'objet de cette méfiance. Avant, à ma connaissance, lorsque l'État ou les opérateurs étaient aux mains d'un système, c'était normal, je dirais, en revanche on se méfiait plutôt des vilains pirates qui pourraient récupérer le mot de passe en écoutant la connexion wifi. Aujourd'hui, un système où l'État ou les opérateurs ont un pouvoir trop grand, ça éveille la méfiance, du moins chez la plupart de ceux qui conçoivent des trucs qui impliquent l'utilisation du réseau : « hmm, ça ça va passer par le réseau, comment puis-je faire pour que ça passe les tentatives de filtrage des fournisseurs et pour que ça échappe au contrôle de l'État ». Se méfier à ce point de l'État et de ses fournisseurs, qui sont des piliers assez important de la société et du réseau, plutôt que se méfier des malfaiteurs, ça ça me semble nouveau. Et assez amusant à constater, encore.

      • [^] # Re: Intéressant

        Posté par (page perso) . Évalué à  2 .

        Se méfier à ce point de l'État et de ses fournisseurs, qui sont des piliers assez important de la société et du réseau, plutôt que se méfier des malfaiteurs, ça ça me semble nouveau. Et assez amusant à constater, encore.

        Nouveau ? Non, ça nous viens des US (la méfiance du gouvernement est la principale justification du permis de port d'arme: Permettre l'insurrection. En tous cas c'est ce qui est marqué sur les dépliants d'information distribués au cimetière d'Arlington, à l'accueil, même si ca n'a plus grand sens aujourd'hui).

        Maintenant, le problème est que les représentants de l'état sont aussi des malfaiteurs, et ça n'aide pas a rétablir la confiance.

        • [^] # Re: Intéressant

          Posté par . Évalué à  1 .

          Je croyais que le but était de pouvoir se défendre (contre les malfaiteurs, les violations du droit de propriété ou bien même l’État si nécessaire) ou de défendre ses libertés.

  • # Kickstarter

    Posté par (page perso) . Évalué à  9 .

    Pour ceux qui n'aiment pas Kickstarter ou sa dépendance Amazon, le fondation FreedomBox devrait bientôt avoir un vrai compte en banque avec des coordonnées bancaires (SWIFT ?), et des systèmes comme Network for good ou PayPal.

    Source : une réponse privée à une question que j'ai posée personnellement par courrier électronique.

    • [^] # Re: Kickstarter

      Posté par (page perso) . Évalué à  5 .

      Pour ceux qui se demandent pourquoi il faudrait ne pas aimer Kickstarter : parce qu'ils utilisent en pratique Amazon, et qu'il faut donc ouvrir un compte Amazon.

      Et pour ceux qui se demandent pourquoi il faudrait ne pas aimer Amazon : parce qu'à la première fois que tu paies chez eux, il enregistrent ton numéro de carte bleue, conservant le moyen de tirer de l'argent sur ton compte sans action de ta part.

      • [^] # Re: Kickstarter

        Posté par (page perso) . Évalué à  10 .

        Aaaaargh, il n'y a plus la geekscotte de Nojhan sur l'autosatisfaction récursive lorsqu'on répond à son propre commentaire ! :'-(

      • [^] # Re: Kickstarter

        Posté par . Évalué à  3 .

        et en plus c'est breveté http://en.wikipedia.org/wiki/1-Click

        • [^] # Re: Kickstarter

          Posté par . Évalué à  5 .

          Pour une fois, je dis tant mieux. Que ce genre de saloperies reste bien tranquille prisonnier chez Amazon pendant 20 ans.

      • [^] # Re: Kickstarter

        Posté par . Évalué à  5 .

        Et pour ceux qui se demandent pourquoi il faudrait ne pas aimer Amazon : parce qu'à la première fois que tu paies chez eux, il enregistrent ton numéro de carte bleue, conservant le moyen de tirer de l'argent sur ton compte sans action de ta part.

        Et ils sont à la pointe des menottes numériques aussi. J'avais lu qu'ils avaient mis au point un système de prêt de fichiers numériques : si Alice achète son bouquin sur Amazon, elle doit passer par Amazon pour prêter son bouquin à Bob. Amazon-Oscar invite Bob à accepter le prêt pour 2 semaines, durée pendant laquelle Alice ne peut plus lire son bouquin.

        C'est juste hallucinant.

      • [^] # Re: Kickstarter

        Posté par . Évalué à  3 .

        parce qu'à la première fois que tu paies chez eux, il enregistrent ton numéro de carte bleue, conservant le moyen de tirer de l'argent sur ton compte sans action de ta part.

        Il y a moyen de retirer le numéro de carte bancaire de la liste des moyens de paiement.
        A chaque fois que je commande sur Amazon, j'entre mon n° de CB et je le supprime de la liste des moyens de paiements dès que la commande est validée.
        J'ose espérer qu'Amazon ne conserve pas mon N° de CB après que je l'aie effacé (si quelqu'un peut confirmer ou infirmer, ça m'intéresse).

        • [^] # Re: Kickstarter

          Posté par (page perso) . Évalué à  3 .

          J'ose espérer qu'Amazon ne conserve pas mon N° de CB après que je l'aie effacé (si quelqu'un peut confirmer ou infirmer, ça m'intéresse).

          À moins que quelqu'un ici ne travaille chez Amazon, on n'a aucun moyen de le savoir.

          • [^] # Re: Kickstarter

            Posté par . Évalué à  0 .

            C'est pour ça que j'ai banni l'usage de la carte bancaire, que ce soir chez Amazon ou n'importe quel autre site.

        • [^] # Re: Kickstarter

          Posté par . Évalué à  6 .

          Il gardent tous sauf le cryptogramme à 3 chiffres, semble-t-il.

          Histoire vécue : J'avais acheté un truc sur Amazon. Comme toi, juste après l'achat, j'ai supprimé mes coordonnées bancaires. Comme le transporteur ne trouvait pas trace du colis, Amazon a voulu faire un renvoi de commande.

          Le hotliner m'explique alors qu'il ne peut pas refaire un envoi car car j'ai effacé mes données bancaires. (Pour quelle raison mystère.... Les infos de facturation et de livraison devraient être indépendantes, le Numéro de commande devant suffire à faire le lien. Mais ce n'est pas le sujet...).

          Et il me sort son joker : "Je viens de réactiver vos données de carte bancaire. Ainsi je viens de vous rembourser et d'annuler votre commande. Vous devriez voir le crédit de votre compte sous 3 jours. Vous pouvez recommander le même article en changeant de mode de livraison si vous le souhaitez. Bonne journée Monsieur".

          Et effectivement, sur mon compte Amazon, mes coordonnée bancaires étaient réapparues. En revanche, lorsque j'ai recommandé, le système m'a demandé de redonner certains infos (cryptogramme au moins j'en suis sûr, peut être la date de validité, je ne sais plus) en me signalant que les infos liées à ma carte bleue étaient incomplètes.

          My 2 cents.

      • [^] # Re: Kickstarter

        Posté par . Évalué à  1 .

        Quel problème cela pose-t-il qu'Amazon stocke les numéros de CB ?

        Un site marchand qui ne le fait pas serait bien irresponsable : au minimum toutes les informations de la transaction doivent être tracées et archivées. Y a-t-il un seul site de e-commerce qui ne le fait pas ?

        Stocker le n° de CB est normal.

        Tu redoutes qu'Amazon s'en serve pour te voler par la suite. C'est un événement possible, mais ce n'est qu'un fusil à un coup. Si Amazon débitait la CB d'un ancien client sans son consentement, cela donnerait lieu à une réclamation du client lésé auprès de sa banque. La réclamation serait alors remontée à Amazon qui devrait fournir les traces du consentement de l'utilisateur. Deux cas de figure pourraient alors se présenter : - Amazon ne fournit pas de trace est avoue ne pas pouvoir justifier la transaction - Amazon fournit une trace falsifiée

        Dans les deux cas, cela aboutirait à la disqualification d'Amazon auprès des banques (plus aucune banque ne leur fournirait de moyens de transaction en ligne) et un risque d'image fort. Dans le second cas, Amazon se mettrait en position de risque extrême.

        Revenons au client lésé : après répudiation de la transaction frauduleuse, sa banque le re-crédite du montant contesté. Il risque dans le pire des cas d'avoir des problèmes de trésorerie (ce qui peut être plus ou moins grave).

        Amazon n'a aucune chance de gagner à ce petit jeu. Le préjudice du client sera vraissemblablement très faible.

        Peux-tu me citer un autre moyen de paiement qui a tous les avantages de la CB et aussi peu d'inconvénients pour le porteur ?

        BeOS le faisait il y a 15 ans !

        • [^] # Re: Kickstarter

          Posté par (page perso) . Évalué à  4 .

          Peux-tu me citer un autre moyen de paiement qui a tous les avantages de la CB et aussi peu d'inconvénients pour le porteur ?

          Ouais, la carte bleue, utilisée intelligemment et non pas comme le fait Amazon. C'est à dire en conservant assez d'informations pour d'identifier la transaction, mais pas assez pour pouvoir refaire librement des transactions. Par exemple, je ne sais pas, le numéro de carte bleue mais pas la date d'expiration ni le code du derrière.

          • [^] # Re: Kickstarter

            Posté par (page perso) . Évalué à  2 .

            Ouais, la carte bleue, utilisée intelligemment et non pas comme le fait Amazon. C'est à dire en conservant assez d'informations pour d'identifier la transaction, mais pas assez pour pouvoir refaire librement des transactions. Par exemple, je ne sais pas, le numéro de carte bleue mais pas la date d'expiration ni le code du derrière.

            Tout dépend du point de vue. Pour ma part, la façon de procéder d'Amazon est la meilleure : elle me permet d'effectuer des achats sans avoir à ressaisir plein de données à chaque nouvelle transaction. En tant que consommateur flemmard (ma CB n'est pas stockée à côté du PC, et de toute façon, j'apprécie d'avoir le moins de manip à réaliser quand je veux acheter quelque chose), je considère la méthode Amazon comme étant la plus intelligente, et ce jusqu'à ce que l'on me propose une méthode plus sûr, mais ne nécessitant pas de manipulations supplémentaires.

            • [^] # Re: Kickstarter

              Posté par (page perso) . Évalué à  3 .

              jusqu'à ce que l'on me propose une méthode plus sûr, mais ne nécessitant pas de manipulations supplémentaires

              Il y a une incohérence. Tu veux qu'ils puissent se payer sans action de ta part. Par définition, ce n'est pas sûr, mais c'est ce que tu souhaites. Autrement dit, tu souhaites un moyen de paiement dangereux. Désolé pour toi.

              • [^] # Re: Kickstarter

                Posté par . Évalué à  4 .

                Chacun son point de vue.
                Il considère qu'Amazon ne va pas l'escroquer, ni se prendre un gros bug, ni se prendre un méchant voleur de fichiers.
                Pareil pour moi. Par contre je fais énormément moins confiance à EDF (prélèvement). Et je ne fais plus du confiance à la Générale des Eaux, à qui j'ai retiré l'autorisation de prélèvement suite à erreur de leur part (pas erreur de manipulation: gros défaut dans leur processus de facturation). Sans parler des opérateurs de téléphonie mobile, là, clairement, Orange ou SFR c'est directement non (donc pas d'abonnement chez eux). Ressenti personnel.

                Donc bon, Amazon le grand méchant voleur, bof. J'ai entendu parler de très exactement ZERO personne ayant eu un soucis de débit indûs chez eux. Bien sûr, avec google il est possible de tomber dessus. Je suppose. Par contre chez EDF, le FISC, Orange, etc, j'en ai entendu parler pas mal sans google. Directement dans mon entourage. Alors d'un point de vue strictement personnel, Amazon est plus sûr que le FISC.

                • [^] # Re: Kickstarter

                  Posté par . Évalué à  2 .

                  Au détail près que tu connais sans doute plus de gens qui ont à faire à EDF ou au FISC que de gens qui ont régulièrement à faire à Amazon.

                  • [^] # Re: Kickstarter

                    Posté par . Évalué à  2 .

                    Je connais "en vrai" plus de gens qui on EDF. Disons 1000 dans mon existence.
                    Je connais "avec google" immensément plus de gens qui utilisent Amazon... et aucune trace de problème. Je n'ai pas non plus cherché pendant des heures, mais sur les millions de clients Amazon, franchement s'il y avait problème les blogs en seraient remplis.

          • [^] # Re: Kickstarter

            Posté par . Évalué à  -1 .

            Est-ce que tu reproches à Amazon de conserver ces données (qu'il est de toute façon 100% obligé de conserver) ou bien l'usage qu'il en fait ?

            Si c'est la première proposition, comment conçois-tu un système de paiement par CB à distance qui ne conserverait pas le n°CB, la date d'expiration et le code ? Comment gérer les réclamations ?

            Si c'est la seconde proposition, qu'entends-tu par "refaire librement des transactions" ? Je crois avoir démontré qu'Amazon est tout à fait contraint en la matière. Un détail m'aurait échappé ?

            BeOS le faisait il y a 15 ans !

            • [^] # Re: Kickstarter

              Posté par . Évalué à  7 .

              qu'il est de toute façon 100% obligé de conserver

              Pour avoir mis en place du paiement en ligne sur un site de e-commerce, je peux te garantir qu'il n'est pas «obligé».
              Une fois la transaction validée par la banque, le n° de transaction suffit pour gérer les litiges (remboursement,..). Il n'est absolument pas nécessaire de conserver le n° de CB.

              Amazon (et d'autres, comme la FNAC) a choisi de simplifier le processus d'achat en conservant le n° de CB. Ça améliore certainement leur chiffre d'affaire, pas la sécurité.

              Je n'ai pas peur qu'Amazon débite mon compte à mon insu. Par contre, le risque de malveillance d'un employé ou d'exploitation d'une faille informatique n'est jamais exclu.

        • [^] # Re: Kickstarter

          Posté par . Évalué à  4 .

          ah non ce n'est pas du tout normal.
          Je pense que c'est même contraire aux best practices du PCI DSS
          https://www.pcisecuritystandards.org/security_standards/documents.php?document=pci_dss_v2-0#pci_dss_v2-0

          Et personnellement je doute fort que amazon s'amuse a stocker le numéro

          Je prend le PA DSS,

          1.1 Ne stocker aucune donnée d’authentification sensible après autorisation (même cryptée) [...]

          1.1.1 Après autorisation, ne jamais stocker la totalité du contenu d’une quelconque piste de la bande magnétique (au verso d'une carte, sur une puce ou ailleurs). Ces données sont également appelées piste complète, piste, piste 1, piste 2 et données de bande magnétique. [...] Correspond à la condition 3.2.1 de la norme PCI DSS

          1.1.2 Après autorisation, ne pas stocker le code, ou valeur de validation de carte (nombre à trois ou quatre chiffres figurant au recto ou au verso de la carte de paiement), utilisé pour vérifier les transactions carte absente. [...] Correspond à la condition 3.2.2 de la norme PCI DSS

          1.1.3 Après autorisation, ne pas stocker de code PIN (Personal Identification Number) ni de bloc PIN crypté. [...]
          Correspond à la condition 3.2.3 de la norme PCI DSS

          Par contre qu'ils stockent le numéro de transaction, et réutilisent cette transaction pour en faire de nouvelles, faire des remboursement ou autres me semblent plus probables.

          • [^] # Re: Kickstarter

            Posté par (page perso) . Évalué à  2 .

            Par contre qu'ils stockent le numéro de transaction, et réutilisent cette transaction pour en faire de nouvelles, faire des remboursement ou autres me semblent plus probables.

            Qu'ils stockent le numéro ou quoi que ce soit, je m'en moque, ce que je trouve parfaitement anormal, c'est qu'ils stockent de quoi se servir sur mon compte, quelles que soient les informations en question qui permettent de le faire. C'est la conséquence qui est gênante, pas le moyen. Ce serait un mandat de prélèvement que ce serait pareil.

          • [^] # Re: Kickstarter

            Posté par . Évalué à  3 .

            Merci pour ce document qui m'éclaire.

            Effectivement, si la trace est stockée chez le partenaire bancaire du commerçant, il suffit à ce dernier de conserver l'identifiant de la transaction.

            De ce point de vue, la façon de procéder d'Amazon est beaucoup plus discutable.

            BeOS le faisait il y a 15 ans !

            • [^] # Re: Kickstarter

              Posté par . Évalué à  3 .

              en relisant le document, il semblerait que je me soit un peu fourvoyé -> le PAN (Primary Account Number) est autorisé à être stocké, si chiffré. Le PAN c'est les 16 chiffres présent sur le recto de la carte.

              Par contre l'ensemble des codes de protection (ie les 3 chiffres derrières, le code pin, etc...) sont caractérisés comme données d'authentification sensibles, et ne doivent pas être stockées.

              Si le PAN est stocké, il faut respecter l'ensemble de la norme PCI DSS

            • [^] # Re: Kickstarter

              Posté par . Évalué à  2 .

              je re répond, mais sur le deuxième point :
              C'est exactement ce que font, a nouveau les péages.

              Certains péages "concatènent" le prix des différents passages, et ne prélève qu'une seule fois l'ensemble (par exemple, tu as eu un péage à 3€, un à 15, puis un à 7, ils ne prélèvent qu'une fois 25 €)

              Il ne faut pas oublier que tout ceci fait l'objet de convention entre le groupement interbancaire, les banques, etc...

              Amha, ce n'est pas le "marchand" qu'il faut condamner, mais celui qui a proposé le service dans ce cas.

              Ne pas héberger son argent dans une banque (le retirer dès qu'on recoit son salaire par ex), refuser la CB, etc... si on veut être cohérent et "attaquer" les bon intermédiaires.

        • [^] # Re: Kickstarter

          Posté par (page perso) . Évalué à  1 .

          Je passe là un peu tard mais bon, une mise au point semble nécessaire.

          Ce n'est pas forcément le site de vente qui conserve les information bancaire. D'ailleurs il est même souhaitable de ne pas le faire, pour des raisons évidentes de sécurité. C'est la banque qui gère le compte lié au site qui conserve ces informations. PayPal le fait aussi, un certain temps, pour permettre un remboursement, mais je ne sais pas combien de temps ils conserve les informations.

          J'ai réalisé ou participé à la mise en place de 3 sites de vente en ligne, aucun ne conserve les informations bancaires. Dès que le paiement la dernière phase de l'opération de commande est demandée par le client, c'est à dire le paiement proprement dit, le site passe la main à celui de la banque en mode sécurisé. A aucun moment les informations bancaires ne sont entrées sur les pages du site de vente.

          • [^] # Re: Kickstarter

            Posté par (page perso) . Évalué à  3 .

            Ce que tu racontes est censé, et c'est ce qu'appliquent toutes les boutiques sérieuses. Mais Apple, Amazon ou la Fnac font autrement, eux demandent directement au client ses informations de carte bleue et les stockent dans leurs bases de données pour s'en resservir la prochaine fois qu'ils en ont besoin.

            • [^] # Re: Kickstarter

              Posté par . Évalué à  2 .

              Ça revient à une sorte d'autorisation de prélèvement en fait. Sauf que ça n'en n'est pas une (et donc que ça ne respecte pas les pratiques propres au prélèvement, notamment les annonces).

              BeOS le faisait il y a 15 ans !

      • [^] # Re: Kickstarter

        Posté par . Évalué à  5 .

        je vais t'apprendre un truc, (presque) n'importe qui peut le faire, avec ton numéro de compte.
        Voir même avec juste ton chéquier.

        "Pas besoin" de ton autorisation pour une autorisation de prélèvement. Juste avoir un NNE (numéro national d'émetteur).
        "Pas besoin" de signature pour un chèque.
        "Pas besoin" de ton accord pour une transaction de CB.

        le truc c'est que c'est entre guillemet; ça veut dire que si quelqu'un fait ça, tu conteste, et la banque doit te rembourser, vu que c'est à ta banque de vérifier que tu étais d'accord avec ce débit.
        Elle a autorisé quelque chose alors que tu n'étais pas d'accord, ben elle est responsable et doit te rembourser. Charge à elle de récup les sous à ton débiteur, ou de les passer en pertes et profits.

        Je vais prendre un autre cas qui est arrivé à quelqu'un que je connais, il fait une demande de prêt à une banque. Qui dit demande de prêt, dit assurance. Il n'a pas donné suite à la demande de prêt, mais l'assurance l'a quand même prélevé (sans mon accord).
        Il a alors envoyé une lettre (relativement incendiaire) à sa banque, et je peux t'assurer que l'ensemble des sommes ont été remboursées, et sans aucun agio!

        Ps : quand tu paie à un péage avec un CB, tu rentre ton code pin?
        Si non (et la réponse est non), alors ils l'ont utilisé sans ton accord (ils n'ont pas vérifié que tu étais le bon détenteur) ...
        Boycottons les péages ?

  • # Mail? Quel réseau social?

    Posté par (page perso) . Évalué à  4 .

    Si la box va servir à stocker et héberger un serveur de réseau social, pourquoi s'arrêter en si bon chemin et ne pas proposer le service mail privé avec?

    Quel moteur de réseau social comptent-ils utiliser? Je vois parler de contournement de censure, je vois pas comment faire ça avec les solutions LAMP classiques. Peut-être avec XMPP? Aucune solution n'est vraiment mâture à l'heure qu'il est...

    Mais j'aime beaucoup l'idée! J'ai rêvé d'un truc comme ça depuis un bon moment!

    • [^] # Re: Mail? Quel réseau social?

      Posté par (page perso) . Évalué à  5 .

      Si la box va servir à stocker et héberger un serveur de réseau social, pourquoi s'arrêter en si bon chemin et ne pas proposer le service mail privé avec?

      Je suppose que c'est inclut avec

      les courriels chiffrés sans peine

      « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

  • # Techniquement, je ne suis pas convaincu

    Posté par . Évalué à  5 .

    Pour protéger des utilisateurs d'un réseau face a son gouvernement (puisque le posteur parle de la Tunisie ou de l'Egypte), il n'y a pas 36 solutions mais 2 que je sache: -la stéganographie, c'est la solution idéale, mais je ne connais pas de solutions réaliste qui déploie ça. -le routage en 'ognions' à la TOR et là c'est loin d'être idéal: imaginons que le gouvernement donne au FAI une liste de proxy-TOR et demande de lui donner tout les noms des utilisateurs qui y accèdent: si tout le monde fait du TOR c'est bon (très peut probable vu la lenteur du truc), sinon il y a un fort risque que des policiers te pose des questions fort embarrassantes..

    Alors la FreedomBox, dans quel cas est-ce censé fonctionner? Ça ne marcherait pas en Chine par exemple.

    • [^] # Re: Techniquement, je ne suis pas convaincu

      Posté par . Évalué à  7 .

      Une des intentions du projet, à en croire le discours d'Eben Moglen http://video.fosdem.org/2011/maintracks/political.xvid.avi , est la création d'un nouveau réseau internet mondial qui ne passerai plus par les FAI ; notamment en utilisant le mesh wifi, cf. http://www.open80211s.org/ Ainsi l'infrastructure de réseau ne passe plus nécessairement par des points vulnérables car directement soumis à l'autorité de l'Etat (les FAI). On ne pourra donc pas couper le réseau par une pression faite sur le fournisseur car tout le monde deviendra fournisseur.
      Concernant la protection du contenu, les techniques de cryptographies actuelles sont bien suffisantes, et largement discutées, documentée, implémentées etc. Tout le monde a aujourd'hui accès a des techniques qui protègent autrui de découvrir ce qu'on fait transiter.
      Enfin, concernant la lenteur des réseau qui garantissent l'anonymat, comme TOR, jette un oeil sur le protocole phantom. Quand on le compare à TOR :

      Phantom has much higher throughput, not being limited by a specific number of out-proxies.
      • If the “self eliminating” reasonable doubt inducing design of Phantom is taken into self consideration, the maximum network throughput level is even equal to that of normal non-anonymized communication!
      • Another throughput generating design detail is the possibility of selecting your own routing nodes, thus being able to pick ones that are close to yourself on high-speed connections.

      cf. http://en.wikipedia.org/wiki/Phantom_Anonymity_Protocol et en particulier http://www.fortego.se/phantom-paper.pdf

      • [^] # Re: Techniquement, je ne suis pas convaincu

        Posté par (page perso) . Évalué à  8 .

        On revient à l'origine d'internet : un réseau maillé non hiérarchisé. C'était l'objectif du DARPA qui voulait que la destruction d'un nœud permette au réseau de continuer à fonctionner. Cet objectif est à rapprocher du "Cloud" qui permet la délocalisation des données. Finalement, toutes les tentatives pour prendre le contrôle d'Internet se soldent par des échecs. Ce n'est pas récent : Microsoft et AOL ont bien tenté, il y a une dizaine d'années de prendre possession d'Internet et se sont cassés les dents.

        J'ai eu l'occasion de rencontrer et de discuter avec Eben Moglen. C'est un homme d'une vivacité et d'une finesse d'esprit remarquables. N'oublions pas que c'est lui le rédacteur de la licence GPL qui s'est avérée d'une totale solidité juridique. Si il se lance dans ce projet, c'est parce qu'il en a analysé toutes les implications.

        • [^] # Re: Techniquement, je ne suis pas convaincu

          Posté par . Évalué à  3 .

          Mais quid des performances d'un tel réseau de box ?
          Je me souviens de ce commentaire de MrLapinot sur la dépêche traitant de Netsukuku:

          (...) avec un réseau maillé, si tu veux faire transiter des informations de Paris à Bordeaux (et je ne parle pas de Tokyo), tu as besoin de lignes à haut débit entre les deux. Le wifi point à point, même si on sait le faire des quelques kilomètres, tu as un problème de débit qu'il faudra bien gérer un jour ou l'autre si tu entends passer à l'échelle.

          C'est ça que je leur reproche, en fait : ils font tout un foin pour gérer (soit-disant) un "Internet alternatif", mais la couche physique de cet Internet n'existe tout simplement pas. C'est pas pour faire plaisir aux grands méchants capitalistes qu'on a inventé les FAIs, c'est juste qu'économiquement et physiquement, c'est la seule solution.

          Après, on peut vouloir des FAI associatifs (comme FDN), on peut vouloir de la régulation, de la neutralité, etc. Mais l'application typique des réseaux maillés, c'est à l'échelle du quartier ou de la ville. Et quand tu couvres une région entière, comme guifi.net en Catalogne (voir la carte du réseau : http://guifi.net/node/2413/view/map), tu utilises quand même essentiellement des liaisons de FAI pour les liaisons longue distance (parce que oui, ça va plus vite de prendre l'ADSL puis les backbone de l'internet que le wifi). Croire qu'un réseau maillé peut passer à l'échelle totalement sans FAI, c'est juste irréaliste.

    • [^] # Re: Techniquement, je ne suis pas convaincu

      Posté par . Évalué à  2 .

      Ouhai enfin la stéganographie est vite repérable, quant ton .jpeg commence à faire 1mo. A tiens, quoi que c'est vrai, de nos jours c'est peut être à remettre au goût du jour, finalement :-) Y avait un chouette outil java en 2006 pour ça... zut comment se nommait il, déjà ? ha oui : diit.

      Ben en fait ça dépend de ce qu'on veux transmettre comme infos. Y a pas de solution absolue. Ou plutôt si, la solution absolue ce sont des solutions multiples :-)

      (-: Les dns root sont gris, je répète les dns root sont gris :-)

      • [^] # Re: Techniquement, je ne suis pas convaincu

        Posté par . Évalué à  3 .

        ha ben le "diit" a pas bougé d'un pouce depuis 2006 : http://sourceforge.net/projects/diit/

      • [^] # Re: Techniquement, je ne suis pas convaincu

        Posté par . Évalué à  3 .

        La taille des données n'est pas le vrai problème (tu peux prendre l'habitude par exemple de filmer le lever du soleil tous les jour et de le poster sur un site), le problème c'est que la stéganographie permet de masquer des communications entre 2 utilisateurs qui se sont mis d'accord entre eux de manière préalable.
        Mais pour tous les autres usage, ce n'est pas une solution:

        • Tu veux discuter avec X de manière cachée? Et bien il faut discuter avec lui de manière "ouverte" d'abord, ce qui n'est pas toujours possible.

        • Tu veux surfer sur le web de manière cachée? Et bien, a l'heure actuelle il faut un intermédiaire humain (faisable pour du ponctuel, mais ce n'est pas pratique), l'automatisation sans tomber dans les problèmes de l'onion routing (les IP des proxy qui peuvent être surveillées) me parait difficile..

  • # L'Égypte et la Tunisie

    Posté par . Évalué à  5 .

    Idem. Ce projet est bien sûr une bonne idée, mais je trouve que la justification donnée n'est pas très bonne.

    En Égypte, le gouvernement a remarqué que les gens communiquaient, et a coupé tous les moyens de communication (téléphone fixe et portable, internet depuis les couches de bas niveau, et maintenant maintenant brouillage satellite en Libye). Ce projet n'y changerait rien.

    donner la listes des gens qui ont participé à tel groupe ou écrit tel tweet.

    C'est une préoccupation légitime dans les pays occidentaux. On a vu Sony ou le gouvernement américain exiger de telles sociétés le nom des personnes ayant communiqué certaines informations. Encore une fois, la situation n'est pas la même dans des pays où de nombreux comptes sociaux sont mis à jour depuis des cybercafés qui présentent bien plus de sécurité que d'avoir mes informations associées sur une freedombox associée à mon IP.

    Pour facebook le problème est de donner publiquement son nom réel, ainsi que de lister tous ses amis, donnant aux services de répression tout loisir pour aller arrêter les bonnes personnes ou faire très facilement des menaces ou du chantage avec sa famille proche. C'est peut-être le seul problème résolu par Freedombox ou d'autres projets, si la liste des contacts n'est pas publique.

    • [^] # Re: L'Égypte et la Tunisie

      Posté par (page perso) . Évalué à  8 .

      En Égypte, le gouvernement a remarqué que les gens communiquaient, et a coupé tous les moyens de communication (téléphone fixe et portable, internet depuis les couches de bas niveau

      Pour les communications Internet, c'est uniquement les liens vers l'étranger qui ont été coupés mais comme il n'y quasiment aucun service basé en Égypte, ça revenait à couper le réseau. http://linuxfr.org/users/olivedeparis/journaux/you-don%E2%80%99t-have-your-tools-%E2%80%94-you-don%E2%80%99t-have-anything

      Les réseau téléphoniques fonctionnaient aussi, sinon FDN n'aurait pas mis en place une ligne RTC pour que les Égyptiens puisse se connecter à Internet ou l'initiative de Google pour tweeter par téléphone n'aurait servi à rien. D'ailleurs, ça aurait voulu dire que tu paralysait aussi les moyens de communication du gouvernement.

      « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

      • [^] # Re: L'Égypte et la Tunisie

        Posté par . Évalué à  3 .

        L'idée d'inclure un modem RTC de secours à la FreedomBox permettrait (en mode dégradé) de :
        - pallier aux défaillances ADSL parfois très longues
        - déplacer sa FBx et s'en servir sur un autre lieu (vacances tout ça)
        - se prémunir des censures et autres mesures totalitaires...
        Car pour trouver un modem RTC à certains moments et en certains lieux, ça peut devenir compliqué. C'est une question coût/probabilité d'usage en vue de l'inclure dans un plug-server à bas prix...

      • [^] # Re: L'Égypte et la Tunisie

        Posté par . Évalué à  3 .

        Les réseau téléphoniques fonctionnaient aussi,

        Je me corrige, c'est seulement le réseau mobile qui a été coupé. Mais Freedombox ne change rien au problème. Un réseau auto-hébergé ne fonctionne que si les pairs sont accessibles. Or s'ils communiquent via un RTC, occupant leur ligne et payant chaque seconde, ils ne vont pas rester accessibles plus de quelques minutes par jour.

        (Ou alors, freedombox a besoin d'un système de messagerie off-line, mais ça semble compliqué sans serveurs centraux.)

        • [^] # Re: L'Égypte et la Tunisie

          Posté par (page perso) . Évalué à  7 .

          Comme expliqué plus haut, il y a l'idée d'utiliser un réseau WiFi suivant une topologie mesh, cela résoudrait les problèmes.

          « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

        • [^] # Re: L'Égypte et la Tunisie

          Posté par (page perso) . Évalué à  10 .

          freedombox a besoin d'un système de messagerie off-line, mais ça semble compliqué sans serveurs centraux.

          Ça existe depuis la nuit des temps, un réseau social décentralisé, qui n'a pas besoin d'une connectivité permanente, ni même, en fait, du grand Internet sauvage. C'est NNTP & UUCP, c'est Usenet le magnifique !

          * Ils vendront Usenet quand on aura fini de le remplir.

  • # pourquoi un projet libre passe par un compte Amazon ?!

    Posté par . Évalué à  4 .

    J'ai voulu soutenir le projet en versant mon obole de militant de la liberté. Mais j'ai laissé tomber quand j'ai vu qu'il fallait créer un compte Amazon. C'est pas possible : Le ver est déjà dans le fruit.Quand on sait comment Amazon a coupé les vivres à Wikileaks (entre autres), on ne peut pas soutenir un projet qui s'appuie sur un organisme manifestement ennemi des libertés.

  • # Enfin des plug à 50$

    Posté par . Évalué à  2 .

    On nous avais promis que les plugs descendraient rapidement à, environ, 50$ pièce. Deux an plus tard on est toujours à 100$ pièce ...
    Espérons que ce projet fasse baisser les prix comme promis :-D

    • [^] # Re: Enfin des plug à 50$

      Posté par . Évalué à  2 .

      Le Dockstar de Seagate est disponible à 50€ sur fnac.com.
      C'est comme le Sheeva Plug première génération mais avec plus de ports USB, moins de RAM et il faut flasher uboot car il n'est pas vendu comme un engin ouvert.

      • [^] # Re: Enfin des plug à 50$

        Posté par . Évalué à  0 .

        Par contre il faut faire vite: le dockstar n'est plus en production => les revendeurs écoulent les stocks. J'en ai trois pour opérer un petit darknet avec des liens openvpn et du routage dynamique avec OSPF (quagga) :-)

  • # liberté ! rétention des données .

    Posté par . Évalué à  0 .

    J'aurais été heureux de faire un don jusqu'à que je vois que vous êtes partenaire avec avec amazon je ne pense pas que je soutiendrais finalement le projet si celui-ci demeure en l'état, effectivement à l'heure ou la France à fait passé sa loi sur la sauvegardes des données personnel , je ne vois pas comment y échapper de cette manières en passant par un site propriétaires et commercial .

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.