NSA - temps de faire le (premier) point

Posté par (page perso) . Édité par Benoît Sibaud, NeoX, palm123, Nÿco et Florent Zara. Modéré par patrick_g. Licence CC by-sa
69
2
août
2014
Internet

Préambule : bonjour tout le monde, j'ai écrit cet article il y quelques jours (NdM: sur son blog, puis republié par Reflets.info), j'en profite pour le partager avec vous. La version originale possède énormément de liens et je ne peux pas tout mettre ici, vous avez le lien vers l'article en question en bas de la page.

En 1988, on commença à parler du programme Echelon ; vient ensuite Frenchelon ; et bien sûr le lanceur d'alerte Edward Snowden. La Quadrature du Net a mis en place le site nsa-observer pour regrouper les infos. Dans la suite de la dépêche, un petit tour d'horizon rapide de ce site.

Sommaire

logo NsaObserver

(petite) Introduction

En 1988, le journaliste Duncan Campbell révéla l'existence d'un programme de renseignement, Echelon, dans un article pour The New Statesman qui s'intitulait "Somebody's listening". En 1996, c'était le journaliste néo-zélandais Nicky Hager qui publiait "Secret power" sur l'implication de son pays dans le programme. En 1999, suite à une demande du Parlement Européen, Duncan Campbell rend un rapport intitulé "Interception capabilities 2000" pour le STOA (Science and Technology Options Assessment du Parlement Européen—traduction française disponible sous le titre "surveillance électronique planétaire" aux éditions Allia).

Pour rappel, le projet Echelon désignait un système mondial d'interception SIGINT via les satellites, et regroupant les États-Unis (NSA), le Royaume-Uni (GCHQ), le Canada (CSTC), l’Australie (DSD) et la Nouvelle-Zélande (GCSB) dans le cadre du traité UKUSA.

Pour ne pas rester derrière, la France a rapidement mis en route un projet similaire, surnommé "frenchelon".

Ce qui nous amène à…

Edward Snowden. Cet (ex-)analyste de la CIA et de la NSA décide d'alerter l'ensemble de la planète sur les capacités d'écoute et d'interception des États-unis et de ses alliés. Nous n'allons pas nous étendre là-dessus. Vous pouvez lire cette histoire un peu partout autour de vous.

Fin 2013, ne trouvant aucune base de données des différents programmes, La Quadrature du Net commence grâce à quelques bénévoles le site https://www.nsa-observer.net/ qui regroupe l'ensemble des programmes de la NSA et du GCHQ provenant des fuites de Snowden.

Et à un premier tour d'horizon

Même si l'immense majorité des programmes est sous l'égide de la NSA (National Security Agency) et donc des États-unis, certains programmes viennent d'autres pays (en particulier du Royaume-uni via le GCHQ). La NSA classe ses pays partenaires en 3 grandes familles :

  • Five Eyes (FVEY / AUSCANNZUKUS)
  1. États-unis (indicatif pays : USA - agence : NSA),
  2. Royaumes-unis (indicatif pays : GBR - agence : GCHQ),
  3. Nouvelle-Zélande (indicatif pays : NZL - agence : GCSB),
  4. Canada (indicatif pays : CAN - agence : CSEC),
  5. Australie (indicatif pays : AUS - agence : ASD).
  • Nine Eyes : consiste aux Five Eyes avec en plus : le Danemark, la France, les Pays-Bas et la Norvége.
  • Fourteen Eyes (SSEUR - Sigint Senior EURope) : les Nine Eyes plus l'Allemagne, la Belgique, l'Italie, l'Espagne et la Suède.

La collecte de données

Les services récupèrent tout ce qu'ils peuvent, c'est-à-dire dans le désordre :

Tout ce que vous faites avec un navigateur (sans oublier sa version, la langue, les plugins installés…), les flux voix (VoIP, GSM, téléphone fixe…), fax, courriels, chats (MSN-like, Jabber…), vidéos (que ce soit en provenance de Youtube, de Skype,…), photos, fichiers (en transferts, stockés, …), DNI (Digital Network Intelligence), DNR, empreintes des réseaux wifi (cf. VICTORY DANCE en dessous), activités sur les réseaux sociaux, détails des comptes Google/Yahoo/outlook…), et j'en passe.

Pour faire simple, tout ce que vous faites laisse forcément des traces quelque part. Et c'est ce qu'ils cherchent, collectent, et parfois stockent. Voici donc la première partie de ce tour d'horizon concernant quelques programmes de la NSA et du GCHQ.

UPSTREAM / TEMPORA / RAMPART-(x)

Aussi connu sous le nom de "ROOM641A", le programme UPSTREAM a commencé en 2003, a été révélé en 2006 et consiste en la collecte via des "écoutes" sur les câbles de fibres optiques (oui, je simplifie énormément). Le projet UPSTREAM concerne la collecte sur l'ensemble des fibres optiques trans-océaniques, qui permettent l'acheminement des communications internationales, comme Internet, les appels, les SMS…

UPSTREAM englobe beaucoup de sous-programmes qui correspondent à des régions du monde. Ils collectent différentes données (DNI, DNR, métadonnées, contenu, voix, fax…). Pour plus de détails sur UPSTREAM et ses sous-programmes, je vous conseille le blog electrospaces.

TEMPORA est l'équivalent d'UPSTREAM pour le Royaume-uni, et RAMPART l'équivalent en coopération via certains pays Européens.

PRISM

PRISM est un accès direct aux serveurs de certaines compagnies américaines : Microsoft (+Skype), Yahoo, Google (+Youtube), Facebook, PalTalk, AOL, Apple…

Ce programme permet de faire des requêtes concernant des personnes ou des groupes précis concernant les courriels, les chats/vidéos, les photos, les données stockées (coucou le cloud), de la VoIP, etc. Il suffit de voir les différents services de ses compagnies pour avoir une idée de qu'ils peuvent avoir. PRISM est donc utilisé pour "cibler" quelqu'un en particulier.

MUSCULAR

Ce programme a fait beaucoup parler de lui quand il a été rendu public, et pour cause : il permet l'interception des données entre les datacenters de Google (et de Yahoo) ce qui permet entre autres d'éviter les connexions HTTPS clients/serveurs. Google a chiffré ses communications inter-datacenters depuis.

VICTORY DANCE

Il s'agit d'une coopération entre la CIA et la NSA au Yémen. Ils ont listé les empreintes wifi de presque toutes les grandes villes yéménites via des drones (si vous ne voyez pas à quoi ça peut servir, cf. XKEYSCORE).

Je vous laisse vous rappeler ce que les Google Cars ont fait pendant un bon moment dans le reste du monde et ce que ça a pu devenir depuis…

MYSTIC

MYSTIC est un ensemble de programme qui collecte des données (le plus souvent provenant des téléphones et/ou des GSM) dans certains pays. On peut ainsi noter ACIDWASH (qui a collecté entre 30 et 40 millions de métadonnées par jour en Afghanistan), DUSKPALLET (qui vise les GSM au Kenya), EVENINGWEASEL (wifi mexicain) et SOMALGET.

SOMALGET permet de "monitorer" les systèmes de télécommunications d'un pays (via des entreprises américaines implantées localement le plus souvent). Ce programme a visé les Bahamas (sans doute pour servir de test avant de passer à plus gros) puis l'Afghanistan où il a collecté et stocké TOUS les appels téléphoniques, aussi bien localement que vers l'international.
Mais que fait-on des données après ?

Voici justement quelques exemples.

ANTICRISIS GIRL

Via des programmes comme UPSTREAM / TEMPORA / RAMPART qui permettent de faire de la collecte passive, il est possible de collecter les adresses IP des personnes se connectant à un site, par exemple au site wikileaks.org ou aux recherches Google ayant permis l'accès au site.

XKEYSCORE

XKEYSCORE consiste en un ensemble d'interfaces et de bases de données qui permettent de sélectionner certaines données collectés via différents moyens (et il y en a beaucoup).

Voici quelques exemples des possibilités de ce programme :

  • trouve moi tous les Allemands (disons germanophones, via la langue du navigateur) qui sont en Afghanistan (géolocalisation de l'IP) et qui ont été sur youporn et sur Facebook dans les dernières 24h.
  • marque comme "extrémiste" toutes les personnes (connexion IP) allant sur le site du projet Tor ou sur celui du projet Tails. Même chose si la source télécharge Tor.

Ne vous leurrez pas, ce dernier exemple est bel et bien réel, je vous laisse voir par vous même :

OPTIC NERVE (GCHQ)

En 2008, ce programme a collecté une photo toutes les 5 secondes provenant de chaque flux vidéo des chats Yahoo (soit environ 1.8 millions d'utilisateurs sur une période de 6 mois). Les documents indiquent qu'il y a un avertissement pour les opérateurs car l'on y trouve entre 8 et 12% de "nudité" (à prendre au sens large).

Pour information, en 2008 déjà, le GCHQ indique faire des tests pour de la reconnaissance faciale automatique, ainsi que pour la XBOX360. Nous sommes maintenant en 2014, je parie que c'est aussi le cas pour Skype) ainsi que pour Snapchat. N'oubliez pas que la X BOX ONE a une caméra et un micro allumé 24/7, avec de la reconnaissance faciale/vocale par défaut).

La NSA espionne aussi certains sites pornos.

Et oui ! Et il parait que c'est pour la lutte contre le terrorisme (comme le reste quoi…) : par exemple pouvoir faire pression sur un intégriste musulman parce qu'il a été "vu" en train de regarder du porno.

Une cible ? Que peut-on faire ?

QUANTUM (à lire en écoutant Attack !)

Pour rediriger une cible vers un serveur FOXACID, la NSA réalise un Man-in-the-Middle (ou Man-on-the-Side) sur une connexion vers des serveurs de compagnies US (google (gmail), yahoo, linkedin..) grâce à l'emplacement de nœuds (TAO nodes) à des endroits clés sur le réseau (comprendre : "sur les dorsales de certains FAI"). La NSA utilise donc ses nœuds pour permettre des redirections à la volée vers les serveurs FOXACID, qui lanceront eux-mêmes différents types d'attaques selon la cible et les besoins.

Il existe beaucoup de sous-programmes pour QUANTUM, chacun vise quelque chose en particulier, comme QUANTUMBOT pour IRC, QUANTUMINSERT (implantation de malware - utilisé dans le hack de Belgacom), QUANTUMCOOKIE (force les cookies dans le navigateur ciblé), QUANTUMSPIM (messagerie instantanée, comme MSN ou XMPP)…

HUNT SYSADMINS (à lire en écoutant "a bullet in your head")

ATTENTION : j'ai volontairement fait au plus rapide en "coupant" la partie technique, merci de suivre les liens pour approfondir ! C'est TRÈS intéressant !

Je dois vous avouer que j'ai réellement hurlé en lisant les posts sur un forum interne d'un opérateur de la NSA qui s'intitule "hunt sysadmins". Cet opérateur raconte que le meilleur moyen d'avoir accès à des informations est de "passer" par les administrateurs systèmes qui ont accès aux serveurs ou aux routeurs (possibilité de mettre la main sur la topologie des réseaux, trouver des configurations, obtenir des accès, des courriels…).

Il explique ainsi comment ils collectent PASSIVEMENT toutes les transmissions via le protocole Telnet (programme DISCOROUTE). Oui, quand je parle de Telnet je parle bien du procotole développé en 1968 (dans la RFC 15, c'est dire si c'est vieux !), absolument non sécurisé (aucun chiffrement), et qui est apparemment encore pas mal utilisé pour administrer des routeurs à distance.

Il explique alors comment identifier un administrateur système, trouver son webmail et/ou son compte Facebook (oui oui) et de là utiliser la famille QUANTUM pour réaliser une attaque et avoir un accès à sa machine ET/OU au(x) routeur(s).

Et là, comme tout le monde, tu te dis "Moi j'utilise SSH \o/"

Sauf qu'il explique AUSSI comment identifier une personne ayant accès à un serveur en SSH. Shorter : on peut deviner qui a vraiment accès à un serveur selon la taille des paquets qui passent et le temps de connexion.

Une fois la source (via l'IP) identifiée, vous pouvez voir (par exemple avec XKEYSCORE) les connexions à des webmails, Facebook (ou n'importe quoi qui peut l'identifier), et là, PAN ! Tu peux le QUANTUM-ifier \o/

Et il termine gentiment sur le pourquoi et comment prendre la main sur un routeur (fort instructif aussi).

ATTENTION : encore une fois, TOUT le document est disponible en ligne, je vous conseille GRANDEMENT la lecture (et c'est obligatoire si vous êtes sysadmins ;-)).

INTERDICTION

C'est tout simplement la possibilité pour la NSA d'intercepter un colis (comme l'ordinateur que vous venez de commander en ligne), d'installer ce qu'ils veulent dessus (comme un firmware persistant dans le BIOS, un composant permettant à un appareil de la famille d'ANGRYNEIGHBOR (qui porte toujours aussi bien son nom) de fonctionner…).

Il suffit de jeter un coup d'oeil au catalogue pour avoir une idée de ce qu'ils peuvent faire.

Et pour finir

« Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire. » (Albert Einstein)

Je pense qu'après ce tour d'horizon rapide (il y a plus de 400 programmes sur nsa-observer.net), tout le monde aura compris que cette voie est dangereuse. Il est impossible de prévoir qui décidera de son utilisation demain, ni même aujourd'hui.

Nous ne pouvons pas faire confiance aux gouvernements et encore moins aux entreprises pour assurer notre sécurité et notre vie privée.

Nous pouvons, par contre, nous appuyer sur la société civile (comme l'EFF (eff.org) ou La Quadrature du Net, les lanceurs d'alerte (comme Chelsea Manning ou Edward Snowden) et sur des outils qui ne nous trahiront pas, comme les logiciels libres.

La cryptographie fonctionne ! Et c'est une des nouvelles importantes de ces révélations. Il existe des tutoriaux partout sur le Net pour se mettre à chiffrer ses communications. Je vous laisse aller voir OTR pour Jabber (messagerie instantanée), SSL/TLS pour à peu près tout (courriel, chat,…), GPG (qui demande un niveau technique un peu supérieur), Tor, et surtout, surtout, je vous invite à venir à des cryptoparty / café vie privée pour apprendre à s'en servir :)

  • # La crypto

    Posté par (page perso) . Évalué à 10.

    La cryptographie fonctionne ! Et c'est une des nouvelles importantes de ces révélations. Il existe des tutoriaux partout sur le Net pour se mettre à chiffrer ses communications. Je vous laisse aller voir OTR pour Jabber (messagerie instantanée), SSL/TLS pour à peu près tout (courriel, chat,…), GPG (qui demande un niveau technique un peu supérieur), Tor, et surtout, surtout, je vous invite à venir à des cryptoparty / café vie privée pour apprendre à s'en servir :)

    La crypto fonctionne, oui, mais pas lorsque l'on est ciblé par une superpuissance qui possède des 0days en rafale. Elle permet de protéger la vie privée de nos échanges lorsque l'on est pas un cible directe.
    La cryptographie fonctionne lorsque les équipements sont de confiance, ce qui n'est plus le cas aujourd'hui. Le matériel et le soft peuvent être facilement backdoorés (ou le sont déjà) ou contiennent des failles exploitables par le clan des triglyphes.

    Si vous avez des données ultrasensibles et que vous êtes une cible potentielle:
    - Ne le mettez pas sur le cloud !
    - Chiffrez d'office
    - Ne le mettez pas sur un réseau connecté à internet
    - Ne connectez jamais (même pour les mises à jour) ces ordis sur internet
    - Détruisez les équipements après usage. Achetez ces équipements en magasin, je les connectez pas au net pour les mises à jour.
    - Cela va de soi, utilisez du logiciel libre.
    - Ne créez pas les données sensibles si c'est pas nécessaire.

    Comme l'a dit @swiftonsecurity "L'Infosec c'est essayer d'éloigner les hackers de vos photos dénudées. L'OPSEC c'est de ne pas les prendre du tout".

    • [^] # Re: La crypto

      Posté par . Évalué à 2.

      Il y a aussi l'effet "si tu cryptes, tu es suspect".

      L'article en parle avec les utilisateurs de Tor.

      • [^] # Re: La crypto

        Posté par (page perso) . Évalué à 10. Dernière modification le 03/08/14 à 19:44.

        Il faut faire attention de ne pas confondre "confidentialité" et "anonymat".
        La confidentialité, c'est être sûr que le message arrive à un destinataire sans être intercepté. L'anonymat c'est s'assurer que personne ne saura qui a envoyé le message.
        Tor est un excellent outil pour protéger l'anonymat. Même la NSA disent avoir des difficultés à cerner les utilisateurs de Tor.
        Tor est très mauvais pour la confidentialité. Les informations qui passent par Tor doivent forcément sortir non chiffrées par le dernier noeud. Noeuds qui sont en grande partie gérés par des états (ben voyons !). Cela devient acceptable lorsque HTTPS est utilisé de bout en bout.

        Je connais plusieurs personnes qui ont installé un noeud de sortie et ont regardé ce qui y passait: "C'est intéressant…"

        Donc oui utiliser Tor fait de son usager une cible potentielle, et pire, c'est plus facile à sniffer que l'internet classique. Il est totalement insensé d'utiliser Tor pour transmettre ses données personnelles (au hasard, se connecter sur facebook…)

        • [^] # Re: La crypto

          Posté par (page perso) . Évalué à 10.

          Je connais plusieurs personnes qui ont installé un noeud de sortie et ont regardé ce qui y passait: "C'est intéressant…"

          Sans explications, ça fait plus phrase à sensation qu'autre chose.

        • [^] # Re: La crypto

          Posté par . Évalué à 2.

          Il faut faire attention de ne pas confondre "confidentialité" et "anonymat".

          Merci. J'ai appris quelque chose.

          Je connais plusieurs personnes qui ont installé un noeud de sortie et ont regardé ce qui y passait: "C'est intéressant…"

          Une expérience drolatique de Chema Alonso à ce sujet lors d'une DefCon (mais sur des proxy "web", pas Tor):

          https://www.youtube.com/watch?v=kLt_uqSCEUA

          • [^] # Commentaire supprimé

            Posté par . Évalué à -10.

            Ce commentaire a été supprimé par l'équipe de modération.

            • [^] # Re: La crypto

              Posté par . Évalué à 5.

              le Nigérien qui habite le Niger, n'habite pas le Nigeria où vivent les Nigérians …
              Deux pays frontaliers très différents … sur beaucoup de plan …

  • # Sans effet de masse, peut-être pire...

    Posté par . Évalué à 9.

    Je me demande si avoir recours à des serveurs perso avec chiffrage des données et chiffrage des communications systématique ne va pas justement attirer d'autant plus l'attention des "systèmes" de la NSA.

    Je veux dire: qui d'autre qu'un nazipédoterroriste voudrait cacher autant de choses à l'heure où le commun des mortels te montre photo à l'appui ce qu'il mangé ce midi sur FB?

    Du coup le seul moyen pour que ce soit efficace, c'est que vraiment beaucoup de monde s'y mette.

    A côté de ça, question toute con: quel routeur acheter pour être sûr de ne pas ouvrir grand les portes sur le réseau domestique?
    (si vous me répondez Huawei parce que tous les autres sont troués par la NSA, je vous rappellerai que Huawei a des liens historiques et encore très étroits avec l'armée chinoise, je ne sais pas si c'est tellement mieux que la NSA…)

    • [^] # Re: Sans effet de masse, peut-être pire...

      Posté par . Évalué à 10.

      si vous me répondez Huawei parce que tous les autres sont troués par la NSA, je vous rappellerai que Huawei a des liens historiques et encore très étroits avec l'armée chinoise, je ne sais pas si c'est tellement mieux que la NSA…

      Choisis ton camp camarade !

    • [^] # Re: Sans effet de masse, peut-être pire...

      Posté par (page perso) . Évalué à 6.

      citation Je veux dire: qui d'autre qu'un nazipédoterroriste voudrait cacher autant de choses à l'heure où le commun des mortels te montre photo à l'appui ce qu'il mangé ce midi sur FB?

      Toi aussi, tu n'as rien à cacher ?

      • [^] # Re: Sans effet de masse, peut-être pire...

        Posté par . Évalué à 7.

        Pour être sûr que ce soit clair: je ne remets pas en cause le concept et la nécessité de la vie privée (quoi qu'on pourrait en débattre: la vie privée telle qu'on l'a voit aujourd'hui n'a pas toujours existé, mais passons).

        Ce que je veux dire, c'est que tu vas faire tout ça pour que la NSA ne sache pas tout sur toi (ce qui est un peu utopique: ils apprendront presque tout via tes relations, comme FB, Google, etc.). Mais en pratique, si tu fais clignoter un tas de voyants rouges chez eux "cherche à cacher quelque chose", tu vas en fait les faire focaliser sur ton cas particulier. Du coup ils vont peut-être mettre plus de moyens sur toi et te mettre à poil encore plus violemment.

        Et je dis que ça, ça ne peut s'arrêter que si une masse critique d'internautes adopte les mêmes pratiques, soit parce que ça finira par accaparer trop de ressources, soit parce que quand tout le monde est déclaré suspect, le mot suspect ne veut plus rien dire (bon, apparemment, pour la 2ème, ça ne semble pas les déranger le moins du monde…)

        • [^] # Re: Sans effet de masse, peut-être pire...

          Posté par (page perso) . Évalué à 10.

          Ce que je veux dire, c'est que tu vas faire tout ça pour que la NSA ne sache pas tout sur toi (ce qui est un peu utopique: ils apprendront presque tout via tes relations, comme FB, Google, etc.). Mais en pratique, si tu fais clignoter un tas de voyants rouges chez eux "cherche à cacher quelque chose", tu vas en fait les faire focaliser sur ton cas particulier. Du coup ils vont peut-être mettre plus de moyens sur toi et te mettre à poil encore plus violemment.

          Tant mieux, le temps qu’ils passent à essayer de déchiffrer mes mails dans lesquels je discute météo avec mon petit frère, c’est autant de ressources en moins pour pourchasser Snowden et consorts.
          Je chiffre sans discernement données sensibles et triviales, justement dans le but de les noyer d’informations sans intérêt pour eux qui feront écran de fumée devant les informations vraiment sensibles.

          Bien sûr ça ne sera efficace que lorsqu’on sera assez nombreux à le faire, mais il faut bien que certains commencent si on veut que les autres suivent.

          • [^] # Re: Sans effet de masse, peut-être pire...

            Posté par . Évalué à 5.

            Pour l'instant, tu t'en fiches, parce que pour de vrai, tu n'as rien à cacher?

            Si tu lis les articles, tu vois que pas mal de monde peut se voir interdit d'entrée aux États-Unis un peu arbitrairement.

            Est-ce que tu seras toujours aussi enthousiaste s'ils décident un jour que les gens qui chiffrent un peu trop doivent rejoindre la liste des indésirables?
            Je ne sais pas pour toi, mais moi je bosse pour une boite américaine, et ce serait extrêmement dommageable pour moi.

            Protéger ses données et sa vie privée, c'est une chose. Mais il faut une solution politique forte également.

            Le problème, c'est que pour l'instant: le peuple pour la majorité s'en cogne, et nos politiques ne sont les plus couillus qu'on puisse souhaiter. (J'aimerais bien voir De Gaulle confronté au même problème, histoire de voir s'il se serait contenté d'un "c'est pas bien!", lui…)

            • [^] # Re: Sans effet de masse, peut-être pire...

              Posté par . Évalué à 2.

              De Gaulle, il a été emmerdé comme les autres quand les colonies comme l'Algérie d'où la France devait tirer une bonne partie de son pétrole à l'époque ont voulus leur indépendance. C'est pas dit qu'aujourd'hui il s'en sortirait mieux que les autres.

              • [^] # Re: Sans effet de masse, peut-être pire...

                Posté par . Évalué à 0.

                C'est pas dit qu'aujourd'hui il s'en sortirait mieux que les autres.

                Je ne pense pas qu'il serait opposé à la surveillance car c'est pour lutter contre le terrorisme (officiellement).

                Je le vois plus actif du côté des "délocalisations".

            • [^] # Re: Sans effet de masse, peut-être pire...

              Posté par (page perso) . Évalué à 6.

              Pour l'instant, tu t'en fiches, parce que pour de vrai, tu n'as rien à cacher?

              En fait je ne raisonne pas comme ça : plutôt que de lister ce que j’ai à cacher, je tiens une liste de ce que je suis prêt à révéler publiquement.
              Tout le reste, par défaut, je le considère comme "à cacher".

              Par exemple ma couleur préférée : ce ne sera clairement pas une catastrophe si elle est révélée au grand jour, mais comme je n’ai rien à gagner à ce qu’elle soit connue de tous je la cache au même titre que mes identifiants bancaires.

              Pour ce qui est de l’entrée sur le territoire des USA, je remplis déjà bien d’autres critères de leur liste d’indésirables, je ne suis donc plus à ça près ;)


              Pas compris par contre ta référence à De Gaulle, je ne vois pas bien ce qu’il a pu dire/écrire de pertinent sur le chiffrage de données sensibles ou personnelles…

              • [^] # Re: Sans effet de masse, peut-être pire...

                Posté par . Évalué à 3. Dernière modification le 09/08/14 à 09:51.

                Je soupconne que la référence à de Gaulle c'est qu'il avait des couilles et pas que pour sauter des actrices.

                • [^] # Re: Sans effet de masse, peut-être pire...

                  Posté par (page perso) . Évalué à -1.

                  Tu confirmes donc que c’est totalement hors-sujet ?

                • [^] # Re: Sans effet de masse, peut-être pire...

                  Posté par . Évalué à 6.

                  Personnellement, je pense que le cerveau est un organe plus important pour gouverner efficacement que les testicules (qui n'ont pas des propriétés fonctionnelles très impressionnantes), mais chacun son opinion.

                  • [^] # Re: Sans effet de masse, peut-être pire...

                    Posté par . Évalué à 4.

                    Les testicules ont une propriété qui fait défaut à beaucoup de cerveaux, c'est leur constance à faire ce qu'il faut, indépendamment du reste.

                    Les principes ont trop souvent tendances à plié sous les stratégies, les conjonctures, les humeurs, la peur… Les testicules, ça s'en bat les couilles de tout le reste ! C'est pour ça que c'est bien d'en avoir (je parle aussi pour les filles).

                    Please do not feed the trolls

                  • [^] # Commentaire supprimé

                    Posté par . Évalué à -10.

                    Ce commentaire a été supprimé par l'équipe de modération.

        • [^] # Commentaire supprimé

          Posté par . Évalué à -2.

          Ce commentaire a été supprimé par l'équipe de modération.

          • [^] # Re: Sans effet de masse, peut-être pire...

            Posté par (page perso) . Évalué à 4.

            tu t'avances un peu là… la vie privée ne dépends pas seulement des moyens techniques qui la protége/produise mais aussi (surtout) du contexte culturel.

            Je peux t'assurer que le serf médiéval ou le citoyen Grec (antique), vivant dans un monde ou le concept même de subjectivité n'existe pas, n'a pas de vie privée, et ne peut même pas se représenter ce que tu veux dire par là.

            \Ö<

          • [^] # Re: Sans effet de masse, peut-être pire...

            Posté par . Évalué à 5.

            Pour casser un peu le mythe:
            -Jusqu'à quelques siècles, presque tout le monde vivait dans des petites agglomérations où "tout le monde connaît tout le monde".
            -L'isolation sonore est un trait très récent des nos habitations
            -Quand un étranger arrivait quelque part, personne ne savait rien sur lui, et ça dure au moins une semaine, parce que vu que tout le monde sait déjà tout sur tout le monde, il devient automatiquement l'objet des curiosités les plus indiscrètes

            Donc non, personne ne regardait ce que tu faisais à la maison, mais tout le monde le savait en pratique.
            Note que c'était alors bien plus drôle, puisque tu n'avais aucun moyen de communiquer avec quiconque qui ne soit pas dans ta maison sans exposer royalement ta conversation (soit en parlant dehors, soit en allant dicter ta lettre à tantine au scribe du coin, devant tous les gens qui attendent leur tour)

            • [^] # Commentaire supprimé

              Posté par . Évalué à -6.

              Ce commentaire a été supprimé par l'équipe de modération.

              • [^] # Re: Sans effet de masse, peut-être pire...

                Posté par (page perso) . Évalué à 1.

                Agglo quoi ? Dans le passse, tu vivais a la ferme.

                Tu parles du Moyen-Âge là ?
                Ça fait quand même un moment que nos pays sont bourrées d’industries, dont la matière première a toujours été l’ouvrier. Et celui-ci n’a pas franchement le temps de tenir une ferme…

                • [^] # Re: Sans effet de masse, peut-être pire...

                  Posté par . Évalué à -1.

                  Parce qu'il est impossible d'habiter une ferme sans passer 17h par jour à s'en occuper. Et parce qu'il est impossible de faire 5km à vélo pour aller bosser.

                  Please do not feed the trolls

            • [^] # Re: Sans effet de masse, peut-être pire...

              Posté par . Évalué à 6.

              Donc non, personne ne regardait ce que tu faisais à la maison, mais tout le monde le savait en pratique.

              C'est toujours comme ça à la campagne (dans les coins que je connais).

  • # Liens cassés?

    Posté par . Évalué à 2.

    Tout est dans le titre, ni libwalk ni nsa-observer ne fonctionnent chez moi (timeout dans les 2 cas) :-/

    • [^] # Re: Liens cassés?

      Posté par (page perso) . Évalué à 2.

      Les forces du mal sont promptes à réagir!
      Nous voici tous tagués pour lire une si subversive information… :-)
      Ces sites sont offline de chez moi, Numericable, Var.

      Chiffrer et protéger ses données et communications, c'est en fait déjà révolutionnaire…
      À quand la garde à vue pour l'utilisation de PGP ou de systèmes non connectés?

    • [^] # Re: Liens cassés?

      Posté par (page perso) . Évalué à 0.

      Apparemment surcharge temporaire, ça refonctionne ! Chose marrante ça n'aboutissait pas quand j'ai lu la news, j'ai installé Tor et paf ça marchait en passant par Tor, mais ça fonctionne aussi sans maintenant, simple coïncidence ?? ;)

  • # Sérieusement?

    Posté par . Évalué à 1.

    La cryptographie fonctionne !

    Mort de rire.. Tu ose écrire ça après toute une série de vulnérabilité dans les implémentations??

    Pour ce qui est de prendre en compte sérieusement la sécurité, quand est-ce qu'on porte tout du C/C++ vers ATS ou Ada (ou Rust quand il sera mur)?

    • [^] # Re: Sérieusement?

      Posté par . Évalué à 0.

      Pour ce qui est de prendre en compte sérieusement la sécurité, quand est-ce qu'on porte tout du C/C++ vers ATS ou Ada (ou Rust quand il sera mur)?

      Tu penses à "heartbleed" ?

      • [^] # Re: Sérieusement?

        Posté par . Évalué à 2.

        Heartbleed et beaucoup, beaucoup d'autre failles.. Le C ou le C++ d'un point de vue sécurité..

        • [^] # Re: Sérieusement?

          Posté par . Évalué à 2.

          Le C ou le C++ d'un point de vue sécurité..

          On pourrait écrire les algorithmes de cryptographie dans un pseudo-code qui se compilerait dans différent langages.

          Il existe un projet de ce type mais, malheureusement, je ne retrouve pas le lien.

  • # grande question

    Posté par . Évalué à 10.

    Suite à ces révélations, comment se fait-il qu'on autorise encore les google cars en France, ou que le cloud CNRS soit géré par Microsoft ??

    Il me semble que la moindre des choses serait de virer tout ces malpropre de chez nous et de construire une indépendance virtuelle… Ça serait vraiment la moindre des choses quand même !

    Mais visiblement aujourd'hui le Général de Gaulle n'a plus de follower… ;-((

    • [^] # Re: grande question

      Posté par . Évalué à 3.

      Suite à ces révélations, comment se fait-il qu'on autorise encore les google cars en France, ou que le cloud CNRS soit géré par Microsoft ??

      Je ne vois pas le rapport entre les 2..
      Pour Microsoft OK c'est aberrant, pour les voitures Google que font-elle d'illégal?

      • [^] # Re: grande question

        Posté par . Évalué à 10.

        Pour les Google car, je rebondissait sur l'article :

        VICTORY DANCE
        Il s'agit d'une coopération entre la CIA et la NSA au Yémen. Ils ont listé les empreintes wifi de presque > toutes les grandes villes yéménites via des drones (si vous ne voyez pas à quoi ça peut servir, cf. XKEYSCORE).
        Je vous laisse vous rappeler ce que les Google Cars ont fait pendant un bon moment dans le reste du monde > et ce que ça a pu devenir depuis…

        Stratégiquement, je pense qu'on devrait vraiment réfléchir à l'impact que peut avoir par exemple Google Street View. Est-ce simplement un service très appréciable, ou bien ça participe à l'espionnage massif du monde par l'Empire ? Je n'ai pas la réponse, mais j'aurais aimé que nos gouvernements se posent ouvertement la question. Apparemment l'idée n'effleure même pas leurs neurones, c'est bien dommage.

        • [^] # Re: grande question

          Posté par . Évalué à 3.

          Bof, des affaires comme celle de l'article Wikipédia sur la base secrète française floutée sur les photos satellites mais sur laquelle on peut trouver des informations sur le Net montrent que c'est de toute façon très difficile de contrôler les informations une fois qu'elles existent.

          Pour le coup la rue est un espace public et la prendre en photo n'est pas vraiment une infraction. Agir contre Street View, ce serait dans quel but et sous quel angle d'attaque ? Pour le coup trouver un angle d'attaque pour cibler Google et pas la touriste de passage qui prend une photo dans la rue, ce qui serait une bonne vieille menace sur les libertés individuelles quand même, c'est pas évident.

          Surtout si tu mets en rapport avec le gain en praticité que monsieur tout le monde peut avoir en jetant un œil sur StreetView avant d'aller quelque part. Tu me diras, ça peut être utilisé pour préparer une attaque terroriste aussi. Mais pour un cas comme ça, c'est peut être plus malin d'envoyer quelqu'un sur place.

          • [^] # Re: grande question

            Posté par . Évalué à 6.

            Tu me diras, ça peut être utilisé pour préparer une attaque terroriste aussi.

            On serait aussi obligé de surveiller la vente de cocottes-minute.

      • [^] # Re: grande question

        Posté par . Évalué à 0.

        Google car… Espionnage des bornes wifi…

    • [^] # Re: grande question

      Posté par . Évalué à 7.

      "Virer tous ces malpropres", ce serait aux politiques de le faire. Et, comme tu le sais… enfin bon. Perso, ce que je pense, c'est que c'est à nous de prendre notre indépendance virtuelle. On ne nous la donnera pas. On ne doit pas l'attendre, elle ne viendra pas sans qu'on la prenne tous seuls, comme des grands.

      • [^] # Re: grande question

        Posté par . Évalué à 10.

        Là tu parles des particuliers.
        Mais permets-moi de douter de la portée de ta voix au CNRS…

        Effectivement, en tenant compte de toutes ces dérives, on aurait dû voir un programme musclé pour gicler les boites américaines qui contrôlent les données sensibles à tous les niveaux.

        Même si le programme n'aboutit pas, ça fera peut-être réagir un peu plus les politiques américains.

        Parce que là, tout le monde dit que c'est pas bien, ce que fait la NSA, mais du côté des actions entreprises pour que les mauvaises pratiques cessent, concrètement, il n'y a… rien!
        Dis à MS et Google qu'en raison des risques d'espionnage, ils sont maintenant interdits de candidature à tout appel d'offre public, et crois-moi le lobbying sera autrement plus actif!

        • [^] # Re: grande question

          Posté par . Évalué à 3.

          À mon avis la responsabilité est partagée. Effectivement, les politiques ont beaucoup de responsabilité (c'est ce qu'ils cherchent non ?), donc ils ont du boulot.

          Mais chacun peut à son niveau améliorer la situation: Le webmaster peut éviter d'utiliser à tour de bras les API Google/Facebook ou autre par ex. Cette réflexion sur l'indépendance peut aussi faire partie des arguments pour une migration MS Office -> libreoffice, etc.

          Par exemple, beaucoup de labo CNRS ont une marge de manœuvre pour préférer libreoffice/linux au lieu de l'écosystème Microsoft. De même, il ne sont pas obligé d'utiliser à tour de bras les API Google…

        • [^] # Re: grande question

          Posté par (page perso) . Évalué à 3.

          Effectivement, en tenant compte de toutes ces dérives, on aurait dû voir un programme musclé pour gicler les boites américaines qui contrôlent les données sensibles à tous les niveaux.

          C'était pas le but du cloud souverain justement ?

          Même si le programme n'aboutit pas, ça fera peut-être réagir un peu plus les politiques américains.

          Quand on voit à quoi Andromède a aboutit, on peut constater que ça ne fait pas du tout réagir les politiques américains.
          150 millions d'euros investit par l'État, un capital de de 450 millions pour les 2 consortium, un projet annoncé dès 2010, débuté en 2012 pour arriver en 2014 à proposer des machines virtuelles ?

          Ensuite, j'imagine bien comment mettre mes données chez Orange, Bull et Thales va me protéger d'un État un peu indiscret …

          • [^] # Re: grande question

            Posté par . Évalué à -1.

            D'après ce que j'ai compris, c'est juste un datacenter en France basé sur OpenStack.

            Je ne vois pas l'intérêt d'un tel projet.

          • [^] # Re: grande question

            Posté par . Évalué à 7.

            Ensuite, j'imagine bien comment mettre mes données chez Orange, Bull et Thales va me protéger d'un État un peu indiscret …

            Ce n'est pas ce qu'on leur demande : on leur demande d'être sous la loi française, car le droit français, je posssède un pouvoir dessus à travers mon droit de vote…
            Le droit américain, je n'ai aucun pouvoir ou droit dessus, et il est prévu dans leur loi qu'il doivent ouvir leur données à leur état.

        • [^] # Re: grande question

          Posté par . Évalué à 1.

          Mais permets-moi de douter de la portée de ta voix au CNRS…

          D'un autre coté, ont-ils de vrais utilisateurs en dehors de quelques pôles administratifs ?

          Parce que vu de l'autre coté de la lorgnette, ce truc c'est un beau vaporware dont les utilisateurs potentiels en ignorent jusqu’à l’existence.

        • [^] # Re: grande question

          Posté par . Évalué à 2.

          on aurait dû voir un programme musclé pour gicler les boites américaines […]

          Ben justement: on aurait dû.

          Raison pour laquelle on n'est jamais si bien servi que par soi-même. En théorie, c'est vrai, on devrait voir les politiques s'en charger. Mais 1) ils ne comprennent rien à la technologie, 2) le lobbying aidant… bref, c'est pas demain la veille.

          Donc oui:

          Là tu parles des particuliers.

          car ce n'est que de ce côté-là qu'on a une chance de voir les choses bouger. Comment? En arrêtant de mettre ses données personnelles n'importe où et en se prenant en charge soi-même le plus possible.

          • [^] # Re: grande question

            Posté par . Évalué à 6.

            En arrêtant de mettre ses données personnelles n'importe où et en se prenant en charge soi-même le plus possible.

            En le disant aux autres aussi. Les occasions sont nombreuses.

          • [^] # Commentaire supprimé

            Posté par . Évalué à -9.

            Ce commentaire a été supprimé par l'équipe de modération.

      • [^] # Re: grande question

        Posté par . Évalué à 1.

        Perso, ce que je pense, c'est que c'est à nous de prendre notre indépendance virtuelle.

        J'aimerais bien me passer de Google (search). Je n'ai pas encore trouvé d'alternative efficace.

        • [^] # Re: grande question

          Posté par . Évalué à 3.

          J'utilise DuckDuckGo. Même si ce n'est pas libre, c'est une autre option que Google. Ça ne me rend pas encore heureux mais j'ai au moins la satisfaction (l'espoir?) que mes recherches ne tombent pas sur une machine appartenant à type qui prétend que si on veut une vie privée, c'est qu'on a quelque chose à cacher.

          • [^] # Re: grande question

            Posté par . Évalué à 1.

            Il y a Yacy. En P2P.

            http://yacy.net/fr/

            De temps en temps, je regarde l'évolution.

            • [^] # Re: grande question

              Posté par . Évalué à -1.

              Ca me fait bien marrer. Mes logs m'indique que 99% des url contiennent in mot du genre "porn" :/

          • [^] # Re: grande question

            Posté par . Évalué à 1.

            Que le code soit libre ou pas n'a aucune importance dans le cas d'un service web puisque, même si le code est annoncé libre, tu n'as aucun moyen de vérifier que le binaire utilisé correspond réellement au code source que tu as pu consulter. C'est juste une affaire de confiance.

        • [^] # Re: grande question

          Posté par (page perso) . Évalué à 0.

          Je suis personnellement plutôt satisfait de ixquick.com

  • # liens + crypto

    Posté par (page perso) . Évalué à 5.

    Hello,

    NSA-observer et libwalk.so sont revenus, on a eu un problème réseau ce matin :)

    Pour la crypto : OUI, ça marche, mais c'est souvent l'implémentation qui est cassée, comme on a pu le voir dernièrement.

  • # La citation d'Einstein

    Posté par . Évalué à 4.

    « Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire. »

    Heu… Un sophisme assez grossier, ça m'étonne de la part d'un homme qui a oublié d'être con.

    D'où est extraite la citation ?

    Faut dire qu'Einstein, Roosevelt, et Jefferson sont les auteurs de la moitié des citations qu'on trouve sur le net, c'est suspect !

    Please do not feed the trolls

    • [^] # Re: La citation d'Einstein

      Posté par . Évalué à 5.

      Ça fait quand-même plus sérieux que:

      « Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire. » — heu… je sais plus qui.

      Non?

      -->[]

    • [^] # Re: La citation d'Einstein

      Posté par . Évalué à 10.

      Ah, les citations d'Einstein… Sur Facebook, on découvre que cet homme avait un avis sur tout. L'argument d'autorité ultime, et la plupart du temps complètement inventé.

      D'ailleurs, "Le problème avec les citations sur Internet, c'est qu'il est difficile de déterminer si elles sont authentiques ou non"
      (Abraham Lincoln)

      • [^] # Re: La citation d'Einstein

        Posté par . Évalué à 3. Dernière modification le 03/08/14 à 21:53.

        Le problème avec les citations tout court, c'est qu'on invoque le nom de <Dieu | le Prophète | la dernière idole intellectuelle à la mode | …> pour justifier son raisonnement non par sa justesse mais par la sanction d'un être réputé ne jamais se tromper ("… encore que pour Dieu, je n'en sois pas très sûr", A. Einstein)

        Le plagiat est nécessaire. Le progrès l’implique. Il serre de près la phrase d’un auteur, se sert de ses expressions, efface une idée fausse, la remplace par l’idée juste (… et si Lautréamont l'a dit, c'est que ça doit être vrai ;-))

      • [^] # Re: La citation d'Einstein

        Posté par . Évalué à 8.

        "La faculté de citer est un substitut commode à l'intelligence."(Maugham)

    • [^] # Re: La citation d'Einstein

      Posté par . Évalué à 1.

      Tu as raison, ça ne casse pas des briques.

      En plus, c'est culpabilisateur. C'est pas trop le genre de Einstein.

    • [^] # Re: La citation d'Einstein

      Posté par . Évalué à 0.

      Salut. Faudrait voir les sources utilisées par ce site mais cela confirmerait l'attribution à Einstein: maphilo.net

  • # Droits de l'homme

    Posté par . Évalué à 8.

    Leur activité systématique n'est pas autorisée par l'ONU au regard des droits de l'homme:

    Article 12

    Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes.

    http://www.un.org/fr/documents/udhr/

    Ils ont droit de le faire ponctuellement pour des raisons de "sécurité" mais pas de façon "arbitraire" donc automatiquement.

    • [^] # Re: Droits de l'homme

      Posté par (page perso) . Évalué à 3.

      Oh bah tiens, ça va être l'intro de mon prochain article, merci :]

      • [^] # Re: Droits de l'homme

        Posté par . Évalué à 3.

        J'ai bien apprécié la conférence "Je n'ai rien à cacher". Je crois que c'est toi qui l'a faite.

        La conférence montre bien que, quoiqu'on pense, on est au minimum "suspectable" voire "suspecté".

        On parle rarement de l'ambivalence de l'état dans ces histoires. Par exemple la fondation de Jacob Appelbaum est largement financée par la NSF.

        En France, LQDN reçoit des aides de OpenSociety (la fondation de Soros).

        Les deux ne s'en cachent pas. Tout est bien visible sur leur site.

        A ma connaissance WikiLeaks ne reçoit que des dons privés et anonymes.

        • [^] # Re: Droits de l'homme

          Posté par . Évalué à 1. Dernière modification le 10/08/14 à 10:33.

          En France, LQDN reçoit des aides de OpenSociety (la fondation de Soros).

          42% du budget annuel de LQDN quand même, mazette ! Mon conspiracimètre vient d'exploser !

  • # Titre de l'article

    Posté par . Évalué à 0.

    Juste un mot pour dire que le titre est le même qu'un article de "reflets" paru le 30 juillet.
    Lien vers l'article sur le site de reflets

    Aucune importance en soi, sauf si l'article de linuxfr est postérieur à celui de reflets. dans ce cas, un petit mot s'impose je pense.

    • [^] # Re: Titre de l'article

      Posté par . Évalué à 3.

      J'ai bien l'impression qu'il s'agit du même article, et les deux auteurs ont le même pseudo… Aucune importance en soi si c'est le même auteur qui le fait de lui même, au contraire, autant qu'il soit lisible par le plus possible de gens. Par contre une petite note éviterait ces deux commentaires :)

  • # Téléphones mobiles

    Posté par . Évalué à -2.

    Il ne faut pas sous-estimer le pouvoir de nuisance des téléphones mobiles, périphériques que l'on traîne partout avec nous – jusque dans les endroits les plus intimes – et dont pourtant il est très facile d'activer microphone, caméra et gps à distance à notre insu, voire à accéder et altérer leur contenu, ce qui a d'ailleurs déjà été fait à plusieurs reprises depuis des années (d'après les articles où le FBI évoquait déjà ouvertement l'exploitation de telles techniques).

    D'ailleurs, à partir d'un certain niveau hiérarchique ou d'accréditation, dans certaines entreprises ou administrations « stratégiques », il est demandé de retirer carte SIM et batterie des téléphones mobiles, voire de les laisser en dépôt à l'accueil dans un coffre, et ce même lorsque l'on intervient en tant que prestataire externe (parce qu'apparemment, ces écoutes/localisations peuvent être effectuées même téléphone éteint).

    http://www.neowin.net/news/the-fbi-uses-the-microphone-and-camera-on-phones-to-spy-on-people
    http://www.washingtonsblog.com/2013/06/the-single-most-important-step-to-protect-yourself-from-government-spying.html
    http://abcnews.go.com/blogs/headlines/2006/12/can_you_hear_me/

    • [^] # Re: Téléphones mobiles

      Posté par (page perso) . Évalué à 0.

      Si l'on va en ce sens, le téléphone as un identifiant propre, l'IMEI et la carte sim ne sert finalement qu'a authentifier le tel sur le bon réseau opérateur après sa connexion à la cellule. Donc enlever la SIM pour contrer les surdoué de la NSA : Sert à rien.

      Enlever la batterie n'existait pas impérativement toute l'énergie du téléphone, d'autant plus si il est prévu pour (Batterie secondaire alimentant des composants de base…) : Plus utile, mais pas contre les attaques ciblées.

      Il ne reste plus que cette bonne vielle masse.

      Soit on est parano prudent, soit on l'est pas.

      • [^] # Re: Téléphones mobiles

        Posté par (page perso) . Évalué à 4.

        Il ne reste plus que cette bonne vielle masse.

        Le papier alu, pour emballer le téléphone.

        • [^] # Re: Téléphones mobiles

          Posté par . Évalué à 7.

          Le papier alu, pour emballer le téléphone.

          il paraît que la NSA entraîne des marmottes pour récupérer les infos les plus intéressantes durant leur emballage de téléphone…

  • # Confiance dans la technologie ? ou dans ceux qui la payent ?

    Posté par (page perso) . Évalué à 6.

    Le gros problème est politique : c'est qu'on se trouve en permanence à être en guerre plus ou moins larvée contre… nos propres gouvernements. Le gouvernement français (mais c'est valable pour tous les autres) est beaucoup moins l'adversaire des autres gouvernements que de son propre troupeau.

    Si vous tentez de vous battre contre votre gouvernement (ou celui des USA, qui peut le mettre à l'amende quand et comme il le veut - dans la réalité, c'est un poil plus compliqué, je sais) hé ben… bon courage ! On oubliera pas votre sacrifice !

    Il n'existe aucun moyen d'avoir la paix sans un réel combat politique. Les gouvernements sont nos ennemis (globalement) ? : il faut en tirer les conclusions. Tenez compte du fait que, quoi que vous fassiez, vous financez les armes qu'ils utilisent pour vous combattre : ironique, n'est-ce pas ?

    Je vais faire un tableau noir de la situation, mais le combat politique lui-même est très surveillé, en France pour ce que je connais, raison pour laquelle il faut être très prudent et que seuls les imbéciles tentent des coups de force.

    Désespéré ? C'est le prix de la lucidité. Allez, une bonne après-midi devant la télé devrait vous rendre la bonne humeur (ordonnance à renouveler tant que vous ne constatez pas d'amélioration…)

    • [^] # Re: Confiance dans la technologie ? ou dans ceux qui la payent ?

      Posté par . Évalué à -7.

      Hors sujet complet, mais ton patronyme ne m'est pas inconnu, aussi, afin de m'assurer que tu n'es pas un homonyme, aurais-tu eu un frère (mon ami à l'époque) dont le prénom commence par B (il me semble), et aurais-tu vécu quelques années (un paquet désormais) dans la Corne de l'Afrique ? :-P

      • [^] # Re: Confiance dans la technologie ? ou dans ceux qui la payent ?

        Posté par (page perso) . Évalué à 1.

        Ce doit être un homonyme. Je pars rarement à plus de 200 kilomètres de chez moi :)

      • [^] # Re: Confiance dans la technologie ? ou dans ceux qui la payent ?

        Posté par . Évalué à 2.

        aurais-tu eu un frère (mon ami à l'époque) dont le prénom commence par B (il me semble) … ?

        Hey bin, il y a du progrès à faire en ingénierie sociale. Concernant mes potes, je ne connais pas forcément leur nom mais au moins leur prénom. La parenthèse est clairement de trop. Quand il y a un doute sur une info, mieux vaut ne pas le faire apparaître soit en affirmant que son prénom commence pas B soit en ne disant rien.

        Heureusement, le hack d'un routeur est une science moins subtile une fois les outils et méthodes connues.

        • [^] # Re: Confiance dans la technologie ? ou dans ceux qui la payent ?

          Posté par . Évalué à -5. Dernière modification le 23/08/14 à 15:42.

          On en reparlera quand tu pourras affirmer – et prouver – avoir voyagé à travers le monde entier, et être en mesure de te souvenir de tous les prénoms des amis que tu auras pu te faire ponctuellement dans de nombreux pays, et ce plus de 25 ans après le dernier contact.

          Personnellement, je me souviens du prénom et du nom d'amis que j'avais jusqu'à avant mes 4 ans, alors que je ne les ai plus revus depuis. Il s'avère cependant que dans le lot, il y en a quelques uns pour lesquels il m'arrive d'avoir un doute, notamment parce que je n'écarte pas la possibilité d'avoir mélangé leur prénom avec d'autres amis au nom proche avec le temps.

          Mais surtout, quand bien même aurais-je pu être certain de la chose, d'un simple point de vue respect, il ne me semblait pas judicieux de donner trop d'infos personnelles, afin de ne justement pas en dévoiler trop sur la personne à qui je posais la question, qui en répondant aurait pu permettre de faciles recoupements permettant une atteinte à sa vie privée, en particulier lorsque l'on tient compte du sujet de l'article.

          Maintenir un certain flou, c'est aussi une manière de masquer une information que l'on ne peut dévoiler qu'en public alors qu'on ne l'adresse qu'à certaines personnes en particulier. Mais il semblerait que ce genre de feinte soit hors de portée qu'un esprit aussi infaillible que le tien…

          • [^] # Re: Confiance dans la technologie ? ou dans ceux qui la payent ?

            Posté par . Évalué à -1.

            avoir voyagé à travers le monde entier, et être en mesure de te souvenir de tous les prénoms des amis que tu auras pu te faire ponctuellement dans de nombreux pays, et ce plus de 25 ans après le dernier contact.

            Je n'appelle pas ça des amis ; mais bon, à une époque ou un ami se fait en un clic, chacun son vocabulaire.

          • [^] # Re: Confiance dans la technologie ? ou dans ceux qui la payent ?

            Posté par . Évalué à 1.

            Bon, apparemment, NSA, ingénierie sociale et boutade ne font pas bon ménage.
            Je ne vais pas répondre point par point à ton message, j'en ai rien à battre.

  • # Un p'tit lien utile à ce sujet.

    Posté par (page perso) . Évalué à 1. Dernière modification le 21/08/14 à 02:12.

    Désolé je n'ai pas pris la peine de lire l'ensemble des 90 commentaires .. sans doute un doublon mais une bonne adresse pour trouver des "alternatives libres" à a peu prés tout les types de services :

    https://prism-break.org/fr/

    Sinon un truc simple c'est déjà de commencer par modifier ses DNS.

    • [^] # Re: Un p'tit lien utile à ce sujet.

      Posté par . Évalué à 2.

      Sinon un truc simple c'est déjà de commencer par modifier ses DNS.

      T'as raison, ça c'est vraiment trop cool… Et c'est tout con à faire !

      foo install bind9 && echo nameserver 127.0.0.1 > /etc/resolv.conf

      Please do not feed the trolls

      • [^] # Re: Un p'tit lien utile à ce sujet.

        Posté par (page perso) . Évalué à 1.

        OK …

        Ce que je sous entendais, c'est qu'il est un peu vain d'utiliser du https everywhere, de la connexion VPN and co si derrière les résolutions sont faîtes pas les DNS du FAI en auto sur la box, voir pire par du 8.8.8.8 … et j'en connais …

        Alors qu'ici : http://wiki.opennicproject.org/Tier2 il y a tout ce qu'il faut pour une base saine.

        Deux adresses à changer dans l'interface d'administration de la box FAI, de quoi s'occuper au moins une après midi …

        • [^] # Re: Un p'tit lien utile à ce sujet.

          Posté par (page perso) . Évalué à 3.

          Si tu fais du DNSSEC, il n'y a pas de raison qu'utiliser les DNS des autres soit un problème. Et si tu ne l'utilise pas, il y a tellement d'occasion de te faire empoisonner le cache que ça n'en vaut pas la peine.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Un p'tit lien utile à ce sujet.

            Posté par . Évalué à 2.

            Si tu fais du DNSSEC, il n'y a pas de raison qu'utiliser les DNS des autres soit un problème.

            Pour protéger sa vie privée ?

            Please do not feed the trolls

            • [^] # Re: Un p'tit lien utile à ce sujet.

              Posté par (page perso) . Évalué à 2.

              Dans tous les cas, les requêtes DNS passent en clair, si ton FAI veut savoir ce que tu regarde, il le peut.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

              • [^] # Re: Un p'tit lien utile à ce sujet.

                Posté par . Évalué à 2.

                Si mon voisin veut savoir comment est ma chambre, il peut, avec assez de temps et d'énergie. C'est pas pour ça que mes rideaux ne servent a rien.

                Please do not feed the trolls

                • [^] # Re: Un p'tit lien utile à ce sujet.

                  Posté par (page perso) . Évalué à 3. Dernière modification le 24/08/14 à 23:36.

                  Récupérer tout ce qui passe sur le 53 d'une IP particulière vers n'importe quel IP n'est pas différent que récupérer le 53 d'une IP particuière vers une autre IP particulière.

                  « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                  • [^] # Re: Un p'tit lien utile à ce sujet.

                    Posté par . Évalué à 2.

                    Si, puisque dans un cas le filtrage est fait par le routage « gratuitement », et dans l'autre, non.

                    Please do not feed the trolls

      • [^] # Re: Un p'tit lien utile à ce sujet.

        Posté par (page perso) . Évalué à 1.

        Sinon il existe unbound (j'ai jamais réussi à utiliser et configurer bind9).

        Et pour savoir si ça fonctionne :
        http://dnssectest.sidnlabs.nl/test.php

        La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas sentis la différence.

  • # Encore un petit pour la route : HACIENDA

    Posté par (page perso) . Évalué à 5.

    « GNU hackers discover HACIENDA government surveillance and give us a way to fight back »
    (un programme de cartographie massive du réseau, et bien plus encore. Et la présentation de TCP Stealth comme une protection possible)
    https://fsf.org/blogs/community/gnu-hackers-discover-hacienda-government-surveillance-and-give-us-a-way-to-fight-back

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.