Voilà voilà...  une lanceuse d'alerte travaillant à la NSA s'est fait arrêter.
Comment elle s'est fait prendre ?
Elle a eu le malheur d'imprimer les documents avant de les scanner. Or depuis de nombreuses années, on sait que les imprimantes laser couleur ajoutent des points jaunes à peine visibles inscrivant la date et le numéro de série de l'appareil sur la feuille (Je vous en parlais en 2008: http://sebsauvage.net/rhaa/index.php?2008/10/24/12/23/41).
La NSA a donc pu identifier le "fautif".

EDIT: Voici une liste d'imprimante qui sont connues pour ne *pas* insérer ces petits points jaunes:
https://www.eff.org/pages/list-printers-which-do-or-do-not-display-tracking-dots
Liste vérifiée par l'EFF, donc de confiance. (Encore que !  Il n'est pas impossible que certains firmware aient été mise à jour par les fabricants... *soupir*)


EDIT: http://www.mypersonnaldata.eu/shaarli/?KiwqSg
Alors oui à propos de ça: N'utilisez que des logiciels libres pour éditer vos documents.
Vous n'êtes pas à l'abri d'un marquage caché par des logiciels propriétaires.
Je rappelle que des logiciels comme Photoshop possèdent du code interne qui vous interdira - par exemple - d'éditer l'image d'un billet de banque (Oui, des logiciels comme Photoshop possèdent des algorithmes pour reconnaître les billets de banque, ainsi que certaines photocopieuses haut de gamme qui vous sortiront une page noire.)


EDIT: Il existe également un marquage des billets de banque, mais uniquement destiné à empêcher leur reproduction : https://en.wikipedia.org/wiki/EURion_constellation

Si vous trouviez que Windows 10 était déjà un sale mouchard, rassurez-vous !
Après un an de collaboration avec la dictature chinoise, Microsoft vient de sortir une version de Windows 10 approuvée par le gouvernement. Avec "télémétrie" (aka mouchard) et système de mises à jour spécifiques et algos de chiffrement maison.
Mais soyez sans crainte ! Microsoft ce sont des gentils, même quand ils collectent vos clés de chiffrement BitLocker.

Ils vont essayer de "customiser" l'expérience utilisateur en exploitant vos données personnelle: position géographique (GPS dans l'application Twitter), sites visités (détectés grâce aux wigets sociaux sur les sites), etc.
Je vous conseille d'aller dans vos réglages Twitter et tout couper. Beuark.
https://www.ghacks.net/2017/05/18/time-to-check-your-twitter-settings/

En allant sur Twitter pour changer mes réglages, je tombe sur cette publicité: https://framapiaf.org/system/media_attachments/files/000/055/050/original/29e0f38baa1d7a31.jpg
*frisson de dégoût*
Je ferme cet onglet nauséabond et retourne vite sur Mastodon.

Je vous ressort un viel article juste pour rappel: Grâce à Snowden, on sait que Microsoft fournit au gouvernement américain les failles découvertes dans ses logiciels et attend jusqu'à un mois avant de les rendre publiques (et les corriger).
Cela permet à la NSA et autres d'exploiter ces failles pour leur propre intérêt.
Tout le monde pleure sur les failles #WannaCry récentes de Windows ?
Certes, certains auraient dû patcher, mais il ne faut pas trop se plaindre quand on choisit de travailler avec une société qui cache *volontairement* des failles de sécurité au profit d'un gouvernement.
Et encore, quand ils ne collaborent pas directement avec des dictatures pour faciliter l'écoute des citoyens (certificats en Tunisie, versions modifiés de Skype en Chine, etc.)
Je n'accorde plus aucune confiance à Microsoft.

EDIT: Lien supplémentaire: https://arstechnica.com/security/2013/06/nsa-gets-early-access-to-zero-day-data-from-microsoft-others/

Facebook n'a pas changé: Toujours présent pour vous exploiter.
Et ils ont de grands projets...

Je sais, je vous ai déjà parlé de Signal. Mais la nouvelle version qui vient de sortir est l'occasion de vous en reparler.

Signal, pour faire simple, ça fait quoi ?  Ça vous permet d'échanger à travers votre téléphone avec ceux qui ont aussi l'application:
 - des messages texte (comme les SMS).
 - des images, des contacts, des fichiers (tout ce que vous voulez)
 - de parler en audio (comme au téléphone)
 - de parler en vidéo (comme Skype !)

Le tout passant par internet (WiFi ou votre connexion data/edge/2g/3g/4g). Donc ça peut remplacer WhatsApp, HangOut, Skype et tout la clique.
La grosse, grosse différence est que c'est chiffré de bout en bout. Personne ne peut écouter vos échanges, pas même la société qui édite le logiciel (ce qui n'est *pas* le cas pour Telegram ou Skype ! ).

Et pas d'inquiétude: C'est super simple à utiliser: Installez et communiquez directement. C'EST TOUT. Signal s'occupe de tout sécuriser.

Défendez votre vie privée, protégez celle de vos proche: Utilisez Signal !



PS: La version version de Signal qui vient de paraître (4.5.3) permet désormais d'envoyer n'importe quel type de fichier à vos contacts.
Pour les impatients: https://framadrop.org/r/zQDoueFBaI#y8z2qmh50iBGI32AU/YUtp91bKIbOyiGN3MH4W7S8EI=  (md5 : e60320722a5443d27aa64310f717a4a9 )

PS: Vous pouvez installer Signal en dehors de GooglePlay: https://signal.org/android/apk/

PS: à partir du moment où vos échanges sont protégés avec un de vos contacts, vous verrez que le bouton d'envoi est bleu.
BLEU = envoi sécurisé (passe par internet (WiFi/Data/edge/2g/3g/4g)
GRIS = envoie non sécurisé (ceux qui n'ont pas l'application recevront des SMS normaux).
Si vous voulez envoyer un SMS normal (non chiffré) à un contact qui a aussi Signal, faite un appui long sur le bouton d'envoi et choisissez "SMS non sécurisé"


Attention petite note: Signal, par sécurité, utilise une base de données de messages séparée de celle du système (ce qui empêche les autres applications de fourrer leur nez dans vos SMS 👍 et permet optionnellement de protéger l'application par mot de passe).
Si vous dé-installez Signal, vous perdez les messages reçu sur Signal depuis son installation.
Avant de dé-installer Signal, pensez à exporter vos messages.

Haha ! C'est lamentable.
Unroll.me est un service web qui vous dé-inscrit automatiquement des publicités et listes de diffusion. Et pour cela il demande carrément l'accès à votre boîte mail.
Et cette société a été prise la main dans le sac en train de revendre les données qu'elle a collectées.  Vendu à des entreprises telles que Uber.

Toujours réfléchir à deux fois aux données auxquelles vous donnez accès quand vous trouver un nouveau service super cool ou super pratique.

Nope.

Les fournisseurs d'accès veulent collecter des données ?
Polluez-les !
Autorisez les popups pour ce site, cliquez le bouton "Make some noise" et il va charger des pages aléatoires (recherches Google et pages diverses (Amazon, etc.)).
Pensez aussi à cette extension qui clique sur des publicités: https://adnauseam.io/ (là, ça attaque directement le modèle économique de Google).

Savez-vous pourquoi il y a un isoloire dans les bureaux de vote ?  Afin que votre vote reste secret.

Si ce secret n'est pas possible, si votre vote peut être connu de tiers, vous pouvez potentiellement subir des pressions, même si vous n'avez rien à vous reprocher sur le choix que vous avez fait.  Et on considère alors que le vote ne peut être démocratique. Ce secret est une condition (nécessaire, pas suffisante) de la démocratie.

Cela vaut le coup de le redire: SANS SECRET, PAS DE DÉMOCRATIE.

D'une manière tout à fait similaire, les droits de l'homme stipulent que vous avez droit à une vie privée. L'existence de la vie privée est une condition nécessaire (mais pas suffisante) de la liberté.

Vous dites que vous n'en avez rien à cacher car vous n'avez rien à vous reprocher ? C'est une erreur.  Même si vous n'avez - au fond de vous-même - rien à vous reprocher, le simple fait que vous n'ayez plus de vie privée permet à des tiers de faire pression, d'une manière ou d'une autre, sur vous (soit en faisant directement pression sur vous ou votre entourage, soit en vous manipulant).

Et même au delà de ça, le simple fait que vous sachiez que vous êtes observé en totalité modifiera votre comportement et vous incitera naturellement à l'auto-censure. Vous n'êtes alors plus libre.

LE DROIT À LA VIE PRIVÉE EST TOUT AUSSI CRUCIAL À LA LIBERTÉ QUE LE SECRET DU VOTE L'EST À LA DÉMOCRATIE.

Les politiciens et entreprises qui oeuvrent contre la vie privée oeuvrent en réalité *contre* la liberté (et généralement pour le maintien ou l'augmentation de leurs pouvoirs et privilèges).

Je citerai encore Edward Snowden: « Dire que la vie privée n'est pas importante parce que vous n'avez rien à cacher revient à dire que la liberté d'expression n'est pas importante parce que vous n'avez rien à dire. »

Ok donc on apprend qu'en 2015 le ministère de la santé de Grande-Bretagne a passé un accord avec Google pour laisser l'IA de Google (DeepMind) mettre son nez dans les enregistrements médicaux de 1,5 millions de patients: Tests sanguins (y compris le status HIV), antécédents médicaux sur 5 ans, diagnostiques, utilisation de drogues, avortements...
Google a également passé des accords avec des cliniques pour accéder à des millions de scanners de cancers et des scans de rétine.
Ça me laisse sans voix.  Ça ou hurler. J'hésite.

Votre télévision n'est pas une télévision.
Votre téléphone n'est pas un téléphone.
Ce sont des ordinateurs, qui savent afficher des images ou permettent de téléphoner.

Mais ils sont intrinsèquement des ORDINATEURS, donc piratables.
Après les téléphones qui permettent d'écouter - même soit-disant "éteints" - voici les téléviseurs qui vous espionnent: https://theintercept.com/2017/03/07/wikileaks-dump-shows-cia-could-turn-smart-tvs-into-listening-devices/
(EDIT: plus de détails chez Korben: https://korben.info/vault7-fiasco-de-cia.html )

Vous voulez *vraiment* éteindre votre télévision ? Coupez le courant.
Vous voulez *vraiment* éteindre votre téléphone ? Retirez la batterie.
Vous avez une maison "connectée" ?  Attendez-vous au pire.

On en est au point où même le FBI préfère abandonner des poursuites contre des pédophiles plutôt que de révéler leurs techniques de piratage.  :-(((
https://arstechnica.com/tech-policy/2017/03/doj-drops-case-against-child-porn-suspect-rather-than-disclose-fbi-hack/

Ça vaut le coup de le redire: les autorités sont au *courant* des problèmes de sécurité de nos ordinateurs et objets connectés, mais plutôt que d'améliorer la sécurité de tous en informant (ou patchant), ils préfère laisser les failles ouvertes pour pouvoir les exploiter.
### Ceux qui sont censés garantir notre sécurité agissent sciemment pour maintenir l'insécurité. ###

Mais on devrait leur faire confiance et les laisser faire ?  (Si on a rien à cacher, gna gna gna...)
Surtout avec des tarés à la tête de certains états comme Trump, Poutine, ou dieu-sait-quoi qui va être bientôt parachuté à la tête de la France.

EDIT: Et l'ironie du jour: Je viens de regarder le film «Snowden»... sur une TV Samsung. ><

Petit historique de cette horreur de fichier national.

µBlock-origin est remarquablement efficace pour bloquer traqueurs et publicités (cf. http://sebsauvage.net/links/?8lyTag et http://sebsauvage.net/wiki/doku.php?id=firefox#reglages_ublock-origin), mais je me suis décidé à ajouter l'extension PrivacyBadger de l'EFF.

Pourquoi ?

µBlock-origin ne bloque pas certaines ressources nécessaires au bon fonctionnement d'une page web (CDN, javascript, images, css, polices de caractères, etc.). Il est donc obligé de laisser passer ces requêtes pour que les pages ne soient pas cassées.
Là où PrivacyBadger intervient, c'est qu'il est capable de retirer les cookies d'identification de ces requêtes.

PrivacyBadger n'est pas basé sur un ensemble de règles, mais "apprend" au fur et à mesure de votre surf en repérant les requêtes externes qui contiennent des données vous identifiant, et active alors la purge des cookies d'identification.

Mon combo gagnant pour le moment pour protéger ma vie privée dans le navigateur est donc: µBlock-origin + Decentraleyes + PrivacyBadger.

 • µBlock-origin pour bloquer la quasi-totalité des traqueurs, publicités et widgets sociaux.
 • Decentraleyes pour garder en cache local tous les appels aux CDN (et donc réduire les appels aux CDN de Google et autres)
 • PrivacyBadger pour filtrer le peu qui passe encore et retirer les données vous identifiant.

Les applications de VPN qu'on trouve sur GooglePlay ? Certaines ne sont carrément pas des VPN, elles ne chiffrent pas le trafic. Mais pire: Certaines injectent des publicités et des malwares, et collectent des données très personnelles.
Autrement dit: Elles font très exactement l'inverse de ce qu'elles sont censé faire.
Si vous voulez prendre un fournisseur VPN, faites très attention à qui vous choisissez.

Ok... donc Facebook a menti.
WhatsApp est censé utiliser le même chiffrement que l'excellent Signal. Sauf qu'ils ont modifié le comportement de WhatsApp en lui faisant regénérer des clés dans certains cas (et sans prévenir). Ce qui permet à Facebook de déchiffrer les messages.
(Signal ne souffre pas de la même vulnérabilité.)
En même temps, hein, faire confiance à Facebook pour protéger votre vie privée...
EDIT : Le "Guardian" a un peu exagéré. De l'avis même des auteurs de Signal, cela ne peut pas être considéré comme une backdoor: https://whispersystems.org/blog/there-is-no-whatsapp-backdoor/

EDIT: visiblement, The Guardian a un peu exagéré cette histoire: https://www.theguardian.com/technology/commentisfree/2017/jun/28/flawed-reporting-about-whatsapp

Exemple type: des employés d'Uber ont accédé aux données clients (localisation, etc.) pour harceler d'ex-petites-amies, ou trouver des infos sur les stars (Beyonce).

Maintenant, réfléchissez bien: Combien d'entreprises ont des informations sur vous ?
Facebook ? Google (Android) ? Twitter ? Votre banque, etc.
Que savent-elles sur vous ? Vos déplacement quotidiens (lieus, heures), vos habitudes de consommation, la liste intégrale de vos amis, noms, prénoms, numéros de téléphone, email...
Maintenant, mentalement, essayez d'imaginer combien d'employés ont chacune de ces grosse boîtes.  Et maintenant, cumulez le nombre de personnes.
Ça fait combien de personne qui ont accès, par exemple, à votre position GPS ?
Quelques dizaines de milliers ?
Ces personnes savent potentiellement où vous habitez, et quand vous êtes chez vous. Ils savent à quel magasin vous faites vos courses. Combien de temps vous y restez. Chez quels amis vous êtes allés, et quand.  Et c'est archivé sur des années.

Et pourtant, les gens continuent de trouver tout ça super cool.
Mais le jour où vous tomberez sur un employé mal intentionné à votre égard, toutes les données que possède l'entreprise se retourneront contre vous.
Le jour où un gouvernement à tendance fasciste arrivera au pouvoir et fera plier une de ces entreprises pour livrer les données, ces données se retourneront contre vous.

Et se dire que ça n'arrivera pas est totalement naïf.
C'est arrivé pour Uber. Pour Yahoo. Piraté *et* totalement siphonné par le gouvernement US. C'est même arrivé pour le fichier national de la police française (STIC), qui a été utilisé pour retrouver des personne et les harceler.

Alors à défaut d'avoir le contrôle de ces fichiers, agissez là où vous pouvez agir:
- déinstallez les applications comme Facebook qui collectent en permanence votre position géographique et toutes vos données personnelles (liste d'amis, SMS, etc.)
- arrêtez de publier tout et n'importe quoi sur les réseaux sociaux.
- utilisez de préférence des logiciels libre.
- utilisez des messageries sécurisées (Signal !  C'est super simple ! https://play.google.com/store/apps/details?id=org.thoughtcrime.securesms )

Le pire, c'est que ça ne suffiera dans doute pas, mais c'est déjà mieux que rien.

Ok donc... Yahoo a installé une grosse backdoor sur la demande du gouvernement américain leur permettant de lire la *TOTALITÉ* des emails transitant chez Yahoo. Une backdoor installée à l'insu de l'équipe sécurité de Yahoo (!).
Faut-il corréler ça à la récente annonce d'un nouveau MILLIARD de compte Yahoo piratés ? (http://www.lesnumeriques.com/vie-du-net/yahoo-milliard-comptes-utilisateurs-touches-par-attaque-n58401.html).
Faut-il en conclure que les backdoors demandées par les gouvernements aux géants d'internet mettent en danger notre sécurité ?

EDIT: Ce qui est terrible avec ce piratage, c'est que votre compte mail est généralement le dernier recours pour récupérer votre mot de passe des sites où vous vous êtes inscrit(e). Ce piratage Yahoo Mail va donc entraîner des piratages de tonnes de comptes sur d'autres sites.

C'est tout à fait vers quoi on se dirige en matière de vie privée.
Actuellement, seuls les gouvernements vont piocher dans les données des GAFAM, mais les autres entreprises privées (assurances, etc.) ont déjà probablement l'eau à la bouche, et ils sauront emballer dans un joli marketing en vous offrant des fonctions "cools" et payer moins cher.

« Le nouveau système Invisible ReCaptcha de Google fonctionnerait en arrière plan et ne ferait plus perdre de temps aux internautes. »
Traduction: Google va examiner de près les mouvements du curseur dans la page, et corréler tout ça avec tout votre surf (puisque Google *sait* quels sites vous avez visités (http://sebsauvage.net/rhaa/?2011/09/28/17/14/02)).

Donc sous couvert de faire moins chier les internautes avec ses captchas bien lourdes, Google va piocher un peu plus dans votre vie privée pour améliorer son service "super cool".

Sans compter que cette nouvelle captcha (où vous avez en principe juste une case à cocher) ne fonctionne absolument pas si vous utilisez TOR où vous vous reprendrez dans la tronche les images à sélectionner, et de manière répétée (d'autant que tous les sites protégés par CloudFlare vous l'imposeront aussi, et ça fait du monde !)

Soit dit en passant, le fait de devoir sélectionner des images de chats ou de dinde  (https://security.googleblog.com/2014/12/are-you-robot-introducing-no-captcha.html)  ça me semble encore un travail que les bots spammeurs vont très rapidement réussir à résoudre automatiquement, vu que Google lui-même a publié une IA capable de reconnaître les images (http://sebsauvage.net/links/?gG9Vjw).

« Twitter rappelle qu’utiliser ses API et ses produits data pour permettre à des services d’espionner des utilisateurs est interdit. Le réseau social dit renforcer ses politiques anti-surveillance. »
Baha.
BOUHAHAHAHA!!!  
Non si c'est pas du foutage de gueule de la part d'une boîte qui travaille main dans la main avec le FBI (http://sebsauvage.net/links/?UET3cQ) et dont l'application Android aspire vos informations personnelles ! (L'application Twitter accède - entre autres - à la liste de tous vos contacts, à vos SMS, et traque les applications que vous utilisez sur votre smartphone. WTF.)

Je sais pas quoi dire. Il a raison: La gestion de tout cela est tellement nimbé de j'menfoutisme ou de naïveté...  c'est consternant.

via Laurent Chemla.
Copies de cet article:
http://web.archive.org/web/20161107122543/https://blogs.mediapart.fr/noel-mamere/blog/071116/lettre-ouverte-aux-ministres-de-la-justice-et-de-linterieur
http://archive.is/xE6BN