Ok donc quand le gouvernement US s'était attaqué à Lavabit, c'était dans le but de coincer Snowden.  :-(((

Purée de merde, c'est abominable pour la vie privée ce que Facebook est en train de préparer.  :-|

Opera est un navigateur que j'affectionnais particulièrement il y a quelques années. Il a toujours été en avance sur son temps (c'était par exemple le premier à offrir un système d'onglets).
J'ai voulu le ré-essayer, et techniquement il marche très bien: il est très réactif, pratique. Mais désormais, je le déconseille fortement. Pourquoi ?

Comme tous les navigateurs, il a une protection contre les sites web malveillants.

Problème n°1 : Chaque fois que vous visitez un site, il va faire une requête vers sitecheck2.opera.com. Autrement dit, il rapporte à la société Opera tous les sites que vous visitez. (à titre de comparaison, Firefox télécharge une liste qu'il consulte en local).
Problème n°2 : Cette requête est faite sans https.
Problème n°3 : Opera a RETIRÉ LA POSSIBILITE DE DÉSACTIVER cette protection contre les sites malveillant dans les versions récentes du navigateur (ce n'est même pas accessible dans opera:flags)

Ce qui veut dire que, de force, Opera est informé de tous les sites que vous visitez, sans possibilité de le désactiver.
Sous couvert de protection, ça ressemble à un bon gros tracking systématique.
Alors NON, non merci.

PS: La seule solution pour bloquer ça, c'est d'ajouter la ligne suivante dans votre fichier hosts ou de le bloquer au niveau de votre DNS:
0.0.0.0 sitecheck2.opera.com

Je suis très, très déçu par Opera.  :-[

EDIT: http://lehollandaisvolant.net/?id=20160306113655  Merci.

Si vous utilisez TOR, vous allez vous prendre des tonnes de Captchas à résoudre (merci CloudFlare), quand ça ne sera carrément pas des sites qui vous interdiront de vous connecter (par exemple, les forums de Doctissimo.fr).
Je trouve cela dommage à une époque où on a toujours plus besoin de protéger sa vie privée.
EDIT: https://nakedsecurity.sophos.com/2016/02/29/tor-users-being-actively-blocked-on-some-websites/
EDIT: Les devs de CloudFlare essaient de trouver une solution http://sebsauvage.net/links/?EuWRLQ

Ok donc VPN et TOR pour tout le monde ?    >:-(
Votre vie privée, ce n'est pas important pour le gouvernement.

Toujours le dilemme entre la facilité d'utilisation et la protection de la vie privée.

Je met ça de côté pour examen ultérieur: un logiciel de chat/voip/visio opensource décentralisé multiplateformes. à tester...
Il utilise la DHT pour se passer d'un serveur central, et fait du NAT-punching avec diverses méthodes (STUN/TURN/ICE/UPnP) pour traverser les firewalls.

Le bonne blague du jour: Tim Cook a clamé haut et fort que les messages échangés avec iMessage sont chiffrés et qu'Apple ne peut pas les lire parce qu'ils n'ont pas la clé.
Si vous avez activé le backup d'iCloud, vos messages sont sauvegardés chez Apple, chiffrés également. Sauf qu'Apple a les clés d'iCloud. Donc Apple peut absolument lire tous vos messages.

Vous voyez ce joli cloud qui promet de partager vos fichiers de manière très privée ? L'un des co-fondateur a reçu des pressions pour y inclure des backdoors: https://twitter.com/kaepora/status/688343332867694592
Des pressions de qui ? Du comité de direction. Peerio appartient à une société pétrolière.

Tiens un nouveau client mail.
« Il s'agit d'un client mail disponible sous Linux, Windows et OSX qui se veut entièrement open source et libre (licence GPLv3), »   Oh bien :-)
« lorsque vous configurez votre compte mail dans N1, vos informations de connexion sont conservées sur les serveurs de Nylas. »   ಠ_ರೃ
Ok donc ils récupèrent la TOTALITÉ de vos mails sur leurs serveurs. Normal quoi.

« David Chaum a expliqué que pour prévenir l’utilisation du réseau par des cybercriminels ou d’autres groupes illicites, il envisage la création d’un « PrivaTegrity Council ». Ce conseil donnerait accès aux données utilisateurs lors d’une requête de justice, mais seulement pour les personnes qui utilisent le réseau à des fins cybercriminels. »
Oui donc non merci. ಠ_ಠ

Telegram fait la une, ces derniers temps, et gagne en popularité (http://www.numerama.com/tech/135415-whatsapp-bloque-au-bresil-telegram-gagne-15-millions-dutilisateurs.html).
Pourtant, si je devais vous recommander une application de communication chiffrée, ce serait plutôt Signal.

Je ferai abstraction des très nombreuses critiques concernant la crypto de Telegram (car ils prennent grand soin de répondre à chaque point levé), et je pense qu'ils ont de bonnes intentions, mais il reste un problème à mes yeux: Ils ont la possibilité de déchiffrer vos messages. Dit autrement: ce n'est pas du chiffrement de bout en bout par défaut, sauf si vous utilisez la fonction «Secret chat». C'est d'ailleurs grâce à cela que Telegram peut aussi exister aussi en version "web" et "desktop" (ce qui n'est pas le cas de Signal).
https://telegram.org/faq#q-so-how-do-you-encrypt-data
https://telegram.org/faq#q-how-are-secret-chats-different
(D'ailleurs, c'est visible ici: https://www.eff.org/secure-messaging-scorecard)

Donc ça me met un peu mal à l'aise. Non que le logiciel soit de mauvaise qualité, mais les utilisateurs penseront être en train de discuter en toute confidentialité alors que ce n'est pas le cas.
(Même si la société Telegram est allemande, donc a priori un peu moins sujette aux demandes abusives qu'une société américaine.)

Signal est lui, par défaut, chiffré de bout en bout.
Une fois installé, il s'intègre à Android: quand vous sélectionnez un contact, vous pouvez passer un appel normal, un appel chiffré ou envoyer un message chiffré.
En plus de la messagerie chiffrée, il peut optionnellement aussi prendre en charge vos SMS, même s'il ne fait plus de chiffrement des SMS (comme SMSSecure le fait: http://sebsauvage.net/bon-android/?d=2015/09/16/19/35/06).

Pourtant Signal a aussi ses problèmes.
- Tout comme Telegram, si pas de WiFi/3G à portée, alors pas d'échange de message possible.
- Tout comme Telegram, Signal exige l'entrée de votre numéro de téléphone. Utilisation donc a priori impossible sur tablette (et bien entendu sur desktop).
- Les messages sont bien chiffrés de bout en bout, mais le développeur utilise les services GooglePlay (GCM: Google Cloud Messaging) pour les transférer d'un téléphone à l'autre. (Telegram passe par ses propres serveurs.)
- Conséquence: Distribution impossible de l'application sur F-Droid.

On est donc encore loin d'une situation idéale. Pourtant Signal me semble encore pour le moment un meilleur choix que Telegram en tant que messagerie chiffrée simple d'emploi.

Concernant le code de Signal, je suis tombé sur divers articles de cryptographes et développeurs qui ont examiné le code source, et qui sont visiblement restés pantois face à la qualité du code et au soin apporté à la sécurité. C'est plutôt bon signe. Le code de Signal a déjà largement été passé en revue.

Il reste bien sûr encore d'autres pistes à explorer: ChatSecure (OTR+XMPP, capable de se connecter au serveur XMPP de votre choix en sus, et même passer par TOR), SilentCircle (que je n'ai pas regardé).


Voici les applications pour smartphones ayant reçu les meilleures notes de l'EFF.
 - Signal : https://play.google.com/store/apps/details?id=org.thoughtcrime.securesms
 - Telegram (en mode «Secret chat») : https://play.google.com/store/apps/details?id=org.telegram.messenger
 - ChatSecure : https://play.google.com/store/apps/details?id=info.guardianproject.otr.app.im
 - SilentCircle : https://play.google.com/store/apps/details?id=com.silentcircle.silentphone

A noter également:
- Signal : à but non lucratif basée au États-Unis : https://whispersystems.org/
- Telegram : société à responsabilités limitée, sur le sol allemand : http://telegram.org/
- ChatSecure : opensource. Tenu par un collectif international : https://guardianproject.info/
- SilentCircle : société commerciale (Suisse) fondée entre autre par l'auteur de PGP : https://www.silentcircle.com/

Tous sont à sources ouverts (ce qui est une condition sine qua none pour la sécurité).

Mon regret: Tous passent par des serveurs tiers (même si ChatSecure vous permet d'utiliser le serveur XMPP de votre choix).  A quand une messagerie qui utilise la DHT (comme le fait RetroShare) ?  Est-ce seulement viable en 3G ?


EDIT: Oh là... gros changements prévus côté ChatSecure (refonte du coeur de l'appli + sortie d'une version simplifiée Zom), et aussi l'implémentation d'un des protocoles de Signal.
Voir: https://chatsecure.org/blog/chatsecure-core/
et : https://chatsecure.org/blog/chatsecure-conversations-zom/
Ça vaut peut-être le coup d'attendre la nouvelle version.

EDIT: sur le même sujet: https://recode.net/2015/12/21/is-your-messaging-app-encrypted/

Mouais... je crains aussi de genre de chose. Et toutes les autres boîtes noires à la Akismet. Du point de vue webmaster ça a toujours l'air super-cool, mais ça fait systématiquement des dommages collatéraux (en plus de miner la vie privée des internautes, puisque CloudFlare récupère l'intégralité du trafic de votre site).
CloudFlare semble pour le moment être des "good guys", mais pour combien de temps ?

Oh ben oui, une Barbie avec micro et caméra qui envoie tout sur un serveur distant, que peut-il arriver de mal ?
OH wait... http://www.lemonde.fr/economie/article/2015/12/01/les-jouets-vtech-victimes-d-un-cybercriminel_4821275_3234.html
EDIT: Ah finalement V-Tech c'est pas 200 000 comptes piratés, mais 6,3 millions. http://motherboard.vice.com/read/hacked-toymaker-vtech-admits-breach-actually-hit-63-million-children

Je cite l'article: « BlackBerry ne partage pas la position des sociétés promouvant un « chiffrement de bout en bout ». »
Qu'on peut traduire par: « On a fait ce qu'il faut pour pouvoir déchiffrer les messages de nos clients sur demande des gouvernements. »
Ben tiens, ça a bien changé depuis les débuts, hein ?
L'argument de vente principal de BlackBerry au cours de toutes ces années vient brutalement de s'effondrer.

Quand les démocraties utilisent les méthodes des dictatures pour nous "garantir" la sécurité, au prix de notre liberté bien sûr: Une nouvelle loi en Grande-Bretagne, la « Investigatory Powers Bill » va permettre au gouvernement de forcer les éditeurs de logiciels à inclure des porte dérobées ("backdoors") dans les logiciels, et leur imposer le silence sous peine de prison (s'ils ont le malheur d'en parler).
Ils auront également l'obligation d'apporter leur soutient pour les opérations d'interception et de collecte de données.
Je m'attends à des lois similaires en France, ainsi qu'à une criminalisation grandissante de la crypto.

Voilà voilà... on va rendre le chiffrement illégale.
Enfin précisons: On va rendre le chiffrement FIABLE illégale.
Vous serez dans la légalité si vous utilisez un chiffrement faible ou qui contient une belle backdoor.
Notez que ce n'est pas le premier pays à faire ça. De mémoire, à une époque la France obligeait tout fournisseur de solution crypto à donner des solutions de déchiffrement.
Donc pour le dire autrement: Le gouvernement vous autorise à placer des portes blindées et des coffre-forts chez vous, à condition que le fabricant lui donne une copie des clés.

Merci ! (http://shaarli.warriordudimanche.net/?IyTgCA)

Oh ben y'a des entreprises qui doivent être contentes...
ça confirme ma décision précédente: Boycotter Lenovo.

Pourquoi refuser d'être aveuglément fiché ? Pour éviter de voir ses informations personnelles VENDUES par des officiers peu regardants. Dans ce cas: un policier qui a vendu aux tabloïdes des informations personnelles sur George Michael.
Mais ne vous dites pas que ça n'arrive qu'aux stars: On se souviendra de Disney et Ikea qui piochaient illégalement dans les fichiers de la police et de la gendarmerie au travers de quelques complicités pour se renseigner sur leurs employés ou leurs clients...
http://rue89.nouvelobs.com/2012/02/28/espionnage-quand-ikea-faisait-son-marche-dans-les-fichiers-de-police-229786
http://rue89.nouvelobs.com/rue89-eco/2012/03/06/ikea-le-detective-avait-deja-trempe-dans-un-trafic-de-fichiers-229953
http://lexpansion.lexpress.fr/entreprises/espionnage-en-kit-chez-ikea-qui-a-fait-quoi_1407044.html
http://rue89.nouvelobs.com/2013/04/25/terrorisme-pedophilie-disney-fouinait-passe-salaries-241780

Quant aux USA, il y avait également quelques affaire croustillantes, comme ce policier qui se servait du fichier national pour retrouver son ex-femme afin de la harceler.

Ne jamais oublier que les surveillants ne sont pas forcément bienveillants.

Même si vous avez désactivé la recherche en ligne, Windows s'empresse d'envoyer à Microsoft ce que vous tapez dans le menu "Démarrer". (Avec ici en prime un joli tutoriel pour faire du MITM.)
Notez que bien sûr Android et consorts font la même chose, ce qui n'excuse malgré tout rien.

HHmmm ?  Microsoft vient de glisser discrètement des outils de tracking dans Windows 7/8 via WindowsUpdate ?  >:-(
http://kevinvuilleumier.net/2015/08/supprimer-loutil-de-telemetrie-dans-windows-7-8/

Pour ceux que ça pourrait intéresser: Une fois connecté à votre compte Google, cette page vous donnera tous les mots de passe que Chrome a enregistrés (et vous pourrez les voir et les supprimer): https://passwords.google.com/

Raison de plus d'utiliser un VPN même en 3G: Un bon paquet d'opérateurs GSM interceptent les entêtes HTTP que votre téléphone envoit et y injectent un cookie, un identifiant unique qui permet de vous suivre à la trace. Le truc, c'est que vous n'avez aucun contrôle sur ce cookie et aucun moyen de le supprimer puisque ce dernier est inséré directement par le réseau de votre opérateur, après que la requête HTTP ait quitté votre téléphone.
La solution ? Ne surfer qu'en HTTPS (en priant pour que l'opérateur ne fasse pas un joli MITM non détecté), ou passer par des VPN (Oui le VPN peut être intéressant même en 3G pour différences raisons: http://sebsauvage.net/links/?86I6iQ).

EDIT: En plus des cookies, certains FAI injectent des publicités dans des sites qui ne leur appartiennent pas (http://sebsauvage.net/links/?Q8POCQ) ou  injectent leur javascript dans toutes les pages que vous visitez:
https://reflets.info/sfr-modifie-le-source-html-des-pages-que-vous-visitez-en-3g/
https://reflets.info/sfr-man-in-the-middle-oui-cest-particulierement-grave/
ou encore mettent en place des proxy-cache transparents:
https://reflets.info/3g-sfr-oui-sfr-altere-bien-mon-experience-utilisateur-et-pire-encore-il-altere-mes-usages-professionnels/

EDIT: Pour voir si des pages ont été altérées, voir: http://sebsauvage.net/links/?oCp-nw

Euh... quoi ?  Voilà que Firefox fait des requêtes HTTP simplement quand on passe le curseur sur un lien ?  WTF ? C'est l'une des plus mauvaises idées qui soit.
PS: Je n'ai pas pris Wireshark pour vérifier ce comportement.
Pour désactiver: network.http.speculative-parallel-limit = 0 dans about:config