Par mail, un lecteur m'a posé la question suivante "si quelqu'un parvenait à faire le lien entre ton pseudo et ta véritable identité, quel "pouvoir" pourrait-il détenir envers toi ? Sous une autre formulation : comment mettre en balance la volonté d'un pseudo-anonymat strict et les risques associés à sa divulgation ...?

J'avais répondu à cette question par mail. J'ai pris le temps de re-réfléchir à ma réponse, j'ai repris la réponse et je la complète. Voici donc ma réponse, que je partage avec tout le monde.

Certaines personnes (mes amis proches) connaissent mon pseudonyme et ma véritable identité, du fait qu'avant d'être un pseudonyme, c'était une sorte de surnom. C'était plus pour l'aspect amusant, la différenciation, l'intégration dans un groupe d'otaku que j'avais pris ce qui est devenu un pseudonyme. J'ai très tôt différencié mon identité de mon pseudonyme, utilisant majoritairement mon pseudonyme pour toutes mes activités sur Internet.

En effet, le pseudonyme et l'avatar associé permette de masquer mon âge, mon sexe, mon origine. Bien que l'on devine très facilement le fait que je suis un homme, que j'ai désormais 35 ans (ce sont là des informations que je n'ai jamais caché), l'avatar et le pseudonyme sont pour moi une barrière, un masque, qui me permet de m'affranchir de préjugés sociétaux. Qu'importe si la personne en face de moi (dont je lis l'article de blog, le commentaire, le message ou la discussion) soit un homme, une femme, un jeune, un vieux... Ce qui importe, c'est ce que cette personne en tant qu'individu a à m'apporter : une information, un élément de réflexion, un enrichissement intellectuel ou culturel. L'avatar et le pseudo permettent de masquer le sexe, l'âge, l'origine, pour ne ce concentrer que sur ce qui est important.

Je cloisonne ce que je fais sur Internet de ma véritable identité. Parce qu'il m'arrive de passer du temps (quand j'en ai), sur Internet, à faire des activités de Genma, et ce sur mon temps de travail. Je fais ce pour quoi je suis payé, je le fais bien. Mais je n'ai pas tout le temps des choses à faire, ou j'ai des pauses. Et durant ce temps, je suis "Genma".

Mais je ne souhaite pas que mes collègues sachent que je suis "Genma". Car ma présence régulière sur Internet pourrait être vue comme de la procrastination, là où c'est en réalité du multitâche. De plus, j'ai écrit différents billet sur le blog ou des messages sur les réseaux sociaux dans lesquels je critique ma hiérarchie. Et bien ce que soit des critiques argumentées (et que j'estime légitime), bien que ce ne soit pas de la diffamation (et il n'y ni insulte, ni vulgarité, uniquement des faits et des avis, certes très subjectifs), cela pourrait me bloquer pour ma progression dans ma carrière. Je pense que l'on aurait une toute autre vision de moi, de celle que je donne.

De même, mon côté geek, bidouilleur, à tendance hacker, font que, sur la machine qui m'a été fournie pour effectuer mon travail, un PC, sur lequel :
j'ai installé et j'utilise TOR
j'ai mis un double boot avec Ubuntu
j'ai désactivé VNC et la prise en main à distance
j'ai désactivé des services Windows, je fais les mises à jour moi-même (sans attendre celles qui ont été validées et approuvées par la DSI)
j'ai installé des logiciels moi-même (uniquement des logiciels libres) pour des besoins professionnels ou personnels (cygwin, truecrypt par exemple)
Mon ordinateur ne passe donc jamais par le support informatique car je ne respecte pas plusieurs paragraphes de la charte informatique. J'en ai conscience, je le sais. Mais si je veux pouvoir m'épanouir un minimum dans mon travail (et c'est souvent loin d'être le cas), ces bidouilles et autres geekeries sont nécessaires. Tout comme le contournement du proxy... Cela me travaille et me conduit à en rêver la nuit.

Si quelqu'un de mon entreprise faisait le lien, vu l'identité publique et toutes les informations publique que je donne (attention à ne pas confondre avec des informations personnelles. Je garde beaucoup de choses personnelles pour moi. Il y a quelques billets de réflexions, plus intimistes, mais au contenu soigneusement choisi. Tout le reste entre dans le cadre d'un échange, d'un partage de connaissance et de savoir, ou de discussion publique, en tant que personne publique), on m'assimilerait à "un hacker". Oui j'anime des cryptoparties, je manipule des outils comme Tor, je m'intéresse à la protection des mes données personnelles, à l'anonymat et à la vie privée, mais je me qualifierai plus de un geek bidouilleur, parfois greyhat (mais assez débutant dans ce domaine). Je ne vais vraiment rien de méchant. Si ce n'est repartagé mes connaissances, les vulgariser et apprendre à tout le monde à être anonyme et à protéger ses données personnelles, en redispersant mes propres connaissances et les nouvelles choses que j'apprends.

Je ne sais pas si la société de service en informatique (SSII) pour laquelle je travaille, et ma hiérarchie apprécierait cette nouvelle image qu'elle pourrait avoir de moi. Ce que je fais sous pseudonyme est totalement décorrélé de mes missions. Je n'utilise aucune information ou connaissance acquise lors d'une mission avec/pour/chez un client. L'inverse est moins vrai : ce que je sais en tant que "Genma", mes connaissances geek apprises en autodidacte me sont souvent bien utiles pour me débrouiller et m'en sortir sur des missions où je suis laissé seul, sans aucune aide...

Mon but pour l'instant est donc de ne pas me faire remarquer, de ne pas mettre un projecteur sur moi. Car je ne sais pas évaluer à l'heure actuelle les conséquences d'une levée de mon anonymat.

Diaspora, c'est quoi ?

En un ligne, Diaspora* est un réseau social libre, respectueux et décentralisé, conçu pour respecter votre vie privée.. Pour citer un exemple d'utilisation, il y a Framasphere par Framasoft est un pod Diaspora. Mon compte est sur Diaspora-fr.org et je peux communiquer avec les membres des autres pods.

En résumé, Diaspora c'est l'alternative à Facebook dans le cadre de la Degooglisation de chacun-e. J'y suis depuis quelques temps maintenant et je le consulte mon compte tous les jours. Il y a peu de personnes (la problématique de la poule et l'oeuf : peu de personnes donc personne s'inscrit), mais les échanges que j'ai là bas sont intéressants et enrichissants. Ils m'apportent bien plus que mon compte Facebook qui est laissé à l'abandon (que je garde encore, au cas où et pour pouvoir parler en légitimité de comparaison).

Enfin, des choses sont perfectibles, comme les messages rediffusés que l'on retrouve donc répété plusieurs fois, voir à ce sujet mon billet Diaspora et ses principales spécificités

Diaspora, c'est l'avenir ?

Quand je fais des conférences sur le thème de l'hygiène numérique et de la vie privée, j'évoque la possibilité d'avoir "un Facebook de ses années étudiantes, puis un Facebook de son entreprise". Un réseau où on aurait les avantages du partage avec les autres, tel qu'il est recherché sur Facebook, mais auprès d'une communauté qui elle seule est concernée. Mon employeur n'a pas à voir les photos de mes soirées étudiantes ; seuls les étudiant-e-s de ma promotion peuvent y avoir accès pour se rappeller ses bons moments de franche rigolade. Un pod diaspora "universiataire" permettrait cela. Seul les étudiant-e-s ayant été les mêmes années que moi à l'Université peuvent voir ces photos (Oui cela n'empêche pas le copier coller, capture d'écran et fuite vu que c'est du numérique, mais ça limite quand même grandement l'accès). Cela multiplie les comptes, mais avec un compte et une identité générique (sous pseudonyme ou non), c'est possible. On cloisonne et on n'a alors plus toute sa vie, de sa conception (via les messages postés par les parents procréateurs sur Facebook) à sa mort... On se réapproprie le réseau social.

Méditez là dessus, si besoin je développerai dans un billet dédié ou dans un support d'une future conférence sur le sujet :-)

La campagne de Crowdfunding - financement participatif

Un des développeurs de Diaspora* lance donc une campagne de financement participatif pour un montant assez faible afin d'implémenter une fonctionnalité nécessaire : la possibilité de pouvoir sauvegarder et restaurer son compte, dans le but de migrer et changer de pod quand bon nous semble. Les détails sont sur la page Cliquez ici pour la version en Français

Si vous le souhaitez/pouvez, relayer cette campagne. Car donner 5 euros, c'est bien. Convaincre 10 personnes de donner 5 euros, ça prend beaucoup plus de temps, mais au final, c'est beaucoup plus utile (rentable) pour le projet... Si vous ne voulez ou pouvez pas donner d'argent, donnez de votre temps. Relayez cette campagne et parler de Diaspora* autour de vous.

A lire sur le même sujet Man in the middle par l'Entreprise

Il y a quelques temps, Korben a publié un billet A la recherche des certificats racines dangereux où il dit qu'on peut se demander si d'autres certificats un peu louches ne se trouvent pas sur notre machine. Et pour cela, si vous êtes sous Windows, il y a une solution qui s'appelle RootCertificateCheck (ou RCC) qui scanne tout simplement les certificats présents sur votre machine (dans Windows et dans Firefox) et attire votre attention sur les certificats qui pourraient présenter un risque potentiel.

J'ai donc téléchargé et installer RootCertificateCheck (RCC) sur ma machine professionnelle (qui tourne sous Windows 7 pro). Voici ce que j'obtiens.

Ce qui est confirmé si je cherche dans le gestionnaire de certificats de Windows :

Dans Firefox, j'ai l'extension Certificate Patrol et j'ai utilisé ce PC avec un profil dédié Firefox de chez moi, et depuis la connexion Internet sur réseau du client chez qui je suis, et via le VPN. Je n'ai pas eu/vu de soucis particulier avec les certificats. Certains ont changés (normal) et j'ai vérifié à chaque fois que le signataire était bien un signataire "attendu" et non "MonEntrepriseRoot". Je vais toutefois continuer d'investiguer.

A lire sur le même sujet Man in the middle par l'Entreprise

Le proxy du boulot

Actuellement je suis en mission chez un client et derrière un proxy (voir à ce sujet mes différents billets taggués proxy). Les seuls ports ouverts sur ce proxy sont les ports 80 (http) et 443 (https).

Ayant un Raspberry qui tourne chez moi derrière ma Freebox, je peux me connecter dessus en SSH en passant par le port 443. Dans Putty ou Kitty, j'ai défini le proxy, le fait d'utiliser le port 443. J'arrive par SSH sur le port 443 de la Freebox. Sur la Freebox, j'ai défini que le port 443 était redirigé vers le port SSH du Raspberry Pi (22 par défaut). Dans Firefox, il me suffit alors de lui dire d'utiliser le proxy local créé pour que ma connexion Internet se fasse via la Freebox. Pour plus de détail, voir le tutoriel détaillé et complet que l'on trouve ici Contourner un proxy (au boulot…) via SSH et Putty.

Avec Yunohost déjà en place

Or sur ma Freebox, les ports 80 et 443 sont déjà ouverts et redirigés vers les ports correspondant du Raspberry pi sur lequel tourne Yunohost. Il n'y a donc pas de place, le port 443 est déjà utilisé/dédié aux connexions httpS au serveur web de Yunohost

Si je souhaite pouvoir me connecter en SSH sur mon Raspberry depuis la connexion Internet de mon lieu de travail, il faut que je sorte via le port 443... Et donc j'arrive sur le port 443 de la Freebox...

Une solution simple ?

Une solution simple et non technique est donc de passer par la connexion 3G/4G du téléphone (La connexion via le téléphone se fait via un abonnement Freemobile et les différents ports testés en sortie du PC (et en entrée sur la Freebox) ne sont pas bloqués/filtrés. Le téléphone me sert alors de modem). Ainsi je ne suis plus bloqué/filtré par le proxy et j'arrive via un autre port sur le serveur SSH (22 par défaut). Laissant le port 443 pour le https.

Oui mais si je veux quand même utiliser SSH depuis le réseau derrière un proxy ?

Une autre solution plus technique : Sslh

SSLH est un multiplexeur, qui permet de gérer les requêtes venant du port 443 pour rediriger vers les services SSH et SSL, ce qui permet par exemple de creuser un tunnel SSH et outre passer les règles des proxys professionnel ou tout simplement sécuriser sa connexion lors d'accès à des spots wifi public.
SSLH : HTTPS et SSH sur le même port !
SSLH : choisir le protocole ssl par défaut en cas de timeout

Dit autrement, on arrive sur la Freebox, via https ou SSH via le port 443. Les connexions sont redirigées par la Freebox sur le Raspberry. Et c'est SSLH qui tourne sur le Raspberry qui lui va déterminer si la connexion est de type https ou SSH et rediriger alors vers le bon service (ngnix ou le serveur SSH). Je n'ai pas encore mis en place ce système, mais ça ne saurait tarder. A suivre donc.

Mozilla continue Firefox OS for IOT (Internet of Things) and will stop development for smartphone. But a group of independents developers, testers, translators, etc. chose to maintain it. They've launch a pad where they are organizing https://public.etherpad-mozilla.org/p/firefoxos_is_not_dead

Some discussions are in course to reach more people, specially Mozilla developers who'd like to share their knowledge and to see how Mozilla could reverse code and Firefox OS for smartphone to community. Firefox OS will be still developed until may by Mozilla and the community will continue the smartphone version.

If you want to be involved in this adventure, go on the pad or on discourse, on developper mailing-list, IRC and above all, Stay tuned..