PROJET AUTOBLOG


Le Blog de Genma

source: Le Blog de Genma

⇐ retour index

Rattrapage_Geek - Avoir une vie privée sur Internet ‎28‎/‎02‎/‎2015

jeudi 1 janvier 1970 à 01:00

Rattrapage_Geek - Avoir une vie privée sur Internet ‎28‎/‎02‎/‎2015‎ ‎14‎ :‎00‎ :‎00 Au dernier bar avant la fin du monde, le samedi 28 février, à partir de 14h et ce pendant deux heures, venez découvrir pourquoi nous avons tous le droit d'avoir une vie privée et que nous avons tous des choses à cacher, venez parler de l'anonymat, démystifier les fameux "darknet" et comprendre ce qu'il y a derrière l'espionnage et la surveillance d'Internet. Un vaste programme qui sera abordé de façon ludique avec un intervenant du Café Vie Privée.

Je serai donc au Dernier Bar avant la fin du monde http://www.dernierbar.com/ pour animer une session un peu spéciale sur le thème de la vie privée. Ce sera pour moi l'occasion pour moi, d'initier, comme je le disais dans mon billet Chiffrofêtes dans des lieux atypiques, une sensibilisation à la vie privée dans un cadre différent du cadre habituel (où on trouve des technophiles, libristes, personnes étant à l'aise avec un ordinateur). En mai, ce sera un Café vie privée et conférence à Geekopolis (je reparlerai de cet événement le moment venu).

Utiliser le VPN de la Freebox sous Ubuntu

jeudi 1 janvier 1970 à 01:00

Comme je l'expliquais dans mon article La Freebox v6 dispose d'un serveur et d'un client VPN. Dans le cadre du présent article, c'est le mode OpenVPN Routé, qui permet de passer par la Freebox pour aller ensuite sur Internet, que j'utiliserai.

Le cas d'utilisation étant, par exemple, sur un Wifi non protégé, d'avoir communications qui soient chiffrés. On lance le client VPN et tout passe par la Freebox. C'est alors comme si je surfais de chez moi. Sauf que je suis en extérieur. Et je peux me connecter à un WIFI dans lequel je n'ai pas confiance ou une confiance

Lancement du service de VPN

Au préalable, il faut que le service VPN soit activé sur la Freebox v6. Il faut aller dans l'interface d'administration de la Freebox V6 (
http://mafreebox.freebox.fr/) et activer le service,

créer un utilisateur,

vérifier les connexions actives...

Utilisation depuis Ubuntu

Une fois le fichier exporté et récupéré sur un PC qui tourne sur Ubuntu, on peut lancer son importation (en cliquant sur l'icône de gestion du réseau dans la barre en haut à droit, quand on est sous Unity). Bien que l'extension pour les fichiers openvpn soit bien installé, via la commande (car ce n'est pas le cas par défaut) :

sudo apt-get install network-manager-openvpn-gnome

Au moment de l'import du fichier de configuration, j'ai le message d'erreur :

Attention : unknown PPTP file extension

Le fichier de configuration openvpn de la freebox ne fonctionne pas avec le network-manager d'Ubuntu. La faute a qui ? Free ? Le network manager qui n'a qu'un support minimal de ce genre de fichier ? Une recherche sur le Net montre qu'il s'agit d'un bug connu depuis des années, qui n'a pas vraiment de résolution... On m'a conseillé d'utiliser le script suivant pour décomposer le fichier en différent fichier à utiliser pour la configuration du client d'OpenVPN (Source du script sur Github)

#/bin/sh
# make output file
mkdir -p output
# print Gateway
sed -n 's/remote \([^ ]\+\) [0-9]\+/passerelle: \1/p' $1
# create client config file
awk '//{exit} {print}' $1 > output/client.ovpn
# output certificate of CA
awk '// {flag=1;next} /<\/ca>/{flag=0} flag {print}' $1 > output/ca.crt
# output certificate of client key
awk '// {flag=1;next} /<\/cert>/{flag=0} flag {print}' $1 > output/client.crt
# output client key
awk '// {flag=1;next} /<\/key>/{flag=0} flag {print}' $1 > output/client.key

Ce script se lance en faisant ./nom_du_script.sh config_openvpn_routed_genma.ovpn (le fichier étant celui issu de l'export depuis l'interface d'administraition de la freebox). Un répertoire output est créé dans lequel on a différents fichiers :
- ca.crt
- client.crt
- client.key
Et on peut les utiliser en lançant dans un terminal la commande :
sudo openvpn --config client.ovpn --ca ca.crt --key client.key --cert client.crt

Reste à faire

Je n'ai pas encore trouver comment utiliser les fichiers générés via le script dans Network-manager. Sur mon Ubuntu, même si je définis leurs utilisations dans le cas de la création d'une connexion, cela ne semble pas marcher.

Mais je n'ai pas creuser plus loin, la méthode "lancement de la connexion en ligne de commande" me convenant/suffisant.

Utiliser le VPN

Une fois la connexion au VPN lancée, pour valider que l'on est bien sur le VPN, on va sur un site qui permet d'afficher son adresse IP (comme http://www.mon-ip.com/) et si l'adresse IP qui apparait est-celle de la Freebox, c'est que c'est bon, on est bien connecté via le VPN. (Cela nécessite bien sûr de connaitre l'adresse IP publique de sa Freebox)

Conclusion

Je vous renvoie à La Freebox v6 dispose d'un serveur et d'un client VPN en ce qui concerne les réserves quand à l'utilisation du VPN (le fait que ce soit un service de Free, que Free sache tout... Mais de même que Free sait tout ce qui est consulté depuis la connexion à mon domicile). Le but et l'usage de ce VPN n'est pas d'être anonymisé mais de sécuriser (relativement) sa connexion Internet. Autre limitation, le fait que l'on se retrouve avec une connexion limitée à la vitesse de l'upload de la Freebox (1 Mbits dans le cas de l'ADSL).

Guides d'autodéfense numérique

jeudi 1 janvier 1970 à 01:00

Pour les personnes s'intéressant aux problématiques de la vie privée et cherchant des guides leur permettant d'en apprendre plus, je mentionnerai l'existence des deux guides suivants :

L'informatique : se défendre et attaquer Cette brochure a été faite par désir de rassembler les connaissances théoriques et les outils pratiques actuellement les plus efficaces à nos yeux, pour utiliser l'informatique pour des activités sensibles, sans se faire avoir. Concrètement, ça implique d'être en mesure d'agir de manière anonyme, confidentielle et en laissant le moins de traces possible derrière nous. Sans ces précautions, inutile d'espérer déjouer longtemps la surveillance et la répression employées par les États et leurs classes dirigeantes pour continuer à exercer tranquillement leur domination. Se réapproprier les outils informatiques, c'est comprendre pour mieux se défendre et... attaquer, mais c'est aussi se donner les moyens de pouvoir choisir en connaissance de cause, quand ne pas utiliser l'informatique.

Le Guide d'autodéfense numérique, en deux tomes.

Tome 1 : hors connexions Ce premier tome se concentrera donc sur l'utilisation d'un ordinateur « hors connexions » — on pourrait aussi bien dire préalablement à toute connexion. Mais ce sont aussi des connaissances plus générales qui valent que l'ordinateur soit connecté ou non à un réseau. On met donc de côté, jusqu'au second tome, les menaces spécifiquement liées à l'usage d'Internet et des réseaux.

Tome 2 : en ligne C'est l'objet principal de ce second tome que de permettre à tout un chacun de comprendre quels sont les risques et les limites associés à l'utilisation d'Internet [et] de se donner les moyens de faire des choix éclairés quant à nos usages de l'Internet.

Le grand reproche que je ferai est le côté militant du premier guide. On retrouve un certain nombre de fois l'usage de terme tel que flicaille, racaille et autres pour désigner les policiers. Je pense que de ce fait, ce guide n'est pas grand public. De tels propos, peut être justifié dans un milieu militant (que personnellement, je ne connais pas) m'ont personnellement gêné. Ce guide crée un sentiment de peur, de menace, de représailles par un état policier...

Ce guide a toutefois de très bons points positifs, tout comme le guide d'autodéfense numérique. Dans ces deux guides sont expliquées et vulgarisées différentes notions et concepts qu'il est important de bien comprendre : comment fonctionne un ordinateur (c'est quoi un processeur, la mémoire vive), comment fonctionne Internet (c'est quoi un routeur, un DNS...). C'est là un très bon travail collaboratif et je n'ai rien à redire là-dessus. Bien que connaissant bien ces sujets, j'ai appris / trouver une façon de présenter ces notions de bases qu'il est nécessaire de s'approprier avant d'entrer le vif du sujet.

En effet, ça n'est pas utile d'utiliser Tails et les outils fournis au sein de cette distribution si on ne comprend pas ce que l'on fait : car c'est là le meilleur moyen de faire des erreurs. Comprendre le principe, la logique, le fonctionnement de Tails et des outils, nécessite comme prérequis des connaissances de base sur le fonctionnement d'un ordinateur, les traces que l'on peut y laisser, tout comme celles que l'on peut laisser sur le réseau.

En cela ces deux guides sont complémentaires, répondent bien aux besoins et sont des bonnes ressources pour débuter, apprendre ou approfondir ses connaissances dans l'usage de Tails, la protection de sa vie privée sur Internet, avoir recours à l'anonymat et parfaire son modèle de menace.

Comment accéder à un site web directement depuis son adresse IP ?

jeudi 1 janvier 1970 à 01:00

Ce billet est dans la lignée de mes billets taggués DNS, à savoir :
- DNS - Vulgarisation
- Résolution DNS et hébergement mutualisé
- DNS et vie privée
- DNS, DNSSEC et DNSCrypt

Rappel : Habituellement, un nom de domaine est associé à une adresse IP qui est celle du serveur et c'est le DNS qui permet de connaitre l'adresse IP du serveur, quand on tape une adresse URL dans la barre d'adresse (cf mes billets précédents sur le DNS).

Comment peut-on faire pour accéder à un site directement depuis son adresse IP, c'est à dire sans passer par le DNS ? Ce billet explorera différentes pistes et apportera différentes explications. Vous êtes invité à commenter et apporter des précisions, des explications, et/ou à corriger via les commentaires. Merci.

Prérequis

Pour accéder à un site web directement via l'adresse IP du serveur et non via le nom de domaine (en passant par une demande au DNS (ou au cache), il faut que le site web ne soit pas hébergé sur un serveur mutualisé (domaine virtuel)
(Voir Résolution DNS et hébergement mutualisé).

Cas d'un hébergement non mutualisé/serveur ayant sa propre IP

Dès lors où on connait l'adresse IP du serveur, la saisie d'une adresse du type http://A.B.C.D/ (où A.B.C.D. est l'adresse IP du serveur) dans la barre d'adresse du navigateur fera afficher directement le site web par défaut disponible à la racine du serveur web.

Cas d'un accès via la combinaison IP/nom d'utilisateur

Certains serveurs ont différents utilisateurs et mettent à disposition de chacun d'eux un espace personnel pour un site web (généralement sous la forme /var/www/login ou /home/login/wwww).

Pour accéder à votre site sans utiliser de nom de domaine, on aura alors besoins de 2 choses : l'adresse IP du serveur et le nom d'utilisateur. L'accès se fait alors via une URL du type http://A.B.C.D/ login/ » où A.B.C.D est une adresse IP et username le "nom du site"/le login/le nom d'utilisateur.

La notion de port

Pour simplifier, on peut considérer les ports comme des portes donnant accès à un serveur. Un port est identifié par un numéro et traditionnellement, un numéro de port est associé à un "service" / un type de "fonctionnalité". Le port 80 est pour la consultation d'un serveur HTTP par le biais d'un navigateur web et 443, pour les connexions HTTP utilisant une surcouche de sécurité de type SSL : HTTPS. Ce sont ces fameuses "portes" que l'on ouvre/bloque quand on utilise un logiciel ou un matériel parefeu/firewall. On peut comparer ça à des tuyaux ou des numéros de voie que l'on ouvre/ferme à la circulation.

Par défaut, si l'on saisit l'adresse http://A.B.C.D/ dans un navigateur, on arrive via le port 80. Si le serveur fait une redirection automatique par la version sécurisée, l'adresse sera transformée en httpS ://A.B.C.D/ et on sera connecté au serveur via le port 443 (et non plus 80).

Si je saisis https://A.B.C.D:443/ je me connecte donc au serveur web (et donc je consulte le site web associé), en mode sécurisé.

Cette notion de port explique que l'on a parfois des adresses du type http://A.B.C.D:8080 quand on teste un site web qui correspond à une application métier par exemple.

Le fichier /hosts

Sous Windows il se trouve sous le chemin %SystemRoot%\system32\drivers\etc\hosts Sous "Linux" il se trouve sous le chemin /etc/hosts. Ce fichier permet d'ajout des correspondance adresse IP - nom. Ainsi au lieu de taper une adresse du type

http://127.0.0.1/ ou http://localhost/, on pourra taper l'adresse http://www.monsite.com pour tester son site web qui se trouve sur un serveur sur son réseau (ici sur sa propre machine).

Censure au niveau du DNS On peut détourner cet usage pour ajouter des adresses IP de serveur de sites webs. Par exemple, pour contourner la censure de l'adresse de thepiratebay.se (qui se fait au niveau des DNS : quand on demande au DNS l'adresse du site, il ne renvoie pas l'adresse IP et on ne peut donc pas aller sur le site).

Il suffit d'ajouter dans le fichier host une ligne indiquant : 192.168.0.1 thepiratebay.se

L'ordre de résolution du nom (d'abord le fichier host, et ensuite une demande au DNS) se fait via ce fichier de configuration, ligne order hosts,bind. Quand on tape thepiratebay.se dans la barre de son navigateur, le fichier host donne l'adresse du site ThePirateBay et on peut accéder au site, bien que celui-ci soit censuré.

Je vous invite à lire, sur ce sujet le billet Filtrage administratif actif, comment le contourner ? sur le blog de Matlink

A approfondir

Reste à approfondir pour compléter ce billet :
- Cas où on est derrière un proxy, pour forcer l'usage du fichier /hosts (car c'est le proxy qui fait la résolution DNS)
- Le protection DDoS de Cloudflare empêcherait la connexion directe via l'IP. A vérifier/voir comment faire dans ce cas.

Sur l'utilisation de GoogleDocs pour des projets libres

jeudi 1 janvier 1970 à 01:00

Nombreux sont les projets du monde du logiciel libre qui, comme support de travail, utilise les GoogleDocs. Certe les GoogleDocs sont de bons outils collaboratifs, ça marche bien et de nombreuses qualités... Ces outils marchent bien et sont gratuits. Mais cette gratuité est sous-jacente à l'exploitation des données que l'on saisit dans ces outils, vu qu'ils sont fournis par Google. Et qui dit Google, dit non respect du droit à la vie privée.

Pour moi, le problème est simple et est le suivant : quand je fais du bénévolat pour une association ou un projet du logiciel libre, je ne veux pas forcément que Google le sache. Et pourtant, oui, Google le sait déjà. Il suffit que j'en parle dans un billet de mon blog, que je le mentionne dans un commentaire ou autre. Tout ce qui est mis sur le web est public par défaut. Là n'est pas le problème. Car cette information, je l'ai donnée volontairement. Je dis "je suis bénévole pour untel ou unetelle".

Via GoogleAnalytics (que personnellement je bloque), Google sait déjà quels sites consultent un-e Internaute, combien de temps il-le passe sur quelques pages, d'où il-le vient, où il-le va... Le fait d'utiliser GoogleDoc pour un projet ajoute encore plus de données sur le profil d'une personne à toutes ces données déjà accumulées par Google. Google saura combien de temps on a consacré au projet, combien de temps on est resté sur le GoogleDocs, combien de fois on y est revenu, ce qu'on y a fait... Et on ne sait pas et on ne peut pas savoir l'importance et l'utilité qu'ont ces données dans la masse des données déjà accumulées. Ces données qui nous éloignent toujours plus du droit que l'on a à avoir une vie privée. Car oui, pour moi, le temps que je passe à contribuer sur mon temps libre à un projet, c'est une donnée personnelle et donc privée.

De plus, utiliser Google, c'est renforcer le poids qu'à ce dernier en tant que sillo de données. On renforce la centralisation du web alors qu'il faudrait décentraliser. Il faut suivre l'exemple de Framasoft. Il faut que chaque projet du libre, à la hauteur de ses moyens, se lance ou utilise des infrastructures autre que celles de Google. La Quadrature par exemple fourni des pads. D'autres le font également.

Alors pourquoi Mozilla par exemple, ne met pas en place des pads pour ses contributeurs, leur évitant ainsi d'utiliser GoogleDocs ?