C'est du billet écrit par SwissTengu Dis tous tes secrets à Kevlar que j'ai extrait cette sorte de liste de points à vérifier pour valider un site Internet qui prétend nous offrir un service de chiffrement. Certains points sont valables pour tout type de site webs (dans le cadre de la protection des données personnelles). Pour chacun de ces points, je donne une petite explication.

Le site n'est pas en SSL

Le SSL, pour simplifier, c'est le cadenas/le https. Si l'on doit transmettre des informations personnelles (identifiant, mot de passe ou autre) au site, il faut que le site soit accessible en https. C'est un minimum.
Rq : ce site n'est pas en https car Free ne propose pas cette option pour les hébergements des pages personnelles.

Google Analytics

Le script de Google Analytics est bloqué par les extensions comme Ghostery car il permet au webmaster du site de récueillir un certain nombres d'informations statistiques, mais également à Google d'avoir ces mêmes informations. Et de comparer, pour une même adresse IP, quelles pages sont consultées, la durée de consultation, et tout un tas d'informations, pour tous les sites que vous consultez... Si Google Analytics est présent sur le site, le site ne respecte pas votre vie privée.

Google Fonts

Google Fonts est un service d'hébergement gratuit de polices d'écritures pour le Web. Comme pour Google Analytics, si un site utilise des polices stockées chez Google, à chaque fois qu'une de ces polices est utilisée par le navigateur, Google sait (une fois de plus) que vous consultez le site web, quand et à quelle moment...

Pour ce point, je vous invite à lire le billet Se passer des polices Google sans s'en passer.

Il n'y a pas de chiffrement Javascript côté client

Dans le cas d'une messagerie qui se veut chiffrée et donc sécurisée. Si il n'y a pas de chiffrement Javascript côté client (au niveau du navigateur), cela signifie que dans le cadre du chiffrement la clef privée est du côté du serveur. L'administrateur du serveur est donc à même de déchiffré le contenu, vu qu'il a la clef privée. Le service fourni n'est donc pas confidentiel, sécurisé comme il le prétend.

Cloudflare (+DNS géré par Cloudflare)

Sur la problématique de Cloudfare, je vous invite à lire ce que j'avais écrit ici Cloudfare, Akamai et notre vie privée. Le problème est que ces services sont gérés par très peu de sociétés. Plus il y a de sites qui les utilisent et plus il y a de chances que pour la consultation de sites divers et variés, on passe par le même service. Cela est tout à fait transparent pour l'utilisateur, mais pour ces sociétés, le recoupement d'informations leurs permets de savoir de façon très simple la la liste des sites que l'on consulte (Il leurs suffit pour cela d'analyser les logs). Et que font-ils ensuite de ces informations ? Qu'en est-il du respect de notre vie privée ?

La politique de confidentialité

Quand on voit que pour les sites qui exposent les conditions d'utilisation du service, avec des textes si long que personne ne le lit, avec des clauses qui sont limites (voir complètement) abusives (Voir à ce sujet le site Terms of services didn't read, la politique de confidentialité est très importante. Les clauses peuvent être amenés à changer.

Pas de détails sur les algos, la technique etc.

La sécurité par l'obscurité ? Est-ce que c'est du logiciel libre, le code est-il auditable, disponible où ? Là encore, toutes ces informations doivent clairement être indiquées pour que l'on puisse se poser la question d'accorder un minimum de confiance et envisager d'utiliser le service.

J'ai découvert une série de règles simple sur comment sauvegarder, je les repartage donc ici. C'est la règle des 3-2-1.

La règle des 3-2-1

En anglais,

Use the 3-2-1 Rule for Data Backup
Keep 3 total copies of your image files (a primary and two backups).
Store the files on 2 different media types, such as hard drive and optical disk.
Keep 1 copy of your backup file offsite.

En français,

Utiliser la règle des 3-2-1 pour sauvegarder vos données
Conserver 3 copies de vos fichiers (le fichier principal et deux sauvegardes)
Stocker les fichiers sur 2 type de supports différents, comme un disque dur et un support optique (DVD...)
Conserver 1 copie de sauvegarde hors-site (dans un autre lieu)

Qu'est-ce que ces règles nous apprennent ?

Si on reprend ces règles une à une, voici ce que ces règles nous apprennent.
Conserver 3 copies de vos fichiers : une seule copie ne suffit pas. Si par exemple, on a un problème lors de la copie du fichier, que le fichier source et de destination sont corrompus, il nous reste le 3 ème fichier. On a donc 3 fichier : celui qui est sur le disque dur de l'ordinateur que l'on utilise au quotidien, et les deux de sauvegardes, qui sont synchronisés si le fichier évolue/est modifié.
Stocker les fichiers sur 2 type de supports différents : un disque dur externe peut lâcher, un DVD peut devenir illisible avec le temps. Si l'un des supports de sauvegarde ne marche plus, on a toujours l'autre. Si on prend deux disques durs externes pour faire la sauvegarde par exemple, on aura tendance à prendre le modèle/la même marque. Il y a des chances qu'ils aient été produits en série, sur la même chaine de montage... et deviennent défectueux au même moment...
Conserver 1 copie de sauvegarde hors-site : si le lieu où se trouve la sauvegarde a un soucis (incendie, vol), il reste toujours la sauvegarde qui est dans un autre endroit. Rappelez-vous le "on ne met pas tous ses oeufs dans le même panier". Pour un particulier, on mettra sa sauvegarde chez un parent, un ami...

Qu'est ce qu'il manque ?

Le chiffrement : il faut être sûr qu'on est les seuls à pouvoir accéder à nos données. Les sauvegardes doivent être chiffrées.
La restauration : sauvegarder, c'est bien. Etre sûr de pouvoir réutiliser la sauvegarde, c'est mieux. Est-ce que je peux copier le fichier, est-ce que je peux le lire. Car ce n'est pas le jour où on a besoin de la sauvegarde qu'il faut s'apercevoir que l'on ne sauvegardait pas correctement. Tester la récupération d'un fichier depuis sa sauvegarde, c'est ce que l'on appelle la "restauration".

A lire sur le même sujet :
L'importance des sauvegardes...
Si on me volait mon PC

Présentation de l'éditeur

On a tous en nous un petit côté Geek, mais en êtes-vous un VRAI de VRAI ? 1000 questions, quiz, QCM, devinettes, vrai ou faux pour faire le tour de la culture Geek ! 4 niveaux de difficultés par carte (250 cartes) 1 dé 20 faces collector qui ravira les geeks collectionneurs !

L'avis du Genma

Le coffret contient donc les cartes, un dé, et un petit livret expliquant les règles du jeu et comment comptabiliser les points. Il est toutefois possible de se passer de la lecture de ces règles - ou des les appliquer ; le jeu prendra alors la forme d'une personne qui pose une question choisie ou au hasard et les autres participants répondent, sans que l'on compte les points. Comme on peut le faire avec n'importe quel jeu de type quizz.

Ce jeu est un quizz geek car les thèmes des questions sont le Cinéma, les Jeux vidéo, la Littérature - la BD, la Technologie - les Sciences. On pourrait penser qu'une fois de plus, le terme de geek est utilisé à mauvais escient et que ce jeu surf sur la mode autour de ce thème mais en quelques questions, on voit bien que l'appellation geek n'est pas usurpée mais bel et bien méritée.

Les questions sont faciles ou pointues (il y a 4 niveaux de difficultés), font appel aux connaissances de la culture pop et de l'imaginaire dans les rubriques ci-dessus mentionnées, sont diverses et variées et assez bien choisies.

Ce jeu est sorti depuis quelques temps, a été remis à jour dans de nouvelles éditions et semble être une bonne acquisition/un bon cadeau à faire pour un-e ami-e geek, le prix en faisant un cadeau abordable et originale, qui ne prendra pas de place une fois rangé dans un placard, d'où on le sortira de temps à autre. On pourra le tester seul, en lisant les questions pour vérifier sa propre culture geek, ou en groupe, en jouant quelques minutes pendant un apéritif par exemple à quelques heures, après un bon repas (mais dans ce cas là, il y a des chances que l'on épuise la totalité des questions).

Pour acheter ce jeu, le lien vers Amazon.

C'est du billet écrit par SwissTengu Dis tous tes secrets à Kevlar que j'ai extrait cette sorte de liste de points à vérifier pour valider un site Internet qui prétend nous offrir un service de chiffrement. Certains points sont valables pour tout type de site webs (dans le cadre de la protection des données personnelles). Pour chacun de ces points, je donne une petite explication.

Le site n'est pas en SSL

Le SSL, pour simplifier, c'est le cadenas/le https. Si l'on doit transmettre des informations personnelles (identifiant, mot de passe ou autre) au site, il faut que le site soit accessible en https. C'est un minimum.
Rq : ce site n'est pas en https car Free ne propose pas cette option pour les hébergements des pages personnelles.

Google Analytics

Le script de Google Analytics est bloqué par les extensions comme Ghostery car il permet au webmaster du site de récueillir un certain nombres d'informations statistiques, mais également à Google d'avoir ces mêmes informations. Et de comparer, pour une même adresse IP, quelles pages sont consultées, la durée de consultation, et tout un tas d'informations, pour tous les sites que vous consultez... Si Google Analytics est présent sur le site, le site ne respecte pas votre vie privée.

Google Fonts

Google Fonts est un service d'hébergement gratuit de polices d'écritures pour le Web. Comme pour Google Analytics, si un site utilise des polices stockées chez Google, à chaque fois qu'une de ces polices est utilisée par le navigateur, Google sait (une fois de plus) que vous consultez le site web, quand et à quelle moment...

Pour ce point, je vous invite à lire le billet Se passer des polices Google sans s'en passer.

Il n'y a pas de chiffrement Javascript côté client

Dans le cas d'une messagerie qui se veut chiffrée et donc sécurisée. Si il n'y a pas de chiffrement Javascript côté client (au niveau du navigateur), cela signifie que dans le cadre du chiffrement la clef privée est du côté du serveur. L'administrateur du serveur est donc à même de déchiffré le contenu, vu qu'il a la clef privée. Le service fourni n'est donc pas confidentiel, sécurisé comme il le prétend.

Cloudflare (+DNS géré par Cloudflare)

Sur la problématique de Cloudfare, je vous invite à lire ce que j'avais écrit ici Cloudfare, Akamai et notre vie privée. Le problème est que ces services sont gérés par très peu de sociétés. Plus il y a de sites qui les utilisent et plus il y a de chances que pour la consultation de sites divers et variés, on passe par le même service. Cela est tout à fait transparent pour l'utilisateur, mais pour ces sociétés, le recoupement d'informations leurs permets de savoir de façon très simple la la liste des sites que l'on consulte (Il leurs suffit pour cela d'analyser les logs). Et que font-ils ensuite de ces informations ? Qu'en est-il du respect de notre vie privée ?

La politique de confidentialité

Quand on voit que pour les sites qui exposent les conditions d'utilisation du service, avec des textes si long que personne ne le lit, avec des clauses qui sont limites (voir complètement) abusives (Voir à ce sujet le site Terms of services didn't read, la politique de confidentialité est très importante. Les clauses peuvent être amenés à changer.

Pas de détails sur les algos, la technique etc.

La sécurité par l'obscurité ? Est-ce que c'est du logiciel libre, le code est-il auditable, disponible où ? Là encore, toutes ces informations doivent clairement être indiquées pour que l'on puisse se poser la question d'accorder un minimum de confiance et envisager d'utiliser le service.

J'ai reçu un mail qui me disait la chose suivante : Perso, ce que je n'aime pas dans le tor browser c'est le fait que ce soit un simple Bundle justement. Si c'était un éxécutable présent dans mes dépots, je serai, je pense, plus enclin à le télécharger. À la place, j'utilise Iceweasel avec privoxy qui opère une redirection vers TOR. Le tout agrémenté d'un certains nombre d'extensions : HTTPS Everywhere, Request Policy, No Script, Disconnect, Adblock Edge, etc... J'aimerais cependant savoir si c'est suffisant ou si mon anonymité est tout de même compromise... (parce que c'est un truc qui me titille depuis un moment... )

Comme la réponse me semble être intéressante à partager, je la rédige donc dans ce billet.

Personnellement, je déconseillerai de procédé ainsi. Tout simple parce que :
le torbrowser est patché par l'équipe de Tor. Ce n'est pas un simple Firefox, c'est le code source de Firefox sur lequel l'équipe de Tor a travaillé. Et j'ai assez confiance dans leur compétence en sécurité.
le torbrowser contient comme extension NoScript. Elle suffit pour bloquer les publicités, les trackers etc. vu que ça bloque le Javacript par défaut (et qu'on l'active au cas par cas). Il contient aussi HTTPS Everywhere. A voir si des règles spécifiques sont ajoutées ou non.
l'ajout d'autres extensions peut potentiellement ajouter des failles potentielles... On évitera.
La méthode d'ajouter les extensions pour Tor dans son navigateur quotidien fait que l'on utilise son profil habituel, avec les cookies associées...
qu'en est-il des plugins comme Flash etc...

Comme dit dans l'article Tor et le noeud malveillant insérant des malwares, Tor vous anonymise. Point.. Il n'apporte pas plus de sécurité, mais de l'anonymat. Il y a quelques règles à suivre dans l'usage de Tor, règles qui sont exposées dans ce billet Vous voulez que Tor marche vraiment ?. La sécurité, ce sera l'usage d'Https, le fait de ne pas divulguer d'informations personnelles ou confidentielles... Tout dépend une fois de plus de son modèle de menace (voir à ce sujet mon billet Quel est votre modèle de menace ?).

Mes conseils seront donc d'avoir plusieurs profils et usages. Un profil Firefox pour le surf habituel, lié à un pseudonyme (et encore, attention Comment un simple mail peut trahir un anonymat ? ou Comment un pseudonymat peut voler en éclat ?). On utilisera le Torbrowser, pour passer par Tor quand on en a besoin. Voir une clef Tails pour des usages encore plus sécurisé. Tout dépendra de son modèle de menace, du niveau de confidentialité et de sécurité que l'on recherche, de son besoin. Personnellement, je jongle entre les trois, selon. Et surtout Ne pas oublier les mises à jour. Mettre à jour son système, le Torbrowser, sa clef Tails. Pour le TorBrowser et sa mise à jour, on pourra lire Comment vérifier l'intégrité du TorBrowser quand on le télécharge ?.

En conclusion, je dirai qu'il faut garder en tête que chaque jour on en apprendra un peu plus sur la sécurité, que chaque jour on fera des erreurs et qu'il faut apprendre de ces erreurs. Il faut sans cesse se remettre en question. Et lire ce blog (en particlier lire les anciens billets (auxquels je fais référence)) ; lire d'autres blogs. Discuter. Expérimenter. Partager. Apprendre. Et m'envoyer des mails, que j'apprenne des choses, que l'on discute et que je repartage ensuite mes connaissances nouvellement acquises ;-)