Pour présenter l'extension Ssleuth, j'ai traduit en l'adaptant la description (en anglais) de la page de présentation de l'extension, page qui permet également d'installer l'extension.

Présentation de l'extension

Comment connaitre le niveau de sécurité de la connexion Https ?

L'extension SSleuth établie une connexion SSL / TLS et donne alors un bref résumé sur l'algorithme de chiffrement utilisé, les caractéristiques du certificat et d'autres paramètres SSL / TLS plus avancés. SSleuth a été développé avec l'intention d'évaluer les algorithmes de chiffrement utilisés dans une connexion SSL / TLS. Le projet maintient une liste d'algorithmes de chiffrement qui sont intégrés par défaut dans Firefox et un niveau de notation pour chacun d'eux. Quand on se connecte à une page de façon sécurisée, une note est calculée et affichée à côté de l'URL dans la barre d'adresse.

Le but est d'améliorer les outils de chiffrement et la visibilité du certificat pour l'utilisateur, en notant les paramètres et en indiquant le niveau via une couleur appropriée.

L'onglet "add-on" donne quand à lui des informations sur le perfect forward secrecy, l'état de la connexion de Firefox état ainsi que des détails sur le certificat utilisé.

Cet outil se veut comme un moyen d'informer les utilisateurs avancés et comme les simples citoyens sur la qualité de la connexion SSL. Voir à ce sujet mon billet Https le cadenas ne suffit pas .

Personnellement je trouve que c'est une très bonne initiative, qui va dans le bon sens, et je l'ajoute à la liste des extensions à présenter lors des chiffrofêtes et autres cryptoparties.

D'autres extensions complémentaires

Afin de se connecter dès que possible en Https, il y a l'extension HTTPS Everywhere, indispensable, qui permet de se connecter automatiquement en https (en forçant la connexion dans ce mode quand le site propose une connexion SSL).

Pour valider que le certificat utilisé pour établir la connexion https est le bon, et ainsi éviter des attaques de l'homme du milieu (voir à ce sujet mon billet Man in the middle par l'Entreprise), il y a l'extension Certificate Patrol.

Présentation de l'éditeur

Aujourd'hui, la question n'est plus de savoir si tout le monde aura droit à son quart d'heure de célébrité, mais bien de savoir si l'on pourra encore avoir droit à un quart d'heure d'anonymat…

Avec l'internet et les « nouvelles technologies » apparaît aujourd'hui un paradoxe de la vie privée : d'un côté, nous aimerions pouvoir nous exprimer en toute liberté, de l'autre, nous avons toujours peur d'être fichés. Nombreux sont ceux qui affirment que les jeunes internautes seraient impudiques, voire exhibitionnistes, comme si le net se divisait en deux camps : ceux qui montrent leurs fesses sur Facebook, et ceux qui les reluquent. Pourtant, quand on étudie ce que les jeunes font réellement sur ces réseaux sociaux, on découvre qu'ils savent tout à fait y protéger leur vie privée. Et s'ils ne faisaient qu'appliquer sur l'internet les libertés que nos grands-parents ont chèrement conquises au sein de la société ?

Dans La vie privée, un problème de vieux cons ? Jean-Marc Manach met en évidence le fait que ceux qui agissent pour faire du net un formidable espace de liberté d'expression jettent les bases de profonds bouleversements sociaux, économiques et politiques, comme les féministes ont pu le faire en levant les tabous sur la sexualité. Il démontre que la problématique ne se réduit pas à un problème de génération divisant « vieux » et « jeunes de l'internet », mais qu'il s'agit d'un véritable enjeu politique et de civilisation. Et que la véritable question est bien celle de nos libertés.

Or, sans vie privée, il n'est point de libertés. La société de l'information devenant de plus en plus une société de surveillance, l'auteur en dresse un panorama critique et en décrypte tous les ressorts. Cet ouvrage propose également toutes les techniques pour protéger sa vie privée et garantir ses libertés sur l'internet. C'est un livre qui apporte un éclairage inédit à un débat de société essentiel, et qui devrait rassurer tous ceux (parents, enseignants, politiques, etc.) que l'internet angoisse…

A propos de l'auteur

Cofondateur des Big Brother Awards et spécialiste de l'impact des technologies sur la société, des questions de surveillance, de libertés, de vie privée et de sécurité informatique, Jean-Marc Manach est journaliste d'investigation.

https://twitter.com/manhack
http://jean-marc.manach.net
http://bugbrother.net
La vie privée, un problème de « vieux cons » ? de Jean-Marc Manach http://www.fypeditions.com/la-vie-privee-un-probleme-de-vieux-cons/

La critique du Genma

Ecrit et publié en juin 2010, soit quelques temps (années) avant les révélations d'Edward Snowden, ce livre révèle déjà un certain nombres de problématiques liées à la vie privée et l'usage d'Internet et plus particulièrement des réseaux sociaux (les photos de soi dénudé postée comme étant privée alors qu'elles sont publiques, pour ne citer que cet exemple).

Mais ce livre parle également des thèmes qui semblent chers à Manach, comme le fichage policier et autres systèmes de surveillance (il y a une partie consacré au fichier EDVIGE, pour ne citer que ça...), le rôle de la CNIL dans la conservation des données à caractères personnelles... Soit des thèmes qui ne sont forcément directement associés à Internet.

En lisant ce livre, j'ai eu l'impression d'être face au témoignage d'une époque, car il y a beaucoup de citation de discours des politiciens sur Internet et ses dangers, ce far-west... Les choses ont changées, évoluées, certaines sont dépassées, d'autres sont encore d'actualités.

Si l'on analyse l'évolution du discours des politiciens, on voit bien que ce dernier n'a guère évoluer et est toujours un mélange d'incompréhension, de méfiance et de volonté de contrôle et de régulation.

Par contre, les problématiques de l'espionnage en masse de la population (cf les révélations de Snowden) sont nouvelles et, ce qui aurait pu passer pour une exagération voir de la paranoïa semble bien léger et en deçà de ce que c'était la réalité. Sur les problématiques de fichage des citoyens et de l'incohérence des données des fichiers policiers, cela n'a pas changé.

Manach parle de moyens de protections, parle de Tails, de Tor, de chiffrement. On retrouve donc dans ce livre des conseils encore valable, d'autres sont à améliorer, perfectionner, et à adapter à son modèle de menace.

En conclusion, je dirais que ce livre, c'est un peu "savoir d'où l'on vient pour mieux savoir où l'on va".

Présentation de l'éditeur

Un panorama complet des jeux vidéos des années 1990 à nos jours, de la sortie de la première Playstation en 1994 à l'avènement des jeux vidéo sur PC, présenté par Marcus, un joueur passionné, le héros des geeks.

Marcus, le dinosaure du joystick, enfin décongelé de son 20e siècle natal, est de retour pour nous raconter la suite de l'aventure des jeux vidéo. Désormais, finies les salles d'arcade, les consoles se sont invitées dans tous les salons, et on peut même jouer à plusieurs. Les possibilités sont infinies, et Nintendo, Sony et les autres l'ont bien compris.

NOS JEUX VIDÉO 90-2000 chez HorsCollection
Acheter Nos Jeux vidéo 90-2000 par Marcus

La critique du Genma

Ce livre est la suite de Nos Jeux-Vidéos 70-90 que Marcus avait écrit quelques temps auparavant et publié chez le même éditeur. Parcourir 20 ans de jeux vidéos (oui 20 ans, contrairement à ce que laisse à penser le titre) en 144 pages n'est pas forcément un exercice facile, mais Marcus s'en tire pas mal.On sent que c'est un journaliste qui a quelques années d'écriture derrière lui et qui a l'habitude d'écrire. Les textes sont bien écrits et on prend plaisir à la prose de Marcus, qui partage ses souvenirs, des coups de coeurs ou coup de gueule sur plusieurs générations de consoles. De la Playstation première du nom à la Wii, en passant par les différents consoles des différentes générations (Playstation, Staturn, Nintendo 64 - Playstation 2, Dreamcast, GameCube, Xbox...), on aborde les jeux qui ont marqués ces générations.

Ce livre ne fait que 144 pages, ce n'est pas une encyclopédie, mais un témoignage d'une époque, et on lira le livre parce qu'il est écrit par Marcus. Comme il le dit lui-même, si on veut quelque chose de complet, il faudrait plusieurs livres par console et ce n'était pas le propose de ce livre.

Marcus est un grand fan de Star Wars et ça se voit dans le titre des grandes parties du livre, avec une illustration hommage aux affiches, mais pour la partie 3, c'est un clin d'oeil aux Seigneurs des Anneaux qui est fait.

Dans les reproches que je ferai, il y a le fait que les captures d'écrans des jeux en illustration sont souvent trop petites, parfois même pas dans l'ordre d'évocation des jeux dans le corps du texte. En illustration toujours, on a beaucoup trop de photos de goodies et autres figurines qui prennent trop de place dans la mise en page. Certes quand on connait le côté collectionneur de Marcus, ces jouets et autres figurines correspondent bien au personnage. Mais on a l'impression que ces photos de jouets viennent combler le manque d'illustrations des jeux-vidéos.

Le livre ressemble aux autres livres de la même collection (et est donc perfectible), mais il est une bonne idée de cadeau à se faire ou à offrir à un ami geek.

Chez le même éditeur :
Nos Jouets 70-80 de Sébastien Carletti et Vincent Dubost
Critique du livre Generation Galactik de Vincent Dubost
Nos dessins animés des années 70-80

Korben parle sur son blog de la (Découverte d'un noeud TOR qui insère un malware dans les exécutables que vous téléchargez) un noeud TOR qui au lieu de relayer simplement les paquets, s'amuse à insérer un malware dans tous les binaires que les gens téléchargent. Et conseil à juste titre Pour éviter cela, une seule solution d'après ce chercheur : Servir les téléchargements de binaires uniquement via SSL/TLS. (Comprendre : utiliser une connexion en httpS).

Je rajouterai qu'il faut également, comme je l'expliquais ici, vérifier l'intégrité d'un fichier que l'on télécharge. Voir également Comment vérifier l'intégrité de Firefox quand on le télécharge ? et Comment vérifier l'intégrité du TorBrowser quand on le télécharge ?

La semaine dernière, Quack1 avait déjà parlé de ce problème de noeud corrompu dans son billet Ne vous croyez pas trop en sécurité avec Tor.... Comme il fait un certain nombres de réflexions intéressantes sur l'usage de Tor, je cite celles qui me semble les plus que pertinentes : Tor ne vous apporte que de l'anonymat. Utiliser Tor pour naviguer sur Internet ne vous assure pas une entière sécurité. Votre trafic est conditionné par la bonne foi des administrateurs de tous les nœuds Tor. Ils ont accès à tout votre trafic, ce qui leur permet d'interagir avec vous, même sans savoir qui vous êtes. Ils peuvent absolument tout faire avec votre trafic réseau.(...)

Tor vous anonymise. Point.

Le serveur que vous contactez peut quand même vous envoyer de la merde. Votre poste est peut-être déjà infecté. Les intermédiaires sur le réseau (votre FAI, les nœuds Tor, les FAI entre l'exit node et le serveur) peuvent être compromis ou malveillants. Tor n'apporte en rien une sécurité supplémentaire autre que votre anonymat. Donc faites attention à ce que vous faites sur Internet et utilisez le chiffrement au maximum pour vous protéger, au moins, des intermédiaires.

Cela montre qu'utiliser Tor ne suffit pas, qu'il faut comprendre ce que l'on fait. Je vous invite d'ailleurs à lire ou relire Vous voulez que Tor marche vraiment ?. Et surtout Mettre à jour régulièrement le TorBrowser, et pour ce, suivre le blog de Tor qui annonce les nouvelles sorties

Le concept

L'Internet des objets représente l'extension d'Internet à des choses et à des lieux dans le monde physique. Alors qu'Internet ne se prolonge habituellement pas au-delà du monde électronique, l'internet des objets (IdO) a pour but de l'étendre au monde réel en associant des étiquettes munies de codes, de puces RFID ou d'URLs aux objets ou aux lieux. Ces étiquettes pourront être lues par des dispositifs mobiles sans fil, ce qui devrait favoriser l'émergence de la réalité augmentée. Source de la définition.

L'Internet des objets, c'est le mot à la mode, qui n'a pas encore de véritable définition. Il y a derrière ces mots les notions de domotique, d'objets communicants", de "wearable devices" - qui correspondent à des objets que l'on porte sur soi dans lesquels on intègre de la technologie - comme les lunettes Google Glass ou les bracelets de fitness. Avec IPv6, chaque objet peut avoir sa propre adresse IP et peut donc être relié à Internet. On peut donc imaginer que chaque objets connectés propose un certain nombres de services associés.

Un exemple concret pour mieux comprendre ? On ajoute un lecteur RFID associé au frigo par exemple. A chaque produit que j'ajoute ou que j'enlève du frigo, la liste de course (stockée dans le cloud) est mise à jour et est accessible via une application sur mon smarpthone. Ainsi, quand je suis au magasin, je peux facilement savoir où j'en suis dans la consommation de tel ou tel produit et ce qu'il me faut acheter. Et on peut même imaginer que l'on me propose des réductions/promotions personnalisées, de tester tel ou tel produit, vu que l'on sait les produits dont j'ai besoin...

Pour la domotique, ce peut être le scénario suivant. D'un clic sur un icone dans une application, je dis que je vais me coucher et tous les volets roulants se ferment tout seul, il y a une vérification que la porte d'entrée et du garage sont bien fermés à clef (et dans le cas contraire, la fermeture se fait), les lumières s'éteignent, le chauffage se réduit dans le salon... Ou je suis sur le chemin de retour à mon domicile, je lance le four pour que le repas soit chaud quand j'arrive...

Avec le bracelet que je porte au poignet, on sait comment je dors, ma qualité de sommeil. Et on peut déterminer mon état de santé, les risques que je prends, et me conseiller en conséquence pour que j'ai une meilleure hygiène de vie...

Le problème

Ce qui me gène avec tous ces objets connectés et ce concept d'Internet des objets, c'est que, ce qui sur le papier, semble bien pratique, facilite la vie, nous amène en réalité à fournir toujours plus de données personnelles.

Sous couvert de services que nous fournissent les sociétés, ces mêmes société récupèrent énormément de données qui, cumulées, sont analysées ou revendues à d'autres sociétés.

Toutes ces données qu'il est nécessaire de récupérer pour nous fournir un service, où vont-elles ? Chez le fournisseur du service. Et quelle exploitation est réellement faite de ces données ? On nous assure un meilleur suivi, mais qu'en est-il des alliances commerciales avec des groupes d'assurances par exemple ? Il ne faut pas oublier le fameux adage, si c'est gratuit, c'est vous le produit. Personnellement, j'apparente ça à une forme d'espionnage/atteinte à la vie privée consentie, choisie... mais aussi subie.

En ayant un téléphone et un ordinateur, en surfant sur le web, je donne déjà beaucoup trop d'informations sur moi-même. Je parle suffisamment et régulièrement à travers les différents articles de ce blog du fait que je suis contre et que j'essaie de limiter ça, pour ne pas m'attarder plus sur ce sujet ici. De plus, pour le geek et libriste que je suis, je constate que nous n'avons aucun contrôle sur le matériel et le logiciel. Il y a l'obsolescence programmée qui fait que si le service est arrêté ou le support du modèle arrêté (pour mieux vendre une version plus évoluée...), ces objets ne servent plus à rien et ne sont plus fonctionnels. Qu'en est-il de l'évolutivité et du maintient du logiciel ?

Avec cet Internet des objets, on rajoute encore plus d'informatique (et donc des déchets potentiels) dans nos maisons, informatique sur laquelle on aura aucun contrôle... Bidouiller soi-même des solutions doit être bien marrant/intéressant, tant que l'on a la maitrise du système (voir à ce sujet les articles taggués Domotique de Turb(l)o(g)). Mais qui dit bidouille/hack ou autre, dit que ce n'est pas à la portée du grand publique qui préférer les solutions clefs en main, gratuites, à la mode... qui exploitent ses données personnelles réduisant d'autant sa vie privée... A méditer.