PROJET AUTOBLOG


Le Blog de Genma

source: Le Blog de Genma

⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

FirefoxOS - ZTE a une FAQ

jeudi 1 janvier 1970 à 01:00

ZTE a "enfin" une FAQ sur son site http://www.ztefrance.com/assistance/#faq

Il y aussi deux fichiers PDF, à savoir :
- un guide de Mise à jour logicielle pour le ZTE OPENC
- un Guide de démarrage rapide utilisateur.

Ainsi que dans la partie logiciel :
- la ROM pour une mise à jour logicielle par carte mémoire (consulter la notice)
- Logiciel de root (pour utilisateurs avancés)

Rappel. En dehors de la FAQ de ZTE, les autres sources d'aide et d'informations étant principalement :
Forum d'aide
- Questions et réponses récentes Firefox OS
- Firefox OS sur Geekozone
Réseaux sociaux
- Tag FirefoxOS sur Diaspora-fr.org
- Tag FirefoxOS sur Twitter

Quid d'une mise à jour en version 2.0 ?

Un nouveau commentaire par Service Client ZTE a été ajouté sur Entraide Libre, je le cite ici :

Bonjour,

Pour plus de précisions, ZTE étudie bien la faisabilité d'un portage de FFOS 2.0 mais le timing dépendra de la mise à disposition par la fondation Mozilla. En effet la version 2.0 n'est pas encore prête pour être lancée commercialement sur des produits car elle contient encore des bugs.

La version FFOS 2.0 est donc "Code complète" mais nécessite encore du travail pour pouvoir atteindre la qualité nécessaire pour être commercialisée.

Cordialement, Service Client ZTE

Chiffrofête chez Mozilla

jeudi 1 janvier 1970 à 01:00

Le samedi 18 octobre, de 14h à 18h,je serai dans les locaux de Mozilla, au 16 Bis Boulevard Montmartre 75009 Paris, pour en animer un "café vie privée - chiffrofête - cryptoparty" (appellation au choix)

On parlera de tout ce qui touche à la vie privée, à l'anonymat sur Internet etc. et aux outils associés, et de façon vulgarisée, comme nous le faisons régulièrement depuis plus d'un an maintenant, le tout sur fond de logiciel libre.

Si vous souhaitez venir, merci de remplir le Framadate
http://framadate.org/5uffub3ihixvhs59 le but est de comptabiliser le nombre de participants (pour des raisons de sécurité lié à l'occupation des locaux de Mozilla).

Je suis dispo par mail,Twitter @genma, diaspora pour répondre à vos questions. N'hésitez pas à diffuser l'information. Merci à vous.

Comment vérifier l'intégrité du TorBrowser quand on le télécharge ?

jeudi 1 janvier 1970 à 01:00

Ce texte est un complément à mon tutoriel Comment vérifier l'intégrité d'un fichier que l'on télécharge ?

Télécharger le Tor Bowser bundle, c'est bien. Vérifier que le fichier est intègre, c'est mieux.

Il est fortement déconseillé d'utiliser autre chose que le TorBrowser pour surfer sur le web via Tor (en utilisant Firefox en configurant le proxy par exemple). Le TorBrowser contient beaucoup de modifications pour être plus sécurisé et on ne fera jamais aussi bien. Les extensions que l'on peut avoir rendent le navigateur que l'on a perméable, en lui ajoutant des failles potentielles... Bref, il faut utiliser le TorBrowser ou Tails pour utiliser le réseau Tor.

Utiliser le TorBrowser, c'est bien. Mais encore faut-il qu'il soit à jour. Le navigateur, a son lancement, vérifie qu'il est bien à jour et le signale dans le cas contraire. Le réflexe que l'on doit alors avoir est de le mettre à jour. Et là, comme lors du premier téléchargement et à chaque fois qu'on le télécharge, on doit vérifier l'intégrité des fichiers.

Il existe des tutoriaux en vidéos pour les différents OS sur la page https://www.torproject.org/projects/torbrowser.html. Ils donnent la série de commande à taper. En bon informaticien, et adapete du lifehacking, je connais l'utilité de scripter en shell.

Sous Linux - le Tor Browser Launcher

Avec le Tor Browser Launcher., c'est fait automatiquement, le code source est disponible et auditable (je l'ai fait pour la partie script - hors librairie utilisée). J'ai donc confiance dans ce script et je vous renvoie vers ce projet.
A lire sur ce sujet :
- le Tor Browser Bundle
- AppArmor bloque le Tor Browser Launcher

Sous Windows

Sous Windows, il n'existe pas d'équivalent du Tor Browser Launcher.

Je n'ai pas le temps ni l'envie de recoder le script de Tor Browser Launcher car le script est assez lié à Linux. Mais j'ai envie de gagner du temps et ne pas toujours faire les mêmes choses. Alors, j'ai fait un script assez spécifique à mon environnement Windows, mais que je partage, vu que je l'ai commenté.
Rq : je n'ai pas encore de script exploitable sur n'importe quelle machine Windows, ça marche juste dans mon environnement que je maitrise ; je ne vais aussi loin que le Tor Browser Launcher qui est un script Python qui repose sur Linux (et le fait que GPG est installé).

Prérequis :
- Avoir cygwin d'installer
- Avoir gpg pour Windows d'installer.

Quand je l'utilise ? Quand le TorBrowser me signale qu'il n'est plus à jour, je le ferme. Je lance ce script et le script va récupérer la dernière version du TorBrowser Bundle,(via wget), vérifier via la clef que le fichier téléchargé est correct. Si c'est bon, je supprime l'installation du TorBrowser existante et je relance son installation via l'exécutable que je viens de télécharger.

#!/bin/sh
#--------------------------
# Récupération des fichiers
#--------------------------
# La page de téléchargement du TorBrowser est toujours la même. Je récupère la page en elle-même pour
# en extraire les noms des fichiers important à savoir :
# - torbrowser-install-3.6.3_fr.exe
# - torbrowser-install-3.6.3_fr.exe.asc
# Rq : le numéro de version, ici 3.6.3 change, mais le motif "_fr.exe" est fixe et me permet de filtrer sur l'exécutable
# et sur le fichier .asc, clef de vérification de l'exécutable.
wget "https://www.torproject.org/projects/torbrowser.html.en" --user-agent="Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6" -O "torbrowser.html"
cat torbrowser.html |grep _fr.exe|awk -F'"' '{print $2}'|sed "s/\.\./https:\/\/www.torproject.org/g"|while read url
do
# Pour chaque nom de fichier correspondant au filtre "_fr.exe" (il y en a deux, le .exe et le .asc)
nomFichier=`echo $url|awk -F'\/' '{print $7}'`
# On récupère le fichier
wget $url --user-agent="Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6" -O $nomFichier
done
#----------------------------------------------
# Vérification du fichier .exe via la clef .asc
#----------------------------------------------
# On récupère la clef publique nécessaire pour utiliser le fichier .asc
gpg.exe --keyserver x-hkp://pool.sks-keyservers.net --recv-keys 0x416F061063FEE659
gpg.exe --fingerprint 0x416F061063FEE659
gpg.exe --verify torbrowser-install-3.6.3_fr.exe.asc torbrowser-install-3.6.3_fr.exe
#----------------
# Reste à faire
#----------------
# Vérifier le retour de la commande gpg.exe --verify de façon automatisée
# En testant le code retour par exemple, avec signalement d'erreur...

Pour la solution Windows, c'est largement perfectible mais chez moi ça marche et ça m'est utile. Si ça peut l'être à d'autres, tant mieux, d'où le partage.

Sur le même sujet
- Comment vérifier l'intégrité d'un fichier que l'on télécharge ?.
- Comment vérifier l'intégrité de Firefox quand on le télécharge ?.

Comment vérifier l'intégrité de Firefox quand on le télécharge ?

jeudi 1 janvier 1970 à 01:00

Le but est de montrer, via un cas concret, une sorte de tutoriel, une application de mon billet théorique Comment vérifier l'intégrité d'un fichier que l'on télécharge ?.

Pour ce faire, on se rend sur la page de téléchargement de Firefox https://www.mozilla.org/en-US/firefox/all/.

Le lien qui est fourni est un lien vers https://download.mozilla.org/?product=firefox-stub&os=win&lang=fr

Ce lien ne nous intéresse pas. Il nous faut "le vrai lien". Pour ce, dans la fenêtre de téléchargement de l'exécutable, on récupère le chemin vers la source du fichier téléchargé. A savoir https://download-installer.cdn.mozilla.net/pub/firefox/releases/32.0.3/win32/fr/Firefox%20Setup%2032.0.3.exe

On utilise ce chemin pour remonter dans l'arborescence du serveur, au niveau de https://download-installer.cdn.mozilla.net/pub/firefox/releases/32.0.3/

Là, on aura les différents sous répertoires des différentes versions de Firefox pour les différents systèmes d'exploitations, mais surtout, c'est là que l'on trouvera différents fichiers :
- MD5SUMS et MD5SUMS.asc
- SHA1SUMS et SHA1SUMS.asc
- SHA512SUM et SHA512SUMS.asc

Si on regarde le contenu du fichier MD5SUMS, il contient pour tous les fichiers que l'on peut télécharger le hash (MD5) des exécutables.

Le MD5SUMS.asc est la signature numérique (GPG) du fichier contenant les hashs.

On vérifie que le fichier contenant les signatures est bon (application de Comment vérifier l'intégrité d'un fichier que l'on télécharge ?) via un

gpg --verify MD5SUMS.asc MD5SUMS

Puis on fait un

md5sum FirefoxSetup32.0.3.exe

et on compare le résultat obtenu (par exemple 36daf51ab56a8b56acbe727e843a7304) à celui contenu dans le fichier MD5SUMS.

Si les deux codes correspondent, le FirefoxSetup32.0.3.exe est bon. On peut l'installer en confiance.

Conclusion

De cette façon, je sais que mon fichier Firefox.exe est bon, n'a pas été corrompu et est bien celui que Mozilla propose au téléchargement (il ne sera pas une version modifié pour ajouter des spywares par exemple).

Ce n'est pas le binaire de Firefox OS qui est signé numériquement, mais le fichier des signatures, ce qui est mieux que rien. (Par exemple, dans le cas du TorBrowser , c'est l'exécutable de l'installeur qui est signé mais il est vrai qu'il y a beaucoup moins de versions différentes).

Sur le même sujet
- Comment vérifier l'intégrité d'un fichier que l'on télécharge ?.
- Comment vérifier l'intégrité du TorBrowser quand on le télécharge ?.

Freemobile et partage de connexion - Attention

jeudi 1 janvier 1970 à 01:00

Freemobile et partage de connexion

Quand on a un abonnement Freemobile, il est possible d'utiliser son smartphone pour partager sa connexion en WIFI. Le Smartphone sert alors de "routeur Wifi". Avec un autre appareil (smartphone, tablette, PC), on se connecte au Wifi fourni par le smartphone, et qui fournit alors un accès à Internet via la connexion 3G et l'abonnement Freemobile.

Attention

Le problème est que quiconque se connecte sur ce Wifi est vu par les sites de Free comme étant sur une connexion Free, mais et également automatiquement authentifié sur les sites de Free et en particulier sur le site Mobile.free.fr. La puce Freemobile contient les identifiants et mot de passe et permet de ne pas avoir à saisir ses identifiants quand on va sur le site, pour consulter son solde de consommation par exemple.

Mais sur ce site, on peut également faire différentes opérations, dont des achats/commandes de smartphone.

Quiconque se trouve connecté au WIFI peut aller sur ce site et effectuer ses opérations. Il faut donc que les personnes se connectant soient de confiance et que le WIFI soit protégé par une clef WPA, afin de pas laisser le réseau ouvert à tous. Il y a peu de risques, mais le risque existe.

Et chez Orange ?

Orange - Connexion Wifi à une livebox

Lorsque vous êtes connecté à une Livebox, vous êtes implicitement identifié sur orange.fr et pouvez accéder directement à la messagerie Orange. Il est possible de ne pas être automatiquement identifié sur orange.fr, mais pour cela, il faut avoir créer un compte secondaire.

Il n'y pas de réseau “invité” distinct sur la Livebox. Conséquence : N'importe qui accède au réseau (un ami à qui on donne le code) à donc accès à toute la correspondance mail, aux factures détaillées de téléphone et au moyen de changer tous les mots de passe...