Ce texte est une traduction - libre adaptation du texte (donc non littérale) Account Password Security : Basic Edition publié sur le blog greplinux.

Pourquoi cette traduction

Suite à mes articles
Changement de mot de passe et testament numérique
Keepass, TrueCrypt
Les phrases de passe
Des mots de passe que l'on utilise au quotidien...
Free et les mots de passe
Je trouvais que cet article viendrait parfaitement compléter les informations et conseils évoqués dans mes écrits. J'ai donc pris le temps de traduire Account Password Security : Basic Edition en français pour rendre le texte accessible aux non-anglophones. Si vous lisez l'anglais, le site greplinux.
contient d'autres textes qui viennent compléter la présente traduction.

La version courte

Avoir les mêmes informations d'identifications (nom d'utilisateur et mots de passe) entre de nombreux comptes en ligne est une habitude dangereuse qu'il est difficile de briser. Je propose donc les étapes suivantes comme un moyen acceptable permettant de résoudre le problème :
Utiliser un logiciel de gestion de mot de passe comme KeePassX ;
Lister tous les comptes en ligne dont vous avez connaissance, vous êtes au courant et explorer votre boîte mail pour retrouver des comptes que vous auriez oublier.
Si vous n'avez plus utilité de ce compte, supprimez le, si possible.
Si l'authentification à deux facteurs est disponible, activez-la.
Supprimer toutes informations personnelles non-critique/obligatoire/nécessaire, et plus particulièrement pour les comptes déjà existants.
Générer un nom d'utilisateur unique aléatoire (si vous pouvez le changer) et mot de passe (de la longueur maximale et utilisant le plus de caractères possibles) et conservez le dans le logiciel de gestions de mots de passe (KeePassX).
Si une question de type "sécurité" est nécessaire, créer une entrée dans le logiciel de gestions de mots de passe avec une réponse aléatoire et prenez en note l'emplacement et la question comme entrée de base de données de KeepPassX.
Verrouillez le logiciel de gestion de mots de passe. Utiliser un mot de passe unique, mémorisable et fort.
Profitez de la possibilité de cliquer sur des boutons pour vous connecter à vos comptes !

Motivation et récentes fuites de mots de passe

Pour la plupart des gens, les mots de passe sont plus gênant qu'autre chose. Généralement, c'est ainsi que les gens agissent :
ils ont quelques mots de passe courts faciles à mémoriser, de base, qu'ils utilisent autant possible
ils ne modifient les mots de passe que quand un site les y oblige
les mêmes questions de sécurité / réponses sont utilisées aussi souvent que possible, parfois sans même savoir que ces informations sont faciles à trouver et publiques.

Du point de vue de la sécurité, c'est une catastrophe mais vous pouvez difficilement blâmer ces personnes ; les mots de passe sont vétustes et en plus inefficaces étant donné le nombre de comptes que la plupart des gens ont. En effet, Google est parmi ceux qui tentent de remplacer la sécurité par mot de passe avec une 2ème facteur universel, ou une clé physique U2F parmi d'autres approches.

Nous sommes actuellement dans une situation potentiellement dangereuse où la sécurité de n'importe quel site qui serait compromis pourrait conduire à la compromission de plusieurs autres comptes d'un utilisateur du fait de la réutilisation des titres de compétences. Nous vivons dans cette triste réalité où les sociétés et d'autres entités ont des pratiques de sécurité sous-optimaux voir carrément pauvres qui permettent la violation de nos données, aboutissant à de combinaisons de nom d'utilisateur / mot de passe et des informations personnelles, qui se retrouvent dans les mains de criminels.

LinkedIn est un telle société avec de mauvaises pratiques de sécurité, ce qui a abouti à ce que pas moins de 3,5 millions de mots de passe en clair soit diffusé dans la nature, et les assaillants/attaquant auraient récupérés les adresses mails associés aux mots de passe. Ok, vous êtes un geek tech et vous avez entendu parler ce cette histoire et avait changé votre mot de passe LinkedIn ? Eh bien, c'est un début, mais si vous avez des comptes qui utilisent ce même mot de passe,ils sont aussi à risque. ainsi ; Facebook, en étant conscient de cela, a répondu à l'existence d'une récente faille de sécurité d'Adobe en avertissant ses utilisateurs et de changer les questions de sécurité et d'utiliser un nouveau mot de passe .

Une lumière au bout du tunnel

Même si votre gestion de la sécurité du mot de passe n'est pas aussi mauvaise pire que dans les cas décrits ci-dessus, je vous invite à demander à quel point votre situation est optimale :
Chaque compte a-t-il un nom d'utilisateur unique aléatoire (si possible), avec un mot de passe unique et le plus grand possible
Chaque question de sécurité a-t-elle une réponse générée de façon aléatoire ?
Quand c'est possible, avez-vous activer l'authentification à deux facteurs ?
Un minimum de renseignements personnels sont-ils bien conservés pour chaque compte ?

Cela semble... faisable, non ? Ok peut-être que cela semble absurde et déraisonnable, mais de nos jours il est tout à fait possible de réaliser cela de manière hautement sécurisée, tout en faisant en sorte que ce soit facile à utiliser (au moins plus facile que de se rappeler lequel des vingt variantes d'un mot de passe faible va avec quel site).

Les logiciel de gestion de mot de passe

Le plus gros morceau du puzzle est le logiciel qui gère les mots de passe pour vous. Je vais souligner deux solutions populaires, dont l'une est uniquement en ligne et dont la source fermée et l'autre source en ligne uniquement et ouvert :

KeePassX (multi-plateforme)
KeePassDroid (Android)
MiniKeePass (iOS)
LastPass (multi-plateforme)

Notez que quel que soit votre choix, vous devez utilisez un mot de passe pour accéder à la base de données du logiciel (qui contient tous les mots de passe) ! Cela va être l'un des derniers mots de passe que vous aurez besoin mémoriser et sera également l'un des goulots d'étranglement en matière de sécurité.

KeePassX Même si vous n'êtes pas familier avec ce genre de logiciel - il est assez simple, mais il y a quelques détails à connaître pour tirer le meilleur parti de la sécurité qu'il offre.

Pour les smartphones Pour accéder à votre base de données de mot de passe sur votre appareil mobile, vous aurez besoin d'une application appropriée ; pour Androids, je préfère KeePassDroid.

LastPass LastPass est une version équivalente en ligne à KeePassX ; il suit le même concept, sauf le logiciel de gestions de mots de passe chiffré est stocké sur leurs serveurs. À mon avis, c'est une bonne raison pour utiliser une solution stocké localement comme KeePassX sur LastPass. Tandis que KeePassX est open source (ce qui signifie que vous avez la possibilité de vérifier le code source vous-même) et local (ce qui signifie votre sécurité est toujours entièrement entre vos mains) LastPass vous oblige à faire confiance à la sécurité du code source fermé de LastPass, ce qui exige également de faire confiance dans la sécurité de la version web. Et rappelez-vous qu'une partie de la motivation pour utiliser des mots de passe uniques pour nos comptes en ligne est lié au fait qu'on ne peut faire confiance aux services en ligne quand à leurs sécurité. Cela étant dit, il n'y a pas eu d'attaques contre LastPass à ce jour qui ait conduit à de vérifiable fuite d'information des informations des comptes, et comme leur base d'utilisateurs serait probablement très fortement diminuer si une tel incident arrivait, ils ont un intérêt financier à faire en sorte que leur sécurité soit optimale.

Au moment de l'écriture de ce texte, je n'ai pas utilisé LastPass moi-même, mais il a assez bonne réputation et suit les mêmes principes que KeePassX. Noter qu'il semble que leur application mobile soit payante.

L'authentification à deux facteurs

Il s'agit d'une méthode de renforcement de la sécurité de l'authentification par mot de passe ; des services comme battle.net, Google, GitHub, Twitter, Facebook, etc l'offrent tous sous une certaine forme. L'idée est que vous recevez, soit via un dispositif physique spécifique, soit via une application mobile que vous avez installé, ou encore via un message SMS, le "second facteur" d'authentification à fournir, généralement un code à usage unique. En d'autres termes, non seulement vous devez connaître le mot de passe, mais vous devez également être en possession d'un dispositif physique afin de vous connecter à un compte. Ce n'est pas la sécurité absolue, des logiciels malveillants ciblées peuvent encore faire des choses comme effectuer des attaques man-in -the-middle pour voler les informations d'identification de l'utilisateur. Pourtant, cela va vous prémunir contre la vulnérabilité des comptes partageant les mêmes mots de passe.

Presque tous les systèmes d'authentification à deux facteurs que j'ai rencontré était compatible avec Google Authenticator (Android et iOS) , et sa mise en place peut être fait simplement en scannant un QR code avec votre smartphone. Une fois mis en place, il vous suffit de tirer vers le haut l'application lors de la connexion et après avoir fourni votre nom d'utilisateur et mot de passe, vous aurez également fournir le code à usage unique que vous recevez.

Trouver les comptes

Une fois que vous serez familiariser avec votre logiciel de gestion de mot de passe, la voie vers la réalisation des objectifs ci-dessus est visible. Malheureusement vient maintenant la partie la plus fastidieuse ; en fonction du nombre de compte en ligne que vous avez accumulé cela pourra prendre une bonne partie de la journée. Vous devez traquer autant de comptes que possible ; et cela pourrait prendre beaucoup de temps. Pensez-y : le maillon faible pourrait venir d'un forum sur lequel vous vous êtes inscrit au hasard de votre jeunesse, quand vous n'aviez pas de notion de sécurité ; forum qui est toujours en place, actif, et si vous avez utilisé des informations d'identification (login/mot de passe) communes avec d'autres sites, le problème est évident.

Vous pouvez vous rappeler de la plupart des sites sur lesquels vous vous êtes récemment connectés, mais bon courage pour traquer tous les comptes que vous avez oublié. Fouillez dans votre email pour y chercher des termes comme « nom d'utilisateur », « vérifier », « vérification », « noreply », « compte », « bienvenue » et ainsi de suite et y retrouver les comptes que vous avez créer. Si vous aviez plusieurs comptes de messagerie, il faut le faire pour les différents comptes.

Sécurisation des comptes

Quand vous avez retrouvez les comptes :
Cherchez à vous connectez dessus ; utiliser les options de récupération de mot de passe si nécessaire
Si vous n'avez pas besoin de ce compte, le supprimer.
Générer des mots de passe sécurisés (long et aléatoires) et stocker les dans votre logiciel de gestion des mots de passe.
Supprimer les informations personnelles inutiles, en particulier sur les sites dont vous n'avez plus l'utilité.
Si une question de sécurité est nécessaire, créer une entrée dans le logiciel de gestions de mots de passe avec une réponse au hasard ; ajouter une note sur la question du site et la réponse.
Si le site offre une authentification à deux facteurs, mettez là en place.

Conclusion

Il s'agit là de l'essentiel de ce qui doit être fait. Une fois fini, vous aurez une base de données chiffrée qui contient des enregistrements pour l'ensemble de votre présence en ligne. Bien que cela signifie qu'il ya un point de défaillance unique, il est beaucoup plus facile de sécuriser ce maillon faible (surtout si vous avez choisi une base de données de mot de passe local comme KeePassX ) plutôt que d'avoir potentiellement des centaines de points de défaillance.

A noter qu'il est possible de synchroniser les bases de données de ce logiciels sur les différents appareils sur lesquels ils sont connectés.

A lire également sur le même sujet :
Changement de mot de passe et testament numérique
Keepass, TrueCrypt
Les phrases de passe
Des mots de passe que l'on utilise au quotidien...
Free et les mots de passe

Qu'est ce que le RIPE NCC ?

RIPE Network Coordination Centre est un registre régional d'adresses IP. Il dessert l'Europe et une partie de l'Asie, notamment au Moyen-Orient.(...)Le RIPE NCC propose des outils dont certains sont accessibles au public sur son site web. Ces outils sont utiles aux opérateurs de réseaux IP pour vérifier le bon fonctionnement de leur routage externe BGP, pour aider à la gestion des adresses publiques, pour la vérification de performances du réseau. Parmi les outils publiques nous pouvons citer le projet ATLAS. Source

Qu'est ce qu'une sonde Atlas ?

Pour présenter les sondes et le projet Atlas du RIPE, je ferai une reprise du journal de Stephane Bortzmeyer, publié sur le site Linuxfr, sous Licence CC by-sa.

Les sondes RIPE Atlas sont des petits boîtiers (made in TP-link) qui se connectent au réseau local, contactent leur maître au RIPE-NCC (l'organisme qui gère l'allocation des adresses IP en Europe) et, à la demande du maître, font un certain nombre de mesures actives :
mesure de latence (ping-style)
traceroute
requêtes DNS
analyse de certificats dans les sessions TLS
pas de requêtes HTTP, pas de mesures de capacité du réseau
L'un des principaux intérêts est que ces mesures peuvent être décidées par le RIPE-NCC (qui s'en sert pour tester son infrastructure et ses services, ou pour proposer des services supplémentaires comme DNSmon) mais aussi par les hébergeurs des sondes. Vous en avez une chez vous ? Chaque jour qu'elle est allumée, vous gagnez des crédits et cela vous permet de faire des mesures de votre choix. Vous voulez connaître la latence vers votre site depuis le Japon ? Le temps de réponse des serveurs DNS de monsieurmichu.fr ? Vous pouvez le faire, via un cliquodrome pas trop mal fichu, ou via une API (REST + JSON, bien sûr). Le code est activement développé. De nombreux articles et publications (un exemple) sont basés sur les résultats de mesures faites par les Atlas.

La sonde utilise évidemment Linux, et le code source est publié sur Github.

En avoir une chez soi ?

Actuellement, elles sont concentrées dans des zones déjà bien assez couvertes et en ajouter plus n'aurait pas forcément d'intérêt. Le projet Atlas cherche aujourd'hui à couvrir les zones sensibles (Syrie, Lybie…) et celles mal couvertes (Afrique, Asie, Amérique du sud…). Toutefois, en France, si on peut en mettre dans un endroit un peu atypique (cœur de réseau, AS non couvert, zone pas bien couverte), cela pourrait s'avérer intéressant.

Pourquoi j'en ai une chez moi

Le but de ces sondes est donc de mesurer finement la qualité de service d'Internet. Quand un ambassadeur RIPE m'a proposé d'en mettre une chez moi, j'ai accepté. Oui, moi qui suit partisan de la vie privée, qui ait des choses à cacher, j'ai donc une sonde Atlas, numérotée, dont l'adresse MAC est enregistrée dans une base de données RIPE pour sa gestion, et dont l'adresse IP (celle de ma box) est géolocalisée et associée à mon pseudo.

La sonde utilise sous Linux, et le code source est publié sur Github. Le code source est donc ouvert. Je n'ai pas regardé mais j'ai confiance dans ce code.

Ma sonde numérotée, mais je suis noyé dans la masse. Si besoin, je suis en mesure d'apprendre et d'ensuite voir et surveiller ce qui est fait au niveau réseau par cette sonde, en analysant les paquets qu'elle envoie et reçoit. En terme de consommation électrique, elle est alimentée via les deux ports USB de la Freebox à laquelle est elle reliée, Freebox qui tourne en permanence, c'est donc infime/transparent.

En ayant cette sonde branchée chez moi, j'ai le sentiment de contribuer de façon très facile à un vaste projet d'intérêt général ; c'est pour ça que je l'ai fait. C'est aussi simple que ça. Et cela m'a incité à écrire cet article, dont le but de cet article était de faire découvrir ce projet et de vous inciter à en savoir plus. Alors n'hésitez pas à creuser le sujet ;-)

Quelques liens pour en savoir plus / approfondir le sujet

Le site officiel Atlas.ripe.net
Un article sur collet-matrat.com
Et si vous installiez une sonde RIPE Atlas pour contribuer à mesurer la qualité de service d'Internet ? sur Zdnet.
Twitter du RIPE_NCC
Blog de Stephane BortzmeyerUne sonde de mesure Internet Atlas à l'Université de Yaoundé au Cameroun
Blog de Stephane BortzmeyerFaire réaliser des mesures par les sondes Atlas

Le texte qui suit est une traduction de la FAQ écrite par l'Electronic Frontier Foundation (EFF) issu de son projet torchallenge incitant à la mise en place de relais pour le réseau TOR. FAQ disponible à l'adresse suivante : https://www.eff.org/torchallenge/faq.html. Cette FAQ a été traduite par mes soins pour aider à la diffusion des informations qu'elle contient aux non anglophones. Elle contient quelques éléments intéressants sur l'aspect juridique de la mise en place d'un relais Tor aux USA. Pour aider à la mise en place d'un relais Tor en France, veuillez consulter l'association NosOignons http://nos-oignons.net/.

Note de traduction :
opérateur de relais Tor : personne ayant mis en place un relais/un noeud Tor
Dans le texte, les termes de Relais ou noeud sont indifféremment utilisés.

Début de la traduction

Nous avons besoin de votre aide pour rendre Tor plus fort. Mettez en place un relais Tor.

NOTE : Cette FAQ est fournie à titre informatif et ne constitue pas un avis juridique. Notre objectif est de fournir une description générale des questions juridiques autour de Tor aux États-Unis. Du fait des différentes juridictions des différentes pays, les réponses aux questions seront différentes. Par conséquent, s'il vous plaît, n'agissez pas en vous basant sur cette seule information ; si vous avez des problèmes juridiques spécifiques, des questions ou des questions, demander une analyse complète de votre situation avec un avocat autorisé à pratiquer dans votre juridiction. Si vous avez reçu ce document de n'importe où en dehors du site de EFF consulter la FAQ officielle sur le site https://www.torproject.org/eff/tor-legal-faq.html.

Informations générales

A-t-on jamais été poursuivis en justice pour l'utilisation de Tor ?

Non, nous ne sommes pas au courant de personne poursuivie ou de poursuites aux États-Unis juste pour avoir fait tourner un relais Tor. En outre, nous croyons que l'exécution d'un relais Tor - y compris un relais de sortie permet aux gens d'envoyer et de recevoir du trafic de manière anonyme - et est légale en vertu du droit des États-Unis.

Dois-je utiliser Tor ou encourager l'utilisation de Tor à des fins illégales ?

Tor a été conçu pour être un outil pour la liberté d'expression, la vie privée et les droits humains. Ce n'est pas un outil conçu ou destiné à être utilisé pour violer la loi, que soit par les utilisateurs de Tor ou les opérateurs de relais Tor.

Est-ce que l'EFF peut me promettre que je ne vais pas avoir des ennuis pour avoir fait tourner un relais Tor ?

Toutes les nouvelles technologies créent des incertitudes juridiques, et Tor n'y fait pas exception. Nous ne pouvons pas garantir que vous ne serez jamais face à votre responsabilité juridique à la suite de l'exécution d'un relais Tor. Cependant, l'EFF croit fermement que ceux qui mettent en place un relais Tor ne devrait pas être tenu responsable pour le trafic qui passe par ce relais.

Dois-je contacter les développeurs de Tor lorsque j'ai des questions juridiques à propos de Tor ou de les informer si je soupçonne que Tor est utilisé à des fins illégales ?

Les développeurs de Tor sont disponibles pour répondre aux questions techniques, mais ils ne sont pas des avocats et ne peuvent donc pas donner de conseils juridiques. Ils ne sont pas non plus en capacité de prévenir des activités illégales qui peuvent se produire via des relais Tor. En outre, vos communications avec les développeurs de Tor ne sont pas protégés par un privilège juridique, et dans le cadre d'un jugement ou la partie civile pourraient les assigner et obtenir toutes les informations que vous leur donnez.

Vous pouvez nous contacter info@eff.org si vous trouvez face à un problème juridique spécifique. Nous allons essayer de vous aider, mais étant donné la petite taille de l'EFF, nous ne pouvons pas garantir que nous pouvons aider tout le monde.

Est-e que les développeurs de base de Tor peuvent faire des promesses sur la fiabilité des relais Tor qui sont listés dans leur répertoire ?

Bien que les développeurs tentent de vérifier que les relais Tor figurant dans le répertoire maintenu par les développeurs du noyau sont stables et ont une bande passante adéquate, ni eux ni l'EFF ne peuvent garantir la crédibilité ou la fiabilité des personnes qui dirigent ces relais. Les développeurs de Tor se réservent également le droit de refuser la demande d'un inscription d'un relais Tor de figurer dans leur annuaire ou de supprimer n'importe quel relais de leur annuaire pour une raison quelconque.

Relais de sortie

Les relais de sortie soulèvent des problématiques particulières parce que le trafic qui sort d'eux peut être retracée via l'adresse IP de l'équipement. Bien que nous croyions que l'exécution d'un relais de sortie soit légal, il est statistiquement probable qu'un relais de sortie soit utilisé à des fins illégales, ce qui peut attirer l'attention de la justice sur ce relais.

Un relais de sortie peut transmettre du trafic qui soit considéré comme illégal, et le trafic peut être attribué à la personne ayant mis en place le noeud de sortie. Si vous n'êtes pas prêt à faire face à ce risque, un pont ou un n intermédiaire peuvent être une meilleure solution pour vous. Ces relais ne sont pas directement en sortie du trafic vers l'Internet et ne peut donc pas être facilement confondu avec l'origine du contenu prétendument illégal.

Le blog du projet Tor a d'excellentes recommandations pour l'exécution d'une sortie avec le moins de risques possible. Nous vous suggérons de consulter leurs conseils avant la mise en place d'un relais de sortie.

Dois-je exécuter un relais de sortie depuis chez moi ?

Non, si la justice s'intéresse au trafic sortant depuis votre noeud, il est possible votre ordinateur soit l'objet d'une saisie. Pour cette raison, il est préférable de ne pas exécuter de noeud de sortie depuis chez soi ou d'utiliser la connexion Internet de son domicile.

Au lieu de cela, envisager de créer un noeud de sortie dans une entreprise. Associer une adresse IP distincte à votre noeud de sortie, et n'acheminer pas votre propre trafic à travers elle.

Bien sûr, vous devriez éviter de garder des informations sensibles ou personnelles sur l'ordinateur hébergeant votre noeud de sortie, et vous ne devez jamais utiliser cette machine à des fins illégales.

Dois-je dire à mon fournisseur de services Internet que je fais tourner un noeud de sortie ?

Oui. Assurez-vous que vous avez un FAI Tor-friendly qui sait vous utilisez un noeud de sortie et qui vous soutient dans ce but. Cela aidera à assurer que votre accès à Internet ne sera pas coupée en raison d'abus et autres plaintes. La communauté Tor maintient une liste de fournisseurs de services Internet qui sont particulièrement Tor-friendly, ainsi que ceux qui ne sont pas.

Est-ce une bonne idée de laisser les autres savoir que j'ai mis en place un noeud de sortie ?

Oui. Soyez aussi transparent que possible sur le fait que vous avez mis en place un nœud de sortie. Si votre trafic de sortie attire l'attention du gouvernement ou d'un parti privé mécontent, vous attendrez d'eux qu'ils comprennent rapidement et facilement que vous faites partie du réseau Tor et que vous n'êtes donc pas responsable du contenu du trafic. Cela pourrait jouer la différence entre voir votre ordinateur saisi par application de la loi et être laissé tranquille.

Le projet Tor suggère les moyens suivants pour informer sur le fait que vous avez mis en place un nœud de sortie :

Mettez en place un reverse DNS pour l'adresse IP qui indique clairement que l'ordinateur est un relais de sortie.
Mettez en place une note explicative pour expliquer que vous avez mis en place un relais de sortie qui fait partie du réseau Tor.
Si possible, obtenir un enregistrement de l'ARIN pour votre relais de sortie qui affiche comme informations de contact vos coordonnées et non celles de votre FAI. De cette façon, vous recevrez toutes les plaintes pour abus et pourrez y répondre directement. Sinon, essayez de faire en sorte que votre FAI vous transfert les plaintes qu'il recevra pour vous.

Dois-je espionner le trafic en clair qui sort par mon relais Tor ?

Non, vous pouvez être techniquement capable de modifier le code source de Tor ou d'installer un logiciel supplémentaire pour surveiller ou voir en clair le trafic qui qui sort de votre relais. Toutefois, les opérateurs de relais Tor aux États-Unis engagent leurs responsabilité civile et même pénale en vertu des lois d'écoute électronique étatiques ou fédérales si elles surveillent, se connectent ou divulguent les communications des utilisateurs de Tor, les opérateurs non américains peuvent également être soumis à des lois similaires. Vous ne devez pas examiner les communications de personnes sans d'abord en parler à un avocat.

Si je reçois une assignation ou toute autre demande de renseignements de l'application ou toute autre loi relative à mon relais Tor, que dois-je faire ?

Éduquer sur Tor. Dans la plupart des cas, les relais Tor correctement configurés ne fourniront pas de données utiles utile au jugement, et vous devriez vous sentir libre de les éduquer sur ce point.

Dans la mesure où vous ne gérez les journaux de connexion, cependant, vous ne devez pas les divulguer à une tierce personne sans avoir au préalable consulter un avocat. Aux États-Unis, fournir une telle information peut être assimiler au viol de la Loi sur la protection des communications électroniques, et les opérateurs de relais en dehors des Etats-Unis peuvent être soumise à des lois similaires de protection des données.

Vous pouvez recevoir des demandes juridiques où il vous sera interdit par la loi de parler à quiconque de cette demande. Nous croyons que, au moins aux États-Unis, ces bâillons ne vous empêchent pas de parler à un avocat, y compris le fait d'appeler un avocat pour qu'ils vous représentent.

Mon FAI, mon université, etc viennent de m'envoyer une notification DMCA. Que dois-je faire ?

L'EFF a écrit un court modèle de réponse pour vous aider à écrire une réponse à votre FAI, université, etc, pour leur faire connaître les détails des règles de la Digital Millennium Copyright Act, et comment Tor entre en jeu. Notez que modèle se réfère uniquement aux juridictions en vigueur aux États-Unis, et sont donc uniquement destinés à traiter les plaintes du droit d'auteur qui sont basées sur des éléments litigieux liés à un nœud Tor.

Si vous le souhaitez, vous pouvez envisager le fait de soumettre une copie de votre avis au Chilling Effects. Cela nous aidera à identifier les tendances et les questions sur lesquels les avocats pourraient avoir à se concentrer. Chilling Effects encourage des soumissions provenant de personnes situés à l'extérieur des États-Unis également.

L'EFF estime que les relais Tor doivent être protégés de la responsabilité du droit d'auteur concernant les actes de leurs utilisateurs, car un opérateur de relais Tor peut demander une immunité en vertu du DMCA ainsi qu'en vertu des doctrines secondaires de la responsabilité du droit d'auteur. Toutefois, aucun tribunal n'a encore abordé ces questions dans le contexte de Tor lui-même. Si vous n'êtes pas à l'aise avec cette incertitude, vous pouvez envisager d'utiliser une politique de sortie réduite (comme la politique par défaut proposé par le projet Tor) pour tenter de minimiser les types de trafic qui sont souvent les cibles des plaintes de droits d'auteur.

Si vous êtes un relais Tor prêts à se relever le défi et aider à établir un précédent juridique établissant clairement que le simple fait de faire tourner un relais Tor ne crée pas de responsabilité vis à vis du droit d'auteur pour les opérateurs ou leurs fournisseurs de bande passante, l'EFF souhaite que vous la contactiez.

Fin de traduction

Rappel : Pour aider à la mise en place d'un relais Tor en France, veuillez consulter l'association NosOignons http://nos-oignons.net/.

Présentation de l'éditeur

L'équilibre entre vie privée et vie publique tend à s'inverser : publier ne coûte rien, préserver sa vie privée requiert des efforts. La notion d'anonymat sur Internet est souvent mal comprise. Quel est son intérêt, pourquoi faut-il en préserver la possibilité malgré les dérives ? Un ouvrage pour tous ceux qui tiennent à l'intimité de leurs communications (navigation, emails...) et veulent se protéger des institutions, privées comme publiques, qui fondent leur économie sur l'exploitation des données personnelles.

A propos de l'auteur : Martin Untersinger (Paris) est journaliste spécialisé dans les questions liées à Internet et notamment celles de la vie privée et de la surveillance. Parallèlement étudiant à Sciences-Po Paris, il a travaillé pour le site d'information spécialisé dans les questions numériques OWNI et pour Rue89. Son article sur l'anonymat a fait l'objet de plus de 180 000 lectures.

Le livre sur le site de l'Editeur Eyrolles.

La critique du Genma

Avec une préface de Benjamin Bayart (ce qui est quand même la classe), ce livre commence de très bonne façon. Et il se poursuit par une définition de ce que l'on entend par l'Anonymat sur Internet pour ensuite montrer que "Sur Internet, l'anonymat n'existe pas" mais qu'il y a un intérêt à cet anonymat. Il se poursuit ensuite avec des bases de la protection et des sortes de chapitres de types tutoriaux expliquant comment communiquer (e-mails et discussions instantanées avec GPG et OTR), comment protéger sa connexion (proxies, VPN et le projet Tor)... Il y a même une page consacrée à la problématique du modèle de menace. Ce livre aborde donc des problématiques qui me sont chères (vie privée, anonymat) et sur lesquels j'acquiers peu à peu une certain expertise, que je partage via la rédaction d'article pour ce blog.

Ce livre est assez complet même s'il n'est pas exhaustif et il est le résultat d'un excellent travail de recherche/documentation. Les différents textes sont bien sourcé et les renvois/références sont nombreux et variés. Je pense que suite à ma première lecture ayant aboutie à la rédaction de cette critique, je vais de nouveau relire ce livre, stabilo et marques-pages à la main afin de surligner/marquer un certain nombre de passages, en prenant des notes. Ce livre abordant toutes les problématiques et sujets que nous abordons lors des Cafés vie privée ; je pense très fortement en recommander la lecture aux participants de ce genre d'évènement et l'utiliser pour avoir des notes et exemples à donner lors de mes discours.

A noter qu'une version mise à jour (celle-ci datant de l'année dernière) est prévue à l'automne et c'est avec intérêt que je chercherai à me procurer cette nouvelle version. En conclusion, cet ouvrage est devenu pour moi un ouvrage de référence, j'ai pris contact avec son auteur, Martin Untersinger, pour discuter lors d'une rencontre prochaine et je tiens une fois de plus à saluer la qualité de son travail ayant abouti à l'existence de cet ouvrage.

Si, comme moi, vous voulez lire d'autres écrits de Martin Untersinger, je vous signale l'existence de son compte Twitter @martin_u ainsi qu'une liste d'articles publiés sur les site de sur LeMonde et sur Rue89, Martin Untersinger faisant désormais partie des figures incontournables du journalisme sur les problématiques de la vie privée, au même titre qu'un Jean Marc Manach pour ne citer que lui.

Pour acheter ce livre sur Amazon : Anonymat sur l'internet - Comprendre pour protéger sa vie privée

Qu'est ce que PSES ?

Pas Sage en Seine, c'est un programme de conférences et d'ateliers, l'entrée y est toujours libre, gratuite et ouverte à tous. Les sujets abordés y sont vastes et plus ou moins techniques mais l'objectif de ces rencontres est bien de faire comprendre à tous l'ensemble des disciplines du Hacking, de l'informatique à l'économie en passant par l'art, l'électronique ou la presse, jusqu'à la vie de tous les jours. Soyez curieux, rejoignez nous ! Toutes les informations sont ici : http://www.passageenseine.org/.

PSES et les rencontres que l'on y fait

Cela fait plusieurs années que je suis via les vidéos ou en y assistant en direct les conférences qui se déroulent à Pas Sage En Seine.

Pas Sage En Seine, c'est du beau monde qui vient faire des conférences et c'est l'occasion pour moi de faire différentes rencontres (cela a même donné lieu à une série d'interviews de personnes ayant fait des conférences sur place en 2013) et cette année je compte bien rencontrer Zythom pour ne citer que lui.

Le programme est en ligne

Une version non définitive mais déjà fort bien avancée du programme est en ligne l'adresse suivante :#PSES2014 http://www.passageenseine.org/Passage/PSES-2014.

Et qu'y voit-on de planifier ? Une Intervention d'un certain Genma... Oui, c'est moi-même. Après de nombreuses années à suivre les conférences, je vais moi-même en donner une.

"Des cryptoparty au Café vie privée - Le chiffrement est en plein démocratisation

C'est PSES qui m'a donné envie de me lancer dans les conférences. J'ai appris plein de choses et j'en apprends encore, et cette année, je vais à mon tour diffuser une partie de mon savoir, en expliquant comment et pourquoi sont nées les Café vie privée et comment j'en suis devenu un animateur.

Si vous serez là-bas, contactez moi qu'on se voit (si on se connait) ou qu'on se rencontre ;-)

Café vie privée - cryptopartie - chiffrofête

On est en train de voir pour avoir un espace de quelques tables où se poser entre deux conférences auxquelles on assisterait. Il y aura donc un Café vie privée - cryptopartie - chiffrofête de 4 jours sur place, pour discuter, animer des ateliers, faire des ligthnings talks, en plus des conférences sur la stégano, la vie privée, le chiffrement etc.

Pour tout savoir

Suivez l'actualité sur Twitter via le hashtag #PSES2014 et le compte @passageenseine. Ou encore via le site http://www.passageenseine.org/.