Vous vous souvenez de Voila.fr ? Ils sont nombreux ceux qui utilisent encore un mail en @voila.fr... 500 000 personnes environ...

Vous faites d'ailleurs peut être encore partie des gens qui ont et utilisent une boite mail Voila.fr. Seulement, voilà... (ahaha), Orange a décidé de fermer la partie mail de son site. Dès le 12 janvier 2016, vous pourrez dire au revoir à votre boite mail @voila.fr.

Bon, chez Orange, ce ne sont pas des chiens et ils ont fait les choses bien. Ils ont mis en ligne une FAQ qui explique tout ce qu'il faut faire pour continuer à avoir une boite mail (ailleurs...) et surtout comment faire une redirection de votre boite @voila.fr vers votre nouvelle boite mail. Oui d'après ce que j'ai compris, Orange continuera un service minimum de redirection ce qui n'est déjà pas si mal. Reste à savoir jusqu'à quand ?

Mais les gens sont tristes... Tellement tristes, qu'ils n'ont pas lu la FAQ et ont créé une association (Association pour la Sauvegarde de la Messagerie VOILA.FR) et une pétition pour demander à Stéphane Richard, PDG d'Orange de préserver leur boite email Voila.fr.

Voici le texte de la pétition qui totalise pour le moment 3 900 signatures sur les 5 000 attendues :

Imaginez qu'on vous supprime votre adresse mail personnelle que vous utilisiez depuis de longues années ! Perdus tous les contacts qui avaient noté votre adresse e-mail... Perdus tous les e-mails, peut-être très importants, qui vous seront encore envoyés à cette adresse...

C'est pourtant ce qui risque d'arriver à des centaines de milliers de personnes, d'associations et de petites entreprises : Orange a décidé de fermer son service de messagerie VOILA.FR qu'il édite depuis 1998. Dans toute l'histoire de l'Internet cela n'est jamais arrivé qu'ainsi un grand service de messagerie prive ses utilisateurs de leurs adresses e-mail. Décider d'arrêter l'édition du service ? Peut-être, mais après avoir pris bien soin de sanctuariser les adresses mail de tous ces fidèles utilisateurs acquis durant plus de 17 années !

L'Association pour la Sauvegarde de la Messagerie VOILA.FR vient de se créer et lance aujourd'hui cette pétition et demande à Orange :

• - de proposer à ses utilisateurs une solution pérenne pour que ceux-ci puissent continuer à utiliser leur adresse e-mail @voila.fr,
• - de confier à une société française la gestion des adresses e-mails @voila.fr et ainsi conserver en France les données de tous ces internautes.

Une telle continuité est clairement possible : l'Association pour la Sauvegarde de la Messagerie VOILA.FR a reçu la confirmation du service de messagerie français Net-C (NETCOURRIER) qu'il est prêt à apporter cette continuité de service aux adresses e-mail @voila.fr, si Orange l'accepte.

Soutenez cette pétition : "Oui, il faut sauvegarder toutes les adresses e-mail @voila.fr !

Monsieur le Président d'Orange, décidez maintenant, il y a urgence !"

Suivez-nous sur Twitter : @petitionvoila
Suivez-nous sur Facebook : Sauvons @voila.fr

Notre site web : www.sauvonsvoila.fr

Le changement, c'était maintenant, mais eux ne le veulent pas ! Comment leur en vouloir ? 5 Go de stockage, pas de serveur POP3 ou IMAP, pas d'application mobile, des pièces jointes de 20 Mo maximum. C'est ROYAL !

Alors comme vous pouvez le lire dans la pétition, ils se sont bougé les fesses et ont trouvé un repreneur technique pour leur messagerie préférée depuis 1998 qui n'est autre que Net-C (Netcourrier). Sympa les mecs !

Pas un rond à débourser pour Orange, juste un accord à signer, un petit coup de DNS à modifier et roule ma poule...

Mais leurs appels semblent résonner dans le vide. Du coup, je me permets de relayer leur pétition en espérant qu'ils soient entendus

Sauver Voilà c'est important. C'est préserver le patrimoine culturel de l'Internet Français et aider des milliers de gens coupés du monde moderne, à préserver leur culture ancestrale et leur mode de vie. Les Indiens d'Amérique du Sud y ont droit, alors pourquoi pas eux !

Vive Voila !

Merci à Alexandre pour l'info

Il y a quelques semaines, des chercheurs en sécurité ont remarqué que pas mal de constructeurs de routeurs et d'objets connectés, utilisaient, probablement par paresse, les mêmes clés privées sur tout leur matériel.

Grâce à l'analyse du firmware de plus de 4 000 objets connectés (routeurs, caméras IP, téléphones VoIP...etc.) de 70 constructeurs différents (Cisco, General Electric, Huawei, Motorola, Seagate, Netgear, Zyxe, LinkSyst, D-Link, Trendnet...etc), ils ont extrait 580 clés privées et ont pu déterminer que ce trousseau correspondait à 6% de tous les appareils accessibles en SSH sur le web et 9% de tous les appareils accessibles en HTTPS sur le web.

230 clés sur 580 sont donc activement utilisées partout sur le web par tout un tas de matériel. 150 certificats sont utilisés par 3,2 millions de machines et 80 clés privées SSH sont utilisées par 0,9 million de machines.

Ça craint et cette négligence peut permettre à un attaquant d'usurper l'identité d'un de ces périphériques et donc de pousser un malware qui serait accepté comme légitime. Cette découverte a été publiée le 25 novembre dernier et les constructeurs ont déjà commencé à publier des mises à jour de leurs firmwares pour corriger ce problème de négligence.

Si je vous parle de ça, c'est que pour trouver ces chiffres impressionnants, les chercheurs ont utilisé un site plutôt cool : Censys.io

Censys est un moteur de recherche lancé par des chercheurs de l'Université du Michigan, qui collecte toutes les données qu'il peut sur les appareils connectés en IPv4 sur le net. Pour cela, il utilise le scanner de ports open source ZMap (+ ZGrab) et stocke tout ce qu'il récupère dans une base de données, qui est ensuite accessible via l'interface web, une API ou carrément des listings en texte brut à télécharger.

Vous pouvez faire des recherches par mots clés, par IP, par nom de domaine, par protocole utilisé, par certificat...etc. Les informations collectées sont d'ailleurs très complètes et peuvent servir à débusquer d'éventuels problèmes de sécurité.

Comme avec Shodan que j'ai déjà présenté ici, on peut tomber sur pas mal de trucs ouverts aux 4 vents... Webcams, imprimantes, serveurs http, dns, smtp, systèmes téléphoniques, systèmes industriels ou encore des distributeurs de billets...

Ce genre d'outil est malheureusement utilisé par les pirates pour trouver des cibles dès qu'une nouvelle faille pointe le bout de son nez, mais il permet aussi de déterminer la quantité de périphériques faillibles comme l'ont fait les chercheurs cités plus haut, ou de tester vos propres IP pour voir ce qu'il en ressort et corriger d'éventuels problèmes.

Bref, comme d'habitude, un outil formidable ;-)

On peut savoir beaucoup de choses sur quelqu'un simplement en observant ses métadonnées. Pour rappel, les métadonnées sont les données servant à décrire une autre donnée.

Par exemple si vous échangez un SMS avec un ami, sans connaitre le contenu du message, je sais à qui vous écrivez, à quelle heure, à quelle fréquence, je sais d'où vous avez envoyé le message, où était votre ami lorsqu'il l'a reçu et je connais aussi les moments auxquels vous ne lui écrivez pas (et qui laisse supposer que vous êtes avec cette personne si les données GPS de vos appareils correspondent). Et encore là, je vous décris un petit périmètre, mais si vous connaissez toutes les méta données d'une personne (ses recherches sur Google, les sites sur lesquels il va, à quelle heure, toutes les bornes téléphoniques qu'il croise...etc.), vous pouvez déduire énormément de choses.

Bref, les meta données peuvent en apprendre un paquet sur les interactions humaines et devraient être autant protégées que le contenu des correspondances lui-même.

C'est pour cela que David Lazar a imaginé Vuvuzela. S'inspirant du bruit généré par ces cornes d'Afrique du Sud, ce logiciel (client/serveur) de messagerie instantanée se présente comme une sorte de boite noire dans laquelle toutes les données sont chiffrées, y compris les métadonnées, et où les messages sont délivrés avec une certaine latence (sur un principe de dead drop) ce qui empêche un observateur extérieur de les suivre.

De plus les méta données qui ne peuvent être chiffrées comme le nombre d'utilisateurs en attente d'une conversation effective et le nombre d'utilisateurs actifs dans une conversation, sont noyées dans des bruits parasites. En effet, le serveur génère de faux messages et de fausses métadonnées qui sont balancées un peu à tout le monde, ce qui rend tout ça très difficile à démêler.

Vuvuzela a quand même un point faible. Plus vous échangerez de messages, plus ce sera facile de savoir avec qui vous discutez. David Lazar estime ce nombre à plusieurs centaines de milliers de messages possibles avec que les méta données qui ne sont pas chiffrées commencent à converger suffisamment pour donner des indications précises.

Pour le moment, Vuvuzela est plus un proof of concept qu'un véritable outil final, mais vous pouvez tout de même l'installer chez vous pour jouer. Toutes les explications se trouvent sur Github.

Si vous êtes passé en HTTP/2 ou que vous voulez savoir si les sites web sur lesquels vous surfez utilisent ce protocole, rien de plus simple. KeyCDN a mis en ligne un outil de test qui permet de savoir si telle ou telle URL est servie en HTTP/2.

Pour rappel, HTTP/2 c'est la nouvelle version de HTTP. La dernière, estampillée 1.1, datait quand même de 1997. Le protocole cause en binaire, sait paralléliser les requêtes, utilise de la compression d'entête HPACK, permet de pusher des réponses aux clients sans attendre la requête, offre des connexions chiffrées plus rapides grâce à l'extension ALPN...etc. (Plus d'infos ici).

Bien que TLS (donc le chiffrement) ne soit pas requis pour HTTP/2, les implémentations actuelles des navigateurs supportent HTTP/2 uniquement lorsque la connexion se fait par un canal sécurisé. Aucun navigateur ne supporte HTTP/2 sans chiffrement pour le moment. (+ d'infos)

En gros, pour vous la faire courte, ça va permettre d'accélérer encore un peu plus votre site web. Et pour ceux qui sont en SPDY, sachez que Google a abandonné cette extension Apache au profit de HTTP/2 qui de toute façon est plus rapide.

Notez qu'avec Cloudflare ou d'autres proxy-cache/CDN du marché, c'est assez simple à mettre en place. Suffit de cocher la bonne case :-)

Et si vous cherchez des outils en ligne de commande, Cloudflare a fait un bon article à ce sujet.

Qu'est ce que vous voulez que je vous dise ? Je suis fatigué... Et chaque jour, c'est la même rengaine.

Comme si 3 barrières en métal pouvaient protéger une école. Comme si empêcher un rassemblement pouvait éviter des morts. Et comme si interdire les WiFi ouverts allait empêcher quiconque de communiquer...

Qu'ils sont pathétiques au Ministère de l'Intérieur. Qu'ils sont ridicules les hauts perchés de la police ou de la gendarmerie. Tous à faire des propositions vides de sens qui seraient soi-disant utiles pour nous protéger.

Dernier exemple en date comme vous avez pu le lire sur Numerama ou Le Monde, les cyber-cerveaux de la place Beauv(e)au réfléchissent à de nouvelles solutions pour nous sauver du péril Daesh :

• Interdire les WiFi ouverts durant l’État d'Urgence
• Interdire les réseaux chiffrés comme Tor
• Exiger de tous les éditeurs (de sites, de logiciels...etc.) de fournir leur clé de déchiffrement

Et j'imagine qu'ils réfléchissent aussi à interdire PGP (ou équivalent), à exiger un permis pour utiliser un VPN, à criminaliser le port de la barbe ou peut-être même interdire les claviers.

Allez savoir... On est tellement dans l'irrationnel depuis le 13 novembre qu'on peut tout imaginer. Et le plus drôle c'est que la plupart des gens sont prêts à tout accepter. "Bah oui, tu comprends, y'a eu 130 morts quand même..."

Oh je sais... On imagine déjà des policiers tourner dans nos villes et nos campagnes à la recherche de WiFi ouverts. Et comme l'État d'Urgence est parti pour durer des années grâce à une version re-brandée inscrite dans la Constitution, ça risque d'être long pour eux, les pauvres. On imagine les sociétés du monde entier rire grassement à la moustache de Cazeneuve lorsqu'il viendra leur demander les clés de chiffrement. On imagine les administrateurs des boites noires ou nos chers FAI se prendre la tête sur les techniques pour bloquer TOR alors que même les Chinois et les Iraniens n'y arrivent pas totalement.

D'ailleurs petite parenthèse, si votre FAI bloque TOR, ne vous inquiétez pas, les mecs de TOR ont pensé à tout dans la config pour déjouer le blocage :

Vous voyez, ça n'a aucun sens. Et à côté de ça, les mecs de Daesh se parlent par SMS non chiffrés, trouvent des armes, des explosifs et se tapent des allez-retour en Syrie tranquillou.

Donc comme vous pouvez le constater, toutes ces mesures concernant le numérique et le chiffrement n'ont aucun rapport avec ce qui se passe en ce moment niveau terrorisme. Bon, certes les mecs là bas en Syrie utilisent Telegram ou d'autres messageries chiffrée pour communiquer, mais en ce qui concerne nos terroristes franco-français, on n'a pour l'instant jamais observé ce comportement. Je vous recommande d'ailleurs la lecture de cet article du Wall Street Journal à ce sujet. Apparemment, en France, ils n'ont pas besoin de pousser le délire jusque là, même en étant surveillés ou fichés S. Les messages en clair et les petites réunions chez Jawad fonctionnent encore très bien.

Mais attention ! N'allez pas croire qu'ils sont complètement cons au Ministère de l'Intérieur. Non, ils sont loin d'être cons. C'est juste qu'ils ont un autre agenda qui ne concerne absolument pas la lutte contre le terrorisme.

Comme on l'a vu au fil des ans, avec Hadopi, la Loi de Programmation Militaire, la Loi sur le Renseignement et toutes ces inepties pré-attentats, l'objectif des gouvernements qui se succèdent en France, c'est d'avoir le contrôle sur tout et sur n'importe qui. Et ça, ça passe par les boites noires, les perquisitions en mode cowboys, les assignations à résidence, les IMSI Catchers, l'interdiction de certaines associations, le blocage administratif des sites web et j'en passe.

À partir de là, tout devient transparent. Y'a eu la COP21 et ils ont prolongé l'Etat d'Urgence pour bloquer les écolos à résidence et fracasser la tête (pour leur bien) de ceux qui ont osé sortir de chez eux. Taisant ainsi toute opposition à la politique française ou mondiale actuelle en ce qui concerne le climat.

Et maintenant, s'ils cherchent à s'en prendre aux services chiffrés, aux wifi ouverts, à TOR et j'en passe, c'est pour pouvoir tuer dans l’œuf le moindre début de protestation, la moindre action militante, la moindre résistance citoyenne, la moindre opinion divergente, la moindre manifestation qui ferait tâche...etc. Bref, si vous aimez votre vie privée, votre anonymat et de liberté d'expression, profitez en bien, car ce sera bientôt terminé.

Tout cela est clair et les attentats de Paris sont l'argument ultime qu'il leur manquait pour poser leur voile sur toutes les zones (principalement virtuelles) encore non contrôlées par Big Cazeneuve et dans quelques années par les généraux de Big Marine.

Internet est le dernier média qui n'est pas sous le contrôle des puissants et comme je le dis depuis des années, ça leur fait faire des cauchemars humides. Mais la fourberie et la soif de pouvoir donnent des ailes et ces ordures risquent bien d'y arriver un jour si nous ne faisons rien.

Bref, je ne vais pas m'étendre plus sur le sujet, car je recommence à devenir vulgaire. J'ai la nausée quand je vois toute cette manipulation "orwellienne" que font les politiques sur le dos des 130 disparus du 13 novembre, j'ai la nausée quand je vois tous les moutons accepter ça sans broncher et je vous avoue que l'avenir me parait de plus en plus sombre.

Allez, prenez soin de vous et ne lâchons rien !