Oui, cette tournée des liens propose beaucoup de vidéos centralisées. C'est mal, je le sais, mais je tente de me réveiller. Au programme de cette semaine 51 du 16 au 22 décembre 2013, plein de rétroliens en français. J'avoue que j'ai un peu lâché prise sur les sites anglo-saxons mais c'est pour ne pas perturber nos journalistes et nos magistrats... Il est encore question de la LPM, d'Internet, d'un hacker hacké dans son âme par de l'incompétence disciplinaire, d'une éducation des enfants par la peur, d'un magnifique texte de Okhin, d'une transposition lyrique de la vie privée sur Internet dans le monde réel par Jcfrog, d'un État hors-la-loi qui tente de mettre la pression aux journalistes qui font leur métier, de la cigarette électronique... Côté vidéos, à ne pas louper la conférence de Zythom, expert Judiciaire. Je propose aussi l'image de l'année, et un peu de LOL. Courage, c'est bientôt la fin du monde.

Leur tournée en français

• J’ai honte pour mon école !
• Le Permis Internet pour les enfants : la pédagogie par la peur !
• Mon pauvre Bluetouff, c'est pas gagné ! Au procès d'un hacker où les juges prononcent Google «gogleu»
• Promulgation de la loi de programmation militaire : la CNIL fait part de sa position
• Internet : quand le PS s'opposait...
• Le business de la «Mandelamania»
• LPM : Lettre ouverte aux députés PS
• You can haz my freedom. As long as I can haz my pr0n (par Okhin) (Version traduite)
• A partir de janvier 2014, vous devrez déposer un double de vos clés en mairie
• WTF ! Le déni de la lecture numérique dans toute sa splendeur
• Nos métadonnées sont-elles plus personnelles que nos empreintes digitales ?
• Le problème, ce n'est pas l’anonymat sur Internet, mais la surveillance généralisée
• Projet de loi consommation : DRM, vente forcée, blocage/filtrage...
• Pas de programme Prism à la française
• Le programme de la NSA jugé "inconstitutionnel"
• Un blog, leur blog!
• Hollande se dit "contre la tranquillité de l'anonymat sur Internet"
• Surveillance d'Internet: démontons cinq arguments en faveur de l'ex-article 13
• M'a bien fait rire ! Vous ne voulez pas apprendre l’informatique, assumez.
• Musique en ligne : le rapport Phéline griffe les producteurs
• Espionnage: les États-Unis manœuvrent pour empêcher l'audition d'Edward Snowden au Parlement européen
• Pas mieux. La liberté d’expression sur Internet, envers et contre la haine
• Apprendre à programmer. Oui mais avec qui ?
• Cigarette électronique : l'UE tranche en faveur des vapoteurs
• Affaire Mediapart. TVA : l’État est hors-la-loi !
• Notre Mai-68 numérique est devenu un grille-pain fasciste
• Leur mission: réparer votre Internet cassé par la surveillance
• Quand un fumeur arrête, l’industrie veille

Leur tournée en anglais

• You can haz my freedom. As long as I can haz my pr0n (VO)
• You Broke The Internet
• 15 Greatest Open Source Terminal Applications Of 2012
• How one publisher is stopping academics from sharing their research
• 39 Test Answers That Are 100% Wrong But Totally Genius At The Same Time
• eCig Victory – but for who?
• NSA's goal is elimination of individual privacy worldwide - Greenwald to EU
• NSA Propagande... 60 Minutes Puff Piece Claims NSA Saved U.S. From Cyberterrorism
• Exclusive: Secret contract tied NSA and security industry pioneer (RSA)
• NSA surveillance programme: 'It's going to get worse'

L'image de l'année

Je devais la poster, il y a une ou deux semaines, mais comme elle est clairement intemporelle, il n'est jamais trop tard. C'est l'Histoire d'un certain Barak Obama venant faire un discours posthume et moralisateur pour défendre ce que Nelson Mandela combattait... Il a juste oublié de réfléchir aux conséquences de ce qu'il allait dire car si, il a raison, le moins que l'on puisse dire, c'est qu'il est aussi le premier concerné par ce qu'il dit. En bas, un certain Bradley Chelsea Manning, accusée de haute trahison dans l'affaire Wikileaks. Une belle occasion manquée de se taire, car comme le rappelle la loi Miranda aux USA, tout ce que vous direz pourra et sera retenu contre vous. Traduction

Il y a beaucoup trop de leaders qui revendiquent être solidaires de Madiba dans sa lutte pour la liberté, mais ne tolèrent pas les dissidents de leur propre peuple

La publicité de la semaine

En fait, ce ne sera pas une publicité mais deux. Un bon LOL comme on aime que je dois @Giribot. Quand Mercedes fait sa pub (créative et très sympathique en plus), pour vanter sa technologie Magic Body Control, une autre marque de voiture prestigieuse se permet de lui répondre, non sans humour, en reprenant le même fil conducteur. C'est juste excellent ! Je ne vous en dit pas plus, pour ne pas vous gâcher la surprise. À visionner sous cet ordre :

Traduction pour les non anglophones
Magic Body Control ?
Nous préférons les réflexes affûtés, comme ceux des chats

La création de la semaine

Ça vous dit de voir une vraie voiture qui roule, vraiment, en LEGO ! Créée par Steve Sammartino et Raul Oaida, elle est construite avec 500.000 pièces et son moteur à air (en LEGO aussi) la propulse entre 20 et 30km/h.

C'est la danse des COIN COIN

Entre ça, et des juges qui ne connaissent pas "gogleu" (c'est au moins un bon début sur internet), il y a de quoi être perplexe. Mais, Être journaliste, c'est un métier ! En plus, en France, pour avoir sa carte de presse, il n'y a pas besoin d'avoir fait Anglais, même en troisième langue à l'école. Ne cherchez pas trop l'info, en fait, c'est pas ce qu'il y a de plus intéressant et ce n'est sûrement pas le canard enchaîné qui me dira le contraire.

La vidéo de la semaine

Si vous voulez tout savoir, sans jamais avoir osé le demander, sur les Experts Judiciaires, notamment en matière de numérique, alors cette conférence présentée par Zythom aux JRES 2013 (Journées réseaux) est faite pour vous. Si vous voulez en connaître davantage, je vous conseille vraiment de le suivre (son Twitter, et son blog). Elle est certes, comme la plupart des conférences de ce genre, un peu longue (une cinquante de minutes), mais vous y apprendrez beaucoup de choses. La conférence est intitulée "Conséquences réelles d'actes irresponsables dans le virtuel". En prime, à partir de 43 minutes, vous pourrez apprécier, dans un humour délicieux, un sketch sur la prière des RSSI (Responsable de la sécurité des systèmes d'information). Enfin, François Hollande, Harlem Desir et la clique des peureux du "Net qui dérange", seraient bien inspirés d'écouter les 4 premières minutes sur l'"anonymat"...

La Tournée des Liens, semaine #51.2013 est une publication originale sur le blog NeoSting.net

Article sous licence Creative Commons CC-By

Sur le blog officiel de Bittorrent, on peut apprendre comment le système de messagerie "privée" Bittorrent Chat devrait fonctionner. Je vous en avais déjà parlé un peu dans cet article. Elle n'est pas sans me rappeler, aujourd'hui, en l'état, un certain Bitmessage (que je vous avais présenté ici, et que vous pouvez utiliser pour me contacter), mixé avec le fameux CryptoCat. Inscrit depuis plusieurs semaines pour pouvoir tester Bittorrent Chat, j'attends toujours avec impatience de voir ce que cela donnera, enfin du moins, avec quelques réserves...

Pour le moment, on sait désormais que le système fonctionnera de façon totalement décentralisé en P2P, avec comme pour Bittorrent Sync, un système de chiffrement inclus lors des communications. Le chiffrement utilisé, dont on ne sait pas encore grand chose, sera même temporaire, ce qui est une bonne nouvelle, puisqu'il va permettre d'annuler tout déchiffrement possible d'un message (passé ou futur) une fois la session de Chat terminée. Les interlocuteurs auront aussi une adresse peu commune, à la Bitmessage. En fait cette adresse, c'est la clé publique, et lors des conversations, un jeu de clé privée sera donc créé à la volée entre les interlocuteurs. Ici, plus de serveurs centralisant les conversations, il faudra donc, pour communiquer avec sa voisine, que les communicants soient en ligne en même temps. Donc, il n'y aura pas de sauvegarde des messages pour les transmettre lorsque l'autre partie se connectera. La propagation se fera par DHT, c'est à dire qu'un message passera par d'autres interlocuteurs connectés qui transmettront les messages aux bons destinataires. Ça paraît peu efficace pour garantir la sécurité de ses messages, mais en fait, Bittorrent Inc. est en train de modifier ce protocole DHT pour permettre justement one transmission de manière totalement privée.

Derrière ce beau tableau, il reste toutefois un grief, et pas des moindres : celui de savoir si Bittorrent Chat sera proposé en open-source. J'ai comme un gros doute à ce sujet, et tant que ce genre de logiciel ne sera pas libre, il sera impossible de lui faire confiance, malgré toutes les promesses, car personne ne pourra vérifier que derrière ce mécanisme idéal ne se cache pas une backdoor... Vous voilà prévenu(e)s.

Bittorrent Chat dévoile un peu plus son mécanisme de transmission. est une publication originale sur le blog NeoSting.net

Article sous licence Creative Commons CC-By

La neutralité du Ternet vue par SFR est plutôt risible avec ses forfaits mobiles. Il faut dire aussi que l'opérateur a des pratiques assez contraires à ces valeurs sur son réseau. Ainsi, aujourd'hui, SFR continue, cette fois-ci beaucoup plus finement, de dénigrer ce qui fait le charme du réseau des réseaux, en proposant une offre commerciale qui montre la voie à un accès par une segmentation payante.

En effet, la nouvelle offre RED de SFR, qui sera applicable à partir du 14 janvier 2014, propose d'inclure en illimité une partie seulement du Web, à savoir Youtube. Dans un forfait classique d'accès au port 80, SFR propose pour un prix supérieur (25,99€) à ses forfaits classiques 4G, d'accéder à Youtube en Illimité. On peut le prendre comme une option payante pour débloquer un service.

En gros, surfer sur Youtube depuis son mobile n'utilisera pas le Fair Use de 5Go proposé en natif. Rassurez-vous, donc chers clients, même si 5Go en 4G, ça va vite à dépenser - si tant est que vous voulez télécharger, même légalement de gros "documents" - quand vous n'aurez plus le "droit" d'aller sur Internet le web, vous pourrez toujours aller sur Youtube.

Un peu d'imagination sur cette segmentation

La prochaine option, facturée dans un nouveau forfait, pourrait bien être, encore une fois, l'accès en illimité aux réseaux sociaux, et plus précisément à facebook et Twitter (les autres, on ne les connaît pas). Comme ça ne dépense que peu de bande-passante d'utiliser ces services, le surcoût sera très léger pour être en illimité ; le forfait RS avec Youtube en illimité sera de 29,99€. Bien sûr, pour débloquer en illimité Dailymotion, comme SFR n'a pas d'actions dedans mais que son concurrent en a, l'option sera facturée dans un autre forfait, à 34,99€, et 39,99€ avec les RS, mais en cadeau, il sera ajouté l'accès en illimité aussi au site LeBonCoin.

Enfin, pour ne pas trop perdre les clients dans les méandres d'offres indigestes et incompréhensibles, un joli tableau récapitulatif des offres annoncera bientôt un forfait inédit et révolutionnaire : le forfait à la carte. Non il ne s'agît pas de surfer sur Google Maps, mais de proposer un forfait de base en 4G à 16,90€ par mois, qui permet juste d'avoir un fair use de 1Go à utiliser sur des sites en liste blanche. Le Go supplémentaire est facturé 2€, et l'accès aux services web en illimité et en 4G (s'il vous plaît - ou pas, c'est pareil) est disponible avec une tarification claire, à savoir :

• Youtube : 5€
• Dailymotion : 9€
• Youporn : (sous réserve d'acceptation du dossier) : 12€
• Facebook et Twitter : 1,5€ chacun
• LeMonde : 1€ (faut bien financer la presse...)
• Flickr : 2€
• Messagerie et mails : gratuit (seulement si hébergés chez nous)
• Autres services : sur demande auprès de nos conseillers
• VOIP (Skype...), P2P, chiffrement, Newsgroup, ThePirateBay (et autres moteurs de recherche de torrent) Interdits
• Pour consulter la liste blanche des sites autorisés, appelez nos conseillers. Donnez juste l'adresse du site que vous voulez visiter pour savoir si, il est dedans

C'est la magie de l'inutile 4G. Inutile, pas pas son potentiel, mais pas le bridage opéré par les opérateurs. Avec une connexion pouvant atteindre 100 Mb/s, le fair use est très vite dépassé, et une fois dépassé, la 4G se transforme très vite aussi en Edge... D'où son inutilité, et le peu d’engouement pour elle. le pire, reste les soupçons de limitations nouvelles sur les débits des forfaits 3G pour inciter les clients à passer à la 4G. De toute façon, un jour, on aura des forfaits à 1€.

Ça vous fait rêver ce genre d'offres ? SFR à tout à fait le droit de le faire, mais c'est aux clients de ne pas se laisser faire. Internet n'est pas un minitel, mais il ne faut surtout pas ébruiter cette rumeur...

Nouveau forfait 4G de SFR. Le minitel est de retour. est une publication originale sur le blog NeoSting.net

Article sous licence Creative Commons CC-By

La protection de la vie privée est un droit fondamental. Mais, en France, nous sommes désormais arrivés officiellement, par une dérive de ses Politiques ayant voté la loi de Programmation Militaire, vers la surveillance généralisée d'Internet. En cause, l'article 20 de la loi : "Accès administratif aux données de connexion". Avec cet article, la France se dote donc maintenant d'un outil capable de créer un État totalitaire grâce à ce nouveau marqueur que l'on retrouve également dans les dictatures qui l'utilisent massivement. Il est temps que la population prenne conscience de ce problème. Voici ce que peut être intercepté, comme le rappelle Slate, démontant quelques arguments en faveur de cette article.

Le texte voté vise non seulement les "données techniques" et données de connexion en tout genre et de toute espèce, mais également les "informations ou documents traités ou conservés" par les opérateurs et hébergeurs de services en ligne, qui pourront même être "recueillis sur sollicitation du réseau et transmis en temps réel par les opérateurs"

En gros, tous les contenus qui transitent sur la toile seront interceptés, et en temps-réel, de la même manière que l'a démontré Edward Snowden en divulguant le programme PRISM. La DGSE a même déjà frappé à la porte de Google France pour "initier une coopération" basée sur cette loi qui doit rentrer en vigueur au 1er janvier 2014. Pour le moment, Google semble avoir refusé, mais pour combien de temps ?

Un État qui surveille la totalité des communications et surtout privées de ses citoyens, sous le prétexte de lutter contre le terrorisme et d'améliorer sa Défense, est un problème majeur pour garantir les libertés fondamentales, surtout quand le mécanisme de surveillance se fait sans l'accord du pouvoir judiciare. Le problème, il est bien là. La séparation des pouvoirs, celle que l'on apprend à l'école, n'existe plus avec cette loi "démocratique", car les contrôles ne se font que par voie administrative à la CNCIS (Commission nationale de contrôle des interceptions de sécurité), et seulement après la récolte des données ! Il est donc question du renversement de la charge de la preuve. Hélas, pour des raisons d'égocentrisme, l'opposition (UMP+UDI) n'a pas voulu signer, avec les autres partis politiques, notamment EELV (écologie), la saisine du Conseil Constitutionnel pour vérifier et rassurer les citoyens quant à la bonne constitutionnalité de cette loi. La Politique en France ; une véritable cours de récréation alors que, comme le rappelle la Quadrature Du Net, l'absence de saisine constitutionnelle manifeste une très grave crise de la représentation démocratique et de son respect des droits fondamentaux.

Mais, aussi invraisemblable que cela puisse paraître, les Nations Unis, ont voté mercredi dernier, à l'unanimité, une résolution protégeant le droit à la vie privée contre les lois illicites dédiées à la surveillance généralisée dans le numérique. La résolution explique que : "les mêmes droits qui s'appliquent offline doivent aussi s'appliquer sur Internet, y compris le droit à la vie privée". La France apparaît donc aujourd'hui comme opposée, avec sa LPM et son article 20, à ce que demande les Nations Unis.

La Loi de Programmation Militaire a été officialisée au Journal Officiel, et avec son article 20 (anciennement article 13), ce 19 décembre 2013. Nous somme aujourd'hui au cœur d'un événement Historique sans précédent.

Maintenant, si vous ne pensiez pas crier au loup, parce qu'après tout, ce sont des "gentils" socialistes qui sont au pouvoir, imaginez juste une seconde ce qui se passera quand un parti d'extrême aux ambitions dictatoriales jamais avouées passera avec ce genre d'outil ? Cette loi, du moins cet article 20, permet de rapidement prendre des mesures face aux opposants politiques, et face aux citoyens ayant la moindre idée opposée au régime en place. Et si l'État déclarait la guerre à ceux qui chiffrent leurs communications en les qualifiant de terroristes ?. Si, recueillir des données n'est pas malsain, la possibilité de les traiter dans le but d'activer des censures et de mettre sous pression le plus simple citoyen un peu trop critique, l'est, et les termes de la loi sont explicitement floues pour pouvoir créer des dérives dangereuses. C'est pour cela que le droit à la vie privée est un droit fondamental, directement lié à la liberté d'expression et aux partages d'idées. Être constamment surveillé, c'est finir par s’autocensurer, par peur de représailles. Pourquoi cet article 20 ne concerne pas uniquement l'activité de la Défense pour lutter contre le terrorisme ?

La sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous

Encore une fois, tout comme PRISM, le but est également de créer un programme dédié à l'intelligence économique, soit l'exploitation et la collecte des données d'activités économiques des entreprises dans un but éventuel de leur imposer des règles en cas de besoin. Il n'est pas évident de trouver des terroristes dans un document scientifique d'une entreprise, sauf à faire croire comme une propagande de la NSA, que ça va sauver tous les ordinateurs de la Nation des pires malwares... Même le MEDEF s'est exprimé sur ce sujet, relayé par Jean Marc Manhack, en parlant d'une "grave atteinte à la confiance que l'ensemble des acteurs doivent avoir dans l'Internet". Alors, faut-il avoir peur quand, en plus, François Hollande veut menacer "la tranquillité de l'anonymat" et supprimer de ce fait, la liberté d'expression ?

Enfin, ne croyez pas que ce système est nouveau, parce qu'il est désormais légal. Cette article n'est là, justement, que pour légaliser ce qui se faisait déjà avant de façon "a-légale". Mais ça n'est pas une excuse : une loi doit rester constitutionnelle, et il sera désormais bien difficile de le savoir. Pour rappel, le programme de la NSA a été jugé "inconstitutionnel". Et, si vous pensiez n'avoir rien à vous reprocher et donc rien à cacher, allez donc lire cet article, et celui-ci, sur cette façon de penser transposée à la vie réelle.

L'une des rares émissions a avoir voulu traiter un peu le sujet, c'est Ce Soir Ou Jamais!, avec Philippe Aigrain, co-fondateur de la Quadrature Du Net. Pas sûr qu'elle reste longtemps sur YouCopy...



Enfin, je vous conseille sinon, la lecture de la Tournée Des liens #50 qui est aussi largement consacrée à la LPM, et je vous laisse avec cette conférence de Benjamin Bayart et de Jérémie Zimmermann, centrée sur la surveillance généralisée. Elle a été réalisée en novembre dernier, et ne parle donc pas de la LPM, mais son contenu est pleinement dans le sujet.



Benjamin Franklin :

Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux.

#LPM. Surveillance Généralisée. La France se dote d'un outil de dictature est une publication originale sur le blog NeoSting.net

Article sous licence Creative Commons CC-By

Mise à jour. Cette vulnérabilité de GnuPG semble avoir été corrigée avec la version 2.x et les utilisateurs d'Ubuntu sont invités à mettre, simplement, à jour leur système. Toutefois, il faudra qu'une nouvelle étude des chercheurs soit à nouveau effectuée, car aux dernières nouvelles, dans leur rapport, ils semblaient quand même un peu sceptiques avec cette nouvelle version 2.

---

Vous saviez qu'il existe un procédé qui permet de craquer une clé GPG RSA de 4096 bits en 1 heure ? Le principe ne consiste pas à passer par un logiciel classique de brute-force, mais à analyser les fréquences sonores émises par le matériel lors de son utilisation. Tout ordinateur émet des fréquences sonores, pour le moins inaudibles par l'oreille humaine, servant de signatures numériques. Un processeur en action fait du "bruit", et ce bruit, causé par des vibration électromécaniques, n'est pas le même suivant chaque action qu'il réalise. On ne parle bien sûr pas, ici, des ventilateurs qui le refroidissent, mais bien des signaux acoustiques émis par les puces et leur résonance dans les circuits et les châssis.

Les chercheurs Daniel Genkin, Adi Shamir, Eran Tromer et beaucoup d'autres, ont mis au point un système d'analyse cryptographique basé sur l'analyse acoustique des ordinateurs, pour extraire une clé GPG à 4096 bits complète. Ce genre de clé est utilisée pour chiffrer des documents. L'extraction des clés privées ne prendrait, avec ce procédé qu'une heure. Ça paraît peux, mais c'est juste le temps nécessaire pour séparer une données à chercher dans les différents "bruits" qu'un processeur est amené à émettre lorsqu'il calcule plusieurs opérations en même temps.

On peut lire le rapport complet à cette adresse (pdf) qui explique que sur pratiquement tous les ordinateurs, il est possible de distinguer de cette manière, l'occupation d'un processeur. Sur de nombreux ordinateurs, il est aussi possible de faire la différence entre différents programmes utilisés. L'analyse électrique (sans micro), fonctionne également très bien avec le même procédé que l'analyse des vibrations électroniques. Un système d'analyse qui n'est pas sans rappeler celle des nouveaux compteurs électriques intelligents. Et si, ils permettaient aussi de déchiffrer nos clés privées ?



Le plus impressionnant dans cette histoire, c'est qu'un simple micro de smartphone placé, lors des tests, jusqu'à 30cm à côté d'un ordinateur peut suffire à extraire ce type de données. Avec une bonne parabole, ces données ont même été extraites à une distance de 4 mètres, et avec un bon micro, ça a fonctionné à 1 mètre. Les fréquences de délation se situent autour de 10KHz. Comme dans les films, un scénario d'attaque consiste donc simplement à laisser traîner un smartphone, un enregistreur, un petit micro collé près d'un ordinateur pour extraire des informations confidentielles. Seuls un blindage électromagnétique et une conception des circuits électriques mieux étudiées permet de se protéger de ces attaques.

Cette procédure n'est pas sans rappeler également cette preuve de concept qui permet de déployer des malwares par ondes sonores.

L'étude a consisté à analyser Gnu/PG dans version 1.x, et la découverte a été envoyée sous CVE-2013-4576, mais selon leur étude supplémentaire, la version 2.x, ajoutant quelques contre-mesures, serait également touchée. Les chercheurs n'ont pas fait d'étude encore sur d'autres algorithmes.

Une clé GPG à 4096 bits craquée en 1 heure via les ondes sonores (maj) est une publication originale sur le blog NeoSting.net

Article sous licence Creative Commons CC-By