Nos Partenaires

Stages de survie CEETS

Auteur Sujet: Alternatives aux gros services web  (Lu 5906 fois)

03 juillet 2013 à 19:46:16
Lu 5906 fois

el_crocorino


Bonjour à tous,

suite à l'interview d'Éric Filiol que Korben a fait transiter sur son site, j'ai découvert prism-break.org, une petite page qui recense des alternatives à la majorité des gros services web qu'on utilise aujourd'hui. Au delà de toute considérations géopolitocomonculsurlacommode actuelle, ça faisait un moment que je cherchais une liste de ce genre pour pouvoir m'affranchir de ces outils, ou au moins avoir un back-up au cas où (au cas où quoi ? Je sais pas, mais j'aime bien sauvegarder mes données à plusieurs endroits différents, pour le principe).

Voili-voilà, ça fait sans doute doublon avec un autre post qui m'aurait échappé, ou alors c'est pas au bon endroit, ou alors tout le monde est déjà au courant, mais on sait jamais.

Bonne lecture ! :)

04 juillet 2013 à 09:38:41
Réponse #1

gargle


wowww, super liste.
Il manque 2-3 programmes, mais l'essentiel est là.  :doubleup: :doubleup:
MERCI BCP

04 juillet 2013 à 12:36:18
Réponse #2

Jco


Hello,

J'ai testé pas mal des solutions présentés dans le lien donné plus, et je voudrais vous faire part de mon ressenti personnel.

Premièrement un constat : c'est très compliqué d'aboutir à une indépendance "totale", à moins d'avoir un serveur chez soi et d'héberger tous les services dessus (email, partage de fichiers, DNS). C'est pas accessible à tout le monde (technique), présente certains désavantages (fiabilité, sécurité ?) qui font qu'on peut pas trop improviser, et de toute façon on restera dépendant de son hébergeur, et/ou du gouvernement du pays dans lequel on vit (si l'état décide de surveiller toutes les communications comme c'est le cas pour PRISM, alors à moins d'avoir une encryption totale on peut pas trop y faire grand chose).

Je reprends la liste et vous donne mon sentiment, mais en bref :
 - Un hébergement permet de se passer des alternatives gratuites ou le produit, c'est vous. Mais du coup, ça se paye.
 - Tout n'est pas très simple, et difficile d'accès au néophyte. Les possibilités d'erreurs sont nombreuses (avec des conséquences importantes : votre blog hacké qui devient une boite à SPAM, votre serveur DNS qui sert de relais à des attaques...).
 - "La sécurité n'est pas un produit, mais un processus"

Navigateur internet
Firefox est un navigateur libre, gratuit, performant, et disposant de nombreux addons, pourquoi s'en priver ? On peut aussi utiliser Chromium (mais pas "Chrome", qui téléphone régulièrement à la maison et transmet des infos sur vous)
Au niveau des add-ons :
 - AddBlock. Je ne peux plus m'en passer. La première chose que j'installe quand j'arrive sur un PC "vierge". Après on peut débattre sur l'impact de l'addon (blocage de pub =? blocage de revenus)
 - https everywhere
 - Ghostery
 - WOT

Ces addons permettent d'avoir une bonne protection de sa vie privée sans pour autant "tout casser".
Après on peut en rajouter, mais à chaque couche ca devient de moins en moins "user friendly", et nécessite parfois de recharger plusieurs fois une page pour qu'elle fonctionne correctement (en ajoutant à chaque fois des exceptions). Par exemple :
 - NoScript est très puissant, mais "usant" à la longue (aujourd'hui de nombreux sites fonctionnent avec javascript et autre. Faire une commande en ligne par exemple est un cauchemar avec NoScript, il faut parfois s'y reprendre à plusieurs fois pour "accepter" tous les domaines liées au e-commerce, genre banque, etc...).
 - Bloquer les cookies par défaut et utiliser une "white list" au cas par cas (addon cookie culler)
 - RequestPolicy permet de voir quels autres domaines sont chargés par une page, et de les interdire. Mais il faut parfois charger plusieurs domaines (au petit bonheur la chance) pour arriver à un résultat satisfaisant (c'est à dire un site bien mis en page, etc).
A mon avis ces addons sont à utiliser avec prudence (je les ai utilisé longtemps, et j'ai fini par les virer). On peut imaginer se faire deux profils firefox : un normal pour la navigation classique, et un "sécurisé" avec les addons ci dessus, qu'on utilise que pour se connecter à sa banque, etc...

Recherche internet
Le plus dur selon moi... J'ai essayé plusieurs fois de me passer de Google, et je sais pas si c'est l'habitude, mais dès que je sors de Google je trouve les résultats pas très bon... Je finis souvent par y revenir (j'ai testé plusieurs fois startpage, mais je m'y fais pas).

Cartes
Je ne peux que conseiller OpenStreetMap, qui par endroit est bien plus complet que Google maps. Pour les autres endroits, vous pouvez contribuer !
L'application Android est très bien, et permet d'embarquer les données hors ligne, ce qui est très pratique quand on part en rando (ça fait un backup dans le téléphone).

Messagerie instantanée
J'ai du mal à utiliser autre chose que Skype, car tous mes contacts sont sur skype... De plus, il est souvent difficile de convaincre ses contacts d'utiliser XMPP (jabber, Google talk, etc) car un peu plus complexe à mettre en oeuvre. Skype ca "'juste marche".

Video conference / Téléphonie
Idem, difficile de faire sans Skype.
Pour la téléphonie, j'utilise un compte SIP avec succès, mais ça ne garanti rien en termes d'anonymat.

Social Networking
La aussi on est confronté à un problème "d'effet de réseau". Il est difficile de changer de réseau social lorsque tous ses contacts restent sur l'ancien.
De plus, j'ai presque envie de dire que "réseau social" et vie privée sont antinomiques. J'utilise facebook et Twitter, mais à très faible dose (pour Facebook, je me contente de tout verrouiller).

Stockage dans le nuage
Je dispose d'un hébergement (payant). J'y ai installé Owncloud, dont je suis globalement content (sauf de la dernière mise à jour qui m'a tout planté). Je dispose ainsi d'un "dropbox" à moi, mais c'est pas de tout repos : il faut maîtriser le transfert de fichiers en FTP, l'utilisation de SQL, les droits sur les fichiers... vérifier les mises à jour, installer le tout, comprendre pourquoi ça plante.

Collaboration de document en ligne / mise de media en ligne
Envoyer le fichier par email peut le faire quand on est pas trop nombreux... Dès qu'on dépasse un certain nombre de personne ca devient compliqué à gérer. La aussi je pense qu'un hébergement est nécessaire (plutot que de passer par un service en ligne). J'ai pas approfondi la question.
Pour les photos, idem (hébergement), zenphoto ou piwigo peuvent avantageusement remplacer Picassa (pour peu qu'on dispose d'un espace d'hébergement suffisant).

Email
La encore je trouve que la solution la plus pérenne est de payer un prestataire pour avoir ses comptes emails hébergé chez lui.

Encryption des échanges
A la lumière du scandale PRISM, plein de gens expliquent qu'il faudrait crypter nos échanges par email. Je suis étonné que ce soit pas devenu le cas par défaut depuis le temps, et qu'on ne dispose pas de solutions simples pour le faire (cela dit je suppose que les agences qui ont mis en place PRISM font tout pour éviter que ça devienne le cas). Ce serait tellement simple si c'était intégré dans le protocole (genre "Je crée un compte email, la clé publique est créé automatiquement, dès que jes gens m'envoient un message il est crypté). Mais je pense que c'est pratiquement impossible à mettre en place, car (dans le cas de PGP), il faut que vos correspondants fassent l'encryption ! A moins d'être journaliste (et encore je suis sur que peu le font) ou dans le cadre d'une entreprise (qui impose cela à tous ses utilisateur), je pense pas que Tata germaine se fasse chier à encoder ses emails avec votre clé publique avant de vous envoyer la photo de votre neveu. Bref.

De plus on a vu (dans le cadre de PRISM) que les communications encryptées pouvaient faire l'objet d'une "surveillance rapprochée". Donc si on a des trucs hyper importants à se dire, je crois qu'il faut pas le faire par email (d'autant plus que le cryptage des messages ne cache que le contenu, pas les "méta données" - or on a vu dans le cadre de PRISM que c'est cela le plus important : qui parle à qui, et quand).

Serveur DNS
La encore, idéalement il faudrait avoir ses propres serveurs DNS. C'est compliqué, faut pas faire n'importe quoi. Le compromis c'est d'utiliser "OpenDNS", mais (il y a un mais) il faut être conscient que comme toute entreprise commerciale, vous serez traqué dans vos habitudes... Et vous aurez le droit en plus au "correcteur de fautes d'orthographe" qui vous renvoi sur une page OpenDNS quand vos requêtes échouent (genre vous tapez un site dans la barre d'adresse avec une faute).

Système d'exploitation
Aujourd'hui les systèmes d'exploitation basés sur GNU/Linux sont très faciles à configurer (Ubuntu, Mint), et fonctionnent correctement (sauf matériel "exotique" ou dernier cri). Par contre il faut une connexion internet (on peut faire sans, mais c'est vraiment galère). J'utilise Debian et en suis très content.


Un point qui n'a pas été abordé : la protection des mots de passe. Utilisez un "coffre fort" à mot de passe (Keepass, Lastpass), et changez de mots de passe à chaque nouveau service. Idéalement, générez vos mots de passe aléatoirement, et laissez votre coffre fort s'en souvenir à votre place (utilisation keepass + keefox + stockage dans le cloud).

04 juillet 2013 à 14:20:54
Réponse #3

Bomby


(...)

Voili-voilà, ça fait sans doute doublon avec un autre post qui m'aurait échappé, ou alors c'est pas au bon endroit, ou alors tout le monde est déjà au courant, mais on sait jamais.
(...)

Pas forcément, mais pour plus de sûreté, je redonne à toutes fins utiles le lien vers un fil récent traitant de la sécurité informatique avec notamment un focus sur les mots de passe : http://www.davidmanise.com/forum/index.php/topic,29394.0.html.

Sur un autre fil, avait été également été évoquée la question du stockage pérenne de données informatiques, avec quelques contributions intéressantes malgré une hypothèse de départ plutôt "tirée par les cheveux" : http://www.davidmanise.com/forum/index.php/topic,62410.20.html.

Il serait intéressant ici de bien différencier le sujet du fil de ces deux sujets précédents, même s'il y a forcément un minimum de recoupements inévitables... Merci par avance !

Peut-être ceci passe-t-il par le fait de définir un peu plus précisément le sujet initial, ou au minimum ce qu'on entend par "gros services web"...

Cordialement,

Bomby

04 juillet 2013 à 14:50:41
Réponse #4

Bomby


Et à part la problématique du sujet du fil, j'ai une question qui me vient au vu du site http://prism-break.org/.

Je comprends l'intérêt de recourir à des logiciels libres plutôt qu'à des systèmes dits "propriétaires", genre Mozilla avec add-ons plutôt que Google Chrome, histoire principalement d'être moins pisté commercialement.

Mais j'avoue ne pas trop voir comment ceci permettrait d'arrêter d'être facilement tracé par le gouvernement américain comme semble le proposer ce site, dans son apostrophe probablement optimiste :

Citer
Opt out of PRISM, the NSA’s global data surveillance program. Stop reporting your online activities to the American government with these free alternatives to proprietary software
.

Personnellement, je m'en fiche d'ailleurs pas mal d'être pistable par la NSA, ne faisant pas grand chose qui risque de les intéresser et étant surtout conscient de la difficulté qu'il y a derrière à trier utilement dans la masse énorme de données que PRISM ou tout autre système équivalent permet de collecter...

Mais je ne pige pas trop en quoi l'usage par exemple de Mozilla, ou même de Tor, rendrait plus complexe, voire impossible, le traçage de nos activités en ligne ou de nos échanges par la NSA ou l'un quelconque de ses joyeux concurrents des maisons d'en face ou des maisons voisines...

La liste de systèmes libres proposée sur ce site est certainement très intéressante à de nombreux égards, mais par rapport à l'ambition (à mon avis d'ailleurs inutile) qui s'y trouve affichée en exergue a-t-elle réellement une quelconque pertinence ?

Cordialement,

Bomby

04 juillet 2013 à 15:12:39
Réponse #5

mirmidon


 :lol: c'est du bruit c'est connu depuis des lustres par les européens et la france fait pas de l'espionnage mais du renseignements  :o
Le scandale Prism n'en finit pas de rebondir. Outre les internautes "lambda" du monde entier, l'Union européenne et ses États membres ont été la cible de l'espionnage américain mené par la NSA, l'agence de sécurité qui avait déjà mis en oeuvre le programme Échelon dès les années 1970. Depuis les révélations du magazine allemand Der Spiegel le week-end dernier, les dirigeants européens se sont tous émus d'être la cible d'un "allié", d'un "ami", et ont exigé des comptes. Mais ces réactions offusquées ne sont qu'une façade : ils étaient au courant depuis des mois, voire des années, qu'un système comme Prism ciblait l'ensemble des pays du monde, sans discernement.
http://www.lepoint.fr/chroniqueurs-du-point/guerric-poncet/prism-les-dirigeants-europeens-savaient-depuis-longtemps-02-07-2013-1688268_506.php
 ;#
je ne suis n'y pour n'y contre bien au contraire

04 juillet 2013 à 15:14:35
Réponse #6

Jco



Mais je ne pige pas trop en quoi l'usage par exemple de Mozilla, ou même de Tor, rendrait plus complexe, voire impossible, le traçage de nos activités en ligne ou de nos échanges par la NSA ou l'un quelconque de ses joyeux concurrents des maisons d'en face ou des maisons voisines...

La liste de systèmes libres proposée sur ce site est certainement très intéressante à de nombreux égards, mais par rapport à l'ambition (à mon avis d'ailleurs inutile) qui s'y trouve affichée en exergue a-t-elle réellement une quelconque pertinence ?

Cordialement,

Bomby

En ce qui concerne Mozilla, tu as raison.

Pour Tor, c'est plus sioux : cela permet de chiffrer l'utilisation d'internet, et donc par conséquent permet de brouiller les pistes... (par exemple les bloggeurs dissidents, se connecter à Facebook dans un état "surveillé", etc). Dans le cas de PRISM cependant, ce qui est ciblé c'est : téléphone, emails, fichiers dans le cloud (et pas tant "historique de navigation internet", ou tout du moins on ne le sait peut être pas encore).

Pour le reste, à part l'auto-hébergement (qui permet de s'affranchir en partie des problèmes de PRISM), la liste n'apporte pas grand chose.

A noter : Le Monde vient de sortir un article sur un "PRISM à la Française" (on pouvait s'y attendre).

Merci pour ton intervention et pour donner les liens vers les autres sujets (que j'avais en tête mais que je ne retrouvais pas).
Pour recentrer le sujet sur l'espionnage à grande échelle, voici une liste subjective des "gros services web" que la plupart des gens utilisent (et qui participaient à PRISM) :
 - Gmail
 - Dropbox
 - Facebook

Les solutions apportées sont :
 - Auto-héberger ses serveurs emails (en local ou chez un hébergeur si les données sont cryptées)
 - Auto-héberger ses fichiers en ligne (ou sur une machine dans le cloud, mais crypté: ex Dropbox + Truecrypt ou Owncloud)
 - Facebook : comprendre et accepter que tout ce qui est publié sur Facebook devient leur propriété, restera à jamais en ligne et pourra servir à des fins commerciales
 

04 juillet 2013 à 15:31:54
Réponse #7

Bomby


:lol: c'est du bruit c'est connu depuis des lustres par les européens et la france fait pas de l'espionnage mais du renseignements  :o
Le scandale Prism n'en finit pas de rebondir. Outre les internautes "lambda" du monde entier, l'Union européenne et ses États membres ont été la cible de l'espionnage américain mené par la NSA, l'agence de sécurité qui avait déjà mis en oeuvre le programme Échelon dès les années 1970. Depuis les révélations du magazine allemand Der Spiegel le week-end dernier, les dirigeants européens se sont tous émus d'être la cible d'un "allié", d'un "ami", et ont exigé des comptes. Mais ces réactions offusquées ne sont qu'une façade : ils étaient au courant depuis des mois, voire des années, qu'un système comme Prism ciblait l'ensemble des pays du monde, sans discernement.
http://www.lepoint.fr/chroniqueurs-du-point/guerric-poncet/prism-les-dirigeants-europeens-savaient-depuis-longtemps-02-07-2013-1688268_506.php
 ;#

Oui, "tout le monde" sait ça depuis longtemps, et même "tout le monde" fait ça depuis longtemps. C'est vieux comme le monde.

Ce qui change en fait, ce sont les méthodes, en fonction de l'évolution des technologies, et le nombre de personnes potentiellement "écoutées".

Mais, au final, que faire de toutes les données collectées ? Desquelles prendre connaissance ? Comment les trier ? Comment en faire quelque chose d'utilisable ?

Ce problème est finalement de plus en plus aigu. Alors si on est un ministre français revenant d'une négociation pour vendre de l'armement à l'étranger, on aura probablement intérêt à être plus que prudent sur ses communications. Mais dans la plupart des cas, qu'est-ce que ça peut seulement faire qu'un agent d'un service de renseignement chinois ou américain ou même français puisse suivre en partie nos activités ?

Alors, autant ça me semble important de ne pas être commercialement manipulé à mon insu (tracking marketing type google chrome), autant pour ce qui est de la sécurité des états, à moins d'être dans des activités très particulières, l'enjeu est le plus souvent nul...

Cordialement,

Bomby

04 juillet 2013 à 15:42:43
Réponse #8

sebastienb


Avec Firefox vous êtes autant pisté qu'avec IE  ::) La 1ère source de revenus de Firefox est... Google Adwords, la régie publicitaire de Google.

04 juillet 2013 à 15:58:27
Réponse #9

Phil67


Merci Jco pour ton message détaillé auquel j'adhère à 100% (ou 99,9% histoire de pinailler ;)).

La vision donnée par prism-break.org est un peu "idyllique" et occulte les nombreux pièges redoutables de l'auto-hébergement pour le non-expert (la fiabilité et la sécurité reposent exclusivement sur les compétences techniques et l'investissement personnel).

J'ai exactement la même liste d'extensions Firefox qui fait partie de mon "kit minimal".
J'ai également abandonné NoScript dont le rapport bénéfice / emmerdements reste défavorable.
Pour les cookies je désactive systématiquement les cookies tiers et évalue actuellement une solution intermédiaire qui fonctionne plutôt bien en restant plus confortable qu'un blocage + white-list : Self-destructing accepte les cookies normalement mais les détruit automatiquement lors de la fermeture des onglets associés (avec conservation possible par site pour la session ou après redémarrage).

Concernant Google : après avoir testé pas mal d'alternatives je finis toujours par y revenir (Google-power-user depuis 1999).  :-\


Et à part la problématique du sujet du fil, j'ai une question qui me vient au vu du site http://prism-break.org/.

Je comprends l'intérêt de recourir à des logiciels libres plutôt qu'à des systèmes dits "propriétaires", genre Mozilla avec add-ons plutôt que Google Chrome, histoire principalement d'être moins pisté commercialement.

Mais j'avoue ne pas trop voir comment ceci permettrait d'arrêter d'être facilement tracé par le gouvernement américain comme semble le proposer ce site, dans son apostrophe probablement optimiste :
...
La liste de systèmes libres proposée sur ce site est certainement très intéressante à de nombreux égards, mais par rapport à l'ambition (à mon avis d'ailleurs inutile) qui s'y trouve affichée en exergue a-t-elle réellement une quelconque pertinence ?
Open-source = possibilité d'auditer les sources et donc les éventuels backdoors "institutionnels".


Le "scandale PRISM" tel qu'il nous est présenté par les médias n'est qu'une vaste fumisterie surtout suite aux réactions totalement hypocrites des citoyens américains qui s'offusquent. PRISM n'est en fait que la partie "technique" du Patriot Act qui a été adopté à l'époque dans l'indifférence quasi-générale.

Rien de neuf sous le soleil : PRISM permet juste de "simplifier techniquement" l'espionnage en fournissant des tuyaux pour connecter la NSA directement chez des prestataires plutôt que de devoir bosser au cas par cas.

De même les dérivations sur les fibres optiques transocéaniques ne sont que la version moderne de ce qui se passait avec les câbles téléphoniques sous-marins pendant la guerre froide.


Donc la logique derrière l'usage massif de systèmes et applications Open Source est de compliquer l'automatisation de la tâche de la NSA en évitant tout risque de backdoor institutionnel et en encryptant les données même banales (histoire de noyer les données critiques dans un flot crypté de données sans intérêt).


Citer
Personnellement, je m'en fiche d'ailleurs pas mal d'être pistable par la NSA, ne faisant pas grand chose qui risque de les intéresser et étant surtout conscient de la difficulté qu'il y a derrière à trier utilement dans la masse énorme de données que PRISM ou tout autre système équivalent permet de collecter...
Le problème à la base est bien cette logique qui permet tous les abus à long terme. Toutes ces mesures d'espionnage massif sont toujours justifiées de cette manière : les gens honnêtes n'ont rien à cacher car il s'agit de lutter contre les pédophiles / nazis / terroristes / pirates / whatever...

Comment peux-tu savoir que tes données intéresseront jamais la NSA ou n'importe quel autre service équivalent. Elles permettent bien aux plus gros comme Google de se financer pour te fournir de nombreux services gratuits.

Même sans cibler un individu en particulier tout service de renseignements rêve de connaître en temps quasi-réel les opinions échangés à l'échelle d'un pays.

En essayant de limiter l'adoption massive d'outils ou sites "corrompus" remplacés par des solutions plus sécurisées on limite énormément cette possibilité.


EDIT : Désolé pour le train de retard (interruption avant de pouvoir poster)...
« Modifié: 04 juillet 2013 à 16:03:49 par Phil67 »
Nous avons deux vies, la seconde commence lorsqu'on réalise qu'on en a qu'une.

04 juillet 2013 à 17:13:01
Réponse #10

DavidManise


Au risque de passer pour un rabat joie...  la France intercepte pratiquement toutes les communications électroniques qui passent sur son territoire, y compris celles des citoyens français.  Des services informatiques spécialisés stockent absolument tout ce signal, en limitent la taille en ne gardant que quelques infos clé, et analysent tout ça en permanence.  Le but de la manoeuvre étant de voir qui est en relation avec qui, et au final de détecter des groupements de gens ayant des intentions malveillantes, de "mapper" les réseaux, etc, etc.

C'est bien davantage les liens entre les individus et les groupes que le contenu des messages échangés qui intéresse et qui est analysé, scruté, etc.  Ceci étant, a partir de certains seuils, on enregistre non plus seulement les contenants mais aussi tout le contenu.  Et même les meilleurs logiciels de cryptographie du monde, sauf quelques rares exceptions, ont des "backdoors" : des portes d'entrées secrètes réservées aux services de l'Etat (principalement Etats-Unien, il faut bien le dire).

Sur demande, les autorités nationales ont le droit de saisir des données chez n'importe quel prestataire de service, fournisseur d'accès ou autre, et peuvent utiliser ces données pour diverses enquêtes sans que ça ne se sache du tout.  Ainsi, si vous êtes un peu trop fortement connectés à des réseaux survivalistes, altermondialistes, politiques, syndicaux ou autre, il est possible que vous soyez tout simplement "lu" par des ordinateurs : on pompe tous vos signaux entrants et sortants, et on enregistre tout.  Un programme passe tout ça au crible, cherche des mots clés, analyse, et fait sortir des alertes... 

On passe ensuite à un niveau d'alerte supérieur, où les petites loupiotes s'allument dans les petits bureaux, et où un être humain s'intéresse à vous.  Et là il tâche de déterminer de quel bois vous vous chauffez vraiment...  etc.

Actuellement, tous les gouvernements d'absoluemnt tous les pays détiennent des quantités d'information absolument pharaoniques sur leurs propres citoyens.  C'est comme ça.  Ca dure depuis plus de 20 ans.  Tout le monde, ou à peu près, le sait...   Tant qu'on reste dans un cadre démocratique, avec un cadre légal relativement propre et un souci pour les droits du citoyen, ça passe encore.  Si, demain, un parti vraiment extrémiste prenait le pouvoir en France...  ou si un intrus collaborant avec ce genre d'organisation organisait des fuites, ça pourrait réellement mettre en péril la sécurité de certains citoyens, et notre système démocratique dans son ensemble... 

Alors, sans verser dans les sujets politiques, je pense qu'il est facile de comprendre que ça peut devenir dangereux.  Pour le moment, rien de trop grave parce que ce sont pas de vrais vrais méchants qui veulent génocider qui sont au pouvoir.  Mais dans 20 ans ? 

Vouloir protéger sa vie privée, individuellement, c'est super.  Personnellement, j'ai arrêté de poster des photos de moi tout nu sur les réseaux sociaux depuis un moment...  ;# ...  mais collectivement, on a de vraies questions à se poser sur le ratio intérêt démocratique / risque de ce genre de dispositif d'écoute étendu...

La sécurité, c'est bien.  Mais c'est toujours un compromis.  Quels compromis sommes nous prêts à faire, collectivement, pour cette sécurité ?  Quels sont les risques à long termes, aussi, de cette recherche de sécurité maintenant ?

J'ai plein de questions et peu de réponses... 

Ceci étant, la première chose à faire, si on veut augmenter son niveau de sécurité et garantir un semblant de vie privée de nos jours, ben c'est comme avant hein : faut juste fermer sa grande gueule ;)

Ciao ;)

David
"Ici, on n'est pas (que) sur Internet."

Stages survie CEETS - Page de liens a moi que j'aimeu

04 juillet 2013 à 17:55:34
Réponse #11

Solstice


Pour information, les Big Brother Awards 2013 ont eu lieu le 26/06/2013, les grands gagnants sont là : http://bigbrotherawards.eu.org/

Je ne sors pas ça dans un but politique ou autre, mais ça permet de bien illustrer les fait qu'il n'y ait pas que via internet que la surveillance se fait (même si ça devient l'usage le plus fréquent).

Pour ce qui est des backdoors dans les soft US, il me semble même que c'est une obligation pour tout soft soumis à l'export d'avoir des backdoors pour les renseignements US.

On trouve beaucoup d'infos relatives à tout ça sur Korben, ou sur reflets.info.

Citer
Alors, sans verser dans les sujets politiques, je pense qu'il est facile de comprendre que ça peut devenir dangereux.  Pour le moment, rien de trop grave parce que ce sont pas de vrais vrais méchants qui veulent génocider qui sont au pouvoir.  Mais dans 20 ans ? 

Justement, sur reflets.info y'a toute la saga Bull/Amesys dont bizarrement on n'entend pas trop parler dans les "grands médias". En gros des entreprises Françaises auraient vendues des softs de surveillance globale d'internet qui auraient été utilisés dans tout un tas de pays ou il ne fait pas trop bon réfléchir et s'exprimer, mais bon, c'est pas grave, on ne savait pas du tout l'usage qu'ils allaient en faire...

Et au passage, les techniques de DPI (Deep Packet Inspection), ne concernent pas que des Etats, Orange voulait mettre ça en place à des fins commerciales également.

04 juillet 2013 à 18:16:33
Réponse #12

Bomby


Pour information, les Big Brother Awards 2013 ont eu lieu le 26/06/2013, les grands gagnants sont là : http://bigbrotherawards.eu.org/

Je ne sors pas ça dans un but politique ou autre, mais ça permet de bien illustrer les fait qu'il n'y ait pas que via internet que la surveillance se fait (même si ça devient l'usage le plus fréquent).
(...)

Pourtant, quand on regarde la composition du jury de ces prétentieux "Big Brother Awards", et plus généralement quelles sont les organisations proches de Privacy France qui organise l'évènement, on constate qu'on a plutôt affaire à des personnes très engagées de certains côtés...

Pas du tout une référence neutre... Ce qui d'ailleurs discrédite largement la sélection de dénonciations publiques effectuée par ce "jury"...

Cordialement,

Bomby

04 juillet 2013 à 18:42:48
Réponse #13

Phil67


Pas non plus besoin d'avoir recours à des backdoors ou systèmes sophistiqués pour intercepter des communications apparemment encryptées : il a suffit au gouvernement tunisien de demander gentiment à Microsoft d'insérer ses propres certificats SSL "maison" pour être en mesure d'intercepter les connexions HTTPS (Gmail, Facebook, Twitter...) en toute discrétion entre 2007 et 2011 (technique du Man In The Middle).

=> http://www.sebsauvage.net/rhaa/index.php?2011/03/18/16/00/02-tiens-regardez-qui-s-est-invite

Des 3 grands navigateurs, seul Firefox est donc éventuellement à l'abri de ce genre de compromission institutionnelle.


Par ailleurs l'utilisation de la technologie pour le fichage massif des populations n'a pas attendu Internet puisqu'elle a déjà fait ses preuves durant la 2ème guerre mondiale : http://fr.wikipedia.org/wiki/International_Business_Machines#Critiques (je frôle le point Godwin, mais c'est à ma connaissance le premier cas connu dans l'histoire).
Nous avons deux vies, la seconde commence lorsqu'on réalise qu'on en a qu'une.

04 juillet 2013 à 18:53:28
Réponse #14

Phil67


Pourtant, quand on regarde la composition du jury de ces prétentieux "Big Brother Awards", et plus généralement quelles sont les organisations proches de Privacy France qui organise l'évènement, on constate qu'on a plutôt affaire à des personnes très engagées de certains côtés...
Dans ce cas pourquoi ceux engagés de "l'autre côté" n'organiseraient-ils pas leurs propres Awards ?

Citer
Pas du tout une référence neutre... Ce qui d'ailleurs discrédite largement la sélection de dénonciations publiques effectuée par ce "jury"...
En quoi cette sélection est-elle discréditée ? Les dénonciations ne sont pourtant pas inventées. Est-ce uniquement le choix final qui serait biaisé en occultant d'autres Awards potentiels ? Si oui lesquels ?
Nous avons deux vies, la seconde commence lorsqu'on réalise qu'on en a qu'une.

04 juillet 2013 à 19:17:13
Réponse #15

Bomby


Dans ce cas pourquoi ceux engagés de "l'autre côté" n'organiseraient-ils pas leurs propres Awards ?
En quoi cette sélection est-elle discréditée ? Les dénonciations ne sont pourtant pas inventées. Est-ce uniquement le choix final qui serait biaisé en occultant d'autres Awards potentiels ? Si oui lesquels ?

Quand des personnes se réunissent sur des critères politiques pour dénoncer un certain nombre de choses sous l'angle politique qui les réunit, oui, le choix des choses dénoncées est évidemment biaisé d'avance, peu important le bord politique sur lequel on se situe.

Tel ou tel autre bord politique peut tout aussi bien se réunir pour organiser ses propres Awards, ça ne vaudra pas mieux... Enfin, ça pourra avoir une valeur politique, mais difficilement une valeur non partisane.

Quant à cette nouvelle manie, aujourd'hui de plus en plus galvaudée d'ailleurs, de vouloir constituer des jurys pour décerner à tout propos des "Awards" négatifs, il me semble par ailleurs qu'elle mérite sérieusement d'être questionnée...

Quand il s'agit des "Gérard" du cinéma français, le second degré semble assez évident et il semble également assez évident que les participants ne se prennent guère au sérieux, en sorte que les personnes visées peuvent même parfois rire d'assez bon cœur avec le jury...

Mais quand on prétend décerner, sur un mode pseudo-humoristique et en réalité très sérieusement, des prix de la honte dans tel ou tel domaine, on se pose notamment en réalité en juge public de la vertu et du vice... Il faut être bien sûr de soi...

Le débat politique passe nécessairement par des prises de position parfois fortes, par la dénonciation publique de certaines situations, par le fait de susciter des polémiques. Certes. Instaurer des distributions publiques de prix de la honte me paraît cependant impliquer une posture morale plutôt douteuse.

Mais là on sort du sujet. Je réagissais simplement à la précaution oratoire prise par Solstice lorsqu'il citait cet exemple.

Revenons aux "gros services web".

Cordialement,

Bomby

04 juillet 2013 à 19:34:37
Réponse #16

Phil67


Je ne comprends toujours pas en quoi ces "récompenses" sont discréditées.

Élire le plus mauvais film de l'année reste totalement subjectif.

Ici on est dans le domaine de la technique et de la loi : la seule part de subjectivité reste le choix du classement final pouvant occulter ou amplifier certains faits. Pourtant sur le fond les faits primés sont réels et non pas inventés (et méritent donc d'être dénoncés).
Nous avons deux vies, la seconde commence lorsqu'on réalise qu'on en a qu'une.

04 juillet 2013 à 19:41:57
Réponse #17

Jco


Tant qu'on reste dans un cadre démocratique, avec un cadre légal relativement propre et un souci pour les droits du citoyen, ça passe encore.  Si, demain, un parti vraiment extrémiste prenait le pouvoir en France...  ou si un intrus collaborant avec ce genre d'organisation organisait des fuites, ça pourrait réellement mettre en péril la sécurité de certains citoyens, et notre système démocratique dans son ensemble... 

Alors, sans verser dans les sujets politiques, je pense qu'il est facile de comprendre que ça peut devenir dangereux.  Pour le moment, rien de trop grave parce que ce sont pas de vrais vrais méchants qui veulent génocider qui sont au pouvoir.  Mais dans 20 ans ? 

Vouloir protéger sa vie privée, individuellement, c'est super.  Personnellement, j'ai arrêté de poster des photos de moi tout nu sur les réseaux sociaux depuis un moment...  ;# ...  mais collectivement, on a de vraies questions à se poser sur le ratio intérêt démocratique / risque de ce genre de dispositif d'écoute étendu...

La sécurité, c'est bien.  Mais c'est toujours un compromis.  Quels compromis sommes nous prêts à faire, collectivement, pour cette sécurité ?  Quels sont les risques à long termes, aussi, de cette recherche de sécurité maintenant ?

Je crois que David met le doigt sur le noeud du problème... que je rapproche pour le coup de la question des "fichiers policiers".

Désolé si on drifte un peu hors sujet, mais la raison d'exister de ces fichiers c'est de dire "on a constitué un fichier de méchants-pas gentils, c'est pour votre bien"... Sauf que d'une part les fichiers sont plein d'erreurs (http://bugbrother.blog.lemonde.fr/2013/02/25/fichier-adn-80-des-fiches-sont-innocents/) (http://owni.fr/2012/05/18/le-gros-bug-des-fichiers-policiers/), d'autre part le risque de "détourner" le système existe, confère le "fichier des gens honnêtes" (http://bugbrother.blog.lemonde.fr/2012/05/27/la-liste-des-gens-honnetes-qui-voulaient-ficher-tous-les-francais/).

On tombe (avec Prism et consorts) dans le même trait : sécurité d'Etat, on vit pas chez les bisounours, "c'est pour votre bien".

Sauf qu'on se retrouve avec une montagne d'infos sur nos petites personnes, récoltés (quasi) clandestinement... Et qu'un jour elles seront utilisées, ces données. Fouillées, recoupées, reliées, pour faire le bien, ou pas. Et qu'on vienne pas me dire "oui mais si vous n'avez rien à vous reprocher"... (http://www.internetactu.net/2010/05/21/lettre-ouverte-a-ceux-qui-nont-rien-a-cacher/)

Ou fixer la limite ? Quand est-ce que cela devient néfaste ? Et est-ce vraiment nécessaire ? Peut on dire "grâce à ce fichier / ce programme de surveillance on a arrêté X personnes" ?

La encore beaucoup de questions, peu de réponses...

04 juillet 2013 à 20:03:08
Réponse #18

Solstice


Pour tenter de clore l'écart, ce n'est pas la "légitimité" des BBA qui m'intéresse, simplement le fait qu'on y "apprend" qu'il n'y à pas que via internet que l'on est fliqués dans des buts et manières "douteuses", que ce n'est pas toujours au niveau Étatique mais local, au sein de votre entreprise,etc... C'est plus une piqûre de rappel.

 Sinon Pour en revenir à ce que disait David, effectivement c'est une question de compromis, on manque quand même d'informations sur les résultats de cet espionnage généralisé. On peut quand même se douter que des terroristes ne vont pas poster une invitation à un événement sur Facebook lorsqu'ils préparent un attentat... Du coup, la légitimité de ces systèmes me semble en cause.

05 juillet 2013 à 17:30:48
Réponse #19

Dalz



06 juillet 2013 à 08:52:17
Réponse #20

Solstice


A noter un article de Korben sur l'interception à la française :

http://korben.info/infrastructure-de-mutualisation.html

06 juillet 2013 à 11:43:21
Réponse #21

Phil67


Malheureusement il y a quelques points dans cet article qui nuisent à sa crédibilité : plus de subjectif que de factuel + une dose de FUD et d'approximations.

Dans le fond tout ceci était connu depuis 2010 et la DGSE ne s'en est jamais cachée (cf. Frenchelon). Sauf qu'en général le grand public se contrefiche totalement de ce genre de sujet. Les sites spécialisés ont beau faire des articles détaillés mais autant pisser dans un violon : #Prism : pourquoi ce pseudo scandale m’en touche une sans faire bouger l’autre ?

Du coup les journalistes du Monde ont saisi le meilleur créneau possible pour sortir enfin le sujet des oubliettes pendant que l'"affaire PRISM" (qui n'est qu'une demi-surprise et qu'un petit maillon) fait l'actualité avant de disparaître totalement des unes avec la prochaine frasque de Nabila et les marronniers de l'été.


Un peu de lectures très documentées sur le cloud français de l'interception (extérieure ET intérieure) (Bull, Amesys, Alcatel, Eagle...) :
   - Amesys, DGSE, DRM, et si…
   - Amesys et la surveillance de masse : du fantasme à la dure réalité
   - Quand Jean-Jacques Urvoas raconte n’importe quoi au Point sur le PRISM français…


De toutes façons même sans les infrastructures de la DGSE ou Eagle, la France bénéficierait encore des services de la NSA via des accords de collaboration (tout comme le Royaume-Unis, l’Allemagne, les Pays-Bas, le Danemark, l’Italie et l’Espagne) : #PRISM and Guests : Au moins 7 pays européens auraient des accords avec la NSA


Donc "gros services web" ou pas il faut partir du principe élémentaire que toute communication électronique ou téléphonique est traçable (cf. la Libye qui était en mesure de conserver 1 mois de toutes les conversations téléphoniques sur son territoire ou l'attentat du marathon de Boston qui a mis en évidence des écoutes systématiques et généralisées).

Deux lecteurs sur 4,74 à 6 de ce message sont de toutes façons déjà potentiellement tracés par la NSA :

Un responsable de la NSA explique dans un des documents rendus publics que leur objectif est d'identifier les personnes en contact avec des cibles de la NSA. C'est "l'homme qui a vu l'homme qui a vu l'ours". Vous n'avez rien fait de mal, vous n'avez rien à vous reprocher, mais le fait de connaître "quelqu'un qui connaît quelqu'un" fait de vous un suspect potentiel. C'est là que nous sommes tous concernés.

Une théorie dit qu'il y a six degrés de séparation entre chaque être humain. Avec internet, nous sommes passés à 4,74. Donc, potentiellement, la moitié des gens connectés peuvent être considérés comme suspects par la NSA. La question, ce n'est pas de savoir si l'on a un comportement terroriste ou suspect, mais si l'on est en lien avec quelqu'un qui est en lien avec quelqu'un.


FUD or not FUD ? De toutes façons l'essentiel est qu'on y croit : « Big brother is watching you, even if it's not true. »  ;#
Nous avons deux vies, la seconde commence lorsqu'on réalise qu'on en a qu'une.

 


Keep in mind

Bienveillance, n.f. : disposition affective d'une volonté qui vise le bien et le bonheur d'autrui. (Wikipedia).

« [...] ce qui devrait toujours nous éveiller quant à l'obligation de s'adresser à l'autre comme l'on voudrait que l'on s'adresse à nous :
avec bienveillance, curiosité et un appétit pour le dialogue et la réflexion que l'interlocuteur peut susciter. »


Soutenez le Forum

Les dons se font sur une base totalement libre. Les infos du forum sont, ont toujours été, et resteront toujours accessibles gratuitement.
Discussion relative au financement du forum ici.


Publicité

// // //