Internet

7 février 2013

Pas malin

Voilà, je viens de donner un accès illimité à mes données personnelles, mes contacts, mes photos, mes sms, mon historique de navigation, et j'en passe, à une entreprise américaine qui n'a pas grand respect pour la vie privée et dont les pratiques me répugnent presque autant que celles de Facebook. Je suis géolocalisable une bonne partie du temps, j'ai autorisé des logiciels à accéder et modifier mes données de manière non documentée. J'ai mis pas mal d'argent dans un appareil moderne qui consomme tellement qu'il a autant d'autonomie qu'un modèle de 10 ans d'âge avec sa batterie d'origine, en prime je tue des ours polaires parce qu'il n'est pas démontable (sans doute pas réparable) et que la batterie n'est pas remplaçable par l'utilisateur. Il n'est pas extensible et sera sans doute périmé dans moins de 3 ans. Son client mail par défaut ne sait pas faire de l'authentification CRAM-MD5, et bien sûr je ne peux rien synchroniser directement à partir de mon ordinateur, tout doit être stocké sur et transféré via des serveurs américains.
Bref, j'ai un Google Nexus 4.

5 décembre 2012

Bonjour vie privée

Je pourrais me lancer dans une grande dissertation sur la manière de protéger sa vie privée sur internet, et sur tous les mômes qui s'en foutent aujourd'hui, et pleureront demain. Mais comme rien n'est plus pédagogique qu'une démonstration, surtout avec une fille à poil, en voici une.
Vous connaissez presque tous, j'en suis sûr, le site bonjourmadame.fr. Pour les autres, sachez jusque que ce site présente une fois par jour une photographie de jeune femme sexy (comprendre nue), les contributeurs (et/ou l'administrateur) n'hésitant pas à supprimer la signature du photographe, et à convertir de temps en temps le résultat en noir et blanc parce que ça donne une caution artistique.
Parfois, un fan du concept un peu zélé va poster une photo de sa copine. C'est déjà un peu limite car rien ne dit si la copine est d'accord, ou même si les gens qui pilotent le site s'en soucient. Mais le fan est prudent, il ne veut pas qu'on reconnaisse sa copine, alors il lui coupe la tête dans un recadrage un peu barbare. Le bougre croit qu'il est bordé, que plus rien ne peut lui être reproché. Ce qu'oublie notre bonhomme c'est que la protection de la vie privée ça ne se fait pas par dessus la jambe, et qu'un coup de ciseaux dans une photo ou tout autre type de document ne suffit pas toujours.
Ainsi, certains logiciels conservent dans les méta données du fichier un aperçu de l'image d'origine. Moi je trouve ça particulièrement marrant, mais la copine sûrement moins.

bonjour vie privee, ou comment finir à poil dans les EXIF d'une photo
Sur la capture ci-dessus, j'ai bien sûr flouté la jeune fille. Bonjour vie privée !

edit du 2 février 2013 : il a récidivé avec la même jeune et pulpeuse demoiselle. Cette fois en nu intégral.

4 septembre 2012

L4D2: hit a key to stop team kill

L4D2 is a very nice game: loads of zombies and weapons in coop or versus challenges, nice maps… But with every popular game around, one day or another you'll find yourself playing with assholes. This kind of players that join your game in the middle of a map, shoot everybody, kill themselves, and leave, forcing you to replay the map. Of course it's always in expert mode, the harder one, and you can't do anything because it's so fast to kill your character when playing expert. It happened to me 3 or 4 times in just 2 days, always in expert mode of course. So I designed a key binding that helps stoping "team kill", giving you some time to ban and/or kick the killer without ruining the game.
It requires a server running Source Mod, and that you have the authorization to send sm_cvar commands to this server.

Locate your autoexec.cfg file somewhere in left 4 dead 2/left4dead2/cfg/, or create one if it does not exist yet. Open it in your favorite text editor, and paste the following code:

bind "o" "sm_cvar mp_friendlyfire 1;wait;sm_cvar survivor_friendly_fire_factor_expert 0.5;wait;sm_cvar survivor_friendly_fire_factor_hard 0.3;wait;sm_cvar survivor_friendly_fire_factor_normal 0.1"
bind "p" "sm_cvar mp_friendlyfire 0;wait;sm_cvar survivor_friendly_fire_factor_expert 0;wait;sm_cvar survivor_friendly_fire_factor_hard 0;wait;sm_cvar survivor_friendly_fire_factor_normal 0"

Change "o" and "p" by the letters you want to use. In this example, pressing "p" key will turn off every friendly fire damages, the "o" key will turn them back on.

When a team killer joins your game and starts shooting your teammates (and you), you might be fast enough to press the "p" key, rendering the killer mostly harmless, before he makes too much damages. Feel free to ban/kick the f*cker.

Enjoy.

18 juin 2012

Loi informatique et libertés : fail.

Il est de notoriété publique que les opérateurs de téléphonie mobile accumulent tout un tas de données personnelles sur leurs clients. Notamment, les dates et heures de synchronisation à leur réseau d'antennes, ce qui permet sans grand effort d'obtenir une géolocalisation de votre téléphone en fonction du temps, même un an après.
Toutes ces données sont normalement accessibles à l'abonné, en vertu de la loi dite "Informatique et Libertés" (loi n°78-17 du 06 janvier 1978). J'ai donc décidé de demander à mon opérateur (Bouygues Télécom) l'intégralité des données relatives à mon abonnement. Je me suis fendu pour l'occasion d'une missive papier dont voici le contenu censuré :

24 janvier 2012

Monsieur,

Je suis client Bouygues Télécom depuis plus de 7 années. Mes coordonnées sont :

Patrick Proniewski
13 rue XXXXXX 6900X Lyon

Numéro : 06 67 XX XX XX
Numéro client, tel qu'indiqué sur ma facture : 1.78XXXXX
Numéro de série de portable : 3543XXXXXXXXXXX

Conformément à la loi "Informatique et Libertés" n°78-17 du 06 janvier 1978, je souhaite que vous me fassiez parvenir l'intégralité des données correspondant à mon abonnement, à ma carte SIM, à mon téléphone. Notamment, mais pas uniquement, toutes les données en votre possession concernant les communications, et les synchronisations de mon portable avec le réseau d'antennes (données de géolocalisation notamment), sur l'intégralité de la durée de mon abonnement.

Les données devront être lisibles sans logiciel spécifique (export texte ou pdf, format csv ou tabulé...)

Sincère salutations,
Patrick Proniewski

Puis j'ai attendu. Longtemps. Jusqu'au 15 juin 2012 en fait, jour où j'ai reçu contre signature une grande enveloppe, très fine. La lettre d'accompagnement disait précisément ceci :

Objet: Exercice du droit d'accès (1)

Lettre recommandée avec AR

Monsieur,

Pour faire suite à votre courrier, veuillez trouver ci-joint la liste des informations à caractère personnel que Bouygues Telecom détient sur votre compte client.

Nous vous informons que cette présente liste des données est établie selon les délais de conservation notifiés à la Commission Nationale de l'Informatique et des Libertés (CNIL).

vous souhaitant bonne réception de la présente.

Veuillez agréer, Monsieur, l'expression de mes sentiments distingués.

Service Inforntatique et Libertés
Direction des Systèmes d'Information

(1) Les données nécessaires au traitement des courriers reçus par le service Informatique et Libertés sont enregistrées dans un fichier informatisé à son usage exclusif pour l'accomplissement de ses missions. Vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en vous adressant au service Informatique et Libertés - Bouygues Telecom - 13-15 Avenue du Maréchal juin - 92366 Meudon La Forêt Cedex

On notera avec amusement que le service informatique et libertés de Bouygues a introduit une close récursive dans sa réponse. En matière de liste des données personnelles, c'est par contre beaucoup moins drôle, puisque cela se limite à une page et demi de rien, de non-sens, dont je livre la plus grosse partie ci-dessous :

la blague de Bouygues

La seconde page ne contient que 4 lignes de tableau, reprenant exactement les 2 dernières lignes de la première page, seule la date change. Autant dire, je n'ai rien, et cet accès à mes données personnelles est juste un coup d'épée dans l'eau.
Peut être mon opérateur actuel sera-t-il un peu plus bavard ?

31 janvier 2011

Activer le partage d’écran sur un Mac, à distance

Parfois, on est bêtement coincé par un tout petit problème. Mon dernier problème en date était de pouvoir interagir avec une application graphique, sur un Mac à plusieurs kilomètres de distance. Et bien sûr, je n'avais pas activé au préalable le partage d'écran sur cette machine. Rassurez-vous, ça se fini bien, et ça se règle en quelques secondes. Voici comment faire pour un Mac en 10.5 ou 10.6 :

Connectez-vous à la machine en SSH, via un compte admin (ben oui, il y a quand même quelques pré-requis)
Tapez les commandes suivantes : sudo -s puis echo "enabled">/etc/ScreenSharing.launchd

C'est fini. Le partage d'écran est activé sur ce Mac.

7 janvier 2011

Sauvegarde : ceinture et bretelles

Les recommandations sur le thème des sauvegardes foisonnent sur internet et dans la presse informatique. Chacun y vante sa méthode, ses logiciels, etc. Pour ne pas être en reste, et parce que je pense que la manière dont je procède à mes sauvegardes personnelles est intéressante, je vais présenter ci-dessous les quelques principes sur les quels je m'appuie. Continue reading →

24 décembre 2010

Que nous apprend l’affaire « Gawker »

Comme je l'évoquais brièvement dans un précédent article, les serveurs de l'entreprise de média en ligne Gawker ont été piratés récemment, avec pour conséquence immédiate la diffusion au public des logins, emails, et mots de passe chiffrés de plus d'un million d'utilisateurs. Pour plusieurs centaines de milliers d'entre eux, les mots de passe avaient même été déchiffrés avant leur diffusion.
Pour quelqu'un comme moi les dessous de l'affaire sont croustillants, et les détails techniques sont même passionnants. Mais, plus important : tout le monde a une leçon à tirer de ce fiasco monumental.
Cette leçon, et non des moindres, est la suivante : dès l'instant où vous confiez un mot de passe à quelqu'un, ce mot de passe est vulnérable. Ça paraît tout bête comme ça, on se dit "mais oui, c'est sûr qu'en donnant mon mot de passe à mon voisin, alors il n'est plus secret". Non. Relisez bien la leçon, elle est à prendre au premier degré. Oubliez votre voisin, votre copine. Vous créez un compte chez Hotmail, vous choisissez un mot de passe pour pouvoir accéder plus tard à votre boîte mail, vous fournissez ce mot de passe à Hotmail. Ça y est, ce mot de passe n'est plus sûr. Un jour, c'est inévitable, c'est déjà arrivé, et ça arrivera à nouveau, des serveurs Hotmail seront piratés et votre mot de passe pourrait tomber dans les mains de quelqu'un.
L'affaire Gawker est bourrée d'exemples illustrants parfaitement ce principe. Les employés de chez Gawker s'échangeaient des mots de passe par chat, dont les archives des conversations ont été piratées. Le piratage des bases de données des sites de Gawker a montré que les mots de passe des utilisateurs n'étaient pas sécurisés : le chiffrement utilisé était archaïque et connu depuis des années pour être déficient, etc. etc.
Continue reading →

14 décembre 2010

De la sécurité de vos mots de passe

En terme de mot de passe, on nous rebat souvent les oreilles avec des recommandations sécuritaires qui tombent sous le sens. Par contre, les arguments qui sous-tendent ces recommandations sont parfois largement infondés.
Tout d'abord, on nous dit de ne pas choisir un mot de passe facile à deviner, c'est bien sûr du bon sens. On nous dit que le mot de passe doit être long, car les ordinateurs actuels permettent de tester des milliers de mots de passe par seconde. Plus le mot de passe est long, plus il sera long à trouver. Certes. C'est mathématiquement exact. Mais à quoi arrive-t-on si on force les gens à utiliser un mot de passe à la fois long et compliqué ? Ils vont utiliser le même mot de passe partout, ils vont le noter quelque part, etc.
Imaginons un instant qu'un pirate tente de deviner votre mot de passe de messagerie. Il a une très bonne connexion internet, et son ping (le délai qui s'écoule entre le moment où il envoie une requête au serveur, et le moment où le serveur dit qu'il a bien reçu cette requête) est de 10 millisecondes. Il faut ajouter à cela le temps de traitement sur le serveur, et l'envoi de la réponse. Mettons pour simplifier que la totalité de la transaction dure 20 ms. Si votre mot de passe de messagerie fait 8 caractères différents et qu'il utilise des lettres minuscules (26 possibilités), des lettres majuscules (26 possibilités), et des chiffres (10 possibilités), c'est probablement assez correct. Ce mot de passe utilise donc 8 caractères différents pris dans une série de 62. Soit un total de 136325,9 milliards de mots de passe possibles. À raison d'un mot de passe testé toutes les 20 ms, cela donne plus de 864 siècles, pour tester tous les mots de passe.
Maintenant, ajoutez des caractères parmi @#&"'(§!)-_$*/:;.,?+ (20 possibilités), et il faudra presque 9114 siècles pour tester tous les mots de passe.
Moralité, la puissance des ordinateurs permet effectivement de tester des millions de mots de passe par heure, mais la latence des connexions internet rend ce mode d'attaque quasiment impossible, car elle ralentit terriblement le processus.
Continue reading →

Cognitive Overhead

Archives