Le Hollandais Volant

Sûrement pour ça que la France veut (un autre ?) France OS depuis quelques jours…

En référence aux QR-Code des billets d’avion qui contiennent toutes vos données personnelles, les billets de train sont également sujettes à ça : les flash-code ou code-barre des billets de train (e-billet ou billet classique) contiennent toutes les infos : nom, prénom, date, voiture, trajet, siège… de façon non chiffré.

Une photo du billet suffit pour retrouver le nom de la commande et l’annuler (même si le billet n’est pas à vous).

7 administrations gouvernementales ? C’est pas énorme.

*le scroll la page*

Ah. Ok.
Longue en effet la liste est.

Je viens d’installer un certificat Let's Encrypt sur lehollandaisvolant.net.

Vous pouvez aller sur https://lehollandaisvolant.net/ et il ne devrait plus y avoir d’erreurs de "certificat autosigné".

HTTPS permet en fait deux chose :
** chiffrer les communications ;
** authentifier le site

Pour les blogs perso, l’important c’est le premier point : le chiffrement c’est importante. Si vous avez wordpress ou shaarli ou tout autre système qui demande une authentification, il faut utiliser le chiffrement sinon votre mot de passe et login voyage en clair sur le réseau.


La mise en place d’un certificat est relativement simple. Il suffit de suivre ce qui est là : https://zatsunenomokou.eu/blog/index.php?article8/creer-un-certificat-sur-un-hebergement-web-avec-seulement-ftp

Ici on passe en mode "ligne de commande" manuelle parce que le serveur qui héberge le site N’EST PAS l’ordinateur qui va générer le certificat (mon pc, dans le cas présent).

On commence par écrire la ligne de commande en donnant le nom du site (lehollandaisvolant.net). Ensuite, va dire qu’il faut uploader un fichier (au nom compliqué dans un dossier /.well-known/acme-challenge) : ça permet de prouver qu’on est bien le proprio du site (je peux mettre un fichier sur "lehollandaisvolant.net" mais pas sur "google.com", qui n’est pas à moi).

Une fois terminé, on se retrouve avec 4 fichiers (sur mon PC, donc) dans /etc/letsencrypt/live/lehollandaisvolant.net/*.

Il faut utiliser ces fichiers et les envoyer sur le serveur qui contient votre site.
Pour ma part, j’ai une page pour le faire grâce au panel admin que me propose mon hébergeur.

** le champ "Certificate" doit être rempli avec le fichier "fullchain.pem"
** le champ "Private Key" avec le fichier "privkey.pem"

Quand tout est en place et validé, votre site en HTTPS est accessible et ne lève plus d’erreurs.

Attention quand même : la validité est de 3 mois seulement (pour le moment, vu que c’est en phase bêta, je crois). Le renseignement de l’email lors de la création du certificat devrait être là pour vous avertir avant l’expiration.

NOTE : tant que Let's Encrypt restera en phase bêta, je ne mettrais pas le site HTTPS par défaut. Pour l’instant il est donc possible de rester en HTTP simple.

« Les données de votre consommation électrique peuvent passer pour anodines, mais elles contiennent pourtant des informations aisément déductibles sur le matériel que vous utilisez, sur votre présence effective dans votre lieu d'habitation, jusqu'à déterminer vos heures de lever et de coucher, vos périodes d'absence, éventuellement aussi le nombre de personnes présentes dans le logement. »

Ainsi que le type d’appareil utilisé : chaque appareil dispose de sa signature (tension, intensité, mais surtout des informations sur la phase ou le bruit du signal électrique) et c’est ainsi "simple" de savoir quel appareil est en fonction ou pas.

À l’heure où des gens sont assignés chez eux sur simple dictat du préfet, ce genre de compteur c’est une donnée de plus pour surveiller les gens à leur insu.

Et je ne parle pas des assurances, banques, fisc, sécu et pôle emploi qui veulent ces données aussi : l’assureur pourrait être intéressé en cas de sinistre : si la personne était dans la maison, elle sera plus facilement responsable d’un incendie que si elle ne l’était pas (ou inversement), le fisc s’en servira pour savoir qui est chez vous, combien on est et le pôle emploi peut savoir si vous êtes chez vous ou pas alors que vous avez un entretient à passer.

Concernant le fait que la Cnil trouve ces appareils conformes, bah… Ça fait longtemps qu’elle ne sert plus à rien.

« personne ne pourra y accéder sans autorisation »

C’est pas faux, mais si ça concerne une perquisition, ne pas fournir la clé de déchiffrement est puni (faux : voir l’Édit). Et s’ils arrivent à prouver (ou plutôt "pensent que") avoir accès à ce que vous cachez va aider les enquêtes à avancer, vous prendrez encore plus cher.

Avec un système judiciaire on pourrait dire « vous avez un mandat émit par un juge ? » (comme dans les films), ça peut servir à faire respecter ses droits (si le juge trouve que la police n’a pas à vous forcer, alors vous gagnez votre vie privée). Mais vu que ce n’est pas le cas actuellement en France, c’est inutile de ce point de vu là.

L’article n’en parle pas (à raison et je pense de façon volontaire), mais je le dis.

Oh et juste : via à vis de Google, le chiffrement ne sert à rien : ils peuvent tout déchiffrer.


ÉDIT :
Barth me signale ça (je copie) :
Lorsqu'on te saisit du matériel informatique, aucune loi ne t'oblige à fournir tes clés de déchiffrement ou tes mots de passe, bien au contraire.

Voici un article de rue89 qui résume assez bien le truc, sources à l'appui: http://rue89.nouvelobs.com/2015/02/05/si-police-demande-est-oblige-donner-mot-passe-257509

En gros, t'obliger à donner ton mot de passe ou tes clés de chiffrement, c'est violer ton droit au silence et à ne pas t'incriminer toi-même. Par contre, si tu as chiffré des données "illégales", et *uniquement celles-ci* (par exemple un conteneur truecrypt contenant des plans d'attentat ou autre), le chiffrement constitue une circonstance aggravante. Si tu chiffres un disque entier, ou une partition entière contenant des données hétérogènes, normalement tu ne crains rien (cela reste à confirmer avec un avocat spécialiste de la question, mais de toute façon, que tu prennes 20 ou 30 ans pour attentat, je pense que les terroristes s'en tapent complètement).

La loi ne s'applique donc qu'aux tiers, qui eux font effectivement obstruction à la justice.

Je pense qu'une petite note corrective serait la bienvenue, surtout par les temps qui courent.
L'état cherche à nous faire taire, et bien lorsqu'il essaie de nous faire parler, taisons-nous !

Merci, NxI !

« l’avis considère que sur le plan constitutionnel, le texte n’engendre aucun déséquilibre manifeste entre d’un côté, la sécurité nationale et de l’autre, la protection de la vie privée. »

J’imagine que les parlementaires se sont exclu de la surveillance de masse, encore une fois, pour dire ça ?

Le pire c’est que si on disait que l’État s’immisçait dans le courrier, les colis, les papiers et tout le reste, tout le monde gueulerait. Sauf que là, vu que c’est en ligne, tout le monde s’en fiche.

L’appel de l’EFF pour garder le Jpeg sans DRM.

WTF ?

Un boîtier caché dans une école parisienne, contenant micro et caméra.
Ça ne m’étonnerait même pas qu’il y en ait un peu partout…

Fail.

« [loi] qui menace selon elle la liberté de la presse et le secret des sources »

Je viens de regarder Citizen Four, hier : http://lehollandaisvolant.net/?id=20151001192215

Cette crainte me semble du coup parfaitement justifiée, étant donnée que dans le documentaire, Snowden et Greenwald (et d’autres) passent une bonne partie du temps à parler de l’importance du secret des correspondances. Au début, Snowden était resté anonyme, afin d’attirer l’attention sur ce qu’il révélait plutôt que sur lui (et la comparaison entre cette loi en France et le programme Prism est largement justifiée aussi).

Dans tous les cas : utilisez GPG, Tor ou des VPN.