Tor Browser version 8 est sorti !
▻https://korben.info/tor-browser-version-8-est-sorti.html
La nouvelle version de Tor Browser, portant le chiffre de l’infini vertical, est maintenant di...
Tor Browser version 8 est sorti !
▻https://korben.info/tor-browser-version-8-est-sorti.html
La nouvelle version de Tor Browser, portant le chiffre de l’infini vertical, est maintenant di...
Tails 3 quand t’as Tor!
▻https://linuxfr.org/news/tails-3-quand-t-as-tor
ou : « Sortie de Tails 3.0 et Tor Browser 7.0. »
The Amnesic Incognito Live-System est un système live (autonome, sans installation), persistant, basé sur Debian 9 (Stretch) dont le but est de préserver votre anonymat et votre vie privée. C’est une distribution soignée, abondamment documentée, devenu la référence. Je vous renvoie vers son excellente (quoique ancienne) présentation par patrickg.
Tor Browser est un renforcement du navigateur Firefox, afin de bloquer la prise d’empreinte (fingerprinting) et améliorer la sécurité. Bien entendu il intègre le surf porté par le réseau Tor.lien n°1 : Annonce de Tails 3.0lien n°2 : Annonce de Tails 3.0lien n°3 : Dépêche précédente sur Tails 2.0 beta 1lien n°4 : Annonce de Tor Browser 7Sommaire
Tails 3.0 Nouveau démarrage et nouvel arrêt Une interface délaissée (...)
Ruiner l’énergie d’un continent pour avoir une adresse web esthétique
Facebook est accessible via Tor comme service caché (les fameux .onion). Cela permet d’accéder à Facebook dans des zones géographiques où il est interdit (les chanceux).
La différence avec les services cachés classiques, c’est que Facebook utilise un Single Onion. Donc ne protège pas la localisation de ses serveurs (mais comme on sait où ils sont…)
▻https://en.wikipedia.org/wiki/Facebookcorewwwi.onion
L’adresse (web) de service caché est une chaîne de 16 caractères aléatoires (80 bits en base32) obtenus à partir de sa paire de clés.
(donc d’abord on génère une paire de clés, et ensuite , ça donne l’adresse aléatoire du site caché qu’on va se coltiner toute sa vie)
Pour en avoir une lisible par un humain, ou partiellement compréhensible, il faut générer un très grand nombre de clés. C’est très long.
Souvent, on s’arrête à quelques caractères compréhensibles, et on laisse le reste aléatoire. Car c’est trop gourmand.
par exemple : ▻http://sms4tor3vcr2geip.onion => sms4tor
Mais facebook a un nom complet : ►https://facebookcorewwwi.onion
Donc, ils ont dû générer une quantité de clés dingue.
Il y a des outils libres comme Shallot , Scallion ou encore Eschalot pour arriver à ses fins.
Temps pour générer un nom de site valable, en fonction du nombre de caractères désirés, c’était en 2013 sur une machine à 1,5 Ghz (les machines sont plus rapides aujourd’hui, mais surtout les algo s’améliorent) :
characters | time to generate (approx.)
–------------------------------------------------------------------
1 | less than 1 second
2 | less than 1 second
3 | less than 1 second
4 | 2 seconds
5 | 1 minute
6 | 30 minutes
7 | 1 day
8 | 25 days
9 | 2.5 years
10 | 40 years
11 | 640 years
12 | 10 millenia
13 | 160 millenia
14 | 2.6 million years
.
.
.
Source : ▻https://security.stackexchange.com/questions/29772/how-do-you-get-a-specific-onion-address-for-your-hidden-serv
Alors imaginez les moyens qu’à du mettre en place Facebook pour son adresse sur Tor de 16 caractères.
@stephane @maliciarogue
#librenet
Je suis plus écologique que Facebook (ou plus parano, question sécurité), la version oignon de mon site a la première adresse trouvée : ▻http://7j3ncmar4jm2r3e7.onion
bravo @stephane pour cette position de principe.
Par contre il semble que facebook ait cherché 8 lettres, n fois, jusqu’à trouver quelque chose qui puisse convenir. On ne serait donc pas sur une recherche de 4 milliards d’années d’équivalent calcul, mais de n fois 25 jours. Ce qui est sans doute déjà trop tout le monde en conviendra, pour un site que personne n’utilise.
▻https://www.quora.com/How-did-Facebook-manage-to-create-the-vanity-URL-Page-on-facebookcorewwwi-oni
@fil Pardon, Facebook en .onion semble très utilisé ▻https://www.facebook.com/notes/facebook-over-tor/1-million-people-use-facebook-over-tor/865624066877648
Ce que je ne comprends pas : à quoi ça sert d’accéder à Facebook anonymement si ensuite Facebook oblige à utiliser son vrai nom (ok on peut contourner.... mais quand même) ?
Par exemple cette réponse publiée le 13 janvier 2016
Marie Dubois Équipe d’aide Facebook
Bonjour Béa,
Facebook est une communauté dans laquelle les gens communiquent en utilisant leur identité authentique. Nous demandons à chaque personne de fournir le nom qu’elle utilise dans la vraie vie. Ainsi, chacun sait avec qui il communique. Cela aide à garantir la sécurité de notre communauté.
Pour en savoir plus sur les noms autorisés sur Facebook ainsi que les pièces d’identité acceptées par Facebook pour confirmer votre identité, n’hésitez pas à consulter nos Pages d’Aide :
▻https://www.facebook.com/help/community/question/?id=1654639598137050
Confirmé sur cette page :
Autres points à garder à l’esprit :
Le nom de votre profil doit correspondre à votre nom usuel, dans la vie courante. Ce nom doit également figurer sur une pièce d’identité ou un document de notre liste de pièces d’identité.
Les surnoms peuvent être utilisés au lieu d’un prénom ou comme deuxième prénom s’il s’agit d’une variante de votre nom authentique (comme JP pour Jean-Pierre).
Vous pouvez également ajouter un autre nom à votre compte (par exemple, un nom de jeune fille, un surnom ou un nom professionnel).
Les profils sont destinés à un usage personnel. Vous pouvez créer une Page pour une entreprise, une organisation ou une idée.
Il est interdit de se faire passer pour quelqu’un d’autre.
▻https://www.facebook.com/help/112146705538576?ref=related%2F%3Fref%3Du2u
@Sandburg Attention, le Facebook en .onion n’est pas nécessaire pour « accéder à Facebook dans des zones géographiques où il est interdit ». En effet, un accès Tor ordinaire (le Tor Browser, vers ►https://www.facebook.com ) suffirait.
L’intérêt du .onion est multiple (merci aux experts Tor qui m’ont fourni la liste) :
– limiter les attaques par mesure du temps écoulé ▻https://security.stackexchange.com/questions/81620/is-there-any-difference-between-visiting-facebook-via-their-
– cela permet de s’assurer de l’identité du site (autrement, le nœud de sortie Tor peut t’emmener où il veut). Bon, si on utilise HTTPS, cela ne sert pas trop.
– cela sert à contourner la sécurité de Facebook qui peut bloquer automatiquement un compte s’il se connecte depuis plusieurs adresses IP différentes.
– cela permet d’aller plus vite (la plupart des nœus de sortie sont surchargés)
@apichat Le but n’est pas de se protéger de Facebook (qui verra de toute façon tout) mais de se protéger du FAI et de la police locale.
@apichat ne parle pas de se protéger de facebook. Si tu es dessus avec ton vrai nom obligatoire, bah t’es pas vraiment protégé de ta police locale, quand même.
Apparement @fil a raison, ils n’ont pas lancé la génération jusqu’à attendre cette suite alphanumérique si géniale.
Comme en témoigne Alec Muffett :
Hi - My name’s Alec, I work for Facebook and am the team lead for Facebook over Tor.
Long story short: details will come out later, but we just did the same thing as everyone else: generated a bunch of keys with a fixed lead prefix ("facebook") and then went fishing looking for good ones.
I feel that we got tremendous lucky.
- alec
Hi, Alec here. Basically yes. Most of the candidates we were initially looking for were of the form “facebookwww1a2b3”* with five random-ish characters at the end.
Then we cast the net a bit wider and asked “what if it just has ’www’ anywhere in the string?”, grepped the results so-far and found the one astounding-looking one that we eventually chose.
The backronym was just a moment of inspiration. :-)
not literally, of course; you can’t have a 1 in a onion address
Source ▻https://lists.torproject.org/pipermail/tor-talk/2014-October/035413.html
Pour le reste, ça s’appelle du backronyme (rétroacronymie en fr), c’est à dire donner un sens à une chaîne texte existante.
▻https://en.wikipedia.org/wiki/Backronym
Et en plus, ça suit la règle des petname :
▻https://en.wikipedia.org/wiki/Petname
(Zooko’s triangle = global, secure, and memorable) à part que Facebook n’est pas très décentralisé, ahah.
Discussion assez vieille ici :
▻https://www.reddit.com/r/TOR/comments/2kvl8r/facebook_now_officially_available_as_a_tor_hidden
Donc ils ont cherché 11 caractères, dont 3 non placés. Ça fait toujours plus de 40 ans de calculs… ils ont de bonnes machines.
Hors sujet : petite ode aux services cachés, Hidden services need love :
▻https://blog.torproject.org/blog/hidden-services-need-some-love
@supergeante C’est gourmand un Gif ? Ça date des années 90, j’aurais presque apparenté ça à des low-tech. Y’a du nouveau ?
Ooniprobe Maps Countries Around the World That Censor the Internet - The Atlantic
▻https://www.theatlantic.com/technology/archive/2017/02/ooniprobe-censorship-mapping/516051
If you’re having trouble with your internet connection, one of the first things tech support will ask you to do is to run a speed test. There are dozens of websites and apps that will, at the tap of a button, measure your network speed—but they can’t tell you which sites you can actually access with that bandwidth. Even with a good connection, if you’re in a country that censors the internet, whole swaths of the web might be out of reach.
Now, there’s an app that will test your internet connection not for speed, but for freedom. The program, ooniprobe, is part of a 5-year-old project called the Open Observatory of Network Interference, or OONI. This project is sponsored by Tor, the organization behind the privacy-preserving Tor Browser.
Ed Snowden taught me to smuggle secrets past incredible danger. Now I teach you.
(Micah Lee, Oct 2014)
– Explains how Poitras and Snowden set up a secure communication channel using anonymous e-mail, Tor Browser, GPG, and tweeting the figerprint.
– Explains how he got Greenwald to encrypt his computer. (Greenwald didn’t know how to nor how to use GPG, and got neither of them working)
– Talks about his involvement in the set-up of communications between Snowden, Greenwald and Poitras prior to the revelations.
▻https://theintercept.com/2014/10/28/smuggling-snowden-secrets
I think it’s helpful to show how privacy technologists can work with sources and journalists to make it possible for leaks to happen in a secure way. Securing those types of interactions is part of my job now that I work with Greenwald and Poitras at The Intercept, but there are common techniques and general principles from my interactions with Snowden that could serve as lessons to people outside this organization.
[...]
but in his first email to me, Snowden had forgotten to attach his key, which meant I could not encrypt my response. I had to send him an unencrypted email asking for his key first. His oversight was of no security consequence—it didn’t compromise his identity in any way—but it goes to show how an encryption system that requires users to take specific and frequent actions almost guarantees mistakes will be made, even by the best users.
[...]
after creating a customized version of Tails for Greenwald, I hopped on my bike and pedaled to the FedEx office on Shattuck Avenue in Berkeley, where I slipped the Tails thumb drive into a shipping package, filled out a customs form that asked about the contents (“Flash Drive Gift,” I wrote), and sent it to Greenwald in Brazil.
The (comprehensive) 30-page tutorial Micah wrote about using open source tools to communicate securely:
Encryption Works: How to Protect Your Privacy (And Your Sources) in the Age of NSA Surveillance
▻https://freedom.press/news-advocacy/encryption-works-how-to-protect-your-privacy-and-your-sources-in-the-age-
The whitepaper covers:
– A brief primer on cryptography, and why it can be trustworthy
– The security problems with software, and which software you can trust
– How Tor can be used to anonymize your location, and the problems Tor has when facing global adversaries
– How the Off-the-Record (OTR) instant message encryption protocol works and how to use it
– How PGP email encryption works and best practices
– How the Tails live GNU/Linux distribution can be used to ensure high endpoint security
▻https://web.archive.org/web/20130822041429/https://pressfreedomfoundation.org/sites/default/files/encryption_works.pdf
backup :▻https://www.docdroid.net/file/download/vk6cwnN/encryption-works.pdf
HTML version: ▻https://web.archive.org/web/20130727195447/https://pressfreedomfoundation.org/encryption-works
déjà mentionné ici en 2015 (mais sous autre URL) : ▻https://seenthis.net/messages/344836
Si vous estimez que vôtre organisation a besoin d’être « présente » sur Facebook par Richard Stallman (le co-fondateur des licences libres)
Français : ►https://nantes.indymedia.org/articles/37002
Selectionnez ce que vous mettez sur Facebook pour que le site Web soit clairement la meilleure source d’information sur l’organisation.
Ne mettez pas de photos montrant des personnes.
On peut lire cet article en français dans le 30e Virus Info (revue très sexiste voire plus au passage).
C’est exactement ce que je dis à toutes les assocs, et je crois qu’on en a déjà discuté par ici. Facebook ou autre, on peut sûrement utiliser certains réseaux comme canal de diffusion de contenus hébergés ailleurs. C’est-à-dire que ces réseaux doivent juste servir de relais, pas de réelle publication à l’intérieur. D’où l’importance d’avoir des plugins facilitant (voire automatisant) le relais des articles, événements (ou seulement certains) dans X réseaux (twitter, facebook, autres), au lieu d’aller dans ces réseaux et y publier des choses. Le site internet de l’organisation doit rester la source de tous les contenus.
J’ai scanné la version française là :
Débat en cours sur Seenthis aussi hein :)
▻https://seenthis.net/messages/563458
En fait les conseils sont juste nickel ! Est-ce que vous savez s’il existe une version texte en clair, pas en photo ?
Si vous estimez que votre organisation a besoin d’être « présente » sur Facebook
Facebook est un moteur de surveillance, accumulant beaucoup de données personnelles disponibles aussi pour I’Etat [il s’agit donc de flicage). Par égard pour votre vie privée et votre liberté. il est important de ne pas posséder de compte Facebook actif ; en refusant, vous bloquez le principal canal par lequel Facebook recueille des informations sur vous, et, à travers vous sur vos parents et amis (il est également important d’éviter Whatsapp et lnstagram, des filiales de Facebook). Si vous leur expliquez pourquoi vous insistez fermement pour communiquer avec eux par un autre système, vous renforcerez votre volonté de résister aux systèmes qui se servent de vous pour vous nuire et nuire aux autres.
Facebook a acquis un tel pouvoir de nos jours que cela met en danger la Liberté et la démocratie. Ses règles concernant ce qui peut être publié reviennent à une censure de la société dans son ensemble et conduisent à des différents politiques. Mais ces différents détournent notre attention de l’essentiel, qui est qu’aucune entreprise ne doit posséder un tel pouvoir.
Les expériences de facebook ont montré que cette société a le pouvoir de manipuler les élections au moyen de changements subtiles dans ses règles. Qu’elle l’ait déjà fait ou non, il n’en reste pas moins que cet état des choses est dangereux.
De nombreuses organisations entretiennent une page facebook pour chercher du soutien. L’existence de cette page ne nuit pas directement à l’organisation mais sans un minimum de précautions, elle augmentera le pouvoir de facebook.
En général les organisations ont une page Facebook pour essayer d’obtenir le maximum de visibilité. Or les ingénieurs de facebook ont conçu un système sournois dans lequel, pour obtenir une visibilité maximale, on doit renforcer le plus possible le pouvoir de cette société. Le moyen le plus radical pour éviter cela, c’est de refuser d’avoir une page facebook. Cependant il y a peut-être un moyen de trouver un compromis dans lequel on attire le soutien du public sans trop augmenter le pouvoir de Facebook. Dans cet article nous proposons un compromis de ce type.
Principes généraux
Faites de votre site web l’endroit où il faut aller pour avoir tous les renseignements sur votre organisation. Quoi qu’on veuille savoir, c’est sur le site web qu’on doit le trouver.
Dites sur la page Facebook que le site web de l’organisation est la meilleure source d’information. Demandez explicitement aux gens de toujours mettre en lien le site web, jamais la page facebook.
Adoptez cette devise : "Facebook est mauvais pour les gens. Quand ils nous trouvent sur Facebook, nous leur montrons le chemin de la sortie et c’est ailleurs que nous leur parlons."
Ce qu’il faut mettre sur Facebook ; ce qu’il ne faut pas mettre
Sélectionnez ce que vous mettez sur Facebook pour que le site Web soit clairement la meilleure source d’information sur l’organisation.
Mettez sur Facebook de nouveaux articles ou annonces importantes de l’organisation, mais seulement la moitié, à peu près. Puis dites sur la page Facebook : "Consultez notre site web, il y a beaucoup plus d’infos là-bas !"
Mettez des fichiers GIF animés présentant le point de vue et les idées de votre organisation - mais moitié moins que sur votre site Web.
Quand vous annoncez un événement sur Facebook, ne dites pas tout. Donnez le lieu, la date, l’heure et une brève description, assez pour que les gens viennent s’ils le souhaitent - mais donnez un lien vers la page de votre site qui décrit cette réunion et réservez pour cette page une partie des informations intéressantes sur l’événement.
Mettez la même liste de résumés d’événements sur le site Web, pour que les gens en quête d’un résumé n’aient pas l’impression qu’ils trouveront mieux sur Facebook.
Sur la page Facebook de l’organisation, n’actualisez pas tous les champs d’information temporaire. Lorsque le site Web change de manière significative, indiquez-le seulement par quelques mots dans le champ Statut.
Sur le site Web de l’organisation, donnez aux visiteurs qui le souhaitent un moyen d’être avisés des changements et de recevoir les nouvelles annonces, pour qu’ils n’aient pas besoin de recourir à Facebook pour cela.
Ne donnez sur Facebook aucun renseignement sur les personnes qui participent à vos événements — surtout pas leur nom. Respectez leur vie privée ! Ne faites d’exception que pour les noms des conférenciers ou professeurs, dans le cadre de la description préliminaire des activités.
En particulier. ne mettez pas de photo montrant des personnes. Souvenez-vous que Facebook les identilie sur la photo d’après leur visage ou même d’après l’arrière de leur tête. Ne montrez aucune tête sur Facebook, quel que soit l’angle de prise de vue.
Évitez la messagerie Facebook !
Indiquez sur la page Facebook que les personnes souhaitant s’adresser à l’organisation doivent le faire par d’autres systèmes et NON par la messagerie Facebook. Dites quels systèmes vous préférez et donnez les noms ou les identifiants des comptes à utiliser.
Les autres systèmes de communication peuvent avoir d’autres faiIIes. A Ia Free Software Foundation (FSF), nous nous servons surtout du courriel et du téléphone ; nous utilisons SIP pour la communication audio ou vidéo sur Internet, mais jamais Skype parce que Skype nécessite un logiciel client "privateur". Ce qui est essentiel ici, c’est que TOUTE méthode de communication autre que Facebook et WhatsApp (propriété de Facebook) éloignera les gens de Facebook.
Si quelqu‘un vous envoie un message Facebook en dépit de votre demande, répondez en disant : "Continuons cette conversation par le système X. Y ou Z. Nous ne voulons pas donner d’information supplémentaire à Facebook sur notre organisation ou ses contacts, y compris sur vous."
Évitez d’aider ou de promouvoir Facebook !
No mentionnez pas la page Facebook sur votre site Web ou autre document en ligne. La page Facebook est pour ceux qui Ia cherchent sur Facebook.
N’affichez pas de bouton Like sur vos pages Web. Facebook utilise les boutons Like présents sur les sites tiers pour suivre tous leurs visiteurs à la trace. Le bouton traque même les visiteurs qui n’ont pas de compte Facebook.
Une autre raison de ne pas avoir de bouton Like est que ce bouton incite les gens a s’impliquer davantage dans Facebook.
Comment communiquer avec Facebook de manière sûre
Facebook utilise de nombreuses méthodes pour se procurer des données personnelles. Certaines sont assez sournoises. Voici quelques suggestions pour vous protéger du pistage lorsque vous travaillez sur la page de l’organisation. Elles ne fonctionneront peut-être pas complètement si vous avez vous-même un compte Facebook, mais c’est votre responsabilité.
Pour assurer la maintenance de la page de l’organisation, créez un compte sous un alias. Donnez de faux renseignements plausibles, sans connotation humoristique et sans rapport avec vous. Ensuite. n’utilisez JAMAIS ce compte pour quoi que ce soit, saut pour vous occuper de la page de l’organisation. Facebook n’aura jamais aucune raison de mettre en doute les données de votre compte.
Si plusieurs personnes gèrent la page de l’organisation, donnez à chacune un compte séparé sous un alias. Ne mettez pas un même renseignement dans deux comptes.
Créez deux comptes de secours sur le même modèle.
La seule manière plus ou moins sûre de se connecter sur Facebook est d’utiliser un navigateur. Ne vous connectez JAMAIS avec l’application mobile de Facebook, car cela nécessite de lui donner accès a d’autres informations présentes sur votre appareil mobile, comme votre carnet d’adresses personnel, vos SMS, votre agenda et autres données confidentielles. Cela peut révéler vos données personnelles et celles d‘autres personnes. Cela peut même révéler des informations sensibles et vous causer du tort, à vous ou à des gens que vous connaissez. Ne soyez pas surpris : l’application est constituée de logiciel "privateur" (ce qui est en soi une injustice ; voir ▻https://fsf.org/tedx) et il est courant que le logiciel "privateur" espionne ses utilisateurs (voir ▻https://gnu.org/proprietar/proprietary-surveiIIance.html).
Le plus sûr est de ne se connecter sur Facebook qu’à partir du bureau de l’organisation, avec un ordinateur appartenant à l’organisation.
S’il vous arrive de vous connecter à Facebook avec votre ordinateur personnel (plutôt que celui du bureau de l’organisation), faites-le de la façon suivante : installez Tor Browser Bundle (navigateur destiné au réseau de Tor, disponible pour Windows et Mac OS aussi bien que pour GNUI Linux) et utiIisez-Ie pour vous rendre sur ►https://facebookcorewwwi.onion au lieu d’aller sur Facebook directement. Cela empêchera Facebook de vous géolocaliser ou de déterminer votre adresse IP.
Remarque : le site facebookcorewwwi.onion.to est "bidon". Ne vous faites pas avoir !
N’indiquez jamais votre présence a proximité d’un lieu, quelle que soit l’insistance de Facebook.
Sur l’ordinateur, créez un compte local séparé pour chaque compte Facebook. Connectez-vous a partir de ce compte local et ne l’utilisez jamais pour autre chose.
Si vous ne créez pas de compte utilisateur local particulier pour communiquer sur Facebook, supprimez les cookies IMMEDlATEMENT après chaque connexion a Facebook : pas seulement une fois par jour ! Facebook s’en sert en effet pour surveiller le reste de la navigation Web provenant du même compte. Beaucoup de navigateurs vous permettent de définir une configuration qui traite tous les cookies comme des cookies de session. Leur suppression sera automatique à condition de quitter le navigateur après chaque utilisation de Facebook, ce qui est conseillé.
Par principe, il est recommandé d’utiliser un navigateur comme IceCat qui bloque les systèmes de pistage présents dans les pages Web, en particulier les boutons Like et la plupart des publicités.
Ne permettez pas à Facebook d’accéder au moindre compte réel sur d’autres sites. Si Facebook exige des informations sur vos autres comptes, indiquez-lui des comptes-bidons créés pour cet usage et que vous n’utilisez pas vraiment. Il est acceptable de donner à Facebook les adresses de courriel publiées par l’organisation pour le contact avec le public, mais pas les mots de passe de ces comptes.
Facebook nuit aux gens de multiples manières (voir ▻https://stallman.org/facebook.html) et il n’y a pas moyen de les éviter complètement. Nous espérons que cette approche de compromis bénéficiera à votre organisation tout en lui évitant de se faire instrumentaliser par Facebook. Il existe par ailleurs d’autres réseaux sociaux pouvant répondre à vos besoins. Beaucoup de réseaux sociaux centralisés bien connus sont moins intrusifs que Facebook, mais il y a encore mieux : GNU Social et Diaspora respectent les droits de leurs utilisateurs grâce a une architecture décentralisée basée sur des logiciels libres. Pourquoi ne pas les essayer ?
@val_k Ok, parfait, j’étais en train de la demander à Richard Stallman, il m’a dit avoir écrit la version française avant la version anglaise (qui est augmentée de certaines corrections).
Mais il ne m’a pas envoyé le texte pour autant. J’aurais demandé à la revue. Bravo pour la trouvaille.
@sandburg ... bah... c’est pas une trouvaille, c’est un scan OCR de la page trouvé sur google books et retouché par mes petits doigts... le joie des CC maintenus en prisons et qu’il faut libérer ! Mais franchement, je crois que c’est super mal traduit, sauf que j’en avais besoin pour l’imprimer d’urgence pour la semaine des resistances à nantes ;) après s’il existe un autre texte moins.. complexe et surtout plus adapté localement (parce que là certains points ne concernent que les states) je suis preneuse !
@val_k
Ce n’est pas une trad, c’est la première mouture…
Actually, that version was finished first. The version in
stallman.org has some corrections based on flaws I learned about
from responses to te magazine article.
@val_k
À #Lille, avec un collectif qui s’appelle #atelili, on va produire une version orale destinée aux associations et aux collectifs qui communiquent via Facebook. Dans dans les 4 mois, il y aura une version « raccourcie » sur le site Internet : ▻https://atelili.tuxfamily.org/wiki
Stallman a mis en ligne la version FR, surement après ma demande.
►https://stallman.org/facebook-presence.fr.html
Merci de l’avoir mise sur @indymedianantes
« Le téléphone portable, c’est le rêve de Staline devenu réalité »
Richard stallman
▻https://usbeketrica.com/article/le-telephone-portable-c-est-le-reve-de-staline-devenu-realite
Comment faire des recherches dans le Darknet ?
▻http://www.toucharger.com/articles/comment-faire-ses-recherches-sur-le-darknet_52.htm
« Vous n’avez plus rien à vous mettre dans les narines¹ ou vous recherchez le livre secret que la CIA vous cache depuis Roswell ? Alors il est temps d’aller faire un tour sur le Darknet pour faire vos courses. Pour cela, vous allez avoir besoin de surfer sur les sites cachés et donc utiliser un service d’anonymisation. Tor Browser est tout à fait recommandé pour cette action. C’est même obligatoire pour accéder à tous ces sites cachés. Voici les outils nécessaires à une bonne recherche sur le Darknet. »
Tor Browser : Mozilla veut savoir comment le FBI a identifié des utilisateurs
▻http://www.nextinpact.com/news/99834-tor-browser-mozilla-veut-savoir-comment-fbi-a-identifie-utilisateu
La fondation Mozilla a déposé un recours devant un tribunal américain pour obtenir la faille qui aurait été utilisée pour identifier des utilisateurs de Tor Browser, qui s’appuie sur Firefox. Dans le même temps, elle a lancé un appel à candidatures pour financer des projets web open source, avec une enveloppe de 1,25 million de dollars. Mozilla veut obtenir la faille de Firefox dont le FBI disposerait. Dans un billet de blog, la fondation explique avoir déposé un recours dans le cadre d’une affaire (...)
#Mozilla #FBI #TOR #pédophilie #pornographie #Playpen #hacking
J’ai commencé à jouer avec ZeroNet, qui permet de partager assez simplement et élégamment des contenus en #P2P, éventuellement en cachant son IP derrière . Le système serait donc assez résistant à la #censure.
Déjà un bon point : c’est assez facile à installer et à prendre en mains.
▻https://www.youtube.com/watch?v=cjVMuLLoM00
Les applications disponibles en standard sont fonctionnelles et assez jolies (un blog, un forum, du mail, etc) ; on se fait un site en 2 minutes en en clonant une.
Mais rien ne limite l’usage à ces applications : tout fonctionne à partir de collections de fichiers, qui sont signées par l’émetteur.
Lorsqu’on n’a pas installé l’application en local, il est possible d’utiliser un #proxy pour y accéder (si celui-ci n’a pas déjà bloqué l’application évidemment ; “Play”, le site de partage culturel (hum…) dont on parle en ce moment, et qui assure la promotion de zeronet, est bloqué, par exemple, par le proxy bit.no.com).
Le jour où on arrivera à produire facilement un #site_statique à partir de #SPIP, on pourra envisager diffuser nos contenus directement dans ce système.
Il y a une profusion de systèmes en ce moment qui vont dans une direction de ce type : #IPFS, bittorrent maelstrom (ou feu vole.cc ▻http://seenthis.net/messages/151203)… à suivre !
ZeroNet intègre aussi un système d’identification (zeroid), et un système de nommage basé sur #namecoin.
Un point pas clair, ou peut-être négatif : les contenus sont téléchargés en enregistrés tels quels sur notre disque dur, ce qui m’interroge un peu en termes de sécurité. Par ailleurs dès lors qu’on a besoin d’un site, on télécharge TOUT le site. Ça n’a pas du tout l’air écologique… Il faut en tout cas bien réfléchir à faire des petits modules.
▻https://blog.notmyidea.org/retours-sur-un-atelier-zeronet.html
avec des complément expliquant comment gérer des grosses collections, des trackers bittorrent…
j’ai fini par trouver comment le faire tourner à travers #Tor Browser : ▻https://github.com/HelloZeroNet/ZeroNet/issues/228#issuecomment-204713955
Tor Project : Pluggable Transports
▻https://www.torproject.org/docs/pluggable-transports.html.en
Pluggable transports transform the Tor traffic flow between the client and the bridge. This way, censors who monitor traffic between the client and the bridge will see innocent-looking transformed traffic instead of the actual Tor traffic. External programs can talk to Tor clients and Tor bridges using the pluggable transport API, to make it easier to build interoperable programs.
Des méthodes alternatives de transport de Tor pour lutter contre ses points faibles ou dissimuler son utilisation (en particulier par des tunnels qui sembleront « légitimes » et « innocents » (encapsulation HTTP, Skype, etc.) en cas de DPI).
Ça devient sérieux...
#Anonymat_sur_Internet #Crypto-anarchisme #Deep_packet_inspection #Internet #The_Onion_Router #Tor
La semaine commence très bien. La société italienne #Hacking_Team, spécialisée dans la réalisation et la vente d’armes numériques (piratage des ordinateurs des dissidents, espionnage) a été... piratée. Le pirate a mis en ligne 400 Go d’archives internes de la boîte.
▻http://www.numerama.com/magazine/33624-la-firme-d-espionnage-hacking-team-piratee-400-go-de-donnees-diffuse ▻http://korben.info/hacking-team-pirate-400-gb-de-donnees-dans-la-nature.html
Le torrent (sans garanties...) ▻https://mega.co.nz/#!Xx1lhChT!rbB-LQQyRypxd5bcQnqu-IMZN20ygW_lWfdHdqpKH3E
La situation légale en France, sur les armes numériques ▻http://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006070719&idArticle=LEGIART
La pub de Hacking Team « passive monitoring is not enough » ▻https://www.youtube.com/watch?v=R63CRBNLE2o
D’autres documents, plus anciens, sur Hacking Team ▻https://privacyinternational.org/?q=node/561
Le gouvernement français était très intéressé par ces produits d’espionnage : ►https://medium.com/@beyourownreason/revealed-the-true-extent-of-hacking-team-contacts-across-europe-dc04e5bdde2 (je sens que ça va être comme avec Snowden, on a des années d’articles à publier avec ça)
Big Banks Worked with Hacking Team, Which Also Sells Spy Tools to Dictators
►http://motherboard.vice.com/read/big-banks-worked-with-hacking-team-which-also-sells-spy-tools-to-d
(Deutsche Bank, ING Direct, AXA, Generali, ABN Amro, Barclays, CNP Assurances, ...)
Hacking Team’s Spyware Targeted Porn Sites’ Visitors
►http://motherboard.vice.com/read/hacking-teams-spyware-targeted-porn-sites-visitors
How a Russian hacker made $45,000 selling a 0-day Flash exploit to Hacking Team
▻http://arstechnica.com/security/2015/07/how-a-russian-hacker-made-45000-selling-a-zero-day-flash-exploit-to-hac
Hacking Team et ses liaisons en Algérie
▻https://dzleaks.wordpress.com/2015/07/10/hacking-team-et-ses-liaisons-en-algerie
A presentation on Hacking Team, by Hacking Team themselves...
▻http://ht.transparencytoolkit.org/FileServer/FileServer/Hackingteam/OLD/presentazioni%20e%20portfolio/old/Mission%20and%20Portfolio%20%2B%20EH.pdf
...and more...
Le communiqué officiel des vendeurs d’armes ▻http://www.hackingteam.it/index.php/about-us “Information related to the attacks on HackingTeam on July 6, 2015”
Hacking Team Uses UEFI BIOS Rootkit to Keep RCS 9 Agent in Target Systems
▻http://blog.trendmicro.com/trendlabs-security-intelligence/hacking-team-uses-uefi-bios-rootkit-to-keep-rcs-9-agent-in-target-s
The dissection of the data from the Hacking Team leak has yielded another critical discovery: Hacking Team uses a UEFI BIOS rootkit to keep their Remote Control System (RCS) agent installed in their targets’ systems. This means that even if the user formats the hard disk, reinstalls the OS, and even buys a new hard disk, the agents are implanted after Microsoft Windows is up and running.
[...]
To prevent being affected by this, we recommend users to:
– Make sure UEFI SecureFlash is enabled
– Update the BIOS whenever there is a security patch
– Set up a BIOS or UEFI password
Trend Micro
The FBI spent 698.000€ on Hacking Team’s spy tools Since 2011
▻http://www.wired.com/2015/07/fbi-spent-775k-hacking-teams-spy-tools-since-2011
#FBI
On FBI request, Hacking Team updated its software to monitor TOR browsers
▻https://firstlook.org/theintercept/2015/07/16/hackingteam-attacked-tor-browser
The FBI complained on Hacking Team’s customer website that the company’s “URL collector does not collect web traffic on TOR browser,” and suggested how to fix it:
download TOR browser bundle. Surf web through TOR browser. Infect the target with an agent with www collector enabled. WWW traffic is not collect when target surfs through TOR browser.
[...]
Less than two weeks later they told [the FBI] that [their] requested feature was in the works: “Dear Client, next RCS [Remote Control System] release (8.2.0) will capture URL from the TOR browser. Thank you.”
PS: interesting disclosure in the article:
(Disclosure: The Tor Project, which helps develop Tor and Tor Browser, has received money from the Freedom of the Press Foundation, where I sit on the board. It has also received money from the Omidyar Foundation, co-founded by Pierre Omidyar, who funds The Intercept‘s parent company First Look Media.)
WordPress 4.2 : Tor Browser’s and Canvas privacy warning prompt
▻https://reflets.info/wordpress-4-2-tor-browsers-and-canvas-privacy-warning-prompt
The Tor Browser is known to be used by activists, journalists, and people who need a high level of privacy while they’re surfing. Every possible way to track people on Internet are a serious concern for the Tor developers because anonymization doesn’t not support approximation and leads to take decision that could seem « over-paranoid » to […]
Avertissement de confidentialité sur WordPress 4.2
▻https://reflets.info/avertissement-de-confidentialite-sur-wordpress-4-2
Nous avons été alertés ce matin d’une incongruité sur reflets.info. Celle ci concerne une extension du Tor Browser, signalant un problème de confidentialité que nous avons pris au sérieux. Nous avons donc temporairement fermé Reflets, le temps pour nous d’essayer de comprendre d’où ceci pouvait venir. Après de multiples vérifications, nous en sommes venus à confirmer […]
Tu as raison, c’est inquiétant.
la réponse du modérateur de WP :
▻https://wordpress.org/support/topic/42-admin-canvas-tracking?replies=6#post-6871548
If you make a strong enough case as to why the entire operation of the emoji/smilies and video player system needs to change for a very small minority of users, they might re-consider it.
la gestion des #emoji par contre est d’une importance capitale
“Tor Browser is currently your default browser” - bon on va essayer ça. (et contrairement à ce qu’ils préconisent j’ai tout de même ajouté l’extension #µblock dans le biniou)
Ouais, y’a que ça qui marche. Perso, les VPN, j’y crois pas à long terme. Y’a forcément une transmission en amont repérable pour qqun qui surveille tout le web. Certes cryptée, mais localisable, contrairement à Tor.
Adieu les vidéos de chats en Flash. :(
Tu nous diras si c’est pas trop lent. Mais pour lire ses mails ou aller sur des forums subversifs, ça peut être bien.
Ok installé avec le dépôt PPA de Webupd8 :
►http://www.webupd8.org/2013/12/tor-browser-bundle-ubuntu-ppa.html
It works.
TorBrowser est facile à installer pour tout un chacun (il n’est donc pas réservé aux geeks)
▻https://www.torproject.org/download/download
Ah oui, je suis curieux d’avoir un retour après quelques jours. Parce que je sais pas si c’est bon d’utiliser Tor par défaut. Il faut pas oublier que le nœud de sortie peut écouter le trafic, voire le rediriger et voler cookies, identifiants, etc. Donc à moins de naviguer uniquement en HTTPS + DNSSEC (oulà, là je dis peut-être une connerie, mais @stephane me tombera dessus si jamais), ça peut-être problématique. Comme, au hasard, sur Seenthis par exemple. Enfin, tout dépend de ce qui est fait bien sûr...
– en ce qui concerne le vol de mdp, SPIP est un peu sécurisé puisqu’il transmet des hash salés, et le pas le mdp en clair ;
– je constate quelques blocages sur des sites, mais relativement rares ; flash est bloqué, mais ce n’est pas la faute de tor, seulement des réglages du Tor Browser
– parfois CloudFlare (hébergeur de nombreux sites) me demande de remplir un captcha
– sur la rapidité, je n’ai pas noté de problème particulier ; une mesure de transfert indique que je passe de 1Mb/s à 0.5Mb/s
et sinon ce qui est marrant, c’est que j’ai un sentiment plus paranoïaque qu’avant quand je surfe, justement parce que je me demande ce qui se passe au niveau des nœuds de sortie, et que je me fais un film comme quoi le fait que je regarde tel site et tel autre peut les intéresser
Helping Internet services accept anonymous users | The Tor Blog
▻https://blog.torproject.org/blog/call-arms-helping-internet-services-accept-anonymous-users
sites like #Cloudflare, Akamai, and Disqus create bottlenecks where their components are used by many websites. This centralization impacts many websites at once when e.g. Cloudflare changes its strategy for how to handle Tor users. Second, services increasingly outsource their blacklisting, such that e.g. Skype refuses connections from IP addresses that run Tor exit relays
voir aussi la petite aventure de @reflets avec les #emoji de #WordPress
▻http://seenthis.net/messages/364415
Plate-forme sécurisée de la presse francophone pour les lanceurs d’alerte (vous permet d’envoyer des documents de manière relativement sûre) ▻https://sourcesure.eu
Lisez bien les conseils de sécurité avant ! ▻https://sourcesure.eu/security.html
Pour les lanceurs d’alerte qui utilisent (comme c’est fortement recommandé) #Tor ▻http://hgowugmgkiv2wxs5.onion
#lançage_d_alerte #citoyen_actif
Un article de Numérama ▻http://www.numerama.com/magazine/32227-source-sure-une-plateforme-francophone-pour-les-lanceurs-d-alerte.ht
Sympa, SeenThis qui transforme les URL en liens cliquables, même quand ils sont en .onion (Twitter ne le fait pas)
Oui certes, mais Firefox n’arrive pas à résoudre l’URL. Où est le problème ? Pare feu Windows, problème de routage de la box (SFR) ou autre ?
@sombre Aucun problème, c’est juste que ton navigateur n’est pas configuré pour Tor ►https://fr.wikipedia.org/wiki/Tor_%28r%C3%A9seau%29
Ah Ok merci !
Tor Browser
(Tor Browser Bundle) : le produit phare du projet Tor, il inclut le navigateur web Mozilla Firefox ESR modifié, préconfiguré pour protéger l’anonymat sans devoir installer aucun autre logiciel. Il peut être exécuté depuis des médias amovibles et est disponible pour Windows, Mac OS X, et GNU/Linux ;
@archiloque : « Erreur de chargement de la page. Firefox ne peut trouver le serveur à l’adresse www.<adresse_de_la_page>.onion »
Panopticlick
►https://panopticlick.eff.org
Is your browser configuration rare or unique? If so, web sites may be able to track you, even if you limit or disable cookies.
Résultat pour moi :
Your browser fingerprint appears to be unique among the 4,103,324 tested so far.
Currently, we estimate that your browser has a fingerprint that conveys at least 21.97 bits of identifying information.
Sur linuxfr, quelqu’un redirige vers Tor Browser :
►https://www.torproject.org/projects/torbrowser.html.en
#tor #anonymat
Your browser fingerprint appears to be unique among the 4,103,438 tested so far.
Currently, we estimate that your browser has a fingerprint that conveys at least 21.97 bits of identifying information.
Ça parait donc tout à fait standard : )
We identified only three groups of browser with comparatively good resistance to fingerprinting: those that block JavaScript, those that use TorButton, and certain types of smartphone. It is possible that other such categories exist in our data. Cloned machines behind rewalls are fairly resistant to our algorithm, but would not be resistant to fingerprints that measure clock skew or other hardware characteristics.
Idem.
Vu tout ce qu’il teste (tous les plug-ins avec leurs numéros de version et de sous-version), c’est un peu normal. Avec ça, il n’y aurait que 2 machines ayant la même configuration que moi parmi les 4M testées.
En ne prenant que ma config (MacOS, Safari, etc.), ça monterait à 56 machines.
Testé sur un portable PC, ma config (plug-ins) est unique, mon user-agent (hors plug-ins), beaucoup moins : un peu moins de 1200 machines similaires.
Impressionnant ! il suffit donc d’avoir un site attractif et d’enregistrer tout le monde… Ou plusieurs en variant les domaines d’intérêt.
In this sample of privacy-conscious users, 83.6% of the browsers seen had an instantaneously unique fingerprint, and a further 5.3% had an anonymity
set of size 2. Among visiting browsers that had either Adobe Flash or a Java Virtual Machine enabled, 94.2% exhibited instantaneously unique fingerprints and a further 4.8% had fingerprints that were seen exactly twice. Only 1.0% of browsers with Flash or Java had anonymity sets larger than two.
Encore plus impressionnant : le changement rapide de ces infos identifiantes (succession des versions) n’empêche pas l’identifiabilité
Unfortunately, we found that a simple algorithm was able to guess and follow many of these fingerprints changes. If asked about all newly appearing fingerprints in the dataset, the algorithm was able to correctly pick a “progenitor” fingerprint in 99.1% of cases, with a false positive rate of only 0.87%.
Ah la vache, les polices de caractères du système semblent un élément déterminant du fingerprinting... Si t’aime la typographie... beware !
Chez moi, j’ai :
Your browser fingerprint appears to be unique among the 4,104,460 tested so far.
Currently, we estimate that your browser has a fingerprint that conveys at least 21.97 bits of identifying information.
3000 tests par jour
Your browser fingerprint appears to be unique among the 4,107,333 tested so far.
Currently, we estimate that your browser has a fingerprint that conveys at least 21.97 bits of identifying information.
▻https://panopticlick.eff.org/faq.php
How many people are unique ?
About 85% and falling, as the dataset gets large
même avec #tor_browser je suis assez bien fliqué… mais visiblement c’est la variable ci-dessous qui m’identifie le plus, or elle change dès qu’on resize le navigateur :
Screen Size and Color Depth 22.29+ bits
Tor Browser Bundle Ubuntu PPA ~ Web Upd8: Ubuntu / Linux blog
►http://www.webupd8.org/2013/12/tor-browser-bundle-ubuntu-ppa.html
Tor Browser Bundle is a web browser based on Firefox ESR (Firefox with extended support), configured to protect users’ privacy and anonymity by using Tor and Vidalia, tools that come bundled with it. The bundle also includes 4 Firefox extensions: TorButton, TorLauncher, NoScript and HTTPS-Everywhere.
#Firefox + proxy + #Tor = #PirateBrowser,
Qui de mieux placé qu’une équipe de pirates pour mettre à flot un nouveau navigateur ? Samedi, l’équipe suédoise du plus gros moteur de recherche de fichiers torrents au monde, The Pirate Bay, a annoncé sur son blog le lancement du PirateBrowser, un navigateur un peu spécial qui devrait faciliter la vie de nombreux internautes dans le monde.
Bah, je ne savais pas. Merci @intempestive.
J’ai rêvé ou il n’est disponible que pour Windows ?....
#windows #piratebay #navigateur #anonyme
Freedom Host : Le SAIC à l’origine de l’injection de code javascript malicieux
▻http://d4n3ws.polux-hosting.com/2013/08/05/freedom-host-le-saic-a-a-lorigine-de-linjection-de-code-javasc
Via CryptoCloud et Baneki Privacy Labs :
Le service de VPN CryptoCloud ainsi que des activistes de Baneki (forum ici) ont effectués quelques recherches autour de l’IP 65.222.202.53 qui est utilisée comme command and control par le malware dé-anonymisant Magneto chargé via l’exploitation d’une faille Firefox qui touche le Tor Browser Bundle (TBB).
Le code javascript qui exploite cette faille a été injecté dans les pages de Freedom Host comme indiqué dans la précédente news.
Le m…
Projet open-source de lanceur pour Tor Browser Bundle de Micah Lee
▻http://neosting.net/logiciels/projet-lanceur-tor-browser-bundle-micah-lee.html
Voilà un projet que je souhaite réellement partager et relayer. Micah Lee, directeur technique de la fondation freedomofpress et développeur web à l’Electronic Frontier Foundation (EFF) veut proposer un lanceur dont le but est d’installer et de mettre à jour TBB quasi ... #debian #lanceur #open-source #tor #tor-browser-bundle #ubuntu
@fil Tu es mon mentor :D Peut-être bien à relayer.