Conservez votre vie privée sur internet

Suite à l’annonce ô combien surprenante que Microsoft, Google, Apple et autres entreprises nord-américaines donnent accès directement aux données personnelles de tous leurs utilisateurs aux services d’espionnage des États-Unis d’Amérique, le site prism-break.org a été créé.

Vous y trouverez de nombreuses recommendations de logiciels et services constituant une alternative saine et respectueuse de votre vie privée à l’offre de ces entreprises, comme par exemple :

- le moteur de recherche startpage, qui permet d’utiliser Google sans que toutes nos recherches et les liens sur lesquels nous cliquons soient enregistrées.

- le logiciel de messagerie instantanée Pidgin avec son plugin OTR, qui permettent de discuter vraiment en privé sur de nombreux réseaux (Jabber/Facebook, ICQ, AIM…).

- RetroShare, qui permet des échanges privés et/ou anonymes de messages et de fichiers, sans utiliser aucun serveur central (et son wiki non officiel pour débuter).

- le système d’exploitation libre Debian.

Comment rendre Firefox 10 utilisable

J'avais testé Firefox 4 à sa sortie mais il avait quelques défauts gênants qui m'avaient fait rester avec Firefox 3.6 jusqu'à il y a peu :

• Les pages flashaient en blanc au début du chargement (très désagréable quand on a un thème sombre).
• Deux de mes addons essentiels ne fonctionnaient plus : CS Lite (gestionnaire de cookies) et un autre que j'ai oublié.
• La disparition de la barre de statut, partiellement remplacée par le désagréable truc blanc qui apparait en retard en bouffant une partie de l'affichage quand on place le pointeur sur un lien.
  
• Plus de bouton RSS !?

À l'occasion de la sortie de la libpng 1.5 qui n'est pas supportée par Firefox 3.6, j'ai décidé de faire un nouvel essai avec cette fois-ci Firefox 10 ; et celui-ci a été le bon !

• Les pages ne flashent plus en blanc ! Youpi.
• Un des deux addons a été mis à jour, et j'ai remplacé CS Lite par Cookie Controller. Je ne suis pas très satisfait du remplaçant car les options et menus sont nombreux et peu clairs, mais ça fonctionne... À noter aussi que tous mes cookies semblent avoir été effacés lors de la mise à jour.
• On peut retrouver la barre de statut avec l'extension Status-4-Evar ! Celle-ci a plein de réglages que je vous laisse explorer, qui permettent notamment de supprimer l'horrible "URL Bar" blanche pour afficher les URLs dans la barre de statut comme avant, et de réduire le délai avant qu'elles s'affichent.
• On peut rajouter un bouton RSS dans la toolbar en faisant un clic droit dessus et en sélectionnant "Customize...".
• J'ai également repassé la toolbar en haut de la fenêtre, au dessus des onglets, car sinon elle disparait lorsqu'on est par exemple sur la page des Addons, ce qui empêche de lancer une recherche Web sans d'abord sélectionner un autre onglet.

Au final, peu de changements par rapport à Firefox 3.6. Ça a l'air d'être un poil plus rapide, mais c'est tout. Aucune amélioration à l'horizon niveau ergonomie.

J'ai évidemment aussi une floppée d'extensions ainsi que quelques réglages spécifiques dans about:config, mais j'en parlerai une autre fois :).

The Invisible Internet Project

Pour contrer les divers gouvernements qui tentent de réduire l'accès à l'information et le partage de part le monde, il existe diverses solutions techniques. La plus connue est probablement TOR, qui permet d'accéder à Internet via le réseau des autres utilisateurs, permettant ainsi de contourner des firewalls et d'être anonyme vis à vis des sites visités.


En jaune et noir, les pays qui censurent Internet. Source : Wikipedia.

Deux autres solutions existent, qui elles ne permettent pas d'accéder aux services habituels d'Internet, mais établissent un « réseau sur le réseau » indépendant : Freenet et I2P. En utilisant un de ces deux logiciels, on obtient l'accès à un ensemble de sites et de services de façon anonyme, en utilisant d'une part le réseau des autres utilisateurs pour masquer l'origine et la destination des messages, et d'autre part la cryptographie pour en masquer le contenu. Je précise que les réseaux de Freenet et d'I2P sont distincts (bien qu'il existe une passerelle pour Freenet sur le réseau I2P).

Ces deux logiciels, écrits en Java et fonctionnant notamment sous Linux, Mac OS X et Windows, sont relativement gourmands en ressources (temps CPU, mémoire, et espace disque dans le cas de Freenet). Ils sont aussi plutôt prévus pour fonctionner 24h/24 afin de bien s'intégrer dans le réseau et d'obtenir un service de qualité suffisante. Enfin, leur utilisation peut être relativement compliquée. Malgré ces défauts, j'ai voulu voir comment I2P avait évolué depuis la dernière fois que je l'avais essayé.

Une fois I2P téléchargé, installé, et démarré, on accède à l'interface Web de contrôle en allant à l'adresse http://127.0.0.1:7657/. Un clic sur « I2P Internals » dans la colonne de gauche, et on arrive sur la page permettant de configurer l'essentiel : la bande passante à utiliser, et optionnellement des réglages de port et d'IP.

Il faut ensuite configurer son browser Web pour utiliser le proxy 127.0.0.1:4444, afin d'obtenir l'accès au réseau I2P, et notamment aux sites en « .i2p ». Il est préférable d'utiliser un browser permettant d'exclure localhost/127.0.0.1 (comme Firefox), car sinon une fois le proxy activé vous n'aurez plus accès à l'interface d'I2P !

Une fois le proxy activé, vous aurez toujours accès à Internet, mais en passant par le seul et unique “outproxy” d'I2P, à la manière de TOR, ce qui peut servir occasionnellement pour accéder anonymement à un site Web, mais n'est pas l'idéal (c'est très lent, et la personne controlant cet outproxy peut lire tout ce qui passe par sa machine). Il est donc préférable d'avoir un moyen simple d'activer ou désactiver le proxy, ce qui sous Firefox passe par l'installation d'une extension, par exemple Toggle Proxy.

Idéalement, il vaut mieux avoir un browser différent pour l'accès au Web normal, et pour l'accès à I2P. On n'aura alors pas à activer/désactiver le proxy, et on pourra facilement activer la navigation « privée » afin de ne pas garder de trace des sites visités.

Bonne surprise, le chargement des « eepsites » (sites “Web” I2P) est plutôt rapide. Certains sites ne répondent pas, probablement parce que leurs possesseurs ont éteint leur machine... pour une durée inconnue. L'interface Web constitue un point de départ pour découvrir les eepsites existant, dont notamment le forum officiel, un site de statistiques sur le réseau (stats.i2p) et un index de torrents utilisables avec le client BitTorrent intégré.

Parmi les applications livrées avec I2P et accessibles depuis l'interface Web, il y a donc ce client BitTorrent anonyme « I2PSnark », mais aussi un serveur Web si vous voulez héberger votre propre Eepsite, des clients IRC et mail anonymes, et un système de blog anonyme.

Enfin, « iMule », l'adaptation d'eMule/aMule à I2P, est à télécharger et installer séparément depuis http://aceini.no-ip.info/imule/, le site officiel étant actuellement injoignable. L'archive pour Windows d'iMule 1.4.5 disponible sur ce site contient aussi la dernière version d'I2P (0.8). Il s'agit donc d'un package tout en un, avec en prime des instructions d'installation très simples. Il faudra juste en plus télécharger le fichier nodes.dat dans le répertoire de config d'iMule.

J'ai pour ma part récupéré les sources de la version 1.4.6 afin de compiler iMule pour mon Arch Linux, ce qui a nécessité une légère modification du code source pour résoudre une erreur (remplacer « wxString::wxString » par « wxString » dans un fichier).

Une fois lancé et après quelques minutes, le temps de s'intégrer au réseau, iMule permet d'obtenir des résultats de recherche rapidement, en une dizaine de secondes. On se rend vite compte que la majorité du contenu disponible est francophone... On se demande pourquoi ! iMule fonctionne plutôt bien sans réglage particulier, avec toutefois des débits variables probablement inhérents au fonctionnement d'I2P. De plus, sa popularité encore faible fait que les fichiers partagés n'ont qu'un petit nombre de sources (au maximum une trentaine, mais le plus souvent de 1 à 5). Télécharger un fichier relativement gros peut donc prendre plusieurs jours. Il y a tout de même jusqu'à 1 million de fichiers différents disponibles selon l'heure, si j'en crois le nombre affiché dans la barre de status du logiciel.

Une astuce que l'on retrouve çà et là pour accélérer les débits d'iMule est d'augmenter le nombre de tunnels qui lui sont dédiés dans la configuration d'I2P. Personnellement, je n'ai pas remarqué de différence flagrante, mais ça ne coûte rien d'essayer (je vous laisse chercher comment faire, parce que ce post est déjà beaucoup trop long :p).

Au final, c'est un bilan plutôt positif. Même si tout n'est pas parfait et un peu complexe, I2P et ses applications sont fonctionnels et utilisables. L'usage d'iMule est particulièrement simple; celui des fonctionnalités avancées d'I2P comme héberger son propre site nécessitera sûrement plus de lecture... I2P bénéficie d'améliorations régulières en ce moment (une nouvelle version tous les mois et demi environ), et l'amélioration de la documentation et des performances font partie de la roadmap de l'équipe de développement. Je pense donc que le nombre d'utilisateurs de ce réseau ne fera qu'augmenter dans les mois et années à venir.

L'histoire du club de leo-et-lea

Vous avez peut-être reçu il y a quelques jours un spam intitulé « Validation de votre accès à Leo et Lea », comme quelques milliers d'autres personnes ?

Un spam comme des centaines d'autres, validant une inscription que vous n'avez jamais demandée, si ce n'est que celui-ci contenait votre nom et prénom...

Armé de mon moteur de recherche favori, j'ai trouvé un fil de discussion dans les forums d'OVH, lequel au fil des messages tend à indiquer que l'origine du fichier d'adresses emails et de noms serait... LDLC !

J'ai préféré laisser passer quelques jours avant de poster à ce sujet, et j'ai bien fait : LDLC vient de répondre que cette fuite est probablement le fait d'un ancien employé, qu'ils n'y sont pour rien, détestent eux aussi le spam, et vont tout faire pour retrouver l'origine de la fuite. Évidemment, on peut le croire ou non, mais en tout cas c'est plausible et le message parait honnête.

Au final, comme le signale un des participants du fil de discussion, le but de ce post est de vous avertir, si vous êtes vous aussi client chez LDLC, qu'il est fort possible que d'autres informations confidentielles aient été copiées, comme par exemple votre mot de passe (stocké en clair chez LDLC)... Si vous utilisiez le même mot de passe sur d'autres sites, vous savez ce qu'il vous reste à faire !

J'en profite pour vous faire part de l'existence de trois sites permettant de signaler des spams :

- spamcop.net (en anglais), permet d'envoyer automatiquement un rapport de spam aux hébergeurs et propriétaires des serveurs de mail utilisés, et je crois d'améliorer le filtrage de spamassassin.

- Signal-Spam, site français à la gestion opaque mais recommandé par la CNIL.

- spam-rbl.fr, autre site français à première vue géré par un particulier, mais sur lequel s'appuie notamment OVH pour filtrer les spams (si j'ai bien compris).

Battle.net Account - Contact Information Updated

Aujourd'hui, c'est au tour de WowInterface de vendre et/ou se faire pirater sa liste d'adresses email !

J'ai reçu un email (html) semblant provenir de Blizzard m'annonçant que « Some or all of your contact information was recently modified through Battle.net Account Management ». Plusieurs liens pointent bien vers blizzard.com ou battle.net, mais deux d'entre eux pointent sur « supportbattle.net ».

Domain Name: SUPPORTBATTLE.NET
   Registrar: XIN NET TECHNOLOGY CORPORATION
   Whois Server: whois.paycenter.com.cn
   Referral URL: http://www.xinnet.com
   Name Server: NS.XINNET.CN
   Name Server: NS.XINNETDNS.COM
   Status: ok
   Updated Date: 15-may-2010
   Creation Date: 15-may-2010
   Expiration Date: 15-may-2011

Non, ce n'est pas un site appartenant à Blizzard...

D'autres indices :

- Le destinataire est l'adresse que j'ai utilisée pour m'inscrire sur WowInterface, bien sûr.
- Le mail est en anglais.
- Il commence par "Hello wowinterface" au lieu de mon nom :-].
- Si on n'a toujours pas compris que c'est un scam à ce stade et qu'on lit le mail, c'est le truc typique disant que si on ne réagit pas le compte va être bloqué, bla bla bla.
- Si on regarde le code source du mail, on peut voir que le Return-Path est l'adresse d'un particulier chez AOL et que le message a apparemment été envoyé via TOR...

Une nouvelle fournée de moteurs de recherche

Je vous avais déjà parlé d'Exalead, un moteur de recherche français qui dispose de quelques options sympathiques, mais malheureusement ne retourne aucun résultat utile.

Depuis, j'ai découvert d'autres moteurs intéressants qui permettent de faire des recherches anonymes sur le Web :

- Scroogle retourne les résultats de Google.

- IxQuick récupère les meilleurs résultats d'une dizaine de moteurs (URL alternative : startpage.com).

- Duck Duck Go propose l'option intéressante de ne pas rendre prioritaires les résultats dans la langue de votre pays, entre autres... (URL alternative : dukgo.com)

Scroogle propose des résultats sans surprise puisqu'ils viennent directement de Google, et marche bien. On peut juste regretter l'absence de liens "Plus de résultats pour ce site" lorsqu'il y a plus de deux résultats sur un site donné, mais il suffit d'utiliser l'argument de recherche "site:" dans ce cas.

Cela fait un moment que j'utilise IxQuick et les résultats retournés sont de bonne qualité. Je n'ai jamais ressenti le besoin de retourner à Google.

Quand à Duck Duck Go, je ne l'ai que très peu testé pour l'instant. Je ne suis pas entièrement fan de l'interface et de la présentation des résultats, mais l'auteur annonce travailler sur une version sans javascript, ce qui pourrait améliorer les choses ! (Ou non.)

Ils annoncent tous les trois ne pas logger les adresses IP et permettent une connexion SSL pour empêcher l'espionnage de vos recherches entre votre ordinateur et le serveur (Google propose une connexion SSL depuis peu également).

Mais si n'avez pas peur d'être tracé et espionné, peut-être préférez-vous sauver la forêt amazonienne ? Dans ce cas, direction Forestle...

Exalead, le moteur de recherche qui cherche

Souhaitant résister un minimum au plan de domination du monde de Google, et son moteur de recherche ayant un ou deux défauts qui m’ennuient parfois, j’essaie de temps en temps des solutions alternatives. On m’a récemment appris l’existence d’Exalead, un moteur français.

Hop, ni une ni deux, je l’ajoute dans les moteurs de recherche de Firefox, et j’essaye la bête.

Quand je cherche « repose poignets », Exalead, dans sa grande bonté, me demande si je ne me suis pas trompé et que je voulais en fait chercher « response poignets ». Ben oui, ça semble évident, enfin ! Pourquoi s'en tenir à une recherche sur deux mots français retournant 54000 réponses, quand on peut en faire une en mélangeant les langues qui fournit 1213 résultats ? :)

Autre exemple : à la recherche « plante orenmentale », Exalead répond « Vouliez-vous dire: planet orenmentale ? », échappant de cette façon à la possibilité unique que je lui offrais de prouver ses capacités.

Bon, je crois savoir pourquoi il insiste pour tout traduire en anglais : il y a dans les préférences un réglage de la langue de recherche qui est par défaut positionné sur « Anglais ». Je le mettrais bien sur français si ce n’était que je fais au moins aussi souvent des recherche dans la langue de Shakespeare que dans celle de Molière ! (Oui, j’essaye d’éviter les répétitions…)

En ce qui concerne les résultats de recherche, je constate qu’ils sont bien souvent moins pertinants que ceux de Google. Il m’est plusieurs fois arrivé de refaire une recherche avec ce dernier et de trouver ce qui m’intéressait dans les premiers résultats, alors que j’avais fait chou blanc chez Exalead. Dommage.

En revanche, ce moteur dispose de fonctions bien pratiques, comme la suppression des PDF et des documents Word des résultats de recherche, un truc que j'ai toujours voulu avoir dans Google. Il permet également de choisir d’un clic la langue des résultats ! Voilà autre chose qui m’énerve dans Google, qui s’obstine souvent à retourner des résultats en anglais quand je fais une recherche en français.

Au final, je pense continuer à utiliser ce moteur un moment, pour voir, mais il faut vraiment qu’ils améliorent la qualité des résultats s’ils espèrent un jour grapiller quelques parts de marché à Google…

Warcraft Realms, source de phishing

Alors là, vous allez rire : il y a quelques jours, je reçois un mail de Blizzard me disant que quelqu'un a modifié mon mot de passe World of Warcraft et que si ce n'est pas moi, je ferais bien d'aller vérifier sur mon compte.

Je trouve le message un peu surprenant, d'autant plus qu'il n'a pas été envoyé à l'adresse que j'ai utilisée pour m'inscrire à WoW… Mais à celle que j'ai rentrée sur le site WarcraftRealms.com à l'époque où j'utilisais l'addon CensusPlus ! En regardant les entêtes, je vois que le mail semble être parti de Hotmail et pas de chez Blibli, mais les liens HTTP contenus dans le texte pointent pourtant vers le site officiel.

Je laisse couler l'affaire sans trop m'en soucier, d'autant plus que ça fait un bon moment que je ne joue plus à WoW… Mais que vois-je dans ma mailbox aujourd'hui ?

De: NCsoft Support
À: warcraftrealms.com@….com
Objet: Aion Account Check

« Lol », me dis-je alors. En effet, je n'ai pas de compte pour Aion. Le mail a été envoyé à la même adresse que celui concernant Warcraft, ce qui en confirme l'origine frauduleuse. Là encore, il provient de Hotmail, et le lien pointe vers le site de NCSoft. Par contre, l'anglais employé est très approximatif, alors que le premier était bien écrit.

Ma conclusion sera double :

1) L'usage de liens vers les sites officiels semble indiquer que les attaquants comptent sur un keylogger pour récupérer les mots de passe. À moins que seule la version texte brut du mail pointe vers les sites officiels et pas la partie HTML (que je ne peux pas lire eu égard à mon webmail bien-aimé).

2) Y a pas qu'Over-blog qui laisse traîner nos emails partout…

3) Après des années à créer des adresses email "personnalisées" pour mon inscription sur différents sites, je commençais à me dire que ça ne servait à rien ; mais voilà qu'en quelques jours ça m'a permis de déterminer la provenance de deux campagnes de spam/phishing. Du coup, je pense que je vais continuer.

PS : ceux qui n'ont pas ri, prenez la porte.

Overblog, source de spam ?

Juste pour dire que je reçois depuis quelques jours des spams (publicités non sollicitées) à l'adresse email que j'ai utilisée pour m'inscrire sur over-blog, et uniquement sur over-blog. Je n'ai utilisé cette adresse que pour cette occasion. C'est sûr et certain.

Lorsque l'option est disponible, je demande toujours à ne pas recevoir de pub et/ou à ce que mon email ne soit pas retransmis à des tiers. De plus, j'ai il y a quelques semaines supprimé mon compte overblog ! Est-ce qu'ils se vengent en revendant les emails de tous ceux qui ferment leur compte ? Il est plus probable qu'ils vendent les emails de tous leurs abonnés et ex-abonnés... ou qu'ils se soient faits hacker.

Réfléchissez donc avant de leur donner la votre !

Premier billet

Ouf, après des heures de recherche et de travail (si, si !), j'ai enfin un thème qui semble tenir la route pour blogger. C'était allé bien plus vite sur over-blog dont le thème par défaut me plaisait, mais il faut avouer que le résultat final est plus joli ici...

... Sauf bien sûr si, comme moi, vous utilisez l'extension Firefox Stylish avec le thème dark theme 2008 pour éviter de devenir aveugle à cause de la multitude de pages web à fond blanc se trouvant sur internet, auquel cas ce site est aussi moche que les autres. Mais au moins, il ne fait pas mal aux yeux.