Windows 10, un monde meilleur ne vous attend pas

Tout le monde a écrit un billet sur le nouveau Windows 10 : Windows 10 est un OS diabolique. Sous couvert de mis à jour gratuite, c’est une prison numérique de haute sécurité que nous propose Microsoft.

Cet OS de Microsoft, c’est :

– un logiciel propriétaire qui contrôle la façon dont vous utilisez votre ordinateur
– un logiciel qui envahit votre vie privée et expose vos données personnelles à Microsoft, à la NSA, et à d’autres attaquants malveillants
– un logiciel qui dépend de mises à jour obligatoires et de matériels n’acceptant pas d’anciennes versions de Windows
– un logiciel payant qui ensuite continue à gagner de l’argent en violant votre vie privée

La classe intégrale. L’escroquerie ultime.

Je suis bien décidé à rester sous GNU Linux.

– Damien

traquer les chômeurs et surtout les contrats bidons de l’État avec Microsoft ?

Je lisais ce matin que le gouvernement avait l’intention de surveiller les comptes en banque des chômeurs, ces dangereux criminels qui ont provoqué la crise financière de 2008, creuser la dette publique à eux tout seuls et qui font exprès de se retrouver sans travail, eux, les vilains profiteurs du système…. De la mauvaise graine quoi.

Je propose au gouvernement de plutôt surveiller les comptes bancaires de certains multinationales qui « oublient de payer » leurs impôts via des paradis fiscaux. Ce sera plus productif. 80 milliards par an, c’est dommage de louper ça.

J’invite également le gouvernement à faire le ménage dans ses contrats passés en douce avec Microsoft, que ce soit pour l’armée et dernièrement pour les ministères du Travail, de la Santé et de la Jeunesse et des sports… Enfin, quand je dis « dernièrement », c’est plus ou moins faux car ces contrats ont été signés en douce, en toute discrétion. Si c’est un appel d’offre public, il aurait dû être notifié dans le Journal Officiel. Or, on ne retrouve rien. Bizarre.

Outre le fait que nos administrations utilisent des outils privateurs, fermés et incontrôlables, j’imagine que les données de l’Etat, nos données donc, seront stockés sur le cloud de Microsoft, sur Onedrive. Donc en accès direct pour les USA et ses services de renseignement. Brillant, non ?

La même bêtise qui avait poussée l’armée française à signer un contrat avec Microsoft se perpétue donc avec de nouveaux ministères.

On n’entend pas trop les Gaullistes et autres « patriotes » de tout bord quand il s’agit de jeter la souveraineté nationale numérique à la poubelle.

Le mandat de F. Hollande sera donc l’un des pires concernant les atteintes à la vie privée et à l’espionnage des citoyens, ça mérite une petite médaille ?

– Damien

Google aura mis du temps à cracher le morceau officiellement

Et voici donc Google qui change ses conditions générales d’utilisation très clairement :

« Nos systèmes automatisés analysent votre contenu (y compris les emails) pour vous diffuser des fonctionnalités pertinentes pour vous, comme des résultats de recherche personnalisés, de la publicité sur mesure, et détecter spam et malwares. Cette analyse a lieu à la réception, à l’envoi et lors du stockage du contenu. »

Ce serait sympa si les Gmaileurs que j’ai en contact passaient à une autre solution gratuite non intrusive, sans profilage, ni espionnage. Vraiment sympa.

 

– Damien

nos mots de passe ne nous protègent plus vraiment ?

Ceci est un article librement inspiré par le billet de Mat Honan sur le site Wired

Un mot de passe de 6 caractères en moyenne peut tout révéler sur vous.

Vos emails. Vos compte bancaire. Votre adresse. Vos photos. Notre vie numérique est protégée par un mot de passe. Et dites vous bien que cette protection est dépassée. Oui, dépassée.

Vous avez en tête qu’un mot de passe est sécurisé mais c’est une hérésie. Quelle que soit sa complexité, votre mot de passe ne vous protège plus assez.

Il suffit de suivre l’actualité numérique : les listes de noms d’utilisateurs associées à leur mot de passe circulent régulièrement sur le net après l’assaut de hackers partout dans le monde. Les failles sont nombreuses et les hackers en quête d’exploit sont tout aussi nombreux.

Rajoutons à cela l’explosion des moyens de stockage « infonuagique », le cloud en bon français, et vous multipliez les opportunités de piratage. Il suffit de pirater un service pour ensuite avoir accès à un second service, un troisième… etc.

L’auteur de l’article explique que ses comptes My Apple, Twitter et Gmail étaient protégés par des mots de passe costauds ; sept, dix et dix-neuf caractères alphanumériques. Mais les trois comptes étaient liés et le crackage d’un compte a permis au hacker d’avoir accès au deux autres. Depuis son compte Apple, le hacker a bloqué son iPhone, son iPad et MacBook en effaçant ses messages, ses documents et les photos de sa fille de 18 mois.

On comprend aisément que ce soit difficile pour lui à digérer.

Il explique que par la suite, il a cherché le meilleur moyen de protection au monde. Ce qu’il a trouvé l’a terrifié : nos vies digitales sont simplement trop faciles à pirater !

Il explique qu’il peut aisément récupérer votre mot de passe email. Une fois l’accès email trouvé, il pourra facilement trouver votre banque en ligne puis demandera un reset du mot de passe. Là, il aura entre ses mains votre email et votre compte bancaire. Ce qui lui donne accès à votre carte bancaire, votre téléphone et votre numéro de Sécurité Sociale. En quelques minutes, il aura accès à vos comptes Amazon, Microsoft, Netflix… etc.

Le point faible de ce système est le mot de passe. Le mot de passe actuel n’est pas fait pour notre monde interconnecté. Un hacker déterminé découvrira toujours votre mot de passe, quelle que soit sa complexité. L’ère du mot de passe est révolue, telle est sa conclusion.

Les mots de passe sont vieux comme la civilisation. Quand il y a un mot de passe, il y a forcément un moyen de le casser.

Nous avons été complaisants : nos adresses emails servent maintenant comme login universel, elles sont nos noms d’utilisateurs. Les emails de type webmail Gmail, Yahoo ou Outlook sont le portail de toute une série d’applications en ligne. Nous gérons nos comptes bancaires en ligne, nous nous occupons de finance en ligne et nous payons nos impôts en ligne. Nous stockons nos photos, nos documents et nos données en ligne dans des services centralisés comme Gmail/documents dans Google Drive/Google+/Google Agenda/vidéos Youtube… etc

Je prends l’exemple du site Flickr : vous pouvez vous identifiez avec votre compte Yahoo ou Google. Résultat : si votre boite mail est perdue, vous perdez l’accès à Flickr et surtout, le contenu du compte.  Vous pouvez multiplier à envie cette exemple car de nombreux sites vous proposant de vous connecter avec votre compte Facebook, Google… Vous en perdez un, vous les perdez tous !

Comme la notion de piratage en ligne se généralise, la notion de mot de passe “fort” est apparue. C’est le compromis que les grandes sociétés du web mettent en avant pour nous persuader de continuer à utiliser leurs sites.

Un système de sécurité a besoin de deux compromis pour fonctionner dans le monde réel :

il faut que ce soit pratique. Le système le plus sécurisé au monde ne sera pas bon s’il est compliqué à utiliser. Se souvenir d’un mot de passe de 256 caractères permettrait de sécuriser vos données mais comme c’est compliqué, vous risquez de ne plus vous connecter ou de ne plus en souvenir.

– le deuxième compromis, c’est la vie privée. Si le système entier est fait pour garder les données secrètes, les utilisateurs ne supporteront pas un système sécuritaire qui mettra en lambeaux leur vie privée. Imaginez une porte d’entrée miraculeuse pour votre appartement : elle n’a pas besoin de clé, ni de mot de passe. Un agent de sécurité est en fait dans l’appartement à surveiller la serrure 24h/24, 7 jours sur 7. Il ouvre la porte dès qu’il vous voit arriver. Pas vraiment idéal pour la vie privée. Sans la nécessite de préserver votre vie privée, un système de sécurité pourrait être parfait mais personne n’accepterait un tel système.

Les compagnies internet ont voulu que l’acte de connexion soit simple et respectueux de la vie privée, d’où l’usage de la notion du mot de passe “fort”. Faites qu’il soit long, avec des lettres en capitale, des chiffres et un point d’exclamation et tout ira bien.

Mais les techniques actuelles de hacking – force brute, vols ou bypass – cumulées à la puissance de nos ordinateurs font que peu importe la longueur ou la complexité de nos mots de passe.

L’exemple de Sony en 2011 est le plus marquant : la firme a depensé 171 millions de dollars pour modifier son infrastructure suite au hack de sa base de donneés des joueurs PlayStation.

Comment nos mots de passe en ligne sont démasqués ? Et bien, ils sont devinés grâce à tous les indices que nous semons dans les réseaux sociaux, récupérés dans une base de données d’une entreprise web mal protégée, crackés par la force brute, volés par un keylogger et remis à zéro par un service support abusé.

Mat Hanon explique qu’on peut deviner un mot de passe, souvent facilement car les utilisateurs emploient des mots de passe débiles comme « 123456 ». On ne peut qu’être d’accord avec lui mais il va plus loin en expliquant que les sociétés internet devraient refuser ce mot de passe trop basique. Mais elles ne le font pas. Dommage pour les utilisateurs qui auraient bien besoin d’être éduqués et aidés.

Autre souci, la réutilisation du même mot de passe de site en site. Ces deux dernières années, 280 millions de mots de passe ont été balancés sur le net. Yahoo, LinkedIn, Gawker et eHarmony ont eu des vols de mots de passe. En comparant deux dépôts volés, on s’aperçoit que 49% des utilisateurs avait utilisé le même mot de passe.

Mat Hanon aborde aussi le phishing : un hacker reproduit un site internet ressemblant à l’original à s’y méprendre. L’internaute pense se connecter au bon site et donne son nom d’utilisateur et son mot de passe innocemment au grand méchant loup.

Il parle également de malware. Il s’agit d’un programme caché sur votre ordinateur, qui envoie discrètement toutes vos informations à quelqu’un d’autre. Le malware peut également installer un keylogger (littéralement enregistreur de touches) qui “voit” et enregistre ce que vous tapez sur votre clavier ou ce que vous voyez sur votre écran. Ce programme keylogger envoie ensuite l’information à son propriétaire, toujours à votre insu.

L’exemple le plus typique est le keylogger ZeuS qui collecta 70 millions de dollars en 2011 récupérant les données de 390 victimes aux USA avant de se faire stopper par le FBI.

Comment survivre à l’apocalypse “mot de passe” ?

A ne pas faire :

– ne pas réutiliser le même password : si un hacker prend la possession d’un compte, vous gardez la main sur les autres comptes.

– ne pas utiliser un mot issu du dictionnaire comme mot de passe : si vous devez utiliser un mot existant, accolez-en plusieurs pour faire une phrase. Tiens, et si j’inventais un mot elfique ?

– utiliser des nombres comme moyen de substitution des voyelles : vous pensez que s3cr3t est un bon mot de passe ? Oh que non, les logiciels de crack incluent cette possibilité.

– utiliser un mot de passe court : même un password comme h6!r$q est facilement cassable. Votre meilleure défense est le mot de passe le plus long.

A faire :

– utiliser l’identification en 2 temps quand elle est disponible : quand vous vous connectez d’un endroit inhabituel, le système vous envoie un SMS avec un code de confirmation pour continuer vos opérations. Oui, cela peut être cracké mais c’est mieux que rien.

– donnez des réponses bidons aux questions de sécurité : pensez à ces questions de sécurité comme un deuxième mot de passe. Conservez des réponses mémorisables. Ma première voiture ? “Camper Van Beethoven Freaking Rules” pour un Combi Volkswagen.

– réduisez votre présence en ligne : c’est votre email qui est le plus souvent attaqué, ainsi que les informations de votre adresse de facturation.

– utilisez une adresse unique de récupération de mots de passe : si un hacker sait où vont vos demandes de remise à zéro de mots de passe, ce sera sa ligne d’attaque. Je vous conseille de créer un compte spécial que vous n’utilisez jamais pour communiquer mais uniquement pour recevoir ces remises à zéro. Et assurez vous de choisir un nom d’utilisateur pour cet email qui n’est pas lié à votre vrai nom.

– utiliser une bonne résolution comme mot de passe : je pense à une phrase qui serait une bonne résolution que vous voulez prendre. Cette idée provient dun article que j’ai lu (et que je ne retrouve plus). L’auteur de cette idée avait comme mot de passe « jarretedefumerle1eravril » ou « jevaisfairedusport2foisparsemaine ». Il changeait ses mots de passe selon ses besoins et envies du moment. Je trouvais cela intéressant à partager.

Mat Hanon poursuit son article en expliquant que le mot de passe tel que nous le pratiquons n’est plus suffisant.

Il aborde le sujet de la biométrie pour sécuriser l’accès à un compte : empreintes digitales, rétiniennes ou vocales. Tout cela serait très couteux et ne serait qu’un élément parmi d’autres à utiliser car tous ces moyens peuvent être copiés par des gens mal intentionnés. Sans oublier que la NSA veille et pourrait stocker encore plus de données sur les citoyens illegalement. Alors les iPhones avec reconnaissance d’empreintes digitales, non merci.

L’intérêt serait l’utilisation de plusieurs moyens de vérifications : mot de passe + voix + empreinte digitale + code envoyé SMS. Fastidieux mais plus efficace et plus respectueux de la vie privée : il va falloir faire des choix en tant qu’utilisateur. Les systèmes de sécurité vont devoir vous analyser un peu plus, quant à votre lieu et vos habitudes, afin de détecter s’il s’agit bien de vous ou d’un usurpateur. Donc renoncement majeur à la vie privée à cause de la NSA.

Mat Hanon est prêt à beaucoup de renoncement pour rester sur le cloud avec ses photos et ses données : observations de ses mouvements et enregistrement de ses données biométriques. Je ne suis pas sur du tout de faire les mêmes choix.

Face à ce qu’il appelle le chaos et le vol, il n’y a qu’une seule alternative d’après lui : tout donner à la machine et aux entreprises internet ! Qui nous sommes, à qui nous parlons, là où nous allons, ce que nous faisons, ce que nous possédons…

Il est donc prêt à renoncer à sa liberté pour plus de sécurité. C’est un discours que l’on entend souvent. Je comprends son désarroi d’avoir perdu ses données numériques mais renoncer à tout pour plus de sécurité dans le nuage informatique me paraît une mauvaise réponse. Que ce soit sur internet ou dans la vie réelle, ce compromis est une erreur majeure.

De plus, les entreprises n’attendent que cela : que leur soit confiées toutes nos données personnelles pour devenir indispensable et analyser nos besoins afin de mieux vendre leurs produits ensuite. Une entreprise n’est pas l’Etat, si tant est que l’Etat garantisse encore la neutralité et la liberté, ce qui reste à prouver.

Si une entreprise web protège Mat Hanon des hackers, qui le protègera de cette entreprise web ?
_ Damien

email : Yahoo lit et analyse le contenu de vos correspondances

C’est clair, net et précis : en utilisant les services email de Yahoo, vous les autorisez de plein gré à lire vos correspondances et vos échanges. Sympathique, non ?

« By proceeding, I agree to the Yahoo! Terms of Service, Yahoo! Privacy Policy and Communications Terms. To deliver product features, relevant advertising and abuse protection, Yahoo!’s automated systems scan and analyze all email, IM, and other communications content. »

Google s’adonne déjà à ce genre de pratique, ce qui permet à la firme de vous envoyer en retour des publicités ciblées. Si vous parlez de voyages dans votre email avec un ami, les prochaines publicités qui apparaitront sur votre écran auront pour thème l’achat de billets d’avion, de guides touristiques ou de locations d’hôtels. Voilà pour le principe général de la publicité ciblée.

Cela permet aussi, dans un second temps, de savoir si vous écrivez des choses illicites ou illégales. Ca, c’est nouveau et c’est l’ami « Google-qui-vous-veut-du-bien » qui se propose de le généraliser.

En fait, Yahoo est à la recherche de rentabilité après être passé à deux doigts du dépot de bilan quelques années en arrière. Pour réussir, Yahoo s’est trouvé la meilleure personne possible pour redresser la situation : Marissa Mayer, ancienne cadre de Google, elle applique les recettes qui ont fait le succès de son ex-employeur.

D’où les rachats ou tentatives de rachats actuels de Yahoo. Et ça tire dans tous les sens : Summly, Tumblr, Astrid, Dailymotion, Hulu…

On a compris vers quel modèle économique se tourne Yahoo : celui de Google.

Pour des emails respectueux de votre vie privée et de vos correspondants, c’est par là…

– Damien

nous sommes tous inscrits sur Facebook, à l’insu de notre plein gré

Cette nouvelle de Next Inpact m’a fait bondir : Facebook créerait des profils fantômes de personnes non inscrites par le biais du répertoire de contacts de ses membres.

Si un de vos amis est inscrit sur Facebook et qu’il a votre adresse email, votre téléphone et votre adresse dans son répertoire, et bien il va partager sciemment ces données avec l’entreprise américaine, qui va s’empresser de créer votre profil en mode privé.

En clair, vos amis et contacts vous inscrivent d’office à Facebook, même si vous ne voulez pas !

Ensuite, qui gère vos données ? Vous, Facebook ou vos amis ?

Belle intrusion dans votre vie privée, n’est-ce pas ?

Une seule solution : ne plus utiliser ce réseau social. Et se tourner vers Diaspora* ?