Mes mots de passe sécurisés et faciles à gérer – Pas Sage en Seine 2019

Conférence destiné à vulgariser les notions autour des mots de passe pour aider tous les profils à assurer au moins la base de la sécurité informatique.

Infos pratiques

Pas Sage En Seine
Médiathèque Aragon : 17 Rue Pierre Mendès France, 94600 Choisy-le-Roi
Salle Cinéma,
17 H – 18 H

Résumé

S’il y a bien une chose qui protège nos comptes et notre vie numérique, ce sont nos mots de passe. S’il y a bien une chose qui fuite, qui se hacke où qui se retrouve visible par tous sur un post-it… ce sont nos mots de passe !

Mais qu’est-ce qui fait qu’un mot de passe est bon ? Comment gérer facilement ses mots de passe ? Comment m’en sortir sans avoir des )k#Qhg`S\MEB!m"(h:2qT2,@ à retenir ?

En fait, gérer efficacement et sereinement ses mots de passe, c’est facile !

Cette conférence s’adresse à du grand public, le but est de vulgariser, pas d’être exhaustif. Des experts qui assisteraient à cette conférence risqueraient d’être frustrés 😉

Diaporama

Mes mots de passe sécurisés et faciles à gérer – Pas Sage en Seine 2019

Diaporama “Mes mots de passe sécurisés et faciles à gérer” (PDF – 3Mo)
NB : Une vilaine erreur s’est incrustée à la diapo 14, le mot de passe “paisiblepaisible” fait bien seize et non dix-huit caractères !

Vidéo

Interview radio autour des mots de passe

Durant les Journées du Logiciel Libre, où je donnais une conférence sur les mots de passe, j’ai été interviewée par Benoît, de Radio Pluriel.

L’émission est disponible en ligne sur le “replay” de Radio Pluriel ; cliquez sur “jeudi” puis c’est tout en bas “23H Culture numérique, présenté par Benoît Prieur“. (Mon passage est à 30:20 mais rien ne vous empêche d’écouter toute l’émission ! Ça parle des JDLL et de inventaire.io)

Mes mots de passe sécurisés et faciles à gérer – Journées du Logiciel Libre 2019

Version mise à jour de ma conférence de vulgarisation sur les mots de passe ou comment, pro du web et particulier lambda, avoir une bonne gestion de ses mots de passe mais sans (trop) de prise de tête.

Résumé

S’il y a bien une chose qui protège nos comptes et notre vie numérique, ce sont nos mots de passe. S’il y a bien une chose qui fuite, qui se hacke où qui se retrouve visible par tous sur un post-it …ce sont nos mots de passe ! Mais qu’est-ce qui fait qu’un mot de passe est bon ? Comment gérer facilement ses mots de passe ? Comment m’en sortir sans avoir des <z?l,”[Ox°# à retenir ? En fait, gérer efficacement et sereinement ses mots de passe, c’est facile 😉

Commentaire

En complément de ma conférence : quand vous voulez sensibiliser quelqu’un de votre entourage (parents, potes, non “geeks”) sur les pratiques de sécurité, ne cherchez surtout pas à être exhaustif. Cherchez à voir où ils en sont et amenez les vers le pas suivant. Attention à ne pas les noyer d’infos et de danger qui peuvent les faire fuir. Le but est uniquement de les amener à faire UN pas de plus.
Alors, vous leur parlerez du suivant.

Interviews

J’ai répondu à quelques questions de Radio Pluriel, une radio lyonnaise. La diffusion est prévue pour d’ici quelques semaines.

J’ai également été interviewée à cette occasion par ma boîte, ekino :
Interview de Delphine Malassingne, conférencière aux Journées du Logiciel Libre

Extraits :

“(…) j’ai la conviction que pour toucher le grand public, il faut un discours qui ne soit ni anxiogène, ni culpabilisant. Or, souvent, les “gens qui savent” en savent tellement que c’est difficile pour eux de ne pas donner toutes les informations, de ne pas dire “oui, mais ça ne suffit pas, ce n’est pas assez sécurisé, il pourrait se passer ça ou ça, etc.” Mon parti-pris est de profiter de ma position de “savante intermédiaire” (rires) pour dédramatiser le discours et amener les gens à plus facilement se sentir prêt à passer le pas. Sans les inquiéter, pas seulement leur dire que ça ne suffit pas, mais en les encourageant en disant que c’est déjà un pas de plus. Il ne s’agit pas, bien sûr, d’infantiliser, mais de garder à l’esprit, que si tout le monde aujourd’hui est concerné par la sécurité informatique et la sécurité de sa vie privée, les enjeux du numérique sont encore bien peu dans les esprits et le fonctionnement informatique a souvent l’air, pour le grand public, d’un concept compliqué réservé aux “geeks”. Je veux aider les gens à prendre en main leur propre vie privée, à leur niveau.”

“L’idée est d’apprendre au grand public pourquoi un mot de passe est important, qu’est-ce qui fait qu’un mot de passe est bon et comment gérer la pléthore de mots de passe que nous avons.”

Contenu à emporter


Diaporama “Mes mots de passe sécurisés et faciles à gérer” (PDF – 31 Mo)
NB : Une vilaine erreur s’est glissée à la diapo 13, le mot de passe “paisiblepaisible” fait bien seize et non dix-huit caractères !

Comparatif des gestionnaires :

Version texte : Gestionnaire de mots de passe – Comparatif

Votre “to do list” à recopier :

  • Mot de passe différent des autres pour ma boîte mail
  • Mot de passe de ma boîte mail parfait (long, inexistant, mémorisé…)
  • Tous mes mots de passe différents
  • Double-authentification pour ma boîte mail
  • Double-authentification pour mes comptes sociaux (Facebook, Instagram, LinkedIn…)
  • Double-authentification dès que je peux
  • Mes mots de passe sont gérés dans un gestionnaire qui me convient
  • Alertes si un de mes comptes est compromis
  • J’ai sensibilisé une ou plusieurs personnes autour de moi

Version image :

Informations pratiques

Conférence, 60 minutes
JdLL, avril 2019

Dimanche 07 avril 2019, 12 H 00
Maison Pour Tous – salle des Rancy , 249 rue Vendôme, Lyon

(Photo par webetcaetera)

Sur le site des JdLL

Merci à mon entreprise, ekino, qui a “sponsorisé” cette conférence.

Voir aussi

Autour des mots de passe et de l’hygiène numérique en général :

Création artistique et monde du Libre – Capitole du Libre 2018

Proposition de réflexion autour d’un domaine plutôt traité à l’encontre du libre traditionnellement : la création artistique. Comment concilier mes valeurs de partage avec la volonté de protéger ce que je crée à titre très personnel ? Dois-je partager ? mettre une licence ? La loi me protège-t-elle malgré moi ?

Résumé

J’évolue dans un contexte professionnel qui m’a sensibilisée au Libre et à ses valeurs. Quand, à titre personnel, j’ai commencé à diffuser et exposer mes peintures, je me suis posée des questions sur les rapprochements entre les deux : création artistique et monde du libre.

Après un rappel sur le Libre et les quatre libertés, j’ai cherché à voir ce que cela donne appliqué à un tableau physique et à une copie numérique. J’ai ensuite survolé les notions de protections de l’auteur liées au droit moral puis les droits patrimoniaux. Parmi les applications possibles, il y a les Creative Commons et la Licence Art Libre.

J’ai fini sur mon propre parcours, ce qui était difficile pour moi à lâcher, mes craintes malgré les bénéfices et les valeurs du Libre. Ma conclusion étant que cela reste un choix personnel, en fonction de l’avancement de chacun, que ce n’est pas grave mais que ça vaut le coup, par contre, de se poser la question  ne serait-ce que parce que le sujet est passionnant !

Diaporama (version enrichie, 22/11/18 )

Vidéo

C’est la vidéo 79 (le lien direct ne semble pas fonctionner ci-dessous ; utilisez le menu “1/86” en haut à droite de la vidéo) :

Ce qu’ils en disent

  • @DarkCoinCoin :

    Conférence très intéressante et rafraichissante de @DelphineM sur l’Art Libre au #cdl2018 !
    Une démarche pavée de contradictions, qui rappelle bien que derrière une oeuvre ou un logiciel, il y a aussi de l’humain, et des sentiments 🙂

Remerciements

Je remercie les gens qui mettent à disposition des contenus sur Internet, sur leur propre plateforme ou via des contributions, me permettant, entre autre, de préparer cette présentation.
Je remercie ceux qui discutent et me mettent en relation avec d’autres, la veille de la conf, pour pouvoir l’enrichir encore (coucou Azark et Aisyk ! )
Je remercie également Baptiste, Ilias, Janitta, Jef, LaPalice, Lou, M4dz, Seb pour leurs commentaires et relecture. `
Merci au Capitole du Libre de m’avoir accueillie.
Merci à la communauté du Libre pour tout ce qu’elle fait, globalement.

Informations pratiques

Conférence, 30 minutes
Capitole du Libre, novembre 2018

Dimanche 18 novembre 2018, 12 H 00
INP-ENSEEIHT, 2 rue Charles Camichel, 31000 Toulouse

Sur le site du Capitole du Libre

Voir aussi

Comme on était au Capitole du Libre, à propos de l’hygiène numérique :

Partagés librement

J’ai néanmoins déjà fait des tous petits partages :

Mise à jour, 24 décembre 2018 :

  • J’ai participé au site “24 jours de web”,  un calendrier de l’avent autour du web proposant de récolté de l’argent pour une bonne cause, et ai proposé une calligraphie que j’ai pour l’occasion partagée sous licence Libre (fichier numérique et fichier physique).

Transcript du meetup Protection des données personnelles chez ekino le 25 octobre 2018

Cet article a d’abord été publié sur le blog d’ekino ; je l’ai en effet écrit dans le cadre de mon travail en tant qu’employée.

Le 25 octobre 2018, nous avons eu le plaisir d’organiser un meetup autour d’un thème qui nous est cher : la protection de nos données.
Aeris, LaPalice et Kheltdire nous ont fait l’honneur d’une présentation chacun. Voici leurs diaporama et le transcript de la soirée.
Merci à nos orateurs et merci à vous qui êtes venus parler données personnelles avec nous.
Maxime, Sébastien et Delphine.

Transcript, à la main et avec beaucoup d’amour, du meetup « Protection des données personnelles », le 18 octobre, chez ekino, à Levallois-Perret

Avertissment : Ce transcript a été écrit à la volée, pendant le meetup, par des volontaires qui ont fait au mieux. Il n’a été qu’à peine retouché ensuite. Il peut donc contenir des erreurs et ne constitue pas la retranscription exacte de ce qui s’est dit.

Bonsoir, On va pouvoir commencer, merci d’être venu. Ici ce n’est pas la réunion Lycos, mais le meetup données personnelles. Je laisse la parole à LaPalice…

« Mais moi j’ai rien à cacher », la vie privée à l’ère de Trump et des vibromasseurs connectés

Vous n’avez rien à cacher, et moi non plus. Jusqu’à ce que mon vibromasseur fasse augmenter le prix de mes billets d’avion. Par LaPalice Sur Twitter : @NLaPalice Sur Mastodon : @LaPalice@framapiaf.org

Bonsoir, J’ai très peu préparé, parce que je veux plutôt une discussion ensemble 🙂 Merci d’etre venu malgré le titre douteux. On va parler de vibromasseur, de Trump etc. … Vous êtes familier adu sujet des données privées ? [beaucoup de gens lèvent la main] Vous êtes plutôt familier sur le sujet, donc ce soir on va voir comment s’adresser aux gens qui ne sont pas familier au sujet. « Toi tu n’as rien a caché, mais tes emails sont sur Gmail donc si quelqu’un qui a quelque chose à cacher te contact, alors google le saura.” C’est un bon argument mais ça ne convainc pas les gens qui disent n’avoir rien à cacher.

Généralement, les gens n’ont pas de problème de avec le partage de leur vie privée si ce n’est pas un humain derrière.

On va partir du principe que nous faisons confiance a Google, Amazon etc. et partir du principe que nous ne sommes pas activiste politique, criminel etc. ce qui nous donnera des exemples de discussion à mener avec des gens qui n’ont rien a cacher en leur présentant des situations qu’ils peuvent vivre.

On va parler de cul et de politique. Les gens, ils sont normaux, ils sont contents parce qu’ils n’ont plus à se soucier de leur vie privée. Les 3 histoires qu’on va raconter sont sur le confort, la centralisation, et le manque de sécurité.

Le confort aujourd’hui c’est : – Des enceintes connectées à qui tu vas pouvoir demander de monter le son pendant que t’es sous la douche. De plus en plus d’amis de mes parents en ont. Je leur ai fait le laïus sur la pose d’un micro chez eux, et ça ne les touchait pas. Jusqu’au jour où je leur ai envoyé cet article où Amazon n’a rien fait de mal ; il y a juste eu un bug qui s’est produit. L’histoire c’est un couple entrain de “parler” , et Alexa est dans le fond, elle croit entendre un ordre « message » donc elle demande si elle doit enregistrer. Le couple lui répond « oh oui », elle enregistre. Puis elle pense entendre « Envoyer », elle demande confirmation. Le couple « oui, oui », et donc tu as un enregistrement du couple qui est parti à un tiers et les gens sans contrôle. Alexa transfère mon orgasme à ma patronne. Tu es content qu’Alexa soit toujours entrain de t’écouter pour lui donner des ordres, mais tu ne fais plus attention et ça peut vite basculer sans que ce soit malveillant.

Deuxième histoire : centralisation Facebook est très très pointilleux sur la vie privée MAIS ça reste avant tout une régie publicitaire. Donc t’envoyer le bon message au bon moment ça reste quand même très pratique.

Quand tu es de l’autre coté, donc celui qui met en place une campagne de pub, tu as accès à un réglage très fin pour atteindre tes cibles. Je ne croyais pas trop à l’ingérence russe lors de la campagne présidentielle américaine, ou alors je pensais qu’ils avaient juste créé des milliers de bots pro-trump. Mais en fait c’était beaucoup plus fin : ils ont ciblé les écologistes, par exemple, pour les inciter à voter pour un autre candidat que Sanders ou Clinton. Ils ont pensé leur stratégie beaucoup plus en amont. Si quelqu’un votait pour un tiers candidat, c’est plus fin et ça évite d’être trop visible. Ça n’a été possible que parce que Facebook donne accès à un filtrage très précis.

Un jour normal sur Facebook ; Facebook leur envoie des infos qui sont censées être sensibles à la pub ciblée. Y’a des gens qui aiment ça, qui préfère une pub ciblée plutôt qu’aléatoire. Les Russes ont profité des de fuites de données bancaires des américains pour recréer des comptes paypal qui servait à financer les compagnes de pub Facebook. Les américains ont payé leur propre propagande.

Les américains n’avaient rien à cacher a priori, pas d’activiste etc. MAiS en partageant leurs données, ça a permis de les cibler très finement en tapant sur leur attentes en modifiant leur vote. Généralement les gens se foutent de savoir si ils sont influencés sur une pub de vêtement, mais pour la politique généralement c’est une autre histoire.

3e histoire : vibromasseur connecté Ça c’est un vibromasseur connecté, avec une caméra. Fabriqué par la société Svakom. Un jour des chercheurs en sécurité se sont demandés si c’était fiable comme objet. La réponse est non. Login : admin, pas de mot de passe, et tu te retrouves avec tous les données.

Alice ici passe un bon moment avec son vibromasseur, et elle veut partager ce moment avec Bob. Pendant ce temps la Sxavom enregistre tout. Un scammeur peut très bien tomber dessus et vous faire chanter avec le contenu volé de la sorte. Alice qui n’a rien à cacher, se retrouve dans une situation embarrassante malgré elle.

C’est tout pour moi, je souhaite surtout ouvrir la discussion avec vous. Ça fait 2 mois que je bosse dans la sécurité, et avant je bossais dans un milieu libriste avec des gens sensibilisés à la vie privée, maintenant c’est plus le cas. Mes collègues se moquent complétement de leur vie privée, et donc j’ai dû réadapter mon discours pour pouvoir discuter avec eux.

Donc j’ai envie de discuter avec vous, trouver des moyens moins humanistes pour convaincre les gens de l’intérêt de la vie privée. Je vous laisse sur cette citation (de moi) : « Ce n’est pas parce que vous n’avez rien à cacher que rien ne sera retenu contre vous. »

Merci beaucoup

Qui a les deux premières questions ?

Public : Du coup, tes collègues, est-ce qu’ils testent la sécurité ?

LaPalice : Oui. La notion de vie privée chez eux est assez inexistante. Pour eux, tant que c’est sécurisé, ça va. (c’est pas le transcript, c’est mon résumé). Des fois, Google, c’est vraiment la meilleure solution (quand c’est pour te protéger de ta mère, ton copain, etc.) C’est une question de modèle de menace. L’auto-hébergement n’est pas une solution pour se protéger contre sa mère et son copain.

Public :Généralement les gens qui s’intéressent à la vie privée sont plutôt politisés.

LaPalice : Ce sont des enjeux sociaux à long terme mais je ne veux pas laisser les autres à la traîne derrière. Si on explique comment fonctionne le marketing, les implications sociétales comme Trump / Russie, c’est un moyen de faire réagir avec un message qui est mieux reçu.

Public : Si on prend le temps d’expliquer aux gens, mais faut déjà avoir le temps d’expliquer. Et les gens vont trouver ça chiant. Si j’arrive a chopper une minute de temps à l’apéro avec ma famille c’est la fête. Il faut déjà une sensibilisation de base pour pouvoir pousser la discussion.

Public ou LaPalice ? : Est ce que tu fais aussi du bien aux gens malgré eux ? L’article des enceintes, c’est pour faire réagir mais c’est pas dit qu’ils aient compris les implications sociétales. Là ou le vibromasseur c’est déjà très lointain pour eux. Idem pour Trump ou on peut se dire que les mécanismes électorale française est différentes etc. De voir qu‘« un état « dissident » peut influencer les États-Unis avec cette histoire, on peut se dire qu’on pourrait subir des attaques sur nos politiques.

LaPalice : Le vibromasseur c’est parce que j’en parle dans mon titre, je ne sais pas pourquoi, mais j’aurai pu utiliser un objet connecté différent pour rendre le risque plus tangible. Comme par exemple la peluche qui enregistre ce que raconte les enfants et le stocke sur un serveur distant. Tu as des outils aussi pour localiser le magasin exact dans lequel tu te trouves pour te balancer la pub parfaite. Pour du marketing ça peut être utile, mais ça peut vite être détourné

La prochaine fois je parlerai de poupée, je suis triste parce que je referai mes dessins que j’ai fait moi même contrairement aux apparences [rires]] D’autres questions ?

Delphine: Je vais meubler, on va passer a la 2è présentation par aeris. On va parler Web et vie privée, c’est dire comme on est raccord ! 🙂

Web, extensions et vie privée

Le web est devenu une usine à nuire à la vie privée des utilisateurs. Découvrons les outils de protection pour reprendre le contrôle !

Par aeris Sur Twitter : @aeris22 Sur Mastodon : @aeris@social.imirhil.fr Diaporama

Je vais essayer de ralentir Public : « quel beau logo »

Présentation d’usage : je suis aeris, cryptotrerroriste radicalisé sur le darknet digital. C’est comme ça que je suis connu dans les services de renseignements. Les slides seront en ligne. Je travaille pas mal autour des cafés vie privée, développeur chez Cozy Coud. La question que je me suis posé c’est : quel est le plus grand méchant ? Et clairement, le pire du pire, c’est le web. C’est devenu un véritable enfer en terme de vie privée. Donc on va voir les risques, et comment s’en protéger.

Problème 1 : Bloatware Sur le Figaro, 9 MO à télécharger pour afficher le site, 12s de chargement, 10 CSS, 2 média…. Juste pour la home du Figaro. Tous les sites sont comme ça, on a eu un article qui parle d’un constat sur l’informatique en général avec des app de plus en plus lourdes sans qu’on sache pourquoi. C’est général.

Ça donne des trucs marrants, quand vous allez sur Medium sans JavaScript, vous n’avez pas d’image. La balise img existe depuis longtemps et ça marchait très bien avant. Le soucis de ces sites, c’est les sites tiers : pourquoi c’est aussi gros ? Pour pouvoir faire du tracking, mettre de la pub etc. et donc la majorité des sites du Figaro c’est des sites tiers. Là on voit bien le site du Figaro avec chacune une vingtaine d’appel. Tout le reste c’est du contenu tiers (il manque encore une image).

Du cloudflare, du Facebook, des trackers (outbrain, taboola…) qui dégueulent votre vie privée pour savoir vos centres d’intérêt , les pages visitées etc. et tout ça est envoyé à des tonnes de personnes. Y’a le JS aussi pour avoir de beau carousel, un menu déroulant etc. Avant on avait de la pagination sur de la donnée, maintenant c’est des requêtes AJAX.

Ça donne des sites tiers partout, partout, partout. Parmi les contenus tiers y’a les cookies qui servent à tracker. Au départ ça sert a vous authentifier. Sans cookie à chaque requête il faut s’identifier.Le marketing a trouvé ça intéressant parce qu’une info stockée sur la machine c’est super pratique pour identifier. Là, sur Madmoizelle.com, on a un cookie qui va on ne sait où, qui va charger du JS, de l’images etc. des données aléatoires etc. et je sais que ça va servir à faire du tracking. Tous ces gens (google etc.) vont savoir où vous allez. L’environnement de la pub c’est mis en place avec le JS et les cookies.

Ça c’est l’écosystème de la pub sur Internet : de la collecte de données, puis le marketing, ils vont s’échanger vos données, faire des centres d’intérêts. « Là il vient du Figaro, donc plutôt de droite, puis un site de sport, donc plutôt intéressé par le foot, puis la un site de l’Éducation Nationale, donc peut être un étudiant ou jeunes actifs »… C’est la qu‘on voit les méta données. Certaines boîtes se vantent d’avoir plus de 1500 données sur toute personne aux États-Unis.

Données : pointure, tailles des fringues… Quand une des boites de marketing veut afficher telle pub, ils vont pouvoir cibler une classe sociale. Si je veux vendre une voiture ça sera des CSP+, entre 35 et 40 ans etc. et cibler des consommateurs plus intéressants. Y’a les bourses d’échanges qui vont dire « j’ai un encart ici » puis une enchère va avoir lieu, en quelques millisecondes. En 100 millisecondes, y’a quelqu’un qui va dire qu’il a une meilleure enchère.

Et c’est pas le Figaro qui gère la pub, c’est un site tiers. Le Figaro ne fait qu’afficher le contenu. Tout ça ça ne marche qu’avec vos données. Y’a les CDN : pour la performance, pour héberger la donnée etc. Donc des gros sites de données utilisés par tout le monde genre Akamai, Cloudfront… qui vont héberger toutes les données statiques. Tu ne vas pas charger jQuery depuis le Figaro, mais plutôt depuis Cloudflair qui va s’en charger.

Ces sites sont énormes, 40°% du trafic mondial. Partout où vous irez, partout où y’a du jQuery, il est probable que ça passera par eux. Et donc ces CDN pourront vous suivre en voyant d’où vous télécharger les ressources.On a un example sur Twitter : Entre deux requêtes, on voit un changement de serveur parce que mon identité a changé. À chaque rafraîchissement je changeais de prestataire.

On va passer aux solutions ? Le but, ça va être de Bloquer le contenu tiers au maximum. La solution utile pour se protéger : Tor Browser. Un firefox customisé par le Tor Project. Isolation des pages (contexte différent, les cookies ne sont pas partagés) ce qui va beaucoup emmerder les plateformes marketing. Ils vont avoir l’impression que c’est un utilisateur différent et donc ils ne pourront pas recroiser les données. C’est un peu extrême, certains n’aiment pas Tor donc on peut avoir des services bloqués. Pas de customisation possible sinon ça redevient identifiable. Même une résolution d’écran peut vous trahir avec les tailles des menus etc… C’est magique, tu démarres et c’est bon.

En classique, HTTPS everywhere : installé par défaut dans Tor Browser Ça va transformer vos requêtes HTTP en version sécurisée (HTTPS). Donc mêmes des vieux liens qui trainent, ce module va réécrire les URL à la volée si HTTPS est installé. Pas d’effet de bord ! Celle là vous pouvez l’installer les yeux fermés. Sur Firefox on a les multi account containers, idée piquée chez Tor Browser. Ça permet de créer des groupes de conteneurs indépendants.

J’en ai un par asso que je gère, un pour Google. Les cookies sont pas partagés par défaut donc dans le container Google j’ai mes cookies Google, mais ils ne seront pas présents dans mes autres conteneurs.J’ai des règles donc si je tape google.fr ça ira directement dans ce container. Tout est cloisonné.

Une autre fonctionnalité c’est la First Party Isolation. Pousser au maximum la logique de container en isolant tout par onglet et site principal. Donc sur Figaro, si vous téléchargez du cloudflare et que vous allez sur madmoizelle qui a aussi cloudflaire, c’est 2 morceaux ne sont connectés entre eux. Il y a des effets bords légers, ça se désactive facilement en cas de soucis. Ils espèrent pouvoir l’activer par défaut a terme. Mon extension préférée : µMatrix

Au début, vous allez la haïr mais après c’est le kiff. Elle va vous afficher toutes les requêtes qui aurait dû partir lors de votre visite, seul le premier niveau est activé. Donc votre premier usage, tout sera blanc. Il va falloir activer au cas par cas pour autoriser les requêtes, les scripts etc. C’est un réglage fin, donc tu vas pouvoir débloquer uniquement le CDN du Figaro par exemple, sans laissé par cloudlare.

Au fur et à mesure vous allez mettre des règles, enregistrer vos règles d’une visite à l’autre, et donc au fur et a mesure ça va se débloquer petit à petit et retrouver une navigation presque normale. C’est très très efficace en terme de protection de la vie privée. Mais ça demande beaucoup de réglage. Vous allez savoir ce qu’on fait, comprendre ce qu’est un CDN « pourquoi j’ai un google.com ? » et un « apis.google.com » ? y’en a un c’est un CDN obligatoire par exemple. Faut y aller à tâtons.

Parfois, on utilise le bouton pause parce qu’on sait qu’on arrivera pas à paramétrer. (et les autres extensions prendront le relai)Les paiements en ligne, c’est une plaie ! c’est la purge absolue, tu vas activer une partie des scripts nécessaires, puis tu vas rafraichir et d’autres sites tiers vont arriver parce que le site tiers charge d’autres contenus etc. 3Dsecure pour ça c’est une catastrophe. C’est le cas aussi avec Google API par exemple, des sites tiers qui appellent des sites tiers etc. J‘ai des tickets ouvert sur le GitHub pour avoir des listes blanches etc.

Après y’a µBlock, si vous ne l’avez pas installé. Ça bloque uniquement la pub. Ça marche de moins en moins bien parce que les sites incrustent les pubs de plus en plus. Donc µblock s’adapte mais ça rate parfois. Sur têtu par exemple, on ne sait plus faire la différence entre contenus et pub. Y’a des listes qui existent pour avoir un pré-réglage adapté a votre profil (européen, US etc.). Assez efficace, 22% du trafic bloqué. NoScript bloque tous les JavaScript. Vous autorisez ensuite domaine par domaine. Je ne m’en sers plus parce que j’ai uMatrix mais c’est plus simple à utiliser, ça peut servir d’entrée en matière.

Si vous ne voulez pas galèrer avec µMatrix, installez NoScript. Disconnect s’occupe de tout ce qui est réseau sociaux. Les trackings etc. Ça bloque la pub mais moins efficacement que µblock. Quasiment tous les sites que vous visitez on des boutons « +1 », « j’aime » etc. et ça vient directement de Google ou Facebook, ce qui leur permet de vous tracker facilement. Vous pouvez l’installer les yeux fermés. En cas de pépin avec µmatrix, ça peut être une alternative. Decentraleyes : utile pour les sites tiers largement partagés.

L’extension va les embarquer nativement, donc elle est lourde mais quand votre navigateur va essayer de charger ces requêtes, l’extension va intercepter et utiliser ce qui est ne local. Donc c’est plus rapide, ça évite des requêtes, et ça rend aveugle les gros CDN etc. Les Cookies sont la plaie d’internet, il y a Cookie Autodelete qui va vous afficher tous les cookies qui essayent de s’installer et vous allez pouvoir autoriser au cas par cas. Par défaut il va tout autoriser, puis il supprimera après un certain temps. Si vous voulez garder un cookie en particulier vous allez pouvoir le sauvegarder plus longtemps.

En divers et varié : SmartReferer. À chaque page que vous visitez, le site sait d’où vous venez par défaut. Smartreferrer permet de bloquer ça. « Smart » parce que y’a des sites qui ne sont pas content sans cette info. Donc en remplaçant le referrer il essaye de mettre la page que vous voulez voir en origine ce qui feinte les outils. Redirect AMP to HTML

Les sites lourds à charger c’est une plaie, donc Google a dit « on va refaire HTML, on va appeler ça AMP et tout stocker chez nous ». On va bloquer JavaScript etc. et du coup ça chargera beaucoup plus vite. Donc ils ont réinventé le HTML mais version centralisée car tout est obligatoirement stocké chez Google. Donc cette extension va vous rediriger vers le vrai serveur du contenu et pas ceux de Google. Sans bloatware, on aurait pas eu besoin de ça.

Au revoir UTM :Mauvaise pratique des marketeux qui aiment bien savoir d’où vous venez, après quel bouton, lien etc. Donc il mette dans l’URL des paramètres qui vont dire ça vient de tel ou tel endroit. Google a été le premier avec les paramètres « UTM ». L’extension réécrit a la volée et vire ces paramètres.

En truc pénible et chiant : Behind the overlay : Après le RGPD c’est devenu quasi obligatoire, avec tous les fenêtres qui s’affichent par défaut pour recueillir vos consentements. La ça ferme la fenêtre et vous pouvez lire le contenu. Don’t fuck with my paste : autorise le copier coller même quand c’est interdit. Google search link fix. Quand tu cliques sur un lien tu as l’impression d’être envoyé directement sur le figaro.fr mais en fait tu es passé par 3 serveurs Google entre temps. Cette extension bloque ça et vous fait arriver directement sur le Figaro. [public] On le voit bien avec µMatrix. I don’t care about cookies ?

Avec tout ça vous devriez être bien protégé. Je ne peux pas garantir que vous ne serez pas trackés parce que les marketeux sont intelligents et réfléchissent beaucoup à ce sujet mais au moins ça sera plus complexe. Vous avez des questions ?

Public : Adblock ?

Aeris : Equivalent de µBlock. Le problème de Adblock c’est qu’il a décidé de passer des partenariats avec des régies de pub : si vous payez on ne bloque pas. « Les pubs acceptables » qui sont défini par l’argent versé. Sur µblock c’est pareil y’a eu des soucis, donc il faut utiliser µBlock Origin.

Public : Pour le blocage des copy/paste : tu as un paramètres sur Firefox qui permet de désactiver les événements sur le copy/paste si besoin.

Aeris : Des fois on aime bien, genre sur GitHub

Public : Y’a des équivalents sur mobile ? Vu que la consultation augmente.

Aeris : C’est plus compliqué parce que difficile d’installer des extensions Vous pouvez déjà utiliser Firefox focus. Vous pouvez installer blockada (c’est un peu violent), s’installe comme un VPN et lui va dégager les sites connus pour être traçant. Et pas que sur le web, mais pour toutes vos applications etc. C’est plus dur sur mobile, trop verrouillé.

Y’a des firewall pour autoriser l’accès à internet par application. Type un anti-moustique qui voulait accéder à internet. Déjà n’installez pas ça, mais si vous voulez, n’autorisez pas Internet. Iphone c’est mort, mais c’est plus propre : une meilleure analyse en amont par le store ce qui vous protège en partie.

Y’a une boite qui s’était fait prendre : ils ne demandaient pas la géolocalisation, mais via le bluetooth ils pouvaient savoir quel périphérique était autour et si ce périphérique était géolocalisé, alors l’app pouvait vous retrouver via du matching. Ils se sont fait avoir et ce n’est plus tellement répandu. Le marketing est intelligent, plein de ressources et sont capables de faire des trucs très très gores. On peut se faire peur avec… : Typiquement ça 1.1.1.1 l »‘ip n’est pas a eux, c’est juste intercepté à la volée.

Je vous invite à faire le test chez vous : amiunique.com. Ça vous donne l’empreinte de votre navigateur. Arrêtez de stocker vos font chez Google. Donc là j’ai quelques informations qui peuvent être recoupées. On est 40% sur linux etc. et, au final, avec toutes les empreintes on peut me retrouver.

Do not track permet de vous discriminer par exemple : la résolution de l’écran, stockage local, les canvas apparus en HTML5 qui permettent de dessiner et ensuite ils viennent relire ce qui a été dessiné parce que chaque carte graphique est différente et donc ils peuvent identifier la carte et recouper les infos. Y’a aussi panotpiclick.com Ah oui forcément startpage pas Google en page par défaut !

Juste pour rigoler…. (je débloque les scripts au fur et à mesure sur µmatrix…) Ils doivent détecter à peu près la même chose que l’autres, genre les canvas : le hash est le même. La taille de l’écran etc. les polices système installées sur le navigateur etc. Si l’écran supporte le tactile pareil c’est détecté etc. Éviter le web !

Signal vs. Silence

Présentation et comparaison de deux applications mobiles (Signal et Silence) améliorant la protection de votre vie privée en chiffrant vos communications textuelles (SMS) quotidiennes.

Par Kheltdire Sur Twitter : @kheltdire Sur Mastodon : @Rambobafet@mastodon.roflcopter.fr Diaporama

Sébastien from ekinoExperts.

Je suis un profane éclairé sur le sujet. On va parler de Signal et Silence, deux applications mobiles. Nous parlerons de sms et discussions instantanés. Ça c’est une citation de Snowden (Citation attribué à Richelieu) : “peu importe ce que vous raconter et à qui, on peut le retourner contre vous“. Dans le doute, ne rien dire. Le plus important c’est de définir son modèle de menace:

De qui on se protège ? État, Google ? Se protéger de la surveillance de masse ?

Une fois qu’on a répondu à cette question, on peut réfléchir aux outils à adopter. Aucune solution ne couvre l’ensemble des modèles de menaces (à part vivre dans une grotte, et encore, il y a des ours). Aujourd’hui, le téléphone est moins sûr qu’un pigeon voyageur. Un pigeon, on ne peut pas trop le tracker, on sait ou il va a la limite mais pas d’ou il part, contrairement à un message envoyé depuis votre téléphone.

Prenons un super SMS : il y a le contenu (« Salut lapin, je serai à Saint Laz à 18h »). Il y a également des métadonnées : qui parle à qui, quand ? à quelle fréquence ? Il n’y a pas besoin du contenu pour vous traquer, les métadonnées peuvent suffire.

Un exemple d’attaque : les IMSI catchers : une fausse antenne qui intercepte l’ensemble des communications dans un coin, et qui le transmet à une vraie antenne. C’est ce qui a permis de traquer Paul Bismuth (N. Sarkozy) Pour vous, c’est complètement transparent, mais tout est capté au milieu. Même si vous n’avez rien à vous reprocher, si il y a un suspect dans votre proximité géographiques, vos communications peuvent donc être interceptées.

À défaut de protéger le contenant, on va protéger le contenu : chiffrer ses communications, varier les canaux, changer d’outils.

Un des problèmes de la sécurité, c’est la friction : fermer la porte de chez soi à clefs, c’est 4 actions supplémentaires pour protéger ses biens. Donc : jusqu’où on veut aller pour se protéger.

Signal et Silence : Deux applis différentes, Signal est plus complète et est compatible iOS (et gère les appels téléphoniques). Pour choisir, examinons notre modèle de menaces :

  • CONTRE LES GAFAMS : Silence, pas besoin d’un compte Google
  • CONTRE MON ÉTAT : Signal : pas de FAI, pas d’hébergement sur le territoire, tout aux USA
  • CONTRE LA NSA : Silence, qui envoie de VRAIS SMS, contrairement à Signal. Le trafic internet est plus facile à mettre sur écoute. En plus, dans votre contrat téléphonique, vous avez un accord avec votre opérateur, c’est plus facile de se retourner contre lui.

En termes de facilité : Signal chiffre appels, messages, s’installe de partout, etc. Aucune configuration nécessaire, synchronisation, etc.

Pour masquer ses contacts : Silence, parce que pas de synchro sur un serveur distant. Si vous ne voulez pas activer la data en permanence : Silence. Récapitulatif disponible dans les slides .

Autres applis :

  • Whats app : bonne sécurité mais appartient à Facebook.
  • Telegram : sécurité mal conçue, chiffrement avec le serveur par défaut, pas end to end.

Personnellement j’utilise les deux : Silence par défaut, Signal pour iOS et pour le chat mobile desktop

TLDR : il est important de définir son modèle de menaces pour définir sa sécurité : ne pas recommander des outils trop techniques pour des gens pas techniques.. Par exemple, quand il s’agit de protéger ses sources, c’est peut-être pas idéal d’utiliser un téléphone mobile, même chiffré. Combien sont chiffrés à proximité ? Est-ce géolocalisable ?

Pour aller plus loin : bibliographie, la présentation sera disponible dans les heures qui suivent.

Remarque : Signal a beau être open source, ils ont une fâcheuse tendance à attaquer tous ceux qui essaient d’implémenter leur protocole.

Des mots de passe aux petits oignons – Capitole du libre 2017

Atelier, 30 minutes
Capitole du Libre, novembre 2017

À l’heure où la sécurité de nos données devient critique, maîtrisons-nous vraiment la base : les mots de passe ? Des critères de robustesse à une utilisation pratique et adaptée, voyons ce qu’est une gestion de mots de passe aux petits oignons !

Sur le site du Capitole du Libre

Dimanche 19 novembre 2017, 14 H 00
INP-ENSEEIHT, 2 rue Charles Camichel, 31000 Toulouse

Diaporama

On en parle :

L’intérêt du libre expliqué le dimanche midi en famille – Capitole du libre 2017

Conférence, 50 minutes
Capitole du Libre, novembre 2017

NB : Cette présentation a initialement été proposée sous le titre « L’intérêt du libre expliqué à ma mère » mais ce titre me gênait.

« C’est quoi le “libre” ? Ah bon, c’est mieux que Google ? c’est pratique pourtant Google… Ok, tu m’as convaincue ; je fais comment maintenant ? » Trois questions que je voudrais que ma mère (mon voisin/ma nièce/mon oncle) me pose. Trois questions auxquelles cette conférence devrait apporter des réponses.

Sur le site du Capitole du Libre

Samedi 18 novembre 2017, 11 H 30
INP-ENSEEIHT, 2 rue Charles Camichel, 31000 Toulouse

  • Diaporama
  • Vidéo (cliquer sur le titre pour faire apparaître la fiche et donc la vidéo)

On en parle :

  • « merci pour ta conf (…) y a plein de choses intéressantes, pour les débutants et pour les membres communauté du libre (notamment mieux comprendre les attentes et les difficultés de certaines) »
    @nIQnutn, 22 décembre 2017
  • Libristes de tous les pays, rassemblez-vous !
  • « Elle était vraiment bien cette conf’, merci à toi d’avoir fait preuve d’autant d’empathie pour être si accessible 🙂 »
    @maiwann,
  • « Toi aussi, tu es barbu•e et tu ne comprends pas quand ton entourage ne comprends pas les enjeux du #foss ? Regarde la conf de @Nissone au #cdl2017 ! Didactique, elle te donne les bonnes armes pour éduquer tes proches »
    @m4d_z,

Maïtané a même “sketché” la conférence et m’a autorisée à vous mettre ses notes ici :

Atelier hygiène numérique – Paris Web 2017

Atelier, 1 h 30
Paris Web, octobre 2017

Chacun à notre niveau, nous avons tous été sensibilisés à l’hygiène numérique, à l’importance de protéger nos données personnelles, aux risques individuels et sociaux.

Pourtant, nous n’en sommes pas tous au même point dans notre gestion individuelle et beaucoup d’entre nous n’ont pas encore une base saine. Pourquoi ? Parfois c’est une question de temps, parfois c’est une question de compréhension, de difficultés techniques… ou juste de s’y mettre.

Faisons ça ensemble ! Au cours d’un atelier, nous pourrons lister les tâches à faire et, en groupe ou individuellement, mettre ça en place sur nos outils personnels. Les avancées des uns pourront servir aux autres et chacun ressortira de l’atelier avec une gestion de ses données et sa sécurité un peu plus propre qu’en entrant.

Merci à Matt et à Aeris d’être venus me seconder dans cet atelier !

Voir aussi la conférence : Je prends en main ma vie numérique… et c’est pas si facile ! – Paris Web 2017

Sur le site de Paris Web

Diaporama :

On en parle :

  • “« Un pas de plus vers mon hygiène numérique » Protection des #DonnéesPersonnelles, risques et sécurité : les bons réflexes et les gestes simples qui permettent de protéger (un peu) sa #ViePrivée ”
    @alainmi11,
  • “Dans son atelier Hygiène numérique, elle va un peu plus loin en nous donnant des pistes pour s’améliorer.Elle m’a ouvert les yeux et j’ai commencé à m’y mettre. Ça prend du temps, on ne peut pas tout faire et ce n’est pas simple (elle nous avait prévenu·e·s !) mais ça me semble nécessaire de faire ou ne pas faire les choses en connaissance de cause. Merci !” 
    Retour sur Paris Web 2017 chez Le Lutin du Web

Je prends en main ma vie numérique… et c’est pas si facile ! – Paris Web 2017

Conférence, 15 min.
Paris Web, octobre 2017

J’ai la chance d’être dans un environnement qui me sensibilise aux risques liés à nos données personnelles en fonction de comment nous les gérons. Malgré cela, la façon je les ai organisées n’est pas exemplaire, loin de là. Pourquoi ? Entre les aspects techniques, le piège du gratuit plein de fonctionnalités utiles et jolies et le temps, on recule parfois. Sans compter qu’on nous promet des solutions du type « mais si, c’est facile » et qu’on rencontre pourtant des difficultés.

En complément des discours des spécialistes aguerris, je vous présente mes propres tentatives et mes aboutissements. Ou comment vous pourrez vous-même, même sans bagage technique solide, poser de saines fondation à votre hygiène numérique.

Voir aussi l’atelier : Atelier hygiène numérique – Paris Web 2017

Sur le site de Paris Web

Diaporama :

Ils en parlent :

  • « Nissone nous a encouragé à soigner notre hygiène numérique, mais sans pressions : Dédramatisez et faites à votre rythme. À petits pas. »
    moko, “(Mon) Paris Web 2017
  • « Bref, Delphine a bien dédramatisé toute l’affaire, ça va me pousser à améliorer mes pratiques, et à convaincre mes proches de faire de même. »
    Joachim, “Paris Web 2017
  • “Les premiers pas vers l’hygiène numérique par @Nissone. Très intéressant.” – 7
  • Mon (long) compte-rendu de ParisWeb 2017, Cybergrunge
  • “Fraîche et déculpabilisante, la conf de @Nissone, ça met la pêche. #ParisWeb” – 10:25 AM – 5 Oct 2017
  • #parisweb Travailleurs du web, notre culpabilité sur l’ #HygieneNumerique avec @Nissone Tout plein de petites choses à faire !” –
  • “Delphine Malassingne nous parle ici d’hygiène numérique et comment mettre en place de bonnes pratiques simple et rapide pour avoir un vie numérique plus sécurisé mais le chemin n’est pas toujours évident.”
    Compte-rendu Paris Web chez Alterway
  • “Dans sa conférence “Je prends en main ma vie numérique… et c’est pas si facile !”, Delphine nous invite à réfléchir à notre hygiène numérique et à dédramatiser. On exerce des métiers où on connaît ces sujets‐là mais on ne fait pourtant pas tout pour se protéger (mots de passe, chiffrement des mails, stockage des données, etc.). C’est normal car ce n’est pas si facile.(…)
    Elle m’a ouvert les yeux et j’ai commencé à m’y mettre. Ça prend du temps, on ne peut pas tout faire et ce n’est pas simple (elle nous avait prévenu·e·s !) mais ça me semble nécessaire de faire ou ne pas faire les choses en connaissance de cause. Merci !
    Retour Paris Web 2017 chez Le Lutin du Web

 

Photo par tetue

Un pas de plus vers mon hygiène numérique – Pas Sage En Seine 2017

Atelier, 2 heures
Pas Sage En Seine, juillet 2017

Nous sommes de plus en plus intimement lié·es avec nos données numériques. Les enjeux concernant nos libertés et notre sécurité sont grandissants. Nous en sommes bien conscients et pourtant, protéger sa vie numérique n’est pas simple. On trouve de nombreux conseils d’experts, parfois pédagogiques, parfois condescendants et ce n’est pas évident de s’y retrouver. Et si la première étape était justement ce constat, que c’est normal qu’on n’arrive pas à mettre en place tous ces conseils ? Et si, forts et fortes de ce constat, on se réunissait lors d’un atelier pour, ensemble et chacun à son niveau, faire un pas de plus dans la sécurité et l’hygiène de notre vie numérique.

Dimanche 02 juillet 2017, 16 h – 18 h
Médiathèque Aragon
17 Rue Pierre Mendès France, 94600 Choisy-le-Roi
À l’accueil

Sur le site de PSES

La présentation au format PDF : Un pas de plus vers mon hygiène numérique