Mot-clé - logiciel libre

Fil des billets - Fil des commentaires

mercredi 2 septembre 2009

Courrier des lecteurs : utilisation de TOR en France

Régulièrement, je reçois des courriers me demandant des précisions sur mes billets, ou des conseils en relation avec mes activités sur le net. Je prend toujours le temps d'y répondre en longueur, mais certains messages gagneraient à être plus largement diffusés, car les mêmes questions reviennent régulièrement.

Ainsi, les mails concernant la protection de la vie privée tournent souvent autour de deux thèmes : comment protéger sa vie privée dans telle ou telle activité, et est-ce légal de vouloir la protéger avec un outil précis. Voici le dernier message que j'ai reçu à ce sujet.

Je vous écrit suite au fait que vous soyez noté comme adresse de contact du noeud de sortie Tor "rebelZ".

Ce dernier est à priori hébergé en France sur une machine chez GANDI. Vu que je m'intéresse à la situation actuelle de Tor vis-à-vis de la législation autour des télécommunications qui a tendance à se durcir en France, je me demandais si vous aviez eu le moindre problème légal jusqu'ici.

Par ailleurs, quelles sont vos relations avec GANDI ? Leur avez-vous demandé avant de démarrer ce relai ? Vous ont-ils déjà transmis des plaintes concernant ce service ?

Merci d'avance si vous preniez le temps de répondre à mes quelques questions.

PS : Je vous joint ma clé GnuPG si vous désiriez me chiffrer votre réponse.

Je suis effectivement un client de Gandi, sans rien de particulier : je leur confie la gestion de plusieurs DNS, utilise leurs systèmes de blog, d'hébergement et de courrier. Bien que je trouve leurs prix élevés depuis quelques temps (principalement à cause de l'augmentation de la concurrence) je reste chez Gandi car la qualité de service est élevée : uptime correct, interfaces web efficaces, et une bonne assistance en cas de soucis.

Ainsi, lorsque j'ai besoin de déployer rapidement un petit serveur pour héberger un projet ou tester quelques outils, j'utilise l'hébergement mutualisé de Gandi. La machine rebelz (rebelz.Clauzel.nom.fr) est l'une d'entre elles. Elle n'a rien d'extraordinaire, si ce n'est le fait qu'elle n'accepte que des connexions chiffrées (https, ssh, svn+ssh, etc) et que ses volumes sont eux aussi chiffrés. En effet, elle sert actuellement de plate-forme communautaire à un petit groupe de chercheurs de mon laboratoire. Pour parler technique, il s'agit d'un serveur headless mutualisé Debian constitué d'une seule part (1/64e).

En ce qui concerne TOR (couplé à outils comme privoxy, socat et tsocks), je l'utilise depuis ses débuts, et j'ai pour habitude de mettre en place des relais là où je le puis afin de renforcer son usage. C'est donc tout naturellement que j'ai mis en place un nœud sur rebelz.

À ma connaissance, TOR n'a jamais été impliqué dans le cadre d'une enquête judiciaire en France, aussi bien en simple relais qu'en nœud de sortie. Mais le mieux serait d'interroger directement des juristes spécialisés. Néanmoins, comme il s'agit là d'assurer le rôle d'opérateur technique permettant l'interconnexion de systèmes informatiques, je ne vois pas la possibilité pour un juge de mettre en cause l'administrateur : en effet, rendre responsable l'administrateur de l'usage qui est fait du relais obligerait également à rendre responsable France Télécom des appels circulant par ses lignes. Inconcevable, quoi qu'en disent les ayatollahs de LOPPSI.

En ce qui concerne l'utilisation des machines virtuelles de Gandi, les conditions générales de l'hébergement (article 3) ne font aucune mention de la mise en place de relais de services. Les seules contraintes sont le respect de la législation française (droit d'auteur, diffamation, etc) et la gestion en « bon père de famille ».

En résumé : TOR, yabon.

mercredi 17 juin 2009

Collection d'extensions pour Firefox ayant pour but de renforcer sa vie privée sur le web

La fondation Mozilla propose désormais aux utilisateurs de créer, partager et de collaborer sur des « collections ». Une collection est un ensemble d'extensions, de thèmes et de greffons qui étendent les fonctionnalités d'un logiciel; dans notre cas, il s'agit du navigateur web Firefox mais cela concerne également Thunderbird.

Pour utiliser les collections, il est au préalable nécessaire d'équiper Firefox de l'extension Add-on Collector.

La collection « Protection Vie Privée »

J'ai créé une collection dédiée à la protection de la vie privée sur le web, qui contient les extensions suivantes :

  1. Get jetable mail : Permet de générer à la volée des alias mail qui expirent automatiquement.
  2. CustomizeGoogle : Permet de filtrer les publicités et cookies de Google.
  3. Torbutton : Permet de basculer simplement sur TOR+privoxy durant la navigation web. Aide à la configuration de Firefox pour une navigation protégée.
  4. BetterPrivacy : Permet la gestion des cookies de Flash, autrement inaccessibles.
  5. Adblock Plus : Permet de filtrer les publicités, soit directement, soit en s'abonnant à des listes de règles prédéfinies.
  6. Adblock Plus: Element Hiding Helper : Permet d'ajouter simplement des filtres à la liste d'Adblock Plus, en créant des règles optimisées.
  7. BugMeNot : Permet la navigation anonyme sur des sites demandant une identification.
  8. FoxyProxy : Permet de passer automatiquement par des proxies prédéfinis par listes ou motifs lors de la navigation web.
  9. User Agent Switcher : Permet de changer à la volée l'identification de votre navigateur web.

Le but de cette collection « Protection Vie Privée » est d'apporter à l'utilisateur un ensemble cohérent d'outils, simples à utiliser, qui lui permettrons de protéger sa vie privée durant son utilisation du web : filtrage des cookies insidieux, des publicités envahissantes (et traçant les profils), gestion automatique des proxies, email jetable contre le SPAM, etc.

Un avantage secondaire des collections est la simplicité pour déployer des configurations standards: en installant une collection contenant les extensions à utiliser, on diminue le nombre de manipulations à faire, et la mise à jour de chaque élément est automatisée via l'administrateur de la collection qui décide quelle version employer.

Je discute avec des utilisateurs a priori avancés dans l'utilisation du web sur les forums Ubuntu-fr afin d'obtenir des retours sur cette collection orientée grand public.

Retours sur la collection « Protection Vie Privée »

La principale remarque est l'absence de l'extension NoScript.

C'est une remarque intéressante, qui s'inscrit dans un contexte plus large. Il y a plusieurs discussions sérieuses sur la pertinence ou non de mettre l'utilisateur grand public sur un Firefox avec NoScript. Cela va plus loin que le simple fait de « bloquer la publicité » ou de « protéger l'utilisateur ». J'expose ici simplement les 4 arguments majeurs qui soutiennent que NoScript n'est pas adapté au grand public :

  1. Impact d'usage. L'extension a un impact très fort sur le web. Énormément de sites populaires s'appuient sur des scripts pour construire leurs interfaces dynamiques. Bloquer ces scripts revient alors à fortement dégrader l'expérience de l'utilisateur sur ce genre de site;
  2. Utilisation contraignante. Il faut identifier puis catégoriser les sites web et les scripts qu'ils comportent. C'est un processus long, complexe et agaçant pour l'utilisateur qui est engagé dans une simple démarche d'utilisation;
  3. Efficacité contestée. Le renforcement de la sécurité est fortement contestable, car sans démarche active il est difficile de proposer une couverture fiable des techniques d'attaque. À moins de désactiver entièrement les scripts, mais là on retombe sur le point 1;
  4. Fonctionnalités déjà disponibles. Adblock Plus permet le blocage des scripts externes (et aussi internes, mais moins facilement) aux pages. Via les listes d'inscription, un filtrage des scripts publicitaires est déjà mis en place pour l'utilisateur.

Bonus : la collection « Utilisation courante du web »

J'ai également créé une collection Utilisation courante du web qui apporte un ensemble d'extensions utiles au quotidien pour la navigation web. On peut considérer cette collection comme un « kit de base » permettant une utilisation confortable du web.

mardi 14 octobre 2008

Outils collaboratifs à découvrir

Coccinella

Coccinella : « Coccinella is a free and open-source cross-platform communication tool with a built-in whiteboard for improved collaboration with other people. «

Pour faire simple, Coccinella peut être décrit comme étant une fusion d'IRC, de Paint et de Skype Voice, le tout sur XMPP. Si les outils sont basiques (on a vu bien mieux ailleurs, par exemple, en terme de tableau blanc), l'intérêt est l'interopérabilité. L'utilisation de XMPP (est supposé) permet(tre) de ne pas lier l'activité à un outil précis, et donc de laisser la liberté à chacun de travailler dans ses propres modalités. Ça, c'est la théorie car en pratique le couplage est loin d'être évident. Je suis particulièrement sensible à cet aspect de découplage de l'activité par rapport aux outils, car cela permet de résoudre beaucoup de problèmes d'utilisation.

DocSynch

DocSynch : « DocSynch is a collaborative editing system on top of IRC. By transforming single-user editors into multi-user editors, it allows to remotely edit text documents together. Implementations are targeted as extensions to many popular text editors and IDEs. A working version is available for jEdit. »

DocSynch a une approche assez louche pour faire circuler les informations : il s'appuie sur IRC. En pratique, chaque fichier est un canal de discussion sur lequel les éditeurs (agnostiques, car DocSynch est plus un framework qu'un outil) des utilisateurs vont faire circuler les données. Naturellement, à côté des canaux sont prévus pour les discussions entre humains. Le résultat est un système d'édition collaborative ouvert, mais qui demande du boulot pour être mis en place.

Gobby

Gobby : « Gobby is a free collaborative editor supporting multiple documents in one session and a multi-user chat. It runs on Microsoft Windows, Mac OS X, Linux and other Unix-like platforms. »

Il n'y a pas grand chose à dire sur Gobby : il s'agit d'un éditeur de texte collaboratif, avec un chat. Pas de possibilité d'interagir avec d'autres outils, de faire simplement des améliorations, etc. En contre-partie, il est directement utilisable.