PROJET AUTOBLOG


Pixellibre.net

Site original : Pixellibre.net
⇐ retour index

Nouvelle faille sous Android 5.x

jeudi 17 septembre 2015 à 10:04

On se dit parfois qu’une faille de sécurité, c’est compliqué à comprendre, qu’il faut être un expert et comprendre l’art du code pour l’exploiter… ce n’est pas toujours vrai.

Une nouvelle faille de sécurité (CVE-2015-3860) vient d’être publiée suite aux recherches de l’Université du Texas à Austin, elle permet de contourner l’écran de verrouillage d’android, dans certaines conditions.

Première condition : il faut utiliser un écran de verrouillage par mot de passe pour pouvoir exploiter cette faille, les utilisateurs qui déverrouillent leurs terminaux via un schéma, une image ou autre ne sont pas concernés.

Ensuite, il faut un terminal Android qui n’est pas encore en Android 5.1.1 (Build LMY48M), ce qui est le cas de très nombreux terminaux mais pas des Nexus, si vous avez installé la mise à jour de sécurité fournie par Google récemment.

La faille est liée à la taille du mot de passe saisi, en saisissant un mot de passe suffisamment long et lorsque l’application caméra est démarrée, il est possible de faire « planter » l’écran de verrouillage de l’appareil et ainsi, de tomber sur la page d’accueil du terminal.

A partir de là, tout est possible : récupérer des données, démarrer des applications, activer les accès développeur pour prendre le contrôle total du terminal… une fois un terminal déverrouillé, vous vous en doutez, tout devient possible.

Pour ne pas être exposé à cette faille, la solution est simple : n’utilisez pas de mot de passe, changez de type d’écran de déverrouillage.

Il est aussi possible de mettre à jour son terminal, à la condition de disposer de ladite mise à jour, ce qui n’est pas forcément le cas selon le modèle de votre terminal et selon votre opérateur, votre pays…

Enfin, soyez conscients que même en changeant de type d’écran de déverrouillage, il existe encore au moins une faille : vous, si vous utilisez des schémas connus, simples comme des lettres de l’alphabet par exemple.

Source : http://pixellibre.net/2015/09/nouvelle-faille-sous-android-5-x/


Snapchat, saison 42 épisode 1337 : revoir les snaps ?!

mercredi 16 septembre 2015 à 10:12

Aujourd’hui, Snapchat a annoncé qu’il serait bientôt possible de payer pour revoir les messages reçus à travers l’application.

Dans un article que j’ai pu consulter sur Le Monde, la firme explique que de nombreux utilisateurs sont parfois frustrés de ne pouvoir revoir un « snap ». Actuellement, il est possible d’en revoir un seul par jour et ce, gratuitement.

La firme permettra, uniquement aux Etats Unis à l’heure où j’écris ces lignes, d’acheter des rediffusions supplémentaires, moyennant 0.99 $ pour trois rediffusions. Il ne sera pas possible de revoir plus d’une fois un snap, mais il sera possible, pour 0.99 $, d’en revoir trois.

C’est là que je m’interroge : Snapchat n’est-il pas un outil qui permettait de ne visionner qu’une seule fois un contenu, qui est réputé comme supprimé l’instant d’après ?

Les conditions générales liées à la protection des données personnelles sont « claires » sur le sujet :

« Delete is our default. That means that most messages sent through our Services will be automatically deleted once they have been viewed or have expired. But—and this is important—you should understand that users who see your messages can always save them, either by taking a screenshot or by using some other image-capture technology (whether that be software or even something as old-fashioned as a camera to take a photo of your device’s screen). If we’re able to detect that a recipient took a screenshot of a message you sent, we’ll try to notify you. But the same common sense that applies to the Internet at large applies to Snapchat as well: Don’t send messages that you wouldn’t want someone to save or share.

In most cases, once we detect that all recipients have viewed a message, we automatically delete it from our servers. »

Que l’on pourrait traduire ainsi :

L’effacement des données, c’est « par défaut ». Ce qui signifie que la plupart des messages envoyés via nos services seront automatiquement effacés une fois visionnés ou expirés. Mais, et c’est un point important, vous devez garder à l’esprit qu’un utilisateur visionnant votre message peut toujours le sauvegarder, en faisant une capture d’écran ou en utilisant un autre système de captation d’image (que ce soit un programme ou un vieil appareil pour prendre en photo votre écran). Si nous arrivons à détecter qu’une copie de votre message a été réalisée par le destinataire, nous tenterons de vous le faire savoir. Soyez conscients que la logique s’applique à Internet peut également s’appliquer à Snapchat : n’envoyez pas un message si vous ne voulez pas qu’il soit partagé ou sauvé.

Dans la plupart des cas, une fois que nous savons que les utilisateurs ont consulté un message, nous l’effaçons automatiquement de nos serveurs.

Je reste donc perplexe face à cette nouvelle offre commerciale. Si les messages Snapchat sont réellement supprimés, comment est-il possible de les visionner à nouveau ?

En 2014, Les Inrocks expliquaient qu’une image Snapchat n’était pas réellement supprimée : « Pour effacer un snap, Snapchat change seulement son extension en “.nomedia”. Résultat : il n’est plus référencé dans votre smartphone, mais il n’en est pas vraiment supprimé. »

En partant de ce point, il est possible d’imaginer que l’image reste dans le téléphone et qu’en achetant un « droit de visionnage supplémentaire », on récupère l’image contenue dans le téléphone. Ce qui me pose problème également, puisque le credo de Snapchat, c’est l’éphémère, ils misent toute leur communication et leur sécurité sur ce point.

On peut également imaginer que l’image vient des serveurs de Snapchat… et si c’est ainsi que cela fonctionne, c’est que l’image n’est pas supprimée tout court.

Bref, comme dans de très nombreuses situations, ici, tout est une histoire de confiance : si vous avez assez confiance en Snapchat, ne changez rien, soyez simplement conscient qu’un Snap n’est pas réellement supprimé, cette nouvelle offre commerciale en est la preuve. Personellement, je ne lui accorde pas ma confiance.

Source : http://pixellibre.net/2015/09/snapchat-saison-42-episode-1337-revoir-les-snaps/


[MAJ] Bloquer les sites pornos par défaut, bonne ou mauvaise idée ?

mardi 15 septembre 2015 à 11:59

Mise à jour du 15 septembre 2015 :

Dans une réponse écrite,  le gouvernement envoie aux oubliettes la proposition du député Candelier, qui souhaitait instaurer un code d’accès aux sites pornographiques ou, à défaut, bloquer les sites pornographiques.

Mme la « secrétaire d’État, auprès de la ministre des affaires sociales, de la santé et des droits des femmes, chargée de la famille, de l’enfance, des personnes âgées et de l’autonomie » explique que la solution du code ou du blocage ne sont pas bonnes car extrêmement compliquées à mettre en application et ce, sans débordements.

Elle cite d’ailleurs les Royaume-Uni, également cité par le député Candelier, pour expliquer la difficulté que rencontre le gouvernement à instaurer un blocage sans dommages collatéraux. Au blocage, elle répondra que l’éducation est préférable, que la pédagogie est importante et qu’un bon contrôle parental, qui laisse le pouvoir à l’utilisateur, est de loin la meilleure solution.


Article original du 15 juillet 2015  :

C’est en résumé la question que nous pouvons nous poser, suite à celle posée par M. Jean-Jacques Candelier, député GDR.

Dans sa question écrite à « Mme la secrétaire d’État, auprès de la ministre des affaires sociales, de la santé et des droits des femmes, chargée de la famille, de l’enfance, des personnes âgées et de l’autonomie », le député souhaite savoir ce que le gouvernement compte faire pour lutter contre le « fléau » qu’est la pornographie, dont la diffusion est facilitée par Internet.

Dans sa question, le député suggère deux pistes :

  1. Proposer un code d’accès aux sites pornographiques
  2. Les bloquer « par défaut, comme l’envisage David Cameron au Royaume-Uni. »

Observons les modalités techniques des deux solutions ainsi que les pistes possibles, sans oublier les implications que ces choix entraineraient.

Première réflexion : le code d’accès.

La première piste parle donc de code d’accès, en forçant les sites pornographiques soit à s’adapter et rajouter une phase d’authentification, soit à s’unir pour proposer système d’authentification commun à l’ensemble des sites.

Sachant que des sites pornographiques, sur Internet, il en existe une pléthore de connus et encore plus de peu ou pas connus, l’authentification commune me semble très complexe, techniquement infaisable de surcroit. Je vois mal des entreprises différentes partager un socle commun d’authentification.

La seconde option de ce premier choix consiste à vous identifier chez votre F.A.I : il sait que vous tentez d’accéder à un site pornographique et vous demande de vous identifier en amont, avant l’accès au site.

Cela sous-entend la création d’une liste des sites où il faut s’authentifier, liste qu’il faudra maintenir à jour évidemment. Cela sous-entend également la création de multiples identifiants (un par adulte ou par connexion) gérés par les F.A.I. Une telle solution serait difficile à mettre en place et je ne suis pas certain qu’elle soit financièrement viable. D’autant plus qu’avec cette solution, un risque « d’engorgement » des requêtes sur ces sites pourrait apparaître.

Pour finir, cette authentification serait aisément contournable puisque des sites pornographiques, il en existe des centaines de milliers et que de nouveaux apparaissent chaque jour. Ce n’est pas une nouvelle, le secteur du divertissement pour adultes est, sans mauvais jeux de mots, « toujours en mouvement ».

Seconde réflexion : le blocage par défaut.

Tout d’abord, je ne suis pas certain que suivre les méthodes de David Cameron soit la meilleure idée du siècle, tant il s’attaque à Internet en ce moment. D’autant plus que le filtrage instauré au Royaume-Uni ne fait pas l’unanimité et a provoqué un certain nombre de dommages collatéraux depuis son entrée en vigueur.

Bloquer par défaut les sites pornographiques, c’est aussi pousser à l’autocensure : pour accéder aux contenus pornographiques il faudra désactiver le blocage. Filtrer la pornographie revient à déclarer que c’est mal ou qu’elle peut être mauvaise, ce qui sous-entend que ceux qui consultent ces sites s’adonnent à de mauvaises activités. Beaucoup préfèreront donc laisser ce blocage activé, donc s’autocensureront. J’en ai déjà parlé, en 2013.

Cette idée est encore plus mauvaise que la première et les dommages collatéraux potentiellement importants : en bloquant « par défaut » une catégorie de sites, on ouvre une boite de pandore qu’il faut mieux laisser fermée.

Du blocage de la pornographie, on arrivera sur celui du terrorisme, puis les sites parlant d’anorexie et ainsi de suite, exemple avec la liste des sites bloqués par défaut, de l’autre côté de la manche :

Mettre en place cette mesure, c’est poser une nouvelle brique sur le mur du blocage et de la censure… et je ne suis pas certain que cela soit une excellente idée.

Il ne nous reste plus qu’à attendre la réponse à la question du député.

Source : http://pixellibre.net/2015/09/bloquer-sites-pornos-par-defaut-bonne-mauvaise-idee-jean-jacques-candelier/


[En bref] Loi renseignement et surveillance internationale : pas tous égaux.

mardi 15 septembre 2015 à 11:21

L’article L. 854-1 – III de la proposition de loi relative aux mesures de surveillance des communications électroniques internationalesje sais, c’est très pompeux comme entrée en matière – est ainsi rédigé :

« Les personnes qui exercent en France un mandat ou une profession mentionné à l’article L. 821-7 ne peuvent faire l’objet d’une surveillance individuelle de leurs communications à raison de l’exercice du mandat ou de la profession concernée. »

Il est bon de se rappeler l’article L. 821-7, puisque le L. 854-1 – III en fait mention :

« Les techniques de recueil du renseignement mentionnées au titre V du présent livre ne peuvent être mises en œuvre à l’encontre d’un magistrat, d’un avocat, d’un parlementaire ou d’un journaliste ou concerner leurs véhicules, bureaux ou domiciles que sur autorisation motivée du Premier ministre prise après avis de la commission réunie.»

En décodé , l’article dont il est question dans mon billet dit donc la chose suivante :

les magistrats, avocats, parlementaires ou journalistes ne peuvent être surveillés que si le premier ministre l’autorise et que ladite autorisation est dite « motivée », argumentée si vous préférez. Il lui faudra également l’avis de la Commission Nationale du Contrôle des Techniques du Renseignement (CNCTR), que j’ai surnommé la « commission du oui » pour anticiper l’avenir…

Condition importante : il faut que ces professions « protégées » soient exercées en France. Dans le projet de loi relatif à la surveillance des communications électroniques internationales, ce n’est pas le cas.

Pour faire plus simple et moins pompeux : pour surveiller des magistrats, des avocats, des parlementaires ou des journalistes à l’étranger, servez-vous, c’est open bar.

La vision est assez binaire, j’en conviens, mais tout ce qui n’est pas inscrit dans la loi est dans le champ du possible.

Seulement…

Bien, ce point-là me dérange profondément. Non pas que les autres ne me dérangent pas, loin de là, très loin même, rassurez-vous.

Il me dérange car il crée une rupture d’égalité pour des personnes qui exercent le même métier, qui ont besoin des mêmes protections, qui ont les mêmes exigences que leurs confrères du sol français.

Dans ces métiers, il existe de très nombreuses connexions internationales, certains avocats de l’étranger gèrent des dossiers pour des clients français, certains journalistes étrangers communiquent avec d’autres français et ainsi de suite…

Pourtant, le projet de loi ne prévoit pas de protéger ces professions si elles sont exercées hors du territoire français.

Une nouvelle fois, j’ai honte de cette loi qui fait honte à notre pays et aux valeurs que nous sommes censés défendre plus que tout : liberté, égalité, fraternité.

Comment pouvons-nous encore avoir l’égalité comme devise lorsque la loi s’efforce de rompre ce qu’il reste de cette valeur déjà bien massacrée ?

Comment peut-on se faire avoir à ce point ?

Ces protections pour quelques métiers sont insuffisantes et inefficaces :

Pour faire plus simple : si, sur une autoroute, j’ai l’obligation de laisser passer toutes les conducteurs qui portent un chapeau vert, il faut que j’observe chaque conducteur, y compris ceux qui portent ce chapeau « sésame ».

Pour ne pas surveiller les professions protégées, il faut que je tombe dessus pour dire « ah, non, lui ce n’est pas possible, c’est Marc Rees, de Next INpact, c’est un journaliste, on ne peut pas le surveiller, arrêtez tous, les mecs ! », donc, l’espace d’un instant déjà bien trop long, je l’ai surveillé.

Vous voyez le problème je pense, non ?

Quel dommage que les rédacteurs de la « rustine » suite à la toute petite claque du conseil constitutionnel ne le voient pas….

Source : http://feedproxy.google.com/~r/Pixellibre/~3/1T-K0wYlCVU/


Lettre ouverte à Bernard Cazeneuve, M. le ministre de l’Intérieur.

mardi 8 septembre 2015 à 13:46

Cher M. Cazeneuve, dans votre discours de clôture du colloque des Attachés de Sécurité Intérieure, vous avez tenu les propos suivants :

« Tous ceux qui parlent fort et d’ailleurs généralement de façon incongrue, comme s’il y avait une corrélation entre le nombre de décibels qu’on utilise et l’incongruité des propos que l’on tient sur ces sujets, ont été contre toutes les décisions législatives que nous avons arrêtées : contre le blocage administratif des sites, contre l’entreprise individuelle terroriste, contre la loi Renseignement, contre l’interdiction administrative de sortie du territoire… Comme si toute la stratégie consistait à rendre impossible le travail des services, par des mesures législatives opportunes, pour mieux constater la difficulté dans laquelle les services se trouvent d’accomplir leurs missions et mieux pouvoir ensuite théoriser qu’il n’y a qu’une seule et unique solution, qui consiste à organiser la suspicion autour des musulmans de France de telle sorte à pouvoir les stigmatiser, les accuser alors que l’immense majorité d’entre eux, sur le territoire national, pratiquent leur religion dans le respect profond des principes et des valeurs de la République. »

Afin de mettre au clair un certain nombre de points qui me semblent importants, je me permets de vous écrire cette lettre et j’invite chaque internaute qui lira cette lettre et partagera mes idées à vous la faire suivre également.

Tout d’abord, j’imagine que vous visez la Quadrature du Net lorsque vous parlez de « ceux qui parlent fort et d’ailleurs généralement de façon incongrue ». Permettez-moi de vous signaler que cette remarque est au mieux inexacte et au pire, qu’elle est la manifestation de la plus mauvaise foi possible.

Prenons par exemple les débats de la loi sur le renseignement, puisque vous y faites vous-même référence : la Quadrature du Net n’était pas seule mais suivie par de nombreuses organisations, des avocats, des juristes, des ONG connues et reconnues pour leurs compétences et leur travail depuis de nombreuses années et ce dans le monde entier.

Lorsque vous vous exprimez ainsi, vous ne « tapez pas » uniquement sur la Quadrature, vous méprisez également le Syndicats de Magistrats, l’ordre des avocats, Reporters Sans Frontières, la Fédération Internationale de la ligue des Droits de l’Homme et bien d’autres encore, vos propos sont indignes d’un ministre, indignes d’une démocratie, indignes d’une république.

Est-ce là l’estime que vous portez à ces associations, à ce contre-pouvoir fondamental dans toute démocratie ?

Doit-on considérer que vous aimeriez qu’il n’y ait aucune critique, aucune inquiétude, aucune remarque ?

Monsieur le ministre, un pays dans lequel la contestation n’existe pas n’est pas une démocratie, mais la pire des dictatures.

Doit-on considérer que ces propos sont dignes d’un tyran, dérangé par des citoyens et des associations inquiétées par un certain nombre de lois qui touchent aux libertés individuelles ?

Vous déclarez ensuite « comme s’il y avait une corrélation entre le nombre de décibels qu’on utilise et l’incongruité des propos que l’on tient sur ces sujets ».

Monsieur le ministre, entre nous, qui espérez-vous berner ?

Votre déclaration suggère que nos propos sont déplacés et que c’est pour cette raison que nous hurlons. Vous jouez avec l’imaginaire collectif qui imagine alors que quelqu’un qui hurle est quelqu’un qui se trompe ou qui utilise l’agressivité comme arme pour asseoir des propos.

Non, monsieur le ministre. Si certains finissent par perdre patience, c’est simplement parce qu’ils sont humains.

Comment ne pas perdre patience face à un ministre qui témoigne aussi peu de respect à des organisations citoyennes ?

Comment ne pas perdre patience face à un ministre qui refuse tout dialogue constructif, tout échange, qui rejette toute idée contraire à sa propre vision des choses ?

A nouveau, pensez-vous que votre posture soit digne d’un ministre ? Je comprends votre désir de faire partie des « grands » de la cinquième république en ayant d’excellents discours, mais je suis au regret de vous dire que cela n’arrivera pas.

La maîtrise du verbe ne fait pas tout, le mépris que vous nous témoignez finira par avoir raison du respect que nous vous témoignons. Pour autant, rassurez-vous, jamais nous n’irons jusqu’à tenir vos propos.

Ce que nous souhaitons et qui semble vous déplaire au plus haut point, c’est débattre. Simplement débattre et avancer, ce que vous refusez de faire.

Si parfois, nous finissons par perdre patience, c’est parce que votre comportement est tout simplement inadmissible, que vous refusez tout dialogue, que vous jouez avec le verbe.

Je ne suis d’ailleurs pas certain que nous reléguer au rôle de «ceux qui parlent fort et d’ailleurs généralement de façon incongrue » soit une réelle invitation à apaiser le « débat ».

Monsieur le ministre de l’Intérieur, nous ne sommes pas vos ennemis, il serait peut-être temps de le comprendre.

Nous sommes des citoyens, des informaticiens, des « civils », des juristes, des avocats, des charpentiers, des plombiers, des joueurs, des techniciens, des conseillers, des vendeurs, des commerciaux, nous sommes la société civile et sommes simplement inquiets de la tournure que vous faites prendre à la loi.

Nous ne sommes pas vos ennemis, ni formellement opposés à toutes ces lois dont vous parlez, nous souhaitons simplement qu’elles soient bien rédigées, équilibrées, qu’elles conjuguent liberté et sécurité que vous vous efforcez à opposer. Nous pensons qu’une autre solution est possible, nous pensons qu’instaurer des « boites noires » extrêmement critiquées par « ceux qui savent » ne sont pas la bonne solution, nous pensons qu’un juste milieu existe et souhaitons simplement trouver ce juste milieu.

En guise de réponse, nous obtenons de vous des moqueries, des critiques, nous n’obtenons aucun débat constructif et, monsieur le ministre, je trouve ça extrêmement dommage, tant pour vous que pour votre carrière, que pour nous, la société civile, la démocratie en souffre et vous en êtes au moins partiellement responsable.

C’est par vos attitudes et votre comportement que beaucoup baissent les bras, que « le peuple » s’intéresse de moins en moins à la politique, qu’il vote de moins en moins.

A quoi bon puisque vous n’écoutez rien, ni personne ?

Face à votre déclaration, je m’interroge. Votre parcours professionnel dénote une sensibilité au droit et une intelligence certaine, vous sortez de l’Institut d’études politiques de Bordeaux, êtes ancien juriste, ancien conseiller de secrétaires d’Etat, avocat au barreau de Cherbourg en 2003, vous êtes une personne que j’imagine intelligente.

C’est encore plus effrayant, en fait. J’aurais aimé vous imaginer sot, dénué de toute réflexion, j’aurais pu vous pardonner vos écarts, vos discours anxiogènes, vos critiques infondées… mais non. Vous êtes intelligent, vous êtes pleinement conscient de ce que vous déclarez, cela en devient presque une circonstance aggravante, tant d’intelligence pour un si piètre résultat, c’est tout de même dommage.

Revenons à l’essentiel, monsieur le ministre : nous ne sommes pas vos ennemis, ni fermement opposés au fond des textes dont vous parlez, nous sommes opposés à la forme de ces textes, au fait qu’ils soient votés dans l’urgence, au fait qu’ils souffrent de failles et de lacunes, notamment lorsqu’il s’agit de protection des libertés individuelles.

Enfin, monsieur, parlons brièvement de ceci :

« qui consiste à organiser la suspicion autour des musulmans de France de telle sorte à pouvoir les stigmatiser, les accuser alors que l’immense majorité d’entre eux, sur le territoire national, pratiquent leur religion dans le respect profond des principes et des valeurs de la République. »

Seriez-vous en train de sous-entendre que, si nous sommes contre vos textes, alors nous sommes racistes et vouons une profonde haine autour des musulmans de France ?

D’ailleurs, mes excuses, mais comment ces musulmans sont arrivés ici, dans votre discours ? Etes-vous en train de vous servir de ces musulmans comme d’un faux prétexte, un « bouclier » ?

J’ose espérer que ce n’est pas un argument fallacieux pour faire taire tout débat et jeter l’opprobre sur quiconque oserait à nouveau critiquer le moindre texte estampillé « made in Bernard Cazeneuve » ? Ce n’est pas le cas, n’est-ce pas ?

Je reconnais cependant là votre style : faire d’une chose éminemment complexe un débat absolument binaire où d’un côté il y a les gentils dont vous faires partie et, de l’autre, les méchants.

C’est la même ligne de défense que lors des débats sur la loi sur le renseignement.

Monsieur Cazeneuve, la vie n’est pas binaire, elle est composée d’une multitude d’éléments qui font que vous ne pouvez ni ne devez adopter de tels comportements.

Pensez-vous que nous faire passer pour des racistes soit une chose saine ? Utile au débat ?

Finalement, j’ai l’impression que la seule personne à parler fort et de façon incongrue, ici, c’est vous.

Vous parlez tellement de nous, tellement souvent, vous nous critiquez tellement souvent que j’en viens à me demander si, secrètement, vous ne nous aimez pas.

Nous citer aussi souvent, c’est flatteur. Je vous remercie donc de penser aussi souvent à nous.

En revanche, la prochaine fois, ayez la décence de ne plus tenir de tels propos en parlant de la société civile, elle ne demande qu’à vous aider, ne la méprisez pas.

En vous remerciant du temps que vous ne consacrerez certainement pas à lire cette lettre ouverte.

Source : http://pixellibre.net/2015/09/lettre-ouverte-bernard-cazeneuve-ministre-linterieur/