Newsletter 6/x

On commence par du politique, Mounir Mahjoubi n’est plus secrétaire d’état au Numérique. Quoiqu’on pense de lui, on peut dire qu’il aura été assez ouvert sur beaucoup de questions. Quant à sa compétence il y aurait beaucoup à revoir, mais dans le jeu politique c’est toujours difficile d’en avoir, de les appliquer ou autre.On attend maintenant le nom de son successeur, en espérant qu’il soit au moins aussi bon que lui, sinon aussi pire ça ira. Le nom de Paula Forteza circulerait apparemment.

On en parlait cette semaine, et ceci est un rappel pour ceux qui l’utilisent déjà, mais Firefox a une fonction de coffre à mot de passe. Pour ce qui est de son efficacité par rapport à un keepass c’est pas la même chose bien sur, mais pour ceux qui seraient moins parano que les autres, c’est une fonction à utiliser qu’elle est bien. Vous avez en fin d’article, d’autres tutos pour configurer votre firefox.

Pour les amoureux de Pomme comme notre ancien président préféré vous avez ici un petit article rappelant que non, les produits Apple ne sont pas invulnérables et qu’il faut faire gaffe comme avec tous vos appareils. Mais si vous trainez ici c’est que vous n’avez rien qui appartient à cette firme n’est ce pas ?

Pour les paranos normaux un petit article de archimag (revue que je recommande, c’est pas que pour les bibliothécaires et archivistes, faut pas croire le métier a beaucoup changé) qui passe en revue 5 petits trucs pour savoir ce que sait Google de nous, et en ilen vous avez pas mal d’autres astuces. Mais je vous laisse naviguer tranquillement.

Pour les bons gros parano que nous sommes vous avez ici une introduction pour pouvoir péter votre réseau wifi et voir si vous êtes bien protégé. Bon c’est du classique, pas forcément super bien expliqué, et je conseille plutôt de commencer direct avec Kali plutôt que leurs méthodes ou on fait plusieurs trucs à la fois. Mais au moins c’est une méthode différente à tester.

 

A la semaine prochaine.

Newsletter 5/x

Comme d’habitude je ne reviendrai pas sur les news qui ont réellement fait le tour du monde, du type l’article 13 au parlement européen.

Parce que si vous suivez l’actualité en général vous en mangez déjà pas mal, et si vous me lisez vous avez déjà vu ça. Je me concentre sur des choses plus intéressantes pour moi et qui ne font pas vraiment la Une.

Bon vous avez quand même entendu parler de ça, du moins je l’espère. Il s’agit donc d’une grosse attaque visant du Asus, apparemment ciblée mais qui a pu infecter pas mal d’appareils. Donc mises à jour de rigueur. L’enquête est apparemment en cours, mais ce qu’on c’est c’est que c’est sophistiqué et avec des vieilles recettes (c’est comme ça que ça marche le mieux en même temps). Ici aussi d’ailleurs.

Celui là non plus vous avez pas pu le rater, Facebook qui laisse en clair quelques mots de passes, de l’ordre de la centaine de million. J’en rajoute pas plus, vous lisez ça ici.

Ici un petit podcast pour ceux intéressés par la gestion de crise, ils trouveront plein d’informations en écoutant ce podcast, souvent riche, et toujours intéressant.

Encore une fois on retrouve des génies chez nos politiciens. Qui veulent obliger les internautes à s’identifier avec leurs papiers pour poster sur le web. Donc en gros on présente son passeport pour ne plus être anonyme. Au delà de la gestion calamiteuse que ça peut entrainer, je n’ai pas envie de donner mes papiers à un tiers comme ça, qu’est ce qui prouve que c’est bien nous qui fournissons les papiers ? Bref, encore une idée de merde quoi.

Je vous en avais déjà parlé il me semble. On retrouve un article sur Gaspard Koenig, un philosophe fondateur de think tank qui milite pour la possibilité de vendre nos données, en bref d’en faire un bien comme les autres. Pour lui elles sont déjà à vendre alors autant aller plus loin. J’ai déjà mon avis là dessus et je préfère vous laissez vous faire le votre.

Ici on parle du futur, et pas de n’importe lequel : celui de la cyberguerre. Comme toujours avec Usbek & Rica on est dans le temps long. Mais ça permet de voir et de s’intéresser aux différents développement. Pour résumer, la guerre va changer et on aura plus à faire à des opérations de manipulations, d’extractions de données, chantages ou hacks violents que des guerres conventionnelles comme on en connait aujourd’hui.Je recommande fortement.

Encore un rappel sur les données personnelles mais ici entre l’infographie, le texte et la vidéo, toujours bon de remettre ses connaissances en place.

Pour prendre un peu de recul d’avec l’écran vous pouvez vous acheter ce bouquin résumé ici, qui dresse un beau panorama de la protection des données à l’international et tente de prévoir comment des règlements comme le RGPD, le privacy Shield ou encore des pays comme l’Estonie (renseignez vous sur eux ça sera pas du temps perdu je vous le dis) vont évoluer.

Sous le nouveau terme de consent Management Platform y a plein de choses à savoir. Bon pour moi, je ne sais pas si ce sera vraiment un terme buzzword ou pas, mais dans le doute je vous transmet cet article qui revient sur les choses à faire et ne pas faire avec ces plateformes, qui vont apparemment se développer. A suivre donc.

Une interview d’un ancien de la DGSE qui revient sur l’état du numérique et du renseignement de façon conjointe. Rien de très nouveau pour ceux qui suivent l’actualité, mais c’est toujours intéressant. Et on peut voir, même si c’est surement une pub déguisée pour son entreprise, qu’il reste confiant et qu’avec du boulot on peut quand même sortir son épingle du jeu. Même si on est loin des américains, chinois et autres Israéliens. Et je parle pas des russes.

On salut également la sortie d’un protocole commun à l’UE en matière de cybersécurité, en espérant qu’il soit appliqué consciencieusement pour que nous devenions les phares du monde en matière de sécurité, et comme dit plus haut, y a du boulot.

Enfin, un retour sur les gestionnaires de mot de passe et comment en choisir un bon, vous avez plus ou moins toutes les caractéristiques essentielles dans cet article, mais n’oubliez pas qu’il faut qu’il soit à jour, donc un vieux tromblon c’est peut être bien et beau mais s’il est bourré de faille c’est moyen.Vous avez deux exemples en fin d’article, à vous de juger et d’en discuter autour de vous.

NEWSLETTER 4/x

Juste pour info, une mise à jour pour TAILS et TOR est disponible. Pour ceux qui utilisent ce genre d’outils, les màj sont indispensable donc je me permet de vous en faire part ici.

Ça faisait longtemps, on a donc droit à un super leak de 2,2 millions de mails et de mots de passe français. Il s’agit vraisemblablement d’une compilation sans qu’on identifie vraiment la faille. Mais c’est un bon rappel pour se dire de regarder régulièrement si vos identifiants ont fuité avec notamment have I been pwned.

Après le bug bounty lancé par la Suisse on s’aperçoit ( oh surprise ! ) que leur système de vote n’est pas sur et contient des failles critiques. Même si la Suisse était déjà prévenue sur certaines failles, on voit de plus en plus que le système de vote électronique ou en ligne n’est pour l’instant, et à mon avis ne le sera jamais, assez sur pour être déployé à grande échelle pour des élections importantes.

Faites des sauvegardes ! Maintenant, c’est un ordre. Myspace, sans backup a perdu 12 ans de musique connement. Alors au lieu de faire confiance à un service qui peut merder, ou simplement disparaitre sauvegardez vous même, sur un NAS, sur un cloud, sur un disque dur, bref le plus possible pour ne pas vous retrouver avec plus rien du tout. Vraiment faites le.

Et mettez à jour, parce qu’on a pu se rendre compte que les attaques sur smartphones avaient doublé en 2018. Les attaquants changent de cible, ils s’adaptent, à vous d’en faire autant. Et lorsque vous voulez installer quelque chose qui n’est pas dans un store officiel, prenez conscience que c’est peut être dangereux pour vous données, donc à vous de voir, je ne vous jugerai pas. :v

Si vous n’avez jamais entendu parlé de Mirai, je vous conseille de vous mettre à la page, c’est un virus assez sympa qui a la base visait les serveur mais qui a été remanié pour viser plutôt les objets connectés, c’est une des premières initiatives de ce genre qu’on peut étudier dans la presse publique (il en existe d’autre) même si, il faut le dire et le répéter la plupart des objets connectés sont vulnérables et seront la porte d’entrée pour beaucoup de gredins et de voyous. :v

Retour sur l’identité numérique et ses traces sur le web avec ce résumé d’une étude qui semble très intéressante, bien que longue, et qui a remporté le prix CNIL-INRIA. Ce qui en ressort c’est que l’identification est relativement facile au vu des traces que nous laissons lors de notre navigation et les recommandations sont principalement de virer Javascript et d’aller vers une standardisation du HTML et autres polices ou emoji. En très très gros.

Je vous en avais déjà parlé ici, mais on a droit ici à une belle critique du livre The Age of Surveillance Capitalism. The Fight for a Human Future at the New Frontier of Power de Shoshana Zuboff. Je ne vous en dis pas plus, l’article est long, parfois dense, mais à mon sens indispensable, et même si je n’ai pas encore lu ce livre il est en haut dans ma pile des « à lire quand j’aurais le courage ». Ne vous attendez pas à un éloge complet, l’article est parfois bien critique et c’est salutaire.

Il me semble vous avoir déjà donné cet article mais dans le doute je préfère me répéter. Il est vraiment à lire et revient, encore une fois sur le livre cité plus haut, mais aussi sur des concepts émergeant comme FOMO (Fear Of Missing Out), en bref c’est un bon résumé de ce dont nous traitons ici et il devrait sinon vous ravir, au moins vous faire un rappel de plein de choses intéressantes. A noter qu’il a été repris dans son intégralité par le site info chrétienne, donc même si les chrétiens commencent à se soucier de ces problématique c’est que la parti est en passe d’être gagnée, enfin euh… presque.

Un article payant d’un média que je ne connais pas, mais le titre et les lignes disponibles m’ont mis l’eau à la bouche. En gros les USA s’énervent que la DGSE n’attribue pas certaines attaques qui selon les US émanent de la Russie. Je rappelle donc une phrase que j’aime beaucoup « en matière de renseignement, demandez vous toujours pourquoi l’information est rendue publique. » Ici dans ce cas c’est l’attribution d’attaques à la Russie. Sachant que l’attribution d’une attaque peut être parfois très difficile. A vous de fouiller et de vous faire votre opinion.

Encore une fois un retour sur une information déjà passée ici mais qui connait du développement. Les militaires russes ont lancé un réseau, en quelque sorte parallèle à Internet. Ce qui est une des premières pierres de l’établissement d’un internet souverain russe alors que cette question est encore débattue au sein du Parlement russe. Donc on peut se douter que comme d’habitude, Poutine continue de faire ce qu’il veut sans forcément de son avis à quiconque.

Vous l’avez surement vu passé mais je vous en parle quand même. Il s’agit de l’amende record pour Google, on parle de 1,49 milliards d’euro, c’est pas rien, même pour eux. Après il faut voir que cette position dominante qui est reproché ici avait déjà été critiquée en 2016 et avait apparemment cessée. Donc on peut peut être voir ça plus comme une intimidation et une préparation aux taxes qui se construisent sur les grands acteurs du numérique que comme une véritable amende.

Avec un peu de méfiance je vous fais passer cet article qui résume assez bien ce qu’est la cybersécurité, avec des sources pas mal. Très axé marketing et bullshit management, mais ça peut aider à comprendre comment ces personnes (marketing et management) peuvent voir ça. Il y a des approximations, parfois des micro erreurs. Mais je pense que c’est nécessaire quand on vulgarise un peu, et ce sur tous les sujets. Si ça peut vous permettre de mieux discuter avec les membres de votre entreprise, pour ceux axé cybersécurité c’est toujours gagnant.

Encore une fois la sensibilisation est à l’honneur, mais cette fois-ci c’est un appel à l’aide. On s’est aperçu que malgré les efforts de sensibilisation les mots de passes, autant chez les utilisateurs que chez les informaticiens chevronnés restaient faible, principalement parce que les conditions de mise en place de mot de passe fort peuvent toujours être contournées comme nous le rappelle l’article. Il y a donc peut être une place à prendre sur ce créneau. Si des intéressés pour lancer quelque chose je suis disponible par MP, mail ou commentaire. :v

En complément à tout ça vous avez la sortie de Devenir gardien de son Internet ainsi que d’autres initiatives listées dans le lien. Ce qui peut permettre à ceux qui font de la sensibilisation de trouver plein de pistes intéressantes pour la formation, mais aussi pour vous faire des rappels ou pour former vos enfants correctement à la navigation et globalement la vie connectée. Je le répète mais oui c’est nécessaire. Digital native is a lie. :v

Et pour aller avec ça vous avez un petit retour sur le rapport de Villani, qui plaide pour une ouverture des boites noires des algorithmes. J’en avais déjà parlé ici (répéter c’est pédagoger). Donc on peut dire que si on continue d’en parler c’est qu’on est sur la bonne voie. En tout cas on croise les doigts.

Et pour se détendre deux émission à écouter sur France culture : qui a trahi le web ? et une autre sur l’enseignement de la culture numérique.Je n’ai pas pu y accéder, apparemment le contenu est corrompu, mais je pense les écouter plus tard. Dans tous les cas enjoy.

Newsletter 3/x

Mais ça dort ici un peu.
Alors on a droit ici à un super rappel, drôle et bien fait sur la charte informatique, ici dans un hôpital mais ça vaut pour les entreprises aussi. Je vous laisse découvrir l’article parce qu’il se lit comme un bonbon. Mais globalement il fait un rappel sur les charte et c’est tout. Pour ce qui est d’en établir une concrètement je vous renvoie au bouquin de Laurent Bloch sur la sécurité informatique publié chez Eyrolles, une belle pièce, un peu lourde mais indispensable pour comprendre la sécurité.

Et pour aller dans le même sens, on a droit à un article de village justice pour nous rappeler que le métier de DPO étant tout neuf il n’est pas clairement encadré par une formation avec un vrai diplôme et une fin d’année ou on jette son chapeau en l’air. On y apprend qu’on peut se former de différentes façon et que la certification n’est pas obligatoire, bien que vivement souhaitée selon moi. Après je trouve que les profils que je vois passé aujourd’hui sont soit trop juriste, soit trop informaticien et pas assez couteau suisse. Mais ce n’est que mon avis très personnel.

On repart faire un tour sur l’identité numérique avec l’invention d’un nouveau terme : la datapulation. C’est là ou je me dis que certains chercheurs réinventent beaucoup de trucs. C’est logiquement la manipulation des données pour nous influencer, donc on a droit à une nouvelle analyse de ce que c’est la surveillance et l’accumulation de données et à quoi ça sert. Toujours intéressant, mais je trouve de plus en plus de redites d’analyses de ce genre dans ma veille et bien peu d’actes concrets de la part de ces chercheurs. D’un autre coté j’entends moins parler de hacking et de ce genre de choses et donc j’en suis plus curieux. Je risque de prendre un autre angle au fil des épisodes donc.

Très court article sur Tim Berners Lee, parce qu’il le mérite, et que pour le coup ici même si c’est des redites, on voit que le type se bouge et que son message est clair : lois strictes pour l’Internet, la protection des données personnelles est essentielle et la lutte contre la désinformation primordiale. Ça alors, tout ce pour quoi je milite depuis des années. 😮

Et quand je vous disais qu’une entreprise cotée était obligée de fournir des infos sur ses fuites de données je pensais pas que j’allais avoir un exemple aussi rapidement. Alors merci à Citrix qui a perdu 6teraoctets de données vendredi dernier, on les applaudit bien fort si si ils le méritent. Apparemment la fuite viendrait d’une attaque iranienne, qui aurait visé des mots de passe faibles. La blague quand on sait que ce genre de compagnie vaut très cher et qu’elle est en lien avec d’autres encore plus grosses. Je me gausse mais c’est méchant. On attend de voir les répercussions. Mais bizarrement ça fait pas la une partout, ils sont peut être pas fier, qui sait ?

On en parlait déjà ici donc je vous met le lien de cet article qui revient sur la perte de données en Chine qui permet d’entrevoir son système de surveillance de la population. C’est beau le futur hein ? Ne vous inquiétez pas, pour l’instant nos gouvernements ne peuvent qu’en rêver. Mais ça promet pas mal et on peut voir que même black mirror ne va pas si loin. C’est une affaire que je recommande de suivre, ne serait-ce que pour voir si des gouvernements plus ouverts finissent par sauter le pas.

C’est tout pour aujourd’hui. On verra demain s’il se passe des trucs dans le monde.

Newsletter 2/x

On commence gentiment en parlant algorithme. Dans cet article on peut voir que tout tend vers plus de transparence dans les algorithme qui sont pas mal utilisés dans nos vies. La plupart des rapports à l’international (de Villani en passant par des mecs de NYC) milite pour une ouverture des boites noires, un audit de ces algo et une meilleure prise en main des moulinettes qui passent nos données (volontairement mises en ligne ou « transparente » comme on en avait parlé sur l’identité numérique, rappel avec l’association Panoptykon). Selon moi il ne suffira pas de former les gamins au code pour plus de transparence mais aller vers plus d’audit et de transparence pour que des gens habitués à analyser ce genre d’outils mettent des mises en garde. Bref sortir de la zone grise quoi.

Parce que j’aime les rappels, oui répéter c’est pédagoger, vous avez ici un petit article qui va pas bien loin sur les idées reçues quant à la protection des données, mais c’est toujours salutaire et vu que ça se lit vite autant « perdre » deux minutes de son temps pour continuer de fixer ses connaissances.

Et on va vers une bonne nouvelle, ne manque plus qu’une ratification de routine, pour ce qui est de l’unité en matière de certification en matière de cybersécurité au niveau européen. En espérant que ces certifications soient respectées, elles ont l’air à première vue bonne, mais c’est comme tout c’est à voir à l’usage.
Globalement on peut résumer ça avec cette citation de l’article en question :
« « Les schémas européens de certification devraient renforcer la transparence du marché des produits TIC en donnant des indications sur le niveau d’assurance d’un produit. Depuis des années, nous œuvrons pour que les certifications de cybersécurité aient une portée européenne, sans que cela ne se traduise par un nivellement par le bas, et s’adaptent aux besoins des clients en équilibrant le niveau de protection recherché en fonction de l’analyse des risques avec la réalité économique du produit/service concerné. Cela permettra de créer de la confiance, d’augmenter la cybersécurité générale et de créer un marché européen atteignant ainsi la taille critique pour nos entreprises, et notamment les plus petites d’entre-elles. » déclare Jean-Pierre Quémard, Président de l’ACN. »

Maintenant d’un côté plus fun on a la NSA qui nous file GHIDRA, un outil permettant de faire de la rétroingénierie. Je n’ai pas testé donc si quelqu’un se sent de le faire ça serait sympa. Toujours méfiant quand même, même si c’est opensource, on peut voir le coeur de la bête et c’est toujours plaisant de voir comment un bidule utilisé par des agences peut fonctionner. Pour rappel Snowden a permit l’arrêt (enfin) d’un des systèmes qu’il a dénoncé lors de sa sortie du bois du renseignement et on l’en remercie. Vous retrouvez ça juste là.

Et pour ceux, comme moi, travaillant dans le domaine de la sensibilisation, on note la sortie d’une Websérie à ce sujet qui a l’air pas trop mal foutue. Ça sonne spot de pub pour l’agence qui en est responsable, mais toutes les bonnes volontés sont à prendre. Pour rappel, le visionnage d’une série n’exonère en rien de tester ses usagers et de les former à l’outil technique pour avoir plus de retex et des usagers conscients du danger. Et ça donne moins de boulot quand ils sont bien formés aussi. 😮

Newsletter 1/x

On commence léger parce que c’est ma reprise.
Je vais pas vous faire l’affront de vous parler des « attaques » qui ont affolés les rédactions non spécialisées ces derniers temps. Mais en gros c’est de la merde comme dirait Karadoc, c’est simplement une annonce d’une faille potentielle qui existe déjà et qui est plus ou moins comblée par des màj, pour faire court.
Idem pour les pannes de certaines banques : Société géniale et BEUNEUPEU pour ne pas les citer. Des pannes c’est pas forcément intéressant sauf si on sait que c’est provoqué par un agent malveillant vêtu de noir, et vu qu’elle sont en bourses elles sont obligées de le mentionner, mais je m’égare Edgar.
Pour ceux qui veulent en savoir plus un article payant ici.

La CNIL sort son MOOC sur le RGPD, ce qui est plutôt pas mal, mais il faudrait que je termine déjà celui de l’ANSSI qui était très bien foutu. Il a l’air d’être du même bois donc je ne me fais pas trop de souci pour la qualité de l’enseignement. Même si rien ne remplace un professeur, quand on est passionné un MOOC peut vous amener bien loin. La preuve je n’ai aucun diplome en informatique, juste en lettres. Reste à voir si ce MOOC et celui de l’ANSSI sont certifiants pour de vrai, c’est à dire s’il nous permettent d’attester une niveau qui peut valoir quelque chose face à un potentiel employeur ou pour accéder à une formation plus complète.

« ProtonMail reçoit 2 millions d’euros de l’Union européenne, principalement pour ProtonDrive »
Pas grand chose de plus à dire, tout est dans la brève ici.
Le développement va s’axer sur protondrive, reste à voir s’ils arrivent à rester en haut du marché et à sécuriser de plus en plus leurs infrastructures et outils parce que j’avoue qu’un outil d’un plus haut niveau, bien fait et accessible au quidam j’en rêve pas mal. Mais l’avenir part bien. Et évidemment même si c’est une subvention européenne, ben ils ne doivent rien à l’UE en terme d’informations et ça c’est bien.

Encore un article sur l’éducation nationale et le traitement des données des élèves, entre autres. Evidemment c’est payant, évidemment y a des manques. Pour vous dire, les données sont hébergées par Amazon, pas toujours anonymisées et certains comportements sont TRES à risques : échanges de sujets du bac sur des dropbox partagées et ce genre de trucs. Et si vous en doutiez, les rectorat et gros bahuts sont régulièrement attaqués, y a plein de gens qui veulent savoir ce qu’on met dans la tête de nos enfants alors que lesdits enfants ne veulent rien avoir dedans. C’est fou !

Mieux vaut tard que jamais, les députés semblent prendre en compte la menace chinoise en matière de cybersécurité. Bon après ça réagit à la mode diplomatie occidentale et république hein, on fait une commission en trois jours pour dire qu’on va faire quelque chose. Mais il faut apprendre à être patient avec les animaux à cravate longue et chaussures pointues. On va dans le bon sens, oui je vais le répéter souvent, c’est une sorte de mantra, ne me jugez pas.

Et pour se redonner un peu d’espoir, un entretient de Tim Berners Lee, aka le papa du web et sur ce qu’il entrevoit du futur de son enfant. Sans vraiment de surprise on peut voir qu’il n’aime pas trop ce que c’est devenu, qu’il souhaite quelque chose de plus axé vers l’humain. Il parle notamment d’un système de récompense pour les internautes se comportant bien, ce genre de choses, plutôt que d’aller vers de la censure pure et simple comme c’est proposer aujourd’hui notamment en France. D’ailleurs il aime pas mal le RGPD, ce qui est plutôt bon signe.

Et enfin rions un peu, mais jaune, avec deux articles beaucoup plus axés grand public ou on peut voir que les cyberattaques font très très peur au français. L’émission de France culture est intéressante dans le sens ou elle laisse la parole aux usagers et ou on peut voir que c’est là que le prochain combat est, s’il fallait encore en douter d’ailleurs. Et pour enfoncer le clou, qui a déjà traverser la planche, la botte et le pied pour être dans le sol bien planté vu comment je rabâche dessus, les résultats d’une étude qui montre la peur qu’engendre les pirates/hackers aux yeux des français alors que de simples formations peuvent désamorcer tout ça.

On se revoit surement demain si j’ai des choses à vous dire.