C’est toujours bon de le rappeler ou… d’en prendre connaissance.

Facebook met en garde ses utilisateurs… de manière confidentielle (il faut aller chercher l’info en tout petit).

“Veuillez noter que vous publiez sur ce Site Web des informations (comme défini dans les Conditions d’utilisation de Facebook) à vos risques et périls. Bien que nous vous permettions de définir des options de confidentialité visant à limiter l’accès à vos données, il n’existe aucun système de sécurité infaillible. Nous ne sommes pas en mesure de contrôler les actions d’autres utilisateurs avec lesquels vous avez décidé de partager vos pages et vos informations. Nous ne pouvons donc en aucun cas garantir que le contenu que vous publiez sur ce site ne sera pas vu par des personnes non autorisées. Nous ne sommes en aucun cas responsables du non-respect des paramètres de confidentialité ou des mesures de sécurité en vigueur sur ce site. Vous comprenez et reconnaissez que, même après suppression, des copies du contenu utilisateur peuvent rester visibles dans les pages d’archives et les pages en cache ou bien si d’autres utilisateurs ont enregistré ou copié votre contenu.”

A lire sur le sujet le mémoire de L. Caullée : “Sécurité et vie privée sur les réseaux sociaux”.

Dès ce vendredi Facebook va utiliser vos photos dans des bannières pub qui apparaîtront sur le profil de vos contacts. Et c’est parfaitement légal ; c’était écrit dans le formulaire d’inscription. Pour éviter ça, désactivez l’option comme suit  :

Allez sur “paramètres” puis  “confidentialité” puis “Actualité et mur” puis “Publicités facebook” et choisissez  “personne” dans le menu.

3- Méthode de chiffrement du courrier électronique

• Certificats personnels
• Gnu Privacy Guard
• Thunderbird + enigmail vs Evolution + SeaHorse

Dans les articles précédents nous avons vu quel est le niveau normal de confidentialité sur Internet, celui-ci ayant été qualifié de «niveau carte-postale» puis nous avons eu un aperçu des méthodes de chiffrement habituelles offertes aux internautes et dépendant de l’offre de service des sites web.

Dans ce troisième article nous verrons des méthodes de confidentialité par chiffrement décidées par l’utilisateur en utilisant les moyens Open Source mis à sa disposition. Cet article porte sur les méthodes pratiques de chiffrement du courrier électronique pour passer par la suite, dans les articles suivants de cette série, à d’autres applications et enfin à des méthode de chiffrement de l’ensemble des connexions Internet.

a) Les Certificats personnels

• Les certificats: ce qu’ils sont.

Un certificat est une fichier d’identité numérique permettant d’identifier une entité.

Le certificat numérique est un lien entre une entité physique et une entité numérique. Pour être valide ce certificat doit être généré par une autorité de certification ou «tiers de confiance» qui atteste du lien entre l’identité physique et l’entité numérique. La norme utilisée est en général la X.509.

• Obtenir un certificat personnel:

………..

Il est possible d’obtenir gratuitement un certificat personnel pour le courrier électronique chez Thawte et StartSSL , ce certificat est valable pour une année et est importé d’abord dans le navigateur et doit être exporté depuis les options de sécurité du navigateur pour son utilisation dans votre application de courriel.

• Les certificats: utilisations pratiques et limites

Les certificats personnels de courriel peuvent être utilisés pour signer ou chiffrer / déchiffrer vos courriers. La signature numérique attachée à ceux-ci est en quelque sorte un authentification minimale de votre identité numérique… Il est possible de bonifier le degré de confiance de ce certificat au moyen de signatures obtenues de vos correspondants qui reconnaissent la validité de votre authentification en créant un Réseau de Confiance (Web of Trust)…

L’avantage principal d’un tel certificat numérique est d’être issu d’une autorité de certification reconnue. Cependant ces certificats numériques personnels sont limités à l’utilisation du courrier électronique et, éventuellement, du navigateur, ont une durée qui ne dépend pas de vous, ne permettent pas de choisir l’algorithme de chiffrement ni la longueur de la clé générée. Nous verrons plus loin une méthode de chiffrement reposant sur l’utilisation d’un logiciel à source ouverte qui offre plus de flexibilité d’utilisation: GnuPG.

b) Le chiffrement asymétrique ou “à clé publique”…

• Paire de clefs: clé privée et clé publique

Les détails des procédés de chiffrement et l’histoire de ceux-ci dépassent le cadre de cet article et ne seront pas abordés ici. Cependant je vous propose une présentation élémentaire de ce que l’on nomme «chiffrement asymétrique».

Exemple simple. Alice veut envoyer à Bob un message secret que seul Bob pourra lire. Alice met le message dans un coffre et le verrouille avec la clé spécifique à la serrure de ce coffre.

Alice doit donc envoyer à Bob le coffre contenant le message secret et la clé ou une copie exacte de celle-ci. Comme toutes les clés (du “monde physique”) celle-ci permet deux choses: verrouiller et déverrouiller ce coffre…

Alice peut envoyer à Bob le coffre et la clé en même temps ou à deux moment différent. Une fois que Bon a reçu le coffre et la clé, il peut déverrouiller le coffre et lire le message secret qui lui est destiné.

Dans le cas du chiffrement, l’utilisation d’une clé ou de sa copie pour chiffrer et déchiffrer se nomme «chiffrement symétrique». Vous avez sans doute relevé quelques inconvénients de la méthode présentée ici:

Quelque soit la méthode et le moment utilisé par Alice pour envoyer à Bob la clé ou le coffre, au moins l’un de ceux-ci peut être interceptée par un tiers, mettons Oscar, Eve ou Robert. Si la clé ou le coffre est interceptée alors Bob ne pourra pas ouvrir le coffre, si le coffre et la clé sont interceptés par un tiers alors Bob ne reçoit pas le message qui lui est destiné et Alice perd le secret de son message et au moins un tiers a accès à ce message…

Cette histoire pitoyable est celle de toutes les méthodes de chiffrement jusqu’à l’invention récente du «chiffrement asymétrique» par les cryptologues contemporains.

Le «chiffrement asymétrique» permet de séparer – pour les “clefs numériques” – les deux fonctions des clés “physiques” : une clé ou sa copie exacte ne servant qu’à “verrouiller le coffre” et l’autre ne servant qu’à “déverrouiller le coffre”.

La clé ne servant qu’à verrouiller se nomme «clé publique» tandis que la clé ne servant qu’à déverrouiller se nomme «clé privée».

Reprenons l’exemple d’Alice qui veut transmettre un message secret à Bob mais cette fois-ci en utilisant un trousseau ou paire de clefs “asymétrique” (privée + publique):

Alice place le message secret dans un coffre ne pouvant être verrouillé que par la «clé publique» de Bob ou sa copie exacte.

Alice envoie à Bob le message ainsi verrouillé avec la clé publique du destinataire: celle de Bob.

Bob reçoit le message d’Alice et utilise sa «clé privée» pour déverrouiller le coffre et lire le message d’Alice.

Alice et Bob n’ont plus besoin de tout cacher pour empêcher une interception du message secret par un tiers.

Par exemple Bob ne cache que sa clé privée et ne la transmet jamais si bien qu’elle a peu de chance d’être interceptée par un tiers.

Par contre il annonce partout sa «clé publique» (celle qui ne fait que verrouiller) si bien que quiconque veut lui faire parvenir un message secret peut utiliser cette clé publique ou sa copie exacte.

Bob veut-il répondre au message secret d’Alice par un autre message tout aussi secret?

Tout ce que Bob doit faire c’est d’utiliser une de copies de la clé publique de sa destinataire: Alice, de verrouiller ou chiffrer son message avec la clé publique d’Alice et de lui faire parvenir. Et à son tour Alice utilise sa clé privée pour lire (déverrouiller, déchiffre) son message secret.

C’est ce qui se nomme le «chiffrement asymétrique» ou le «chiffrement à clé publique».

• Gnu Privacy Guard

Gpg ou GnuPG (Gnu Privacy Guard) est le logiciel à source ouverte permettant l’utilisation de chiffrement/déchiffrement (fonction de confidentialité) et de signature numérique (fonction d’authentification) au moyen du chiffrement asymétrique.

• Aperçu de l’utilisation des commandes de gpg (GnuPG) version 1.4.9

Algorithmes supportés:

Clé publique: RSA, RSA-E, RSA-S, ELG-E, DSA
Chiffrement: 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH
Hachage: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Compression: Non-compressé, ZIP, ZLIB, BZIP2

Syntaxe: gpg {espace}[{-- double tiret}options]{espace}[données]

Exemples:

Version de Gpg:  gpg –version
Création d’une nouvelle paire de clefs: gpg –gen-key
Informations sur la paire de clefs: gpg –list-keys
Générer un certificat de révocation: gpg –gen-revoke
Exporter les clefs publiques: gpg –send-keys –keyserver hkp_server_URI key_ID
Importer une clé publique: gpg –recv-keys –keyserver hkp_server_URI key_ID

où:  hkp_server_URI=  l’URI du serveur de clés et key_ID=  l’identifiant de la clé

tels que: http://pgp.mit.edu/ et 0xD771CF94

Le format du nom de serveur est du type schéma_URN:[//]Nom du serveur:port]
où schéma_URN peut être http, hkp, ldap, mailto …

Voir URI, URL, URN: précisions in Le chiffrement sur Internet 1

Pour des détails supplémentaires: gpg –help ou man gpg

• Interfaces graphiques de GnuPG

Des interfaces graphiques permettent l’utilisation des principales commandes de GnuPG mais dans certains cas particuliers vous devrez passer par un terminal pour exécuter une commande du shell, Bash sous Linux et Mac os.

……………………………….

c) Thunderbird + enigmail vs Evolution + SeaHorse (Ubuntu)

• Thunderbird et l’extension enigmail

Dans Thunderbird l’accès au générateur de paire de clefs d’enigmail se fait ainsi:

OpenPGP / gestion des clefs / générer

D’abord il faut

[1] sélectionner le compte de courriel pour lequel la paire de clefs sera générée,

[2] entrer la phrase secrète ou phrase de passe qui doit être du même type que celles indiquées dans l’article L’art du mot de passe 1 de 3, III Méthode ccp – 1, notez que la casse des caractères et les espaces sont significatifs, vous pouvez ajouter un commentaire optionnel.

Notez que l‘option “Pas de phrase secrète” ne doit pas être utilisée sauf pour des tests.

Un des principes de la sécurité des systèmes d’information est la protection par couches (layered security) et le maillon faible d’un tel système est le comportement de l’utilisateur. N’êtes-vous pas d’accord avec moi pour dire que ce n’est pas une bonne idée de compromettre l’utilisation sécuritaire de GnuPG en négligeant la première de ces couches de protection?

[3] il faut ensuite choisir la période de validité de votre paire de clefs: sur ce point je suggère fortement de ne pas choisir l’option de «non-expiration» et de limiter la validité de la paire de clefs à une période allant d’un mois à un an au maximum.

Ceci pour vous assurer que les conséquences d’une paire de clefs compromise, d’une clé privée perdue (“crash” du disque dur de votre ordinateur personnel par exemple ) ou encore de la perte du certificat de révocation – quelques cas vous empêchant d’invalider cette paire de clefs – soient limitées dans le temps.

Une clé publique sans expiration et devenue inutilisable serait alors annoncée en permanence sur les serveurs HKP/LDAP sans possibilité de la révoquer et, utilisée par un correspondant, elle ne servirait qu’à vous transmettre des messages désormais indéchiffrables… Vaut mieux prévenir les mauvaises communications et les “prises de tête” résultantes n’est-ce pas? 

Notez cependant que cela implique que les messages chiffrés reçus ne pourront être déchiffrés que durant la période de validité de ce trousseau de clefs. Si un tel message doit être conservé pour une période au-delà de le limite de validité de la paire ou trousseau de clefs alors il devra être déchiffré et conservé dans cet état ou alors chiffré localement par exemple dans un volume chiffré avec TrueCrypt/EasyCrypt (que nous verrons dans un prochain article…)

[4] Et avant de procéder vous pouvez aussi choisir la taille de la clé ainsi que l’algorithme de chiffrement. [Tailles: 1024, 2048, 4096 - Algorithmes: RSA ou DSA+El Gamal ]. Par défaut la longueur de la paire de clefs est de 1024 bits et l’algorithme RSA.

Dans l’exemple donné nous avons une clé de 4096 bits avec l’algorithme DSA & El Gamal…

[5] La génération de la paire de clefs vous sera annoncée lorsque celle-ci sera terminée:

[6] Vous aurez ensuite la possibilité de créer un certificat de révocation ce que je vous suggère fortement car il vous permet de révoquer la validité de la paire de clé au cas où celle-ci serait compromise (vol de la clé privée par exemple ou perte de cette clé).

Ai-je besoin de préciser que ce certificat de révocation doit être sauvegardé par exemple sur une clé USB et placée dans un lieu sûr. (Juste au cas… )

Voici comment se présente ce certificat de révocation sous Ubuntu Linux dans l’environnement Gnome

Voici les paramètres de la paire de clefs générée:

[7] Il est préférable d’exporter la clé publique sur des serveurs HKP ou LDAP tel que, par exemple, celui du Massachusetts Institute of Technology car cela permet de vérifier le statut ou la validité de cette clé publique de chiffrement en évitant d’utiliser une clé invalide…

[8] Et enfin vous pouvez aussi annoncer cette clé publique dans votre signature de courriel, sur les forums, les Groupes de Discussion, ou sur votre profil public tel que le Profil Google.

Vos correspondants désirant communiquer confidentiellement avec vous n’auront qu’à utiliser votre clé publique pour chiffrer les courriels vous étant destinés et ceux-ci seront déchiffrés par enigmail lors de la réception.

Notez que la confidentialité porte dans ce cas sur le contenu de la communication et non sur le fait que A communique avec B… Il serait possible pour un tiers de connaître le fait que A a communiqué avec B tout en ignorant ce qui a été communiqué…

Nota Bene: Autrement dit si c’est confidentiel, ce n’est pas nécessairement anonyme!

Ces deux notions ne doivent en aucun cas être confondues:

La confidentialité porte sur le contenu des communications entre A et B et non sur leur identité ni sur le fait qu’il y a eu communication.

L’anonymat porte sur l’identité de A et B mais pas nécessairement sur le contenu de leurs communications. En attendant je vous invite à tenter de résoudre cette énigme amusante:

Question: Comment peut-on communiquer à la fois anonymement et confidentiellement? 

L’utilisation est fort simple: pour envoyer une courriel chiffré à votre correspondant vous devez simplement sélectionner sa clé publique et le contenu sera automatiquement chiffré par enigmail en faisant appel aux fonctions de GnuPG. Votre correspondant sera alors en mesure de lire en clair le message ainsi chiffré avec sa clé publique en utilisant sa clé privée correspondante.

Cette clé publique de votre correspondant est annoncée sur les serveurs HKP/LDAP vous permettant d’importer localement cette clé pour lui envoyer un message chiffré.

L’opération inverse est tout aussi facile: un courriel reçu et chiffré avec votre clé publique sera déchiffré par enigmail avec votre clé privée. Je parle bien entendu de la clé privée faisant partie du trousseau de clefs ou si vous voulez de la clé privée correspondant à la clé publique et pour la période de validité de cette paire ou trousseau de clefs!

Notez que les courriels chiffrés doivent être en format texte seulement et non en HTML …

De plus enigmail vous permet d’utiliser votre trousseau de clefs pour ajouter une signature numérique à vos courriels même non-chiffrés – ce que je vous encourage à faire systématiquement – car cela permet d’authentifier la provenance du courriel en question. Une telle signature utilisée systématiquement assure que personne n’utilisera votre identité pour envoyer des courriels usurpant votre identité…

Exemple de vérification de signature:

Exemple de sélection de l’option de chiffrement avec la clé publique du destinataire et combinée avec l’option de signature avec la clé publique de l’expéditeur. Il suffit de posséder la clé publique du destinataire par exemple via un serveur HKP… Le chiffrement est fait avec sa clé publique et la signature est (évidemment!) faite avec votre clé publique et non la sienne…

Voici maintenant un exemple de message chiffré:

Notez que le message a été chiffré par l’expéditeur avec la clé publique du destinataire et peut être déchiffrée par le destinataire avec sa clé privée correspondant au trousseau de clefs. Si la clé privée a été perdue ou si la paire de clé est expirée ou révoquée, alors ce message ne pourra jamais plus être déchiffré…

Digression: dans un article antérieur portant sur l’effacement sécurisé des données , j’avais présenté quelques solutions permettant de détruire sécuritairement des données avec des logiciels utilisant des techniques de ré-écriture du disque dur …

Si vous avez bien suivi jusqu’ici, nous venons tout juste de découvrir une autre méthode pour interdire à tout jamais à quiconque de lire ces données vouées au néant: les chiffrer avec GnuPG, ensuite supprimer sécuritairement la clé privée selon l’une des méthodes vues dans l’article mentionné (par exemple Gutmann 35 passes de ré-écriture) puis de supprimer le contenu ainsi chiffré de façon non-sécuritaire. Même dans ce cas, les données à détruire seraient irrémédiablement illisibles à quiconque. Elles pourraient bien être récupérables mais cela serait inutile car elles seraient sous une forme chiffrée sans possibilité ni de les déchiffrer (la clé privée ayant été sécuritairement détruite) ni de les casser par cryptanalyse (à moins de croire à la science-fiction), le chiffrement en question étant, jusqu’à nouvel ordre, incassable…

Bref

• La vérification de la signature numérique d’un message reçu se fait en consultant le statut de la clé publique du destinataire sur l’un des serveurs HKP/LDAP sur lesquels la clé publique a été exportée, enigmail permettant de réaliser facilement cette vérification.

• L’utilisation de la signature d’un message à expédier se fait en vérifiant localement le statut de votre trousseau de clé.

• Le déchiffrement d’un message chiffré avec votre clé publique se fait localement avec votre clé privée correspondante par la vérification qu’enigmail fait du statut de votre trousseau ou paire de clefs.

• Le chiffrement d’un message à expédier se fait en vérifiant la validité de la clé publique de votre destinataire sur l’un des serveurs HKP/LDAP sur laquelle sa clé publique est annoncée.

En somme, l’extension enigmail de Thunderbird permet d’utiliser facilement les fonctions de chiffrement/déchiffrement de GnuPG incluant la génération du trousseau de clefs, la génération du certificat de révocation et son utilisation le cas échéant, la signature numérique des courriers ainsi que toutes la plupart des fonctions reliées à l’utilisation de GnuPG.

Truc: pour essayer et pratiquer l’utilisation d’enigmail, il vous suffit d’avoir deux comptes de courriels, de générer un trousseau de clé pour chacun de ces comptes et de vous envoyer des messages chiffrés, signés ou les deux. Quand vous vous sentirez parfaitement à l’aise avec l’utilisation des fonctions d’enigmail, il vous sera alors plus facile de les utiliser avec vos correspondants. 

Passons maintenant à des applications alternatives: la messagerie Evolution et l’utilitaire SeaHorse. Notez que ces derniers, contrairement à «Tb + em» ne sont disponibles que sur Linux…

• Evolution et l’utilitaire SeaHorse

Dans le cas de la messagerie par défaut d’Ubuntu Linux, Evolution, il est possible d’utiliser un certificat numérique ou une clé Gpg mais la gestion des clés est faite via une application externe à Evolution: SeaHorse.

L’un des avantages de SeaHorse est qu’il permet la gestion des clefs de shell sécurisé, de courriel, d’applications telle que la messagerie instantanée Psi (Xmpp/Jabber) et de mots de passe pour les applications et le réseau.

Pour accéder à SeaHorse: en ligne de commande: seahorse ou via le bureau Gnome d’Ubuntu:

Applications / Accessoires / Mots de passe et clé de chiffrement :

La création d’une paire de clefs Gpg (ou “Pgp”) commence par le choix de cette option dans SeaHorse:

Puis par l’entrée d’informations analogues à celles déjà vues avec enigmail:

et enfin l’ajout de l’identifiant de la paire de clefs obtenu dans les paramètres du compte de courriel dans Evolution: Édition / Préférences / bouton «Compte de Messagerie» / sélectionnez le compte dans la liste puis «double-clic» pour l’éditer / onglet «Sécurité»:

Notez que

SeaHorse ne permet pas d’accéder à la fonction de création d’un certificat de révocation de la paire de clefs qui doit être fait via cette commande GnuPG:

gpg  –gen-revoke

Les développeurs de la messagerie Evolution ne prévoient pas intégrer un équivalent d’enigmail dans Evolution ce qui est déplorable AMHA…

cf.: Evolution FAQ: «Managing GPG/PGP is beyond the scope of Evolution.»

Dans les prochains articles de cette série nous verrons comment chiffrer la messagerie instantanée Psi, un client Xmpp/Jabber, le chiffrement du clavardage avec Pidgin utilisé avec sa fonction de client SILC, le chiffrement des échanges P2P avec Vuze, un client BitTorrent, le chiffrement des données locales avec TrueCrypt et EasyCrypt, l’utilisation du réseau Tor – The onion router -, le réseau privé virtuel OpenVPN et enfin le projet Psiphon.

À bientôt. 

Résumé des billets de la semaine

Video du dimanche: Brève Histoire d’Internet

Données et Communications – Niveau de Confidentialité

Données et Communications – Le Chiffrement sur Internet

Sense about science: Sign up now to keep the libel laws out of science

À venir sur les Propos et Commentaires du Climenole:

Données et Communication – Le Chiffrement sur Internet – 2 du Courriel

• Les certificats personnels
• Gnu Privacy Guard
• Thunderbird + enigmail
• Evolution + SeaHorse
• TrueCrypt + EasyCrypt
• Le chiffrement de la messagerie instantanée Psi
• Le chiffrement du clavardage avec Silc/Pidgin
• Le chiffrement de BitTorrent avec Vuze (ex azureus)
• L’utilisation du réseau d’anonymisation Tor – The onion router
• Le réseau Privé Virtuel OpenVPN
• Enfin le Projet Psiphon

La Neutralité des Réseaux et ses Ennemis

Web Sémantique: Introduction aux Microformats

Calcul Distribué: L’Exemple de World Community Grid

Open Use: Open Source & Data + Brain

A+

Suivez vos commentaires avec CoComments:

“Le Soir” de ce week-end publie un article intitulé “Les affaires familiales bientôt jugées à huis-clos”. J’étais frappé en le lisant par le fait que la solution du huis-clos “à la demande” existe déjà aujourd’hui et ce, pour tout conflit de type “transactionnel”, grâce à la médiation, qu’elle soit d’ailleurs familiale, commerciale ou au sein d’une entreprise.

La plupart des gens à qui l’on parle de médiation pensent d’abord “conciliation”. Tous les médiateurs professionnels savent que c’est là une erreur fondamentale. La médiation n’est pas un exercice de conciliation. En matière familiale en particulier, l’objectif d’une médiation de séparation ou de divorce ne sera pas de “ré-concilier” le couple. Bien au contraire, la médiation réussie en matière de séparation et de divorce est celle qui permet de reconnaître la fin du couple, tout en lui permettant de trouver la meilleure solution pour chaque membre de la famille dans la nouvelle organisation.

Mais une caractéristique qui par contre est presque toujours perdue de vue lorsqu’on parle de médiation, c’est le confidentialité et le secret qui entoure tous les débats effectués en médiation. En fait, au contraire de la procédure judiciaire, c’est le huis-clos qui est la règle en médiation. Cela va jusqu’au point ou un protocole de médiation (le “contrat” entre le médiateur et les personnes ou entreprises en conflit) explique clairement que pour qu’un document ou une information échangée dans le cadre d’une médiation puisse être présenté en dehors de cette médiation il faut l’accord de toutes les parties, y compris le médiateur.

Ainsi, la médiation permet de prendre en compte toute une série d’éléments qui sont en général “cachés” lorsque l’on se trouve devant un tribunal où les débats sont publics. Qui voudrait voir s’étaler sur la place publique tous les petits secrets de familles ? Quelle entreprise est heureuse de savoir que les conditions commerciales qu’elle concède à un client pour régler un litige sont désormais connues de tous ses autres clients ? Quel employé est prêt à reconnaître publiquement une erreur de jugement qui pourrait lui valoir plus de reproche de ses pairs ?

Grâce à la médiation, les parties en conflit peuvent donc prendre en compte tous les éléments de leur situation particulière, sans avoir de crainte de voir ces éléments étalés au vu et au su de tous. Si c’était le cas, la partie qui a rompu l’accord se verrait alors privée du bénéfice des accords, puisqu’elle aurait rompu un élément essentiel de celui-ci.

Au fur et à mesure des médiations, je rencontre de plus en plus de situations qui justifient la confidentialité comme élément contribuant à une meilleure résolution du conflit. Je suis curieux de savoir si vous aussi vous avez rencontré de telles situations. Profitez donc de l’espace de discussion offert par le blog d’interactes pour nous en parler !

On n’est pas loin…

Facebook a récemment changé ses conditions générales d’utilisations. Allez, avoue-le, tu ne savais même pas que Facebook avait des CGU, ou alors tu le savais mais tu ne les as pas lues, comme 99,99% des inscrits. Hé bien tu vas t’en mordre les doigts.

Facebook a donc changé le contenu de ses conditions. Déjà que nos données personnelles qui sont stockées sur Internet – en général – ne sont pas “en sécurité” (bien qu’on veuille nous le faire croire), désormais elles seront conservées pour l’éternité sur Facebook, que tu le veuilles, ou non.

Ah, parce que tu croyais qu’en fermant ton compte Facebook, Google, etc. tu effacerais toute trace de ton passage ? Quelle naïveté… Savais-tu que Google garde une trace de chaque clic, de chaque recherche effectués sur leur site ?

C’est déjà assez limite au niveau légal, mais ce qui l’est encore plus, c’est de ne pas effacer les informations au bout d’un certain temps. Google le fait (au bout de 18 mois, si je ne m’abuse). Facebook… ne le fera plus. Désormais, en t’inscrivant sur Facebook, tu leur accordes

le droit irrévocable, perpétuel, non-exclusif, transférable, et mondial (avec l’autorisation d’accorder une sous-licence) d’utiliser, copier, publier, diffuser, stocker, exécuter, transmettre, scanner, modifier, éditer, traduire, adapter, et redistribuer n’importe quel contenu déposé sur le site.

Ça fait peur. Vraiment. Pourtant, la phrase a semble-t-il toujours été là, mais elle était suivie, avant la modification des conditions d’utilisation, de la mention précisant que ton contenu

peut être effacé du site à n’importe quel moment. Si tu l’effaces, le droit évoqué précédemment et accordé à Facebook expirera automatiquement, mais l’entreprise peut conserver des copies archivées de ton contenu.

Mais, finalement, est-ce légal ? Non, car toute personne (en Suisse en tout cas, voire même en Europe mais cela peut changer d’une législation à une autre) dispose du droit à la correction de ses données personnelles, ainsi qu’à leur oubli. De même, il est contraire au droit à la protection des données d’admettre que les informations qu’on transmet sur le réseau social appartiennent à Facebook sans aucune restriction.

La crainte de voir tes informations personnelles consacrées à des usages commerciaux se justifie de plus en plus. Facebook tente apparemment de globaliser le droit en foulant du pied nos droits personnels. Il ne serait pas étonnant d’entrevoir l’ombre de M. Marketing derrière tout ça.

Nous ne voudrions pas partager vos informations d’une façon qui ne vous conviendrait pas.

Voilà ce qu’a déclaré le créateur de Facebook, Mark Zuckerberg. Il a ajouté que

ces modifications récentes des termes d’utilisation étaient nécessaires pour être en phase avec la façon dont les gens échangent photos et messages sur le site. Ainsi, si un utilisateur se désabonne, ses documents et messages disparaîtront de sa page, mais pas ceux qu’il aura envoyés à ses connaissances.

Il est vrai que tu peux facilement limiter la visualisation de ton profil Facebook à certaine personne et en exclure d’autres. Mais pourras-tu exiger de Facebook qu’ils ne partagent pas tes informations avec des commerciaux lorsqu’ils auront la possibilité de le faire ? J’en doute…

Nous ne revendiquons pas et n’avons jamais revendiqué la propriété des éléments téléchargés par les usagers.

Qui croire finalement ? Une société qui ne soumet pas les modifications de ses termes à ses utilisateurs(comme le fait par exemple l’iTunes Store à chaque changement), ou ta conscience qui te dit qu’on va bientôt se prendre une douche froide ?

En tout cas, pour ma part, j’envisage de fermer mon compte. Certes, rien ne sera effacé (quoi qu’ils disent) mais j’aurai sûrement limité les dégâts pour le futur…

Et Facebook de conclure :

comme toujours, la protection de votre vie privée et de vos informations est une priorité pour nous, et ces mises à jour vous fournissent le même genre de protection que vous êtes en droit d’attendre venant de Facebook.

Sans commentaire.

(Sources : AFP, Blog Facebook, NouvelObs)

Màj : au vu des critiques et inquiétudes des utilisateurs, Facebook a fait un pas en arrière et est revenu à l’ancienne version de ses termes d’utilisation. Pour le moment…

Over the past few days, we have received a lot of feedback about the new terms we posted two weeks ago. Because of this response, we have decided to return to our previous Terms of Use while we resolve the issues that people have raised.

Facebook a fêté ses 5 ans le 4 février 2009. Avec plus de 150 millions d’utilisateurs actifs dans le monde, Facebook regroupe aujourd’hui 1,7 million de Belges.

Bien que très populaire, ce nouveau média social génère beaucoup de frustrations. J’entends souvent des utilisateurs dénoncer le manque de vie privée sur Facebook. Ceux-ci se plaignent que les informations qui les concernent sont visibles par tous ou tout au moins par des personnes qui n’auraient pas dû les voir (comme ce recruteur qui tombe sur une photo de vous lors d’une soirée bien arrosée).

Nous avons appris au travers de notre éducation à interagir avec les autres. Vous adressez-vous à votre patron de la même manière qu’avec votre conjoint(e), vos amis ou bien vos voisins ? Vous montrez vos photos de vacances à vos amis, mais iriez-vous montrer une photo de vous en maillot de bain à votre patron ?

En quoi est-ce qu’internet serait différent ?

Le point faible de Facebook est que la majorité des utilisateurs ne sait pas qu’il est possible de paramétrer la confidentialité de ses informations afin de s’y construire une vie privée. Les internautes se lancent dans l’aventure sans se poser de questions et sans avoir conscience de la réputation qu’ils se créent sur internet.

C’est pourquoi je souhaite partager avec vous quelques articles parus dernièrement sur la toile :

-          Les 10 paramètres de confidentialité que tous les utilisateurs de Facebook devraient connaître (en anglais) : C’est pour moi l’article de référence. Vous y apprendrez par exemple comment limiter la visibilité de votre profil à quelques-uns de vos amis.

-         10 conseils pour éviter de petits ennuis avec sa vie privée sur Facebook : cet article n’apporte par grand-chose de nouveau par rapport au précédent mais il a l’avantage d’être écrit en français.

-         Comment gérer ses amis sur Facebook : vous apprendrez ici comment segmenter l’accès à certaines de vos informations en créant des listes d’amis.

Avez-vous d’autres articles à partager pour compléter la liste ?

A bientôt,

Damien

Damien Colmant, Eveilleur de potentiel et fondateur d’Extend Coaching.

Cet article fait suite à mon précédent article Petite explication sur les proxys, dans lequel j’introduisais la notion de proxy. En consultant les statistiques des gens qui tombaient dessus venant depuis Google, je me suis aperçu qu’une bonne partie de mes visiteurs ne cherchaient pas tant à savoir ce qu’était un proxy, que la manière de le configurer. Voila pourquoi j’ai décidé de fournir un complément d’informations avec aujourd’hui un article sur les proxy réseaux.

On est donc dans le cadre du réseau d’entreprise ou d’université. Dans le cadre d’une entreprise ou d’une université située à un unique endroit précis quelque part dans le monde, le schéma classique est le suivant: Il y a un serveur de DNS équipé d’un bon pare feu, d’un antivirus et d’un certain nombre de filtres qui est relié à internet, et tous les ordinateurs de l’université ou de l’entreprise sont reliés à cet ordinateur.

Précisons que ce schéma est en train de disparaitre. En effet avec la mondialisation, les entreprises sont implantées sur des sites situés à divers endroits du monde, et les universités se mettent en réseau. Ceci nécessite des schémas de réseaux plus complexes, afin de permettre à des ingénieurs travaillant aux extrémités opposées du monde d’échanger des données comme s’ils étaient dans le même immeuble et sans soucis de sécurité. J’y reviendrai peut être dans un article futur.

En attendant il y a encore de nombreux cas où le schéma dont je parle reste valide. Dans ce schéma l’ordinateur relié à Internet fait office de proxy pour tous les ordinateurs du réseau qui est derrière. Dans ce contexte, une connexion directe à internet n’est pas possible.

La première solution consiste à configurer son ordinateur pour qu’il passe par le proxy et spécifier à son navigateur d’adopter les paramètres du système. En général cette solution est à adopter pour les gens qui se connectent à partir d’un ordinateur portable. En effet les postes fixes sont administrés par le service informatique, donc soit ils ont déjà été configurés, et dans ce cas, tant mieux pour vous, soit ils ne l’ont pas été, mais en tant que simple utilisateur, vous n’avez pas les droits requis pour le faire

La deuxième solution consiste à configurer le proxy directement dans son navigateur internet, lorsque cela est possible. Nous allons examiner le cas de Firefox:

• ouvrez le menu des préférences. Selon la version de Firefox que vous utilisez, il est accessible soit dans le menu edition, soit dans le menu outils.
• Il vous faut maintenant trouver le bouton paramètres réseau. Dans les anciennes versions de Firefox, il était visible sur la première page du menu des préférences. Maintenant il faut naviguer un petit peu, mais ce n’est pas bien difficile. Voici pour vous aider une petite capture d’écran:

• Cliquez sur le bouton Paramètres. Un nouveau menu s’affiche. Voici la liste des possibilités et leur utilité:

1. Pas de proxy. Cette option est généralement cochée par défaut pour indique une connection directe à internet.
2. Détection automatique du proxy. Cette option peut fonctionner si l’administrateur réseau a installé le service correspondant sur le serveur.
3. Utilisation des paramètres proxy du système. C’est le cas que nous évoquions plus haut. Nécessite que le proxy système ait été configuré.
4. Configuration manuelle. C’est ce que nous allons détailler maintenant.
5. Adresse de configuration automatique du proxy. Analogue du cas 2.

• Nous allons donc configurer manuellement le proxy. Voici un exemple de configuration courante:

Comme vous le voyez, vous avez besoin de connaitre l’adresse du proxy et son numéro de port. Si votre ordinateur est sur le même sous-réseau que le serveur, mettre simplement “proxy” suffira. Quant au numéro de port, c’est très souvent le 3128 qui est utilisé, vous pouvez donc toujours essayer. Si vous n’êtes pas sur le même sous réseau que le serveur, il va falloir donner l’adresse totale du proxy. Par exemple si l’adresse internet de votre entreprise est www.entreprise.lambda.fr, l’adresse totale a de fortes chances d’être proxy.entreprise.lambda.fr. Un petit coup d’oeuil à mon article sur la structure d’internet vous permettra de comprendre pourquoi . Dernière possibilité, si rien d’autre ne marche, ou si la résolution du DNS plante pour une raison ou une autre, renseigner directement l’adresse IP du serveur proxy vue depuis le réseau. (En effet le serveur a deux adresses IP, une vue d’internet, et une vue du réseau). Pour connaitre cette adresse IP, renseignez vous auprès de l’administrateur réseaux.

Voila pour les précisions, j’espère qu’elles vous seront utiles .

]]> http://aldiansblog.wordpress.com/2008/12/02/petite-explication-sur-les-proxys/ Tue, 02 Dec 2008 17:35:15 +0000 aldiansblog http://aldiansblog.wordpress.com/2008/12/02/petite-explication-sur-les-proxys/

Bon comme d’habitude, le but n’est pas de faire un long cours sur les réseaux, mais d’expliquer en gros ce qu’il se passe. Et ce qu’il se passe peut facilement être résumé par l’illustration de ce billet (le header, comme disent certains). Un proxy, c’est avant tout un ordinateur intermédiaire par lequel vous passez pour vous connecter sur internet. On se demandera peut être à quoi ça sert de rajouter un intermédiaire, mais en fait ça peut s’avérer très utile.

Tout d’abord dans le cadre des entreprises. Le problème vient des soucis de confidentialité. Il faut permettre aux employés de se connecter sur internet pour travailler, et éviter que des programmes malveillants entre dans le réseau interne de l’entreprise pour mettre le bazard et espionner des informations. Pour remédier à cela, ce qui était beaucoup fait jusque récemment (maintenant les problèmes de décentralisation des entreprises montent le problème à un degré supérieur de difficulté), c’était d’avoir un seul ordinateur connecté à internet qui soit bardé de protections, et dont l’accès est réservé à l’administrateur réseau, et tous les ordinateurs des employés qui se connectent à travers lui. Par conséquent cet ordinateur principal faisait office de proxy.

Il y a aussi le problème de confidentialité sur internet. Lorsque vous allez sur internet, vous laissez énormément de traces, et en traçant votre adresse IP, on peut connecter énormément d’informations sur vous. Par conséquent le fait de passer par un proxy permet de brouiller les pistes, car c’est l’adresse IP du proxy qui sera vue sur le réseau.

Pour savoir comment configurer un proxy réseau, voir cet article: Petite explication sur les proxys (2) – proxy réseau .

L’avantage des jugements des juridictions de tradition anglo-saxonne c’est leur caractère exhaustif: là où un arrêt de la Cour de cassation française est brève (et donc obscure) comme un haïku, un jugement de la Cour suprême US ou de la House of Lords fera facilement 50 ou 100 pages. Petit exemple: le récent divorce de Paul Mc Cartney. Un jugement de la High Court (comme son nom ne l’indique pas, il s’agit d’un tribunal de première instance) du 17 mars 2008 consacre ainsi 58 pages aux détails intimes du mariage et du divorce de l’ex-couple Paul Mc Cartney et Heather Mills:

50. After the marriage the nature of their relationship changed. At paragraph 17 of his January 2007 affidavit he said:
“After our marriage, the nature of our relationship to my mind, changed significantly. I was and remain fairly old-fashioned about marriage. We decided upon a proper wedding for that reason – I did not want any suggestion that we were in any way furtive or ashamed about our marriage. I believed it was for life and that it put everything on a very different footing. I drew up a Will to include Heather which I executed on 5 June 2002. We stopped using contraception the night we were married. There was never any question of us doing so before the wedding. Heather had one miscarriage before Beatrice was conceived in the first year of our marriage. Neither of us contemplated children without marriage.”

52. In my judgment, in assessing this issue, the background is of importance. The husband’s wife, Linda, had died in 1998. Their marriage endured for some 30 years. Repeatedly in his evidence the husband described how even during his relationship with the wife in 1999 to 2002 he was grieving for Linda. I have no doubt the husband found the wife very attractive. But equally I have no doubt that he was still very emotionally tied to Linda.
53. It is not without significance that until the husband married the wife he wore the wedding ring given to him by Linda. Upon being married to the wife he removed it and it was replaced by a ring given to him by the wife.
54. The wife for her part must have felt rather swept off her feet by a man as famous as the husband. I think this may well have warped her perception leading her to indulge in make-belief. The objective facts simply do not support her case.
55. Cohabitation, moving seamlessly into and beyond marriage, normally involves in my judgment, a mutual commitment by two parties to make their lives together both in emotional and practical terms. Cohabitation is normally but not necessarily in one location. There is often a pooling of resources, both in money and property terms. Loans between cohabitants may be forgiven.

57. I do not accept the wife’s case that the property in Heather Road in Beverly Hills was purchased for her. The husband’s explanation for putting it into Mr Whalley’s name is the more credible, namely to disguise the fact that the husband had bought it. He told me that when a star buys a house in Beverley Hills it goes onto a map showing where the stars live. The husband did not want unwelcome and unwanted visits. The husband and wife, the husband accepted, did call it “Heather House” because it was in Heather Road just as they called Cavendish Avenue “Cavendish”. I saw a DVD in which the wife could be seen in the property saying that “Heather House” was “my house” in rather a jocular way (apparently without contradiction by the husband) but that was, I find, wishful thinking on her part. I find that the husband never said to her that it was her house or that he would put it in her name. He accepted that later on in the marriage that the wife said to him that she wanted it (and other of the husband’s properties) to be transferred into her name but that was at a stage when the marriage was not good.

68. The wife complains that in April 2001 or thereabouts she was offered a contract by Marks and Spencers to model bras over a 12 month period for £1m but that the husband would not allow her to undertake to do it. Her evidence was that he forbade her. The only document produced by the wife in connection with this offer is an e-mail from Jaime Brent, a creative director from Beckenham. There is nothing in it about any remuneration. The husband’s evidence was that even if such a contract for that sum was in the offing (which he doubted), nevertheless he and the wife discussed it and decided together that as they were in a relationship it was not appropriate for her to be seen modelling bras. She agreed. He also told me that if she had insisted he would not have opposed her. In my judgment the husband’s evidence is much more likely to be true.

99. I have to say that the wife’s evidence that in some way she was the husband’s “psychologist”, even allowing for hyperbole, is typical of her make-belief. I reject her evidence that she, vis-à-vis the husband, was anything more than a kind and loving person who was deeply in love with him, helped him through his grieving and like any new wife tried to integrate into their relationship the children of his former marriage. I wholly reject her account that she rekindled the husband’s professional flame and gave him back his confidence.

142. Mr Mostyn put to her that that was a fraudulent attempt to extract money from the husband.
143. In my judgment it is unnecessary to go so far as to characterise what the wife attempted as fraudulent. However, it is not an episode that does her any credit whatsoever. Either she knew or must have known that there were no loans on Thames Reach, yet she tried to suggest that there were and thereby obtain monies by underhand means.
144. Her attempts when cross-examined to suggest that she may have got in a muddle and confused this property with others, to my mind, had a hollow ring. In the light of the husband’s generosity towards her, as I have set out, I find the wife’s behaviour distinctly distasteful. In any event, as Mr Mostyn rightly submitted, it damages her overall credibility.

172. For 10 months of the near 4 year marriage the husband was touring. This entailed first class international travel, first class hotels, and internal private flights. The husband and wife went on expensive and sometimes exotic holidays. They lived well. They often flew by private jet and /or helicopter. They always flew first class if flying with a commercial airline. The wife had an allowance of £360,000 p.a. The husband paid all the major bills. But that said, their lifestyle in their homes, particularly in England, was comparatively simple. The Cabin was a very modest property. They largely stayed in and did not eat out. They enjoyed riding and yoga. There was no round the clock security. The security in Sussex was provided by the farm workers. There was no live-in staff. The parties did not spend their time on yachts or, in the memorable phrase of the celebrated economist, Prof. J.K.Galbraith, on “conspicuous consumption”. They spent time in New York and at 11, Pintail, a modest holiday home. They never visited the Scottish properties.
173. I am satisfied that the wife has expected, and unreasonably, that such a lifestyle would not only continue but was her entitlement. She did not moderate her spending after separation. I entirely accept that when a marriage breaks down, the maelstrom of a broken relationship may well envelop both spouses and make it very difficult for them to re-order their lives, particularly financial. But I have no doubt that in the wife’s mindset, there was an element that she was going to spend (in the 15 month period) in order thereby to hope to prove that a budget in excess of £3m p.a. put forward in her Form E in September 2006 was justifiable.

191. I accept that since April 2006 the wife has had a bad press. She is entitled to feel that she has been ridiculed even vilified. To some extent she is her own worst enemy. She has an explosive and volatile character. She cannot have done herself any good in the eyes of potential purchasers of her services as a TV presenter, public speaker and a model, by her outbursts in her TV interviews in October and November 2007. Nevertheless the fact is that at present she is at a disadvantage.

211. I shall now analyse the wife’s budget.
212. It is based on a number of matters. She claims for seven fully staffed properties with full-time housekeepers in the annual sum of £645,000. She claims holiday expenditure of £499,000 p.a. (including private and helicopter flights of £185,000), £125,000 p.a. for her clothes, £30,000 p.a. for equestrian activities (she no longer rides), £39,000 p.a. for wine (she does not drink alcohol), £43,000 p.a. for a driver, £20,000 p.a. for a carer, and professional fees of £190,000 p.a. All these items Mr Mostyn submits are theoretically recognised heads of expenditure but “extraordinarily exaggerated”.

249. The conduct complained of by the wife can be summarised as follows. Prior to their separation at the end of April 2006 the husband treated the wife abusively and/or violently culminating in the unhappy events of 25 April 2006 upon which, in her oral submissions, she placed great reliance. He abused alcohol and drugs. He was possessive and jealous. He failed to protect the wife from the attention of the media. He was insensitive to her disability. Furthermore, it is alleged that post separation the husband manipulated and colluded with the press against the wife and has failed to enforce confidentiality by his friends and associates. The wife blames the husband for the leaking to the media of her Answer and Cross-Petition which alleges in strong terms unreasonable behaviour by the husband against her. The husband has failed to provide her with a sufficient degree of security from the media and generally he has behaved badly.

Petit détail: le jugement, publié sur le site des tribunaux britanniques, contient cependant un avertissement contre toute publication non-autorisée préalablement par le juge, Mr Justice Bennett:

THE HONOURABLE MR JUSTICE BENNETT
This judgment is being handed down in private on 17 March 2008. It consists of 58 pages and has been signed and dated by the judge. It may not be reported unless the judge has given leave. It is a contempt of court for any person to publish the contents of this judgment without first obtaining a direction for permission to report from the judge.

La dernière partie du jugement précise:

324. During the course of the wife’s evidence Mr Mostyn asked her if she would consent to an order, subject to any leave to report being granted by the judge, prohibiting both the husband and herself and any persons acting on their behalf from publishing, disclosing, or in any way revealing without the consent of the other, the evidence, correspondence, transcripts or judgments in this case, the terms of the financial award and any marital confidences; and if consent was not forthcoming then the party seeking publication should be able to seek the permission of a Family Division Judge.
325. The wife agreed to a consent order being made in those terms.
326. I agree to make such an order. Both parties want it and in the exceptional circumstances of this case it is just and fair to make such an order. I shall also attach a penal notice to this part of my order. But I should warn each of the parties that if either of them personally or through their associates transgresses, then the consequences for committing a contempt of court may be dire. The penal notice will make that clear.
327. Mr Mostyn also suggested that I should issue a warning to the media not to publish matters covered by my order and that to do so would amount to a contempt of court. I am confident that the media realise that both the Children Act and the ancillary relief proceedings have been conducted in private in accordance with the relevant rules of court and are confidential. I am also confident that the media will respect the privacy and confidentiality of both sets of proceedings. Beyond that nothing more needs to be said.

Vous voyez, blogguer est une occupation dangereuse…

Facebook a accidentellement publié des informations personnelles sur ses membres.

En effet, le réseau social a divulgué les dates de naissance d’une bonne partie de ses 80 millions d’utilisateurs actifs, y compris ceux qui avaient exigé que la confidentialité de ces informations soit préservée.

Selon Graham Cluley, consultant en technologie chez Sophos, les information ont été révélées lors d’un test bêta public de la nouvelle conception du site.

Graham Cluley a immédiatement informé Facebook de la faille, qui aurait à présent été corrigée.

La preuve en image :

Source : Silicon.fr

C’est de nouveau en parcourant le blog de Victoria Pynchon que je trouve aujourd’hui une présentation qu’elle a préparé sur le sens de la confidentialité en médiation.

Il s’agit d’une présentation de type “Powerpoint” d’une quinzaine de diapositives qui met bien en évidence une série d’avantages de la confidentialité, mais également de responsabilités et d’exigences qui en découlent pour le médiateur.