En ses temps de mesures sécuritaires, j’ai voulu également augmenter ma propre protection. Comme tout le monde j’ai des choses à cacher et l’utilisation d’un VPN chiffré devient une nécessité. Pour corser l’expérience, j’ai voulu payer en Bitcoin. Je précise que je n’ai jamais acheté ni l’un ni l’autre. Ce n’était pas de tout repos.

William Clinton and President Boris Nikolayevich Yeltsin

– J’arrive pas, dis le toi!
– Nous ne procédons pas à d’écoutes massives de la population et respectons votre vie p…

1. trouver un provider VPN
3 jours à parcourir les comparateurs foireux ou juste demander (plus efficace). Je choisi finalement cryptostorm. Une société tenu des hacktivistes basés en Islande, un peu bordélique (il faut aimer fouiller les forums), pas trop cher (3-4$/mois), utilisant token anonymes assez original (en gros on achète des tokens à eux ou revendeurs indépendant, pas besoin de compte) et possibilité de payer en Bitcoin, Doguecoin & co.

Je parlerai probablement de Cryptostorm après quelques semaines/mois de tests mais j’avoue être assez fan jusqu’à présent.

2. trouver un revendeur Bitcoin
2 jours de comparateurs. J’avais tenté une fois bitstamp avant d’avoir ma transaction refusée par ma banque. Cette fois, j’ai essayé avec Kraken, pas trop de frais, clean, sécurisé (2 factors, ils envoient des emails signés avec GPG…. refusés par enigmail).

3. acheter des bitcoin
4 jours pour se rendre compte qu’on ne peut pas faire de virement, donner son nom et date de naissance pour passer en tier 2 (level up!), se rendre compte qu’on ne peut toujours pas déposer d’euro, donner son adresse pour passer en tier 3, faire un virement SEPA (50€ min), attendre qu’il soit réceptionné, se prendre déjà pour un tradeur, lire des articles de trading, abandonner l’idée, acheter quelques bitcoin à 213€/BTC sans savoir si c’est un bon prix.

femme assemblant un ordinateur

1975, un des premiers prototypes d’Asic Miner

4. réceptionner les bitcoins
2 jours à chercher un client bitcoin, pleurer en comprenant qu’il me faut 33GB d’espace disque pour stocker la blockchain, se faire conseiller sur twitter d’utiliser Multibit, découvrir vanitygen, perdre une journée pour avoir une adresse toujours aussi immémorable mais commençant par « 1marte », stresser comme un fou de perdre sa tune, se rendre compte qu’en fait c’est rapide et facile.

5. acheter l’accès VPN
2 jours à payer sur bitpay, se dire que mettre mon adresse email perso n’est pas la chose la plus intelligente, attendre, vérifier toutes les 5 minutes sa boite mail, aller consulter les logs de son serveur mail, se dire qu’on a probablement foiré un truc, installer Bitmessage pour contacter le support de cryptostorm, ne pas recevoir de réponse, se dire qu’en fin de compte Twitter c’est aussi un bon moyen de communication, recevoir une réponse d’excuse comme quoi ils étaient occupé à gérer SauronsEye (un méga-malware bien flippant), recevoir un token de 3 mois au lieu de 2 pour s’excuser, les pardonner.

6. se connecter au VPN
5 minutes à choper un fichier de config au choix (il y a une dizaine de points de sortie), utiliser le sha512 du token comme nom d’utilisateur sur OpenVPN (en ligne de commande, le client de NetworkManager me donne plus de fil à retordre), aller sur IPleak pour voir que je ne laisse rien filtrer, se rendre compte que je peux maintenant résoudre les URLs .i2p et .bit avec leurs DNS, retourner voir des gifs sur reddit.

Police dog

On the internet, nobody knows you are a dog…

Que retenir de tout ça ? Que cela m’a prit un temps assez délirant, principalement passé à faire des recherches (et heureusement, ça ira plus vite la prochaine fois). Il existe des tonnes d’alternatives pour chaque point (et je n’ai surement pas choisi les meilleures ou les plus faciles). C’est une très bonne chose d’avoir le choix mais ça noie le néophyte, il faut sacrément être motivé pour se protéger aujourd’hui.

Je précise aussi que si j’ai fais cela pour des raisons de sécurité, je suis bien conscient de pas être anonyme, on peut probablement me retracer à mes bitcoin ou achat du VPN, ce n’était pas le but (mais ça serait un beau challenge pour une prochaine fois).

On en reparle dans quelques semaines pour faire le point sur Cryptostorm.

Lundi, à l’occasion d’une nouvelle opération « in our site », le gouvernement américain a annoncé a la saisie de 132 noms de domaine et de comptes PayPal associés (ce qui nous amène à 1630 domaines saisis depuis 2010). Comme a chaque fois, la subtilité américaine est de mise : on saisit et puis on réfléchit/juge. Les sites visés seraient des sites vendant des contrefaçons à l’occasion du cyber-monday (moment d’allégresse post-thanksgiving où les foules virtuelles font des offrandes au dieu Kapitalism en achetant des produits soldés dont ils n’ont pas besoin).

La où l’opération fut originale est que 31 des 132 noms de domaines possédaient des domaines de premier niveau européens. Cela a été possible avec la coopération d’Europol et de la police de plusieurs pays européens. Auparavant, ces opérations ne visent que les domaines en .com, .net, .cc ou .tv car gérés par Verisign, société américaine (le pays dans lequel les données sont hébergées n’a pas d’importance). Grâce à cette coopération, des domaines en .eu, .be, .dk, .fr, .ro et .uk (on a trouvé les cafteurs) ont été également saisi. Le cas du .eu est d’autant plus alarmant qu’il est géré par EURid, un consortium de trois registars européens (Belgique, Italie et Suède) créé par la commission européenne. On le pensait assez résistant contre les risques de censures.

Attention, je ne défends pas les sites web proposant du contenu illégal. Seulement il n’est pas garanti qu’ils soient réellement illégaux. On a par exemple le site espagnol RojaDirecta.com qui proposait des liens pour regarder des matchs sportifs en streaming. Le problème est que ce site a été jugé légal par le gouvernement espagnol. Cela n’a pas d’importance pour le gouvernement américain puisqu’un mandat à suffit à saisir le nom de domaine (qui fut récupéré après plus d’un an suite au combat du propriétaire). Ceci n’est qu’un exemple parmi d’autres de ce que je considère comme un abus de la part des américains.

Ces saisies visaient des sites proposant des contrefaçons mais il ne serait pas très étonnant de voir s’appliquer la coopération à des sites de torrent qui avaient prit l’habitude d’abandonner le trop risqué .com (piratebay, ils sont bons tes rapports avec la Suède ?). Pourquoi pas des sites qui dérange comme WikiLeaks dans le future ? Je ne sais pas s’ils ne l’ont pas encore fait parce qu’ils ont peur de la réaction des gens ou parce qu’ils savent que ça serait inutile au vu du nombre de miroirs présents.

Hey John, t’as vu comme ces cons y croyaient avec leur .eu ?

Le problème n’est pas la coopération internationale mais le fait que cela enfonce l’idée que l’Amérique a un contrôle sur internet. La gestion centralisée des noms de domaine par l’ICANN et l’influence du gouvernement américain est clairement un problème permettant ce genre de dérive. Il y a quelques temps, j’avais parlé d’OpenNIC et des noms de domaine décentralisés. Il est plus que temps que ce genre d’alternatives sorte de la sphère geek-parano (et se professionnalise un peu plus). Le .onion de Tor risque également de séduire quelques personnes.

Le future nous dira comment les saisies se poursuivront et dans quel sens mais on peut s’attendre à ce que ce genre de coopération se répète dans le futur. Je crains que la liberté sur internet sera encore mise a rude épreuve prochainement.

[Source]

Mise à jour 5/12/12: il semblerait qu’EURid, responsable des .eu, refuse de donner des informations sur la saisie comme de qui vient la demande ou pour quelle raison. Je sens que je vais regretter mon achat de .eu moi. Plus d’info : Complaint To Brussels Prosecutor Put BitTorrent Domains In Peril.

ACTA est mort hier au vote du parlement 39 pour, 478 contre. C’est génial, le peuple gagne, on a enfin fait comprendre à ces politiciens et géants qu’on ne se laisserait pas faire ! Et de deux après SOPA, 2012 s’annonce bien.

Bon, maintenant qu’on a pu faire péter le Champomi toute la nuit, il faut réaliser que, merde, on est encore loin du compte en fait. Pour un web libre, sans contrôle abusif de gouvernements et grosses compagnies qu’est ce qu’il reste à faire ? Une liste non-exhaustive des choses qui pourrissent l’internet:

Tant de choses face auxquelles on est quasi impuissant. Personnellement faire cette liste m’a donné envie de baisser les bras et aller élever des chèvres à Sulawesi.

Heureusement, il y a des gens qui n’ont toujours pas dit leur dernier mot et parfois, la masse arrive à faire changer les choses.

En bref: ne nous réjouissons pas trop vite mais ne perdons pas courage !

On assistera bientôt aux jeux olympiques de Londres. Un évènement mondial qui fera vibrer la célèbre capitale Anglaise pendant lequel chaque pays montrera ce qui se fait mieux en terme de sport, le tout dans la joie et la bonne humeur. En principe c’est plus ou moins ça. Dans les faits, c’est juste un évènement pour se faire un max de fric en un minimum de temps et tant pis si on écrase les libertés individuelles au passage.

J’exagère ? Je ne pense pas, après avoir organisé l’édition précédente dans un pays qui bafoue largement les droits de l’homme, le comité olympique a décidé de donner tous pouvoir aux sponsors cette fois. La liste des interdictions est affolante et fait penser qu’on est loin de la modernité prétendue de cette édition.

  • La « police des marques » fera le tour du stade pour effacer tous les logo de marques ne faisant pas partie des sponsors (y compris sur les toilettes).
  • Les athlètes ne peuvent parler d’un produit non sponsorisé (Pepsi ? Connait pas, on boit que du coca ici, il n’y a que coca qui existe d’ailleurs)
  • Ils ne pourront pas non plus commenter sur les performances des sportifs sur Twitter (réservé aux journalistes s’il vous plait)
  • Des commerçants locaux ont été menacés de procès pour avoir utilisé une combinaison de deux des mots suivants : olympique, Londres, 2012, été ou jeux.
  • La sportive Sally Gunnell n’a pas pu prendre une pose de sa victoire des JO de 92 devant un avion Easy Jet, seul British Air existe.
  • Les spectateurs ne peuvent publier de photos ou vidéos prises dans le village olympique sur les réseaux sociaux. Ils doivent rester dans un cadre très privé (dont les 200 amis Facebook ne font pas partie).
  • Des compagnies qui ne font pas partie des sponsors ne pourront pas offrir des places aux JO.

Un peu abusif non ? C’est encore pire qu’a Beijing. Vous voyez encore l’aspect sportif là dedans ?

En tout cas j’attends de les voir essayer de censurer les milliers de gens qui, armés d’effrayants smartphones, voudront partager ce qu’ils voient avec le monde. Qu’ils essayent seulement…

[Source, Source]

Vous avez surement entendu parler de SOPA, la loi américaine liberticide qui veut donner tout pouvoir aux gouvernement et entreprises privées pour appliquer la censure sur internet au nom du sacro-saint principe de lutte contre le piratage. Si appliquée cette loi touchera tout le monde au vu du nombre de sites internet qui tomberait sous l’influence de cette loi (et puis elle risque de donner des mauvaises idées).

Pour faire pression sur les parlementaires et montrer que, non, on préfère un internet libre plutôt qu’un réseau contrôlé d’un bout à l’autre par des grosses multinationales pour leur permettre de gagner encore plus de fric (ah on me souffle dans l’oreillette que ce serait déjà le cas), une mobilisation se développe sur internet. Des sites tels que Reddit ont annoncé mettre en place un blackout et fermer leur site pendant le 18 janvier de 8 à 20h EST (14h à 2h du matin chez nous). De nombreux autres sites ont annoncés suivre le mouvement. Wikipédia va sans doute suivre le mouvement mais rien n’est confirmé à ma connaissance. Un site Wikipediablackout a d’ailleurs été mit en place pour convaincre ce dernier. Chaque inscrit promet de donner 1€ de don si le blackout était mit en place (je n’ai pas réussi à m’inscrire à cause du javascript foireux…).

Si vous aussi vous possédez un site internet et pensez que c’est important de se mobiliser (à nous de le faire), voici la marche à suivre pour facilement mettre en place une page de blackout sans pour autant se faire pénaliser par Google ou autres bots qui désindexeraient votre site et sans devoir se prendre la tête en modifiant tous ses fichiers.
La marche à suivre ici est faite pour un site en php tournant sous apache, elle fonctionne très bien pour un site comme wordpress.

1. Créez un fichier .htaccess avec le contenu suivant

RewriteEngine On
RewriteBase /
RewriteCond %{REMOTE_ADDR} !^88.190.27.51
RewriteCond %{REQUEST_URI} !^/blackout.php$
RewriteRule ^(.*)$ http://mart-e.be/blackout.php [L]

N’oubliez pas de remplacer l’adresse ip de mon serveur par la votre ainsi que l’url à la dernière ligne.

Ce code va rediriger n’importe quelle requête (à l’exception de celles faites vers blackout.php pour éviter les boucles infinies) vers la page blackout.php

2. créez une page blackout.php




L’important se trouve dans les premières lignes php qui vont renvoyer un code HTTP 503 Service Unavailable pour indiquer aux bots cette page est temporaire et non le nouveau contenu de votre site.

Le serveur retourne un status HTTP 503

Sur cette page, vous pouvez expliquer grosso-modo pourquoi vous faites ce blackout pour sensibiliser vos visiteurs et leur faire comprendre que c’est un choix et non un problème technique. Vous pouvez voir un exemple de la mienne ici.

Page faite à l'arrache

3. Le jour B, placez ces deux fichiers à la racine de votre site. Vous pouvez déjà placer le php aujourd’hui, c’est le .htaccess qui va influencer toutes les requêtes. Attention, si vous aviez déjà un fichier .htaccess n’oubliez pas d’en faire un backup sous peine d’avoir quelques problèmes post-blackout.

4. Après le blackout, il vous suffira de supprimer le fichier .htaccess ou remplacer par l’ancien. Vous pouvez garder la page blackout.php, ça risque de servir vu les temps qui courent

Bon blackout 😉

css.php