Que signifie "Pombo" ?
Pombo signifie "pigeon" en Portugais. Les pigeons ont un instinct
profondément gravé en eux: Rentrer à la maison.
Pourquoi avoir écrit Pombo ?
Parce que je n'étais pas satisfait des logiciels existants. Soit:
- Ils sont trop chers.
- Ils dépendent de services tiers.
- Ils envoient des emails (beaucoup de FAI bloquent l'envoi d'email)
- Ils envoie des informations non chiffrées.
- Ils permettent le contrôle à distance (risque de sécurité).
- Ils sont trop complexes ou trop lourds.
- Ils
utilisent des protocoles ou ports non standards qui ont de bonnes
chances d'être bloqués dans certains environnement (par exemple
derrière des NATs).
- etc.
Pombo est un exemple typique
de "scratch-an-itch". J'ai décidé de le publier car je pense qu'il
pourra être utile à d'autres personnes. Et parce que je pense que
personne ne devrait avoir à payer pour un service aussi simple.
Quelle différence entre Pombo et Adeona ?
Adeona
ne prend pas de captures d'écran, et ne prend des photos par
webcam que sous MacOSX. Adeona dépend du système de stockage distribué
(OpenDHT) qui ne semble pas fiable à l'heure actuelle (voir le message
sur la page d'accueil du projet Adeona). Adeona est un service (démon)
qui tourne en permanence. Adeona fonctionne sous Linux, MacOSX et
Windows (Pombo ne fonctionne
que sous Linux et
Windows).
Quelle différence entre Pombo et Prey ?
(J'ai découvert Prey juste après avoir terminé Pombo,
doh!
).
Prey
fait pratiquement la même chose que Pombo. Prey fonctionne sous Linux,
MacOSX et Windows (Pombo ne fonctionne
que sous Linux). Prey envoie ses rapport par email (Pombo utilise
HTTP). Les rapports envoyés ne sont
pas chiffrés. Les ordinateurs tracés par Prey ne commencent à envoyer leur
rapports que sur ordre (en créant une URL précise).
Est-ce que ça fonctionne sous Windows ?
Pombo 0.0.6 ne fonctionne que sous Linux.
Une version 0.0.7 qui fonctionne également sous Windows a été développée par
BoboTiG.
Est-ce que ça fonctionne sous MacOSX ?
Peut-être. Si
vous parvenez à faire fonctionner tous les programmes dont dépend
Pombo, ça pourrait marcher (mais je n'ai pas essayé).
Est-ce que c'est infaillible ?
Bien sûr que non ! Si le voleur reformatte le disque dur, Pombo
disparaît pour de bon (ainsi que votre ordinateur).
C'est
pour cela qu'il est important d'activer la fonction d'auto-login: Si le
voleur peut accéder à internet directement après avoir démarré
l'ordinateur, il sera moins tenté d'utiliser son CD de Windows pour
réinstaller tout le système. Et oui, la plupart des voleurs sont aussi
idiots que ça et seront content de pouvoir se connecter à leur compte
Facebook avec l'icône d'"Internet".
Comment puis-je protéger mes données si l'auto-login est
activé ?
Désactiver
l'auto-login n'aidera pas à améliorer la protection de votre vie
privée: A partir du moment où quelqu'un a un accès physique à votre
ordinateur, il peut accéder à tous les fichiers et obtenir l'accès
root, auto-login activé ou non. Si vous voulez protéger vos fichiers
des regards indiscrets, le chiffrement est la seule solution (TrueCrypt est
excellent).
Est-ce qu'il y a un moyen d'empêcher la diode de la webcam de
s'allumer ?
Je crains que non. Mais la plupart des gens ne la remarqueront même
pas.
Vous pouvez désactiver les captures par webcam si vous le souhaitez
(voir les source du programme).
Pourquoi n'envoyez-vous pas simplement un email plutôt
qu'utiliser un serveur web ?
Parcequ'un
nombre grandissant de FAI bloque tout traffic sortant sur le port 25
(SMTP, envoi de mail) dans le but d'entraver les réseaux de machines
zombie qui envoient du spam. Je n'ai pas encore vu de FAI qui bloque
les requêtes sortantes HTTP.
Pourquoi du php côté serveur ?
Parce qu'il est beaucoup plus facile de trouver un hébergeur qui
supporte php que Python. En fait, il est même difficile de
trouver un hébergeur qui ne supporte pas php.
Avec ce script sur mon serveur web, n'importe qui peut
déposer des fichiers !
Non, seulement ceux qui ont le mot de passe.
Si le voleur a mon ordinateur, il a le mot de passe et peut
déchiffrer mes fichiers !
Non. Le mot de passe n'est pas utilisé pour chiffrer les fichiers, mais
pour autoriser les envois de fichiers sur le serveur.
On ne peut décrypter les fichiers qu'avec la clé privée correspondant à la clé publique qui a été utilisée pour chiffrer
(qui est totalement décorélée du mot de passe utilisé dans Pombo).
La
clé privée (utilisée pour déchiffrer les fichiers) ne peut pas être
déduite de la clé publique utilisée pour chiffrer. En fait, ni
l'ordinateur tracé ni le serveur de stockage ne sont en mesure de
déchiffrer les données.
Si le voleur a mon ordinateur, il peut mettre le souk dans
les fichiers .gpg déjà envoyés !
Non,
le script php refusera d'effacer ou d'écraser tout fichier existant,
quelle que soit votre insistance (c'est la raison de l'option 'x' dans
l'ouverture de fichier fopen()).
Même avec le mot de passe correct,
le pirate ne poura pas toucher aux fichiers déjà envoyés. Le pire qu'il
pourrait faire et d'envoyer plein de fichier .gpg, probablement plein
de fichier .gpg bidon de grosse taille dans le but de saturer le
serveur. Mais c'est fort peu probable.