Toujours le dilemme entre la facilité d'utilisation et la protection de la vie privée.

Je met ça de côté pour examen ultérieur: un logiciel de chat/voip/visio opensource décentralisé multiplateformes. à tester...
Il utilise la DHT pour se passer d'un serveur central, et fait du NAT-punching avec diverses méthodes (STUN/TURN/ICE/UPnP) pour traverser les firewalls.

Le bonne blague du jour: Tim Cook a clamé haut et fort que les messages échangés avec iMessage sont chiffrés et qu'Apple ne peut pas les lire parce qu'ils n'ont pas la clé.
Si vous avez activé le backup d'iCloud, vos messages sont sauvegardés chez Apple, chiffrés également. Sauf qu'Apple a les clés d'iCloud. Donc Apple peut absolument lire tous vos messages.

Vous voyez ce joli cloud qui promet de partager vos fichiers de manière très privée ? L'un des co-fondateur a reçu des pressions pour y inclure des backdoors: https://twitter.com/kaepora/status/688343332867694592
Des pressions de qui ? Du comité de direction. Peerio appartient à une société pétrolière.

Tiens un nouveau client mail.
« Il s'agit d'un client mail disponible sous Linux, Windows et OSX qui se veut entièrement open source et libre (licence GPLv3), »   Oh bien :-)
« lorsque vous configurez votre compte mail dans N1, vos informations de connexion sont conservées sur les serveurs de Nylas. »   ಠ_ರೃ
Ok donc ils récupèrent la TOTALITÉ de vos mails sur leurs serveurs. Normal quoi.

« David Chaum a expliqué que pour prévenir l’utilisation du réseau par des cybercriminels ou d’autres groupes illicites, il envisage la création d’un « PrivaTegrity Council ». Ce conseil donnerait accès aux données utilisateurs lors d’une requête de justice, mais seulement pour les personnes qui utilisent le réseau à des fins cybercriminels. »
Oui donc non merci. ಠ_ಠ

Telegram fait la une, ces derniers temps, et gagne en popularité (http://www.numerama.com/tech/135415-whatsapp-bloque-au-bresil-telegram-gagne-15-millions-dutilisateurs.html).
Pourtant, si je devais vous recommander une application de communication chiffrée, ce serait plutôt Signal.

Je ferai abstraction des très nombreuses critiques concernant la crypto de Telegram (car ils prennent grand soin de répondre à chaque point levé), et je pense qu'ils ont de bonnes intentions, mais il reste un problème à mes yeux: Ils ont la possibilité de déchiffrer vos messages. Dit autrement: ce n'est pas du chiffrement de bout en bout par défaut, sauf si vous utilisez la fonction «Secret chat». C'est d'ailleurs grâce à cela que Telegram peut aussi exister aussi en version "web" et "desktop" (ce qui n'est pas le cas de Signal).
https://telegram.org/faq#q-so-how-do-you-encrypt-data
https://telegram.org/faq#q-how-are-secret-chats-different
(D'ailleurs, c'est visible ici: https://www.eff.org/secure-messaging-scorecard)

Donc ça me met un peu mal à l'aise. Non que le logiciel soit de mauvaise qualité, mais les utilisateurs penseront être en train de discuter en toute confidentialité alors que ce n'est pas le cas.
(Même si la société Telegram est allemande, donc a priori un peu moins sujette aux demandes abusives qu'une société américaine.)

Signal est lui, par défaut, chiffré de bout en bout.
Une fois installé, il s'intègre à Android: quand vous sélectionnez un contact, vous pouvez passer un appel normal, un appel chiffré ou envoyer un message chiffré.
En plus de la messagerie chiffrée, il peut optionnellement aussi prendre en charge vos SMS, même s'il ne fait plus de chiffrement des SMS (comme SMSSecure le fait: http://sebsauvage.net/bon-android/?d=2015/09/16/19/35/06).

Pourtant Signal a aussi ses problèmes.
- Tout comme Telegram, si pas de WiFi/3G à portée, alors pas d'échange de message possible.
- Tout comme Telegram, Signal exige l'entrée de votre numéro de téléphone. Utilisation donc a priori impossible sur tablette (et bien entendu sur desktop).
- Les messages sont bien chiffrés de bout en bout, mais le développeur utilise les services GooglePlay (GCM: Google Cloud Messaging) pour les transférer d'un téléphone à l'autre. (Telegram passe par ses propres serveurs.)
- Conséquence: Distribution impossible de l'application sur F-Droid.

On est donc encore loin d'une situation idéale. Pourtant Signal me semble encore pour le moment un meilleur choix que Telegram en tant que messagerie chiffrée simple d'emploi.

Concernant le code de Signal, je suis tombé sur divers articles de cryptographes et développeurs qui ont examiné le code source, et qui sont visiblement restés pantois face à la qualité du code et au soin apporté à la sécurité. C'est plutôt bon signe. Le code de Signal a déjà largement été passé en revue.

Il reste bien sûr encore d'autres pistes à explorer: ChatSecure (OTR+XMPP, capable de se connecter au serveur XMPP de votre choix en sus, et même passer par TOR), SilentCircle (que je n'ai pas regardé).


Voici les applications pour smartphones ayant reçu les meilleures notes de l'EFF.
 - Signal : https://play.google.com/store/apps/details?id=org.thoughtcrime.securesms
 - Telegram (en mode «Secret chat») : https://play.google.com/store/apps/details?id=org.telegram.messenger
 - ChatSecure : https://play.google.com/store/apps/details?id=info.guardianproject.otr.app.im
 - SilentCircle : https://play.google.com/store/apps/details?id=com.silentcircle.silentphone

A noter également:
- Signal : à but non lucratif basée au États-Unis : https://whispersystems.org/
- Telegram : société à responsabilités limitée, sur le sol allemand : http://telegram.org/
- ChatSecure : opensource. Tenu par un collectif international : https://guardianproject.info/
- SilentCircle : société commerciale (Suisse) fondée entre autre par l'auteur de PGP : https://www.silentcircle.com/

Tous sont à sources ouverts (ce qui est une condition sine qua none pour la sécurité).

Mon regret: Tous passent par des serveurs tiers (même si ChatSecure vous permet d'utiliser le serveur XMPP de votre choix).  A quand une messagerie qui utilise la DHT (comme le fait RetroShare) ?  Est-ce seulement viable en 3G ?


EDIT: Oh là... gros changements prévus côté ChatSecure (refonte du coeur de l'appli + sortie d'une version simplifiée Zom), et aussi l'implémentation d'un des protocoles de Signal.
Voir: https://chatsecure.org/blog/chatsecure-core/
et : https://chatsecure.org/blog/chatsecure-conversations-zom/
Ça vaut peut-être le coup d'attendre la nouvelle version.

EDIT: sur le même sujet: https://recode.net/2015/12/21/is-your-messaging-app-encrypted/

Mouais... je crains aussi de genre de chose. Et toutes les autres boîtes noires à la Akismet. Du point de vue webmaster ça a toujours l'air super-cool, mais ça fait systématiquement des dommages collatéraux (en plus de miner la vie privée des internautes, puisque CloudFlare récupère l'intégralité du trafic de votre site).
CloudFlare semble pour le moment être des "good guys", mais pour combien de temps ?

Oh ben oui, une Barbie avec micro et caméra qui envoie tout sur un serveur distant, que peut-il arriver de mal ?
OH wait... http://www.lemonde.fr/economie/article/2015/12/01/les-jouets-vtech-victimes-d-un-cybercriminel_4821275_3234.html
EDIT: Ah finalement V-Tech c'est pas 200 000 comptes piratés, mais 6,3 millions. http://motherboard.vice.com/read/hacked-toymaker-vtech-admits-breach-actually-hit-63-million-children

Je cite l'article: « BlackBerry ne partage pas la position des sociétés promouvant un « chiffrement de bout en bout ». »
Qu'on peut traduire par: « On a fait ce qu'il faut pour pouvoir déchiffrer les messages de nos clients sur demande des gouvernements. »
Ben tiens, ça a bien changé depuis les débuts, hein ?
L'argument de vente principal de BlackBerry au cours de toutes ces années vient brutalement de s'effondrer.

Quand les démocraties utilisent les méthodes des dictatures pour nous "garantir" la sécurité, au prix de notre liberté bien sûr: Une nouvelle loi en Grande-Bretagne, la « Investigatory Powers Bill » va permettre au gouvernement de forcer les éditeurs de logiciels à inclure des porte dérobées ("backdoors") dans les logiciels, et leur imposer le silence sous peine de prison (s'ils ont le malheur d'en parler).
Ils auront également l'obligation d'apporter leur soutient pour les opérations d'interception et de collecte de données.
Je m'attends à des lois similaires en France, ainsi qu'à une criminalisation grandissante de la crypto.

Voilà voilà... on va rendre le chiffrement illégale.
Enfin précisons: On va rendre le chiffrement FIABLE illégale.
Vous serez dans la légalité si vous utilisez un chiffrement faible ou qui contient une belle backdoor.
Notez que ce n'est pas le premier pays à faire ça. De mémoire, à une époque la France obligeait tout fournisseur de solution crypto à donner des solutions de déchiffrement.
Donc pour le dire autrement: Le gouvernement vous autorise à placer des portes blindées et des coffre-forts chez vous, à condition que le fabricant lui donne une copie des clés.

Merci ! (http://shaarli.warriordudimanche.net/?IyTgCA)

Oh ben y'a des entreprises qui doivent être contentes...
ça confirme ma décision précédente: Boycotter Lenovo.

Pourquoi refuser d'être aveuglément fiché ? Pour éviter de voir ses informations personnelles VENDUES par des officiers peu regardants. Dans ce cas: un policier qui a vendu aux tabloïdes des informations personnelles sur George Michael.
Mais ne vous dites pas que ça n'arrive qu'aux stars: On se souviendra de Disney et Ikea qui piochaient illégalement dans les fichiers de la police et de la gendarmerie au travers de quelques complicités pour se renseigner sur leurs employés ou leurs clients...
http://rue89.nouvelobs.com/2012/02/28/espionnage-quand-ikea-faisait-son-marche-dans-les-fichiers-de-police-229786
http://rue89.nouvelobs.com/rue89-eco/2012/03/06/ikea-le-detective-avait-deja-trempe-dans-un-trafic-de-fichiers-229953
http://lexpansion.lexpress.fr/entreprises/espionnage-en-kit-chez-ikea-qui-a-fait-quoi_1407044.html
http://rue89.nouvelobs.com/2013/04/25/terrorisme-pedophilie-disney-fouinait-passe-salaries-241780

Quant aux USA, il y avait également quelques affaire croustillantes, comme ce policier qui se servait du fichier national pour retrouver son ex-femme afin de la harceler.

Ne jamais oublier que les surveillants ne sont pas forcément bienveillants.

Même si vous avez désactivé la recherche en ligne, Windows s'empresse d'envoyer à Microsoft ce que vous tapez dans le menu "Démarrer". (Avec ici en prime un joli tutoriel pour faire du MITM.)
Notez que bien sûr Android et consorts font la même chose, ce qui n'excuse malgré tout rien.

HHmmm ?  Microsoft vient de glisser discrètement des outils de tracking dans Windows 7/8 via WindowsUpdate ?  >:-(
http://kevinvuilleumier.net/2015/08/supprimer-loutil-de-telemetrie-dans-windows-7-8/

Pour ceux que ça pourrait intéresser: Une fois connecté à votre compte Google, cette page vous donnera tous les mots de passe que Chrome a enregistrés (et vous pourrez les voir et les supprimer): https://passwords.google.com/

Raison de plus d'utiliser un VPN même en 3G: Un bon paquet d'opérateurs GSM interceptent les entêtes HTTP que votre téléphone envoit et y injectent un cookie, un identifiant unique qui permet de vous suivre à la trace. Le truc, c'est que vous n'avez aucun contrôle sur ce cookie et aucun moyen de le supprimer puisque ce dernier est inséré directement par le réseau de votre opérateur, après que la requête HTTP ait quitté votre téléphone.
La solution ? Ne surfer qu'en HTTPS (en priant pour que l'opérateur ne fasse pas un joli MITM non détecté), ou passer par des VPN (Oui le VPN peut être intéressant même en 3G pour différences raisons: http://sebsauvage.net/links/?86I6iQ).

EDIT: En plus des cookies, certains FAI injectent des publicités dans des sites qui ne leur appartiennent pas (http://sebsauvage.net/links/?Q8POCQ) ou  injectent leur javascript dans toutes les pages que vous visitez:
https://reflets.info/sfr-modifie-le-source-html-des-pages-que-vous-visitez-en-3g/
https://reflets.info/sfr-man-in-the-middle-oui-cest-particulierement-grave/
ou encore mettent en place des proxy-cache transparents:
https://reflets.info/3g-sfr-oui-sfr-altere-bien-mon-experience-utilisateur-et-pire-encore-il-altere-mes-usages-professionnels/

EDIT: Pour voir si des pages ont été altérées, voir: http://sebsauvage.net/links/?oCp-nw

Euh... quoi ?  Voilà que Firefox fait des requêtes HTTP simplement quand on passe le curseur sur un lien ?  WTF ? C'est l'une des plus mauvaises idées qui soit.
PS: Je n'ai pas pris Wireshark pour vérifier ce comportement.
Pour désactiver: network.http.speculative-parallel-limit = 0 dans about:config

Vous avez déjà lu des tonnes d'articles disant que Windows 10 est un spyware ? C'est peut-être en *dessous* de la vérité.
Un gars s'est "amusé" à sniffer le trafic réseau d'un Windows pour voir ce qu'il faisait.
TOUTE TOUCHE TAPÉE AU CLAVIER est stockée dans un fichier... envoyé toutes les 30 minutes aux serveurs de Microsoft.
Tout numéro de téléphone ou titre de film tapé dans la recherche, MÊME LOCALE, est envoyé à Microsoft.
Dès que la webcam est allumée, les premiers 35 Mo de la capture sont envoyés aussi aux serveurs Microsoft.
Tout ce qui est dit au microphone est également envoyé, même quand Cortana est désactivé.

Je n'ai pas pu vérifier la véracité de tout cela, mais si cela s'avère, alors Windows 10 est un spyware bien plus abominable que ce que Google et Apple ont pu réaliser.
Je le répète: Cet article est à prendre avec des pincettes et tout cela devra être vérifié.

:-(((
Et chez Korben: http://korben.info/big-cazeneuve-est-maintenant-une-realite.html
Bon ben TOR par défaut pour surfer, VPN ailleurs, SMS chiffrés...  Le conseil constitutionnel est véritablement une farce.
Chez Tristan: http://standblog.org/blog/post/2015/07/24/La-Loi-Renseignement-passe-le-Conseil-Constitutionnel

Pouah  :-(

Des fois je me foutrais des baffes. Cette appli de listage de répertoires en php me semblait bien. Minimaliste.

MINIMALISTE ?
maxcdn.bootstrapcdn.com/bootstrap/3.3.4/css/bootstrap.min.css
maxcdn.bootstrapcdn.com/font-awesome/4.3.0/css/font-awesome.min.css
jax.googleapis.com/ajax/libs/jquery/2.1.3/jquery.min.js
maxcdn.bootstrapcdn.com/bootstrap/3.3.4/js/bootstrap.min.js
fonts.googleapis.com/css?family=Cutive+Mono
etc.

Purée de merde, aller rapatrier du css, du js, des fontes de divers CDN. On a pas la même définition de "minimaliste".
Alors OUI c'est un logiciel libre, mais tant pis pour votre vie privée.
Et bien non merci.
Je pense qu'on peut faire mieux.