Sécurité PersonnelleSécurité des informations

ID Guard Stamp, masquer ses informations personnelles

Dans les vols intérieurs aux Etats-Unis, ma distraction favorite est de parcourir le catalogue de VPC Skymall, car en dehors de quelques bonnes rigolades sur certains produits totalement kitch ou inutiles, on y découvre certains produits intéressants pour le voyage ou la « home security » comme ils disent (sécurité de la maison).

Dernier produit découvert, le tampon pour masquer vos coordonnées sur les courriers/papiers, le ID Guard Stamp.

J’ai toujours prôné le « shredder » (broyeur à papier) ou le bon vieux « au feu dans la cheminée / ou dans le jardin » pour ceux qui le peuvent, et pense qu’il est important de ne pas laisser la moindre information personnelle dans ses déchets. L’idée de les tamponner pour les rendre illisibles ne m’était pas venu à l’esprit… et je n’ai pas testé (donc ne peux vous dire si l’encre masque efficacement tous types d’impression/surface), car je reste sur mon habitude originelle (et plus économique) de destruction du papier.

Mais je voulais partager avec vous cette découverte amusante

Sécurité PersonnelleSécurité des informations

Proxies & anonymizers

Vous avez remarqué que depuis quelques semaines, les articles se faisaient rares.

La raison est que je voyageais en Chine (entre autres à la rencontre de fabricants d’équipements de sécurité, cela fera l’objet de prochains articles) et que la Chine bloque de manière assez inattendue certains serveurs, et c’est le cas, en ce moment, de celui qui héberge le blog PROTEGOR. Ce n’était pas le cas l’an passé, et cela peut à nouveau changer dans les mois qui viennent. D’ailleurs Facebook & Youtube sont actuellement aussi bloqués. Au final, impossible donc de publier les articles que je voulais.

Il y a toutefois un moyen de surfer sur n’importe quel site bloqué.
Cette solution technique est la même que la solution pour surfer en tout anonymat.

Il s’agit d’utiliser un site « anonymizer » ou « proxy ». Un « proxy » est par définition un serveur intermédiaire servant de relai. Un site « proxy » va surfer pour vous. Vous lui indiquez sur quel site vous souhaitez surfer, il y va pour vous, et vous renvoie la page qu’il a pu lire. Ce genre de site a deux utilités :
- pouvoir surfer de manière anonyme, car le serveur du site lu ne voit que l’adresse IP du site proxy, et pas la vôtre
- pouvoir surfer sur un site interdit, dans un pays ou une entreprise ou chez un fournisseur d’accès bloquant certains sites

Il faut bien évidemment que ce site proxy ne soit pas bloqué dans le pays où vous êtes, mais si c’est le cas, trouvez-en un autre qui ne le soit pas, il y en a des centaines et dans quasiment tous les pays.

Les deux sites que j’utilise : anonymouse.org & vtunnel.com.

A voir aussi : freeproxies.org, proxy.org.

Sécurité PersonnelleNouveautésSécurité des informations

Big Brothers Awards

Les gagnants 2010 des Big Brothers Awards sont désormais connus ; On notera Hortefeux pour son concept de Videoprotection, Estrosi pour la ville de Nice la plus vidéosurveillée de France, Chatel/Darcos pour le fichage des élèves, and much much more…

Les résultats sont ici !

Sécurité PersonnelleNouveautésSécurité des informations

MMA se lance aussi dans le coffre fort numérique

Il y a deux mois, Air France & Allianz faisaient la promotion de leur coffre-fort numérique.

Récemment, c’est l’assureur MMA qui a lancé une campagne de publicité pour un produit similaire. Ce coffre fort numérique MMA est d’une taille illimité pour les sociétaires mais tout le monde peut s’inscrire gratuitement et disposer d’un espace de 100 Mo.

Les garanties contractuelles sont plutôt attractives : confidentialité assurée, durée de stockage illimité, sauvegarde…

Merci à Gilles pour l’info !

Sécurité PersonnelleSécurité des informations

Les « questions secrètes », le point faible de votre mot de passe

Il y a un bon mois, une petite brève a fait sourire beaucoup d’entre nous, un hacker auvergnat piratait le compte Twitter de Barack Obama ! Ce qui est intéressant dans cette histoire, c’est la méthode de ce hacker, car elle est applicable par tous.

Aujourd’hui, il y a toujours comme depuis le début de l’informatique, les vrais hackers qui investissent de longues années de leur vie à étudier & comprendre les systèmes, trouver leur faille… et qui finalement utilisent des techniques complexes que peu de gens sont capables d’appliquer.

Mais il y a aussi de plus en plus d’individus lambda qui peuvent « hacker » ou « bricoler » certains systèmes en se basant simplement sur la logique & la facilité d’accès aux informations donnée par le web.  Dans le cas de notre exemple, la méthode est basée sur la logique. Un mot de passe, s’il est bien choisi (e.g. cf. les règles évoquées dans le guide protegor ) peut être difficile à casser informatiquement (ou ça prend beaucoup de temps). Mais certains, après avoir choisi un mot de passe compliqué, remplissent la fameuse « question secrète » (méthode couramment répandue pour retrouver son mot de passe quand on l’a perdu… vu que l’envoi d’un mot de passe par email n’est pas très sécurisé non plus) avec une réponse simplissime.

Ces questions secrètes sont formattées et souvent basiques pour que chacun puisse l’appliquer à son cas, et il suffit alors au « hacker » d’enquêter un peu sur sa victime pour trouver la réponse qui sera le sésame pour que le système lui divulgue le mot de passe. Pire, parfois le système propose à l’internaute de formuler lui même la question secrète qui lui sera posée pour accéder à son mot de passe… très bien si la question est compliquée, mais certains remplissent le champ par une évidence (« 1 + 1 = ? ») !

Cette méthode n’est finalement pas du « hacking » mais de l’investigation… du boulot d’ « apprenti détective », rendu souvent très simple avec les réseaux sociaux.

Trouver le nom de jeune fille de sa victime, la préfecture de naissance de sa mère, la marque de sa première voiture, son acteur préféré, son meilleur ami d’enfance, son animal de compagnie, etc. peut en effet s’avérer plus facile que de mettre en place un système technologique pour cracker le mot de passe. Parfois c’est même très simple… pour trouver le meilleur ami, aller sur le facebook de la victime permet de vite réduire les champs du possible, et avec une bonne capacité de déduction, il est parfois possible de trouver la solution en quelques clics.

En conclusion, rien ne sert d’avoir un mot de passe « béton » s’il est associé à une « question secrète » dont la réponse peut être trouvée par un tiers !

Sécurité PersonnelleSécurité des informations

Surfons heureux, surfons cachés (ou comment cacher son adresse IP)

Sujet un peu « geek » aujourd’hui, mais finalement très protection personnelle sur le net : comment cacher son adresse IP.

Les plus « aware » en informatique d’entre vous savent bien évidemment ce qu’est une adresse IP, pour les autres, c’est l’adresse technique qui identifie votre ordinateur sur le net (son format : quatre nombre de 2 à 3 digits, séparés par un point, voir exemple ci-dessus). Cette adresse est attribuée par votre fournisseur d’accès internet à votre ordinateur quand votre ordinateur se connecte au réseau.

Donc quelqu’un qui connaît votre adresse IP peut en théorie savoir qui vous êtes. « En théorie » car l’information « adresse IP = ordinateur de Mr Dupond » n’est pas publique, bien évidemment… mais en pratique, de bons informaticiens ou les potes  d’un des administrateurs système de votre FAI pourront y accéder

L’intérêt de changer son adresse IP (le plus régulièrement possible) est aussi d’empêcher un site tiers de savoir que vous le visiter régulièrement et de faire le lien entre vos différentes visites.

Pour ceux qui veulent tester, voici un petit logiciel gratuit à tester pour cacher sin IP et donc surfer « invisible » : NotMyIP
<<LIEN http://www.privacy-gateway.com/notmyip.html SUPPRIME, UN CHEVAL DE TROIE A ETE DETECTE>>.

Sécurité PersonnelleNouveautésConseils & astucesSécurité des informations

Internet Eyes… en Angleterre, tout le monde vous surveille

On connait l’omniprésence des caméras de surveillance chez nos voisins d’outre-manche. Les anglais disposent de plusieurs millions de « CCTV » et autant de signaux pour avertir de cette présence considérée dissuasive.

Le problème d’avoir autant de caméras est de trouver autant d’yeux pour surveiller ce qu’il s’y passe. Une étape supplémentaire est franchie avec un site anglais qui propose désormais de rémunérer les internautes pour surveiller les bandes vidéos live de caméras aléatoirement (sans divulguer l’endroit observé… s’il n’est pas évidemment reconnaissable). Les internautes peuvent générer une alerte s’ils sont témoins d’un événement notable sur la vidéo qu’ils surveillent, l’alerte remonte au propriétaire de la caméra (Etat, société privée de sécurité, etc.) et si ce dernier qualifie l’alerte de valide, des points sont crédités sur le compte de l’internaute témoin. Ces points se transforment au bout d’un certain nombre en argent…

J’ai comme l’impression qu’un tel système causerait quelques vagues chez nous

Sécurité PersonnelleSécurité des informations

Archive.org, un exemple de traces sur le web

Archive.org est un « vieux » site  de l’internet, que j’adore utiliser pour retrouver des informations, et je voulais le partager pour 2 raisons :
- comme exemple supplémentaire de sensibilisation au fait que toute information laissée un jour sur internet, peut rester disponible même après avoir été « effacée »
- comme outil pour trouver efficacement des informations disparues

Et oui, vous l’avez peut-être compris : Archive.org archive l’internet ! Ce n’est pas une mince affaire entreprise par ce site non commercial, qui depuis des années (1996 exactement), effectue une sauvegarde de toutes les beaucoup de pages web à périodes régulières (souvent mensuelles). Ainsi pour une page donnée, il est possible de retrouver la page telle que publiée N mois auparavant. Inutile de détailler plus ici l’intérêt de telles archives !

Sécurité PersonnelleSécurité des informations

Volez-moi !

Please rob me (« volez-moi s’il-vous-plait ») est une initiative web californienne pour sensibiliser les internautes au contrôle de la diffusion de leur données personnelles, avec un focus tout particulier sur le contrôle de la diffusion de l’adresse de son domicile, et de toute information sur sa localisation via les médias sociaux.

Il n’y a que 15 ans, alors qu’internet commençait à voir le jour en France, tout le monde avait le réflexe de ne pas clamer sur tous les toits la date de son départ en vacances ; seuls les voisins de confiance savaient et étaient d’ailleurs parfois chargés de surveiller… j’emploie l’imparfait exprès, car avec internet, il semblerait que beaucoup aient perdus leur bon sens et annoncent désormais sur leur blog/facebook/twitter/myspace/etc. le lieu où ils sont, l’endroit & les dates de leurs vacances, et acceptent même d’être trackés par leur iPhone (ou autre) et de se voir repérés par quiconque sur une carte…

Ce que PleaseRobMe, c’est qu’avec un tel comportement, il ne faudra pas s’étonner d’avoir son appartement ou sa maison visitée un jour !

Et plus globalement, les articles de PleaseRobMe attirent votre attention sur tous les LBS ( « location based services », services basés sur votre localisation… par exemple « trouver le restaurant/cinéma le plus proche »). Et pour ceux qui suivent le futur de la technologie, on n’est qu’au début de l’exploitation de la localisation personnelle (e.g. la « réalité augmentée »)… ça promet

Le conseil de Protegor sur ce sujet n’est pas de dire qu’il ne faut pas utiliser les services de type LBS, ce serait se mettre au ban de la société & se priver d’un vrai gain en efficacité, mais juste être conscient de l’information que l’on donne et du danger potentiel associé (le service vaut-il le coup ? le risque est-il important ?).

Sécurité PersonnelleSécurité des informations

Coffre-fort numérique

Dans l’ère du numérique, nos bons vieux coffres-forts qui servaient à protéger les papiers importants (du vol, plus rarement des innondations ou du feu) ont leur équivalent : le coffre fort numérique.

Il s’agit simplement d’un espace informatique sécurisé permettant de stocker & d’accéder à distance aux copies électroniques de vos documents les plus importants. Air France et Allianz proposent ce service et y adjoignent des services (explication des démarches en cas de vol, livraison de médicaments, alerte auprès de proches, etc.).

L’objet devenant service, un abonnement est à payer ! (ahhh la société de consommation et ses bons vieux modèles de rentabilité…)

Pour info, le produit Air France Allianz est entre 58€ & 69€ par an ; pas forcément très cher selon la qualité & les conditions des services associés, et a priori plus safe que la bonne vieille archive zip cryptée stockée dans une boîte email (qui reste, pour rappel, la solution gratuite pour se bricoler un coffre-fort numérique). Quoique… à tester. Certains ont-ils déjà testé ce « produit » ou un produit similaire ?

Sécurité PersonnelleSécurité des informations

Les 8 impératifs du geek

Pour le Nouvel An, j’étais tombé sur les 8 impératifs du Geek avant 2010… et je m’étais fait la réflexion que plusieurs de ces actions étaient finalement très PROTEGOR !

En français ça donne à peu près ça :

1. Vérifiez vos paramétrages de sécurité sur les sites de médias sociaux (Facebook, Flickr, Youtube, Myspace…) : quelles données sont publiques, quelles données sont réservées aux amis ?
2. Changez vos mots de passe (on n’insistera jamais assez…)
3. Soyez maître de votre nom sur la toile, googlisez votre nom, et optimisez l’indexation de vos informations
4. Optimisez vos flux RSS (élaguez les flux inutiles, désabonnez-vous des newsletters inutiles, inscrivez-vous aux sites sur lesquels vous retournez régulièrement)
5. Changez de mobile (ça c’est un truc de pur geek)
6. Pensez à mettre à jour la date/mention de vos copyrights sur vos sites (… et/ou vos documents de travail)
7. Visitez votre blog ou votre site, vérifiez que vous n’avez pas été hacké, spammé, etc.
8. Faites une sauvegarde de vos données (on n’insistera jamais assez…)

Sécurité PersonnelleSécurité des informations

Restoration, retrouver des données perdues

En informatique, il est possible de retrouver des données effacées (même après avoir « vidé la corbeille »). La raison est simple : lorsque l’on efface un fichier sur son disque dur ou sur tout autre support d’ailleurs (clé USB par exemple), les données constituant ce fichier ne sont pas réellement effacées, seule la table d’allocation (grosso modo une liste des fichiers et de l’emplacement des données qui les constituent) est modifiée pour signifier que le fichier n’existe plus. Tant qu’aucune autre donnée ne vient écraser les données restantes du fichier effacé, ces dernières restent sur le support et il est possible de les récupérer. C’est la raison pour laquelle, je vous conseillais dans l’article mentionnant le logiciel Eraser, d’utiliser un outil de nettoyage lorsque vous souhaitez effacer définitivement des données. Alors comment retrouver des données perdues ?

Les logiciels de « data recovery » sont nombreux sur le marché. Si votre besoin n’est pas professionnel et très pointu, je vous conseille le logiciel Restoration, gratuit (un des rares), simple d’emploi, léger & efficace.

De plus, évitez de copier quoique ce soit sur le support où les données effacées sont encore stockées (vous risqueriez de venir les effacer). Cela veut dire qu’il est bon d’avoir le logiciel mentionné ci-dessus installé à titre préventif (pour éviter de devoir le copier/installer au moment où vous cherchez des données avec le risque que ce soit l’installation de ce logiciel qui vienne finalement tout écraser).