Paramètrer Noscript en mode « Liste Noire » pour Javascript

I Introduction

Hello un nouveau petit article, pour ne pas se rouiller. Pour ne pas sortir de mon spectre habituel, je vais vous présenter une extension pour Firefox, qui existe depuis un bon moment déjà, et qui permet d’empêcher les sites que vous visitez d’exécuter des scripts javascript dans votre navigateur, j’ai nommé NoScript.Bon j’ai conscience d’avoir déjà utilisé pas mal de gros mots, donc je vais faire un rappel rapide:

• Un navigateur, c’est le logiciel que vous utilisez pour aller sur Internet. Par exemple Internet Explorer, Firefox ou Chrome.
• Quant à Javascript, c’est une technologie qui permet aux sites web d’effectuer des opérations sur votre ordinateur sans qu’il soit nécessaire de recharger la page. Par exemple, si sur certains sites un popup s’affiche par simple survol de la souris, c’est du Javascript. Si vous remplissez un formulaire, et qu’un message apparait pour vous aider à le remplir, c’est aussi du Javascript. Javascript est donc prévu à la base pour vous faciliter la vie et faire en sorte que la navigation des sites internet soit plus rapide et plus simple. Mais son usage ne s’arrête pas là, et certains sites peuvent se servir de Javascript pour des usages plus ou moins malhonnêtes, depuis celui qui va faire quelques statistiques à celui qui va carrément exploiter les ressources de votre ordinateur au détriment de votre confort de navigation, et il est même possible d’utiliser des failles du navigateur pour installer des virus sur votre ordinateur. Bref ce n’est pas toujours joli joli, mais dans l’immense majorité des cas, vous ne craignez rien, et vous avez peu de probabilité statistique de tomber sur un script malicieux vraiment gênant, si vous vous contentez de naviguer normalement sur le Web.

Pourquoi ne vous avais-je pas encore parlé de NoScript? Tout simplement parce que cette extension est paranoïaque à l’extrême. Elle bloque par défaut tous les scripts Javascript de tous les sites internets, ainsi que tous les objets embarqués, comme les vidéo, pdf, objets flash, etc. Et sur chaque nouveau site internet, une barre popup s’affiche au dessus de la barre d’état pour vous indiquer quels scripts ont été bloqués et vous donner le loisir de les autoriser ou non, ce qui est très vite lassant, surtout lorsque l’on sait que 60% des scripts en question sont inoffensifs et souvent indispensables à une bonne navigation sur le site visité, et que sur les 40% de scripts restants, la majorité sont soit inopérant (car non compatibles avec votre ordinateur), soit peu gênants (outils de stats, scripts de partage de contenus, bouton « j’aime » de Facebook, etc).

En ce qui me concerne je suis peut être tombé trois ou quatre fois maximum ces dernières années sur des sites contenant des scripts que j’ai eu besoin de bloquer, chaque fois j’ai pensé à NoScript, et chaque fois j’ai fini par le désinstaller, car son comportement par défaut de tout interdire et d’avoir une liste blanche des sites autorisés est vraiment contraignant. Jusqu’à aujourd’hui. En effet figurez vous qu’aujourd’hui même, Korben que l’on ne présente plus a eu l’idée de tester pour quelques heures un script de type invasif permettant de gagner de la monnaie virtuelle sur le dos des visiteurs de son site internet. En ce qui me concerne, le processeur de mon ordinateur s’est mis à tourner à fond, et l’ensemble de mon ordinateur a sérieusement ralenti, ce qui est absolument intolérable. Ni une ni deux, j’ai réactivé NoScript en me demandant quelle mouche l’avait piquée et s’il n’aurait pas pu règler son truc sur un niveau plus discret (Note: Korben a depuis retiré son script). Et je me suis retrouvé à nouveau confronté au problème du fameux paramètrage de NoScript sous forme de liste blanche.

II L’Astuce

La problématique est donc la suivante: comment faire pour autoriser l’ensemble des scripts de tous les sites internet à s’exécuter normalement, sauf certains que l’on souhaite spécifiquement bloquer? De la même manière finalement que l’on peut spécifiquement bloquer les publicités avec l’extension Adblock+.

Après une petite recherche sur la toile, il apparait, qu’il existe une extension FireFox spécifiquement dédiée à cela : YesScript. Je pense que le nom est suffisamment parlant: d’après la description, elle permet de faire exactement ce qui est demandé, c’est à dire tenir une liste noire des scripts non acceptés. Mais il semblerait aussi qu’elle soit bien moins évoluée que NoScript en termes de fonctionnalités.

Heureusement, une petite recherche dans les commentaires de l’extension s’est avérée payante: NoScript peut effectivement être paramétrée en mode « liste noire ». Pour cela, il suffit d’aller dans les options de l’extension, et de choisir d’autoriser le Javascript globalement (vous aurez droit à un petit message d’avertissement bien flippant qu’il vous faudra ignorer). Ensuite de quoi, sur chaque site dont vous voudrez bloquer les scripts pernicieux, survolez l’icone de NoScript dans la barre d’état, et choisissez l’option « marquer tel.site.com comme non fiable » pour obtenir le comportement attendu.

III Conclusion

Voila pour les explications. De cette manière la navigation sur internet avec NoScript sera bien moins pénalisante (mais également moins sécurisée vous diront les puristes). Vous trouverez NoScript sur le site des modules de Firefox. Si vous ne savez pas comment l’installer, voici un petit guide qui commence à dater un petit peu, mais reste d’actualité.

Virus et clé USB (suite) – Une Bonne solution

Dans un précédent billet d’il y a quelques mois, j’évoquais quelques pistes pour éviter la propagation des virus par clé USB. J’ai un peu progressé sur la question, car depuis j’ai moi même été confronté au problème. Et voici les deux enseignements que j’en ai tiré:

1. Une fois que l’ordinateur est infecté, si par malheur son antivirus n’est pas fonctionnel, il reste possible d’amener un antivirus portable par… clé usb! Se référer à ce sujet à l’excellent dossier de comment ça marche point net. J’ai juste testé Docteur Web, qui s’est montré réellement efficace.
2. Pour palier à une infection, ce que l’on peut faire, c’est vacciner la clé en y plaçant un fichier autorun.inf qui soit ineffaçable. J’ai trouvé un petit utilitaire gratuit, usbfix, qui fait la chose merveilleusement: en fait il crée un dossier qui s’appelle autorun.inf, dans lequel il place un fichier vide, puis il va corrompre exprès l’index de ce fichier pour le rendre absolument ineffaçable. Du coup la clé ne peut plus être contaminée, ni aucun des disques dur de l’ordinateur sur lequel la vaccination a été effectuée (elle est un peu radicale). Bon à part ça on peut lui reprocher divers petites choses, voir les critiques des autres utilisateurs sur le site, mais pour l’essentiel, c’est du bon boulot. A noter cependant que Vista et Seven détectent le problème dans l’index des fichiers et proposent de réparer la clé lorsqu’on l’insère. Il faut bien sûr refuser ;).

Quelques pistes pour éviter la propagation des virus par les clés USB

Net Studio USB FireWall

Ça fait plusieurs fois qu’on me pose la question au sujet des virus qui se propagent par clé USB interposées. Je dois avouer que ce problème ne m’a plus touché depuis un bout de temps, vu que sous Linux, je ne crains rien. Mais il est vrai que dans certains cas on est obligé de travailler sous Windows, et dans ces cas là, on n’a pas trop envie de ramener des virus à la maison depuis le réseau de l’entreprise (par exemple). Alors j’ai fait quelques recherches sur le sujet en tenant compte de ce que je sais déjà de la question, et voici le résultat de mes recherches.

I Explication du mode de propagation des virus:

Windows intègre une fonctionnalité appelée la notification d’insertion automatique. Ce nom barbarre recouvre simplement le processus qui fait que lorsque vous insérez un cd ou une clé usb dans l’ordinateur, celui-ci se lance automatiquement lorsque c’est possible. Pour ce faire, un fichier caché appelé « autorun.inf » est placé sur le cd ou la clé USB. Lorsque vous insérez votre support, Windows regarde s’il peut trouver ce fichier, et si oui, il lance l’exécution automatique correspondante.

C’est là qu’interviennent les virus. Si vous insérez une clé USB sur un ordinateur Infecté, le virus va aussitôt se copier sur votre clé USB, et y créer un fichier caché autorun.inf qui va permettre d’infecter tout autre ordinateur où vous connecterez votre clé. Par conséquent, si vous ouvrez votre clé USB, que vous allez dans les options des dossiers et choisissez d’afficher les fichiers cachés, et que parmi les fichiers du répertoire racine de votre clé, il y a un fichier nommé autorun.inf alors que visiblement rien ne s’est passé lorsque vous avez inséré votre clé, alors très probablement il y avait un virus sur votre clé (qui est vraisemblablement passé sur votre ordinateur au moment où vous avez connecté votre clé, sauf s’il a été bloqué par un programme de sécurité).

Petit récapitulatif, lorsque votre clé est infectée, elle contient donc au moins deux fichiers suspects: le fichier autorun.inf, et le fichier qui contient le virus (un fichier.exe).

II Quelques pistes de prévention

II.1 Avoir un antivirus sur sa clé

Dans mes souvenirs, ClamWin antivirus est un antivirus portable qui peut être installé sur une clé USB. Ca peut être utile de l’avoir sur sa clé histoire de pouvoir la nettoyer en cas d’infection.

II.2 Avoir un pare feu qui surveille spécifiquement les ports USB de l’ordinateur

J’avais eu vent un jour de l’existence de Net Studio USB FireWall (cf l’illustration de cet article) qui semble pouvoir faire le travail d’après ce qu’en disent ses développeurs.

II.3 Essayer d’empêcher la création du fichier autorun.inf

J’ai vu cette astuce quelque part, mais j’ai de gros doutes sur son efficacité. Allez dans le répertoire racine de votre clé, créez vous même un fichier (texte) nommé « autorun.inf », cliquez droit dessus et cochez les cases « caché » et « lecture seule », et priez pour ne rencontrer que des virus qui ne savent pas supprimer des fichiers en lecture seule

III Conclusion

J’espère avoir fait avancer un peu les choses avec ces explications. Sachez qu’il existe également des méthodes très fines permettant par exemple de désactiver spécifiquement l’insertion automatique des clés USB sans cependant désactiver celle des autres supports, et sans désactiver les clés USB non plus. Je ne les donne pas ici, parce qu’elles sont un chouia avancées (modification directe de la base de registre), et que pour le peu de temps de recherche que je peux consacrer à cet article (1h, rédaction comprise), je n’en ai pas trouvé qui me paraisse totalement satisfaisantes. Quelques pistes tout de même pour creuser le sujet:

• Explications infections disques amovibles (clefs USB etc)
• Sécurité : Maitriser ses médias amovibles

Pour finir, sachez que je n’ai testé aucune de ces solutions (vu que comme dit plus haut, je n’en ai pas besoin étant utilisateur de Linux), donc je ne sais pas ce qu’elles donnent. J’ai simplement mis mes quelques connaissances de la question et mes talents de recherche et de vulgarisation de données techniques à votre service, en espérant qu’elles vous soient utiles.

Comment se procurer une clé gpg par des voies détournées..

Le gros problème avec les clés gpg, c’est que le serveur de clés gpg intégrés aux machines unix utilise un port particulier pour se connecter à internet. Si celui-ci s’avère bloqué, c’est le début de la galère. Heureusement, il est possible d’ajouter les clés manuellement, a condition de réussir à mettre la main dessus en recherchant sur Internet. Alors voici une manière de faire qui marche parfois.

Admettons que lors d’un update des listes de paquets, la console vous sorte un truc du genre:µ
W: GPG error: http://mirror.noreply.org jaunty Release: Les signatures suivantes n’ont pas pu être vérifiées car la clé publique n’est pas disponible : NO_PUBKEY CFF71CB3AFA44BDD

• Repérez les 8 derniers caractères, ici AFA44BDD.
• Allez sur google et recherchez [« AFA44BDD » site:http://subkeys.pgp.net/%5D (sans les crochets)
• Parmis les résultats, il y en a qui tombent sur des pages bloquées par le proxy (donc a priori valides) et d’autres qui passent mais qui retournent des erreurs http. Oubliez ces derniers et concentrez vous sur les résultats bloqués par le proxy.
• Recherchez sur google un de ces sites de surf anonymes qui servent justement à contourner les proxy, et surfez sur les url bloquées.
• Bon l’ennui, c’est qu’il faut aussi trouver le petit non de la clé, mais si vous faites en parallèle une recherche sur google portant sur le nom que vous avez, vous devriez trouver tout un tas de petits gars qui ont eu le même problème que vous et qui ont posté sur des forums, faut chercher un peu mais ça se trouve, ici c’était : « 94C09C7F »
• Faites une recherche dans la page sur un lien qui pointe sur ce nom, et vous devriez arriver sur une page internet qui contient la clé vous pouvez pas la louper, elle ressemble à l’illustration de ce billet. Ne vous souciez pas de la longueur. Celle qui sert d’exemple à ce post fait trois kilomètres, mais parfois elles sont toutes petites.
• Enregistrez la clé dans un fichier, ouvrez vos sources de mise à jour, aller dans sécurité, ajoutez une clé, sélectionnez le fichier où vous l’avez enregistré, refaites un apt-get update, avec un peu de chance, c’est bon.

IMPORTANT: LE TRUC DONNE DANS CET ARTICLE EST DE TYPE RECETTE DE GRAND MERE. CA MARCHE DANS CERTAINS CAS, RIEN NE DIT QUE ÇA MARCHERA DANS TOUS LES CAS. PAR AILLEURS CE TUTO CONTOURNE LA MANIÈRE DE FAIRE OFFICIELLE. UTILISEZ LA A VOS RISQUES ET PERILS. JE DECLINE TOUTE RESPONSABILITÉ EN CAS DE DISFONCTIONNEMENT DE N’IMPORTE QUEL ORDRE SURVENU A VOTRE ORDINATEUR PAR SUITE DE L’APPLICATION DE CE TUTORIEL.

[Avancé] clés GPG et cyptage asymétrique

Je vais essayer d’être aussi concis que possible, mais je vais devoir faire une brêve introduction à la cryptographie. Pendant des siècles, la cryptographie a été à clé unique. Par exemple si je prend cet article et que je décide de décaler chaque lettre de l’article de 6 lettres dans l’alphabet, j’aurais alors a=f, b=g, c=h et ainsi de suite. Bien sûr le moyen de décodage est totalement symétrique, il suffit de faire l’inverse. Ca vaut pour cet exemple ultra simple, et vaut également pour tout un tas de codes compliqués, comme le code symbolique de Louis XIV ou la machine enigma. A chaque fois on prend un message original, on le triture de manière plus ou moins complexe pour le coder, et celui qui le reçoit doit connaitre le procéder de codage (la clé) et l’inverser.

Mais le défaut énorme de ce type de codage, c’est qu’il faut que l’émetteur et le récepteur se rencontrent au moins une fois pour convenir de la clé. Dans le monde d’aujourd’hui où des gens se parlent d’un bout du monde à l’autre, ce n’est pas trop faisable. Heureusement le cryptage asymétrique a été inventé: au lieu d’une seule clé, il y en a deux, une publique, et une privée. Et là ou c’est très fort, c’est que ce qui est crypté avec la clé publique ne peut être décrypté que par celui qui possède la clé privée et vice versa.

L’intéret est énorme: Il suffit que chacun donne sa clé publique dans un catalogue ouvert à tous, et tout le monde pourra lui envoyer des messages cryptés sans l’avoir rencontré au préalable. Et lui, il peut utiliser sa clé privée pour crypter ses messages et les signer. Ca permet de garantir l’authenticité du message. Si marc reçoit un message de paul et qu’il veut être sûr que c’est bien paul qui a envoyé le message, il utilise la clé publique sur le message signé par paul avec sa clé privée, et si quelqu’un a essayé de se faire passer pour paul il sera tout de suite repéré puisqu’il ne connait pas la clé privée de paul et n’a donc pas pu signer le message.

Bien sûr tout ça est extrêmement simplifié, et vous trouverez sans doute bien plus de détails sur les sites dédiés au cryptage Asymétrique, au chiffre RSA et à GnuGPG. En tout état de cause, voici une application directe: Une clé gpg est la clé publique d’un éditeur de logiciel. Celui-ci utilise sa clé privée pour signer ses logiciels, et nous pouvons utiliser la clé publique pour vérifier que les logiciels que nous trouvons sur internet viennent bien de lui et pas d’un quelconque pirate qui aurait bidouillé le logiciel pour y introduire un malware.

Ce procédé est très connu dans le monde de Linux, et en particulier dans les distributions issues de Debian, il est utilisé pour garantir l’authenticité des paquets non issus des dépots officiels.

Facebook (3/3) – Sécuriser son compte Facebook

Et voici le dernier article de cette série de trois consacrée à Facebook. Après avoir introduit Facebook dans un premier article, et montré ses limites dans un deuxième, nous allons maintenant voir comment faire pour sécuriser au maximum son profil Facebook sans aller jusqu’à l’effacer.

Tout d’abord, rappelons que dans tout système informatique aussi bien sécurisé soit-il, le maillon le plus faible est très souvent l’être humain. Ainsi quelques soient les manipulations techniques que nous allons exposer, elles ne vous dédouanent pas de l’usage de votre bon sens. Ne mettez pas en ligne d’informations dont vous ne souhaitez pas qu’elles puissent tomber entre les mains de tierces personnes. D’une manière générale, contentez vous de publier les informations bateau qui sont déjà disponible sur Internet ou dans le bottin téléphonique, ou tout autre médium d’information du domaine public.

Ensuite, n’adhérez pas à des groupes bizarres et n’ajoutez pas d’applications alléchantes qui vous font des promesses trop belles pour être vraies. Exemple typique: toutes ces applications qui vous promettent de savoir qui clique le plus sur votre profil à condition que vous et tous vos amis les installiez ne sont ni plus ni moins que de chevaux de troie que vous installez vous même de votre plein gré, bien que sans en être forcément conscients sur votre compte Facebook. Dés lors que vous et tous vos amis l’avez installée, cette application va effectivement enregistrer tous les clics que vous et vos amis faites sur Facebook, afin de vous dire qui regarde le plus votre profil. Rien ne dit par contre quel usage sera fait de toutes les autres informations (bien plus nombreuses) auxquelles vous lui aurez donné accès par ce biais.

Venons en aux précautions techniques:

1) Sécurisation globale:

• Cliquez sur Paramètres -> Confidentialité -> Profil.
• Pour chaque menu déroulant, sélectionnez l’option « seulement mes amis ».
• Cliquez sur « Enregistrer les modifications« .
• Ensuite cliquez sur l’onglet Coordonnées.
• Ici, je vous conseille de sélectionner « Personne » pour chaque champ, en effet vos amis ont bien d’autres moyens de vous contacter que Facebook si ce sont vraiment des amis.
• Cliquez sur « Enregistrer les modifications« .

2) Sécurisation vis à vis des recherches par moteur de recherche:

• Cliquez sur Paramètres -> Confidentialité -> Recherche.
• Pour la visibilité via une recherche, si vous souhaitez que d’anciens amis puissent vous recontacter, mieux vaut laisser une permission assez large, par exemple « Mes réseaux et les amis de mes amis« .
• Par contre décochez la case de création d’un profil public. Ça empêchera les gens comme par exemple votre employeur qui vous rechercheront sur Google, de tomber sur votre profil Facebook. Ceci dit ne vous faites pas d’illusion, le cache de Google a une bonne mémoire, et il se passera longtemps avant que vous ne disparaissiez réellement des résultats de recherche.
• Pour le reste, je vous conseille de ne laisser cochées que les cases concernant la photo de profil, et les liens d’envoi de message et d’ajout en tant qu’ami, et de décocher toutes les autres.
• Cliquez sur « Enregistrer les modifications« .

3) Sécurisation vis à vis de l’actualité et du mur.

• Cliquez sur Paramètres -> Confidentialité -> Actualités et mur.
• Ici j’ai pratiquement tout décoché, faites cela au mieux selon vos préférences personnelles.
• Dans l’onglet Publicités Sociales, sélectionnez personne dans le menu déroulant, si ce n’est déjà fait.
• Cliquez sur « Enregistrer les modifications« .

4) Sécurisation gobale des Applications

• Cliquez sur Paramètres -> Confidentialité -> Applications.
• Lisez attentivement les informations dans l’onglet « vue d’ensemble« 
• Puis cliquez sur l’onglet « Paramètres« 
• Ici vous tombez sur des réglages  bizarres à propos non pas de ce que vos amis peuvent voir de vous, mais de ce que les applications qu’ils utilisent ont le droit de voir.
• Ici j’ai laissé l’accès à ma photo et à mon parcours, de manière à ce que les applications utilisées par mes amis et basées sur des montages de photos de tous leurs amis, ou sur des recherches de personnes ayant effectué le même cursus puissent tout de même fonctionner. Par contre, j’ai viré tout le reste.
• Cliquez sur « Enregistrer les modifications« .

5) Sécurisation au cas par cas des Applications

• Cliquez sur Paramètres -> Applications.
• Dans le menu déroulant, choisissez d’afficher la liste de toutes les applications autorisées.
• La liste résultante contient toutes les applications auxquelles vous avez donné des droits d’accès à votre profil.
• Si il y en a des dizaines, je vous conseille de commencer par virer purement et simplement toutes celles qui ne servent à rien, à commencer par tous les quizz débiles dont le résultat vous a laissé dubitatifs. Enlevez aussi tous les jeux idiots, ça fera autant de temps que vous ne perdrez plus.
• Une fois que vous avez fini votre ménage, il va falloir paramétrer les permissions de chaque application au cas par cas.
• Application après Application, cliquez sur « Paramètres« , désactivez la publication automatique de mini actualités, sauf si vous souhaitez vraiment que lesdites actualités apparaissent dans votre profil, puis dans l’onglet profil, resserrez les paramètres de confidentialité, par exemple à « Seulement mes amis« . Selon le cas, des réglages supplémentaires peuvent apparaitre, à régler chaque fois en fonction de l’application et de vos préférences.

6) Sécurisation continue:

Nous en avons fini avec les options de paramétrage basiques du compte Facebook. Vous n’aurez pas été sans remarquer dans certains cas la possibilité de personnaliser, c’est à dire d’autoriser certaines choses à certains de vos amis, et pas à d’autres. Cela se règlera désormais au jour le jour. N’ajoutez plus d’applications qui ne servent à rien, il y a de meilleures façon de perdre son temps que d’aller sur Facebook. Et quand vous ajoutez de nouvelles vidéos ou de nouvelles photos, prenez bien le temps de régler les paramètres de sécurité pour spécifier qui aura ou pas le droit d’y accéder.

Et n’oubliez pas qu’en toute chose, le bon sens doit primer. Si vous avez des doutes a propos de la sécurité de quelque chose, abstenez vous, ou demandez l’avis de personnes compétentes ;).

Facebook (2/3) – limites et problèmes moraux

Ceci est le deuxième de mes trois articles sur Facebook, les deux autres étant: Facebook (1/3) – présentation, et Facebook (3/3) – Sécuriser son compte Facebook. Aujourd’hui nous allons parler des limites de Facebook, et de tout ce qui dérange à son propos. Les problèmes relèvent de l’addictivité du site, de la protection des données utilisateur vis à vis des personnes tierces, et de l’usage qui est fait de ces données par Facebook. Il y a également des problèmes d’ordre moral, et de viabilité à moyen terme.

Tout d’abord au niveau de l’addictivité du site. Durant les premiers mois d’utilisation, l’internaute risque de perdre un temps phénoménal sur ce site, à parcourir les profils des autres personnes, à adhérer à des groupes et à des fan clubs, et à ajouter des applications et à y jouer. En effet le site est prenant et séduisant, et tant qu’on ne s’en sera pas finalement lassé, on risque de se laisser séduire par son attractivité. Or, le problème est qu’au final, la plupart des applications ne servent strictement à rien, et que c’est du temps gâché bêtement qu’on aurait par exemple pu passer en vrai avec ses amis, ou au moins à faire des choses plus constructives.

Ensuite au niveau de la protection des donnés personnelles vis à vis des tiers. Depuis quelques mois, Facebook a fait de gros efforts pour permettre à ceux qui le souhaitent de configurer leur compte en fonction du niveau de sécurité qu’ils attendent. Sauf que les informations sont par défaut quasi publiques (Par exemple énormément d’utilisateurs laissent l’accessibilité de leurs photos à l’ensemble de leurs réseaux, incluant le réseau France). Nous verrons dans le prochain article comment renforcer la confidentialité de son compte sans perdre pour autant en ergonomie. A l’heure actuelle, environ 95% des profils Facebook sont mal sécurisés, et les informations personnelles diffusées par l’utilisateur lambda dépassent largement la sphère de connaissance à laquelle il les destine. Ce n’est pas sans poser des problèmes. Il y a eu l’affaire dont on a beaucoup parlé récemment, avec un journaliste qui a reconstitué la vie entière d’un internautre en croisant les informations qu’il avait laissé un peu partout sur internet. Il y a encore des problèmes de patrons qui consultent les profils Facebook de leurs employés, par exemple…

Enfin, il faut se demander quel usage fait Facebook de toutes ces données. Ce n’est assurément pas une société de philanthropes, et il faut bien qu’ils se remboursent quelque part. Et là où ils tirent leur épingle du jeu, c’est dans le fait qu’ils sont en train de faire ce qu’aucun gouvernement n’a pu ni osé faire: constituer une base de données mondiale sur un nombre très important d’internautes. Ce qu’aucun gouvernement ne pourrait faire sans s’attirer les foudres des associations de défense des droits de l’homme, Facebook l’a réussi, et les utilisateurs ont renseigné eux même leur fiche. Est-ce pour autant dangereux? Pas directement, a priori. Mais nul ne sait quel usage futur pourra être fait de toutes ces données. Et certains vont jusqu’à soupçonner le gouvernement américain de s’être secrètement arrogé un accès à cette base de données. D’autre encore soupçonnent des forces cachées de manipuler à dessein les mouvements collectifs prétendument spontanés de la toile à des fins géopolitiques ou stratégiques.

Au niveau des problèmes d’ordre moral, même si cela ne choque pratiquement plus personne, il reste qu’il n’est pas vraiment sain de s’exhiber sur la toile et d’y étaler sa vie privée. Dans un autre ordre d’idée, on peut se demander si le site va continuer à exister longtemps, voire comment le site peut continuer à exister encore sachant qu’il est de notoriété publique qu’il perd des dizaines de millions de  dollars chaque année.

Voila pour les inconvénients de ce type de site. Comme vous avez pu le constater, ils ne sont pas minces. Si néanmoins il vous attire encore irrésistiblement, nous verrons dans le prochain article comment le sécuriser au maximum afin de pouvoir en profiter tout en limitant autant que possible les risques de toute sortes ;).

voir aussi: Manifeste anti Facebook, et  Facebook : exhibitions et problème de vie privée.

Introduction aux diverses solutions de téléchargement de fichiers

Carte européenne des téléchargements en 2008 (cliquez pour voir l'image originale)

Il existe diverses manières de télécharger un fichier, et elles sont loin d’être toutes équivalentes. Cependant,  il n’y a pas de solution miracle, tout dépendra du contexte, et de ce qu’autorise le serveur à partir duquel vous souhaitez télécharger un fichier.

Avant d’aller plus loin, rappelons quelques notions élémentaires sur le fonctionnement d’internet. En très simplifié: Vous disposez d’un ordinateur et d’une connexion. Cette connexion passe dans un fil électrique ou une fibre optique, qui vous relie aux ordinateurs de votre opérateur. Ceux-ci sont bien plus gros et puissants qu’un ordinateur comme le votre, mais le principe reste le même. Lorsque vous demandez une page internet, votre ordinateur commence par rechercher sur quel ordinateur du réseau mondial celle ci est stockée. Ensuite de quoi il se connecte à celui-ci et télécharge la page demandée. Et maintenant un peu de vocabulaire:

• Un serveur est un ordinateur sur lequel on peut se connecter via internet pour y télécharger des données. Votre ordinateur peut très bien fonctionner en mode serveur si vous autorisez d’autre gens à y accéder.
• Un protocole est un mode opératoire. Pour l’échange de données via une connexion internet, il faut bien que les deux ordinateurs concernés se mettent d’accord sur ce qu’ils envoient, et comment ils l’envoient. Il n’y a pas de protocole unique, car il est possible d’optimiser le protocole en fonction de l’usage qu’on veut en faire.
• La bande passante correspond à un débit volumétrique de données. Par exemple un serveur qui permet de télécharger à la vitesse de 2 Mb par seconde offre donc une bande passante de 2Mb.

Voyons maintenant les diverses solutions qui s’offrent à vous pour télécharger des fichiers:

1) Le téléchargement par HTTP.

C’est de loin le plus courant (et le moins performant). HTTP signifie Hyper Text Tansfert Protocol. Autrement dit, il s’agit d’un protocole qui a été optimisé pour le transfert de texte, comme des pages internet par exemple, et non pas pour des fichiers volumineux. Bien sûr, il est possible de l’utiliser dans ce but, et c’est ce qui se fait courrament sur internet, car c’est de loin la solution la plus facile à mettre en place, et la plus universelle, car n’importe quel internaute peut procéder au téléchargement à partir de son navigateur.

2) Le téléchargement par FTP.

C’est à la base la solution théoriquement la mieux adaptée. FTP signifie File Tansfert Protocol. Autrement dit, il s’agit d’un protocole qui a été optimisé pour le transfert de fichiers. D’expérience, je peux vous assurer que le téléchargement d’un même fichier est à peu près deux fois plus rapide par FTP que par HTTP. L’ennui, c’est qu’il est nettement plus complexe d’insérer des pages internet contenant des liens de téléchargement par ftp, vu qu’il faut coupler les deux techniques, et paramétrer convenablement son serveur ftp. Ça c’est du point de vue de celui qui héberge les fichiers sur son serveur. Et du point de vue de l’utilisateur, il faut disposer d’un navigateur internet supportant le ftp. C’est maintenant le cas sur la plupart des navigateurs internet, mais ça n’a pas toujours été le cas. Il était alors nécssaire pour l’utilisateur d’installer un client de téléchargement ftp externe, comme Filezilla, par exemple.

3) Utilisation d’un accélérateur de téléchargement.

Un accélérateur de téléchargement est un logiciel qui va exploiter au mieux les possibilités offertes par le serveur pour accélérer votre téléchargement. Le principe est simple: Vous disposez d’une connexion internet qui vous permet par exemple de télécharger à 2Mb par seconde. En face le serveur alloue par défaut une bande passante de 500 Kb par seconde à tout ordinateur qui s’y connecte. Le serveur est obligé de procéder ainsi, car lui aussi a des limites dans les débits de téléchargement qu’il peut offrir, et le nombre de gens qui peuvent s’y connecter à la fois dépend directement du débit alloué à chacun.

Dans cet exemple, vous n’exploitez pas à fond les capacités de votre connexion, puisque vous pourriez télécharger davantage, mais c’est le serveur qui vous limite. Ce que va faire l’accélérateur de téléchargement, c’est regarder si le site d’où vous téléchargez authorise:

• Plusieurs connexions simultanées de la même personne,
• Et le téléchargement d’un fichier non pas depuis le début du fichier, mais à partir du quart, de la moitié, ou d’une autre fraction. Cette dernière fonction a été implémentée à la base pour permettre aux gens dont la connexion avait sauté au milieu d’un téléchargement, de le reprendre là où il en était, au lieu de devoir tout recommencer depuis le début.

Si ces deux conditions sont réunies, l’accélérateur de téléchargement va effectuer plusieurs requêtes simultannées sur le serveur pour télécharger en parallèle plusieurs morceaux du fichier. Ce qui va vous permettre de doubler ou de tripler la vitesse du téléchargement.

Par exemple, dans mon article sur l’extension Firefox DownThemAll: Pour télécharger plus rapidement et efficacement, j’avais  procédé à titre d’exemple au téléchargement de Netbeans à l’aide de cet accélérateur. Mais je n’avais pas précisé comment il s’y prenait pour accélérer le téléchargement. Ça peut facilement se voir en sélectionnant le fichier, et en laissant la souris quelques secondes dessus: Une fenêtre apparait alors qui donne des détails sur le téléchargement, comme l’illustre l’image suivante:

Comme vous pouvez le voir, DownThemAll a procédé au téléchargement séparé des quatres quarts du fichier :).

4) Utilisation d’un torrent.

Les torrents sont ce qu’utilisent les logiciels de peer to peer. Ils sont donc souvent associés au piratage, et c’est dommage, car c’est un peu trop réducteur pour ce protocole génial. En effet les torrents sont de loin ce qui permet le débit de téléchargement le plus élevé. Et le principe de téléchargement est totalement différent des principes évoqués précédemment. Car cette fois ci, le téléchargement ne se fait plus entre un client et un serveur, mais entre un client et de nombreux serveurs qui sont des ordinateurs possédés par des particuliers.

Explication: La plupart des gens disposent d’une connexion ADSL. Le A signifie Asymétrique. En effet, les fournisseurs d’accès internet partent du principe que les gens téléchargent beaucoup plus de données qu’ils n’en mettent en ligne. Par conséquent le débit d’upload (c’est à dire de mise en ligne) est beaucoup plus réduit que le débit de download (téléchargement). Et de fait la plupart des gens n’utilisent pas ou peu ces capacités d’upload qui sont tout simplement perdues.

Le principe du peer to peer consiste à utiliser ces capacités inutilement perdues pour les autres. Vous mettez à dispositions des autres ceux des fichiers présents sur votre disque dur que vous voulez, et les autres font de même. Ensuite, quand vous aurez besoin de télécharger un fichier donné,votre logiciel va rechercher tous les ordinateurs sur lesquels ce fichier a été mis à disposition, et commencer le téléchargement d’un fragment à partir de chacun. Du coup si le fichier en question est populaire, votre vitesse de téléchargement atteindra des sommets de rapidités inégalés par rapport aux protocoles classiques. Par contre, bien sûr, si jamais il n’y a qu’une seule personne au monde qui possède ce que vous recherchez, vous mettrez peut être des mois en fonction de vous horaires de connexions respectifs, pour télécharger la totalité.

Et dernière bonne nouvelle, DownThemAll permet de télécharger certains liens vers des torents. Elle est décidément précieuse, cette extension :).

/!\ Mise en garde importante:
Par contre, je me dois de vous rappeler que le peer to peer est certes génial, mais l’utiliser pour le piratage, c’est mal. De plus, contrairement aux serveurs de téléchargements classiques qui sont généralement sécurisés par des professionnels, les ordinateurs à partir desquels vous téléchargez sont susceptibles de contenir des virus. La prudence élémentaire pour ceux qui utilisent Windows, impliquera d’attendre 15 jours après le téléchargement sans ouvrir le fichier (le temps que les antivirus répertorient les dernières nouveautés), puis de tout scanner systématiquement à l’antivirus. Les utilisateurs de Linux peuvent dormir tranquilles tant qu’ils ne lancent aucun logiciel en mode sudo.

Ce qui est génial avec un torrent, c’est que parfois vous n’avez même pas fini de télécharger quelque chose, qu’il y a déjà des gens qui sont en train de le télécharger de chez vous. Par contre attention à votre comportement. Quelqu’un qui ne met rien en partage et se contente d’exploiter le réseau sera mal noté, et pourra se voir interdire certaines fonctionnalités.

Conclusion:

Comme le montre ce billet, il existe donc plusieurs façons de procéder au téléchargement de fichiers. Chacune a ses avantages et ses inconvénients, c’est pour ça qu’il faut savoir s’adapter en fonction de la situation. Le téléchargement par HTTP est la solution la plus simple, mais également la moins efficace. L’utilisation d’un accélérateur de téléchargement permet de la rendre plus efficace, mais au prix d’un gaspillage des ressources du serveur. Le téléchargement par ftp est la solution la plus efficace, mais est difficile à mettre en œuvre, et pas aussi rapide qu’une connexion HTTP qui a été accélérée, enfin le téléchargement par torrents permet dans certains cas d’atteindre des vitesses de téléchargement bien meilleures que les autres solutions, mais au prix de risques en matière de sécurité. En outre, tous les serveurs n’offrent pas les mêmes possibilités de téléchargement.

Pour ceux qui désireraient aller plus loin, voici quelques liens Wikipedia:

• Téléchargement
• FTP
• Gestionnaire de téléchargement
• Peer to Peer

Trois exemples d’arnaque par email

Je viens de recevoir dans une boîte mail yahoo trois nouveaux pourriels qui ont réussi à passer les mailles des filtres anti-spam de Yahoo. C’est une excellente occasion d’évoquer ce problème. J’aurais surement l’occasion de revenir plus dans les détails ultérieurement, pour aujourd’hui on se contentera d’une introduction toute simple.

I – Quelques Exemples:

Les pourriels ou spams sont des emails non sollicités qui vous sont envoyés par des gens ou des sociétés dans le but de vous vendre quelque chose ou de vous arnaquer. Vous en avez un excellent exemple ci dessus (cliquez sur l’image pour l’agrandir). Il s’agit d’un email que j’ai reçu tout récemment. Et voici deux autres exemples:

2ème exemple de pourriel d’arnaque: La donation du cardinal

Donation du cardinal
En collaboration avec le pape BENOIT XVI et suite au consigne laissé par le feu son Eminence Cardinal Gantin  dans son testament je cite:<<Une partie de mes biens soit une somme de 80 000 euros servira de don, a poser des actes de charité et quiconque sera contacté. Je demanderai donc a tout bénéficiaire de cette somme, quelque soit sa personnalité de faire un bon usage, et d’être fidèle a notre DIEU créateur>>.Si vous recevez ce courriel c’est que vous etes le bénéficiaire de ce don que vous soyez chrétien ou non n’a pas d’importance nous sommes tous les mêmes devant Dieu.. Avec l’accord du pape  BENOIT XVI les vœux de mon feu frère seront respectés. Pour rentrer dans vos droits de bénéficiaire nous vous prions de contacter l’avocat chargé de la remise de la donation : Maître  Houssa  a son courriel : cabinetmaitreaugustinhoussa1@yahoo.fr.  Je vous prie de le contacter au plus vite car je vais en Italie et je ne pourrai vous répondre sitôt.
Faites bon usage de votre bien.
Martial Gantin frère du cardinal
http://www.la-croix.com/photo2/index.jsp?docId=2337709&rubId=4085

Conformément à l’article 34 de la loi « Informatique et Libertés » du 6 janvier 1978, vous êtes légalement enregistré dans un fichier déclaré à la CNIL (n° 1281853). Vous disposez d’un droit d’accès, de modification, de rectification et de suppression de données vous concernent

—————————————————————–
Find the home of your dreams with eircom net property
Sign up for email alerts now http://www.eircom.net/propertyalerts

3ème exemple de pourriel d’arnaque: La tombola de Côte d’Ivoire:

Honorable Correspondant,

A l’occasion de sa Publicité et de  l’Expansion de ses Activités Commerciales et Marketing, la Compagnie d’Assurance dénommé : LA MUTUELLE D’ASSURANCE ET DE CREDIT (M.A.C) Sise à Abidjan en  Côte d’Ivoire  a organisé une Tombola en faveur de toute Personne Physique ou Morale résidant partout dans le monde et possédant une Adresse Electronique donnant ainsi une Chance à tous ces internautes de pouvoir Gagner des lots. Tous les Participants ont donc été Sélectionnés grâce au Tirage par Système de Ballottage Informatique d’adresses e-mail. Cette Tombola est approuvée par le Conseil Ivoirien de Jeu et autorisée par l’Association Internationale des Régulateurs de Jeux (IAGR).

Pour cette tombola organisée les prix sont  les suivants :

1^er Prix : Une Villa Haut Standing d’une valeur de 150.000 Euros

2^e Prix : La Somme de 100.000 Euros + Un Bon d’Assurance de 3 Ans

3^e Prix : La Somme de  85.000 Euros

4^e Prix : La Somme de 70.000 Euros

5^e Prix : La Somme de 50.000 Euros

Et plusieurs d’autres Lots intermédiaires …

A l’issu de cette Tombola, Votre Adresse Email a été Tirée, et Attachée au billet numéro suivants :

Numéro de Billet : KGO-150422-1985 /  Numéro de Série : 0346-EG61

Ces deux (2) Numéros Secrets font de vous l’Heureux Gagnant du Troisième (3^e) Prix de la Tombola représentant la Somme de Quatre Vingt Cinq Mille (85.000) Euros.

Soyez rassuré qu’il s’agit là d’un Gain Fiable et il n’y aucun doute à vous faire à ce sujet car cela n’est ni une plaisanterie, ni une tentative de tromperie du moment où le Règlement de la Tombola a exigé votre Présence Physique en Côte d’Ivoire pour vous remettre en Mains Propres le Chèque de votre Gain et cela en présence des Médias pour assurer une Couverture Médiatique de la cérémonie. Cela dit, nous vous invitons à prendre toutes vos dispositions pour venir à cette manifestation pour la Remise de votre gain. Cependant, si vous êtes dans l’impossibilité d’effectuer le déplacement alors le Paiement de votre gain se fera sur présentation d’un Acte Judiciaire de Bénéficiaire des Fonds établi sur la requête d’un Huissier et pour cela, nous vous demandons de bien vouloir envoyer de toute urgence un Message de Confirmation comportant le Numéro de votre Billet et de sa Série ainsi que votre Nom et Prénoms, Adresse précise et votre Numéro de téléphone à l’adresse indiquée ci-dessous du CABINET D’ETUDE JURIDIQUE BRITTO qui a supervisé le tirage pour vous donner la procédure de retrait de votre gain.

Maître ANGE KOUASSI BRITTO
Email : etude_juridique_britto@ymail.com
Huissier de Justice en Côte d’Ivoire
Ministère de la Justice
Tel :  (+225) 04.18.15.15

Dès la présentation de l’Acte à notre Compagnie, nous établirons à votre égard le Paiement de votre gain par Virement Bancaire ou Mandat Express Western Union transfert d’Argent comme l’indique la Procédure d’Urgence. Un Protocole de Sécurité a été établi par notre Compagnie pour éviter des doubles réclamations et abus sans garantie de ce programme par quelques personnes sans scrupule. Ainsi, il vous est demandé de garder confidentiel vos numéros de Codes Gagnants jusqu’à la fin des réclamations des divers lots.

Une fois de plus, nous vous adressons nos Sincères Félicitations pour ce gain et nous vous exhortons à prendre contact avec l’Huissier en charge de la Tombola pour la procédure de Perception de votre gain.

Très chaleureusement,

Mr. Noël DACKOURY
Service Commercial & Marketing
« LA MUTUELLE D’ASSURANCE ET DE CREDIT »

II – Comment différencier le vrai du faux?

De nombreux indices montrent que ces pourriels sont des arnaques.

• Tout d’abord le bon sens. Il est évident qu’une société de paiement sécurisé comme Paypal ne vous enverra jamais un email pour un problème de ce genre. De même il est évident que ces histoires de grosses sommes d’argent gagnées sont des attrapes nigaud.
• La structure: Dans les trois cas l’email contient des liens vers des sites parfaitement autentique, et un unique lien ou adresse email dans le genre plutôt loufoques. Dans le soit disant email de Paypal, il y a par exemple un lien dont l’extension WOT nous dit qu’il renvoit vers un site sensible. Dans les deux autres emails, l’adresse email à laquelle il faut renvoyer ne fait pas très pro, car ce sont des adresses grand public que tout le monde peu créer, pas des adresses comme de vraies entreprises ou cabinets assermentés en auraient.
• L’adresse email de l’expéditeur: De même, ce ne sont pas des adresses typiques de la boite ou du cabinet. Ce sont également des adresses que n’importe qui pourrait se créer et dont les noms ont été choisis pour inspirer la confiance. Mais ce ne sont pas le type d’adresse email que les organismes pour qui les gens se font passer auraient vraiment.
• Enfin les énormes fautes de français. Il est évident que ces emails ont été traduits de l’anglais et ceci au moyen de traducteurs automatiques. Ce n’est peut être pas le cas de l’email de la tombola, qui semble plutôt une compilation de tout ce qui se fait de jargon juridique, avec tout de même un certain nombre de fautes de français deci delà.

Il est évident que le bon sens est l’indice principal auquel vous devez vous fier. Les autres ne sont là que pour démontrer encore mieux que ces pourriels sont des arnaques. Et surtout ne répondez jamais à un email comme ça, car vous allez vous faire pourir votre boite de pourriels variés. De temps en temps des gens se font avoir. Ainsi, il y a quelques années une américaine a perdu 800.000$ d’économies après avoir répondu à un email du même type que le soi-disant email venant de Paypal. Elle a cliqué sur le lien, elle est arrivée sur un site avec un design identique à celui de sa banque, puis elle a renseigné toutes ses informations bancaires en croyant être sur le site de sa banque, et le lendemain, elle n’avait plus rien. Le même type d’aventure est arrivé plus récemment à une espagnole.

Il faut garder à l’esprit que quand bien même l’histoire de la tombola ou du cardinal auraient une part de vérité, l’argent en question viendrait très probablement d’une économie souterraine ou d’une mafia et vous pourriez vous retrouver mêlé à un traffic de blanchiment d’argent sale, ce  qui pourrait vous envoyer derrière les barreaux ou permettre à vos correspondant de vous faire chanter.

Par conséquent supprimez tous les emails de ce type que vous recevez, vous serez plus tranquilles. Et si votre banque veut vraiment vous parler, elle pourra toujours vous envoyer une lettre par la poste ;).

Je vous recommande également la lecture du sujet suivant:  Quelques explications simples sur la sécurité des ordinateurs.

Pour apprendre peu à peu à se passer d’IE…

Vous n’êtes pas sans savoir qu’il y a en ce moment une faille critique dans Internet Explorer (abréviation: IE), et qui est pour l’instant sans remèdes. Microsoft inviterai même les gens à croiser les doigts pour ne pas avoir de problèmes, non mais de qui se moque t’on?

Donc pour tous ceux qui n’ont pas encore trouvé le courage de passer à Firefox, c’est le moment de faire un petit effort. Et pour éviter que le changement ne soit trop brutal, ou si vous êtes définitivement réfractaire au style de Firefox, je vous ai trouvé une alternative sympathique.

Je ne sais pas si vous vous souvenez de mon article Firefox est-il vraiment le meilleur? J’y évoque notamment le navigateur maxthon qui est basé sur Internet Explorer, mais qui apporte de nombreuses fonctionnalités supplémentaires, au goût de chacun. J’ai procédé aujourd’hui à l’installation de la version la plus classique, sur laquelle j’ai simplement ajouté le pack permettant d’avoir le français, ainsi que la barre de recherche Google. Vous pouvez voir en illustration de ce billet un aperçu de ce que l’on obtient (cliquez sur l’image pour la voir en grand). Ca ressemble énormément à Internet Explorer, pourtant c’est déjà différent, mieux et plus sûr. Et ce n’est que la version classique. Installez la version la plus avancée, et vous aurez droit à un dépaysement bien plus important, avec également encore plus de fonctionnalités.