Un utile rappel : si vous êtes connecté à l’Internet par une « box » fournie et contrôlée par votre FAI (c’est le cas le plus courant en France) et que vous n’avez pas placé un routeur à vous derrière (comme le mode « bridge » de la Freebox), votre FAI peut non seulement contrôler / surveiller votre accès Internet (ça, vous le saviez déjà) mais aussi votre réseau local à la maison.
▻http://lauren.vortex.com/2016/07/how-some-isps-could-subvert-your-local-network-security
Cela me parait l’endroit idéal pour rappeler le projet (encore en cours de conception) Turris Omnia : ▻https://omnia.turris.cz/en
@X_cli Oui, excellent projet, tout à fait pertinent ici. Au passage, l’Omnia n’est pas encore fini mais le routeur Turris précédent était très bien.
@goffi Tu connais les gens de cz.nic ? Si je comprends bien, ils gèrent la plateforme d’authentification centrale de gouvernement électronique. Tu sais si c’est utilisé ?
@severo [On s’éloigne des boxes, là] En tout cas, moi, je l’utilise ►http://www.bortzmeyer.org/moje-id.html
@severo non je connais assez peu la communauté libriste/hacker de République Tchèque, mon passage au brmblab (hackerspace de Prague) ne fait d’ailleurs pas partie des mes meilleurs souvenirs.
C’est dommage, parce qu’il y a pas mal de choses intéressantes qui ont l’air de se passer par ici.
@X_cli Il y a aussi ce projet #Dowse, qui part des mêmes préoccupations : ►http://dowse.equipment
Le Turris Omnia est désormais disponible ▻https://seenthis.net/messages/534825
@stephane J’ai l’impression que le #crowdfunding pour #Dowse ne se passe pas très bien... ▻https://www.produzionidalbasso.com/project/dowse-the-privacy-hub-for-the-internet-of-things
« Je viens d’installer chez moi un #routeur #Turris_Omnia. Ça fait quoi et ça sert à quoi ? Le Turris Omnia est avant tout un routeur pour la maison ou la petite entreprise. En tant que routeur, il... route, c’est-à-dire qu’il fait passer les paquets d’un réseau à l’autre, en l’occurrence entre le réseau de la maison et celui du FAI et, via ce dernier, à tout l’Internet. C’est donc l’équivalent de la box qui, en France (mais pas ailleurs) est souvent fournie par le FAI. La différence principale est que l’Omnia ne comprend que du #logiciel_libre et est ouvert, au sens où on est super-utilisateur sur cette machine et où on peut la configurer comme on veut, contrairement aux boxes fermées dont on ne sait pas exactement ce qu’elles font (elles peuvent par exemple surveiller le trafic, même local ▻https://seenthis.net/messages/511622 ). L’Omnia n’est pas conçu par une boîte commerciale mais par le registre du .cz, une organisation sans but lucratif. »
Je me souviens, lors d’un crash de Freebox, d’avoir tourné avec un vieux routeur FT à la place. Le seul truc qui ne marchait pas, c’est le téléphone Free (et probablement la TV, mais comme nous ne sommes pas dégroupés, la question ne se pose pas). Pour le téléphone, on pouvait passer en configurant la ligne en SIP, mais pour le reste, ça marchait très bien en attendant une nouvelle Freebox.
Et la suite de mes aventures avec ce routeur ▻http://www.bortzmeyer.org/turris-bis.html
Un faux email prétendant venir du groupe #Vinci a été envoyé à #Bloomberg qui l’a publié. Ce message prétendait que Vinci avait viré un cadre important pour malversations. L’action Vinci a donc plongé de 20 %. Contrairement à ce qu’a répété en boucle la presse à sensation, il n’y a eu aucun « piratage » ou « hack ». C’était juste un email mensonger.
Parmi les leçons à en tirer : le comportement moutonnier des boursicoteurs, qui paniquent tous ensemble, la confiance aveugle dans les emails (qui sont pourtant faciles à imiter), l’absence de vérification du nom de domaine (il était trivial avec whois de vérifier que vinci.group n’est pas Vinci)...
Le communiqué officiel de Vinci : ▻https://www.vinci.com/vinci.nsf/fr/communiques/pages/20161122-1640.htm (et leur tweet ▻https://twitter.com/VINCI_fr/status/801089901659820032)
Le titre ridicule de 20 minutes : ▻http://www.20minutes.fr/societe/1966947-20161123-incroyable-piratage-fait-chuter-vinci-bourse-entreprise-e et celui de Challenges : ▻http://www.challenges.fr/industrie/un-incroyable-piratage-fait-chuter-vinci-de-18-en-bourse_439584
Celui de l’Usine Nouvelle est bien plus factuel : ▻http://www.usinenouvelle.com/article/vinci-victime-d-une-fausse-information-qui-l-a-plombe-en-bourse.N4672 Mais le meilleur article, sobre et le seul à contenir des détails concrets (comme une reproduction du faux email) est celui de ... BFM TV ▻http://bfmbusiness.bfmtv.com/bourse/affaire-vinci-que-s-est-il-passe-mardi-1062541.html
#infosec #sécurité_informatique #crédulité #Bourse #presse_à_sensation
L’article du Monde n’est pas trop mal non plus. Comme quoi, il faut se méfier des premiers délires sensationnalistes des médias trop pressés ▻http://www.lemonde.fr/economie-francaise/article/2016/11/23/comment-le-groupe-vinci-victime-d-un-hoax-a-chute-en-bourse_5036269_1656968.
Bon article également de Silicon.fr, rappelant que la méthode de l’attaquant est assez banale et low-tech : ▻http://www.silicon.fr/vinci-victime-ingenierie-sociale-163345.html
Et encore un article convenable, de MagIT ▻http://www.lemagit.fr/actualites/450403436/Vinci-victime-dune-arnaque-bien-organisee
Et un très bon de Numerama ▻http://www.numerama.com/tech/211306-ingenierie-sociale-piratage-vinci-une-inattention-qui-coute-cher.ht
Et celui du Figaro est un des plus ridicules (avec la comparaison avec Sony ou Ashley Madison) ▻http://www.lefigaro.fr/societes/2016/11/22/20005-20161122ARTFIG00358-vinci-victime-d-une-attaque-de-pirates-informatiq
S’il y a une info qui peut toucher un marché, peu importe sa véracité : il suffit qu’il y ait une petite probabilité qu’un seul « boursicoteur » y croie et vende trop bas pour anticiper que le cours va baisser. On joue donc à la baisse, et la prophétie s’auto-réalise.
Ces mouvements sont donc « rationnels », le plus souvent instruits par des algorithmes spécialisés ; les autres sont en moyenne perdants, puisqu’en retard. C’est d’ailleurs le principe de base : ceux qui vont le plus vite vont plumer les autres. Les algos sont en haut de la chaine alimentaire, suivent les traders, puis les épargnangnants.
(Il y a aussi ceux qui ne jouent pas : soit parce qu’ils visent « long terme » - cf #index_funds -, soit parce qu’ils n’ont pas d’argent en Bourse.)
*Liste de communication de la ZAD de Notre-Dame-Des-Landes.
## Attaque contre Vinci – le génie est du coté de ceux qui résistent
Nous avons appris hier par la presse que d’astucieux farceurs s’étaient attaqués avec succès au groupe Vinci en faisant chuter brutalement son cours en bourse à l’aide d’un simple communiqué de presse. Vivant sous les menaces permanente des desseins de ce conglomérat qui s’apprête à venir détruire nos lieux de vie, habitats, champs et forêts, nous ne pouvons que célébrer le fait que celui-ci subisse toute sorte de dommages financiers, destabilisations et autres dégradations de son image de marque. Il est particulièrement gai de penser que le numéro 1 du BTP dans le monde et les cercles boursiers puissent être ainsi ridiculisé et blessés par un simple canulard bien ficelé. Il faut croire que le génie est du coté de celles et ceux qui résistent et que l’ennemi est parfois bien plus fragile qu’il ne le paraît.
Si nous tenons bon, c’est bien grâce à la multiplication des actions de solidarités à l’égard de la zad. Comme les auteurs de ce grand bluff, il nous semble primordial de relier notre lutte avec celles des autres populations dont les espaces de vie sont mis en danger par les basses oeuvres de Vinci et d’un monde de profit, tout autant qu’avec celle des ouvrier.e.s népalais.e.s ou indien.ne.s exploité.e.s dans des conditions d’esclavage sur ses chantiers au Quatar. Nous en profitons pour saluer ici tout.e.s les salarié.e.s de Vinci et de ses différentes filiales qui ont annoncé qu’ils refuseraient d’être des “mercenaires” et de participer à de quelconques démarrage de travaux liés à l’aéroport de Notre-Dame-des-Landes.
Le communiqué de revendication affirme que lors de la "dégringolade financière vertigineuse" subie par Vinci lors de cet acte de sabotage, “la forêt de notre-dame-des-landes a elle-même sentie le béton reculer”. Nous sommes allés le vérifier ce matin même lors d’une promenade collective au milieu des châtaigniers et des pins maritimes de Rohanne. Le regard tourné vers les houpiers et l’avenir, notre objectif était justement de travailler sur les manières d’entretenir et protéger les forêts de la zad pour les prochains siècles.
La zad vivra ! Vinci dégage !
Des habitant.e.s de la zad.
Quelques autres extraits trouvés sur Internet du communiqué revendiquant l’attaque menée contre Vinci :
« Vinci vient de faire une dégringolade financière vertigineuse, ceci est un nouvel acte de sabotage à l’encontre de cette entreprise. La forêt de notre-dame-des-landes a elle-même sentie le béton reculer et ces occupants ont fêté se nouveau coup porté directement dans la bourse de ce monstre de béton » « Même si son empire économique semble solide, il y aura toujours des failles dans le béton pour l’éclater. Si l’argent est leur motivation, ils continueront d’en perdre, si leur but est de garder une bonne image, ils perdront la face. Car la vie est plus forte que l’oppression, les pelleteuses et l’exploitation ».
Vinci, Vinci, tu veux dire comme Léonard ? Les artistes ont encore de jolis tours dans leur sac ! #bravo_les_artistes
À faire lire impérativement à tous les utilisateurs d’Internet « 10 trucs que j’ignorais sur Internet et mon ordi (avant de m’y intéresser…) »
▻https://framablog.org/2016/11/23/10-trucs-que-jignorais-sur-internet-et-mon-ordi-avant-de-my-interesser
Sociétalement, on vient de se gaver d’ordinateurs (jusqu’à en mettre dans nos poches, ouais, de vrais ordis avec option téléphone !) et de numérique, et là les plus gros marchands de chocolat/maquillage/séries se sont gavés sur notre dos en nous fourguant un truc sucré, gras et qui nous laisse parfois l’estomac au bord des lèvres.
Mais on commence tout juste, et il est encore temps d’apprendre à devenir gourmet, à savoir se maquiller avec finesse, et même à écrire une fan fiction autour de cette nouvelle série.
▻https://fr.wikipedia.org/wiki/La_Distinction._Critique_sociale_du_jugement
C’est quand même triste que tous ces constats sur le déferlement numérique et son lien avec la marchandisation des nos interactions ne conduisent qu’à cerner un nouveau segment de marché...
An Objection to ‘The ecosystem is moving’
▻https://gultsch.de/objection.html
In May 2016 Moxie Marlinspike published an article on his company’s blog entitled ‘Reflections: The ecosystem is moving’ where he claims that federated systems are ‘stuck in time’. Since then his blog post has been passed around primarily to support the argument that federated, XMPP based, instant messaging is not working and won’t ever provide a decent user experience. [...]
En tant qu’utilisateur « avancé », je suis complètement d’accord avec cette réponse, par contre pour l’instant je suis bien obligé de recommander Signal en remplacement de WhatsApp, c’est le seul remplaçant « sécurisé » utilisable par des non initiés
Sinon :
▻https://twitter.com/CleveAnon/status/799254810675449856
« @whispersystems Are there any plans to remove Signal’s dependence on GCM ? Those who want privacy want away from Google wherever possible »
▻https://twitter.com/whispersystems/status/799291472423960576
« @CleveAnon Yes »
QubesOS - le système d’exploitation qui peut vous protéger même si vous avez été piraté
▻http://mathias.houngbo.net/node/55
Nous avions écrit sur l’importance du système d’exploitation Tails à tous les journalistes de la NSA, la semaine dernière, mais il existe aussi un autre système d’exploitation peu connu que les journalistes devraient envisager d’utiliser si ils se trouvent dans des situations à haut risque. Il s’appelle Qubes. J’utilise Qubes seulement depuis quelques semaines, mais je sens que mon système d’exploitation est maintenant une forteresse numérique. Je vais essayer d’expliquer pourquoi et comment Qubes diffère de Tails. La conception de Qubes est basé sur une loi importante du logiciel : tous les programmes contiennent des bugs. Certains d’entre eux sont des failles de sécurité. Votre ordinateur peut être piraté par le visionnage d’une vidéo Flash ou en utilisant javascript dans votre navigateur Web : il est (...)
Excellent article. Faut vraiment que je me mette à #Qubes.
dans le même ordre d’idées, ça vaut le coup de jeter un œil à subuser ( ▻http://subuser.org ) développé par un ami très sensible à ce genre de problème (ainsi qu’à l’obsolescence logicielle).
Dommage que leurs mailing-lists utilisent #google Groups :(