Globenet

Globenet soutient la douzième édition de Battlemesh

Aube — 2019-06-12T16:58:29Z

Globenet apporte son soutien à la douzième édition de Battlemesh

Le Battlemesh, ou "Wireless Battle of the Mesh", est un événement annuel autour des réseaux mesh. Le but de cet événement est de rassembler des personnes de tous horizons qui s'intéressent aux réseaux communautaires, en particulier aux réseaux maillés sans fil ("wireless mesh networks"), aux infrastructures de fibre optique et aux FAI associatifs, ainsi qu'à la manière de créer et entretenir des communautés dynamiques qui prennent en main leurs réseaux de communications électroniques.

La volonté de l'événement est de proposer 7 jours de présentations, d'ateliers pratiques, de sessions pour travailler collaborativement sur des projets, et bien sûr proposer un espace qui favorise les discussions entre les participants ! Que vous soyez un expert des réseaux mesh, actif dans un FAI associatif, ou juste curieux d'en savoir plus sur les réseaux communautaires, venez rendre visite à la communauté mondiale pour échanger sur ces sujets !

Cette année, le Battlemesh a lieu du 8 au 14 juillet 2019 à Saint-Denis, près de Paris : le thème de cette édition est "Building Community Networks for Fun and Non-Profit".

Comme tous les ans, le Battlemesh est gratuit et ouvert à tous grâce au soutien généreux de sponsors. Par ailleurs, l'équipe d'organisation s'efforce de diminuer autant que possible le coût de la participation en proposant un hébergement bon marché aux participants.

Plus d'informations sont disponibles sur la page de l'événement, sur Mastodon ou sur Twitter.

Globenet soutient cet événement, d'une part pour les efforts de cette communauté en vue d'améliorer les réseaux maillés sans fil et de favoriser le développement de réseaux communautaires, mais aussi pour sa contribution aux libertés numériques, à la reprise en main des technologies de communications électroniques, et à une société ouverte et respectueuse des droits humains.

Trackers et profilage

Aube — 2018-07-20T13:02:33Z

Un tracker, c'est quoi ?

Un tracker (ou pisteur en bon français) est un bout de code présent dans une application, ou un logiciel, qui transmet des informations à son propriétaire. Ces informations sont de deux sortes : les « données personnelles » (c'est-à-dire qui concernent chaque individu, identifié) et les « données d'usage » (qui concernent les modalités anonymes d'utilisation de l'application ou du logiciel). À partir des trackers, il est possible d'établir un profil qui est vendu d'autant plus cher aux annonceurs publicitaires qu'il est précis.

Mais la bonne nouvelle c'est qu'il y a un certain nombre d'initiatives qui participent à la prise de conscience générale autour de la captation et de la valorisation économique des données personnelles. Exodus https://exodus-privacy.eu.org/ par exemple, qui réussit à détecter les trackers directement dans les fichiers APK des applications pour smartphone Android (le « fichier Android Package »), sans avoir besoin de les décompiler. On apprend ainsi plein de choses grâce à Exodus qui a déjà analysé un nombre impressionnant d'applications sur Android particulièrement populaires. Il est possible de télécharger directement l'application Exodus Privacy sur son téléphone portable Android, qui donne pas mal d'informations sur les applications déjà téléchargées sur le portable. Sur le site d'Exodus, il y a aussi les rapports complets sur chacun d'entre elles : un bon moyen de comprendre les relations économiques, jusque dans les lignes de code, entre Google, Facebook, Amazon et les petites applications qu'on télécharge sans y penser !

Pour un résumé de tout ce qu'on peut savoir sur un utilisateur de smartphone grâce aux trackers que les fichiers APK contiennent, cette vidéo publiée par Exodus est une bonne entrée en matière.

Pour un exposé détaillé sur la collecte des données et ce que ça nous dit de notre intimité, Exodus a aussi pris la parole à Pas Sage en Seine le 30 juin dernier

Les failles de sécurité : que faire ?

Aube — 2018-04-05T10:28:52Z

Que peut-on faire face à une faille de sécurité ?

Pas grand chose quand on est simple utilisateur, si ce n'est éviter de visiter des sites web qui peuvent être vérolés, d'ouvrir des pièces jointes dont on n'est pas sûr ou encore de télécharger, d'utiliser des clés USB dont on ne connaît pas la provenance, et/ou d'utiliser des logiciels défectueux. Cette dernière recommandation vaut particulièrement pour la faille « Spectre » qui est cependant plus difficilement exploitable que Meltdown, parce que cette faille porte sur les « murs » qui séparent les différents logiciels installés sur une machine. Schématiquement, cette faille permet d'influencer le comportement d'un processus depuis un autre, sans autorisation du système d'exploitation. En d'autres termes, il devient possible par l'intermédiaire d'un processus malveillant de contrôler une partie des logiciels installés sur la machine.

Le mieux est d'attendre que les développeurs, qui travaillent au code des logiciels, publient les « patchs » (les bouts de code qui colmatent les brèches) puis de télécharger la mise à jour du logiciel d'exploitation une fois qu'elle est stable. Pour Linux, il s'agit de la dernière version du noyau numérotée 4.15.
Il faut donc être patient quand une faille de sécurité est détectée et rester vigilant quant à l'utilisation de ses outils.

Concernant les failles de sécurité actuelles, la question du changement de matériel se pose dans la mesure où elles affectent la structure matérielle même des machines.

Et le logiciel libre, dans tout ça ?

Comme vous le savez, on ne saurait assez recommander d'utiliser des logiciels libres qui présentent des vrais avantages face aux failles de sécurité. Certains prétendent que si des attaquants ont accès au code source, il sera plus facile pour eux de casser le système. C'est vrai, mais à l'inverse l'énorme bénéfice de la publication des codes sources est que toute une communauté a la possibilité d'agréger ses efforts pour corriger les failles. Il faut bien voir que tous les codes sources, aussi bien protégés qu'ils puissent l'être, sont tôt ou tard découverts. Utiliser du libre permet de recevoir les mises à jour les plus abouties le plus rapidement, sans grosse baisse de performance.

références

Les failles de sécurité : qu'est-ce ?

Aube — 2018-03-27T11:22:13Z

La « faille de sécurité » a toujours existé en informatique.

La faille de sécurité est la preuve que tout système, même informatique, n'est pas infaillible. Au moment de concevoir une machine, de programmer un site web ou un logiciel, la préoccupation majeure de l'éditeur est : est-ce que ça fonctionne ? Si ça ne fonctionne pas en raison d'une erreur, c'est un « bug » et on réécrit une partie du programme pour l'éliminer. Les failles de sécurité, elles, mettent en danger la sécurité d'un programme ou d'une machine, c'est-à-dire qu'il est possible d'accéder à distance à des informations échangées par l'intermédiaire d'un programme ou d'une machine et ce à l'insu de l'utilisateur. On peut définir comme une « faille » tout moyen que peut exploiter un attaquant pour détourner un système de son utilisation de départ. Les attaques sont répertoriées selon les effets produits et l'intention qui les guide : une attaque peut être la modification du fonctionnement normal d'un service, elle peut aussi concerner une atteinte à la confidentialité de données ou toucher à l'intégrité de celles-ci. La plupart des attaques concerne la prise de contrôle malveillante d'un système comme, par exemple, le contrôle de machines zombies utilisées pour envoyer des spams ou tout simplement le piratage de logiciels commerciaux.

Mais les failles de sécurité, comme les bugs, font partie inhérente de l'histoire de l'informatique. On peut citer la faille « Heartbleed », inscrite par erreur dans le référentiel d'OpenSSL et découverte en mars 2014, ou encore « Shellshock » découverte en septembre de la même année. Il y a cependant un décalage entre l'information détenue par les différentes personnes concernées par ces failles : les utilisateurs malveillants qui exploitent les failles peuvent en avoir pris connaissance beaucoup plus tôt que les chercheurs en sécurité informatique qui chercheront à les réparer.

La date officielle d'une « découverte » de faille informatique est donc sujette à caution. Le grand public est généralement le dernier au courant de son existence : la plupart du temps on apprend l'existence d'une faille de sécurité quand les développeurs ont déjà conçu le pansement (le patch) qui permet qu'elle ne soit plus exploitée, ce qui évite de provoquer une panique générale. Il suffit alors, pour l'utilisateur, de télécharger la mise à jour du logiciel qui contient les correctifs.

La différence cette année entre Meltdown et Spectre d'une part et les failles de sécurité qui touchent à l'architecture des sites web, des logiciels et des applications d'autre part, c'est qu'il s'agit de failles qui se logent dans la structure matérielle même des machines. En effet, elles concernent l'architecture des processeurs modernes (Intel, AMD, ARM, etc.). Elles étaient donc là depuis le début, mais il a fallu attendre les dernières évolutions de la connaissance informatique pour qu'elles deviennent exploitables et détectable à grande échelle. C'est-à-dire qu'au cours du temps et au fur et à mesure que l'informatique évolue, on se rend compte que certaines dimensions ont été négligées au moment de construire les machines, ou, dans d'autres cas, de programmer les logiciels ou sites web.

Une faille de sécurité reflète des choix opérés à un moment donné

Certes, il est possible de colmater la faille grâce à une mise à jour du système d'exploitation mais en l'occurrence, parce qu'il s'agit des processeurs présents dans les machines, il va falloir reconsidérer la construction même des supports.

On se rend alors compte que l'informatique n'est jamais neutre : les puces Intel qui composent la grande majorité des machines utilisées à l'échelle planétaire ont été conçues à un moment du développement du marché de l'informatique. [1] D'un coup, les machines sont devenues beaucoup plus rapides. Au passage, l'entreprise est devenue leader du marché. Par conséquent, grâce aux failles de sécurité, on se rend compte que l'anomalie réside plutôt dans la recherche d'une rapidité et d'une efficacité qui néglige l'aspect sécurité et protection de l'utilisation privée d'un ordinateur. [2]

Depuis la conception d'un programme jusqu'à son écriture et son utilisation, l'apparition des failles de sécurité est toujours une bonne occasion de réfléchir à nouveau aux enjeux de sécurité derrière la technique, souvent opaque au grand public.

références

[1] La prouesse technique d'Intel, c'est d'avoir accéléré les processeurs en leur permettant de choisir « eux-mêmes » l'ordre d'exécution des instructions programmées.

[2] Alors certes, à l'époque de construction d'une machine ou d'un programme, une faille n'était pas forcément détectable mais certains produits défectueux ont pu aussi avoir été mis en circulation sur le marché avec l'idée que les « pirates » mettraient à jour les failles en les exploitant, faisant de fait le travail de détection qui aurait dû être fait au départ.

La neutralité du net

Aube — 2018-01-09T19:05:44Z

Les fournisseurs d'accès à internet (FAI) aux États-Unis auront désormais l'autorisation de transporter des contenus issus d'un service différemment de celui d'un autre. Concrètement, ça veut dire que l'utilisateur pourrait payer son service d'abonnement plus cher pour pouvoir accéder à l'ensemble des contenus du web. Mais la neutralité du net c'est aussi ce qui garantit que certains contenus ne soient pas bloqués par le FAI. Alors qu'est-ce que la neutralité du net et en quoi doit-on veiller à ce qu'elle soit préservée sur nos territoires ?

La neutralité du net, un concept récent mais un principe fondateur de l'internet.

La neutralité du net s'explique par la nature même du net : c'est un réseau
de transport commun de contenus, créé sur un mode horizontal et
décentralisé. Ce réseau fonctionne de la même façon quels que soient la
source, le destinataire et le contenu, le transport est assuré sans discrimination.

Mettre un terme à la neutralité, c'est un peu comme si le service de la poste
décidait de ne pas acheminer certains courriers en fonction de leur contenu ou de leur destinataire.

Au départ, la neutralité du net était implicite mais depuis les années 2000, certains comportements que ce soit de la part des entreprises FAI (offres donnant accès en zero rating à des bouquets de sites internet) ou de gouvernements (censure) ont conduit à conceptualiser ce principe soit pour le critiquer soit pour le protéger. En Europe, le principe a été reconnu et consacré dans les règlements dits « Paquet Télécom » en 2015. La reconnaissance de ce principe permet de préserver la mission démocratique d'un internet ouvert qui fait le même traitement du payant et du gratuit, de l'officiel et du dissident. Cependant c'est un principe dont le respect est fragilisé par les contours flous de sa définition et par la prérogative de censure exercée par les États.
Concrètement, les fournisseurs d'accès internet, soutenus en cela par les industries culturelles créatrices de contenus, font pression sur la neutralité du net pour deux raisons principales, une technique et une économique. Les FAI invoquent la demande croissante en bande passante de la part de certains services, en particulier ceux proposant de la vidéo à la demande pour argumenter en faveur d'offres différenciées. L'idée serait surtout de développer un nouveau modèle économique, où certains seraient gagnants et d'autres perdants. En effet, le pouvoir de discriminer les services donnerait naissance à un internet à plusieurs vitesses qui privilégierait les services et applications les plus offrants.

La fin de la neutralité du net, qu'est-ce que ça peut vouloir dire pour les associations ?

Le double enjeu économique et politique permet de comprendre les conséquences potentiellement délétères de l'abrogation du principe de neutralité pour les associations. En effet, leurs moyens limités ne permettront pas forcément de pouvoir assurer leur visibilité sur internet dans le cas où elles devraient payer pour que les contenus accessibles via les sites web puissent utiliser la bande passante. Une alternative serait alors de se rendre visible et de publier via des plateformes commerciales (comme Facebook) qui pourraient décider d'autoriser la publication de certains contenus et à l'inverse d'en censurer d'autres.

La reconnaissance du principe de la neutralité du net ne suffit pourtant pas pour garantir la portée démocratique d'internet. Par exemple au Brésil où a été votée en 2014 la loi Marco Civil da Internet : ces derniers temps, la censure d'état a été relayée par des groupes de conservateurs qui s'insurgent contre certaines formes d'expression artistique et intellectuelle et utilisent internet pour ça. Au sein de l'association Intervozes par exemple, le défi est de protéger la loi Marco Civil qui risque d'être mise en cause par les conservateurs mais aussi, en parallèle, d'éduquer les citoyens à la maîtrise de l'outil informatique.

Au-delà de la neutralité

Ici à Globenet, on pense qu'il est de la plus haute importance de garantir la neutralité du net pour assurer à chacun un accès indifférencié aux connaissances et la possibilité d'exprimer toute forme d'opinions. On profite du débat sur la neutralité pour rappeler que la maîtrise des outils techniques est un enjeu majeur. Au-delà des luttes pour le contrôle du réseau côté FAI marchands ou états, les enjeux politiques liés à l'utilisation du net se trouvent aussi dans la protection des données personnelles et dans l'indépendance technique vis-à-vis de grandes entreprises numériques par l'utilisation du logiciel libre.

http://fr.wikipedia.org/wiki/Neutralité_du_réseau

https://www.ritimo.org/Neutralite-d-Internet-Ou-Internet-comme-bien-commun

http://www.lepoint.fr/culture/offensive-des-censeurs-sur-la-culture-au-bresil-04-10-2017-2161887_3.php

https://www.lesechos.fr/27/10/2015/lesechos.fr/021434058006_neutralite-du-net---le-parlement-europeen-adopte-la-deuxieme-version-du-texte.htm

https://www.laquadrature.net/fr/nextinpact-le-bresil-sacralise-la-neutralite-du-net

https://www.april.org/neutralite-du-net-hegemonie-des-gafa-la-democratie-prise-dans-la-toile-france-culture