Journée noire pour les libertés sur Internet : les parlementaires européens votent la généralisation du filtrage automatisé

Mercredi 12 septembre, journée noire pour les libertés sur Internet et pour tous ceux et celles qui agissent au quotidien pour défendre et promouvoir un Internet libre et ouvert, neutre et acentré. Le Parlement européen a voté à 438 voix contre 226 la généralisation du filtrage automatisé des contenus mis en ligne. Le coup est dur mais l’April reste mobilisée pour les négociations interinstitutionnelles à venir et pour le vote final au Parlement qui devrait se tenir début 2019.

Malgré une incroyable mobilisation citoyenne et des prises de position argumentées toujours plus nombreuses issues de milieux très divers — culturel, technique, juridique, associatif comme institutionnel 1 — les eurodéputés ont finalement retenu une des versions les plus dangereuses de l’article 13 parmi celles qui leur étaient soumises. : celle du rapporteur Axel Voss (PDF, en anglais). Un vote nominal ayant été demandé, la position de chacun des votants est disponible (voir page 34 du document).

En juillet 2018 les parlementaires avaient rejeté le mandat accordé au rapporteur de la commission JURI. Pourtant, le texte finalement voté le 12 septembre est sensiblement le même, maquillé de quelques précisions cosmétiques. Par exemple l’opportunité de préciser que le blocage automatique des contenus devrait être évité ne manquera pas d’interroger tout un chacun alors que la disposition tout entière est construite sur ce principe, et de se demander qui a pu se satisfaire d’une précision aussi grotesque.

Malheureusement les parlementaires français ont été particulièrement nombreux à soutenir cette disposition aux effets gravement liberticides. À l’exception notable de Messieurs et Mesdames les députés D’Ornano, Montel et Phillipot pour le groupe EFDD, Omarjee et Vergiat pour le groupe GUE/NGL et Delli, Durand, Jadot, Joly et Rivasi pour le groupe des Verts, qui ont également voté pour les amendements de suppression de l’article 13 (rejetés à 517 voix contre 169). L’April les remercie pour cette prise de position importante. Avec une mention particulière pour les parlementaires du groupe EFDD et M. Durand qui ont voté le rejet global de la proposition de directive qui permettrait, enfin, d’ouvrir la voie à un véritable débat de fond sur le sujet. Les autres parlementaires mentionnés ayant fait le choix de l’abstention. À l’inverse l’April constate avec regret que l’ensemble des membres des délégations françaises des groupes EPP, S&D et ENF ont soutenu des propositions portant un risque aussi évident de censure sur Internet.

Lot de consolation, certes faible mais qui a son importance : les amendements inscrivant l’exclusion sans condition des forges de logiciels libres de ce dispositif absurde ont été adoptés. D’ailleurs l’April appelait récemment le gouvernement français à traduire ses paroles en actes lors des négociations interinstitutionnelles à venir, le Conseil de l’Union européenne semblant encore considérer qu’il faille limiter cette exception aux seules forges « à but non lucratif ».

Sur cette question, comme pour celle plus globale de la lutte contre le filtrage généralisé et automatisé des contenus mis en ligne, l’April continuera à agir et appelle toutes les personnes partageant ses valeurs à faire de même. Les parlementaires seront amenés à se prononcer sur le texte final issu des négociations entre Parlement, Conseil et Commission, ultime occasion pour eux de se montrer à la hauteur des enjeux.

Source april.org

Publicités

Directive droit d’auteur : mise en place d’un filtrage généralisé et automatisé sur Internet ; vote décisif en juillet

Communiqué de presse du 20 juin 2018.

La commission des affaires juridiques (JURI) a adopté ce matin la proposition de directive sur le droit d’auteur et notamment son article 13 qui impose aux plateformes d’hébergement la mise en place d’un filtrage généralisé et automatisé des contenus que nous mettons en ligne sur Internet. Les plateformes de développement de logiciels libres sont exemptées de ces exigences de filtrage1 mais l’idée même de ce principe est désastreuse. L’April appelle les parlementaires européens à rejeter la proposition de directive dans sa globalité lors de la plénière de juillet.

Ce matin s’est tenu au Parlement européen un vote crucial pour la sauvegarde d’un Internet libre et ouvert. La commission des affaires juridiques a notamment adopté l’article 13 qui impose aux plateformes d’hébergement la mise en place d’outils de censure automatiques. Cette disposition a pourtant été très largement critiquée, par des organisations de défense des libertés sur Internet, des auteurs, des entreprises du logiciel libre… mais aussi par le rapporteur spécial des Nations Unies sur la promotion et la protection de la liberté d’opinion et d’expression.

Sur la question des forges de logiciel libre plus spécifiquement, la commission JURI a fait un pas dans le bon sens en les excluant du champ d’application de l’article 13, qu’elles soient ou non à but lucratif. Malgré cette avancée, l’April considère que le principe même d’un filtrage généralisé est à proscrire.

La Commission a également adopté la décision d’entrer en négociation avec le co-législateur, le Conseil. Lors de la plénière qui commence le 2 juillet, les parlementaires pourront contester cette décision et demander à cette occasion qu’un vote ait lieu sur le lancement ou non des négociations. L’association appelle les parlementaires européens à rejeter le projet de directive.

« Une importante mobilisation a permis d’exclure les forges de logiciels libres des dispositions de l’article 13. Mais ce patch est insuffisant, l’article 13 reste dangereux et doit être supprimé. La mobilisation doit encore s’intensifier d’ici le vote en plénière pour que ce projet de directive rejoigne ACTA dans les poubelles de l’Histoire » a déclaré Frédéric Couchet, délégué général de l’April.

« On nous parle de compromis ; le texte est pointé comme liberticide par les plus grandes sommités. On nous parle de lutter contre le pouvoir des GAFAM et d’instaurer un marché unique numérique ; on renforce les silos. On nous parle d’auteurs et d’autrices ; on brime un des plus importants outils de création et de partage jamais créé. Au-delà de la disposition elle-même, c’est tout le procédé qui est désastreux. L’unique chose à faire est de rejeter intégralement ce texte et de repartir sur des bases saines, avec un véritable débat public de fond » ajoute Étienne Gonnu, chargé de mission affaires publiques pour l’April.

• 1.L’amendement de compromis dit « CA 2 » adopté ce matin (voir page 2 de ce document PDF (en anglais)) a introduit l’exclusion des forges de logiciel libre en modifiant l’article 2 qui précise la définition de « online content sharing service providers », terminologie qui est ensuite utilisée dans la nouvelle version de l’article 13 :
  « Providers of cloud services for individual use which do not provide direct access to the public, open source software developing platforms, and online market places whose main activity is online retail of physical goods, should not be considered online content sharing service providers within the meaning of this Directive ».

  La nouvelle version de l’article 13 étant page 14 du même document (amendement CA 14).

Source april.org

L’Internet libre et ouvert est en danger : vous pouvez arrêter ce désastre

Le 20 juin 2018 se tiendra un vote crucial au Parlement européen pour la sauvegarde d’un Internet libre et ouvert : les membres de la commission des affaires juridiques (JURI) voteront sur une version amendée, un texte dit « de compromis », de la proposition de directive sur le droit d’auteur. En effet, l’article 13 entend imposer aux plateformes d’hébergement la mise en place d’un filtrage généralisé et automatisé sur Internet des contenus que nous mettons en ligne. Vous pouvez arrêter ce désastre en demandant aux parlementaires européens de rejeter l’article 13 et en participant à la campagne Save Your Internet. On compte sur vous !

Que pouvez-vous faire ?

Ce vote est la première étape cruciale avant le vote qui devrait se tenir en séance pleinière avant la fin de l’année 2018. Le Parlement européen négociera le texte final dans le cadre d’un « trilogue » 1 avec le Conseil de l’Union européenne et la Commission européenne. Or la position de ces deux dernières institutions est déjà arrêtée : imposer aux plateformes d’hébergement la mise en place d’outils de censure automatique. Pour plus de détails vous pouvez vous reporter au podcast ou à la transcription de notre émission Libre à vous ! du 5 juin 2018, émission qui traite des enjeux de cette directive droit d’auteur.

Les parlementaires européens sont un des derniers leviers pour préserver un Internet libre et ouvert. Leur faire entendre nos inquiétudes et l’importance des enjeux en cause, les convaincre de notre nombre et de notre détermination, voilà comment nous pouvons les persuader de s’opposer à ce texte rétrograde.

Contacter les parlementaires européens

Pour les contacter :

• Une liste des membres est disponible sur la page officielle de la commission JURI, mais l’association EDRI a eu la bonne idée de préparer un tableau listant les membres par pays d’origine.
• Le site de la campagne Sauvez votre internet (Saveyourinternet.eu), propose également un outil de prise de contact : par Twitter, par courriel et par téléphone.

Quelle que soit la méthode, l’important n’est pas d’entrer dans une démonstration technique longue et complexe. Un message personnel, simple et court, dans l’idéal suivi d’un appel, est souvent le plus efficace. N’hésitez pas non plus à relayer la campagne et à exprimer votre point de vue sur les réseaux comme Twitter ou Mastodon, en utilisant par exemple les mots clef #FixCopyright #CensorshipMachine ou #SaveYourInternet.

Quelques ressources utiles :

• Une lettre ouverte de plus de 70 « sommités » d’Internet diffusée sur le site de la EFF (Electronic Frontier Foundation) (en anglais).
• Une tribune parue dans Le Monde daté du 23 Mai 2018, sous le titre « Le protection du droit d’auteur ne doit pas entraver la circulation des logiciels » (PDF), notamment signé par Roberto Di Cosmo Directeur de Software Heritage.
• Un article du journaliste Glyn Moody sur la déconstruction des « mythes » entretenus par les défendeurs de l’article 13 (en anglais, traduction en cours).

Participez à la campagne Save Your Internet

Article 13 et les forges de logiciel libre

Sur la question des forges de logiciel libre plus spécifiquement, la commission JURI semble avoir fait un pas dans le bon sens en les excluant du champ d’application de l’article 13, qu’elles soient ou non à but lucratif. Mais rien n’est encore voté ! Pour construire un rapport de force favorable et assurer cette avancée, vous pouvez signer la lettre ouverte de la campagne « Save code share » : sauvons le partage de code.

Signez la lettre ouverte

Si on peut se réjouir de cette amélioration, obtenue suite à une intense mobilisation et au travail de parlementaires européens, on ne peut pour autant pas s’en satisfaire : l’empilement d’exeptions n’est pas une solution viable et fait de ce texte une véritable « usine à gaz » juridique. De plus il s’agit d’une mesure disproportionnée mettant en danger la liberté d’expression. Le filtrage automatisé des contenus doit être intégralement rejeté. Et comme le dit Julia Reda, eurodéputée et membre de la commission JURI, sur son site (en anglais) : chaque voix compte !

Source april.org

Le moteur de recherche Qwant dévoile son Thriller anti-Google

Le moteur de recherche franco-allemand Qwant est déterminé à poursuivre sa croissance. Armé de 32 millions d’utilisateurs, ce service dévoile une vaste campagne de communication européenne.  Le thriller publicitaire compte marquer les esprits et mettre en avant sa philosophie, celle d’incarner le moteur de recherche respectueux de la vie privée.

C’est au travers d’un communiqué de presse que Qwant annonce la date de cette première campagne de communication européenne. Il va donner naissance à partir de 15 septembre à un Thriller signé Alexandre Aja (Mad production).

Sous le slogan « Pourquoi accepter de votre moteur de recherche ce que vous n’acceptez pas dans la vie », cette première prise de parole a pour objectif de faire prendre conscience aux citoyens de l’importance pour leur vie privée du choix de leur moteur de recherche.

Nous sommes ici dans l’univers de la fausse gratuité à la base du modèle économique de Google. Ce moteur de recherche et l’ensemble de services annexes sont proposés, à première vue,  gratuitement. Cependant  il s’agit d’une fausse réalité. Chaque utilisateur laisse des traces de ses activités. Elles sont collectées, analysées puis exploitées.

Selon Qwant, une prise de conscience « que ces recherches accumulées révèlent beaucoup de leur vie privée » est nécessaire. Il est ainsi expliqué

«  Lieu d’habitation, sports préférés, opinions politiques, orientations sexuelles, maladies, niveau de vie, religion… L’analyse des mots clés recherchés et des résultats consultés permet à leur moteur de recherche habituel de déduire beaucoup d’informations intimes sur une personne – et souvent bien davantage que sur les réseaux sociaux où les internautes choisissent ce qu’ils rendent public. »

Heureusement rien n’est inscrit dans le marbre. Le film annoncé veut justement informer les citoyens qu’il existe aujourd’hui des alternatives dont Qwant.

Ce service se vante d’être le premier moteur de recherche qui respecte la vie privée. Pour ce faire aucune collecte n’est en place, les données personnelles ne sont pas exploitées à des fins commerciales et le moteur ne génère aucun cookie qui permet de tracer ses utilisateurs sur Internet.

 

Eric Léandri, président de Qwant précise

 « Nous voulions un film qui fasse comprendre pourquoi Qwant existe, et qui incite naturellement les internautes à se demander s’il n’y a pas une autre voie possible, plus respectueuse de leur vie privée. C’est une campagne militante autant qu’une campagne publicitaire, et nous pensons que c’est réussi »

Enfin  Qwant met en avant ses propres indexations et algorithmes de classement. Cette démarche lui permettrait de proposer

« une information en toute transparence et non faussée selon le profil. L’information recherchée est identique pour tout le monde. »

Qwant revendique 32 millions d’utilisateurs en Europe et compte atteindre la barre des 150 millions rapidement.

Source ginjfo.com

Qwant, un moteur de recherche respectueux ça existe

Le moteur de recherche franco-allemand Qwant est déterminé à poursuivre sa croissance. Armé de 32 millions d’utilisateurs, ce service dévoile une vaste campagne de communication européenne.  Le thriller publicitaire compte marquer les esprits et mettre en avant sa philosophie, celle d’incarner le moteur de recherche respectueux de la vie privée.

C’est au travers d’un communiqué de presse que Qwant annonce la date de cette première campagne de communication européenne. Il va donner naissance à partir de 15 septembre à un Thriller signé Alexandre Aja (Mad production).

Sous le slogan « Pourquoi accepter de votre moteur de recherche ce que vous n’acceptez pas dans la vie », cette première prise de parole a pour objectif de faire prendre conscience aux citoyens de l’importance pour leur vie privée du choix de leur moteur de recherche.

Nous sommes ici dans l’univers de la fausse gratuité à la base du modèle économique de Google. Ce moteur de recherche et l’ensemble de services annexes sont proposés, à première vue,  gratuitement. Cependant  il s’agit d’une fausse réalité. Chaque utilisateur laisse des traces de ses activités. Elles sont collectées, analysées puis exploitées.

Selon Qwant, une prise de conscience « que ces recherches accumulées révèlent beaucoup de leur vie privée » est nécessaire. Il est ainsi expliqué

«  Lieu d’habitation, sports préférés, opinions politiques, orientations sexuelles, maladies, niveau de vie, religion… L’analyse des mots clés recherchés et des résultats consultés permet à leur moteur de recherche habituel de déduire beaucoup d’informations intimes sur une personne – et souvent bien davantage que sur les réseaux sociaux où les internautes choisissent ce qu’ils rendent public. »

Heureusement rien n’est inscrit dans le marbre. Le film annoncé veut justement informer les citoyens qu’il existe aujourd’hui des alternatives dont Qwant.

Ce service se vante d’être le premier moteur de recherche qui respecte la vie privée. Pour ce faire aucune collecte n’est en place, les données personnelles ne sont pas exploitées à des fins commerciales et le moteur ne génère aucun cookie qui permet de tracer ses utilisateurs sur Internet.

 

Eric Léandri, président de Qwant précise

 « Nous voulions un film qui fasse comprendre pourquoi Qwant existe, et qui incite naturellement les internautes à se demander s’il n’y a pas une autre voie possible, plus respectueuse de leur vie privée. C’est une campagne militante autant qu’une campagne publicitaire, et nous pensons que c’est réussi »

Enfin  Qwant met en avant ses propres indexations et algorithmes de classement. Cette démarche lui permettrait de proposer

« une information en toute transparence et non faussée selon le profil. L’information recherchée est identique pour tout le monde. »

Qwant revendique 32 millions d’utilisateurs en Europe et compte atteindre la barre des 150 millions rapidement.

Source ginjfo.com

 

Eric Léandri, président de Qwant précise

 « Nous voulions un film qui fasse comprendre pourquoi Qwant existe, et qui incite naturellement les internautes à se demander s’il n’y a pas une autre voie possible, plus respectueuse de leur vie privée. C’est une campagne militante autant qu’une campagne publicitaire, et nous pensons que c’est réussi »

Enfin  Qwant met en avant ses propres indexations et algorithmes de classement. Cette démarche lui permettrait de proposer

« une information en toute transparence et non faussée selon le profil. L’information recherchée est identique pour tout le monde. »

Qwant revendique 32 millions d’utilisateurs en Europe et compte atteindre la barre des 150 millions rapidement.

Source ginjfo.com

Le navigateur Tor mise sur le langage sécurisé Rust

Le navigateur Tor se tourne vers le langage sécurisé Rust, conçu pour éviter les corruptions de mémoire. Dans la lignée de Firefox, dont le code source sert de socle au projet Tor.

Le browser Tor, une version modifiée de Firefox afin d’inclure des fonctions préservant la vie privée, va se tourner davantage vers le langage de développement sécurisé Rust. Développé par la fondation Mozilla, ce langage est une version remaniée de C++ visant notamment à proscrire les erreurs de développement aboutissement à des corruptions de mémoire.

Mozilla a commencé à livrer de premiers composants écrits dans ce langage au cours de l’été 2016 et il doit prendre une place grandissante dans le développement du navigateur de la fondation, en remplaçant des parties de code aujourd’hui écrites en C et C++.

Réécrire le code C++ en Rust

Une évolution qu’il est donc logique de retrouver dans le projet Tor, dont les développeurs s’étaient déjà intéressés à Rust en 2014 sans que cette première marque d’intérêt ne débouche alors sur rien de concret. Au cours d’une réunion, qui s’est tenue la semaine dernière à Amsterdam, les développeurs de Tor se sont mis d’accord pour réécrire en Rust le code C++, conçu en complément de Firefox.

« Nous ne nous sommes pas affrontés à propos de Rust, Go ou du C++ moderne. Au lieu de cela, nous nous sommes concentrés sur nos objectifs pour migrer Tor vers un langage protégeant la mémoire et sur la façon de parvenir à ce résultat, écrit Sebastian Hahn, un développeur Tor. Avec ce cadre de référence, Rust faisait figure de candidat extrêmement fort pour les améliorations que nous considérions comme nécessaires. » S’il ajoute que les équipes de Tor ont encore beaucoup à apprendre sur ce nouveau langage, il mentionne quelques essais préliminaires encourageants sur de premières intégrations.

Source silicon.fr

Firefox 55 bloquera la géolocalisation pour les sites sans HTTPS

Dans trois versions, Firefox bloquera par défaut tout envoi de position géographique à un site qui ne bénéficierait pas du HTTPS. Un important changement, aligné avec la position actuelle de Mozilla sur la sécurité et une année qui s’annonce très chargée pour le navigateur.

L’année 2017 sera particulièrement importante pour Firefox. Outre une politique de sécurité qui se durcit, comme on a pu le voir encore avec la version 52, le navigateur prépare de très gros changements techniques pour l’arrivée de Quantum, son nouveau moteur de rendu basé en partie sur le projet Servo.

Firefox 53 marquera également l’obligation de passer par l’API WebExtensions pour proposer des modules sur la boutique officielle. Quelques mois plus tard, Firefox 55 enfoncera le clou sur la sécurité. Cette fois, plus question d’autoriser un site HTTP classique à réclamer la position géographique.

Si Firefox ne détecte pas de connexion chiffrée (y compris pour WebSocket), il bloquera purement et simplement cette possibilité. Un moyen d’accroitre encore une fois la pression sur les développeurs ne passant toujours pas au HTTPS. Mozilla s’est appuyé en partie sur sa télémétrie pour prendre sa décision.

L’éditeur indique qu’actuellement, un tel blocage provoquerait des problèmes dans 0,188 % des chargements de page. Sur ce chiffre finalement très faible, 57 % des sites se servent de requêtes getCurrentPosition et 2,48 % de watchPosition. Les utilisateurs de la version Nightly (déjà en branche 55) peuvent activer manuellement la fonction dans about:config en cherchant la ligne geo.security.allowinsecure.

Firefox ne sera pas le premier à bloquer de tels échanges. Chrome le fait depuis bientôt un an, dans les mêmes conditions.

Source nextinpact.com

Firefox : deux nouvelles expérimentations à tester par plugin

Snoozetabs et Pulse sont deux nouveautés dont Firefox teste les fonctionnalités expérimentales. Elle pourraient un jour être implémentées au sein du nouveau navigateur.

Firefox continue d’égrener ses nouveautés à travers son programme test pilot, qui permet aux utilisateurs inscrits de tester des fonctionnalités expérimentales à travers une extension. Firefox a ainsi présenté Snoozetabs, une fonctionnalité qui permet de réserver pour plus tard des onglets afin de pouvoir les consulter ultérieurement.

Cette fonctionnalité est évidemment pensée pour les utilisateurs qui ont la mauvaise habitude d’accumuler les onglets dans leur navigateur. Grâce à Snoozetabs, on peut ainsi sereinement fermer un onglet intéressant tout en programmant celui-ci pour qu’il réapparaisse à l’horaire défini. Plusieurs créneaux présélectionnés sont disponibles, mais il est également possible de paramétrer un horaire spécifique. À la date convenue, la page réapparaîtra dans la barre d’onglet de Firefox.

Les pages rouvertes via ce biais après avoir été « snoozées » sont signalées par une icône spécifique dans la barre d’onglet.

L’autre fonctionnalité présentée au sein du programme test pilot s’appelle Pulse. Celle-ci permet aux utilisateurs d’envoyer un feedback à Firefox sur le comportement d’une page en particulier. Cette fonctionnalité permet en effet de noter sur cinq une page afin d’envoyer aux équipes de Firefox un retour sur la façon dont celle-ci s’affiche au sein du navigateur.

Cette information devrait permettre à Firefox de mieux ajuster ses ressources afin de pouvoir répondre aux problèmes les plus fréquemment rencontrés par ces utilisateurs.

Source zdnet.fr

Tor Browser disponible en version Sandboxed 0.0.2, avec une isolation en mémoire

Les développeurs de Tor Browser travaillent sur une version « sandboxée » du navigateur, qui doit le rendre moins perméable aux exploitations de failles et à certaines attaques. Une préversion est disponible, pour l’instant uniquement sur Linux.

 

Tor Browser est un navigateur basé sur Firefox. Le socle technique est donc le même, ce qui ne signifie pas forcément qu’il en reprend l’intégrabilité des fonctions. En l’occurrence, Tor Browser ne possède aucune sandbox, alors que Firefox en dispose pourtant.

La sandbox (littéralement bac à sable) est un mécanisme de protection que l’on retrouve dans pratiquement tous les navigateurs récents. Elle isole dans un espace mémoire clos les données pour empêcher les communications classiques avec le reste du système. Les instructions, fonctionnalités et autres passent par des « portes » soigneusement contrôlées. Principal intérêt : empêcher l’exploitation des failles de sécurité quand celles-ci pourraient appeler des fonctions du système. À moins bien sûr de posséder le moyen de contourner la sandbox, avec une autre brèche par exemple.

Une sandbox pour Tor Browser

Les développeurs de Tor Browser travaillent sur une nouvelle version de leur navigateur, accompagnée cette fois d’une sandbox. Le processus est long et pour l’instant se limite à Linux. Ce « Sandboxed Tor Browser » est disponible dans une première mouture de test 0.0.2. Le numéro de version en dit long sur l’état d’avancement du projet : l’ensemble fonctionne, mais les bugs sont nombreux et la compatibilité limitée.

Puisque l’on parle uniquement de version Linux pour l’instant, le développeur « Yawning Angel » indique que l’interface d’installation et de mise à jour est désormais en GTK3+. Il s’agit en quelque sorte d’un « launcher » qui se charge d’exécuter Tor Browser dans une série de conteneurs logiciels. Ces derniers sont basés sur Linux seccomp-bpf et les espaces de noms utilisateurs. L’ensemble tourne autour de bubblewrap, un projet libre de sandbox.

Une compatibilité limitée

Cette version 0.0.2 ne pourra pas non plus être installée sur n’importe quelle distribution. Par exemple, Ubuntu n’est pas compatible à cause d’une version de bubblewrap trop ancienne. Le développeur prévient : la mouture présente dans le dépôt Universe ne doit pas être installée, elle ne fonctionnera pas. Par ailleurs, il faut que le système soit intégralement en 64 bits, le kernel comme l’espace utilisateur. Un mélange des binaires 32 et 64 bits ne sera pas suffisant.

Les importants enjeux d’une version isolée

Même encore à un stade peu avancé, le projet est important. Bloquer ou réduire l’exploitation des failles revêt un aspect crucial pour la sécurité des utilisateurs de Tor Browser. On rappellera en effet que le FBI a démantelé en 2015 un réseau d’échanges de contenus pédopornographiques en exploitant une faille de Firefox. Or, si des failles sont lancées ouvertes aux quatre vents, elles peuvent être trouvées et donc exploitées pour des raisons beaucoup moins « nobles ».

Les développeurs ne donnent pour l’instant aucune indication sur la sortie d’une version finale. Le projet va continuer à progresser, mais il est probable que le rythme soit lent.

Les utilisateurs intéressés pourront télécharger les sources du projet depuis le dépôt Git associé. Il n’y a pour l’instant aucun binaire déjà compilé et il faudra donc procéder manuellement.

Source nextinpact.com

Accélération pour Firefox 50

La nouvelle version de Firefox a mit l’accent sur la vitesse. On l’a beaucoup dit, c’est vrai, mais cette fois… c’est un succès.

Firefox 50 n’est pas une version majeure et on constate peu de changements. Malgré tout, certaines choses s’améliorent. Le démarrage est nettement plus rapide, 35 % de mieux que la mouture précédente d’après la Fondation Mozilla. Et ce chiffre passe à 65 % si des extensions sont chargées également. C’est un net progrès qui était attendu depuis longtemps par les utilisateurs.

L’autre changement intéressant concerne la gestion des certificats de Let’s Encrypt. Firefox devient le premier navigateur à reconnaître le certificat racine de Let’s Encrypt. C’est donc un progrès pour la sécurité, mais également pour l’indépendance car il n’y a plus besoin de passer par un certificat intermédiaire.

Liens :

Le projet Let’s Encrypt
Les notes de version de Firefox 50
Télécharger Firefox

Source toolinux.com

Dégooglisons Internet : Framasoft lance six nouveaux services cette semaine

Framasoft, qui avait lancé en 2014 l’initiative « Dégooglisons Internet », revient pour la troisième vague de services. L’idée est toujours la même : proposer des alternatives à des solutions centralisées existantes afin que l’utilisateur récupère le pouvoir sur ses données.

La « Saison 3 » de la campagne « Dégooglisons Internet » (voir notre entretien) est donc officiellement lancée. Ce sont désormais 30 services qui sont proposés en tout, dont six nouveaux. Comme pour tous les autres, Framasoft ne vise pas un remplacement général des habitudes, mais une sensibilisation des utilisateurs à la thématique des données face aux GAFAM : Google, Apple, Facebook, Amazon et Microsoft.

Six nouveaux services pour boucler l’initiative

De fait, les nouveaux services concurrencent directement des solutions existantes et souvent largement utilisées. Framalistes, basé sur Sympa, propose ainsi de remplacer Google Groupes pour créer des listes de diffusion pour les emails. Framanotes s’attaque à Evernote en permettant de créer des notes synchronisées accompagnées d’images, de fichiers divers, de marque-pages et autres. Une fois le compte créé, il pourra être exploité par les applications Turtl.

On continue avec Framaforms. Basé sur Webforms et Drupal, il autorise la création de formulaires divers, les réponses n’étant pas transmises à un quelconque éditeur. Framagenda s’en prend aux solutions de calendriers d’Apple, Google et Microsoft. Il reprend le code d’ownCloud/Nextcloud et permet de noter les rendez-vous, plannings et autres évènements. Privés par défaut, les agendas peuvent devenir publics ou semi-publics. Enfin, Framatalk se pose en solution alternative de Skype ou même de Discord. Il permet de se connecter aux serveurs de Framasoft, sur lesquels est installé Jitsi Meet.

À cette liste de concurrents, Framasoft en ajoute un sixième en « bonus » : My Frama. Basé sur Shaarli, il s’agit d’un collecteur de lien, à la manière de Del.icio.us. Cette version spécifique a été modifiée pour trier automatiquement les liens correspondant à des services de l’association, l’utilisateur pouvant alors les retrouver plus facilement.

Notez que ces services seront proposés un par un chaque jour de la semaine. Aujourd’hui, c’est Framalistes qui ouvre le bal. Puis viendront Framanotes, Framaforms, Framatalk et Framagenda. MyFrama, quant à lui, sera lancé le lundi 10 octobre. Il s’agit de la troisième et dernière année de la campagne. D’autres services sortiront, la liste étant disponible sur le site officiel.

Framasoft ne veut pas de SSO pour ses solutions

L’éditeur ne considère par ailleurs pas que ses services (presque tous basés sur des solutions open source existantes) soient faits pour être utilisés ensemble. Les utilisateurs sont libres d’en choisir un, plusieurs, ou même aucun.  Il indique en outre être conscient que de nombreuses demandes sont faites sur le SSO (single sign-on), à savoir un compte unique pour tous les services. Mais il ne le souhaite pas, pour des raisons de sécurité et de coûts notamment.

Il souligne un souci pluriel d’identité devant une telle quête. D’une part, l’idée de la campagne est de freiner les services centralisés. La mise en place d’un SSO irait donc dans le sens opposé. Par ailleurs, cela risquerait de provoquer un afflux massif d’utilisateurs, les infrastructures de Framasoft n’étant pas prévues pour des millions de personnes. En clair, l’éditeur ne veut pas « devenir ce qu’il combat ».

L’association revient de loin

Framasoft en profite pour lancer un remerciement général, en rappelant notamment qu’en lançant sa campagne en 2014, l’association était au bord du gouffre : « Nous n’avions plus de sous ! ». Le nombre de membres ayant fortement diminué, l’initiative ressemblait presque à un chant du cygne. Au final, l’équipe parle maintenant de « coup de fouet » et d’une nouvelle « mobilisation des énergies internes ».

Elle rappelle enfin que la campagne se terminera dans un an. « Dégooglisons Internet » n’a pas été pensée comme une pression permanente, mais un simple moyen de mettre l’accent sur l’idée d’alternatives. Évidemment, tous les produits proposés resteront en place. Mais Framasoft a d’autres projets à gérer en même temps, notamment ses CHATONS, pour promouvoir les hébergeurs responsables.

Source nextinpact.com

Des images pour ProtonMail

La messagerie chiffrée passe en version 3.4 et apporte de nouvelles fonctionnalités.

ProtonMail vient de dévoiler sa version 3.4. Ce service de messagerie sécurisée avec un chiffrement de bout en bout apporte de nouvelles fonctions. Il y a principalement l’intégration des images dans les messages, à l’aide d’un simple glisser / déposer dans le champ texte. On peut également les utiliser en signature, et choisir ou non de les afficher automatiquement. Autre amélioration notable, l’utilisation de filtres pour trier les messages. Par contre, pour la version gratuite, l’utilisateur n’a droit qu’à un seul filtre.

L’équipe de développeurs travaille en ce moment sur l’amélioration de la gestion des contacts ainsi que sur la synchronisation POP / IMAP. Cela devrait arriver d’ici la fin de l’année, s’il n’y a pas de nouveau retard.

Liens :

Le site de ProtonMail
Les notes de version
Discussion sur l’ajout de POP / IMAP
Discussion sur d’autres fonctionnalités à venir

Source toolinux.com

Mozilla aide à sécuriser le web

Mozilla vient de dévoiler un nouveau service qui permet de scanner un site pour chercher des vulnérabilités.

Observatory, développé par Mozilla en accès libre et gratuit pour tous, scanne les sites web à la recherche de failles et de risques de sécurité. Il attribue ensuite une note de 0 à 100 qu’il convertit ensuite en note globale de A à F. Le site est analysé pour chercher des mécanismes de sécurité tels que CSP, CORS, HSTS, XFO et d’autres encore. Il donne également des informations sur la présence d’un certificat SSL ou une redirection automatique. Plus de 1,3 millions de sites auraient déjà été analysés par Observatory et la sécurité n’est pas vraiment au rendez-vous pour une grande majorité. D’ailleurs, ce service a même aidé Mozilla à sécuriser ses propres sites.

Les développeurs sont appelés à participer pour améliorer cet outil sur un dépôt Github. Il s’agit d’une bonne initiative au vu des résultats, même si ce n’est pas le premier service proposant cela.

Liens :

Annonce du projet Observatory
Le site Observatory
Le dépôt Github

Source toolinux.com

Tor perd un de ses pionniers et un nœud critique

Lucky Green un des pionniers du réseau Tor abandonne et ferme un des noeuds critiques du réseau d’anonymisation.

Un des premiers contributeurs au projet Tor connu sous le pseudonyme Lucky Green a décidé de quitter le navire et de fermer les passerelles Tor sous sa tutelle. Parmi ceux-là, il y a un serveur central qui gère les passerelles (Bridge Authority).

Lucky Green est une figure emblématique de Tor, il a fait partie du projet avant que le réseau ne soit connu sous son nom actuel. Il a également été à l’origine d’un des 5 premiers nœuds fondateurs du réseau Tor. Au fil du temps, il a gagné la confiance de la communauté pour pouvoir gérer des nœuds sensibles au sein du réseau.

Ces nœuds, baptisés Bridge Authorities, ont leur adresse IP codée en dur dans les applications Tor et donnent la possibilité au réseau Tor d’éviter les interdictions et les blocages des FAI. Ils détiennent également des informations importantes concernant les autres noeuds Tor.

Trouver une alternative au 31 août 2016

Lucky Green a donné au projet jusqu’au 31 août 2016 pour publier une mise à jour des applications Tor et supprimer l’adresse IP de son nœud, connu en interne sous le nom Tonga. Il prévoit également de fermer 5 autres serveurs Tor.

Les raisons de son départ restent elliptiques. « Compte tenu des évènements récents, il ne me semble plus approprié de contribuer matériellement au projet Tor, soit de manière financière comme je l’ai été généreusement pendant de longues années, soit en offrant des ressources informatiques ». Les évènements récents auxquels fait allusion Lucky Green sont au nombre de deux. Le projet Tor a été secoué en juin par le départ de son responsable Jacob Applebaum accusé de harcèlement sexuel et par la nomination d’un nouveau conseil d’administration la semaine dernière. « Je pense que je n’ai pas de moyens raisonnables pour partir de manière éthique, mais d’annoncer l’arrêt de tous les services basés sur Tor hébergés sur l’ensemble des systèmes sous mon contrôle ».

Source silicon.fr

Tor, visé par des relais-espions ?

Une étude publiée par deux chercheurs vient remettre en cause l’anonymat conféré par le réseau Tor. Selon l’analyse menée par les auteurs du document, plus d’une centaine de relais-espions chercheraient à activement cartographier les « services cachés » présents sur le réseau.

La DefCon approche et avec elle, les chercheurs en cybersécurité commencent à présenter leurs résultats de recherches avec un peu d’avance. L’un des sujets fréquemment traités à l’occasion de cette conférence sur la cybersécurité est celui de la sécurité du réseau Tor, ce protocole web ayant recours à des outils de chiffrement et d’anonymisation des utilisateurs. Celui-ci a connu plusieurs attaques d’ampleur contre ses systèmes d’anonymisation, mais deux chercheurs américains soupçonnent une nouvelle attaque exploitant des relais-espions.

Guevara Noubir et Amirali Sanatinia présenteront les résultats détaillés de leurs analyses lors de leur conférence prévue à l’occasion de la DefCon, mais ont déjà expliqué une partie de leurs conclusions au site américain MotherBoard. Ces deux chercheurs ont déployé des services cachés sur Tor sous la forme de honeypot afin de détecter d’éventuelles tentatives de percer à jour ces services.

Ce réseau leur a permis de détecter l’existence d’une centaine de relais Tor jugés malicieux : ceux-ci ne se contentent pas en effet de rediriger simplement le trafic, mais sont configurés pour analyser en profondeur les services cachés qu’ils détectent sur le réseau. Ces relais disposent du flag HSdir, qui est utilisé par plus de 3000 relais Tor pour indiquer qu’ils possèdent des informations sur les services cachés et sont en mesure de rediriger les utilisateurs vers ceux-ci. Correctement configurés, ces relais ne sont pas censés collecter de données, mais certains d’entre eux ne jouent pas le jeu.

Relais peu fair play

Dans l’exemple pris par les chercheurs, l’adresse exacte de leurs services cachés restait entièrement confidentielle. En théorie, ces services n’auraient donc pas dû recevoir de visites, mais les chercheurs ont détecté plusieurs tentatives de connexions et estiment qu’environ 110 relais Tor ont été configurés afin de détecter et cartographier les services cachés de ce type.

Ces relais malicieux ne se contentent pas de répertorier les services qu’ils découvrent, mais certains en profitent pour scanner les services afin de découvrir d’éventuelles vulnérabilités dans les sites. Les chercheurs expliquent également que la majorité de ces relais-espions semblent être situés aux États Unis, en Allemagne et en France ainsi que dans d’autres pays européens.

La question des relais-espions n’est pas nouvelle pour Tor : ce type d’attaque est connue depuis 2014 et avait déjà fait l’objet de plusieurs présentations détaillant la façon dont ces machines pouvaient être utilisées pour briser l’anonymat offert par le réseau en oignon. L’étude menée par les chercheurs de l’université Northeastern de Boston vient donc montrer que cette technique est activement utilisée par certains acteurs connectés au réseau.

Les développeurs de Tor expliquent de leur côté connaître ce problème et travaillent activement à développer une nouvelle architecture pour le réseau en oignon afin de couper court à ce type d’attaques.

Source zdnet.fr

Tor Browser 6.0 supprimera les certificats SHA1

Tor Browser 6.0, disponible en téléchargement, est une version importante du navigateur sécurisé. Voici ce qui change.

Tor Browser 6.0 est disponible. Cette nouvelle mouture apporte plusieurs améliorations significatives. La principale, c’est le passage à Firefox 45 ESR, qui est donc une version avec un support étendu. Conséquence : une sécurité renforcée, selon ses concepteurs. De plus, l’alignement sur Firefox 45 apporte de nouvelles fonctionnalités.

Autre point important, l’abandon du support des certificats de sécurité SHA1. Dans le courant de 2017, tous les principaux navigateurs l’abandonneront aussi.

De nombreux bugs ont été corrigés évidemment, mais certains correctifs n’étant pas encore appliqués, des fonctionnalités ont été désactivées pour le moment.

Signalons également que le système de mises à jour a été renforcé et que la vérification se fera désormais sur la signature du paquet ainsi que sur le « hash ».

Liens :

Le site de Tor

Télécharger Tor Browser pour Linux

Source toolinux.com