Accéder à mon blog sur mon serveur perso

Ce blog hébergé sur wordpress.com ne sera plus mis à jour, les futurs billets seront écrits sur mon serveur personnel à l’adresse http://perso.bressure.net

Je vous conseille d’y accéder en HTTPS https://perso.bressure.net après avoir pris soin d’inclure mon certificat dans votre navigateur (http://perso.bressure.net/cert/cacert.pem) dont voici la version textuelle (http://perso.bressure.net/cert/cacert.txt):

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 16835386390408088561 (0xe9a34eb970b84bf1)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=FR, ST=France, O=bressure.net, CN=Thierry Bressure/emailAddress=thierry@bressure.net
        Validity
            Not Before: Dec 13 09:07:31 2013 GMT
            Not After : Dec 11 09:07:31 2023 GMT
        Subject: C=FR, ST=France, O=bressure.net, CN=Thierry Bressure/emailAddress=thierry@bressure.net
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (5096 bit)
                Modulus:
                    00:eb:6e:3e:58:53:71:92:06:50:98:2b:e7:4c:be:
                    1e:3b:39:2c:6d:35:a7:32:b9:28:a7:62:11:38:c6:
                    8a:94:bb:de:d7:b9:3e:0e:3b:7f:bd:fe:7d:7d:26:
                    7d:d0:dd:c4:95:9c:ba:f8:98:d2:bb:e1:81:60:a6:
                    55:dc:dc:61:f7:5a:e2:ff:2a:79:98:4d:57:50:2c:
                    f0:0a:68:ab:45:3d:7a:07:c0:9b:b0:64:90:15:44:
                    86:e1:84:01:32:ca:79:5d:e4:ae:fd:da:4f:3c:3c:
                    91:49:75:12:05:62:dd:7c:0d:b3:16:27:1d:7f:0f:
                    50:1d:e3:0c:44:93:e8:71:12:ad:cf:46:bf:d3:e1:
                    e8:e2:6b:09:23:f1:c8:9a:ef:8a:63:2a:0b:dd:1e:
                    d7:0d:24:eb:e2:86:4f:42:13:8c:77:63:00:4f:83:
                    a7:25:dd:bf:2d:2f:d2:64:51:ee:c8:1a:e9:b4:fb:
                    42:94:63:70:2d:80:ab:38:a9:cd:ff:b1:cf:97:8e:
                    eb:5a:a1:d0:e0:bd:c1:90:91:e2:c7:99:61:a1:4d:
                    cb:30:71:e3:70:e6:b2:f3:d5:cc:48:e7:fd:a7:34:
                    fe:1a:78:1c:0c:0e:89:91:a1:8d:67:19:2c:02:9e:
                    b9:58:2b:6a:ae:f1:29:fc:76:a4:c0:c6:37:5c:3e:
                    56:26:92:10:96:8e:fd:72:19:78:3c:7d:53:b2:14:
                    f3:4d:07:ab:b9:f3:03:09:cd:ac:3b:3c:d2:15:12:
                    4f:42:6f:55:07:b2:64:7d:e5:aa:c4:11:71:39:a4:
                    7f:83:a2:bc:f8:f2:13:44:81:9d:08:3b:49:38:e9:
                    76:73:4a:56:b1:43:44:69:e7:e8:33:ac:59:75:f5:
                    60:02:c3:51:c4:c7:bc:82:62:e7:e8:e0:b7:89:8b:
                    01:99:67:f4:94:9f:fa:ea:77:ad:ae:f4:88:30:e6:
                    37:9f:cc:ae:ea:6f:0e:ab:67:e5:3b:f5:55:78:e7:
                    9b:a0:b4:c4:0c:c8:48:d9:67:7c:57:e6:d4:74:88:
                    25:75:b7:6f:76:a6:00:1f:3c:f5:83:e0:44:00:a1:
                    4b:e2:a9:ff:66:c3:cc:32:06:1e:17:dc:3d:7e:5a:
                    cb:1a:3d:39:1a:33:8b:5a:11:ab:67:9a:f8:a7:32:
                    6c:5c:90:1a:bc:93:78:1d:6d:89:1a:1c:99:14:cf:
                    23:8d:58:90:f7:0d:49:14:ed:0d:45:98:fa:93:ce:
                    c1:79:0e:76:b2:a6:9d:bd:bb:ab:39:de:e3:e7:bd:
                    aa:6f:b4:a5:21:1d:8a:59:4b:75:fe:b2:13:07:d4:
                    55:76:56:06:d7:8a:e5:43:00:cb:74:25:0b:6a:05:
                    b2:50:c2:a3:4b:0c:de:4f:99:47:db:c2:8a:e4:d6:
                    69:e9:66:8f:f0:b0:39:3d:bf:16:7d:f8:65:8d:97:
                    f5:f4:1e:fc:72:bd:08:1c:27:08:ea:b0:9c:da:b4:
                    61:58:93:ea:6b:fe:c3:4c:89:cc:a7:ec:62:ad:b0:
                    ad:30:17:38:24:9c:45:b2:4c:2d:b8:31:e3:8b:4d:
                    8a:31:e3:02:0f:a2:d9:94:e4:b3:fc:94:9e:82:43:
                    f5:7b:67:4f:f2:4c:d1:28:27:c3:35:fc:75:7f:b8:
                    2d:38:03:d7:04:92:4a:43:97:a4:43:7f:cc:14:41:
                    1d:a2:fc:2c:2e:16:85:23
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier: 
                54:02:70:7F:7D:7F:A6:E5:D5:8B:EB:FF:AC:41:B2:A4:A9:52:7C:BA
            X509v3 Authority Key Identifier: 
                keyid:54:02:70:7F:7D:7F:A6:E5:D5:8B:EB:FF:AC:41:B2:A4:A9:52:7C:BA

            X509v3 Basic Constraints: 
                CA:TRUE
    Signature Algorithm: sha1WithRSAEncryption
         3b:07:63:32:39:6f:ea:cb:84:29:8f:05:9b:8d:8d:11:6b:27:
         5d:aa:d2:45:ce:fb:8c:48:95:54:10:81:67:31:b2:0a:d4:cb:
         bf:bb:8a:c3:f4:8a:e5:45:c7:c0:87:f6:22:f0:e7:86:3d:b7:
         a2:9d:09:8c:9f:28:0b:c4:70:08:a4:32:e8:78:e0:32:83:24:
         5b:f5:58:78:bc:49:91:e8:4b:5b:3d:d8:22:84:ae:31:50:83:
         27:3a:02:da:14:0e:76:96:ad:66:f8:0f:9e:0c:91:30:85:b7:
         54:3d:a5:3e:f8:20:04:9a:e8:2a:8c:40:68:01:f1:57:3b:7c:
         d1:89:81:ae:5e:1e:25:39:20:19:db:e0:8c:d3:dc:5d:1d:66:
         55:9a:61:9b:10:15:2d:eb:23:de:a3:c3:6d:3b:8b:0d:c1:e2:
         70:00:48:cc:fe:e6:d0:4d:68:bd:49:ed:ff:2c:b2:26:52:3d:
         7d:d8:52:d9:49:0d:40:6f:be:db:a7:7b:8d:60:aa:7e:f5:23:
         b8:8f:7b:43:4a:12:e6:bf:2f:1d:57:9a:c4:57:42:8d:1f:71:
         ab:bc:e5:33:66:80:f6:d9:fb:ab:8b:63:3e:8e:b4:82:92:3e:
         87:92:62:ef:d6:f5:74:03:2a:48:4b:ab:ac:92:a5:16:74:06:
         e3:6b:04:5a:a5:e9:54:aa:69:fd:0b:29:75:ad:31:83:e9:94:
         77:36:94:8c:95:f3:e2:02:8b:e2:85:4c:0c:fd:5d:f8:04:da:
         55:2a:4d:3b:b6:a4:e5:26:88:e0:9a:f6:84:9a:c8:17:6a:d5:
         0a:80:83:19:58:51:87:49:30:2e:77:1a:d9:c5:d0:e2:15:5e:
         36:ef:ab:c4:3e:b3:85:dc:d4:a3:30:1c:15:ec:26:3d:ba:a6:
         5e:18:8c:bb:0d:c0:d8:ff:90:03:54:2b:24:4f:7c:b8:ec:87:
         77:21:b4:41:ed:15:8a:03:d8:69:c8:94:5d:61:d1:d7:06:57:
         28:b9:ca:ad:8e:9a:75:79:58:ac:f9:73:9f:40:18:d8:9c:9d:
         de:f8:7a:d7:9c:30:bc:12:ee:a5:dc:85:4c:cc:95:5a:46:c8:
         ba:88:6e:93:50:27:2a:ab:61:fb:0c:8e:bc:2d:d7:7f:42:e5:
         f0:5f:83:ae:3b:c9:65:e0:82:b9:b8:bd:64:15:33:e8:e3:fe:
         66:7b:ed:e0:6b:b6:1f:14:e6:45:c0:60:73:39:26:c4:89:8d:
         5a:3d:c7:3d:51:29:cb:93:c5:88:f9:fe:9a:a9:1a:d2:86:85:
         f1:0c:42:08:6b:0b:7a:a6:44:37:8c:60:9d:2e:b9:56:07:35:
         6b:05:c2:9e:05:9b:37:fe:2a:1f:4e:0d:15:43:ae:9d:f7:8e:
         aa:65:02:90:f8:ac:98:98:26:08:6d:89:3f:ae:34:67:2f:da:
         90:25:63:81:48:f0:71:7c:0b:62:23:ad:b2:fe:a9:28:e0:f6:
         99:f2:f9:51:88:f7:54:18:ce:53:48:fb:d1:c2:39:28:4f:94:
         5e:5d:09:a0:6b:50:81:1c:df:5c:2c:1d:19:cc:32:32:f3:4d:
         4a:80:f8:2a:c3:38:24:1f:f1:63:5d:be:22:bb:5a:1a:58:56:
         0e:72:5a:30:d5:17:90:8d:a9:ba:5f:c6:49:5b:2f:d7:6f:7f:
         b6:8a:be:00:89:34:ff
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Publié dans Actualité | Laisser un commentaire

Diffusion des services cachés

English: onion

English: onion (Photo credit: Wikipedia)

Nous avons vu précédemment comment mettre en place un service caché. Il s’agissait d’un serveur web, caché quelque part derrière un noeud Tor et désigné avec une url onion. Le service caché est accessible sans que le client et le serveur ne dévoilent leur adresse IP (et donc leur localisation).

Le web caché est malheureusement non répertorié par les moteurs de recherches courants et donc sa diffusion est restreinte aux connaisseurs du réseau Tor. Il est vrai également que tout ce qui est caché est un peu suspect car tout ceux qui entreprennent des activités contraires à la volonté du pouvoir en place, le font dans la clandestinité. C’est peut-être pour ça qu’il y a peu d’intérêt pour l’usage des services cachés et qu’on entend souvent « Si on n’a rien à cacher on n’a pas besoin d’anonymat ni du respect de la vie privée ». Pourtant l’anonymat est le seul moyen qui garantie la liberté contre toute forme d’oppression. Ainsi le passage dans l’isoloir permet l’anonymat du bulletin de vote et garantie la libre expression du suffrage.  Donc tout devrait être anonyme: tout le web devrait être anonyme ! C’est pourquoi nous devrions tous utiliser des services d’anonymisation qu’il s’agisse d’un site gouvernemental ou de dissidence…

Démocratisons l’usage de service caché

Pour œuvrer dans se but il faut créer autant de services cachés que possible. Si on possède un site dans le web normal (appelé clearnet) on peut en parallèle ouvrir un service caché mirroir du site normal. Le site caché est alors une copie dans Tor du site public. Quel intérêt ? Il faut se dire que demain on peut être victime d’une oppression (fermeture arbitraire de la part de l’hébergeur, saisie de serveur etc.) et si cela arrive alors un service caché permettra de se prémunir d’un muselage numérique, car même si l’anonymat n’est pas le but ici, les services cachés de Tor offrent une parade à l’oppression: un service caché installé dans une machine virtuelle sera facilement trasnférable d’un site à un autre pour échapper à l’oppresseur tout en gardant la même identité (adresse onion).

Une fois que les sites existants auront tous leur clône dans le web caché et que bien entendu le lien vers les clônes ajoutés dans les pages du clearnet, alors les moteurs de recherches indexeront également ces pages. Cela permettra de rendre visible ce mécanisme essentiel à la liberté des idées qu’est l’anonymisation.

En même temps que cette publicité des services cachés dans le clearnet, les nouveaux services (sites web, serveur ftp etc) doivent être pensés avec l’idée de l’anonymat et donc doivent délaisser le clearnet. Le réflexe doit s’appeler Tor. Créons les nouveaux services dans le web caché et uniquement là. Pour l’indexation des nouveaux services, le web caché dispose de  quelques index regroupant des sites onions mais on est loin de la richesse des index du web courant. Citons les 2 suivants: TorSearch et AHMIA.

Publié dans Application | Tagué | Laisser un commentaire

Serveur anonyme avec TOR

English: Tor Logo

English: Tor Logo (Photo credit: Wikipedia)

Nous avons vu que TOR et son utilisation avec la distribution Linux TAILS permet à tout un chacun d’accéder à des ressources sur internet en étant anonyme i.e. en ne révélant pas sa localisation. Ce mode d’utilisation dite client n’est pas suffisant si l’on veut publier des ressources. En effet même si on accède via TOR à un service de publication comme un serveur blog, l’hébergeur du service peut détruire la ressource s’il la juge contraire à ces intérêts. Si on ne peut pas vous empêcher de parler, on va vous couper le micro.

Pour permettre aux idées de circuler sans contrainte, il faut également qu’on ne puisse pas les localiser. Or les services cachés de TOR permettent de rendre les serveurs anonymes: ainsi un utilisateur ne connaît pas réellement l’adresse IP du serveur et comme il accède au serveur par TOR, le serveur ne connaît pas réellement l’IP de l’utilisateur. Client et serveur communiquent sans révéler mutuellement leur identité (localisation sur le réseau). Un censeur aura ainsi beaucoup de mal à empêcher l’idée de circuler car il ne peut ni brûler la bibliothèque ni faire pression sur les lecteurs.

Les services cachés de TOR

Un serveur virtuel dédié

Pour mettre en place un serveur anonyme je conseille de le faire sur une machine virtuelle. Il y a plusieurs raison à cela:

  1. Si on utilise une machine déjà existante donc avec potentiellement des services classiques non cachés (ex: un serveur web), on s’expose aux failles des autres logiciels et aux failles de leur configuration.  Ex: héberger un service caché sur une instance d’apache qui héberge également des sites non cachés est à proscrire !
  2. Créer une machine virtuelle coûte moins cher que d’acheter une autre machine
  3. Déplacer une machine virtuelle est très facile et c’est une éventualité à prendre au sérieux car une panne matérielle ne doit pas vous rendre muet.

La connexion réseau de la machine virtuelle peut être par pont (bridge)

Lors de l’installation de l’OS disons une debian, ne rien renseigner de public dans le domaine de la machine. Indiquez par exemple localhost.onion . Rien, ni même l’OS ne doit relier la machine à quelque chose de public sur internet. Le nom de la machine doit être sans relation avec le monde réelle, disons anonyme. Le nom du premier utilisateur doit aussi être anonyme disons par exemple anonyme… Ainsi si un programme révèle votre identité vous serez anonyme@anonyme.localhost.onion ! Dans le même ordre désactiver l’envoi d’information sur l’usage des paquets etc.

Nous allons bien entendu installer TOR sur notre machine anonyme. En root faire:

# apt-get install tor

Principe du service caché

Le principe du service caché est de publier sur notre noeud TOR une adresse onion qui sera redirigée vers une adresse IP. Dans la pratique sera localhost i.e. la machine local, mais se pourrait être n’importe quelle machine du réseau local mais rien n’est plus sûr que localhost…

Exemple du serveur web

Pour publier de l’information anonymement, nous prenons en exemple le service web avec l’utilisation de d’apache.

# apt-get install apache2

L’obsession de celui qui veut mettre en place un serveur anonyme est que ce dernier ne soit accessible que et rien que via TOR. En effet si par malheur votre service est accessible via une simple URL classique (par le jeu d’une redirection de port sur votre routeur ADSL par ex), alors un observateur va déduire que le site caché et celui de l’URL classique sont les mêmes et donc l’anonymat est rompu.

Dans le cas d’apache il faudra donc le rendre accessible que depuis la machine locale. En effet seul l’instance TOR locale va devoir accéder au service web. Ainsi dans un installation fraîche d’apache il faut aller modifier le fichier /etc/apache2/sites-enabled/000-default

        <Directory /var/www/>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
                Order deny,allow
                deny from all
                allow from 127.0.0.0/255.0.0.0 ::1/128
        </Directory>

Nous voilà avec un apache qui n’affiche les URL qui si la requête provient de la machine locale. Nous allons maintenant configurer TOR pour offrir un accès à notre serveur en utilisant un service caché. On va également en profiter pour ouvrir un accès TOR au service SSH afin de pouvoir configurer notre serveur anonyme depuis n’importe où.

Dans le fichier /etc/tor/torrc ajouter les lignes suivantes

HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 80 127.0.0.1:80
HiddenServicePort 22 127.0.0.1:22

Redémarrer tor

# service  tor restart

L’adresse de notre site web caché est indiquée dans le fichier /var/lib/tor/hidden_service/hostname, pour la connaître faire en root

# cat /var/lib/tor/hidden_service/hostname

Cela donne par exemple une adresse onionqui ressemble à  khnhd5dfcz.onion. C’est cette adresse qu’il faut diffuser pour accéder au service caché. Faites un test en utilisant TAILS qui est la solution la plus simple pour être anonyme en tant que client. Rentrer l’URL onion dans le navigateur. Vous devrez voir votre site web : l’utilisateur de TAILS (Tor) ne connait pas l’adresse IP du service caché et le serveur web apache ne connaît pas l’adresse IP de l’utilisateur (apache ne voit qu’une requête provenant de la machine locale…)

De même avec TAILS on pourra accéder en SSH à notre serveur anonyme en se connectant avec l’utilisateur local que l’on a appelé anonyme lors de l’installation de l’OS. Faites dans un terminal

ssh anonyme@khnhd5dfcz.onion

On voit que les services Tor sont également un moyen d’outrepasser les restrictions de firewall ou de ne pas s’en faire avec la translation d’adresse du routeur de nos box ADSL: on n’a pas ouvert ni redirigé les ports 80 (pour apache) et 22 (pour SSH) et pourtant ça marche (du moment où le client TOR a réussit à se connecter au réseau TOR).

La création d’un service caché est déconcertante de facilité et il ne reste qu’à diffuser l’adresse onion.

Publié dans Application | Tagué | 1 commentaire

L’onion fait la force

Architecture réseau TOR

Architecture réseau TOR (Photo credit: Wikipedia)

L’utilisation de TAILS permet d’avoir un anonymat qui s’appuie sur un réseau de routeurs TOR par lesquels vont transiter la requête de l’utilisateur. Le dernier maillon va effectuer la requête vers le destinataire final qui ignorera tout de l’IP de la machine qui exécute TAILS et qui aura l’impression que tout provient de l’IP du dernier maillon. La liste des fausses IP ou plus exactement la liste des IP de substitution dépend de la taille du réseau TOR. Or, la taille du réseau TOR est relativement faible: 4000 à 5000 nœuds.

Le nombre de noeud TOR rend le réseau « vulnérable » par une organisation qui s’en donne les moyens. Il suffit d’observer ce qui rentre et sort de chacun de ces nœuds TOR pour effectuer de corrélations et tenter de découvrir le circuit emprunté par un utilisateur de TAILS. D’ailleurs de nombreux noeuds TOR peuvent êtres des infiltrés qui collaborent avec une organisation de surveillance. Ainsi ne faudrait-il pas se méfier des neouds TOR hébergés sur le sol américain ? 4000 routeurs TOR est un nombre insignifiant par rapport aux adresses IP existantes.

La surveillance du réseau dans sa globalité serait impossible si toutes les machines connectées à internet (IP publique) faisaient tourner un serveur TOR. Ainsi le pouvoir d’anonymisation serait total. Ce qui reviendrait à pallier le traçage des paquets IP classiques par une solution applicative déployée partout. Ce voeux pieux peut toutefois se contenter d’un compromi. Plusieurs millions de noeuds TOR rendrait déjà la surveillance impossible.

Comment faire grandir le réseau TOR: en hébergeant soit même un routeur TOR. Il va de soit que celui qui est un peu soucieux de sa propre liberté n’utilise pas un système d’exploitation au code source fermé et développé par une entreprise américaine que l’on peut supposer être encline à obéir aux sollicitations des agences gouvernementales agissant sous le couvert de combattre le terrorisme… Nous dirons donc que nous sommes sous un Linux et particulièrement sous une Debian. En root faire:

# apt-get install tor tor-arm

créer un fichier /etc/tor/torrc

par exemple à l’aide de la commande

# vim /etc/tor/torrc

et y mettre la ligne suivante qui va indiqué que votre intance de tor sera un relay (un noeud du réseau TOR)

ORPort 23656

Le numéro 23656 peut être ce que vous voulez, du moment où aucune application l’utilise et surtout que votre machine est bien accessible depuis internet par ce port. Si vos yeux s’écarquillent il suffira dans la plupart des cas d’aller dans la configuration de votre box ADSL pour y rediriger le port 23656 vers votre machine.

Relancer tor en faisant en root

# service tor restart

Puis vérifier votre routeur TOR en l’observant avec arm

# arm

Sur la 2e ligne vous devrez voir quelque chose du genre

Unnamed - 123.456.789.000 :23656

Unnamed car vous n’avez pas spécifié le nom de votre routeur TOR et 123.456.789.000 sera bien entendu remplacé par votre adresse IP publique publié sur le répertoire des noeuds TOR.

Si vous voyez ceci sur la 2e ligne

Relaying disabled

Alors votre instance de TOR est un simple client mais ne participe pas au réseau TOR. Dans ce cas vérifier que vous avez bien modifié le fichier /etc/tor/torrc pour indiquer une valeur à ORPort.

La législation de mon pays m’oppresse

Maintenant que votre machine est un serveur TOR qui fait partie des routeurs TOR (i.e. vous êtes un relais TOR), vous pouvez vous poser la question de votre responsabilité vis-à-vis de votre législation. En effet votre machine va faire des requêtes sur internet pour le compte d’une autre machine que vous ne connaissez pas et ne connaîtrez jamais. Il y a là un débat et une jurisprudence à créer. Actuellement, en France, des serveur TOR hébergés chez des fournisseurs ont été arrêté d’office par l’hébergeur (ex online.net, OVH) et des lois sont en train d’être discutées et votées pour obliger les fournisseurs d’accès et hébergeurs à jouer un rôle de police… Tout dépend de votre degré de militantisme et si vous ne souhaitez pas vous frotter aux privateurs de libertés il vous suffit de ne pas être un nœud de sortie c’est à dire de n’être qu’un nœud relais à l’intérieur de TOR. Dans ce cas un observateur ne verra que du trafic crypté entrant et sortant et on ne pourra pas vous reprocher d’avoir accéder à un site mal vu par les autorité de votre pays…

Dans le fichier /etc/tor/torrc ajouter les lignes suivantes pour ne pas être un nœud de sortie

ExitPolicy reject *:*

Puis redémarrer tor en root

# service tor restart
Publié dans Application | Tagué | Laisser un commentaire

L’anonymat pour tous

English: Tor Logo

English: Tor Logo (Photo credit: Wikipedia)

Les derniers révélations sur la surveillance des réseaux d’informations et de télécommunications nous amène à nous interroger sur la nécessité de s’en protéger. Derrière le bien fondé de nous protéger contre le mal qui en veut à la nation, ou toute autre bonne intention dont l’enfer est pavé, on veut nous surveiller. Ainsi dès que monsieur tout le monde va sur un site internet, ses habitudes sont répertoriées, les sites visités peuvent être retrouvés, et son identité informatique peut être découverte et donc son identité réelle aussi.

On voit bien que cela est dangereux pour des opposants politiques sous des régimes contraignants mais on ne réalise pas que cela l’est aussi dans nos « démocraties ». Rappelons que le partie au pouvoir voulait enlever le mot race de la constitution et par ce fait voulait supprimer un mot donc une idée de la circulation. Les idées devraient être libre de circuler: si elles sont ineptes, les individus ne vont pas les véhiculer, mais les interdire d’exister c’est tout simplement le début de la dictature. Nous devons donc nous méfier des autorités pour préserver notre liberté tant que la liberté d’expression et d’information ne sera pas devenu un droit inaliénable. C’est pour cela que l’anonymat n’est pas seulement une affaire d’opposants ou d’activistes résidents sous des régime oppressants: nous sommes également sous des régimes qui seront jugés oppressant par leurs successeurs !

Actuellement les contournements techniques existent car les mathématiques fonctionnent toujours, si bien que même les organisations de surveillance ne peuvent pas casser la cryptographie lourde et voient d’un mauvaise œil leur diffusion au grand public. Dans une époque pas si lointaine se promener dans la rue avec une disquette contenant des données cryptées était illégal ! Divulguer et démocratiser l’usage de la cryptographie forte est donc un devoir pour tous ceux qui place leur liberté au dessus de toute valeur.

Si la cryptographie permet d’obtenir la confidentialité et l’authenticité par le chiffrement et la signature, les mécanismes d’internet n’ont pas pour but de garantir l’anonymat. C’est pourquoi lorsque l’anonymat est requis il faut utiliser des artifices de routage (basés sur la cryptographie): le plus accessible est aujourd’hui la distribution Tails.

Tails permet d’exécuter un système entièrement configuré pour son intégration dans The Onion Router (TOR). Les accès réseaux passent par TOR ce qui rend l’utilisateur anonyme pour la destination: un site web ne saura pas qui vous êtes sur le réseau. Cela est valable pour tous les autres ressources: si vous faite utiliser le client de messagerie ou ouvrez une connexion  le serveur de messagerie et le serveur SSH ne saura pas où vous êtes sur le réseau.  En réalité la nature de TOR fait que le destinataire croira que vous êtes sur une adresse IP correspondant à l’un des nœud TOR présents dans le monde. Tails permet donc sans configuration d’accéder à l’anonymat en ligne et de plus ne laisse pas de trace sur la machine ce qui renforce la sécurité de l’utilisateur en rendant impossible une analyse après une saisie de la machine par exemple…

Publié dans Actualité, Application | Tagué , , | Laisser un commentaire

Les enjeux d’internet par Benjamin BAYART

English: drawing of Benjamin Bayart

English: drawing of Benjamin Bayart (Photo credit: Wikipedia)

Il s’agit de la vidéo d’une conférence qui a eu lieu le 8 novembre dernier. Le conférencier nous montre un éclairage politique d’internet en s’appuyant sur des parallèles historiques. Je trouve que l’analyse est pertinente et a en plus  le mérite d’être accessible à des non informaticiens. BAYART montre que la nature d’internet a des implications politiques mais que son inscription dans la durée n’est pas encore jouée car des forces conservatrices œuvrent contre lui.  Durée 2h30. A diffuser.

http://data.confs.fr/enjeux_bayart/720p/IEUFI_enjeux_bayart-720p.webm

Publié dans Actualité | Tagué | Laisser un commentaire

SlowMovideo pour des ralentis époustouflants

Super Slow Motion Beer Test

Super Slow Motion Beer Test (Photo credit: Nicholas Upton)

Faisant quelques vidéos pour mon club de cerf-volant Cramayailes j’ai bien entendu déjà eu l’envie de faire de jolis ralentis, un peu à la manière des vidéos de promotion d’ une célèbre caméra de sport. Pour cela il faut trivialement enregistrer à un taux d’image très élevé de sorte qu’une lecture au ralenti de soit pas saccadée. Par exemple si on enregistre à 240 images par seconde puis que l’on lit la vidéo en ne faisant défiler que 24 images par seconde, alors on a une vidéo fluide ralentie 10 fois par rapport à l’original. Si l’on a pas un débit original élevé disons 24 images par seconde, alors faire un ralenti simple, disons ne serait-ce que 2 fois plus lent, oblige à ne dérouler plus que 12 images par seconde, produisant un effet de saccade. La solution de la caméra à prise de vue rapide est la plus précise mais oblige à toujours enregistrer en haut débit de défilement pour finalement ne choisir au montage que de prendre certaines scènes au ralenti et de laisser tomber le débit orignal pour les autres scènes en supprimant les images en trop car au final la vidéo ne fera que 24 voire au maximum 60 images secondes.  Quel gâchis….

Le logiciel slowmovideo permet de créer des ralentis fluides à partir d’une séquence vidéo enregistrée en débit normal (par exemple 24 images par seconde). La fluidité est obtenue en interpolant des images intermédiaires afin de garder un débit constant (par exemple un ralenti 2 fois aura toujours 24 images par seconde). C’est une solution logicielles qui crée des images intermédiaires par détection de mouvement de pixel entre 2 images. L’auteur explique cela dans son mémoire.

Le résultat est très probant sur la vidéo suivante où l’on cherche à ralentir une séquence de 6 secondes pour la faire durer environ 20 secondes. Voici la vidéo originale:

Après un passage dans le logiciel Slomovideo on obtient :

Publié dans Application | Tagué , | 1 commentaire