Privacy or sensitive data… a list of tools to protect your дѕѕ

🇺🇸 – Friday, August, 17th 2018

Keywords: #privacy, #data, #censorship, #surveillance, #freedom

Sometimes friends of mine asked me why I am so interested in subjects and tools related to privacy, data and share. I answered them because they are quite fun themas, and make us be aware of the use of digital tools we have. They also make us looking for new solutions and solve hard challenges so as to reach both a kind of wahoo effect and innovation. But sometimes they asked me which tools they should use so as to protect their data or just secure their devices. When I answered them I forgot some details or cool softwares which could have help them. So here we are, this is a list of tools you can use, share and improve if you are worried about your privacy, your sensitive data or the protection of the use of your daily tools.

🌐 1 — Web browsing

You should choose free and open source web browsers who are not maintained by companies looking for profits.

Some of them are dedicated to privacy like Brave, Orfox (from the Guardian Project) or Firefox Focus. Others can possess dedicated extensions like Firefox or are already configured like Tor Browser. But the browser is not enough, you have the right to define another search engine like Qwant or DuckDuckGo! Such engines do not contain trackers and do not use for example your location in order to provide to you the best list of sushis bar for the dinner you have around you. The user experience is a bit degraded, but it is a question of search request after all.

🚀 2 — Networking

Use safe browsers is a good idea. but what if the network you use is public or cannot be trusted? What should you do if you are using for example Wi-Fi hotspots?

You can still use TOR: with its onion routing and its shiny hammer, you may have a more secure but a slower connection from your device to the destination server. Be aware in this case the final layer of your onion can betray you, and sometimes computers can be confiscated for legal reasons. You can still use some VPN solutions like ProtonVPN and OpenVPN which make harder the read of your connection payloads. Another fun tool for Android and iOS powered devices is OONI probe: a kind of probe which checks if censorship has been implemented in the network you use. Beware the probe collects evidences of censorship by checking connections to certain websites which can have their content regulated or forbidden (like porn). Measurements data can be collected and available on this web page. DNS configuration can be changed to prevent your web navigation of being blocked: Quad9, Google, OpenDNS, Cloudflare, FDN, FreeDNS... no need to keep the default one!

📡 3 — Web tracking

There are a quite big list of add-ons to plug on your favorite web browser so as to check whether a web site is tracking you or not. Collect of data, locations, configuration of your device, cookies, JavaScript scripts, redirections, profile creations, all those boring things which help companies to earn money and define their audience can be blocked.

For example you can find for Firefox several plugins like Kimetrack, Privacy Badger and No Script. They allow you to disable third party scripts which are not useful for you. They give you also a lot of details about the trackers the pages may have.

💈 4 — App stores

For some operating systems like GNU/Linux and Android, we can use alternative app stores to get applications and other software. Even if some of them are not verified by the OS owner (e.g. with Google and its Google Play), alternative stores can bring to light free and open source applications respectful to your private life. They possess also applications which do not apply to the rules of the official store owner, rules which can be very boring for developers. But with these alternative stores, it will be your job to trust the app and not to complain the bad behaviors they can have on your device (malwares are spreading a lot within Android ecosystem because of those stores).

Did you know for Android F-Droid and Yalp? No? Time to move and try :)

💿 5 — Operating systems

The first thing to change if you are worried about your privacy is the operating system (OS) you have on your computer, smartphones, tablets or whatever you use. Avoid the use of black-box OS like Windows: if you cannot see what it is doing, do not use it.

For computers, GNU/Linux based OS are numerous: Ubuntu (not a big fan but it’s a start), Debian, ArchLinux (if you have a beard) or Gentoo (if you have an Albus Dumbledore’s white beard and a pointed hat). There are other systems dedicated to privacy and private life protection: Qubes OS, Tails or PureOS for examples. You can replace your smartphones and tablets OS based on Android by LineageOS (a fork of Android) or eelo (a new starting project). You must keep in mind if you are not using the official OS of your device, you may have security fixes and bug patches later than others or never...

And what if I bought a computer with such OS instead of installing it? Have a look on Minifree! They sell laptops with preinstalled GNU/Linux OS and free BIOS certified by the Free Software Foundation. Check their website, you may discover a laptop matching your needs :)

📬 6 — Messaging

Instant messaging, SMS, voice chats, emails... Who owns the apps you use daily? It might be mainly Google (Gmail, Hangouts), Apple (iMessage), Microsoft (Skype, Outlook) and Facebook (WhatsApp, Messenger), thus companies who must be interested by your data.

Have a look of enciphered SMS with Silence, and encrypted communications with Signal. Telegram is not so evil, but is concerned by political issues... Did you notice the chat app used by some of Mr Robot’s characters? It’s Wickr. This web site is able to help you to choose the most suitable app for you. “And what about my emails” do you think? Have a look on ProtonMail.

🔧 7 — Daily tools

Look deeper in the tools you use daily on your computer or your smartphone: you may see things you can replace by free or open source or privacy-respectful versions.

Have a look on softwares made by Cozy Cloud and Framasoft. Need to store your passwords or looking for an efficient software which can build for your very strong credentials? Why no... Keepass! Your device contains pictures of your kids, contact of your lover, or your personal tasks and thoughts of the day. Did you think to protect them with encryption? Plenty of operating systems provide such tools in their settings, move on! You can also have a look on VeraCrypt. If you want to hide information with pictures or sounds, thus use steganography and go to DeepSound and SilentEye websites. Yep, Mr Robot again :)

💰 8 — Payment

OK this part is far less feasible because of the laws of countries and all the bullshit you can see in not specialized press. Nevertheless if I want to talk about privacy, I cannot miss to introduce cryptocurrencies.

When you buy something on the Internet or withdraw money using fiat currencies (e.g. USD, EURO, YEN, ...) you leave traces for your bank and it can be very useful if your payment card has been stolen or pirated: block the card, cancel transactions, alert you in case of strange moves. We can read several things about cryptocurrencies: they are gorgeous, they can make you earn a lot of money and perfectly anonymous. Please stop now. This is not true at all, but some cryptocurrencies like Zcash and Monero are anonymous (a bright article here): if you make a transaction, no one can find the sender (you) and the receiver. For these two, the side effect is transactions cannot be removed, because they are stored in a blockchain, but that’s another story.

🕵 9 — Security

Did I say the previous parts were tricky? This one is harder. If you want to protect your privacy, data and your private life when you use softwares, you have to put your trust on them. But how to be sure the softwares, devices and network connections you use are safe? Keep in mind they can be spied, or contain flaws from where data can be stolen, or worse with backdoors and remote control system.

Hopefully there are some of tools you can use if you are skilled enough so as to check whether an app or a connection is clean or not. Have a look of the the Kali OS and the Metasploit framework, they are great tools to tests applications, OS, networks… If you are able to break your target or exploit it, it means other people can do so. Feel free to test but respect the law about that 8-)

⛩ 10 — The most important: people

Honestly I did not find all these tools on my own. I discussed with friends and colleagues, and read organizations blogs. Thus if you want to protect your дss and keep your things safe, you should check the news of some serious and harsh groups, they can warn people if big problems occur.

I place here unordered groups like the Electronic Frontier Foundation, the Guardian Project, La Quadrature du Net, the TOR Project, the Open Observatory of Network Interference, Exodus Privacy, the Ministry of Freedom, the Free Software Foundation and April.

🏴‍☠️ TL ; DR — Conclusion

Privacy, data, private life, web uses… we must be worried about them. We should ask to ourselves questions: what if my device is stolen? What if we have a massive data theft? What if we learn companies are spying us? How can we protect our devices as strongly as possible?

We have a lot of tools, applications, operating systems and devices. I just wrote here a small sample of them. Some of them may be Single Points of Failure so do not put all of your sensitive data in one medium. Free and open source worlds are far more convinced about privacy and private life than bg companies. Security and privacy protection make us create new solutions and help innovation. Hacktivism can bring to the light the bad behaviors of companies. People need to protect and defend their data and their private life, because damages can be massive in case of censorship, flaws or bugs. If your are not convinced, I advise you to read some great books: you might have another point of view after that: 1984 of George Orwell and 2084 written by Boualem Sansal.

Cheers!

— Last update: Friday, August, 17th 2018 Previously on Medium and paper.wf —

Did you enjoy reading this blog? Give me a beer 🍺 or use something else ❤️‍🔥 Licensed under CC-BY-SA 4.0 Opinions are my own, even if I have some interests. For any comment or to contact me, feel free to choose the most suitable medium for you.

Le jour où le Web s’enfonça un peu plus dans la tombe

🇫🇷 – mercredi 20 décembre 2017

Mots clés : #web, #DRM, #surveillance, #numérique, #Technopolice, #libertés

Aujourd’hui, j’aimerais aborder un sujet qui me tient à cœur, à savoir le Web, ses principes et les coups qu’ils reçoivent.

Ceux qui me connaissent savent que je ne perds pas une occasion pour taquiner les développeurs web, mais pour une fois ce ne sera pas le cas ici. Je tiens avant tout à apporter une précision non négligeable : les opinions exprimées ici sont strictement les miennes, personnelles, et ne reflètent aucunement l’avis des associations ou des entreprises dans lesquelles je suis ou ai pu être. L’idée derrière ce billet est surtout de pousser à la réflexion car même Tim Berners-Lee a des craintes.

Étant né au début des années 1990, j’ai pu voir arriver et s'installer durablement le Web (entre deux génériques karaoké de Pokémon) avec le “Web 1.0”, le web documentaire. À cette époque là, le Web et les internets (oui, j’ose dire les internets) se résumaient à un bon vieux boîtier bleu qui chauffait assez rapidement, avec un débit ahurissant de “56 k”, et qui ouvrait les portes du monde numérique avec ce bon vieux bruit si mythique. Pour ceux qui ne voient pas de quoi je parle, ici une vidéo qui résume bien l’époque.

À cette époque là, la seule chose qui pouvait nous soucier vraiment était la facture téléphonique à cause du hors-forfait. Si on avait souscrit un abonnement de 10h/mois, et qu’on avait le malheur de dépasser cette limite, la facture devenait vite salée (un peu comme les larmes de ceux qui la reçoivent vu les prix exorbitants à l’époque). Pas de Google, pas de Facebook, juste un labrador noir à envoyer faire des recherches (qui a pensé à le nourrir ?), un chat avec un casque audio sur la tête et une mule sympa. Et Windows 98 aussi.

Puis, vinrent les années 2000, avec l’émergence du “Web 2.0”, le web social, avec ses blogs, ses wikis, les premiers réseaux sociaux et une volonté de normaliser ce joyeux désordre que constituaient le XHTML et le CSS 2. Wikipédia arriva aussi, et on commençait à se dire que, finalement, les CD-ROM de l’encyclopédie Microsoft Encarta allaient vraisemblablement finir dans le cerisier pour faire fuir les corbeaux (indice, ça ne fonctionne pas trop). Mais à partir de là, une odeur de tarte aux concombres commença à se faire sentir. Car derrière toute l’excitation de publier ses photos de vacances (putain, combien de photos de pieds dans l’eau et de selfies sur les internets ?), de râler sur tout et rien (oui bon, je suis concerné) et d’exploser les planètes de ses voisins (OGame quand tu nous tiens), se profilaient l’appât du gain et la volonté de contrôler tout ça. Remarque, quand on galère à parquer un troupeau, on peut attendre qu’il se forme quelque part et mettre une clôture ensuite. C’est con, mais ça fonctionne.

Mais finalement, pourquoi est-ce que l’odeur de la tarte aux concombres numériques envahit de plus en plus le web ?

Premier enjeu, le contenu.

Au début, le Web était un endroit de partage. Bon, partage plus ou moins légal certes, mais d’échange avant tout. Si j’aimais une image, je l’enregistrais sur mon ordinateur (avec 2 disques HDD de 3 Go chacun, s’agissait pas de déconner sur le choix de l’image) et je la partageais. Si je trouvais un lien hypertexte pointant vers un contenu intéressant, hop, je partageais. Et ainsi de suite. Mais là où le partage de l’information et de la connaissance est, le profit et les droits d’auteur se cachent.

Étant libriste dans l’âme, comprenez-bien que la notion de copyright me donne de l’urticaire (sauf si derrière vous choisissez une licence open source), même si finalement c’est le nerf de la guerre. Sans rentrer dans les détails (et j’avoue que ce n’est pas du tout mon domaine), l’usage des droits d’auteurs tend à s’imposer lourdement sur la toile. Filtrage de contenu ou même blocage complet se mettent en place si le sacro-saint droit d’auteur est bafoué. Derrière l’idée sûrement louable d’éviter que les artistes soient floués (cadeau) les effets de bords peuvent être énormes. Quid des informations parues sur Wikipédia ? Des images d’artistes sur DeviantArt ? Ou des dépôts de code source de logiciels sur GitHub ? Le monde scientifique étant déjà soumis à la loi du billet vert, élargissons alors à tout type de document ! Mais derrière ça, c’est un flou juridique qui persiste, si large que même une image banale peut être soumise à ce droit (et parfois, c’est drôle à voir). En filtrant le contenu, on filtre l’information, et de fait la connaissance générale. Dommage pour un lieu de partage, non ? Et le pire dans tout ça, c’est que l’arsenal juridique est si flou, qu’il a tendance à faire plus de dégâts qu’autre chose. Il y a des plateformes de partage en P2P ? Fermons-les. Comment ça du contenu, difficilement accessible, tombé dans le domaine public, n’est plus accessible ? Rien à faire.

Autre exemple, les Digital Rights Management, ces bons vieux DRM. Toujours pour soutenir les éditeurs, pardon, les artistes, le World Wide Web Consortium (W3C) avait commencé à travailler sur le projet des Encrypted Media Extensions pour s’assurer que tout était en ordre. Vous voulez regarder une vidéo en ligne ? Vérifions d’abord si vous avez le droit de la voir. Vous êtes dans un pays où des accords commerciaux peuvent manquer pour écouter une chanson sur une plateforme de streaming ? Hop, vérifions donc ça. Empêcher quelqu’un d’accéder à une information, juste pour des raisons commerciales qu’il ne pige même pas, ne revient pas à une forme plus vicieuse de censure ? L’enjeu était tel, que le W3C a soutenu ce projet d’insérer dans les standards du HTML 5 les notions de DRM. Résultat ? Un Web un peu plus verrouillé, et l’Electronic Frontier Foundation (EFF) qui claque la porte avec une lettre ouverte.

Dernier point relatif au contenu, et finalement au business, les bulles. Le Web étant passé de lieu de partage à lieu à forte monétisation, les réseaux sociaux se sont empressés de fournir du contenu à leurs utilisateurs et on ne le regrette pas en soit. Et pour ça, quoi de mieux que de mettre en place des systèmes de recommandations ? Après tout, si le contenu, et la publicité concernée, ramènent de l’argent, pourquoi pas non ? Sauf que, la technique a parfois ses limites, avec entre autres les fakes news. Là où on l’on partageait l’information en étant serein dans les années 2000, on en vient à douter de sa pertinence et de sa réalité en 2017, à tel point que le terme “d’ère de post vérité” est apparu.

Deuxième enjeu, la vie privée.

Pendant un long moment, les notions de chiffrement et de protection de sa vie privée étaient acceptables. Au mieux on se donnait l’image de quelqu’un de soucieux, au pire celle d’un geek qui bricole dans son coin mais qu’on aime bien quand même.

Mais depuis les années 2010, vinrent les ennuis. Par exemple, 2013 et sa Loi de Programmation Militaire. Capture en temps réel des informations, réquisition de documents, interceptions de communication, et tout ça dans un flou juridique constant et où le manque de détails laisse trop de permissivité. Mais bon, contre la délinquance et pour protéger les affaires, ça vaut bien le coup, non ? Puis arrivèrent les attentats. 7 Janvier 2015, 13 Novembre 2015, 14 Juillet 2016, des dates qui je pense ne peuvent être oubliées, et des faits qui ne peuvent être pardonnés. Mais l’unité et la solidarité qui sont apparus ont vite été remplacés par l’état policier. Le terrorisme se cache avec un routage en oignon ? Matraquons TOR. Les fanatiques chiffrent leurs communications (on dit chiffrer et pas crypter bordel) ? Essayons d’imposer des backdoors. Quelqu’un refuse de donner des identifiants de connexion ou des clés de déchiffrement ? Il est complice. Des abrutis en kalachnikovs font des recherches sur les internets ? Mettons des boites noires et gardons un maximum de données. Des discussions ont eu lieu sur des messageries instantanées chiffrées ? Interdisons-les. Et, en quelques mois, la présomption d’innocence a été remplacée par le soupçon, par défaut, de culpabilité pour tout le monde. Si vous n’avez rien à vous reprocher, pourquoi protéger votre vie privée ?

Dernier enjeu, le business.

Ce que l’on voit de plus en plus maintenant, c’est que là où le Web permettait le partage de l’information, et le cumul de connaissance, on trouve à la place des volontés mercantiles prioritaires.

Un site de torrents héberge des contenus violant les droits d’auteur ? D’accord, fermons-le, mettons ces responsables en prison, trop d’argent en jeu. Mais si un site web prône les valeurs familiales traditionnelles, défend des principes archaïques religieux et s’en prend aux droits fondamentaux des femmes à disposer de leurs corps ? Laissons-le là, les affaires ne sont pas menacées. Pour aller dans le sens commun je ne ferais pas de délation ;)

Quand on s’intéresse par curiosité au monde des cryptomonnaies, il est intéressant de voir les réactions des gouvernements, de la presse ne maîtrisant pas le sujet, et des experts autoproclamés. Soutient au terrorisme, financement d’entreprises criminelles, ou encore bulles spéculatives, les cryptomonnaies sont aussi dans le collimateur. Par exemple, les Initial Coin Offering (ICO). Imaginez un peu : des levées de fonds avec une monnaie décentralisée et non régulée, pour lancer des projets pouvant être louables, une bonne idée non ? Pour de plus en plus de pays, non. La Chine, et la Corée du Sud ont interdit ce mécanisme, la France veut le réguler. Mais pour avoir bonne conscience, est mis en avant le fait que le quidam moyen pourrait se faire arnaquer et perdre son argent, le vrai. Personnellement, je trouve que j’ai plus à perdre en achetant un album des Enfoirés qu’en investissant lors d’une ICO.

Enfin, et je dois avouer que c’est le sujet à l’origine de ce billet, les attaques incessantes contre la Neutralité du Net. Je ne vais pas faire une présentation de ce que c’est (sinon, vu la taille de ce billet, le peu de personnes étant arrivé à ces lignes n’ira pas au bout), mais, pour simplifier, cela va à l’encontre des principes même du Web. Mais bon, avouez qu’on n’est plus vraiment à ça prêt. La Neutralité du Net permet, à tous, d’avoir accès au même contenu, avec la même qualité de service, sans limitation, peu importe si l’utilisateur est un particulier, une entreprise ou un gros client ayant souscrit à une offre onéreuse. Si je veux voir une vidéo sur YouTube aujourd’hui, je devrais pouvoir la voir dans les mêmes conditions dans 6 mois, et mes amis aussi, même si notre fournisseur d’accès à Internet est différent, (et si son dirigeant fait du boudin). Sauf que ce principe fondamental du Web est remis en cause. Considéré comme dogmatique ou freinant l’innovation (ah ?), beaucoup souhaiteraient le voir disparaître. Et le 1er coup a été porté aux États Unis, avec la Federal Communication Commission (FCC). Mais finalement, payer plus pour plus de contenu (pourtant accessibles) et de meilleures performances, cela ne ferait pas furieusement penser aux années 1990 ? Remplaçons le modem 56k par une box d’un FAI quelconque, les forfaits liés aux débits par des forfaits ciblant le contenu et le tour est joué. Tu veux, tu payes. Tu ne peux pas payer ? Tu n’as rien, ou alors seulement accès à un sous-Internet, fallait avoir plus de sous mon p’tit bonhomme.

Bref, quand on fait tout ce constat, avec un peu de recul, on en vient à se poser cette question : que veut-on réellement comme Web ?

Découvrir, jouer, apprendre, s’exprimer, se protéger et être libre ? Si c’est le cas, il est grand temps de réagir. Et ce ne sont pas les outils et groupes qui manquent. Citons par exemple Framasoft (avec CHATONS et Degooglisons Internet), La Quadrature du Net, FDN, Mozilla ou encore Les Exégètes Amateurs ou le Parti Pirate. La presse en ligne comme Numerama et NextInpact propose aussi de quoi réfléchir. Sans eux pour essayer d’ouvrir les fenêtres, le web finira par sentir le renfermé, et l’odeur enivrante du billet vert. Et tout sera finalement mis en place pour que le jour où un pays bascule dans le totalitarisme, tout soit prêt pour surveiller la population. Et ceux qui voudront se protéger seront vite ciblés. Mais bon, 1984, 2084 et V for Vendetta ne sont que des bouquins de fiction non ?

Je terminerais par cette citation de Sébastien Soriano, patron de l’Arcep :

La neutralité du net vise à protéger le principe d’innovation sans autorisation, de manière à ce que le seul l’arbitre des innovations ou de la pertinence des contenus soit l’utilisateur.

Sur ces bonnes paroles…

— Dernière mise à jour : mercredi 9 février 2022 Précédemment sur Medium et paper.wf —

Did you enjoy reading this blog? Give me a beer 🍺 or use something else ❤️‍🔥 Licensed under CC-BY-SA 4.0 Opinions are my own, even if I have some interests. For any comment or to contact me, feel free to choose the most suitable medium for you.