La vie privée selon FB, et Google avant ...

En lisant un mailing professionnel, je suis tombé sur une suite d'articles intéressant qui ne fera pas plaisir à LLB.

Il y a quelques temps, Google avait déjà lancé un pavé dans la mare. Une déclaration d'Eric Schmidt, un des grands patrons de Google avait dit : "Seuls les criminels se soucient de protéger leurs données personnelles" en poursuivant sur un "Si vous faites quelque chose et que vous ne voulez que personne ne le sache, peut-être devriez-vous déjà commencer par ne pas le faire". Le cadre était posé !

Ensuite, voici un article bien intéressant sur FB : express.be/sectors/fr/ict/7-choses-que-vous-ignorez-sur-la-maniere-dont-facebook-exploite-vos-donnees/202179.htm. N'oublions pas que Mark Zuckerberg avait affirmé en 2010 que « la vie en public est la nouvelle norme ».

Pour ceux qui pensent que l'anonymat est possible sur ce site, n'oubliez pas les petits logos FB qui se trouvent sur de nombreuses pages que vous visitez. Grâce aux cookies, il est donc très facile à FB de faire le lien entre un profile anonyme, un profil officiel, les pages visitées et bien plus encore ! Ceci dit FB n'est pas le seul !

Allez un peu sur ip-check.info, puis "start test", vous serez édifiés !

Je viens de faire le test .... le rouge la cata !  Enfin, le mappage n'est pas exact, heureusement, c'est déjà ça ...  Je vais passer ma soirée à tester quelques blocages indispensables !  Mais que de chipotages, surtout que les sites sont inopérants quand on ajoute plein d'add-ons pour se protéger.

Si çà peut aider quelqu'un, quelques précautions basiques dans la configuration de firefox:
Menu - Edition - Préférences
- Contenu
---- Bloquer fenêtres popup (autoriser banque ds les exceptions)

- Vie privée
---- Indiquer aux sites de ne pas me pister (s'ils le veulent bien:-), ou ne rien indiquer
---- Historique : Paramêtres d'historique personnalisés
---- ---- Ne pas accepter les cookies /sauf pour la banque et quelques autres, uniquement pour la session
---- ---- Vider l'historique lors de la fermeture - paramètres : historique - tout sauf navigation
---- ---- ---- Données - non
- Sécurité
---- Prévenir lors d'installation de modules complémentaires sauf addons.mozilla.org, update.mozilla.org, ...
---- Bloquer sites signalés co sites d'attaque/de contrefaçon
---- Enregistrer les mots de passe sauf, sous Linux, http://localhost:631 (service de gestion de l'imprimante)
---- Utiliser un mot de passe principal
---- ---- Attention! Pour firefox, il suffit, soit d'utiliser la fonction password reset, soit de supprimer ou renommer le fichier key3.db et le fichier signons.sqlite, plus éventuellement certains fichiers signons#.txt. Les mots de passe enregistrés risquent d'être perdus.
- Avancés
- Général
---- Prévenir lors des redirections de page
- Réseau : la discrétion est mieux assurée avec Tor - dit on! -, mais je décline toute responsabilité en cas de :-)

Je joins une liste d'extensions qui peuvent être utiles en matière de sécurité dans le prochain post.

Il est possible et - pour tester des extensions sans trop de douleur - vivement conseillé d'installer plusieurs configurations différentes de firefox en parallèle.
Pour plus d'infos :
support.mozilla.org/fr/kb/utiliser-gestionnaire-profils-creer-supprimer-profils?esab=a&s=profils+firefox&r=0&as=s

Voici donc une petite :-) liste d'extensions orientées sécurité sur firefox, avec les principales infos sur la manière de les manger.
La plupart sont directement chargeables dans les extensions proposées par mozilla, mais pas toutes, et l'adresse de chaque site est donc jointe.

! Incontournable
+ Pas plus mal
= Pas plus mal non plus, mais loin d'être indispensable!
# A vous de voir ou de tester à vos risques :-)


! AdBlock Plus
filtrage publicité & traçage + abonnements listes de filtres
adblockplus.org/en/
--------Options
--------Abonnements filtres :
----------------Liste FR+EasyList
----------------Adversity
----------------Antisocial
----------------Fanboy's List

--------Autoriser certaines publicités non-intrusives no
--------pour accéder aux commentaires llb, il faut désactiver certains filtres, notamment "https://connect.facebook.net/fr_FR/all.js

+ Au-revoir-utm
Supprime les paramètres rajoutés aux url's par fournisseurs de flux RSS
adons.mozilla.org/fr/firefox/addon/au-revoir-utm/?src=api

+ BetterPrivacy
Protection Super-cookies ea Flash-cookies (Local Shared Objects LSO)
nc.ddns.us/extensions.html
--------Options
--------Supprimer les cookies Flash à la fermeture du navigateur
--------Supprimer également le cookie par défaut du navigateur flash
--------Supprimer les dossiers de cookies vides
--------Désactiver la détection du ping

+ CertificatePatrol
Affiche l'installation et Compare certificats https
addons.mozilla.org/en-US/firefox/addon/certificate-patrol/
Parfois lourd!

= Elite Proxy Switcher
Permet de tester des proxies : un à la fois
Options :
No Proxy
Show the add-on bar on startup
www.eliteproxyswitcher.com/

+ FEBE + Cleo (Très pratique!)
Backup des profils et données Firefox
softwarebychuck.com
A Utiliser avec Cleo (Backup des extensions)
--------Préférences
--------What to backup
----------------Type de sauvegarde
------------------------Sélective
-----------------------------Extensions
-----------------------------Thèmes

-----------------------------Marques-pages json & html
-----------------------------préférences
-----------------------------noms d'utilisateur et mots de passe
-----------------------------plugins de recherche
-----------------------------permissions
-----------------------------données définies par l'utilisateur
...
--------How to backup


+ Fireclam
Pour ceux qui utilisent ClamAV ou Clawin (antivirus) : analyse les téléchargements
addons.mozilla.org/fr/firefox/addon/fireclam/?src=api
--------Sur Linux, souvent :
--------Exécutable : /usr/bin/clamscan
--------Base de données : /var/lib/clamav

= FlagFox
Affichage origine géographique du serveur + divers check possibles (toujours amusant à voir :-)
--------Options
--------Afficher les favicones pour les actions
--------Personnaliser les actions possibles : (A vous de voir!)

+ Foxy Proxy Standard
Permet de créer une liste de proxies avec des règles de basculement
Pratique pour regarder la BBC qui exige une adresse IP de départ en Grande-Bretagne.
getfoxyproxy.org

+ Ghostery
Identification et contrôle de Web-bugs et autres traqueurs filtrés par liste.
www.ghostery.com/
--------Options :
--------Général - Activer GhostRank non
----------------- Activer la mise à jour automatique
----------------- Blocage - Mouchards/Cookies Select all
--------Avancé - Général - Afficher les bulles d'alerte non
------------------------ - Afficher Ghostery dans la barre des modules / Afficher le bouton dans la barre de navigation
----------------- Auto Update - Bloquer les nouveaux éléments par défaut / Notifier nouveaux éléments
----------------- Performance - Analyser & bloquer images/iframes/balises/redirection/éléments dynamiques/cookies Flash & Silverlight depuis domaine
----------------Pour accéder au commentaires llb : autoriser "Facebook Connect" et "Facebook Social Plugins"

# HTTP Nowhere
Bloque automatiquement tout trafic vers des serveurs hhtp et n'autorise que les connexions https
github.com/cwilper/http-nowhere
Ou comment faire rimer parano et inconfort total! J'ai désactivé au bout d'1/4 d'heure :-)

! HTTPS-Everywhere
Se connecte automatiquement en https si possible!
www.eff.org/https-everywhere
--------Options :
--------SSL-Observatory - Use the Observatory - Check Certificates
----------------- Advanced options - Submit & check certificates signed by non-root CAs

--------Attention! pour accéder aux vidéos de la rtbf, désactiver infomaniak.com

= HTTPS Finder
Détecte automatiquement connection ssl disponible & automatise règles de HTTPS-Everywhere
code.google.com/p/https-finder/
--------Options :
--------Général - Enable HTTPS Finder / Automaticaly enforce HTTPS
----------------- Domain Whitelist
------------------------linkedin.com
------------------------dailymotion.com
...
--------Advanced - Use HEAD detection first

= ipFuck (=Ipflood sur Mozilla-Addons)
Simulation d'une série de proxy à chaque nouvelle connection.
ipfuck.paulds.fr/?p=plugin
--------Activer/Désactiver en cliquant sur l'icone
--------Attention! Désactiver avant d'aller sur Dexia.net ou autre site bancaire
--------Options : bouton droit de la souris sur l'icone
--------X-FORWARDED-FOR
--------CLIENT-IP
--------VIA
--------Random IP within a range
--------Synchronise IP Together

= JSView (pour les curieux!)
Affiche code source des CSS & scripts JavaScript externes.
addons.mozilla.org
--------Options :
--------Comportement - Ouvrir ds une nouvelle fenêtre
- Afficher en Ko
--------Editeur (à vous de voir)

+ Master Password +
Conditionne l'ouverture de Firefox (ou Thunderbird) à l'introduction du mot de passe général
addons.mozilla.org/en-US/firefox/addon/master-password/
--------Options : Défaut
--------sauf
--------Startup - Ask for password on startup
Attention l'option "Ask for password on startup" bloque l'ouverture de Firefox sans mot de passe, mais
Cependant, elle est très facile à contourner : il suffit de supprimer ou renommer le fichier key3.db et
A compléter par Public Fox, qui bloque l'ouverture de l'historique, des extensions, ...

! Modify Headers
Ajoute, modifie ou filtre les en-têtes HTTP.
addons.mozilla.org/fr/firefox/addon/modify-headers/eula/138227?src=dp-btn-primary
(User Agent Switcher, FireGloves, Tamper Data)
Configuration fonctionnelle (même résultat que pour tor-browser sur le "Test Me" de panopticlick.org)
Headers
--------Action Name Value
--------Modify Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0
--------Add Accept text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
--------Add Accept-Encoding gzip
--------Add Accept-Encoding deflate
--------Add Accept-Language en-us,en;q=0.5
--------Add Connection keep-alive
Options
--------Open in Tab

! NoScript Très efficace en duo avec RequestPolicy : RequestPolicy permettant de limiter les autorisations de NoScript à certaines pages ou certains sites, et bloquant l'accès depuis les autres (voir ci-dessous).
Contrôle et autorisation de chargement des scripts JavaScript. Absolument indispensable, mais incessantes remises à jour!
noscript.net
--------Options :
--------Général - Ouvrir le menu des permissions / Recharger les pages affectées automatiquement
--------Liste blanche - Suivant vos préférences
--------Objets embarqués - Interdire Java/Adobe/Silverlight/autres/AUDIOVIDEO/@fontface
----------------- Bloquer tous les objets d'un site non-fiable
----------------- Afficher l'emplacement fictif de l'objet bloqué
----------------- Demander confirmation avant déblocaqe
----------------- Utiliser l'espace libéré par les éléments bloqués
----------------- Protection Clearclick sur pages non fiables/fiables
--------Apparence - Menu contextuel
----------------- Autoriser /A. temporairement/Marquer/Non-fiable/Objets bloqués/Sites récents
----------------- Domaines 2ème niveau/Autoriser tte page/Autoriser temporairement/Rendre permissions permanentes/Révoquer permissions temporaires
--------Notifications - Afficher message / Placer le message en bas
----------------- XSS?
----------------- Redirections META bloquées
----------------- ABE
----------------- Avertissement Clearclick
--------Avancé Bon amusement!

+ Password Exporter (pratique)
Import et/ou export des mots de passe enregistrés aux formats xml ou cvs
passwordexporter.fligtar.com

= Public Fox (pour ceux qui partagent leur session!)
Bloque téléchargements et historique, marque-page et extensions avec un mot de passe
General
Lock Add-ons windows
--------firefox options
--------"about:config"
--------additions of Bookmarks
--------History sidebar
--------Bookmarks sidebar (éventuellement)

! RefControl
Contrôle du referer Http (origine du lien) renvoyé au site consulté.
www.stardrifter.org/refcontrol/
Options
Comportement par défaut : Leurre
Probablement intégrable à Modify headers

! RequestPolicy
Contrôle des requêtes cross-site autorisées / protection contre attaques de type CSRF 'sea-surfing)
Options : par défaut
--------Liste blanche à enrichir et modifier suivant préférences (beaucoup de travail, mais complète très efficacement NoScript)
--------Permet de n'autoriser "facebook.net" et "facebook.com" avec NoScript que pour llb.be, par exemple (accès aux commentaires)
www.requestpolicy.com

= Safe
Informe sur le statut sécurisé ou non de la transmission
bitbucket.org/cdolivei/safe
--------Options :
--------- Avertir quand un mot de passe est saisi de façon non-sécurisée
--------- épaisseur du trait : 0.2 em

+ ShareMeNot
Bloque le traçage automatique par les boutons de partage des réseaux sociaux
sharemenot.cs.washington.edu/
--------Options :
--------- Automatically add exceptions non
--------- tout sélectionner!
--------désactiver "Block Facebook Trackers" pour accéder aux commentaires llb.

+ Terms of Service; Didn't Read
Informations résumant les termes de service de divers services web populaires (Google, Facebook, ...)
tosdr.org

= Wappalizer
Affiche les programmes utilisés sur une page web (sous forme d'icones dans la barre d'adresse).
wappalizer.com

Et pour finir en beauté, une courte liste de moteurs de recherches alternatifs ou plus discrets
Pour les installer il suffit de cliquer sur l'icone à gauche de la barre de recherche, --> gérer les moteurs de recherche --> obtenir d'autres moteurs de recherche.

Je vous suggère donc

Wikipedia SSL - Accès sécurisé à wikipedia (en anglais, mais possibilité de modifier le script pour pointer vers la version française)
Ixquick - recherche anonyme choisir version ssl
DuckDuckGo - recherche anonyme
StartPage ssl - recherche anonyme par proxy sur Google

Ceci dit et comme vous le constaterez, une foultitude d'autres moteurs sont disponibles pour tous les sujets possibles et imaginables de recherche sur internet!

C'est loin d'être complet ou exhaustif, n'hésitez donc en aucun cas à me faire part de vos remarques, questions critiques et suggestions.

J'espère avoir pu vous être de quelque utilité ou de quelque intérêt :-)

Poyel a écrit:
Il y a quelques temps, Google avait déjà lancé un pavé dans la mare. Une déclaration d'Eric Schmidt, un des grands patrons de Google avait dit : "Seuls les criminels se soucient de protéger leurs données personnelles" en poursuivant sur un "Si vous faites quelque chose et que vous ne voulez que personne ne le sache, peut-être devriez-vous déjà commencer par ne pas le faire". Le cadre était posé !

faudrait lui traduire cette "Lettre ouverte à ceux qui n’ont rien à cacher"
http://www.internetactu.net/2010/05/21/lettre-ouverte-a-ceux-qui-nont-rien-a-cacher/

@Samson : C'est très intéressant ! Merci

@hachisparmentier : Très bel article, spirituel et juste. Merci également.