Re: [EDUC] Outloock dans ma mairie

[mdn <bernardlprf AT openmailbox.org>]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

Bonjour,

Le 19/07/2017 20:43, Julien TDN a écrit :
> Salut !
> 
> Le 19/07/2017 à 14:03, Jean-Christophe Monnard a écrit :
>> Ce matin je suis passé aux services d'état civil. Ils gèrent
>> leur courrier électronique par outloock. Je n'ai pas bien vu si
>> c'est par un logiciel courrieleur ou par webmail, mais le nom du
>> produit de µ£ apparaissait explicitement.
>> 
>> J'ai signalé à l'employée de mairie que les solutions µ$ posent
>> des problèmes de confidentialité. Réponse : -  nous n'avons pas
>> eu d'ennuis jusqu'ici
> Le problème est pas de ne pas en avoir mais de s'en prémunir ! Avec
> M$ impossible de garantir la confidentialité (on me sait pas ce que
> les programmes font vu que le code source n'est pas auditable)
En effet.
Mais le soucis c'est que les gens ne comprennent pas du tout ce que
cela veut dire auditable dans le monde du logiciel.
J'ai remarquer que l’appréhension que la majorité des gens ont envers
le logiciel est a peut prés la même qu'un objet du palpable commun.
Le tout c'est que les gens comprennent que il y a le binaire, le code
source et le compilateur.
Binaire: compréhensible par la machine et non par l'humain.
Code source: compréhensible par l'humain et non pas la machine.
Compilateur: logiciel qui permet de convertir du code source en code
binaire.
Sans le code source du binaire il n'est pas auditable.
Sans le code source du compilateur un binaire n'est pas auditable.
Sans le code source des dépendance du binaire, le binaire n'est pas
auditable.
Évidement je simplifie au maximum, un binaire et compréhensible mais
il faut 10 ou 20 ans avec une équipe H24, 7/7 et plusieurs millions
d'euros.

>> - c'est une entreprise qui s'en occuppe alors ils veillent à
>> notre sécurité
> Cette société fournis a cette marie des solutions M$ il sont :
> soit incompétent, soit malveillant (ou encore la pour faire de
> l'argent le clients se contentera bien de ce qu'on lui vend et donc
> il sont encore plus incompétent car c'est possible dans la majorité
> des cas en Libre).
En effet, il est peut-être incompétent, moi je dirai plutôt
inconscient ou insouciant.
Je conseille juste d'éviter de faire du rentre dedans, un avis négatif
direct envers un logiciel qui "fonctionne bien" pour l'utilisateur n'a
pas beaucoup d'effet positif.
Pour essayer d'ouvrir les yeux des gens je leur montre a quoi
ressemble le web avec ligbtbeam.
https://addons.mozilla.org/fr/firefox/addon/lightbeam/
Exemple:
On a de la chance pour le moment d'avoir ce genre de web au design
ouvert, on peut se rendre compte de ce qu'il se passe dans le
navigateur, imaginer si le web était fermer comme outlook.
>> - chacun son logiciel (comme des goût et des couleurs)
> Oui sauf que quand on travail c'est l'employeur qui décide et il
> me semble que l'employeur d'un élu et de ses employé ce sont ses
> électeurs ! Qui de surcroît les payent via leur impôts. (D’après ce
> que j'ai compris des explications de mon maire)
>> J’envisage d'écrire ou de parler au maire que je connais et qui a
>> mon oreille.
> Fait toi plaisir, pour un peu qu'il serai geek ou qu'il comprenne
> les enjeux du logiciel Libre t'aura fait une action qui mérite plus
> que certaines légions d'honneur donn..arhum distribué par l'état !
>> Mes questions sur cette liste, puisque mes informations sont peut
>> être obsolètes.
Je suis du même avis pour t'aider je conseille, si ce n'est déja pas
fais, de lire la Réponse du député Villanueva Nuñez à Microsoft qui
est tout simplement un superbe exemple:
https://aful.org/ressources/institutions/rescon-fr
RMS a vraiment bien réussi sa campagne dans ce pays, temps mieux pour eu
x.
Après en communication je conseille "Les mots sont des fenêtres (ou
bien ce sont des murs)".
Dure a appliquer pas contre.

>> 
>> - peut on me confirmer si ce qui était vérifié il y a 10 ans
>> l'est encore, à savoir que les logiciels µ$ étaient en eux même
>> des occasions de collecte d'information et de fuites ?
> Sans allez jusqu’à une confirmation (je suis tout de même preneur
> de l'info également), le simple fait de ne pas pouvoir vérifier
> (via le code source) pose problème.
Le sujet est devenue très long depuis Snowden, je ne peut pas tout mettr
e.
Note:La majeur parties des infos son en anglais, je suis désoler.

Alors il faut savoir qu'il y a deux type de info sur ce sujet.
- -Les info technique fais par divers chercheurs, sysadmin et autre en
sécurité, mais non officiel.
- -Et les document officiel non fuiter et fuiter.
Je ne sais par ou commencer je n'ai pas spécialement un ordre
chronologique sur le sujet.

A ma connaissance la plus veille preuve technique c'est celle des
clefs publique de la NSA dans Windows NT4.
https://en.wikipedia.org/wiki/NSAKEY
http://cypherspace.org/adam/hacks/ms-nsa-key.html
https://web.archive.org/web/20000617163417/http://www.cryptonym.com:80/h
ottopics/msft-nsa/msft-nsa.html

Après il y a windows 10:
Divers sysadmin on déjà avertie que de désactiver les options de vie
privée ne fonctionne pas:
https://web.archive.org/web/20170611155214/https:/twitter.com/m8urnett/s
tatus/866353982217699328?lang=en
Désoler pour l'utilisation de google trad mais je ne connais pas de
solution libre pour traduire du Czech.
https://translate.google.com/translate?hl=en&sl=cs&tl=fr&u=http%3A%2F%2F
aeronet.cz%2Fnews%2Fanalyza-windows-10-ve-svem-principu-jde-o-pouhy-term
inal-na-sber-informaci-o-uzivateli-jeho-prstech-ocich-a-hlasu%2F&sandbox
=1
http://arstechnica.com/information-technology/2015/08/even-when-told-not
- -to-windows-10-just-cant-stop-talking-to-microsoft/
Bref les options ne fonctionne pas, la host liste ignore certain
élément etc..
C'est normalement blocable via le routeur, après si cette pratique se
démocratise je pense que des associations vont se faire avec MS et les
grand constructeurs de modem/routeur (si c'est pas déjà fais).

Il y a aussi le "vault7" de la CIA:
https://wikileaks.org/vault7/
Vualt7 touche a peut prés tout les systèmes (particulièrement MS),
mais aussi des logiciels comme SSH (sous windows) ou certaine
distribution GNU/linux qui utilise des blobs, il y a aussi de la
chaine de production apple depuis 2008 qui est toucher, en gros tout
les apple après 2008 sont infecter au niveaux du hardware, etc...

Sinon dans le matériel il y a aussi cisco,netgear etc... a peut prés
tout les constructeurs dont le logiciel n'est pas libre ou si il
contient des blobs.
https://github.com/elvanderb/TCP-32764
Note: toute les box de FAI on un accès root via SSH, juste pour vous
informer, c'est leur matos aprés tout :p

Après au niveau documentation la plus grosse preuve existante c'est
celle que Edward Snowden a fait fuiter sur Prisme et XKeyscore.
Ça indique la participation a MS au dit programme.
https://fr.wikipedia.org/wiki/PRISM_(programme_de_surveillance)
https://fr.wikipedia.org/wiki/Fichier:PRISM_Collection_Details.jpg
https://fr.wikipedia.org/wiki/XKeyscore
Il y a aussi l'espionnage sur le gouvernement français par la NSA:
https://wikileaks.org/nsa-france/index.fr.html
Note: les wiki anglais ont plus ou moins d'info.

Après il y a divers article sur le web, comme celui ci ou MS a offert
a la NSA des donner de sont cloud:
http://www.itproportal.com/2014/05/14/microsoft-openly-offered-cloud-dat
a-fbi-and-nsa/

Microsoft ne se cache pas spécialement de ce qu'ils font, vue que de
nos jour ils dataminent*.
https://privacy.microsoft.com/fr-fr/privacystatement/
Petit extrait:
"Microsoft recueille des données visant à assurer le bon
fonctionnement de ses produits et à vous offrir les meilleures
expériences possibles."
"Nous en obtenons certaines en enregistrant votre manière d’interagir
avec nos produits, par exemple en utilisant des technologies telles
que les cookies et en recevant des rapports d’erreur ou des données
d’utilisation du logiciel que vous utilisez sur votre appareil. Nous
recueillons également des données reçues de tiers."

J'aimerais par contre vous montrer cette petit phrase bien sympa de la
part de MS:
" Cependant, nous n’utilisons pas ce que vous dites dans les e-mails,
les discussions, les appels vidéo ou la messagerie vocale, ni vos
documents, photos ou autres fichiers personnels pour vous envoyer des
annonces ciblées."
Très drôle sachant que MS annoncer fièrement que:
- -Plus de 82 milliard de photo on était vue.
- -Plus de 4 milliard d'heur on était dépenser sur les jeux video.
- -44.5 milliard de minutes/mois de navigation sur microsoft Edge a
était enregistrer.
- -Plus de 2.5 milliards de question faite sur cortana depuis le lancement
.
- -Windows 10 est actif sur plus de 200 million d’appareils.
https://blogs.windows.com/windowsexperience/2016/01/04/windows-10-now-ac
tive-on-over-200-million-devices/
Bref connaissant le passer douteux de MS je crains que cette close ne
soit des bêtises.
De toute façon dans c'est document ils se contredisent tout le temps.

Ou de L'EULA de MS qui est pas mal.
https://www.microsoft.com/fr/servicesagreement/
Le genre de paragraphe qui me fais bien rire:
7. Mise à jour des Services ou Logiciels et modification des présentes
Conditions.
c. En outre, nous sommes susceptibles, à certains moments de devoir
supprimer ou modifier des fonctionnalités du Service ou d’arrêter de
fournir un Service ou l’accès complet à des Services ou Applications
de Tiers
d. Afin de vous permettre d’utiliser du contenu protégé par la Gestion
des Droits Numériques (DRM, Digital Rights Management), notamment de
la musique, des jeux ou encore des films, le logiciel de DRM pourra
contacter automatiquement un serveur de droits en ligne et télécharger
et installer les mises à jour DRM.


*dataminer:
Je vous coneille de visionner les conférences ci-dessous:
- -Corporate surveillance, digital tracking, big data & privacy
https://media.ccc.de/v/33c3-8414-corporate_surveillance_digital_tracking
_big_data_privacy
http://cdn.chiefmartec.com/wp-content/uploads/2016/03/marketing_technolo
gy_landscape_2016_3000px.jpg

- -The surreptitious assault on privacy, security, and freedom
https://media.libreplanet.org/mgoblin_media/media_entries/1529/144_7_ger
with.webm
slides:
https://mikegerwitz.com/talks/sapsf

- -Data collection, psychographic profiling, and their impact on politics
https://www.youtube.com/watch?v=HUm9hV9KPy0

- -The Power of Big Data and Psychographics
https://www.youtube.com/watch?v=n8Dd5aVXLCc

>> - l'utilisation de solutions libres comme thunderbird permet
>> elle effectivement un gain en confidentialité et sécurité, et de
>> sureté face aux virus ?
> Typiquement un client mail non libre qui permet de chiffrer ses
> mail apporte un certain mieux mais relatif vis a vis du fait que
> comme le logiciel n'est pas ouvert (code source disponible) rien ne
> permet de savoir si le logiciel n'envoie pas une copie non chiffré
> du mail a son développeur/la NSA/whatever en même temps que la
> copie chiffré au destinataire. C'est comme faire un garrot a un
> bras fracturé ouvert, le sang ne s'écoule plus mais la fracture et
> la douleur sont toujours la !
En effet.
Un logiciel libre comme thunderbird, claws, emacs etc... ne garantie
que la vie privée/sécurité localement.
Si par exemple vous utiliser thunderbird et que vous vous connectez a
gmail ou les service cloud-mail de MS et bien vos mails appartienne a
MS ou google.
La seul façon d'utiliser c'est services avec un peut d’anonymat c'est
avec GPG.
Je dit un peut car seule le contenue est anonyme,le récepteur et
l’émetteur eux ne le sont pas.
>> - il me semble que Outloock est devenu une suite de partage 
>> d'information. Je n'ai pas eu le temps de le vérifier sur place.
>> As t-on les mêmes solutions en libre ?
> Tout dépends de ce qu'il utilisent, j'ai déjà équipé des
> entreprises avec Thunderbird pour de la gestion mail, d'agenda et
> tâche (via agenda) avec de la synchro sur du serveur mail
> postfix/docot & cie, plus un Nextcloud pour la synchro
> fichier/agenda donc 'est tout a fait possible suivant les besoins. 
> Après est-ce que c'est juste de l'application Outlook en client
> lourd avec une boite mail x ou y (genre Orange ou SFR), ou il on un
> serveur Exchange derrière ou encore une offre office365 avec une
> suite bureautique (dont l'application Outlook) et les services
> cloud by M$ ? Suivant ça tu pourra partir dur du concret sinon seul
> de la théorie sera envisageable. Si tu as un bon contact avec le
> maire je pense que tu ne devrait pas trop avoir de mal a te
> renseigner ;)
>> Jean-Christophe
Passer une bonne journée.

- -- 
Librement
BERNARD

Veuillez s'il vous plaît utiliser GPG pour nos futures conversations:
https://emailselfdefense.fsf.org/fr/
Si c'est email n'est pas signer, il ne vient pas de moi.

- -If you can't compile it dump it.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
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=UkRO
-----END PGP SIGNATURE-----