GuiGui's Show

C'est con, après avoir longtemps demandé une CA gratuit, l'on se retrouve avec un nouveau problème.
CA unique = plus de vie privée :-/

Est-ce que en passant par une liste de proxy random (ex Tor) avec des user-agent random, ça pourrait «corriger» le problème ?

Ça me paraît être d'une difficulté très élevée et désagréable au quotidien pour un résultat qui laissera à désirer, car, comme d'habitude, il y aura des fuites (usages pas encapsulés comme on s'y attend, traces auxquelles on n'a pas pensé - il n'y a pas que l'user-agent qui permet d'identifier un logiciel donc un poste informatique donc un⋅e citoyen⋅ne). Quand tu vois que même après un nettoyage par le Tor browser, ça suinte encore de partout, cela me semble bien plus illusoire que de désactiver OCSP (côté client) et d'activer OCSP stapling (côté serveur). Le meilleur moyen de ne pas avoir à effacer des traces, c'est encore de limiter leur production.

Sans compter que la piste que tu proposes ne corrigera pas le deuxième problème que pose Let's Encrypt à savoir la centralisation, la concentration du pouvoir et les atteintes qui peuvent en découler comme la censure de sites web par un acteur privé en dehors de tout contrôle. Pour résoudre ça, il faut procéder comme dans tout business : créer d'autres autorités de certification. De préférence communautaires et libres, avec un vrai pouvoir de la communauté. Ou s'engager dans des voies plus contraignantes résumées à la fin de mon shaarli (DANE, remplacer x509, etc.).

Cela fait plus d'un an que j'apporte des journaux papier dans la salle de pause de mes différents boulots. J'ai envie de faire un point et de t'inciter à faire de même.

Je sais que ça va surprendre ceux et celles qui me connaissent de plus près, mais, au départ, je n'avais aucune motivation politique. Il ne s'agissait pas de "ré-informer" les collègues ignorant⋅e⋅s ou je ne sais quoi. En fait, dans un précédent boulot, quelqu'un⋅e déposait le Canard enchaîné dans la salle de pause. Et puis, un jour, pouf, pas de Canard (probablement car le⋅a collègue était absent⋅e). J'ai donc décidé de l'acheter et de le partager, comme ça, sans réfléchir. Toute façon, je l'ai acheté pour mon propre intérêt, alors autant qu'il serve.

J'ai quitté cette société, mais j'ai continué à apporter le Canard dans mes nouveaux boulots. Puis, j'ai également apporté le journal satirique local quand il y en avait un. Puis, quand j'ai tranché ce qui, pour moi, est du journalisme éthique, j'ai aussi apporté tous les journaux papiers que je m'achète : Canard, Fakir et Siné mensuel.

Je ne crois pas avoir plus de motivation politique à l'heure actuelle… Oui, ça contribue à diffuser des idées que je défends, mais mon cœur me signifie que ce n'est pas pour ça que je le fais, mais uniquement pour l'aspect mutualisation, tendance "au moins, on ne bute pas des arbres pour le plaisir solitaire d'une seule personne".

J'ai constaté qu'une majorité de gens sont intéréssés par ces journaux sans pour autant les acheter, ce que je trouve dommage et que je n'explique pas vraiment… Vu nos salaires, je ne crois pas à un problème financier généralisé… Flemme de se déplacer ? La livraison postale existe… J'ai constaté que l'intérêt diffère entre le public et le privé et en fonction de la taille de la structure : la startup-nation est moins intéressée que le public (alors que tous deux disposent du même volume horaire de pause dej' et que je n'ai pas constaté de lecture en dehors de ces créneaux). C'est intéressant de constater que le milieu et les règles du jeu informelles créent l'opportunité. Du coup, je m'interroge : n'y-a-t-il pas, à poste équivalent, une inégalité d'accès à l'information en fonction du lieu de travail vu que cet accès peut être restreint par l'environnement ?

J'ai découvert des comportements divers : de la lecture assumée pendant la pause déjeuner jusqu'à la lecture "en douce" en passant par l'emprunt d'un journal durant la fin de semaine avant de le rapporter la semaine suivante. J'explique cela par l'environnement plus ou moins conformiste et répressif.

J'ai aussi découvert que certaines personnes font un blocage psychologique et ne lisent pas les journaux tant qu'elles ne savent pas qui a apporté lesdits journaux… Comme si le messager était responsable du contenu… Je n'explique pas ce point-là…

Je n'ai pas constaté de pression particulière sur ma personne. Je n'ai pas eu de remarques hiérarchiques me demandant d'arrêter mes conneries de bobo-gauchiste. Je ne me suis pas fait alpaguer par des collègues dans des débats au motif que "tiens on va demander son avis au bobo-gauchiste". Bref, je n'ai pas l'impression qu'apporter ces journaux me porte préjudice ou me place comme le savant ou le défenseur d'un bord politique lors d'un débat. Je ne me sens pas oppressé parce que j'apporte des journaux.

Tout au plus, il y a eu ce collègue qui, en me voyant débarquer avec les Canard, Fakir et Siné tout frais, a déclaré à voix haute en public « si c'est comme ça, je vais apporter l'Humanité » sur un ton un tantinet agressif qui ne lui ressemble pas. Je lui ai répondu que ça me ferait plaisir, que j'invite tout le monde à partager son journal chéri, même l'Opinion ou le Figaro et que les journaux que j'apporte, c'est comme la merde que je raconte à l'oral, je ne suis pas tenu d'être objectif. Je ne sais pas si ce message a été entendu, mais je n'ai pas vu l'Humanité dans la salle de pause.

Il reste une question à laquelle je n'ai pas trouvé de question : comment mutualiser la presse numérique ?

• Je peux difficilement partager mon abonnement nominatif, car ça suppose un identifiant / mot de passe qui circule largement… ;
  
  
• Un compte partagé payé par l'entité employeuse ne me convient pas car il faut, et c'est bien normal, un consensus sur le journal auquel on souscrit et surtout car je pense que la démarche doit venir d'en bas, pas d'en haut de la hiérarchie donc ça suppose que les collègues manifestent préalablement un intérêt, ce qui me semble excluant… ;
  
  
• Un compte partagé entre des personnes consentantes ? Non, car ça crée un cercle dans lequel il est difficile d'entrer ou sortir. Il faut signaler son (dés)intérêt au préalable. Ce n'est pas comme tomber "par hasard" sur une Une papier qui t'intéresse. Bref, c'est très excluant ;
  
  
• Je pense à des couples identifiant + mot de passe posés en salle de réu à côté d'une boîte à don prix libre… Mais ça ne m'enchante pas des masses…

Bref, apporter la presse au boulot est une action concluante qui a du sens, qui intéresse et qui ne pose pas de contraintes sur celui ou celle qui la mène.

• Des citoyen⋅ne⋅s lisent de leur plein gré des informations qu'il⋅elle⋅s n'auraient pas été chercher, donc des idées peut-être différentes se diffusent ;
  
  
• Cela permet de casser des a priori et de créer du lien social genre mon avis sur une collègue qui semblait je-m’en-foutiste de tout a changé du tout au tout quand je l'ai vu lire plusieurs fois lors des pauses déj'… C'est idiot, c'est psycho, mais l'humain⋅e est ainsi.
  
  
• Ça ne semble pas créer de pression sur la personne qui apporte les journaux. Tout au plus ça lui colle une étiquette politicienne "il est de gauche".

En te livrant cette expérience, j'espère t'avoir motivé à apporter les journaux de ton choix à ton boulot. :) Cela ne changera pas la face du monde… mais ça y contribuera ?

Seems legit.

I've accidentally discovered the world's most efficient way to leak personal information.
Plus, the photo was geotagged, my unlocked password manager was visible on the laptop, AND you could see my naked reflection in the dark part of the screen.

+1. :D

Gros +1…

+1…

\o/

Gros gros +1. Et y'a pas que sur mobile que c'est chiant au possible.

Les «Incels» forment une sous-culture Internet, présente sur Reddit et 4chan, qui défend un masculinisme poussé à l’extrême. Selon la définition stricte donnée par le subreddit éponyme (fermé en toute discrétion par Reddit le 7 novembre dernier), un «Incel» (involuntary celibate) est un mec désirant avoir des relations avec des filles mais qui n’y arrive pas et s’estime très pessimiste quant à ses chances futures.

[…]

La caractéristique des «Incels» est d’avoir développé une haine féroce des femmes, qu’ils estiment responsables de tous leur déboires. Dans leur jargon, les femmes sont appelées «roastie» (rosbeef, référence à la forme de leur vagin après avoir eu plusieurs partenaires) ou «femoid» (pour «female humanoid», appellation leur déniant toute humanité).

S’estimant être des «nice guys» ne recevant en retour aucune attention des filles, les «Incels» en concluent que le seul critère effectif de la séduction est le physique. Ce qui ouvre la voie à leur deuxième sujet de haine : les «chads», ces mecs beaux gosses et musclés qui auraient un injuste succès avec les filles. Dans leur jargon, l’équivalent féminin du «chad» est la «stacy», un couple auquel fait référence Minassian dans son post Facebook.

Les «Incels» sont persuadés qu’il n’existe pas de plus grande discrimination que la discrimination physique.

[…]

Ce n’est en fait pas la première tuerie liée à cette idéologie. En 2014, Elliot Rodger, un étudiant de Santa Barbara avait tué six personnes et blessé 14 autres avant de se donner la mort. On avait retrouvé un long manifeste où il hurlait sa haine des femmes.

Dans son message Facebook, Alek Minassian fait référence au «supreme gentleman» Elliot Rodger. Derrière le folklore web et les bonnes blagues sur les «chads», il existe bien un terrorisme masculiniste.

Selon Numerama, le subreddit incels avait dépassé la barre des 40 000 membres.

Via https://twitter.com/geoffrooy/status/989042514610085890 via https://twitter.com/bortzmeyer

Selon des chiffres diffusés par NetTrack, Let's Encrypt a passé en avril la barre des 50 % des domaines gérés, parmi les presque 8 millions surveillés par le service.

Cela pose plusieurs problèmes dont je n'ai pas vu (encore ?) d'analyse. Donc je me lance, même si je vais pas mal radoter mon premier jet sur Let's Encrypt.

Vie privée

Le premier problème est une question de vie privée. Afin de s'assurer qu'un certificat x509 n'a pas été révoqué, un client TLS (un navigateur web, un logiciel d'emails, un logiciel de messagerie instantanée, etc.) peut émettre une requête HTTP destinée à l'autorité de certification qui a émis le certificat présenté par un serveur TLS (serveur web, serveur mails, etc.). Évidemment, l'autorité de certification signe sa réponse avec sa clé privée. Ainsi, le client TLS pourra vérifier l'authenticité de la réponse avec la clé publique de l'autorité (contenue dans le certificat x509 de cette autorité). Il s'agit du protocole OCSP. Il est activé par défaut un peu partout.

Cela signifie qu'avec ce protocole, une autorité de certification stocke, dans ses journaux, des infos comme : telle IP a demandé la vérification du certificat x509 du site web ineedmoarporn.example à telle date+heure.

Si une autorité de certification devient un acteur incontournable, cela signifie qu'elle consigne, dans ses journaux, l'information qu'une même IP a visité les sites web ineedmoarporn.example, lacroix.example, fillon2017.example avant de consulter ses emails hébergés chez sans-nuage.fr.

Je ne sais pas pour toi, mais je trouve que c'est un vrai problème, quand bien même il y a des associations militantes pour les libertés humaines (mais pas que) derrière Let's Encrypt.

En 2025, Let's Encrypt a cessé de recourir à OCSP.

Comment voir quel serveur OCSP sera contacté pour un certificat x509 donné ? Il suffit de regarder les détails d'un certificat x509, notamment la section « Authority Information Access ». Avec Firefox. Exemple en ligne de commande :

$ echo | openssl s_client -servername mediapart.fr -connect mediapart.fr:443 2>/dev/null | openssl x509 -noout -ocsp_uri
http://ocsp.usertrust.com

Ici, quand un⋅e citoyen⋅ne consulte ce journal, son navigateur web émet une requête HTTP destinée à ocsp.usertrust.com. User Trust sait donc que l'ordinateur utilisé par ce⋅tte citoyen⋅ne va probablement consulter le site web de ce journal dans les prochaines secondes.

Dans le cas de Let's Encrypt, le serveur OCSP est pointé par le nom « cert.int-x3.letsencrypt.org » et est hébergé… par Akamai, un géant des infrastructures Internet… Tu le sens, le respect de ta vie privée ?

Pour limiter l'impact de ce flicage :

• L'éditeur⋅rice d'un site web devrait activer l'OCSP stapling dans la configuration de son serveur web. Dans cette configuration, c'est le serveur web qui va interroger l'autorité de certification régulièrement et qui copie la réponse (signée donc infalsifiable ;) ) de celle-ci aux clients web lors de l'initialisation du chiffrement. Ainsi, dans les journaux de l'autorité de certification, la seule information stockée est "le serveur hébergeant ineedmoarporn.example a demandé la validité du certificat delivré pour ineedmoarporn.example". La vie privée des visiteur⋅e⋅s du site web est préservée.
  
  
• Chacun⋅e de nous devrait désactiver OCSP (mais laisser OCSP stapling activé) dans chacun de nos clients TLS. Dans Firefox et Thunderbird, cela se fait en configurant la valeur « 0 » au paramètre « security.OCSP.enabled » dans about:config. Pour les autres clients TLS : mystère (et c'est un problème)…

Acteur dominant et libertés

Le deuxième problème est une question éthique et philosophique. Quand un acteur concentre un marché, il exerce un pouvoir sur le marché. Quand un acteur a du pouvoir, il en abuse. Forcément. S'il n'a pas de concurrent, alors les citoyen⋅ne⋅s sont pris au piège, ce qui renforce le pouvoir de cet acteur. Je pense que c'est assez évident avec l'affaire Facebook / Cambridge Analytica (je prends l'exemple le plus récent, mais il y en a une infinité) : tu peux être scandalisé, tu vas quand même rester sur Facebook pour parler avec tes "ami⋅e⋅s" car il n'y a pas vraiment de concurrent avec un service similaire aussi fréquenté.

Je me moque de savoir que, derrière Let's Encrypt, il y a des associations qui militent pour les libertés humaines. Car tout acteur est corruptible. Tout acteur peut ne pas percevoir une entourloupe et la valider. Sans compter que toute la sécurité apportée par x509 repose sur la plus mauvaise autorité de certification acceptée par la communauté (des navigateurs web et des systèmes d'exploitation), car n'importe quelle autorité de certification peut émettre des certificats x509 pour n'importe quel site web, même pour un site web dont l'éditeur⋅rice n'est pas client chez elle. x509 est ainsi fait. Let's Encrypt peut être absolument irréprochable, ça ne change pas la donne.

Il découle du paragraphe précédent que ce qui compte à mes yeux, c'est d'avoir un équilibre des pouvoirs : qui dispose d'un pouvoir similaire afin d'exercer un pouvoir de contrôle sur Let's Encrypt ? Personne. Vers qui se tourner si Let's Encrypt failli (tout en conservant un service similaire) ? Personne. Puis-je vérifier moi-même ce que fait Let's Encrypt ? Non. Ai-je un pouvoir de décision, même indirect sur ce que fait Let's Encrypt ? Non. Le pouvoir d'émission de certificats x509 est confisqué aux citoyen⋅ne⋅s. Certes, il l'a toujours été, mais Let's Encrypt enfonce le clou alors que des alternatives sont possibles, j'y reviens à la fin.

Un monde dans lequel

• les navigateurs web afficheront une couleur flippante au moindre site web qui ne propose pas un accès chiffré (c'est en cours dans les principaux navigateurs web) ;
  
  
• les navigateurs web affichent d'imposants messages flippants pour tout site web dépourvu d'un certificat x509 délivré par une autorité de certification reconnue (ça, ça a toujours été le cas et il n'est pas prévu de débrayer ce comportement dans les principaux navigateurs web alors que les technologies modernes permettent désormais de faire autrement, j'y reviens à la fin) ;
  
  
• les moteurs de recherche notent moins bien les sites web qui ne proposent pas un accès chiffré à leur contenu ou qui le propose avec une autorité de certification non reconnue (c'est déjà le cas de l'hégémonique Google Search),

… est un monde dans lequel chaque autorité de certification est un acteur puissant supplémentaire qui décide de ce qu'est la liberté d'expression et des contenus qui en relève…ou non. Elle peut refuser de délivrer un certificat à tel ou tel site web ou de révoquer le certificat de tel site web. Let's Encrypt ne s'en prive pas. Les navigateurs web feront alors peur aux visiteur⋅e⋅s de ce site web, les moteurs de recherche déclasseront ce site web et ce sera la fin. Il y a déjà suffisamment d'acteurs qui ont ce pouvoir… Est-on obligé de s'en imposer un de plus ?! Les gouvernements, entre autres, ont déjà ordonné à des intermédiaires techniques, comme les registres DNS, de pratiquer la censure sans décision de justice, alors ordonner la même chose à un intermédiaire technique de plus ne les découragera pas.

Certes, Let's Encrypt n'est pas à l'origine de tout ce que je décris depuis le début de ce shaarli, mais cette initiative, qui partait d'une bonne intention, va considérablement retarder l'émergence de réelles solutions à tout ce merdier. Et c'est ça que je reproche à toutes les personnes qui ont fait la promotion de Let's Encrypt sans se poser plus de questions, au motif que le chiffrement est à la mode depuis Snowden… Alors que le chiffrement est inutile quand les gens concentrent leurs données sur quelques sites web états-unien où elles peuvent être récupérées tranquillou par tout le monde parce que les lois, sur la surveillance de masse et sur la protection de la vie privée, le permettent… Let's Encrypt est une fuite en avant, pas une solution durable.

Que faire ?

Par ordre de complexité :

• Si t'es l'éditeur⋅rice d'un site web, active l'OCSP stapling ;
  
  
• Désactiver OCSP dans tout client TLS (navigateur web, logiciel d'emails, logiciel de messagerie) ;
  
  
• Défendre l'émergence et le maintien de plusieurs autorités de certification communautaires et leur reconnaissance par les principaux systèmes et logiciels. Aucune autorité de certificat devrait avoir une part de marché aussi énorme que celle dont dispose Let's Encrypt à l'heure actuelle. CACert, autorité de certification communautaire existe depuis longtemps mais n'a jamais été reconnu massivement… alors que les mêmes logiciels tolèrent des autorités de certification crapuleuse (Microsoft a émis de faux certificats pour GMail & co sous la dictature tunisienne de Ben Ali afin de permettre la surveillance des citoyen⋅ne⋅s), douteuses, voire défectueuses… ;
  
  
• Défendre un modèle dans lequel les sites web peuvent émettre des certificats autosignés sans qu'un client TLS affiche un message flippant. L'authentification du certificat sera réalisée via le DNS, qui est déjà un intermédiaire technique incontournable. C'est gratuit, ça vire l'intermédiaire inutile et dangereux pour les libertés qu'est l'autorité de certification et ça corrige le problème de fond de x509 : un faux certificat émis par une autorité de certification sera rejeté par le client TLS. On est sur un modèle plus décentralisé ;
  
  
• Dégager x509, ce standard d'une complexité folle inventé par les opérateurs télécoms qui apporte aucune confiance car il repose sur le principe clé que seulement de gros acteurs seront des autorités de certification donc que ces acteurs ne pourront pas être nuisibles ni mal faire leur boulot… Too big to fail…