#Pistage – épisode 1 : à la découverte des cookies

#Pistage – épisode 1 : à la découverte des cookies

Aujourd’hui commence une (courte ?) série d’articles concernant le pistage en ligne, la publicité, les cookies… L’objectif est double : permettre à « M./Mme Tout-le-monde » de découvrir cet écosystème, et (mais plus tard) de se doter d’un premier kit d’outils pour limiter ce suivi. C’est parti pour le premier volet.

Pourquoi ce sujet, pourquoi maintenant ?

Pas compliqué : le confinement qui se « termine » aura vu le télétravail exploser, mélangeant souvent les usages pro et perso sur une même machine. Avec aussi plus de temps à la maison, plus de navigation personnelle souvent sur smartphone, plus d’utilisation d’applications, du média social au site d’information en passant par le streaming vidéo et la visioconférence.

Certain(e)s ont donc remarqué que de façon surprenante (non) les recommandations publicitaires apparaissant sur smartphone ou dans un navigateur s’étaient affinées, et se posent la question du pourquoi. On va tenter d’y répondre, sans rentrer dans une idéologie qui pourrait effrayer, sans présumer d’un niveau de connaissance élevé du lecteur qui s’en trouverait largué dès les premières lignes, comme c’est trop souvent le cas sur ces sujets. Allons-y.

Lire la suite
À la découverte de l’ISO 27701

À la découverte de l’ISO 27701

Aaah les normes ISO… toujours difficile d’entrer dans cet univers lorsqu’on est juste curieux et que les attendus ne valent pas instinctivement l’investissement. Investissement de temps et de concentration, d’une part, et financier d’autre part, ces documents étant plutôt chers. Barrières supplémentaires pour le néophyte : le vocabulaire utilisé est souvent bien spécifique à l’activité visée par la norme… quand il est traduit. Dans le cas de l’ISO 27701, elle n’est disponible qu’en anglais à ce jour.

Votre serviteur a donc pris le temps de lire (3 fois) cette norme et de vous offrir une porte d’entrée vers cet univers. Vous venez ?

Lire la suite
#RGPD : Les « dark patterns », ou comment s’asseoir sur le Règlement

#RGPD : Les « dark patterns », ou comment s’asseoir sur le Règlement

Vous l’avez sûrement remarqué, que ce soit pour exprimer vos préférences vis-à-vis des cookies sur d’innombrables sites web, ou au travers de diverses applications mobiles, réseaux sociaux… Quand bien même on vous demande de « revoir vos paramètres », il y a des dizaines (voire des centaines dans certains cas, coucou Yahoo) de cases à décocher, alors que c’est pénible et que c’est supposé être un véritable « opt-in » (à savoir, une inscription qui nécessite une véritable action positive de votre part, comme un clic dans une case).

Du côté des gros affamés de données (Google, Facebook), c’est la même, en plus chafouin. Tout est pensé pour que la collecte de données personnelles puisse continuer à avoir lieu. Le tout bien caché derrière un petit assistant en 4-5 écrans qui vous explique que olala le RGPD on l’a bien pris en compte. Et quand vous creusez… C’est la cata.

Toutes ces techniques, on les appelle les « dark patterns » (eux-même partie intégrante de la « captologie »), et l’équivalent norvégien de l’UFC Que Choisir (le CCN, pour Consumer Council of Norway) les a documentées, fort précisément (mais en anglais). Du coup, je vais vous résumer leur rapport, qui se concentrait sur 3 acteurs : Facebook, Google, et Microsoft (au travers de Windows 10).

Lire la suite

#RGPD : 10 recommandations de sécurité informatique

#RGPD : 10 recommandations de sécurité informatique

Je ne vous apprends rien : garder un système informatique sain et sécurisé n’est pas simple et demande du temps, des ressources humaines et financières, et une certaine expertise. Si en plus ce système héberge des données à caractère personnel, alors garantir la sécurité de votre système devient une obligation légale.

Évidemment, ces mesures dépendent avant tout de votre activité. Et ce n’est pas forcément super cher (la sécurité n’est pas un produit qu’on achète, contrairement à ce que voudraient vous faire croire les vendeurs de caméras et de pare-feux). Il y a de bonnes solutions gratuites, ou peut-être que vous disposez déjà de solutions adaptées sans le savoir : il suffit alors de les activer 😉

Bref, profitons de l’arrivée du RGPD pour balayer un peu les mesures que vous devriez mettre en place pour assurer la sécurité des données que vous traitez.

Lire la suite

SMSSecure : le retour des SMS chiffrés

SMSSecure : le retour des SMS chiffrés

Vous qui traînez ici parfois, ou pas d’ailleurs, vous connaissez probablement TextSecure de longue date. TextSecure est une application Android visant à remplacer celle fournie de base dans ce système d’exploitation pour vos envois de SMS/MMS. Pourquoi un tel remplacement ? Simplissime : ajouter plusieurs couches de sécurité pour vos échanges via SMS/MMS, qui seront chiffrés sur le téléphone, et durant leur transit. Cerise sur le portal cake, on peut aussi protéger l’accès à l’application par mot de passe.

Sauf que TextSecure a évolué dans une direction qui ne convient pas à nombre d’utilisateurs, dont moi. On va donc revenir sur ce qu’était TextSecure, sur ces fameuses évolutions, et sur la toute jeune alternative : SMSSecure.

Cet article est « adapté aux débutants » : vous y trouverez normalement toutes les précisions nécessaires, ainsi que des renvois vers d’autres articles et/ou des pages de Wikipédia, notamment sur les sigles (ça aurait fait un sacré pavé sinon). Notez que les liens vers Wikipédia apparaissent en violet !

Lire la suite

Réseau TOR : principe de fonctionnement

Réseau TOR : principe de fonctionnement

Suite à quelques questions un peu partout auxquelles je réponds généralement oralement, et surtout suite à un commentaire sur le tutoriel pour créer son propre site en .onion , je me rends compte que je parle régulièrement de TOR, mais que je ne vous ai jamais expliqué son mode de fonctionnement, pas toujours simple à appréhender quand on ne connait pas. Attention, je dis pas que c’est super compliqué ; juste, ça ne s’invente pas. On va donc voir ensemble et de façon relativement générale l’architecture de ce réseau.

Lire la suite