Radjaïdjah Blog

Mot-clé - sécurité

Fil des billets - Fil des commentaires

lundi 12 février 2024

Mistral Local - déploiement d'un modèle de langage hors-ligne

Un modèle de langage (LM) est un modèle mathématique permettant à une machine d'analyser statistiquement les composants d'un texte. Un modèle de langage vise fondamentalement à prédire le le symbole (lettre, syllabe, mot...) suivant une séquence, ce qui s'étend à la génération de texte humain. Il existe plusieurs types de modèles de langage qui fonctionnent sur différents principes, tels que les modèles n-grams, les réseaux de neurones récurrents (RNN) et plus récemment, les grands modèles de langage (LLM)[1].

Une bonne introduction pratique est Brilliant: how LLMs work (nécessite un compte).

Alors qu'il est populaire d'interagir avec des LLM come ChatGPT via une interface web qui se connecte sur les serveurs d'OpenAI, ou par des API distantes, des alternatives existent.

Entre autres, l'approche de faire tourner un modèle en local (sur son ordinateur ou sur un VPS par exemple) présente certains avantages.

  1. Fonctionnement hors-ligne, aucune connexion à Internet n'est nécessaire.
  2. Accès à divers modèles (Llama 2, Vicuna, Mistral, OpenOrca, etc) potentiellement via une interface unifiée.
  3. Respect de la vie privée : aucune information ou métadonnée n'est transmise à un serveur distant.
  4. Expérimentation: le contrôle de paramètres locaux offre une exploration en profondeur les modèles open-source.
  5. Coût : les modèles open-source sont gratuits et certains d'entre eux peuvent être utilisés commercialement sans restrictions.

Quelques solutions de traitements locaux de modèles de langage :

  • Ollama - Application open source permettant d'interagir localement avec des LLM
  • Jan - Alternative open-source et auto-hébergée à ChatGPT
  • LM Studio - Application propriétaire de Element Labs permettant d'intergir localement avec des LLM
  • oobabooga - Une interface web locale pour les LLM

À noter que ces clients utilisent llama.cpp, une librairie créée par Georgi Gerganov.

Quelques modèles à expérimenter :

sorrytobreakit-prompt-engineering.png

Ressources

Hugging Face - La plus grande communauté AI et de nombreuses ressources logicielles

LocalLLaMA - Subreddit sur les LLM locaux

There's an AI for that - Répertoire d'outils AI

Note

[1] Par souci de concision on confondra ici les LLM avec les mélanges d'experts (MoE).

lundi 10 août 2020

LineageOS sur Galaxy S10

Quatre ans après l'installation de Superman-ROM sur un Galaxy S7, voici le temps de passer à LineageOS sur Galaxy S10e (modèle SM-G973F) avec architecture Exynos (appellation beyond1lte).

Le plan
  1. Comprendre la problématique
  2. Préparer l'environnement
  3. Débloquer le bootloader
  4. Installer Magisk
  5. Rooter le smartphone
  6. Installer TWRP
  7. Installer et configurer LineageOS

Disclaimer : hacker un smartphone est à vos risques et périls, les plaintes seront transmises à /dev/null .

Lire la suite...

lundi 6 avril 2020

FAQ : attestation numérique de déplacement dérogatoire

FAQ express sur le générateur gouvernemental d'attestations de déplacement dérogatoire.

La plateforme gouvernementale a-t-elle accès à mes informations personnelles quand je génère l'attestation ?
-> Non
Est-ce que quelque chose m'empêche de générer plusieurs QR codes avec différents horaires ?
-> Non
Les informations figurant dans le QR code sont-elles chiffrées ?
-> Non
Y a-t-il un mécanisme de sécurité pouvant détecter efficacement l'antidatage de l'attestation ?
-> Non
Est-ce une bonne idée d'aller générer mon attestation sur un autre site même si je ne comprends pas trop comment ça marche ?
-> Non

Attestation Deplacement Derogatoire Piscine

Fin

lundi 24 février 2020

Attack of the Drone

Years after Tempest, an epic IT security tale is now three years old.


Source: Malware Lets a Drone Steal Data by Watching a Computer’s Blinking LED.

lundi 17 décembre 2018

5 films avioniques

Depuis cette histoire totalement fictive sur la sécurité en avion il y a cinq ans, Adams Ruins Everything a tourné Why the TSA Doesn't Stop Terrorist Attacks (avec Bruce Schneier, une des références en matière de sécurité du Radjaïdjah Blog), qui n'est pas sans rappeler Airline Security From the Carol Burnett Show.

Donc, cinq films relatifs aux avions.

Flight (2012), où un pilote sauve ses passagers d'une situation catastrophique. En fait est-ce bien un film sur l'aviation.

Airplane! (1980), l'épopée humoristique du trio ZAZ au sujet d'un vol chaotique vers Chicago, bien plus célèbre que le film qu'elle parodie Zero Hour!.

Les Ailes du Courage (1995), le récit de la disparition dans la cordillère des Andes du pilote Henri Guillaumet et des conditions de sa survie (visible au Futuroscope).

Miracle Landing (1990), le vol 243 de Aloha Airlines, plus techniquement fidèle que le récent Sully (2016), l'histoire de Chesley Sullenberger et du miracle de l'Hudson.

מבצע יונתן (Mivtsa Yonatan, 1977), une prise d'otages aérienne en Ouganda.

Pour d'autres films, voir cette collection. Et pour tout savoir sur l'écosystème aéroportuaire il y a la série britannique Come Fly with Me, ainsi que Key & Peele (Boarding Order, Turbulence).

jeudi 24 août 2017

fakenonrooted

Avertissement : suggestion à utiliser à vos risques et périls.

Problème : pour des raisons de sécurité, certaines applications Android refuseront de s'exécuter sur un smartphone rooté. Soit en affichant un message d'erreur du style "cette application ne peut pas tourner sur un téléphone rooté", soit en s'exécutant mais avec des résultats différents d'un téléphone non rooté, soit en force close-ant. Bien que légitime, ce comportement est parfois peu pratique pour les utilisateurs. Sont concernées de nombreuses applications d'identification à deux facteurs (2FA), notamment des secteurs bancaire, téléphonique, informatique, et financier. Entre autres : Barclays Mobile Banking, Australia Post, First City Monument Bank, Sparkasse, Sberbank, S-pushTAN, Verizon, AT&T, Airwatch, Orange, Virgin Media, Nintendo, Flixter, etc. Donc : comment faire croire à une application qu'un smartphone est non-rooté alors qu'il l'est ?

Solution : utiliser le module RootCloak de Xposed.

mercredi 26 avril 2017

Uncaptcha me

Celles et ceux qui ont déjà posté un commentaire sur le Radjaïdjah Blog ont remarqué qu'ils avaient dû résoudre un petit problème de maths afin de valider l'envoi de leur message.

Ceci afin d'éviter le spam des commentaires par des robots. En effet, le serveur du blog compare le résultat entré par l'utilisateur avec la solution du problème mathématique, et en cas de discordance envoie le commentaire dans un vortex du cyberespace (/dev/null pour les intimes).

En vérité cette protection élémentaire contre le spam est assez facile à contourner.

La plupart des sites voulant s'assurer que l'utilisateur est humain ont recours à des CAPTCHAs (Completely Automated Program to Tell Computers from Humans Apart).

Toute personne dotée de l'esprit d'un programmeur a un jour voulu passer un CAPTCHA de façon automatisée.

Un entraînement à cela est offert via CAPTCHA me if you can, un défi où il s'agit de se poser les bonnes questions (et trouver les bonnes réponses) afin de coder la validation automatique d'un CAPTCHA élémentaire, comme par exemple :

Uncaptcha Me

Plus généralement, root-me propose de nombreux défis ayant trait à la sécurité informatique, répartis dans diverses catégories :

  • App - Script
  • App - Système
  • Cracking
  • Cryptanalyse
  • Forensic
  • Programmation
  • Réaliste
  • Réseau
  • Stéganographie
  • Web - Client
  • Web - Serveur

Entre analyser des ELF, décoder le traffic réseau, identifier des antécédents de hashs, utiliser parcimonieusement la mémoire pour insérer des overflows, trouver rapidement un terme lointain d'une suite récurrente, retrouver une image XORée, et bien plus encore, le site root-me, une plateforme d'apprentissage dédiée au hacking et à la sécurité de l'information propose une large palette d'exercices qui ravira petits et grands.

Un test de Turing est une catégorisation de comportement parmi deux groupes : humains et ordinateurs. Un CAPTCHA est ainsi suppposé être à même de valider la preuve d'un travail humain. Ce qui s'oppose à la preuve de travail informatique (proof of work) sous-jacente à la validation des blocs au sein du protocole Bitcoin, qui est basée sur l'idée du Hashcash, originalement conçu pour... la lutte anti-spam pour les e-mails.

mercredi 8 mars 2017

The CIA Test

The CIA Test

In one single word, what did the former US president John Fitzgerald Kennedy want to do to the Central Intelligence Agency (CIA)?

Answer Answer

SplinterItIntoAThousandPiecesAndScatterItToTheWinds

lundi 15 août 2016

Clefs privées : attrapez-les toutes

Note : cet article est pour le moment plus une trame qu'autre chose, il sera mis à jour.

Une clef privée Bitcoin, c'est quoi ? C'est simplement un nombre de 256 bits. Il y a 2^256-1 c'est-à-dire environ 10^77 clefs privées. Tout nombre de 256 bits, c'est-à-dire tout nombre entre 0 et 2^256 (sauf 0), constitue une clef privée.

Le secret d'une clef privée est uniquement sa valeur. Donc, choisir une clef privée simple, c'est prendre le risque que quelqu'un la trouve et transfère les bitcoins susceptibles d'y être indexés.

Une clef privée "simple", c'est quoi ? Par exemple :

0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0001

FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF

Disons, des clefs de faible entropie binaire.

Autre exemple : les brainwallets basiques[1]. Par exemple :

$ echo -n bitcoin|sha256sum|cut -d ' ' -f 1
6b88c087247aa2f07ee1c5956b8e1a9f4c7f892a70e324f1bb3d161e05ca107b

$ echo -n monkey|sha256sum|cut -d ' ' -f 1
000c285457fc971f862a79b786476c78812c8897063c6fa9c045f579a3b2d63f

Disons, des hashs de mots du dictionnaire, rapides à inverser avec des rainbow tables. Le deuxième exemple a pour adresse 145d1kjpDo55zVWTUVphYXm8ovNfMw55Jn, qui a visiblement été utilisée.

brainflayer est un logiciel écrit par Ryan Castellucci, dont la tâche est de :

  1. calculer les clefs privées générées à partir de mots du dictionnaire, via des algorithmes simples (sha256, etc)
  2. chercher lesquelles des clefs publiques correspondantes sont dans une liste de clefs publiques donnée en argument (l'algorithme de recherche utilise un filtre de Bloom probabiliste pour gagner en vitesse)

À titre d'exemple le court fichier example.hex donné contient des clefs publiques de brainwallets générées simplement par sha256 de certains mots du dictionnaire anglais.

Les premiers tests de ce logiciel, effectués dans un but pédagogique, ont donné des résultats édifiants : Stealing bitcoin with maths.

Pour implémenter plus efficacement le concept de brainwallet, 3 éléments sont à prendre en compte :

  1. la complexité du mot de passe (password entropy) (loin d'être simple)
  2. le salage du mot de passe pour individualiser les hashs (password salting) (pour contourner les rainbow tables)
  3. la vitesse d'exécution de l'algorithme de hachage (key stretching) (sans comparaison douteuse, plus ça prend de temps mieux c'est)

Et c'est cette approche que suivent par exemple les warp wallets.

Note

[1] Autre cas, un programmeur malintentionné d'un générateur d'adresses vanity (même hors-ligne) peut très bien s'arranger pour que les clefs privées des adresses engendrées soient facilement retrouvables, ne serait-ce qu'en scannant les clefs privées candidates à partir d'une clef quelconque qu'il connaît et que le programme utilise comme point de départ.

vendredi 22 avril 2016

Un seder plus sûr

Après Bo et When do we eat?, voici en 2016 quelques consignes de sécurité pour Pessah.


Source : Fondation Charles & Lynn Schusterman.

חַג פֶּסַח שָׂמֵחַ

lundi 21 mars 2016

Insomni'Hack

Le week-end précédent avait lieu Insomni'hack 2016, avec ses conférences, ses ateliers, et son concours nocturne, avec pour partenaire, entre autres, la revue MISC.

Insomnihack 2016

Les défis du concours couvraient diverses thématiques : analyse de binaires, failles web, escalade de privilèges, etc. L'objectif pour chaque défi était de trouver un flag.

Un des défis les plus intéressants fut Smart Cat 3, un simple formulaire de ping en ligne où il était possible d'injecter du code en shell, mais avec des filtres de caractères côté serveur.

Bravo à l'équipe gagnante, Dragon Sector, de Pologne.

lundi 18 janvier 2016

Sortez couverts (II)

Suite de l'article Sortez couverts d'il y a quatre ans, cette fois plus axé sur les smartphones et tablettes sous un OS dérivé d'Android ou CyanogenMod.

Les développeurs de l'Android Market avaient pris soin d'imposer aux créateurs d'applications de lister les permissions nécessaires au fonctionnement de leurs programmes, ceux de son successeur Google Play ont été plus relax et ont fait disparaitre la permission d'accès à Internet, FULL_INTERNET_ACCESS, et de ce fait toutes les applications peuvent accéder à Internet de façon plus ou moins invisible.

Pour les utilisateurs, ce n'est pas une bonne nouvelle ni en termes de publicité ni en termes de vie privée.

Blacklister les fournisseurs de pub demande un accès root pour éditer le fichier /etc/hosts d'Android, ou dans une moindre mesure pour faire marcher une application du style AdAway. Ce qui reste moins efficace qu'éditer des règles iptables pour filtrer les applications ayant l'autorisation de se connecter à Internet, soit manuellement soit via un firewall de type DroidWall.

Concernant la navigation, il est toujours possible de se connecter au réseau Tor par l'intermédiaire de Orbot / Orfox.

Enfin, Signal (développé par Open Whisper Systems) permet de chiffrer les communications téléphoniques et les messages SMS / MMS (avec un mécanisme assez subtil pour détecter les attaques man in the middle, les remarques sont bienvenues en commentaires).

L'innumérisme devient de plus en plus handicapant.

mardi 25 août 2015

10 raisons de zapper Windows 10

Alors que c'est le 20e anniversaire de Windows 95, le temps des inquiétudes pour la vie privée dues à la présence d'un GUID (Globally Unique IDentifier) dans les documents produits par Microsoft Word est loin dernière nous.

La dernière version du système d'exploitation de Microsoft, Windows 10, est gratuitement téléchargeable sur le site de Microsoft pour les utilisateurs licenciés des versions récentes. L'entreprise a même sorti une série de 10 petites vidéos intitulée 10 raisons de passer à Windows 10 (10 reasons to upgrade to Windows 10). Ces raisons sont : Windows Store, Continuum, Music and More, Windows Hello, Security, It's Familiar, Cortana, Microsoft Edge, Xbox, Multi-doing.

Derrière ce strass et paillettes de fonctionnalités, la réalité est plus sombre, puisque Windows 10 atteint des sommets de non-respect de la vie privée. Voici 10 bonnes raisons de ne pas adopter Windows 10.

Windows 10

1. La déclaration de confidentialité est claire.

Voici un extrait de la déclaration de confidentialité (version américaine : ''privacy statement'', cf aussi cet article de Numerama) :

Les données que nous recueillons dépendent des services et des fonctionnalités que vous utilisez, et comprennent ce qui suit.

Nom et données de contact. Nous recueillons votre prénom et votre nom de famille, votre adresse email, votre adresse postale, votre numéro de téléphone, et d'autres données de contact similaires.

Identifiants. Nous recueillons les mots de passe, les indices de mot de passe, et des informations de sécurité similaires utilisées pour votre authentification et l'accès à votre compte.

Données démographiques. Nous recueillons des données vous concernant telles que votre âge, votre sexe, votre pays et votre langue préférée.

Centres d'intérêt et favoris. Nous recueillons des données sur vos centres d'intérêt et vos favoris, comme les équipes que vous suivez dans une appli de sport, les stocks que vous suivez dans une appli financière, ou vos villes préférées que vous ajoutez à une appli de météo. En plus de ceux que vous avez explicitement fournis, vos centres d'intérêt et vos favoris peuvent également être devinés ou dérivés d'autres données que nous recueillons.

Données de paiement. Nous recueillons les données nécessaires au traitement de votre paiement si vous faites des achats, comme le numéro de votre moyen de paiement (comme un numéro de carte de crédit), et le code de sécurité associé à votre moyen de paiement.

Données d'utilisation. Nous recueillons des données sur votre manière d'interagir avec nos services. Cela comprend des données telles que les fonctionnalités que vous utilisez, les articles que vous achetez, les pages web que vous consultez, et les termes de recherche que vous entrez. Cela comprend également des données concernant votre appareil, notamment l'adresse IP, les identifiants de l'appareil, les paramètres de région et de langue, et des données concernant le réseau, le système d'exploitation, le navigateur et d'autres logiciels que vous utilisez pour vous connecter aux services. Et cela comprend également des données concernant les performances des services et tout problème rencontré avec ces services.

Contacts et relations. Nous recueillons des données concernant vos contacts et vos relations si vous utilisez un service Microsoft pour gérer vos contacts, ou pour communiquer ou interagir avec d'autres personnes et organisations.

Données de localisation. Nous recueillons des données concernant votre localisation, qui peuvent être soit précises soit imprécises. Les données de localisation précises peuvent être des données du Système de positionnement global (GPS), ainsi que des données identifiant des antennes-relais à proximité et des bornes Wi-Fi, que nous recueillons lorsque vous activez les services et fonctionnalités basés sur la localisation. Les données de localisation imprécises comprennent, par exemple, une localisation dérivée de votre adresse IP ou des données qui indiquent avec moins de précision où vous vous trouvez, comme avec une ville ou un code postal.

Contenu. Nous recueillons le contenu de vos fichiers et de vos communications au besoin pour vous fournir les services que vous utilisez. Cela comprend : le contenu de vos documents, photos, musiques ou vidéos que vous téléchargez sur un service Microsoft tel que OneDrive. Cela comprend également le contenu des communications que vous envoyez ou recevez en utilisant les services Microsoft, comme :

* la ligne d'objet et le corps d'un email,
* le texte ou autre contenu d'un message instantané,
* l'enregistrement audio et vidéo d'un message vidéo, et
* l'enregistrement audio et la transcription d'un message vocal que vous recevez ou d'un message texte que vous dictez.

En outre, lorsque vous nous contactez, pour une assistance clients par exemple, les conversations téléphoniques ou les sessions de discussion avec nos représentants sont susceptibles d'être surveillées et enregistrées. Si vous entrez dans nos magasins, votre image peut être saisie par nos caméras de sécurité.

2. Par défaut, Windows 10 ne respecte pas la vie privée.

Par défaut (configuration définie lors d'une installation express), la configuration de Windows 10 donne un accès quasi-illimité à vos données à Microsoft.

Par exemple, la synchronisation des données (data syncing) envoie l'historique de navigation,les favoris, les sites ouverts, ainsi que les mots de passe des sites et des réseaux wi-fi, sur les serveurs de Microsoft.

Autre exemple, le logiciel gérant les réseaux sans fil, Wi-Fi Sense, demande par défaut à partager l'accès aux réseaux wi-fi connus avec tous les contacts. Cela dit, Microsoft a pensé à un moyen de protéger un réseau afin d'éviter cela : inclure la chaine "_optout" dans le SSID (ce qui se complique quand on apprend que la façon de ne pas être indexé par les voitures Google scannant les réseaux wi-fi est d'avoir un SSID finissant par la chaine "_nomap").

Il a été beaucoup reproché à Microsoft que ces fonctionnalités soient activées par défaut et non pas activables explicitement (par opt-in). La doctrine sous-jacente se résume ainsi : concernant la transmission de données personnelles, qui ne dit mot consent.

De nombreux sites ont explicité les nombreuses étapes à parcourir pour désactiver (opt-out) les différentes fonctionnalités affectant la vie privée. Cependant...

3. Même après configuration, Windows 10 ne respecte pas la vie privée.

Comme l'explique Swati Khandelwal en vertu d'une analyse de Ars Technica, l'assistante Cortana et le moteur de recherche Bing communiquent des informations privées à la maison-mère Microsoft même lorsqu'ils sont instruits de ne pas le faire.

4. Le consommateur devient le produit.

Windows 10 montre que Microsoft s'est mis à la politique de Google ou de Facebook : proposer des produits gratuits à l'utilisateur, en échange de leurs données personnelles.

Et comme le dit l'adage : si c'est gratuit, vous n'êtes pas le consommateur, mais le produit (voir aussi cette présentation).

5. C'est un logiciel propriétaire.

Windows 10 est un logiciel privateur, dans le sens qu'il ne permet pas d'exercer simultanément les quatre libertés logicielles que sont l'exécution du logiciel pour tout type d'utilisation, l'étude de son code source (et donc l'accès à ce code source), la distribution de copies, ainsi que la modification et donc l'amélioration du code source.

6. Il y a de meilleurs choix.

Les distributions Linux grand public comme Ubuntu ou Mint sont techniquement meilleures que Windows 10. Comme le relève Korben, une parodie de la série microsoftienne a été réalisée : 10 bonnes raisons de passer à Ubuntu 15.04.

7. Microsoft semble partenaire du gouvernement US.

Il y a 16 ans, la découverte d'une clef publique nommée _NSAKEY dans une version de Windows publiée par erreur avec des symboles de debugging ont alimenté bien des spéculations concernant une éventuelle possibilité pour la NSA de distribuer des patchs authentifiés (i.e. munis d'une signature électronique validée par le système Windows), même si Bruce Schneier n'y croyait pas à l'époque.

Cette découverte venait en écho des discours du secrétaire américain de la défense William Cohen qui déclarait début 1999 : Je suis persuadé que Microsoft comprend le lien crucial qui existe entre notre sécurité nationale et la prospérité de notre pays. (I believe that Microsoft does understand the crucial connection between our national security and our national prosperity). Mais bon, hors contexte, cette phrase ne veut pas dire grand chose.

8. Windows est vulnérable aux virus et autres malwares.

Avec diverses attaques en provenance des gouvernements américain (Regin, Stuxnet, Flame), chinois (GhostNet), russe (Red October, Turla (ciblant aussi Linux)), les utilisateurs de Windows sont des cibles privilégiées.

Ce n'est pas The Equation Group (NSA) qui dira le contraire. Utiliser un autre système d'exploitation permet d'atténuer ce type d'attaques.

9. C'est un outil d'espionnage industriel.

L'utilisation de Windows 10 au sein d'une entreprise risque de compromettre ses secrets industriels. Une société a donc intéret à réfléchir si le fait de bénéficier de la cosmétique de Windows 10 compense la divulgation à Microsoft de ses collaborateurs, accomplissements, projets, contrats, partenaires, échéances, négociations, etc.

10. Windows 10 peut compromettre un État.

En Russie, note Silicon Angle, des voix s'élèvent contre toute utilisation officielle de Windows 10 : le député Nikolai Levichev a ainsi écrit une lettre au premier ministre Dmitri Medvedev dans laquelle il souligne la possibilité pour Microsoft d'accéder aux mots de passe, contacts, emails, locations, et autres données des utilisateurs, avec un transfert potentiel des données traitées à des agences gouvernementales américaines, raison pour laquelle il souhaite bannir toute utilisation institutionnelle de Windows 10. Cet appel fait suite à une requête du député communiste Vadim Solovyov au procureur général, ainsi qu'à une plainte du cabinet d'avocat Bubnov & Associés auprès du même procureur, les deux demandes soulignant l'aspect illégal de l'accès aux données des citoyens russes par Microsoft.

Il est difficile de décrire exactement les conséquences de l'utilisation de Windows 10 par un État ou une administration telle que la France. L'utilisation au niveau gouvernemental de ce système d'exploitation octroierait à Microsoft l'accès à un stock gigantesque de données nationales, fiscales, et médicales.

Une bonne raison d'adopter Windows 10 : l'illégalité

S'il s'avère que Windows 10 contrevient à la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, alors vous pouvez porter plainte contre Microsoft et gagner un peu d'argent. Reste à voir comment les juristes interpreteront l'acceptation de la déclaration de confidentialité.

Conclusion

Si vous n'avez rien à faire de votre vie privée ni de celle de vos amis, passez à Windows 10, sinon, ne le faites pas.

lundi 2 février 2015

Lift 2015

This week will take place the Lift15 conference in Geneva (see also last year's entry: Lift14).

Selected talks:

Frederic Jacobs - The internet is insecure. Our phones are insecure. Pretty much anything we use to communicate is, after all, insecure, to some degree. And every time engineers try to make things more secure, they get amazingly complex and hard to use rather soon. But there are exceptions, and some of the most important such exceptions of the last years are TextSecure, Signal and RedPhone, mobile apps for free secure phone calls and text messages - all developed by Frederic and the team around him. After a huge wave of media attention and the recommendation of his apps by Edward Snowden himself, Frederic is currently working on his next big thing.

Stefan Thomas - Stefan Thomas wants to live in a world where currency moves as frictionlessly as information. As CTO of Ripple Labs, backed by Andreessen Horowitz and Google Venture, Stefan Thomas is helping to build an Internet protocol that does just that. Prior to Ripple Labs, he developed vast experience in digital currencies, being both the founder of, WeUseCoins.com, the largest website for novice Bitcoin users,and the creator of BitcoinJS, a software package used by a wide range of Bitcoin businesses all over the world. Now, at Ripple Labs, his overarching motivation is to weave a global value web by making it easy for developers - from individual entrepreneurs to financial institutions - to build extremely efficient money transfer systems using the Ripple protocol, and, in the end, a world in which exchanging value is as frictionless, free and fast as exchanging information.

Selected workshops:

Mapping the Most Powerful Companies in the World with Open Data - Company information is often not available and when it is, it is buried under hard-to-use websites and PDFs. Fortunately, the work of the open data and transparency community has brought a tide of change. OpenCorporates is the world’s largest open database of companies. We have information on over 70 million companies in 80 jurisdictions worldwide. With a million data points added every week, we have a great opportunity to use this open data to map corporate networks. We have launched a tool, aptly named Octopus, to allow crowdsourcing of corporate networks. Already, OpenOil has mapped the incredibly complex network of BP and Global Witness, TED Prize winner have used it to investigate Anonymous Companies. The results are surprising.

Crowdfunding Science - Everybody loves new science and technology. But why can only scientists and engineers be part of the fun of discovering or inventing new stuff? Because science is difficult, dangerous and expensive. Or is it really? Could crowdfunding be a new way of supporting exceptional people who have an idea and need some money to test it? Science and innovation do not always require big investments. They require solutions and people who communicate them to society. Crowdfunding Science will give you the opportunity to explore and design a platform to support future citizen driven discoveries.

Designing Alternative Currency Systems: How, for What Purpose and How to set the Rules? - A short round table discussion with examples of global, local and crypto-backed alternative currency systems followed by the opportunity to design your own for-purpose currency. It is strongly recommended that you look into the history of money before you attend the session by watching at least the 7 minute video “The essence of money".

New techniques in science storytelling - Ever wonder how storytelling can be applied to “non-narrative” concepts, especially those of technical or scientific nature? Join us for a special Masterclass that reveals novel narrative techniques in science communication, from dark matter to climate change, and even the scientific concept of emergence.

See you there!

lundi 8 septembre 2014

Sauver ses bitcoins de la corruption

Après avoir sauvé sa clef USB, voilà un potentiel moyen de sauver les bitcoins contenus dans un wallet.dat corrompu.

Lorsque le wallet.dat contient des erreurs, bitcoind refuse de le charger, et justifie cela par le message suivant :

EXCEPTION: St13runtime_error
CDB : Error 30, can't open database wallet.dat
bitcoin in Runaway exception

Cela traduit que suite à une erreur d'écriture ou à un quelconque dysfonctionnement, le fichier wallet.dat de bitcoind/bitcoin-qt/bitcoin-core est corrompu et illisible par le client. Or ce fichier contient entre autres toutes les clefs privées des adresses gérées par le portefeuille. 3 cas se présentent alors.

  • Vous avez une copie de secours (backup) à jour du portefeuille ou un dump des clefs privées.
  • Vous avez une copie de secours, mais pas à jour.
  • Vous n'avez pas de copie de secours, ou la copie que vous avez s'avère aussi être corrompue.

Dans le premier cas, tout va bien, il suffit de restaurer la copie ou d'importer le dump.

Le second cas peut advenir lorsqu'entre la sauvegarde de la copie et la corruption du fichier ont eu lieu des transactions. Par exemple, la création d'une nouvelle adresse de réception suivie d'un transfert vers cette adresse. Mais aussi, un envoi de bitcoin peut conduire à cette situation : une adresse A disposant de 10 BTC envoyant 1 BTC vers l'extérieur B envoie simultanément 9 BTC à une adresse de change C qui vient se greffer au portefeuille (c'est une des subtilités du protocole bitcoin pour éviter la double dépense ceci afin de dissimuler dans l'écriture publique de la transaction quelle est la dépense et quel est le reste). Si uniquement la clef privée de A se trouve sur la sauvegarde et pas celle de C, au revoir les 9 BTC si la restauration écrase le fichier corrompu[1].

Dans le troisième cas, pas de backup, il ne vous reste plus que les yeux pour pleurer.

À moins que... bonne nouvelle, il est peut-être possible de récupérer quand même vos pièces virtuelles.

Note

[1] Pour remédier à cette dernière situation, les développeurs de bitcoin ont implémenté un key pool, une sorte de réserve d'adresses libres destinées à être utilisés dans le futur. Ces dernières sont enregistrées dans le portefeuille et la réserve est rechargée en nouvelles adresses à chaque copie de secours effectuée depuis le client.

Lire la suite...

lundi 31 mars 2014

Comment fonctionne un porte-monnaie papier bitcoin

Michael Nielsen a récemment vulgarisé le fonctionnement du protocole bitcoin dans un article certes un peu technique mais néanmoins très didactique.

Cette entrée va tenter d'expliquer le principe d'un porte-monnaie papier pour les bitcoins, support physique qui peut sembler à première vue paradoxal pour une monnaie électronique.

Intro : compte = couple

Une adresse bitcoin est comme une boite aux lettres : tout le monde peut y déposer des sous mais seuls ceux qui ont la clef de la boite peuvent en retirer[1]. Par exemple l'adresse bitcoin de ce weblog est 1radjaJx4P2GNuxv58PMjE6GJZscZX9um .

Mais il s'agit d'une boite aux lettres transparente. Son contenu, et même le détails des transactions entrées/sorties de bitcoins, sont en effet publics, consultables sur la block chain. En ce sens, il est souvent possible de tracer les transactions et de reconstituer le trajet des pièces virtuelles d'adresse en adresse, d'autant plus que des outils systématiques de visualisation des flux comme Quantabytes commencent à être développés. Voilà pourquoi le réseau n'est pas anonyme.

Pour être à même de retirer de l'argent d'une boîte, il faut disposer de sa clef privée. Autrement dit le titulaire d'un compte en bitcoins possède un couple adresse publique / clef privée qu'on pourrait comparer à un couple IBAN / code secret pour accéder à son compte en ligne pour un compte en banque. Techniquement clef privée et adresse publique sont générées simultanément lors de la création d'un nouveau compte (ou porte-monnaie) bitcoin.

Mathématiquement un porte-monnaie est un couple (adresse publique, clef privée). Il s'agit donc de deux nombres. Un porte-monnaie permet de stocker des bitcoins grâce à son adresse publique, et d'en retirer grâce à sa clef privée. En pratique un porte-monnaie peut se matérialiser de différentes manières.

Le stockage à chaud (hot storage) décrit essentiellement les porte-monnaies en ligne : la clef privée est stockée sur internet. De nombreux site internet (par exemple coinbase) proposent des porte-monnaies en ligne.

Le stockage à froid (cold storage) de bitcoins consiste à entreposer ses bitcoins sur un support déconnecté d'internet. Alors que la boite aux lettres est toujours présente sur le réseau décentralisé, la clef privée est stockée sur un support physique (clef USB, papier) hors-ligne.

Le porte-monnaie papier

À l'heure où les piratages et vols de bitcoins sont légion, Alice peut légitimement se dire que garder les informations de son porte-monnaie hors-ligne est plus sûr pour éviter de perdre ses bitcoins. Elle peut donc se créer un porte-monnaie papier, c'est-à-dire un compte bitcoin où adresse publique et clef privée sont imprimées sur une feuille de papier.

Pour cela, Alice va générer un couple de nombres compatibles avec la spécification mathématique d'un porte-monnaie bitcoin, et va les imprimer, tout simplement. Cela peut tout à fait être fait hors-ligne, c'est uniquement lorsque des bitcoins seront stockés sur ce porte-monnaie que le porte-monnaie naîtra dans le réseau. Alice prendra quelques précautions pour s'assurer de l'unicité de la clef privée et ne pas la perdre, auquel cas elle n'aurait plus moyen de récupérer ses précieux bitcoins...

Historiquement les premiers bitcoins physiques furent les Casascius coins. Les 8 premiers chiffres de l'adresse publique sont gravés sur l'avers de la pièce et permettent d'accéder à l'adresse publique complète sur une liste d'adresses publiques Casascius. La clef privée est transcrite sur le revers de la pièce et protégée par un hologramme.

Casascius Coin

En pratique, plutôt que des nombres, Alice préfèrera imprimer une représentation graphique de ces nombres : des QR codes. Cela lui facilitera la vie pour les transactions, car les QR codes peuvent être facilement convertis en nombres par les smartphones munis d'une caméra et d'un logiciel adéquat (par exemple mycelium).

De nombreux sites proposent la création de porte-monnaie papier, comme bitaddress, ou Bitcoin Paper Wallet.

Porte-monnaie papier généré par bitadress

Ci-dessus, l'image d' un porte-monnaie papier à imprimer généré par bitaddress : à gauche, le QR code public pour charger des bitcoins et consulter le solde, à droite le QR code privé pour en retirer.

Maintenant, supposons qu'Alice veuille donner 1 bitcoin (฿) à Bob. Comment faire ?

  1. Elle peut transférer 1 ฿ de son propre porte-monnaie papier vers une adresse appartenant à Bob. Pour s'assurer du bon déroulement de la transaction, Bob va consulter le contenu de son porte-monnaie (qui est public). Dès que celui-ci est crédité d'1 ฿, ce qui en pratique prend environ une heure aujourd'hui, Bob est sûr d'avoir bien reçu l'argent.
  2. Une autre possibilité est qu'Alice donne à Bob un porte-monnaie contenant 1 ฿, par exemple un porte-monnaie papier. Bob peut vérifier sur le block chain que le compte contient bien 1 ฿. Toutefois dans ce cas, il est capital que Bob soit assuré que la clef privée du porte-monnaie papier n'est pas stockée ailleurs, sinon celui qui en possèderait une copie pourrait à tout moment vider le porte-monnaie de Bob !

(À suivre : chiffrement de la clef privée d'un porte-monnaie papier via BIT38, et fragmentation d'une clef privée avec l'algorithme de distribution de Shamir.)

Note

[1] C'est l'idée qui sous-tend le principe du chiffrement asymétrique (El-Gamal, RSA, Diffie-Hellman...).

mardi 21 janvier 2014

Droit international, vie privée, et internet

La Déclaration universelle des droits de l'homme définit selon l'ONU "l'idéal commun à atteindre par tous les peuples et toutes les nations".

L'article 12 de cette déclaration est le suivant : Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes.

La vie privée comme droit inaliénable de l'homme est également le point de vue de Bruce Schneier, au contraire de celui du PDG de Google Éric Schmidt.

Avec l'avènement d'internet et des technologies numériques en général, l'ONU a pensé qu'il serait de bon aloi de mettre à jour cet article avec des considérations plus contemporaines.

C'est ainsi que lors de la soixante-huitième session de l'Assemblée générale s'étant tenue il y a deux mois, l'attention de la troisième commission s'est portée entre autres sur le droit à la vie privée à l'ère du numérique (the right to privacy in the digital age). En résulta un document (original en anglais) stipulant que l'Assemblée générale :

  1. Réaffirme le droit à la vie privée, selon lequel nul ne sera l’objet d’immixtions arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa correspondance et le droit à la protection de la loi contre de telles immixtions, que définissent l’article 12 de la Déclaration universelle des droits de l’homme et l’article 17 du Pacte international relatif aux droits civils et politiques;
  2. Reconnaît le fait qu’Internet est par essence mondial et ouvert à tous et que les progrès rapides dans le domaine des technologies de l’information et des communications constituent un moteur du développement sous ses diverses formes;
  3. Affirme que les droits dont les personnes jouissent hors ligne doivent également être protégés en ligne, y compris le droit à la vie privée;
  4. Invite tous les États :
    1. À respecter et à protéger le droit à la vie privée, notamment dans le contexte de la communication numérique;
    2. À prendre des mesures pour faire cesser les violations de ces droits et à créer des conditions qui permettent de les prévenir, notamment en veillant à ce que la législation nationale applicable soit conforme aux obligations que leur impose le droit international des droits de l’homme;
    3. À revoir leurs procédures, leurs pratiques et leur législation relatives à la surveillance et à l’interception des communications, et à la collecte de données personnelles, notamment à grande échelle, afin de défendre le droit à la vie privée en veillant à respecter pleinement toutes leurs obligations au regard du droit international;
    4. À créer des mécanismes nationaux de contrôle indépendants efficaces qui puissent assurer la transparence de la surveillance et de l’interception des communications et de la collecte de données personnelles qu’ils effectuent, le cas échéant, et veiller à ce qu’ils en répondent, ou à les maintenir en place s’ils existent déjà;
  5. Prie la Haut-Commissaire des Nations Unies aux droits de l’homme de lui présenter, à sa soixante-neuvième session, ainsi qu’au Conseil des droits de l’homme, à sa vingt-septième session, un rapport sur la protection et la promotion du droit à la vie privée dans le contexte de la surveillance et de l’interception des communications numériques et de la collecte des données personnelles sur le territoire national et à l’extérieur, y compris à grande échelle, dans lequel elle proposera aux États Membres des vues et recommandations;
  6. Décide d’examiner la question à sa soixante-neuvième session, au titre de la question subsidiaire intitulée « Questions relatives aux droits de l’homme, y compris les divers moyens de mieux assurer l’exercice effectif des droits de l’homme et des libertés fondamentales » de la question intitulée « Promotion et protection des droits de l’homme ».

Cette invitation semble bienvenue à l'heure où les communications sur le réseau internet font l'objet de toutes sortes de filtrage et d'interceptions de la part de nombreuses agences et entités dans le monde, comme le souligne le rapport 2014 de Human Right Watch.

En même temps, mettons-nous à la place des services de renseignements, qui sont bien embêtés par toutes ces règlementations autour de la vie privée qui les empèchent de mener leurs enquêtes tranquillement. Les agences américaines, en virtuose de la Realpolitik du renseignement, ont appris à en faire peu de cas.

Aussi paradoxal que ça puisse paraître, la règlementation de l'usage d'internet, le réseau mondial, relève assez peu du droit international.

jeudi 28 novembre 2013

La sécurité en avion

Voilà une histoire purement fictive qui est arrivée à Simon.

Simon prend un avion depuis l'Inde jusqu'à Londres, avec une correspondance à Francfort.

D'Inde, il ramène une bouteille de Feni (liqueur locale à base de noix de cajou) achetée dans une boutique duty free de l'aéroport, qu'il met dans son sac à dos ("bagage à main").

Or, lors du transit à Francfort, au contrôle de sécurité précédant l'embarquement, Simon se fait notifier que sa bouteille, scellée dans un sac duty-free en provenance d'Inde, ne pourra pas être prise à bord de l'avion, car elle contient un liquide potentiellement dangereux. Seules solutions proposées par l'agent de sécurité : retourner au comptoir de la compagnie prenant en charge le vol jusqu'à Londres et l'enregistrer comme bagage de soute, ou simplement abandonner la bouteille de Feni.

Que faire ? Simon réfléchit à ses différentes options.

  • Enregistrer la bouteille comme bagage en soute est fastidieux et risque de coûter cher, car la compagnie aérienne fait payer pour les bagages excédentaires. Placer la bouteille dans son bagage en soute est inenvisageable, car les passagers n'ont pas accès à leurs valises durant les transits.
  • Vider la bouteille et son contenu au portique de sécurité.
  • Vider la bouteille dans un lavabo et emporter quand même la bouteille vide.
  • Boire la bouteille et emporter quand même la bouteille vide (à condition de rester en état de prendre le vol).
  • Demander à passer quand même, en arguant de la bonne foi et en présentant la facture correspondant à l'achat de la liqueur.
  • Accompagner la bonne foi d'un signe de bonne volonté. Simon a en poche un portefeuille contenant l'équivalent d'une dizaine d'euros. Mais si la corruption est facile en Inde, elle est impensable avec une somme si dérisoire en Allemagne.
  • Sortir la bouteille du sac duty-free indien et demander à une boutique de lui mettre ladite bouteille dans un sac estampillé duty-free de Francfort. Mais les commerçant refusent (à juste titre).
  • Acheter une bouteille d'eau dans un sac duty-free et la remplacer par la bouteille de spiritueux en bricolant le scellé.
  • Idem en remplaçant l'eau de la bouteille par l'alcool et en gardant la bouteille vide.
  • Répartir le contenu de la bouteille dans des récipients de moins de 100 mL et emporter la bouteille vide.
  • Passer la bouteille sur soi, le portique ne détectant que le métal et pas les liquides (ceux-ci étant détectés aux rayons X).


Au final, Simon va opter pour une solution hybride. Il va dire à l'agent de sécurité qu'il va vider la bouteille dans un lavabo et mettre dans son sac à dos la bouteille vide, inoffensive. Seulement, il va transvaser son contenu dans une bouteille d'eau qu'il va garder sur lui, dans la poche de son hoodie, et avec laquelle il passera le portique, sans objet métallique et sans aucun problème. Bilan, la bouteille et son contenu sont dans l'avion à la disposition de Simon.

Cette histoire illustre à quel point la sécurité dans les aéroports et les avions est cosmétique et illusoire, et ne réussit même pas à donner aux voyageurs le sentiment de sûreté.

Indice supplémentaire de ce fait, quelqu'un s'est amusé à construire des armes avec les objets trouvables dans les boutiques duty-free, mettant ainsi au point des engins tels le redoutable fraguccino ou le terrible blunderbusiness class (présentés sur le site Terminal Cornucopia).

Sur une note un peu différente, les vols sur les tapis à bagages à la sortie de l'avion sont quasi-inexistants car tous les passagers ont les yeux braqués sur les valises, ce qui rend difficile la tache des voleurs qui ne sont pas assurés que le propriétaire d'un bagage n'est pas en train de le surveiller. On peut parler dans ce cas de sécurité holoptique.

lundi 9 septembre 2013

De la connexion distante au surf anonyme

Vous partez en voyage et vous voulez pouvoir vous connecter à votre ordinateur ? Bref mémo.

Connexion à un serveur X distant via SSH

Activation du X Forwarding dans la configuration du démon SSH (souvent /etc/ssh/sshd_config) sur le serveur :
X11Forwarding "yes"

Éventuel passage au runlevel 3 sur le serveur :
su -c "init 3"

Génération d'une paire clef publique / clef privée RSA 8192 bits côté client :
ssh-keygen -t rsa -b 8192

Transmission de la clef publique sur la liste blanche du serveur :
ssh-copy-id login@server

Depuis les îles, connexion à partir du client :
ssh -C -X login@server

Encapsulation dans le http

Si le traffic est filtré, il peut être utile de concentrer ses flux de données au sein du protocole http (www).

httptunnel transfère bidirectionnellement des données incorporées dans des paquets échangés via le protocole http, quel que soit le contenu.

  • Écoute du serveur httptunnel (hts) sur le port TCP 8080 (par exemple), et redirection de ce qui y arrive vers le port 22 de la même machine (un local forwarding SSH) :

hts -F localhost:22 8080

  • Sur le client (htc), transfert du port de connexion SSH (2222) vers le serveur httptunnel (server:8080) :

htc -F 2222 server:8080

  • Finalement, connexion au serveur :

ssh login@localhost:2222

Si le http est bloqué à un certain endroit il reste la possibilité d'encapsuler les paquets sortants dans des requêtes ping (tunnel ICMP).

Il est également possible d'utiliser un réseau privé virtuel (VPN).

vendredi 14 juin 2013

The dark side of intelligence

Déception chez les partisans de la recherche psychédélique : en termes d'acronymes, l'association australienne PRISM a été phagocytée par l'orwellien programme de surveillance de la NSA américaine du même nom.

Le côté obscur de la surveillance

Quand on apprend que certaines agences gouvernementales espionnent Internet, il y a de quoi tomber des nues tellement c'est une surprise, à l'heure où la mode est à la protection de la vie privée et à l'habeas corpus numérique.

Internet est une panarchie électronique et constitue un terrain de prédilection pour les services de renseignements et d'espionnage, bien au-delà d'Echelon. La France n'est pas en reste, tant en ce qui concerne les sources ouvertes que les sources fermées (Frenchelon). L'industrie française peut même se parer d'une certaine expertise dans le domaine, puisque des entreprises comme Amesys vendent des solutions de Deep Packet Inspection à des gouvernements qui recherchent le contrôle national d'Internet, comme la Libye récemment.

Face à cela, les lois ne sont pas trop utiles, et les solutions techniques (le chiffrement) sont à privilégier.

jeudi 16 mai 2013

Vot'chat n'est pas perdu (grâce à son GPS)

Avec ses slogans du style mon mobile, ma vie (ou en anglais my phone, my life), les fabriquants de smartphones instillent l'idée que la vie d'une personne est dans son téléphone, voire que la personne ne fait plus qu'un avec son téléphone.

Donc la perte ou le vol d'un mobile est un événement tragique (d'ailleurs il existe maintenant un nom désignant la peur d'être séparé de son portable chéri : la nomophobie), et tout doit être mis en oeuvre pour le récupérer au plus vite.

Il est donc naturel que certaines applications aient pour but de localiser un smartphone (ou une tablette) volé ou perdu. Par exemple, Where's my Droid fonctionne sur le système Android[1] selon le principe d'une télécommande SMS : l'utilisateur préconfigure une liste de mots-clefs qui vont chacun déclencher à une certaine action lorsqu'un SMS contenant un tel mot est reçu sur le mobile : faire sonner le téléphone, envoyer les coordonnées GPS à une certaine adresse e-mail, prendre régulièrement des photos ou des captures d'écran et les envoyer, verrouiller le téléphone et formatter la carte SD (pour ne pas se faire voler sa vie)... cela fonctionne bien si la batterie n'est pas à plat ou que le voleur n'a pas réinitialisé le téléphone de lui-même.

Ce marché ne concerne pas que les appareils électroniques, et il existe aussi des équivalents hardware. Inspirés peut-être par les balises qu'on place sous la carosserie des voitures dans les films d'espionnage, des gens ont inventé des petits mouchards qui peuvent être placés dans le guidon des vélos pour les localiser après un vol. Ainsi le Spybike est muni d'une puce GPS et envoie ses coordonnées géographiques sur le site du fabricant ou sur le mobile du propriétaire.

Il existe de nombreuses technologies pour localiser des objets à distance. Avec les progrès de la miniaturisation les traqueurs se démocratisent et même si ce ne sont pas des antivols en tant que tels, ils permettent de retrouver des objets après coup ou de suivre quelque chose (ou quelqu'un) à la trace. En ces temps, la furtivité devient un art.

Notes

[1] Les utilisateurs de Mac peuvent se rassurer : Hidden fait un peu la même chose sur iOS. C'est payant, mais les utilisateurs de Mac ont l'habitude.

jeudi 18 avril 2013

Bitcoin présenté en 5 minutes

Au-delà des monnaies nationales (le Yen ¥, le Yuan ㍐) et communes (l'Euro €) ont émergé de nouvelles monnaies selon deux types de tendances opposées :

  • tendance au ''localisme'', avec l'apparition de devises locales, par exemple dans le cadre d'un système d'échange local (exemple : le dollar Ithaca).
  • tendance à la mondialisation, avec la création de devises mondiales supranationales, comme pourraient être qualifés les DTS du Fonds Monétaire International (lire par exemple cet article pour un historique ou celui-ci sur les accords de Bretton Woods).

Le bitcoin (฿ ou BTC) fait partie de la deuxième catégorie (article séminal). Il s'agit d'une monnaie électronique décentralisée (sans banque centrale), dont le stockage et les transactions combinent certaines technologies de chiffrement et un réseau d'ordinateurs à haute puissance de calcul connectés à internet, permettant d'effectuer des paiements instantanés et irréversibles sans intermédiaires bancaires. Des statistiques, incluant les fluctuations de la valeur du bitcoin depuis sa création, peuvent être observées sur bitcoincharts.

Génération des bitcoins

Le réseau bitcoin, né en 2009, est programmé pour créer 21 millions de bitcoins selon une évolution suivant une série géométrique[1]. Aujourd'hui (avril 2013) il existe environ 11 millions de bitcoins (source). Toutefois, en vertu de son format de stockage électronique, la plus petite unité monétaire en bitcoin est de 0.00000001 BTC (8 chiffres après la virgule) ; l'affichage des valeurs peut cependant être restreint à deux chiffres après la virgule. Si on appelle h฿ cette plus petite quantité[2], la masse monétaire finale de bitcoins sera de 2 100 000 000 000 000 h฿ indivisibles.

Critiques

De nombreuses critiques ont été émises vis-à-vis de bitcoin, comme dans cet article, qui reprochent entre autres :

  • L'opacité : le protocole bitcoin est ouvert. Par contre, les transactions sont cryptées, ce qui rend celles-ci difficilement traçables, donc un tremplin pour le blanchiment (bitcoin est ainsi qualifiée de cryptodevise) : Although the network makes the complete history of every Bitcoin transaction public, it can be difficult to associate Bitcoin identities with real-life identities. Pourtant, Block Explorer permet de suivre les échanges, faisant de bitcoin un système non pas anonyme mais pseudonyme. A contrario le manque d'anonymat est rejeté par ceux qui le recherchent.
  • Un système pyramidal : le reproche le plus frontal adressé à bitcoin est d'être une pyramide de Ponzi. Cet argument est repris (un peu légèrement) par Stephen Colbert dans une présentation assez sommaire (ici ou ). Le bitcoin est aujourd'hui l'or des nerds, et il ne fallait pas attendre autre chose de l'équipe du Colbert Report. Accuser le bitcoin de n'avoir aucune valeur intrinsèque et de n'être accepté que par ceux qui ont confiance en cette valeur, c'est oublier un peu rapidement qu'il en est de même pour l'argent conventionnel qui n'est que monnaie fiduciaire (c'est-à-dire basée non pas indexée sur un bien réel quelconque (étalon), mais sur la confiance de ses utilisateurs). Voir aussi cet article sur les comptes épargne et fonds d'investissement.
  • Une devise intrinsèquement déflationnaire : à terme, avec une masse monétaire constante, le bitcoin est intrinsèquement déflationnaire. En fait, si les conversions depuis et vers les monnaies classiques sont toujours possibles, l'objectif du bitcoin est de tourner en circuit fermé. Avec l'augmentation des biens et services qui acceptent cette monnaie les prix diminuent, ce qui encourage à la thésaurisation et non à la consommation[3].
  • La sécurité : La sécurité est un problème essentiel concernant les sites qui proposent de stocker les portefeuilles en ligne, comme le témoignent de nombreuses fermetures de sites dédiés à cette tâche. Cf ici ou par exemple. De plus, au niveau des fluctuations des cours, comme avec les monnaies classiques, le trading automatisé a parfois des errements avec le bitcoin, comme le relate cet article.
  • Les marchés noirs : Silk Road (dont l'adresse est uniquement accessible via Tor) place de marché anonymisée utilisant bitcoin comme monnaie d'échange. Cet excellent article sur la route de la soie mentionne aussi Black Market Reloaded, un marché un peu plus glauque où peuvent s'acheter et vendre des contrats d'élimination.
En pratique

En pratique, les principaux clients pour avoir accès au réseau sont Bitcoin-Qt et Armory. De plus certains sites proposent des plateformes d'échange, tels MtGox, TradeHill, BitMit, ou Forbitcoin. Un portefeuille est stockable en local ou sur le cloud comme Wuala ou autres. Enfin, il existe des applications Android comme Bitcoin Wallet.

Le futur

De façon assez tautologique, on peut envisager trois scénarios possibles pour le bitcoin :

  • une niche pour le paiement en ligne, utilisée uniquement par une petite communauté d'initiés
  • une généralisation de son usage à toute une population ou tout un pays
  • sa disparition suite à des attaques de pirates sur le plan technique ou d'agences gouvernementales sur le plan légal


Conclusion

En conclusion, bitcoin est une expérience, n'investissez que de l'argent que vous pouvez vous permettre de perdre, n'est-ce pas.

Le Radjaïdjah Blog a bien sûr une adresse bitcoin : 1radjaJx4P2GNuxv58PMjE6GJZscZX9um .

Radjaïdjah Blog bitcoin QR code

Addendum (mai 2013) : cet article de Wired UK sur les cryptodevises alternatives, comme Litecoin (LTC), PPcoin (PPC), Freicoin (FRC), SolidCoin, BBQCoin, Fairbrix, GeistGeld, Namecoin, Terracoin, Feathercoin, etc.

Notes

[1] Comme le précise ce court article, les bitcoins n'ont aucune « valeur » intrinsèque, le système n'est en aucune façon lié au système bancaire actuel, et permettent d'avoir une unité d'échange indépendante des banques. Afin de donner de la valeur aux bitcoins, le système rend donc leur création de plus en plus difficile avec le temps de telle sorte que leur nombre total tendra asymptotiquement vers une limite d'environ 21 millions de bitcoins. L'idée est ainsi de donner aux bitcoins un caractère analogue à celui des métaux précieux, existant en quantité finie et dont l'extraction se fait lentement et péniblement.

[2] Ce quantum de bitcoin est appelé un satoshi, en l'honneur du créateur du système Satoshi Nakamoto.

[3] C'est d'ailleurs pour ça qu'un objectif commun à de nombreuses banques centrales, y compris la BCE, n'est pas la stabilité des prix mais la stabilité de la hausse des prix. L'inflation ainsi fabriquée incite aux dépenses et aux transactions, augmentant la vitesse de circulation de la monnaie.

mercredi 9 janvier 2013

D'où provient le n° de sécurité sociale ?

Le numéro de sécurité sociale en France, ou numéro d'inscription au répertoire des personnes physiques (abrégé en NIRPP ou plus simplement NIR) est un code alphanumérique servant à identifier une personne dans le répertoire national d'identification des personnes physiques (RNIPP) géré par l'Insee. Il est construit à partir de l'état civil transmis par les mairies (sexe, année et mois de naissance, département et commune de naissance, numéro d'ordre du registre d'état civil). Il s'agit d'un « identifiant fiable et stable, conçu pour rester immuable la vie durant ».

En France, le numéro de sécurité sociale est une bonne clef primaire pour indexer les citoyens ; c'est par exemple le numéro de carte vitale de l'assurance maladie. Il n'est cependant pas parfait, entre autres car il peut exister des doublons. Mais d'où vient-il ? Selon l'article mentionné ci-dessus :

L'inventeur de l'actuel numéro de Sécurité sociale est le contrôleur général des armées René Carmille, spécialiste de la mécanographie par cartes perforées[1], qui le destinait à préparer secrètement la remobilisation de l'Armée, dissoute par l'Armistice de 1940.

À l'origine, René Carmille avait prévu un numéro matricule à 12 chiffres, appelé « numéro de Français » :

  • deux pour l’année de naissance ;
  • deux pour le mois de naissance ;
  • deux pour le département de naissance ;
  • trois pour la commune de naissance (aucun département ne comporte plus de 999 communes) ;
  • trois pour un numéro d’ordre dans le mois de naissance;

Ayant un objet civil, et non militaire, le numéro de Français devait inclure les femmes. C'est pourquoi fut ajouté un 13e chiffre en première colonne, pour le sexe, 1 ou 2. Le numéro d'identité n'est pour Carmille qu'un des éléments d'un vaste système de traitement d'informations statistiques, destinées à gérer l'ensemble des affaires économiques, civiles et militaires. Après des errements consistant à donner une signification aux chiffres non utilisés (3 à 9) de la première colonne, la première composante du numéro d’identification est définitivement limitée au sexe en mai 1945 : 1 pour masculin, 2 pour féminin. L’armée reconstituée continua d’utiliser le « numéro Carmille » et donna le nom de son créateur à des centres de recrutement, de mécanographie ou de télécommunications.

Ce que Wikipédia appelle errements est précisé dans le 20e rapport d'activité de la CNIL de 1999 :

Construit sous l’égide de l’INSEE et certifié par lui à partir d’éléments d’état civil transmis par les mairies (sexe, année et mois de naissance, département et commune de naissance, numéro d’ordre du registre d’état civil), le NIR constitue un identifiant fiable et stable, conçu pour rester immuable la vie durant. Cependant, créé sous le régime de Vichy pour classer les fichiers administratifs et établir des statistiques démographiques, le NIR a été aussitôt utilisé pour distinguer « juifs » et « non-juifs » selon les critères des autorités antisémites de l’époque, la première position du numéro relative au sexe des personnes ayant été complétée sur cette base. Cette mémoire restera attachée au NIR. Il est vrai que la structure de ce numéro pouvait faciliter de telles discriminations. De fait, le NIR est le reflet, sous forme numérique, de l’identité de chacun.

L'article sur René Carmille relate plus en détails cet historique. À la libération, le Service national des statistiques (SNS) devenait l’Insee, et le numéro Carmille devenait le numéro de sécurité sociale, toujours utilisé aujourd'hui.

Notes

[1] La mécanographie par cartes perforées, ancêtre de l'ordinateur, sera utilisée par les Nazis avec le concours d'IBM pour améliorer la logistique des camps de concentration. Cela est détaillé dans la troisième partie du film The Corporation.

jeudi 27 septembre 2012

Photo-Reset

Suite de la série "problèmes du premier monde", avec cette fois-ci : le petit univers des smartphones est en émoi après la découverte d'une vulnérabilité dans le système Android susceptible d'affecter à distance de nombreux modèles.

Lire la suite...

lundi 9 juillet 2012

RMLL 2012

Cette semaine ont lieu à Genève les rencontres mondiales du logiciel libre (RMLL), avec plus de 250 conférences, ateliers et tables rondes.

À signaler par exemple :

et bien d'autres... cf le programme complet. Il est également possible de s'inscrire comme bénévole pour aider au bon déroulement des rencontres ou de montrer une présentation éclair de cinq minutes (lightning talk).

mercredi 2 mai 2012

In the Cloud

If you need to store files online for sync or backup purposes, there are a lot of services available to you.

Dropbox, SugarSync, Box, Amazon Cloud Drive, Acrobat Cloud Drive, Microsoft Skydrive, Apple iCloud, or Google Drive offer a couple of free gigabytes for storage.

If you have security in mind, you may also think of wuala, SpiderOak, or hubiC.

Last but not least, you can make your own cloud with... owncloud.

vendredi 3 février 2012

Trop de sécurité

Avec l'avènement de l'enfant-roi, les blessures de jeunes lors d'activités ludiques ou sportives, même les plus minimes, sont à proscrire. En effet, le moindre incident donne lieu à toute une procédure ayant pour but des réparations pour le préjudice incommensurable causé. Le remède ? La sécurité absolue, le risque zéro.

Or, trop de sécurité tue les effets recherchés, et ceci éventuellement à très long terme.

Il est envisageable que ne nous ne soyons pas nés avec l'objectif de vivre dans des fauteuils.

Ainsi, aux États-Unis, les aires de jeux pour enfants sont tellement sécurisées et aseptisées qu'elles en deviennent ennuyeuses, ce qui peut être préjudiciable à la santé des enfants.

Voilà peut-être pourquoi Gever Tulley vient parler des 5 choses dangereuses que nous devrions laisser nos enfants faire, et que le meilleur livre sur le sujet reste The Dangerous Book for Boys.

mercredi 18 janvier 2012

SOPA drôle

Du 18 au 25 janvier 2012, le Radjaïdjah Blog est en mode censure pour attirer l'attention sur le Stop Online Piracy Act (SOPA) et le Protect IP Act (PIPA).

lundi 21 novembre 2011

Secrets and light

Is a book relating the history of quantum key distribution needed? For sure.

As quantum key distribution (QKD) becomes more and more used to encrypt data on networks, there is an emerging need for a popular account of its history. QKD is, after all, the first real-world application taking advantage of the quantum properties of particles at the individual level. Hence, such a book is craving to be authored. The outline could be along the lines of[1]:

  1. Motivational introduction - How real-world quantum key distribution was used in referendums in Geneva or during the 2010 soccer world cup in South Africa.
  2. Brief history of classical cryptography - as described in Simon Singh's Code Book and in Bruce Schneier's Applied Cryptography.
    1. The first steps of cryptography - Caesar, Vigenère, steganography, etc
    2. Cryptography goes professional - 20th Century: encryption systems become weapons (WWII with Enigma, DES and PGP later)
    3. A short review of modern mathematical cryptography
      • Private key cryptography: one-time pad, Blowfish, AES, ...
      • Public key cryptography: Diffie-Hellmann, El-Gamal, RSA
  3. The advent of physical cryptography
    1. An anecdotal side effect of QM formalism - Wiesner70, BB84, Ekert91
    2. The cornerstone of QKD - the no-cloning theorem
    3. Overview of a QKD scheme e.g. BB84; from the photon source to the sifted key
    4. Ideas underlying security proofs - what is the QBER, why it is important
    5. What isn't QKD
      • QKD isn't a method for encryption, but for key distribution, to be combined with symmetric encryption
      • QKD's security isn't unconditional (problem of authentication, QKA)
    6. History of QKD achievements - in terms of speed, distances...
  4. From laboratories to commercial systems
    1. Who is interested in QKD
    2. Arguments in favour of QKD
      • time-vulnerability of asymmetric encryption
      • detection of eavesdroppers
    3. History of pioneer start-ups - idQ, MagiQ, Smartquantum, ...
  5. Attacks against QKD: quantum hacking
    1. Simple attacks, simple remedies
    2. Security holes due to implementation
    3. Attacks on commercial systems as a proof of maturity
    4. Competition between defenders and attackers
  6. Connections
    1. Bit commitment
    2. Quantum private queries
    3. Positional authentication
    4. Teleportation
  7. Perspectives
    1. The problem of the unknown dimension of Alice and Bob's Hilbert space
    2. Device-independent QKD - connection with nonlocality and violation of Bell inequalities
    3. Post-modern security of QKD
  8. Technical appendixes
    1. Formalism of BB84
    2. RNG, QRNG, DIQRNG

In the end, the remaining question is: who will write it?

Notes

[1] This outline draft is likely to be updated at random moments.

jeudi 27 octobre 2011

Nanobrothers are watching you

À l'heure où l'orwellien 1Q84 de Murakami bat les records de ventes, il devient communément admis qu'il n'y a pas de Big Brother centralisé, mais qu'il existe plutôt une multitude de nanobrothers qui observent quotidiennement les us et coutumes de chacun.

Dans ce cadre, il est donc pertinent d'annoncer que le Radjaïdjah Blog va commencer à collecter certaines statistiques (location, pages visitées, etc) de ses visiteurs via piwik. Pour ne pas être pris en compte dans ces statistiques, une première chose à faire est de désactiver le javascript lors des visites. Facile.

- page 1 de 2