philpep's blog

Dans ton introduction, tu oublie les gens qui ont un blog. Héhéhé

Mouais c'est pas faux. D'ailleurs je suis souvent connecté sur irc.freenode.org

Mais j'utilise dotclear (ce blog) uniquement pour ne pas avoir a tout écrire en html pur. Disons que si j'avais choisis cette voie, le site serait infiniment moche et tu ne pourrais pas laisser d'aussi jolis commentaires... Mes connaissances en html+php+bdd s'approchent de 0 alors c'est plus simple pour moi.

Mais par blog on entend beaucoup de choses. C'est juste un support pour pouvoir écrire des articles. Alors il y en a qui s'en servent pour raconter leur vie, mais moi j'ai l'intention d'en faire une sorte de contribution au logiciel libre en présentant des soft et astuces diverses. J'ai nullement l'intention de mettre mes photos de vacances ici. D'ailleurs ça me fait penser a faire un article sur l'Internet libre ou Minitel 2.0 (allez, google est ton ami).

Maque caldo !

Penses tu que MSN ou yahoo valent mieux que SKYPE. en tout cas moi je pense que les autres aussi font pareil seulement c'est peut être parce que tu ne pourras pas le prouvé que tu n'en parle pas. moi je laisse tombé.

Alors MSN et Yahoo c'est un autre problème. C'est plutôt sur le contenu qu'ils peuvent fouiller, mais là on ne pourra jamais le prouver (a moins d'avoir accès au serveur central ou passent toute les données).

Après, le client MSN de microsoft n'existe que sur Windows donc pas moyen de surveiller ce qu'il fait, de le chrooter ou autre... Mais je crois qu'il est sortit sous Mac OS qui est basé sur un noyau BSD libre (oui c'est du pillage de code) et là les outils existent... Sinon les client MSN alternatifs existent contrairement a skype (il y a une alternative mais non compatible avec skype : Ekiga). Mais le problème de protection de la vie privée est encore plus grand avec MSN car toutes les données passent pas un serveur central sur lequel Microsoft peut faire des gros logs à votre nom et les logiciel d'analyse des conversation pour sortir les centre d'intérêt existent. C'est le même problème avec yahoo (mail) et gmail etc. (Tout ça est très bien expliqué par un prochain billet sur l'internet libre que je vais faire prochainement :)

Je viens de faire cette démarche en vidéo pour ceux qui ne pourraient pas vérifier par eux-même (les windowsiens entre autre ^^)

http://www.youtube.com/watch?gl=FR&hl=fr&v=mBLq2tCrBRA

La qualité laisse à désirer, mais ça vient de youtube, pas de moi ...

Ce serrait cool de rajouter des alternatives dans ton article :). Ekiga 3 est très bien pour linux mais ne fonctionne malheureusement pas sur mac et xmeating ne permet pas les messages text...

Merci

y a t il un moyen de bloquer l'acces de skype au répertoire ~/.mozilla ?

On peut aussi désinstaller Firefox : p. Blague à part, j'utilise personnellement Opera, et pas du tout Skype, MAIS, dans la même veine, j'ai l'impression que Opera fait le même genre de magouille lorsque j'utilise les raccourcis dans la barre d'addresse (par ex: "g philipep" pour rechercher sur google), en redirigeant d'abord ma recherche vers leurs serveurs, puis le site. A vérifier ? PS: je découvre ce blog, il me plait bien ; )

@gargarine : bonne idée, je vais rajouter un lien pour présenter Ekiga.

@Maxmerx : Ce n'est pas possible directement puisque skype tourne avec les mêmes droit que l'utilisateur. Mais il est possible de le faire tourner sous un autre utilisateur. Ou bien de le chrooter : http://fr.wikipedia.org/wiki/Chroot

La meilleure méthode consiste quand même à essayer de faire passer vos contacts vers des logiciels et des protocoles plus transparents.

@tecd : Je te laisse faire un strace sur Opéra, la méthode est la même. Après de réputation Opera est un soft assez respectueux des utilisateurs, et plus respectueux des standard du web (plus que firefox même). De toutes manières, strace ne renvoie que ce qu'il se passe sur la machine, on peut voir quelques informations sur les sockets, mais globalement ça ne permet pas de dire avec exactitude ce qu'il se passe sur le réseau. D'autres outils le permettent mais je sais pas encore bien m'en servir (j'y travaille :)

"Accepter la licence ---> accepter qu'on collecte des information sur moi."

en même temps tu le cherches bien :D

j'avais pas coché cette case, lue trop vite ce que tu voulais qu'on fasse, c'est déjà ça il ne collecte pas les informations "à l'insue de ton plein gré" :)

PS: tu remercieras sebsauvage.net qui t'as fait un lecture de plus !

Bonjour,

Il n'y a rien de probant dans ce strace... Skype ne fait que des appels à stat64(), ce syscall lui permettra uniquement d'obtenir des informations bateau (propriétaire, taille du fichier, dates de dernière modification/accès, date de création, ...)

Dans ce rapport, il n'y a donc rien que l'on pourrait réellement considérer comme étant intrusif, peut-être devrais-tu vérifier si skype lit le contenu de ces fichiers...

Frédéric

réponse à Le lundi, janvier 5 2009, 10:40 par philpep : " Mac OS qui est basé sur un noyau BSD libre (oui c'est du pillage de code)"

Ce n'est pas du pillage. Le code est libre et réutilisable dans un soft fermé. Il ne faut pas exagérer : Apple n'a rien pillé.

Il n'est pas possible de savoir s'ils sont envoyés à la maison mère.

Sur slashdot, un gars détaille les accès : http://yro.slashdot.org/comments.pl?sid=280049&cid=20362721

Il me semble que l'on peut faire ça sur windows (le traçage de programme) mais je ne crois pas que se soit avec des commandes, mais plutôt avec un (ou des) logiciel. Ce serait intéressant d'approfondir de ce coté.

PS: je découvre ce blog, il me plait bien ; ) PS: tu remercieras sebsauvage.net qui t'as fait un lecture de plus ! => Idem !

Pour savoir ce qui s'envoie par le réseau (et donc savoir si Opera envoie autre chose que des requêtes HTTP demandées...), Wireshark c'est génial (et c'est libre, enfin je pense puisque je l'ai sous GNU/Linux).

Skype et MSN, du pareil au même ? Jabber serait-il le seul système d'IM vraiment sûr ? :-°

PS : tu remercieras encore SebSauvage.net :p

@Fred , tu as tout a fait raison. En fait ça fait un moment que sais qu'il faut que je modifie ce billet pour y apporter plus de précisions. Oui il ouvre tout le répertoire ~/.mozilla récursivement : grep open skype.log | grep mozilla | wc -l donne 254. (Pour les non initiés je compte le nombre de lignes qui contiennent open et mozilla dans le fichier). Avec le log que j'ai (je ne l'ai pas fait tourner très longtemps) je ne peux pas affirmer qu'il ouvre effectivement le fichier bookmarks.html. Par contre il touche effectivement aux fichier de sauvegarde. grep open | skype.log | grep mozilla | grep bookmark | wc -l donne 4 (mes 4 fichier de sauvegarde). Mais pour moi c'est déjà trop intrusif. Sans doute il prend bien soin de ne pas toucher celui là car ils savent qu'il y a des outils pour savoir quel processus à touché a tel ou tel fichier.

Par contre je n'ai pas vérifié qu'il a lu des entrées dedans car les syscall read prennent comme argument le file description (int fd) et j'ai pas envie de m'amuser a comparer le retour des open et le fd de chaque read. (le fichier fait 192195 lignes :-)

@Benoit : Oui, c'est du pillage de code, il est légal (code BSD) mais il n'empêche que c'est dégelasse d'en faire un système d'exploitation aussi fermé que Mac OS. D'autant plus que Apple se cache bien de nous informer sur l'origine de son code. Je suis sûr que pas même 1% des utilisateurs de Mac OS connaissent Darwin (qui est dérivé de FreeBSD).

hop, un petit retour sur mon histoire avec Opera. Je n'ai pas utilisé Wireshark, je jetterai un oeil, mais SmartSniff (sous windows) pour voir un peu les sites contactés et les trames. 2 résultats probants, et après recherches voilà ce que j'ai appris : 1/ redir.opera.com est utilisé pour la recherche rapide, avec certains moteurs (ex Amazon, voir dans la config), déjà un qui passe par la Norvège ; )

2/ sitecheck2.opera.com celui là date de la version 9.5 et sert comme anti malware. (voir http://voices.washingtonpost.com/se...), cette fois aussi on passe par les Norvégiens, mais il est vrai qu'ils ne peuvent pas faire grand chose des infos récupérées (et non loguées Cf le lien). Après on en pense ce qu'on en veut. De plus on peut le désactiver.

Donc voilà, il y a bien quelques infos que Opera récupère. Cela faisait quelques temps que je voulais faire cette petite "étude", ça en apprendra peut-être à d'autres. Maintenant, on fait confiance ou pas, on est en plus libre de ne pas passer par ces adresses. De mon côté, je garde ce super browser ; ).

PS: il y en a du monde qui suit sebsauvage ici!, +1 lecteur ; )

Et tu as eu du spam ?

Parce que concrètement, la collecte d'information elle sert à quoi ?

Non, non, je n'ai pas eu de spam à cause de ça. De plus à priori aucune information "privée" n'est envoyée, juste les termes des recherches, ou les noms des sites. Concrètement, la collecte d'infos ça peut servir à plein de choses, ça se vend cher, mais là ce n'est pas particulièrement intéressant. Sans être parano, ou prendre Opera pour Big Brother, de toute façon on laisse bien plus d'informations sur les sites qu'on visite que grâce à ces quelques requêtes. Maintenant, si quelqu'un en sait plus, je suis preneur ;).

Hmhm, stat64 c'est assez innofensif comme fonction quand même, ça fait juste lire les meta-données sur le système de fichier, ça accède pas au contenu. Cf. http://manpages.debian.net/cgi-bin/man.cgi?query=stat64

Ça enlève rien au côté intrusif de Skype, juste c'est pas le bon argument.

Et Fred l'avait déjà dit avant moi…

A propos de MSN, je n'ai pas de preuve mais si vous abordez souvent un même sujet avec vos contacts, vous remarquerez probablement comme pour moi une augmentation publicités qui s'y rapportent.

Si on est sur OSX et qu'on veux aussi voir ce qui se passe avec Skype, on a DTrace, et en l'occurence un outil qui s'en sert: iosnoop.

> ps aux | grep Skype
vinz 99860 3.4 2,3 594304 47596 ??S Mer12 70:37.43 /Applications/Skype.app/Contents/MacOS/Skype -psn_0_8706125

> sudo iosnoop -p 99860

bon pour l'instant j'ai rien vu de bizarre.

Le filtrage niveau serveur existe sous MSN (tous les messages passent par les serveurs MSN), l'autre jour je m'en suis rendu compte en tentant de faire passer cette adresse à un contact : http://www.teamviewer.com/fr/download/index.aspx (copier coller). Impossible tout simplement...

"On comprend pourquoi peu d'éditeurs de logiciels tous pourris propriétaires ne portent pas leurs logiciels vers les OS libres comme GNU/Linux de peur qu'on puisse prouver leurs caractère intrusif."

Désolé mais je ne vois pas le rapport, Microsoft fournit gratuitement de quoi découvrir ce genre de comportements. D'accord ce n'est pas de base, mais c'est fournis sur leur site officiel dans les sysinternals : http://technet.microsoft.com/en-us/... J'invite ceux qui pensent que sous windows on ne peux pas surveilelr ce que fait tel ou tel logiciel a suivre ce lien.

Sinon, pourquoi avoir cité IRC au début ? oO Ce protocole est ouvert et il existe pléthore de serveurs, services et clients IRC libres. Avec en plus le côté décentralisé des serveurs, je ne vois vraiment pas ce que IRC vient faire parmis toutes ces "choses"...

Mis a part ces points, on est bien d'accord sur le fait qu'il ne faut pas utiliser ce genre de logiciels intruisifs. D'ailleur Skype a été banni des universités françaises par la sécurité nationale depuis quelques annés, ce n'est pas pour rien.

Leur message d'adieu est d'autant plus comique. http://images4.hiboox.com/images/0609/4b214f55a81ba98e8f92e15710117b12.png?3

"Heureusement Firefox crypte les mots de passe qu'il enregistre (imaginez un tableau avec le login et le mot de passe de votre banque ou encore de votre compte paypal)."

Sauf que j'ai une mauvaise nouvelle. Ce cryptage n'a rien de sûr. Encore ce weekend j'ai testé différente application sur une VM (je suis pas fou) permettant de retrouver le mot de passe MSN et Skype en local sur un PC! Il suffit juste que la personne s'y soit connecté une fois sur ce même PC. Allusinant, c'est instantané en plus ca fait peur.

Et quand on fouille le net on trouve la même chose pour Firefox :D. Bref s'ils veulent nos mot de passe ils pourront les avoir.

Skype alias SpyKe...

Tu l'a fais, ils l'on vu... Tu la écrit, il l'on lu... ... Et ce que t'a dit, l'ont il entendu ?

OMFG ! En voilà un billet EXTREMEMENT constructif. Au moins, c'est pas du FUD, mais ça fait tout aussi peur, voir plus, une fois qu'on a suivi la démarche.

Et je vous renvoie vers http://doc.ubuntu-fr.org/skype et apparmor pour espérer bloquer ces comportements malicieux. En tout cas, ça en fait un belle argument pour expliquer le danger des logiciels propriétaires !!!

Encore merci, ça a animé ma soirée :)

http://www.infos-du-net.com/actualite/14567-skype-chine-espions.html http://www.securityvibes.com/skype-chine-censure-tom-jsaiz-news-967.html et voila des liens qui vous montreront qu'ils sont aussi TRES soucieux de respecter la vie privée des gens, surtout en Chine, comme Yahoo qui en son temps avait dénoncé un dissident sans y être obligé, juste pour montrer leur bonne volonté vis à vis du gouvernement chinois.

@philpep, tu fera gaffe, t'as de la bave qui coule à flot la.

... Mac OS qui est basé sur un noyau BSD libre (oui c'est du pillage de code) »

Tu m'expliquera en quoi c'est du pillage de code ? Ça m'intéresse :)

Du code sous GPL utilisé/modifié vers un soft proprio je veux bien, mais pour la licence BSD ou seul le copyright dois être gardé ca ne l'est pas.

Sans compter qu'Apple contribue en retour au projet Freebsd.

M'enfin bonm le temps ne fait rien a l'affaire.

Sans aimer qu'un logiciel fouille dans mes 'bookmarks' je ne vois pas dans la sortie de strace comment skype voit :

" # Votre nom (Donc votre adresse et votre numéro de téléphone se trouve dans tout bon annuaire) # Votre adresse mail (indispensable pour tout bon spammeur) "

J'ai juste l'impression qu'il regarde les pages que l'on consulte mais pas plus (ce qui néanmoins est déjà une violation de ma vie privée à mon sens).

Là je fais référence aux information que tu lui donne au début (inscription).

Les deux types de données sont respectivement inoffensives mais redoutables quand tu les mets en relation.

Bonjour, je viens lire l'ensemble du blog. Très intéressant et instructif au passage.

Je voulais juste informer que la "Déclaration de confidentialité" de Skype exprime noir sur blanc cette collecte d'information et l'utilisation qui en est faite.

Paragraphe 4: "Sauf dispositions contraires ci-dessous, Skype ne vendra, ni ne louera, n'échangera ou ne transférera des données personnelles et/ou de trafic ou du contenu de communication à des tiers sans votre autorisation expresse, sauf dispositions légales ou ordonnances contraires par les autorités compétentes."

Paragraphe 5:

"5. QUE SONT LES COOKIES ET LES FICHIERS GIF, ET COMMENT SONT-ILS UTILISÉS PAR SKYPE ?

Les cookies sont des informations que le navigateur du client logiciel Skype ou votre navigateur Internet peut stocker sur le disque dur de votre ordinateur. Les cookies permettent à Skype de : vous reconnaître ou de reconnaître vos préférences, d´obtenir des informations sur l´utilisation de ses sites Web et d´améliorer ses produits et ses sites Web. Ces informations peuvent être analysées par un tiers pour le compte de Skype.

[...]

Publicité tierce

Les publicités affichées sur nos sites Web vous sont transmises par nos partenaires publicitaires sur le Web. Ces partenaires publicitaires peuvent utiliser des informations identifiables non personnelles (informations de navigation, type de navigateur, heure et date, thème des publicités ayant reçu un clic ou ayant été survolées, par exemple) lors de votre consultation de ce site Web ou d'autres sites Web afin de présenter des publicités pour des biens et services susceptibles de vous intéresser. Ces sociétés utilisent généralement un cookie ou une balise Web tierce pour collecter ce type d'informations. Pour en savoir plus sur ces pratiques publicitaires ou pour ne pas être sollicité, vous pouvez consulter la page http://www.networkadvertising.org/."

Bref, une sorte de Spyware "légal" quoi.. Je ne pense pas qu'ils aillent fouiller des données ultra-confidentielle, mais uniquement de quoi adapter leur produit au type d'utilisateur. Donc, pas de quoi s'alarmer au niveau sécurité, selon moi.

En même temps, un système unix est multiutilisateur, celui qui ne veut pas que ses marques-pages soient analysés par skype utilise un utilisateur pour surfer et un autre pour skype.

Je ne pense pas que skype va jusqu'à essayer de sonder tous les répertoires utilisateurs du /home, le système ne lui permettrait pas.
Ce que je dis n'enlève rien au caractère intrusif de Skype mais il y a quand même des parades.

Sinon, pour l'histoire BSD/Apple, on peut dire à la décharge d'apple que pendant l'installation de MacOS, il y a le message :

"Installation du système de base BSD"

(ou quelque chose comme ça, ça fait très longtemps que j'ai pas touché un cd d'OSX, ma mémoire n'est donc peut-être pas tout à fait exacte)

J'admets que c'est peu et j'en profite pour encourager tous les utilisateurs d'apple et de windows à remplacer leurs systèmes d'exploitations par des Linux et des BSD!

Sus aux logiciels et systèmes d'exploitation propriétaires!

Question, si ce sont des open au lieu des stats, ça veut dire qu'il accède au contenu?

@serious : Encore faut il qu'il y ait des read() qui correspondent au descripteur de fichier (un int) renvoyé par open(). C'est pour ça que c'est tendu à vérifier. (sinon d'après ce que j'ai pu lire, skype ne fait plus tout ça dans les dernières versions, ce billet est vieux).

J'ai la dernière version dispo sur http://www.skype.com/intl/fr/download/skype/linux/choose/ C'est la 2.1.0

J'ai ça dans mon log open("/home/XXX/.mozilla/firefox/XXX.default/prefs.js", O_RDONLY) = 28

[pid 11111] read(28, "# Mozilla User Preferencesnn/* D"..., 4096) = 4096 pleins de lignes du même genre, donc il lit le prefs.js, non? Il fait ça avec opera.ini aussi.

Il me stat ou open tous les fichiers de .mozilla (donc toutes mes extensions) mais ne les lit pas.

@serious: Ben là oui effectivement il lit ton pref.js, mais quand on leur à reproché ils disent que c'est pour l'autoconfiguration d'un éventuel proxy qui serait configuré dans firefox. Mais bon, c'est déjà pas très net comme pratique.

@philpep: l'autoconfiguration des proxies et du nat, c'est le point fort de skype. Ca n'a donc rien de de surprenant. Tu n'as qu'a regarder le contenu de prefs.js, c'est pas complique, y'a rien de tres sorcier dedans.

C'est un peu con de s'exciter sur Skype pour ce faux probleme alors qu'il y a tellement de problemes de respect de la vie privee ailleurs. Je note par exemple que Skype crypte implicitement toutes ses connexions, ce qui n'est toujours pas, je crois, le cas d'Ekiga. Pas vraiment de leur faute puisque les standards ouverts de vouape ne le supportent pas ou pas depuis longtemps.

@niczar:

C'est un peu con de s'exciter sur Skype pour ce faux probleme alors qu'il y a tellement de problemes de respect de la vie privee ailleurs. Je m'excite pas, je me renseigne pour prendre une décision, c'est différent. Je suis d'accord que si on n'a pas confiance en skype pour respecter les droits des utilisateurs, c'est idiot au départ de l'utiliser pour ses conversations privées et professionelles, longtemps avant de s'inquiéter des fichiers auxquels il accède.

Tu n'as qu'a regarder le contenu de prefs.js, c'est pas complique, y'a rien de tres sorcier dedans. Au passage, dans prefs.js il y a des infos sur les patterns adblock par exemple, ça peut avoir un intérêt pour des publicitaire de savoir combien d'utilisateurs de skype utilisent bloquent les pubs et avec quels patterns. Autre chose, pourquoi le scanner à chaque fois une fois les infos sur les proxy (j'en ai pas) déjà glanées?

Perso, je vais créer un utilisateur qui ne servira qu'à lancer skype.

ce qui n'est toujours pas, je crois, le cas d'Ekiga. Pas vraiment de leur faute puisque les standards ouverts de vouape ne le supportent pas ou pas depuis longtemps. Ce qui est de leur ressort, c'est que ça fait des années que j'essaie d'utiliser ekiga, et que ça reste une galère astronomique. A mon dernier essai,il n'arrive pas à s'identifier et me balance des messages qui ne renseignent absolument pas. Impossible de trouver la nature du problème. J'ai regardé sur les forums des autres distros, j'ai vu pas mal de problèmes, ça reste une loterie.

Ce n'est pas de gaité de coeur qu'on utilise skype.