Humus numericus

Aller au contenu | Aller au menu | Aller à la recherche

R, Spip et autres

Mot-clé - vie privée

Fil des billets

lundi 8 mars 2010

Comment révoquer une clé PGP

Je viens de révoquer une clé PGP avec GnuPG pour une ancienne adresse mail. Voici la marche à suivre.

D’abord il faut noter l’identifiant de la clé publique que l’on souhaite révoquer. Pour cela on fait un :

$ gpg --list-keys

Et on note l’identifiant (8 caractères hexadécimaux du type A1B2C3D4). Ensuite on génère un certificat de révocation qu’on stocke dans un fichier :

$ gpg --gen-revoke A1B2C3D4 > revoke.txt

Puis on importe ce certificat de révocation :

$ gpg --import revoke.txt

On exporte la clé publique désormais révoquée :

$ gpg --export -a A1B2C3D4

On peut alors uploader la sortie de cette dernière commande sur un serveur de clé type pgp.mit.edu et d’ici peu, le monde entier sera informé que votre clé ne doit plus être utilisée.

jeudi 24 août 2006

Internet et vie privée ? Raté !

Quand on est seul devant son ordinateur, chez soi ou au boulot, on peut parfois être tentés de se croire seul, à l'abri des regards indiscrets. C'est évidemment totalement faux, mais un bon exemple vaut mieux qu'un long blabla.

Cet après-midi, je me suis amusé à regarder dans Google quelles étaient les pages qui pointaient vers ce blog (yep, c'est un peu narcissique, je sais, mais ça passe le temps). En toute fin de liste, je suis tombé sur une page située sur un serveur d'un grand organisme de recherche français (non, ça n'est pas le CNRS). La page en question ressemblait à ça :

De quoi s'agit-il ? C'est un rapport généré automatiquement à partir de l'activité d'un logiciel nommé Squid. Ce logiciel a la particularité, même si ça n'est pas sa fonction première, d'enregistrer toutes les adresses des sites webs auxquels se sont connectés les utilisateurs du réseau sur lequel il opère. Et c'est bien de cela qu'il s'agit : dans la colonne de gauche nous avons une liste de sites, et dans celle de droite les utilisateurs qui les ont consulté dans la semaine du 30 juillet au 6 août dernier. Les noms d'utilisateurs sont donnés sous la forme initiale du prénom + nom (pdurand pour Pierre Durand). Pas trop dur, donc, de repérer rapidement de qui il peut s'agir.

En naviguant un peu dans les pages, on arrive là-dessus :

Il s'agit de la liste de tous les utilisateurs classés par ordre décroissant de consommation de bande passante. On peut constater que le premier nom de la liste semble avoir été victime d'un déchaînement professionnel, avec pas moins de 2Go de trafics, tandis que le second en est à 10 fois moins. Damned, une telle activité en plein mois d'août semble être tout à son honneur. Sauf que.

Sauf que si on clique sur le nom de la personne en question, on obtient la liste de tous les sites webs qu'il a visité dans la semaine :

Bon, c'est en anglais, mais on devine assez vite de quoi il s'agit. La liste est longue, et pas franchement variée au niveau des thématiques...

Tout cela pourrait faire sourire, sauf si on se souvient que les pages en question sont publiquement accessibles par n'importe qui disposant d'une connexion Internet. Il s'agit bien évidemment d'une erreur de la part de l'administrateur système, mais il est quand même inquiétant de voir qu'en trois clics, on peut arriver à récupérer des informations personnelles plutôt gênantes sur une personne facile à identifier.

Et des données comme celles-là vous concernant, votre fournisseur d'accès à Internet en a certainement des tas. Et depuis le début de l'année, il a l'obligation de les conserver pendant un an, des fois qu'un officier de police ou des RG souhaite y jeter un oeil. Pour des raisons tout à fait légitimes, ça va sans dire.