Archive for the 'Paranoia 101' Category

Statistiques sur les mesures ANFR (Agence Nationale des Fréquences)

Thursday, June 4th, 2009

À force de lire des articles sur les ondes pulsées du réseau GSM, qui nous émettraient trop fort dans les cerveaux, provoquant des cancers et des maux de têtes (mais pas dans cet ordre), j’ai voulu voir par moi-même l’étendue des dégâts concernant ces antennes.

Il paraît que le consensus scientifique est qu’un seuil d’exposition inférieur à 0.6V/m est réputé non dangereux pour la santé, et certaines associations comme Robin des Toits militent pour atteindre un tel seuil partout sur le territoire. Le but est noble, mais le ton alarmiste et je n’aime pas le ton alarmiste, surtout que les médias relaient (héhé) bien souvent les cris Au Loup sans aucune analyse derrière.

N’étant jamais si bien servi que par moi-même, après avoir regardé sur le site de l’ANFR, Cartoradio, à combien de V/m j’étais exposé à la maison, et après avoir trouvé ces chiffres (entre 0.11 et 0.51 V/m selon la bande) très peu inquiétants, je me suis demandé si j’étais juste chanceux ou si la plupart des antennes relais arrosaient déjà relativement peu.

J’ai donc enregistré toutes les pages de mesures de l’ANFR de la numéro 1 à la numéro 16328, modulo celles qui n’existent pas, grâce à ce script ; notez bien qu’une pause de 2 secondes a été insérée entre chaque enregistrement, pour le cas improbable où j’aurai pu mettre leur serveur à genoux à moi tout seul.

Profitant du fait que chacune des pages est sur le même modèle, j’ai ensuite extrait les valeurs correspondant aux émetteurs GSM avec ce script vers ce fichier CSV, que j’ai ensuite importé dans une base MySQL (car je suis nul en tableur) afin de pouvoir manipuler toutes ces données. Pour ceux qui sont nuls en base de données, il est aussi possible de l’importer dans un tableur en utilisant le séparateur de champ “,”. Pour ceux qui ne font pas confiance au fichier CSV, mes scripts sont disponibles pour le refaire.

Voici quelques résultats. J’ai été surpris de voir le niveau moyen et médian augmenter au fil des années : j’aurais pensé que, la technologie évoluant, les émissions auraient nécessité moins de puissance. J’ai aussi été surpris de voir une médiane inférieure ou égale à 0.6V/s : suite au bourrage de crâne des médias, je supposais qu’on était assaillis d’ondes néfastes en permanence. Ceci dit, ce schéma sur la FAQ de l’ANFR a tendance à montrer qu’il faut, pour être irradié dans les règles de l’art, se mettre pile en face d’une antenne relais. En dessous, on ne risque pas grand chose.

Quant au wifi, à 0.3V/m à 40 centimètres de la borne, à mon avis, ce n’est pas vraiment la peine de flipper du hotspot de l’hôtel d’à côté. Robin des Toits mentionne aussi la dangerosité du Bluetooth (portée de 10 à 100 mètres) ou encore des tags RFID (portée de quelques centimètres dans la majorité des cas – on trouve par exemple un tag RFID dans les systèmes de déverrouillage de portes à ventouse) ; de mon côté, j’émets (huhu) quelques doutes là dessus. L’ANFR ne mesure même pas ce type d’émission.

Ceci dit, on fait dire ce qu’on veut aux statistiques, donc j’enjoins quiconque est intéressé de faire ses propres statistiques, à partir du fichier CSV, et de me prouver que mon cerveau est déjà fondu.

Quelques chiffres que j’ai trouvé intéressants :

Nombre total de mesures : 14829
Nombre de mesures avec signal <= 0.6 V/m : 9584 (64.63 % du total) (entre 0 et 0.6 V/m :9584 – 64.63 % du total)
Nombre de mesures avec signal <= 1 V/m : 11500 (77.55 % du total) (entre 0.6 et 1 V/m :1916 – 12.92 % du total)
Nombre de mesures avec signal <= 2 V/m : 13429 (90.56 % du total) (entre 1 et 2 V/m :1929 – 13.01 % du total)
Nombre de mesures avec signal <= 4 V/m : 14353 (96.79 % du total) (entre 2 et 4 V/m :924 – 6.23 % du total)
Nombre de mesures avec signal <= 10 V/m : 14780 (99.67 % du total) (entre 4 et 10 V/m :427 – 2.88 % du total)
Nombre de mesures avec signal <= 20 V/m : 14821 (99.95 % du total) (entre 10 et 20 V/m :41 – 0.28 % du total)
Nombre de mesures avec signal <= 30 V/m : 14827 (99.99 % du total) (entre 20 et 30 V/m :6 – 0.04 % du total)
Nombre de mesures avec signal <= 50 V/m : 14829 (100 % du total) (entre 30 et 50 V/m :2 – 0.01 % du total)

chart_power_5vphp

Nombre de mesures par puissance, de 0 à 5 V/m

chart_power_50vphp

Nombre de mesures par puissance, de 5 à 50 V/m

Les quatre mesures dont le signal est supérieur à 25 V/m sont : 8165, 8166 et 8181 (même endroit) et 13919. La distance de mesure est de 1, 3, 3 et 5 mètres pour chacune d’elles et la zone de mesure est interdite au public.

Moyennes :

Moyenne des 227 mesures en 2001 :0.67 V/m – médiane 0.3 V/m – distance moyenne* : 53.83 m
Moyenne des 741 mesures en 2002 :0.5 V/m – médiane 0.2 V/m – distance moyenne* : 66.68 m
Moyenne des 1632 mesures en 2003 :0.57 V/m – médiane 0.3 V/m – distance moyenne* : 80.79 m
Moyenne des 1737 mesures en 2004 :0.7 V/m – médiane 0.4 V/m – distance moyenne* : 63.71 m
Moyenne des 1941 mesures en 2005 :0.84 V/m – médiane 0.4 V/m – distance moyenne* : 72.4 m
Moyenne des 2634 mesures en 2006 :0.9 V/m – médiane 0.4 V/m – distance moyenne* : 72.29 m
Moyenne des 2380 mesures en 2007 :0.89 V/m – médiane 0.4 V/m – distance moyenne* : 62.7 m
Moyenne des 2525 mesures en 2008 :0.97 V/m – médiane 0.5 V/m – distance moyenne* : 66.5 m
Moyenne des 1007 mesures en 2009 :1.08 V/m – médiane 0.6 V/m – distance moyenne* : 81.23 m
Moyenne des 14829 mesures :0.83 V/m – médiane 0.4 V/m – distance moyenne* : 69.73 m

Moyenne et médiane des mesures, par an

Moyenne et médiane des mesures, par an

*: les distances sont faussées par la présence de données vides et de données floues dans les données ANFR (’50 m – 100 m’ compte pour 50, ‘<50 m’ compte 0, par exemple).

Vos sauvegardes : faites-les. Ou regrettez-le

Thursday, March 26th, 2009

D’expérience, ça ne sert à rien de le dire. Il faut l’expérimenter pour s’y mettre.

Songez à ce que contient le disque dur de votre ordinateur. Des documents, des emails, de la musique, des photos, des films. Sur les photos, les emails, et les films, on peut retrouver des moments normaux : un pique nique, une discussion sur les horaires de train pour les vacances de 2003. On peut aussi y retrouver d’autres moments : votre mariage, préparation, photos du jour J, photos du lendemain ; votre fils à sa naissance, à 2 jours, à deux semaines ; un voyage à l’autre bout de la terre…

Voici à quoi ressemble ledit disque dur :

Le plateau tourne à 7200 tours par minute, et la tête de lecture flotte à une dizaine de microns au dessus, ce qui se représente un centième de l’épaisseur d’un cheveu.

La question n’est donc pas si, mais quand cette belle mécanique va faillir. Lorsque ce sera arrivé, tous les fichiers stockés dessus disparaîtront à jamais. Et même si vous en êtes conscients, ça vous arrivera car vous aurez repoussé et repoussé le moment de mettre une bonne sauvegarde en place, jusqu’à trop tard.

Maintenant que vous avez expérimenté la perte de quelques gigaoctets de données irremplaçables, le moment est venu de la mettre en place, cette sauvegarde. Il y a différents points à suivre :

Mauvaise sauvegarde

  • Procédure manuelle (insertion d’un disque externe ou d’un DVD vierge, opérations manuelles pour copier les fichiers) : vous allez en avoir assez très vite et le problème réapparaîtra.
  • Sauvegarde non testée : Une fois les fichiers sauvegardés on met tout ça dans un placard et on n’y pense plus. Tant qu’on n’a pas relu les fichiers présents sur la sauvegarde, on ne peut être sûr qu’elle est correcte.
  • Sauvegarde sur un unique média : Si la panne arrive au début d’une sauvegarde, celle-ci sera vide. Il faut au moins deux médias.

Bonne sauvegarde

  • Automatique : crontab sous Linux, tâches planifiées sous Windows, Time Machine sous Mac OS X.
  • Sur deux médias ou plus : par exemple deux disques externes, ou une sauvegarde distante : Dropbox par exemple.
  • Vérifiée à intervalles réguliers.

Oui, c’est pénible, mais ça vaut le coup. Je me suis fait avoir une fois, ma mère s’est faite avoir une fois, des milliers de gens se font avoir chaque jour et perdent les photos de leurs enfants ou les 2 ans de travail passés sur leur thèse.

Police TV series and the lowering of privacy expectations

Sunday, October 12th, 2008

Clo and I are following a few TV series, mainly police-related ones like C.S.I Las Vegas. While these series provide a rather entertaining way to spend one hour, I’m increasingly having a gripe about them.

They surreptitiously instill a few dangerous equations in one’s mind. Watch closely, and you’ll notice that only culprits ask for a lawyer, for example. Innocent suspects just cooperate without the slighest need of following correct police procedures, like the right to a lawyer, the right to remain silent, or the right to refuse anarchic searches.

The ones who refuse any of these are always culprits in the end. There’s a subliminal message for you, couch potatoe: why do you refuse to cooperate if you have nothing to hide? Your lack of transparency makes you look guilty.

This isn’t limited to C.S.I., other series, like N.C.I.S, even push the concept a bit further, often evoquing the Patriot Act to remember watchers that if you don’t comply, they just have two words to say to be able to disappear you to Guantanamo: “Terrorist suspect”. Say goodbye to trials, lawyers, and any sort of human justice. You’d better not get in the way and let go of your rights if you’re innocent. As an innocent, you have nothing to hide, right?

All of these examples may seem a bit US-centric, although I’m french — I don’t watch French TV series often, mainly because they’re mostly crappy rip-offs of US TV series. But from the little I watched, it seems the same applies to them — just translated to french and using (bypassing) our own laws.

I find this scary. I’ve read a few pages off the PDF of “Little Brother” by Cory Doctorow (and quickly decided to buy the printed edition, as it seems to be worth a read); it’s a fictional story of how USA could turn into a fully-feature surveillance country after a terrorist attack; and he has a good example of how idiotic this “if you’re not a criminal, you have nothing to hide” mentality is:

There’s something really liberating about having some corner of your life that’s yours, that no one gets to see except you. It’s a little like nudity or taking a dump. Everyone gets naked every once in a while. Everyone has to squat on the toilet. There’s nothing shameful, deviant or weird about either of them. But what if I decreed that from now on, every time you went to evacuate some solid waste, you’d have to do it in a glass room perched in the middle of Times Square, and you’d be buck naked?

Saine paranoia, partie IV : pourquoi les laisse-t’on faire ?

Sunday, April 6th, 2008

En français – Saine paranoia, partie IV : pourquoi les laisse-t’on faire ?

“Mais que fait la police”, vous demandez-vous… Il paraît surprenant que ce genre d’activités reste impunies. En effet ! Les responsables et bénéficiaires de ce genre d’arnaques sont en général recherchés, et parfois arrêtés. Cela reste, hélas, rare, car ils sont souvent suffisamment prudents pour éviter de laisser des traces directes les incriminant. Certains, en général les Veuves du Regretté Général Machin, utilisent des comptes emails jetables (sur hotmail, yahoo, etc) étant donné qu’ils ont besoin de correspondre ensuite avec leurs victimes pour transformer l’essai. Ils ne se connectent sur ces comptes que par des cybercafés, des proxys anonymisants, etc : jamais de leur accès internet chez eux.

Les autres, les arnaqueurs à large spectre ainsi que les spammeurs, utilisent des réseaux de machines piratées (appelés Botnets). Ces machines peuvent être des serveurs mal sécurisés, ou encore de simples ordinateurs de particuliers qui ont attrapé un virus – car maintenant, les méchants virus destructeurs de données, programmés par de petits génies de l’optimisation et de la discrétion, sont chose rare. La plupart des virus actuels se contentent de se cacher sur votre ordinateur, ne causent aucun dégât afin d’éviter d’être repérés, et transforment votre ordinateur en plaque tournante d’arnaques – c’est beaucoup plus rémunérateur à long terme. Dans votre dos, votre PC enverra donc de nombreux spams, un serveur Web y sera installé qui contiendra une copie du site de Paypal ou autre, etc.

Le mode de propagation principal de ces virus est, là aussi, l’email – provenant d’un autre PC infecté. Lorsque vous recevez un mail avec des photos d’une quelconque célébrité à poil, une vidéo marrante à regarder, ou encore un faux retour d’email avec une pièce jointe, la plupart du temps, un virus dans la pièce jointe attend sagement que votre curiosité vous pousse à l’ouvrir. Le fait que l’email en question provienne d’un inconnu ou d’un contact connu (ami, etc) n’y change rien : l’adresse d’expéditeur est fausse et trafiquée. Soyez sûr d’avoir un bon antivirus à jour.

Le moyen le plus efficace de se débarasser de ces nuisibles, puisque les arrêter est difficile, serait de rendre l’activité moins rémunatrice et plus compliquée. Certains (rares) fournisseurs d’accès Internet coupent l’accès à leurs abonnés chez lesquels ils détectent un trafic suspect (milliers d’emails envoyés, etc) jusqu’à désinfection, mais la plupart ne le fait pas, étant donné que lesdits abonnés râlent quand cela leur arrive.

In english – Sane paranoia, part IV : Why aren’t they stopped?

It sounds surprising that this kind of activities aren’t punished. Indeed! The individuals responsible for (and who benefit from) such scams are generally actively wanted by the authorities, and sometimes arrested. This is, unfortunately, rare, because they’re often cautious enough to avoid leaving directly incriminating trails. Some of them, generally the Widows of the Regretted Late General Blahblah, use throw-away email accounts (on hotmail, yahoo, …), as they’ll need to correspond with their victims in order to cash in on their scam. They only connect to these accounts from cybercafes, anonymous proxies, and so on; never from their own internet account at their place.

The others, the large spectrum scammers and the spammers, use networks of pirated computers (called Botnets). These computers can be badly securised servers, or simply private computers who got infected by a virus – these days, rare are the mean, destructive viruses that we were used to. The majority of modern viruses just hide in your computer, cause no visible harm in order to avoid being detected, and turn your computer into a so-called zombie, spewing out hundreds and thousands spams every hour, getting a web server serving a copy of Paypal’s site, and so on.

The main propagation mode of these viruses is, as usual, email – often coming from another infected computer. When you receive a message with pictures of a random celebrity naked, a funny video to watch, or sometimes, a fake email bounce with an attachment… most of the time, there’s a virus in the attachment waiting for your curiosity to make you open it. The fact that said email comes from a random stranger or a known contact (best friend, wife, boss, …) is irrelevant: the sender’s address is faked and doesn’t mean anything. Make sure you have a good, up-to-date antivirus.

The best way to get rid of these parasites, as arresting them is difficult, would be to render their activities less financially rewarding and more complicated. Some rare Internet service providers cut their subscribers’ access when they detect suspect traffic (thousands of sent emails over a short period of time, for example); but most don’t, as this process is rarely well-received by the affected people.

Saine paranoia, partie III : les arnaques ciblées

Sunday, April 6th, 2008

En français – Saine paranoia, partie III : les arnaques ciblées

Les précédents comptaient bien vous avoir. Leur technique, qui fonctionne, requiert tout de même du courage. Il en faut, pour correspondre avec une centaine de pigeons en parallèle, leur extorquer le maximum par la persuasion, continuer avec la dizaine restante, les presser jusqu’à la moëlle, avant de recommencer avec de nouvelles victimes potentielles.

Ce serait quand même vachement plus pratique de n’avoir rien à faire pour arnaquer les gens, n’est ce pas. C’est la catégorie des arnaqueurs paresseux, qui a monté un autre type d’email piégé… L’email de phishing. Comme son nom l’indique, il s’agit là d’aller à la pêche, mais à la pêche à la nasse, pas question de s’enquiquiner à attendre que ça morde. (la faute d’orthographe dans phishing n’en est pas une. Elle indique la nature cybercrime de la chose).

Les emails de phishing se présentent généralement sous la forme d’alertes de sécurité, de la part de grands sites très connus où l’on peut manipuler de l’argent – Paypal, Ebay, votre banque…

Ces emails seront inquiétants :

Cher Membre PayPal,
En raison des mesures de securité que vous offre PayPal, vous êtes prié de suivre les étapes fournies et de confirmer vos informations en ligne pour la sûreté de vos comptes. Cependant, la non-comfirmation de vos informations peut avoir comme conséquence la suspension provisoire de compte.

(Fautes de français laissées intactes).Suivra un bla-bla habituel sur les procédures de sécurité :

Veillez à ne jamais communiquer votre mot de passe à des sites frauduleux. Pour accéder de manière sécurisée au site PayPal, saisissez l’URL PayPal (https://www.paypal.com/fr/) pour accéder au site authentique de PayPal.

Rassurantes, ces procédures de sécurité ! S’ils me disent tout ça, ça devrait être un vrai mail, n’est ce pas ? Un pirate ne se couperait pas l’herbe sous le pied ainsi ?

Ben si. Ça marche mieux comme ça, car, malgré les lignes précédentes, la plupart des gens cliqueront quand même là :

Vous êtes prié de suivre les étapes fournies et de confirmer vos informations en ligne pour la sûreté de vos comptes. Cliquez ici pour commencer la procedure.

Vous avez cliqué ? Ici j’ai modifié le lien pour pointer sur un site totalement différent et inoffensif ; mais le mail en question vous aurait renvoyé sur un site qui n’est pas celui de Paypal, mais qui y ressemble à s’y méprendre. Sur celui-ci, on vous aurait demandé de remplir toutes les informations demandées par Paypal (dont votre mot de passe, numéro de carte bancaire, et même parfois, code secret de carte banquaire). La page d’aide de Paypal à ce sujet détaille bien la chose.

J’ai pris Paypal comme exemple ici, mais ne vous en faites pas, vous recevrez de faux emails du même genre “de la part” de votre banque, Ebay, votre fournisseur d’accès Internet (souvent “nous avons détecté des activités illégales sur votre compte”, mais pas seulement), etc.

Ne cliquez jamais sur aucun lien, d’aucun email provenant d’un site qui gère pour vous des choses importantes, comme votre argent. En cas de doute, connectez-vous via votre raccourci enregistré, ou en tapant l’adresse à la main. Si le site avait quelque chose à vous signaler, ce sera via le site lui-même, pas via email.

Partie IV – Pourquoi les laisse-t’on faire ?

In english – Sane paranoia, part III: targeted scams

The previously mentioned scammers hoped to get you, but their method, although it works, still requires a certain amount of motivation. One needs motivation to manage corresponding with a hundred of possible targets at once, squeeze the most out of them using persuasion, continue with the remaining dozen, go as far as possible, and restart the whole process with new potential victims.

Wouldn’t it be much more practical to be able to scam large numbers of people almost automatically? It’s exactly what lazy scammers thought, and implemented in another kind of trap email: the Phishing email. As its name implies, it’s about going to fish, but using a net – no bothering and waiting for bites!

Phishing emails generally look like security alerts from big, known and trusted e-commerce websites that manipulate money – Paypal, Ebay, your bank…

These emails will be scary:

Dear PayPal customer,We recently reviewed your account, and we suspect an unauthorized transaction on your account. Protecting your account is our primary concern. As a preventive measure we have temporary limited your access to sensitive information.

These emails will usually have a few paragraph about the importance of security procedures:

Make sure you never provide your password to fraudulent websites: To safely and securely access the PayPal website or your account, be sure to verify the link found in the address bar. This must be https://www.paypal.com/.

These security procedures really are reassuring, aren’t they? If they warn me about security, that must be a real email, isn’t it? A mean bad guy wouldn’t screw himself up this way?

Well, yes, he would, because its works better like that. Just write these security procedures, and be sure that most people would still click on the link just after:

We require you to complete an account verification procedure as part of our security measure. You must click the link below to securely login and complete the process. Click here to activate your account.

Did you click? Here, I changed the link to point to a totally different and inoffensive website; but the quoted email would have sent you to a website that isn’t Paypal’s, but that looks exactly the same. On this fake website copy, you would have been asked about a lot of information (including your password, credit card number, and even, sometimes, credit card’s PIN code). Paypal’s help page about the subject explains this really well.

I used Paypal as an example here. But don’t worry! You’ll also get fake mails “from” your bank, “from” Ebay, “from” your Internet Service Provider (usually along the lines of “we detected illegal activity from your account” – but not only), and much more.

Never click any link on any email from any site handling important things like your money. If in doubt, log in via your bookmark, or type the address yourself. If the website has something to warn you about, it’ll do so via the site itself, not via email.

Part IV – Why aren’t they stopped?

news for few, stuff no-one cares about