Sécurité et anonymat sur Psychoactif

pierre · **pierre** Web-Administrateur Inscrit le 15 Sep 2006 17505 messages

Les forces de l'ordre ont autre chose à faire que de s'en prendre à des usagers qui discutent de réduction des risques, mais on ne sait jamais, la loi de 70 de pénalisation des consommateurs de drogues fait toujours son oeuvre, et il est utile de savoir quelques truc pour être complétement anonyme sur Psychoactif.

Il faut aussi rappeler que Psychoactif est une plateforme de réduction des risques, qui est une politique d'Etat. Discuter de réduction des risques est donc tout à fait légal.

Premierement, Psychoactif a mis des choses en place pour vous protéger.
- Le protocole d'échange entre chez vous et le serveur web est crypté, vous avez une connexion https qui signifie que vos messages ne transitent pas en clair, même en l'absence de précautions (VNP etc.) il serait très difficile de faire le lien entre vos messages et vous.
- si vous uploader des photos via la plateforme, elles sont redimensionnées automatiquement et les données EXIF (dans lesquelles il y peut y avoir les coordo GPS) sont effacées.
- Nous vous recommandons aussi dans les régles de choisir un pseudo anonyme, ainsi qu'un adresse email crée pour l'occasion.

Mais si le https permet de crypter vos données, ils est par contre facile de savoir que vous venez ici sans précaution. Pour crypter totalement votre navigation, il vous est possible de vous servir d'un proxy, d'un VPN ou d'un logiciel comme TOR pour etre complétement anonyme sur Internet.

Voici quelques liens explicatifs.

http://www.commentcamarche.net/faq/5351 … nonymement
https://www.jesaisquivousetes.com/comme … -internet/

Voici un message de skenman pour un boite mail gratuite, ou un VPN, ou un addon mozzilla qui renforce la sécurité :

https://addons.mozilla.org/en-US/firefo … quickjava/
Allows quick enable and disable of Java, Javascript, Cookies, Image Animations, Flash, Silverlight, Images, Stylesheets and Proxy from the Toolbar. This is great for increasing security or decreasing bandwidth.

https://www.openmailbox.org/
Permet de créer une adresse mail sans numéro de portable

https://mullvad.net/en/
Excellent VPN, pas besoin de coordonnées bancaires, d'adresse émail, rien (on envoie du cash par poste, 5E/mois)

Il est aussi conseillé de désactiver les réseau sociaux avec leur scripts, si vous êtes repérables par votre compte FB par exemple, FB peut techniquement savoir pas mal de choses. C'est sans doute pas automatisé de reconnaître vos messages, mais FB est déjà impliqué dans des affaires d'indiscrétions majeures, nul doute qu'ils archivent vos faits et gestes. Il est conseillé de désactiver ces scripts!

SI d'autres ont aussi des astuces de VPN gratuite ou de proxy, merci de les partager.

Skenman · **Skenman** Nouveau Psycho Inscrit le 13 Jul 2015 168 messages

Lien vers un site très complet avec de très nombreux outils et conseils pour conserver sa liberté en ligne (en anglais désolé) :

https://www.privacytools.io/

Ils proposent aussi des tests pour vérifier que votre "set up" est étanche (ça m'a d'ailleurs permis de réaliser à quel point l'add on "QUIT JAVA" est utile et puissant).

Skenman

Syam

La version gratuite du VPN cyberghost est très fonctionnelle, il faut attendre parfois une petite minute en mode gratuit, et la protection ne dure que quelques heures, c'est peu pour du P2P, mais c'est bien assez pour être (encore plus) anonyme ici. C'est une bonne nouvelle que les images soient débarrassées des données Exif, merci pour ce résumé.

Dernière modification par Syam (04 juillet 2016 à 00:41)

Sliman · **Sliman** Banni Inscrit le 01 Jul 2016 55 messages

Ben moi sa me rassure pas toutes ces histoires. Je n'ai pas grand choses a me reprocher, je susi UD (comme on s'appel ici) Cacher mon identité a tous prix me fait me mettre en position de mec qui cherche a cacher quelque chose !
Et j'aime pas trop ça.

filousky · **filousky** Modérateur Inscrit le 14 Dec 2008 12273 messages

Sliman a écrit
Ben moi sa me rassure pas toutes ces histoires. Je n'ai pas grand choses a me reprocher, je susi UD (comme on s'appel ici) Cacher mon identité a tous prix me fait me mettre en position de mec qui cherche a cacher quelque chose !
Et j'aime pas trop ça.

Moi non plus, je n'ai rien à me reprocher, donc, chercher à rester anonyme n'est pas du tout un problème pour moi. Ce serait me prendre la tête avec une parano improductive. Si on veut participer, par son expérience, à l'amélioration de la RDR, il n'y a pas lieu de se cacher, ni de se mettre au milieu du paysage.

Comme Pierre l'a écrit : "Il faut aussi rappeler que Psychoactif est une plateforme de réduction des risques, qui est une politique d'Etat. Discuter de réduction des risques est donc tout à fait légal."

Amitiés

Fil

Syam

Sliman, rester anonyme est un droit humain essentiel, pas forcément pour se cacher, pense par exemple à tous ceux qui ont consommé des drogues et perdraient leur emploi si leur patron le savait etc. Les UD sont toujours extrêmement mal perçus par toute une frange de la population, à cause de la propagande active contre eux. Ces outils d'anonymisation sont donnés à ceux qui veulent utiliser ce droit à l'anonymat, contre vents et marées, pas forcément pour des gens qui ont quoi que ce soit à se reprocher. Le problème aujourd'hui c'est qu'il y a un tas d'agences gouvernementales et de fournisseurs d'accès internet complices, et de nouveaux médias sociaux (FB, G+) et de grands acteurs du web qui "lisent" (informatiquement pas physiquement) tout ce qu'on écrit, c'est comme si la poste ouvrait tous tes courriers pour lire le contenu et partageait l'info avec ses copains avec un double pour chacun, le tout pour de fausses raisons.
-> Ceux qui veulent conserver leur anonymat ou qui sont simplement contre cette évolution (n'oublions pas qu'on parle là de grandes entreprises qui sont dans l'illégalité avec la complicité de l'état donc qu'on vient pas dire que c'est nous qui avons quelque chose à nous reprocher!) doivent réagir et apprendre quelques outils simples d'utilisation.
-> Les autres font comme ils veulent. Personnellement ici je ne les utilise pas, j'essaye de donner le meilleur exemple possible de solidarité, j'en ai pas honte, je suis adhérent à l'association donc mon nom et mon adresse sont connus de l'équipe. Je suis convaincu que les personnes qui participent ici ne risquent rien à part d'être fichés dans des fichiers qui ne sont pas officiels et ne peuvent pas servir de preuve contre eux. Bref vraiment pas de quoi fouetter un chat. A part bien entendu si vous utilisez la plateforme pour organiser un trafic, en quel cas on viendra pas vous plaindre vu que c'est strictement interdit pas le règlement.

Dernière modification par Syam (04 juillet 2016 à 10:53)

Skenman · **Skenman** Nouveau Psycho Inscrit le 13 Jul 2015 168 messages

Je suis d'accord avec Syam. Moi non plus je n'ai rien à me reprocher au niveau de la loi, moi aussi je suis un UD (et encore je parle de mon tso) mais je tiens à être anonyme, surtout par rapport à mon employeur et mon entourage social qui n'a pas à connaitre cette partie de ma vie.

Je pense que c'est un peu comme les gens qui disent : "ça ne me dérange pas les cameras de surveillance, je n'ai rien à me reprocher, etc..." Le soucis reste que quand un gouvernement veut tout savoir sur les faits et gestes de ses citoyens, on sait comment sa fini...

De nos jours, nous sommes constamment trackés en ligne. En premier lieu car nous sommes tous des consommateurs à qui on doit vendre toujours plus.

On ne sait pas non plus comment les choses peuvent évoluer politiquement. De plus en plus de gens sont prêts à perdre des libertés pour leur "sécurité". L'ultra-sécuritaire envahit nos sociétés alors même qu'on a un gouvernement de gauche (soit disant).

Mais que ce passerait-il si l’extrême droite arrivait au pouvoir ?? Si ce malheur arrivait un jour, je crois qu'on ne regretterait pas d'avoir été anonyme sur ce forum...

Une dernière chose, les banques utilisent des outils de plus en plus puissants pour profiler leurs clients. Va essayer de choper un prêt immobilier si ta banque sait que tu es, par exemple, un toxico...

Donc, ça n'engage que moi, mais je pense que c'est une très bonne idée d’être anonyme sur ce forum.

Sliman · **Sliman** Banni Inscrit le 01 Jul 2016 55 messages

Rien a se reprocher en France quand ont consome, transporte .... on doit pas parler du meme pays !

Syam

Sliman, apaise-toi un peu et essaye de comprendre le sens des mots avant de réagir de façon aussi épidermique!
On est tous susceptibles d'avoir des ennuis à cause de cette loi absurde, inique, néfaste pour toute la société (autant consommateurs que non consommateurs) qu'est la loi de 70. Soit, pour la loi j'ai quelque chose à me reprocher puisque j'ai consommé diverses substances, j'ai même il y a des années cultivé de l'herbe chez moi! Oh mon Dieu! En revanche rien de ce que je fais ici sur ce forum ne contrevient à la loi, c'est même dans un sens une activité bénévole pour un programme du Ministère de la Santé!

Donc essayez de venir ici dans un esprit de réduction des risques, respectez s'il vous plait le règlement en prenant soin de ne jamais utiliser la plateforme pour parler de plan ou pour raconter ce que vous attendez par la poste. Et si des représentants de "l'ordre" viennent sur ce forum, ça ne causera préjudice à personne.

Stalker · **Stalker** Tipiak Inscrit le 18 Jun 2016 195 messages

@ sliman: Oui tu transporte pas 100kg de résine en go fast non plus.

En 8/9 ans de papote virtuelle sur des forums spécialisé je n'ai jamais été inquiété, fiché peut être, mais je le suis déjà IRL donc comme dirait les gamins "osef".

Dernière modification par Stalker (04 juillet 2016 à 21:39)

noec2a · **noec2a** Nouveau membre Inscrit le 07 Jul 2015 4 messages

Bonjour.
Je me suis inscrit sur ce site il y a plus d'un ans et j'ai fait la connerie d'utiliser mon pseudo noec2a (je l'utilise assez souvent pour ouvrir des comptes sur internet ) comme nom de profil sur psychoactifs.
J'aimerai savoir comment faire pour changer mon nom de profil ou simplement effacer les 2 messages que j'avais posté à l'époque.
Je sais que je ne suis pas au bon endroit, mais je voudrai avoir des indications concernant mon problème. (Je suis un peu perdu)
Merci pour vos réponses.
Cordialement.

pierre · **pierre** Web-Administrateur Inscrit le 15 Sep 2006 17505 messages

Nous n'arrêtons pas de dire qu'il faut faire attention au pseudo qu'on prend. Seul l'équipe peut le changer ensuite et seulement dans des cas flagrants.

Mais Comme il n'était pas important j'ai supprimé tes deux messages.

noec2a · **noec2a** Nouveau membre Inscrit le 07 Jul 2015 4 messages

Merci Pierre pour ton intervention.
Je pensais hélas qu'il était possible de supprimer les messages postés sur le site.
Je serai plus précautionneux la prochaine fois.
Merci encore.
Cordialement.

Anonymousse au chocolat · **Anonymousse au chocolat** ٩(^ᴗ^)۶ Inscrit le 12 Nov 2013 2953 messages

Tu aurais été sur un autre forum tu aurais pu t'accrocher sans pour autant obtenir aide ou réponse.
Heureusement que PA garde un coté humain....

Yog-Sothoth · **Yog-Sothoth** Hackeur Vaillant Inscrit le 18 Apr 2016 1029 messages

Le chiffrement de psychoactif (https) est relativement robuste. Le seul défaut qu'on pourrait voir, c'est que lors de l'authentification du serveur par le client (traduction : lorsque le forum essaie de prouver à votre navigateur qu'il s'agit bien de lui), PsychoActif utilise un certificat de 2048 bits, ce qui n'est pas vraiment la panacée niveau sécurité. Enfin… casser du RSA 2048 bits, il faut quand même le vouloir, mais je ne serais pas surpris que ça soit à la portée de la police. En général, il est plutôt conseillé d'utiliser des clés de 4096 bits pour être sûr d'être tranquille.

Après, globalement, le chiffrement du forum est vraiment pas mal du tout. Il l'est en tout cas beaucoup plus que pas mal de sites en https qui utilisent des suites de chiffrement pourries jusqu'à la moelle.

Dernière modification par Yog-Sothoth (15 août 2016 à 16:33)

mikykeupon

Mais comme déjà précisé avant, la police a d'autres chats à fouetter que de pirater un site de réduction des risques reconnu par le ministère de la santé.

groovie · **groovie** Adhérent Inscrit le 13 Feb 2016 5107 messages

+pour enquiquiner de simples consommateurs...ce serait du jamais vu. Le seul truc plus ou moins similaire auquel j'ai assisté c'était "l'affaire cannaweed" mais là il s'agissait de consommateur/producteur/parfois petit dealer...

officiellement la police avait utilisé les metadonnés des photos de smartphones consultables au sein des journaux de culture cannabique d'un site hollandais. Ainsi ils ont pu retrouver et perquisitionner les jardiniers... ...certains internautes ont prétendus qu'un sous forum avait une faille de sécurité et les ip des membres étaient visibles... bref..

il y a eu quelques dizaines de visites, c'était la catastrophe... mais apparemment l'affaire ne fût pas un gros succès depuis c'est le calme plat donc bon...

Moi j'avais que des pieds dehors et je suis passé à travers mais ça nous a foutu la trousse..depuis j'essaie d'être prudent même si je ne fait rien d'illégal..principe de précaution

Dernière modification par Viegroo Senior du turfu (15 août 2016 à 17:40)

Anonyme9404

Oui, je suis en pleine remise en question par rapport au risque d'être lu, et plus encore....
J'imagine en effet qu'ils ont d'autres choses à faire.. surtout en ce moment, mais bon ! thinking

Ça serait sympa qu'un(e) avocat(e) connaissant bien les lois sur le net passe par là , et nous disent nos protections, car je crois que des écrits ne sont pas valables.

Bien tout cas, merci pour l'information. :)

Même si je n'ai rien à me reprocher hormis quelques occasions... Mais bon, même la consommation est punie par la loi. Et puis pour le reste j'ai déjà mangé au niveau justice, dette payée.

Dernière modification par Anonyme9404 (08 novembre 2016 à 03:06)

mikykeupon

@ groovie: depuis canaweed crypte les méta-données, ce que nous faisons aussi sur Psychoactif.

@ baila: si tu veux naviguer de façon anonyme sur le net nous avons ouvert un forum dédié au deep-web et à l'anonymat.
Conseils sur le deep-web
Et dans la discussion suivante tu trouveras la marche à suivre et des explications claires pour comprendre le système.
Tutoriel GP et notions de cryptographie

Préservé son intimité est un devoir de toutes et tous par les temps qui cours.

Je voudrais aussi rappeler les règles de bases qui sont indiquées lors de l'inscription et qui stipulent de bien choisir son pseudonyme, et d'éviter d'utiliser son mail perso, d'autant plus si il y a votre nom de famille qui apparaît.

Concernant les IP, seulEs les modos y ont accès.

Etsyhtéma · **Etsyhtéma** Nouveau Psycho Inscrit le 25 Mar 2016 199 messages

Excellente idée de topic pour faire le poinr sur l'anonymat sur Internet, nos droits et les potentielles limites de la loi de 70.

pierre · **pierre** Web-Administrateur Inscrit le 15 Sep 2006 17505 messages

Suite au remarque de Yog-sothoth, j'ai renforcé le cryptage des mots de passe.

Comme dit avant, les mots de passe ne sont pas en clair dans la base de donnée, mais ils étaient hashés jusqu'à présent par des fonction qui était bonnes il y a quelques années, mais qui ne sont plus adaptées. J'ai donc, avec les nouvelles fonctions du PHP, en utilisé l'algorythme Blowfish (et plus MD5 ou SHA1).

Des que vous vous loggerez, votre mot de passe sera hashé avec cet algorithme.

Pour 2017, je mets le cryptage de bout en bout des MP dans ma TODO liste !

Yog-Sothoth · **Yog-Sothoth** Hackeur Vaillant Inscrit le 18 Apr 2016 1029 messages

Je ne connais pas très bien Blowfish. Il me semblait que c'est avant tout un algo de chiffrement symétrique non ? Il peut être utilisé pour du hachage ?
Le plus solide algo de hash qui existe à ce jour reste sha512 (famille de sha2) (et non, les algos de hash ne se fument pas fume_une_joint

)

Si tu veux une idée supplémentaire pour augmenter la sécurité, pourquoi ne pas utiliser du sel cryptographique ?

Regarde : soit le scénario suivant : Soit un forum avec des membres, les hachés des mots de passe étant stockés dans la base de données. Imaginons maintenant que cette base de donnée aie été compromise par un attaquant. A priori, rien de grave me direz vous, puisque la base de données ne contient pas de mot de passe en clair, mais les hachés (peu importe l'algorithme).

Mais que se passe-t-il si plusieurs membres utilisent par hasard le même mot de passe pour leurs comptes respectifs. Ca implique que le même haché va se retrouver plusieurs fois dans la base de données. L'attaquant peut donc en déduire que toutes ces personnes utilisent le même mot de passe. Et s'il arrive à le compromettre, il compromet plusieurs comptes d'un seul coup.

Maintenant, immaginons que je me mette à calculer les hachés de millions et de millions de mots de passe possibles en vue de créer un dictionnaire qui, pour chaque haché, lui associe un mot de passe en clair. De tels dictionnaires s'appellent des tables arc-en-ciel. Du coup, je n'ai plus qu'à rechercher chaque haché de la base de données dans mon dictionnaire de hachés pour retrouver le mot de passe.

Concrètement, ces tables arc-en-ciel (qui sont des fichiers textes de plusieurs centaines de giga, voire de tera-octets, c'est vous dire le nombre de hachés calculés) sont créées et enrichies par du matériel dédié, voire des botnets (= réseaux d'ordinateurs zombies) dont la fonction est de calculer des hachés à la tractopelle.

Pour pallier à cette faille de sécurité, il y a une solution vraiment très simple à mettre en oeuvre : le salage des mots de passe.

Le pricipe est très simple :
- Un utilisateur crée un compte.
- Il spécifie un mot de passe, par exemple : 123JeSµ!sTr0pD€fonc€LOL
- Le forum génère une chaîne de caractère totalement aléatoire, appellé sel cryptographique. Par exemple A[>428kFj.QxmT+_4i58MK<M4j56%tmH/7t4=L&gL2^X3S6i%4f;i4@d&W2Rb3M
- Le forum stocke le sel relatif à l'utilisateur dans la base de donnée.
- Le forum concatène le sel et le mot de passe (mot de passe salé) : A[>428kFj.QxmT+_4i58MK<M4j56%tmH/7t4=L&gL2^X3S6i%4f;i4@d&W2Rb3M123JeSµ!sTr0pD€fonc€LOL
- Le forum hache le mot de passe salé et stocke le haché dans la base de donnée.

De cette façon, non seulement deux membres qui utilisent le même mot de passe n'auront pas le même haché, mais en plus, si le sel est suffisamment long et complexe, ça complique considérablement, voire rend impossible une attaque par les tables arc-en-ciel.

pierre a écrit
Pour 2017, je mets le cryptage de bout en bout des MP dans ma TODO liste !

Si t'as besoin d'aide, just ask ^^

Dernière modification par Yog-Sothoth (31 décembre 2016 à 02:01)

ExpériMentaleFrénésie

Bonjour,

J'ai un petit soucis : je tente depuis tout à l'heure de changer mon adresse mail (question d'anonymat, d'où le fait que je poste ici).
On me demande donc mon mot de passe, j'ai beau le mettre, vérifié à chaque fois que je l'ai écrit correctement, mais j'ai toujours un message comme quoi "mon ancien mot de passe est incorrecte". Alors j'ai tout essayé. J'ai mis mon autre/ancien mot de passe : même message. J'ai même essayé de mettre mon ancienne adresse mail, quitte a tout essayé.. Mais rien n'y fait.
Qu'ais-je fait de travers?

Merci pour votre aide et désolé si ce poste ne se trouve pas sur le bon sujet, je ne savais pas trop où le mettre..

Ygrek · **Ygrek** Y Inscrit le 20 Jun 2016 80 messages

Salut,

La même...
J'essaie de changer d'adresse et je n'y arrive pas, le site arrête pas de le dire que le mot de passe est incorrect alors que c'est faux.
Si quelqu'un pouvait nous aider svp!

Merci d'avance.

prescripteur · **prescripteur** Modérateur Inscrit le 22 Feb 2008 12147 messages

Excusez moi (exp et Y) , je suis un peu bouché mais je n'ai pas compris où tu veux changer ton adresse mail. Sur ce forum ?
je viens de regarder et apparemment je peux modifier ton adresse courriel (de ton profil) sans mot de passe. si tu m'envoies un MP je peux tenter de le le changer (mais évidemment c'est toi qui aura le mot de passe sur la nouvelle adresse mail , pas moi) .
Ou alors c'est ailleurs !! Alors où précisément ????
Amicalement

pierre · **pierre** Web-Administrateur Inscrit le 15 Sep 2006 17505 messages

Ca y est, c'était un bug du à la dernière session de programmation sur le renforcement du cryptage des mots de passe.

Maintenant ca marche !

Pierre

prescripteur · **prescripteur** Modérateur Inscrit le 22 Feb 2008 12147 messages

Pierre,
avant de te lire et sur sa demande par MP j'ai changé l'adresse courriel de ygrec.
Amicalement

ExpériMentaleFrénésie

Yes ça marche! Merci!

pierre · **pierre** Web-Administrateur Inscrit le 15 Sep 2006 17505 messages

Si tu veux une idée supplémentaire pour augmenter la sécurité, pourquoi ne pas utiliser du sel cryptographique ?

C'est ce qu'il se passe avec les dernières versions de PHP et les fonctions password_hash et password_verify

AInsi meme pour un meme mot de passe, le cryptage ne sera pas le meme.

Par exemple, les mots de passe cryptés dans la base de donnée sont de la forme : $2y$10$0XMNhJMvVhV1g4DOSjpaluz99W0KFUwzdmFP3Au01Gl9eJE0974GK

PAPAVER sOMNIFERUM · **PAPAVER sOMNIFERUM** Banni Inscrit le 27 Jan 2017 12 messages

Le mec se tape un mauvais treap

	[ Forum ] Règles - Un don pour le psychoActif par Boskoo, dernier post 25 juin 2020 par pierre	2
	[ Forum ] Comment utilisez vous Psychoactif ? par pierre, dernier post 05 mars 2022 par g-rusalem	100
	[ Forum ] La question niaise du jour : dons à psychoactif par labricotbleu, dernier post 13 mars 2016 par Cusco	6

Sécurité et anonymat sur Psychoactif

Sliman a écrit

pierre a écrit

Sujets similaires dans les forums, psychowiki et QuizzZ

Pied de page des forums

	Excellent cette ref. (Dapak)
	thx!