Mon ordi est une passoire ». Après la soirée Lyon Piges avec Julie Gommes, c’est une évidence. Il est facile de pirater contacts, fichiers, textes, mails etc … Pourtant, avec quelques outils simples et gratuits, il est tout à fait possible de palier à une grande partie de ces risques. Si vous avez des sources un peu chatouilleuses, vous aurez plus de chance de conserver leur confiance. La sécurité passe en premier par une prise de conscience personnelle, puis quelques réflexes de bon sens. Atelier Lyon Piges, mardi 5 mars 2013 avec Julie Gommes.
Faire ses mises à jour : firewall, antivirus… Avast est un antivirus gratuit qui fonctionne bien.
Préférer les « phrases de passe » aux mots de passe trop courts, trop faciles à casser. Les mots de passe : il existe des dictionnaires de mots de passe, utilisés par des professionnels pour craquer des mots de passe perdus, ce sont des machines qui tournent pour craquer, il vaut mieux faire des « phrases de passe » : plus c’est long, plus il y a de caractères plus c’est difficile à craquer.
Ne choisissez pas la date anniversaire de votre conjoint(e), mais plutôt le 2ème couplet de sa chanson fétiche. Exemple : si je suis Romain Duris dans l’Aranacoeur et ma copine s’appelle Vanessa Paradis, ma « phrase passe » sera : «Isthislasting treasureOr just a moment’spleasure?CanIbelievethemagicofyour sighs?Willyoustilllovemetomorrow.» Il y a des lettres, des signes de ponctuation, c’est plus dur à casser.
Ne cliquez pas sur les liens ou les images promettant monts et merveilles, ou jouant sur vos failles, exemple : la photo d’un super mannequin qui vous promet la lune. Ce lien peut cacher un malware : ce petit programme malveillant se loge sur votre système et peut communiquer une foultitude de vos données, prendre le contrôle de votre connexion, etc . Les rootkits sont les cousins des malwares et se logent directement sur la boxe, puis utilisent la connexion internet. Pour s’en débarrasser : SPYBOT, un antispy et anti malware.
Crypter vos mails avec enigmail : c’est un système de clé privée, clé publique (pour écrire chiffré). A noter que chaque mail que vous envoyé est conservé au moins en 4 exemplaires : soi, son contact et les deux hébergeurs des contacts.
Julie Gommes
On nous écoute.
En Syrie, le contact de Julie lui a proposé un test « Je t’appelle sur ton portable, je te donne quelques informations banales. Je raccroche mais toit tu ne raccroches surtout pas ton téléphone ». Julie G : « Je suis restée à écouter et au bout de quelques instants, j’ai ré-entendu la conversation que nous venions d’avoir. C’était l’enregistrement de notre conversation que je ré-écoutais. Mon fixeur en Syire avait fait ça pour me montrer que nous étions écoutés« .
Géo localisation : l’IMEI d’un téléphone portable permet de vous géo localiser. Précaution : enlever la batterie. L’IMEI est un numéro permettant d’identifier de manière unique un appareil mobile.
Crypter une partie de son disque dur avec truecrypt vous pouvez définir une partition et la crypter pour y mettre toutes le données sensibles.
SKYPE, attention danger ! Les CGU (Conditions générale d’utilisation) de Skype autorisent les enregistrements à la volée de vos conversations. Très instructif à lire ! A la place de Skype : Mumble, ICQ ou Jabber avec lequel on peut fonctionner en OTR, donc on peut crypter les messages. Ce sont des logiciels libres.
Les bonnes pratiques au quotidien
Surfez chiffré : l’extension https//evreywhere est un freeware qui se met comme un plugin sur son navigateur. Il est aussi possible d’ajouter manuellement un « s » à l’adresse de connexion en tapant « https » au lieu de « http».
Masquez votre IP : surfez de façon anonyme, quand vous vous connectez à internet, votre adresse IP est détectable. Certains outils permettent de transformer son adresse IP comme TOR, PROXY, VPN.
TAILS, la clé USB sans mémoire, permet d’écrire un texte en étant sûr que seule la clé enregistre ce que vous écrivez et rien ailleurs dans votre système.
Bibliographie :
Comment contourner la censure sur internet : ce document est téléchargeable gratuitement et vous explique comment fonctionne les différents outils pour se protéger. http://www.howtobypassinternetcensorship.org/
Security in a box, à partir de petites situations concrètes racontées comme des histoires, ce document explique ce que vous pouvez faire pour vous protéger. Super pratique !
Bon plan
Les « Hackerspaces » sont des endroits où se réunissent les hackers, un hacker, c’est celui qui détourne de son usage un outil, un objet commun.
Bonsoir Bruno,
Pour une néophyte non journaliste qui tient tout de même à naviguer avec un minimum de sécurité, votre article m’a été très utile notamment concernant Skype. L’illustration de Julie Gommes sur son expérience syrienne fait un peu froid dans le dos.
Grace
Bonjour. Pas mal de petites erreurs potentiellement dangereuses là-dedans. Je prends point par point :
— Les antivirus. Ils sont tous inefficaces, sans exception. Bon, il est évident qu’il faut en avoir quand on utilise un système non sûr comme Windows, mais pour moi, un journaliste se doit d’utiliser un meilleur système, qu’il s’agisse de GNU/Linux, BSD ou même Mac OS, ils sont bien plus sûrs. Je conseille personnellement Ubuntu, une distribution GNU/Linux très adaptée aux débutants, extrêmement simple à prendre en main. Sous GNU/Linux, la menace des virus et malwares est anecdotique.
— Les mots de passe. Bien qu’une phrase de passe soit effectivement nettement plus sûre qu’un mot de passe, la question est plus subtile que ça. Par exemple, prendre des vers de chanson (quand bien même ce n’est pas un hit planétaire), c’est très dangereux. Choisir une chanson selon des critères personnels, ça l’est encore plus. À vrai dire, ça n’est pas beaucoup plus sûr que de mettre le nom de votre chien ou votre date de naissance. Quand au fait de choisir un vers, si une partie de la passphrase venait à être compromise, une simple recherche permettrait de la retrouver dans son intégralité. Procédure à bannir, donc. Mes conseils pour le choix d’un mot de passe sont indiqués ici : https://gordon.re/developpement/mot-de-passe-pourquoi-comment.html .
— Ne pas cliquer sur les liens. C’est un conseil de bon sens : plus généralement, ne faites pas l’erreur de débrancher votre cerveau quand vous utilisez l’outil informatique. Tout est logique, alors lisez ce que vous avez sous les yeux et faites preuve d’un minimum de bon sens.
— « Crypter » n’existe pas. On dit « chiffrer ». D’ailleurs, Enigmail est un plugin pour le logiciel Thunderbird, rien d’autre. Le vrai système de sécurité en dessous est GPG. Pour apprendre à l’utiliser, je vous conseille ce tutoriel un peu technique mais néanmoins très instructif : http://cyphercat.eu/term_gpg.php .
Globalement, il y a une chose cruciale à savoir au sujet de la sécurité : il ne s’agit pas d’un produit, d’une boîte magique vendue par un prestataire ou d’un truc sur lequel il suffit de cliquer pour qu’il fasse son œuvre. La sécurité est un processus complet, au sein duquel l’utilisateur joue son rôle. Il est donc indispensable que l’utilisateur (vous) sache ce qu’il fait, et pas seulement qu’« il faut cliquer ici ». Pour cela, les hackerspaces sont effectivement un bon endroit pour apprendre.
— Chiffrement du disque dur : il s’agit effectivement d’une bonne pratique : sans ça, quiconque ayant un accès physique à votre ordinateur peut avoir accès à *toutes* ses données, même s’il est éteint et « protégé » par mot de passe. Cependant, je reviens à ce que je viens de dire : utiliser un logiciel comme Truecrypt sans savoir comment il agit, c’est à peu près aussi efficace que ne pas l’utiliser.
— HTTPS Everywhere : là encore, ce n’est pas un logiciel magique. Si le serveur ne supporte pas HTTPS, cela ne fonctionnera pas. En fait, son fonctionnement est diaboliquement simple : s’il sait que HTTPS est disponible sur le site qu’on souhaite visiter, il fait une redirection automatique). Par ailleurs, comme toujours, ce n’est pas un « s » dans l’URL qui apporte une sécurité : il faut savoir ce que ça implique, et être sûr de parler au bon site (on tombe en général — mais pas tout le temps — sur un avertissement de sécurité du navigateur quand ce n’est pas le cas, mais il faut savoir ce que ça veut dire).
— Surfer anonymement : hmm, ça dépend. Encore faut-il en avoir le besoin. Si on n’a vraiment pas confiance en son FAI, autant en changer. TOR c’est bien, mais il faut savoir quelles sont ses limites : il ne protège pas tout miraculeusement. Notamment, le nœud de sortie peut parfaitement intercepter les données qui passent en clair jusqu’au site que l’on veut visiter. Il faut savoir également qu’il est impossible d’être totalement anonyme.
Merci pour toutes ces précisions techniques.
Justeune précision sur Tails ( https://tails.boum.org/ ) Les articles que vous rédigez, ou sons que vous montez, ne sont pas non plus enregistrés sur la clé… d’où son nom de « clé sans mémoire ». Ce qui vous permet d ene plus rien avoir sur vous une fois le sujet envoyé.
Contente d’avoir passé cette soirée avec vous tous, cela fait plaisir de voir cette motivation et cette envie de se bouger pour protéger ses sources face aux pbs que l’on peut rencontrer au niveau technique.
Il vous faut maintenant lire et vous mettre au travail, comme vous l’avez bien rappelé, je n’ai cessé de marteler qu’il s’agit avant tout d’une prise de conscience… Mais je ne me fais aps de souci pour vous tous puisque la motivation est là !
Enfin, pour chiffrer ses mails, enigmail est le plugin à avoir si vous gérez votre boite mail sut thunderbird… pour ce qui est du hciffrement en lui-même c’est du PGP, petit billet de blog à consulter http://korben.info/comment-chiffrer-ses-emails.html qui explique de manièretrès pédago comment tout cela fonctionne.
Bon travail à tous et donnez moi des nouvelles de vos avancées !