Article mis à jour le 3 juin pour la partie messagerie instantanée (IRC) et "pour aller plus loin".
Dans nos collectifs, nos assos, autour de nous, tout le monde entend parler de sécurité numérique. Pourtant, nous constatons que les pratiques les plus essentielles ne sont toujours pas maîtrisées par beaucoup de nos proches, alors même qu’elles se sont considérablement simplifiées, et alors qu’elles deviennent fondamentales en cette période de « Loi sur le Renseignement » et autres intrusions administratives ou policières.
Voici donc 5 pratiques de base à maîtriser pour se protéger (ainsi que ses ami·e·s), des flics, des patrons et demain des contrôleurs de la CAF ou de Pôle Emploi. Elles ne sont pas à toute épreuve, ne protègent pas des nouvelles mafias qui existent sur le net, des équipes spéciales de la NSA ou d’enquêtes policières plus approfondies, mais représentent un minimum nécessaire pour se protéger de vol, de perte, de perquisition, de fouille intempestive de son ordinateur par un proche plus ou moins malveillant ou d’espionnage patronal.
Ces 5 pratiques, primordiales pour des militant·e·s participant à des médias alternatifs mais importantes également pour d’autres, on les a regroupées derrière un acronyme : Mifip, (pour Mails, navigation Internet, Fichiers, Irc, Passwords ou mots de Passe). Elles sont simples (chacune d’entre elles ne demandent que quelques minutes et un peu de concentration) et elles reposent sur des logiciels que chacun·e peut installer seul·e [1]. Si vous trouvez un meilleur moyen mnémotechnique, on est preneurs !
Avant-propos : si elles ont été relues par des personnes "qui s’y connaissent", ces notes ont été écrites par des militants non-experts de la chose qui participent à des médias alternatifs et souhaitent juste que leurs collectifs et camarades se protègent un peu plus (ce qui assurera en retour leur sécurité). Ces conseils ne sont en aucun cas exhaustifs, mais destinés à des utilisations relativement courantes. D’autres ressources citées en fin d’article permettent d’aller beaucoup plus loin. On mettra à jour progressivement les outils et les tutos recensés sur la question en fonction des retours.
M. Chiffrer (ou crypter [2]) des mails
Technique fondamentale pour échanger de manière sûre à distance, par exemple tout simplement lorsqu’on ne veut pas envoyer l’équivalent d’une carte postale lisible par le facteur ou la factrice et ses collègues des centres postaux (histoire vécue).
a. avec un logiciel de mail, comme Thunderbird qui propose une extension Enigmail qui ne prend désormais que quelques minutes à configurer. Un tuto qui montre que c’est relativement simple. Attention, en cas d’utilisation d’un logiciel de mail, il est souhaitable de sécuriser le répertoire de votre ordinateur où sont stockés tous les mails pour que ceux qui ne sont pas chiffrés ne soient pas accessibles en cas de perte, vol, ou intrusion sur l’ordinateur (Voir point 3).
b. avec un webmail (ce qui ne pose pas le préalable du chiffrage de dossier ou de disque), plusieurs solutions :
-
- • GPG et le presse-papiers ou les éditeurs de texte ! Sur Windows, GPA, un logiciel compris dans GPG4Win propose un presse-papiers que l’on peut chiffrer à l’attention de son ou sa destinataire et ensuite coller dans son webmail (Cf. la partie 4 de ce tuto). Sur OSX avec GPGServices, un outil méconnu inclus dans la suite GPGTools permet de chiffrer et de déchiffrer des messages dans un éditeur de texte et s’intègre extrêmement bien dans le système d’exploitation [3].
- • il existe également Mailvelope qui s’intègre directement dans votre navigateur, comme pouvait le faire dans le passé l’extension FireGPG. Il fonctionne notamment avec le webmail de Riseup, RoundCube, ou les multinationales qui fournissent des mails (Google, etc.), mais pas avec No-Log ou d’autres services alternatifs. Le fonctionnement de ce type d’extension est critiqué pour son utilisation du javascript, on préférera donc la technique mentionnée au dessus.
I. Naviguer sur Internet anonymement (en camouflant son IP et en chiffrant son traffic)
Le cadre légal d’interception des données de navigation est de plus en plus large. Pour être un peu serein, camoufler son IP et chiffrer en même temps les informations qui transitent sur le net (ce qu’on lit, ce qu’on écrit, etc.), on peut :
utiliser Tor, par exemple avec TorBrowser (2 minutes d’installation nécessaires, rien à configurer, mais c’est toujours mieux de comprendre de quoi il s’agit). Il permet aussi, comme les autres navigateurs utilisant Tor, d’accéder aux sites en .onion, qui ne peuvent être vus qu’à travers Tor. Par exemple, si vous tenez à utiliser Facebook, pour un collectif par exemple, le réseau social s’est récemment doté d’un site en .onion. Le site Sedna médias libres est également depuis peu accessible en .onion : http://m6rgrem34sednagr.onion . Seul un navigateur fonctionnant avec Tor peut y accéder par cette adresse.
mettre en place un VPN privé situé dans un autre pays, par exemple celui de riseup, qui va chiffrer votre traffic Internet et anonymiser votre IP.
Enfin, si le camouflage de votre IP n’est pas la priorité, il reste fondamental d’installer l’extension HTTPS Everywhere, disponible pour Firefox, Chrome et Opéra. Elle permet de chiffrer votre traffic Internet sur beaucoup de sites : elle passe automatiquement les sites consultés en https à chaque fois que c’est possible.
F. Chiffrer (ou crypter) des fichiers sur son ordinateur
Quand on estime que certains de nos fichiers ne devraient être accessibles à personne (en cas de perte de l’ordinateur, de perquisition ou d’intrusion de votre patron en votre absence), il est tout simple de les rendre inaccessibles à d’autres. Deux possibilités :
a. chiffrer tout votre disque dur ou une grande partie :
-
- • sur OSX, FileVault permet de chiffrer l’ensemble de son espace personnel. Ca ne protège pas de la NSA, mais ça devrait tenir la route en cas de perte de l’ordi, vol, ou de personnes malintentionnées qui ont accès à votre ordinateur ;
- • sur Linux, Luks permet de chiffrer tout le disque dur.
b. utiliser un conteneur (dossier, clé usb, disque externe, etc.) chiffré :
-
- • VeraCrypt, successeur de TrueCrypt, permet de se doter d’un volume chiffré dans lequel on peut facilement glisser tout ce qu’on souhaite garder pour soi. Un tuto basé sur TrueCrypt, sachant que VeraCrypt fonctionne à l’identique.
- • GPG permet également de chiffrer des fichiers ou des dossiers, avec les outils cités au point 1, GP4Win ou GPGServices.
I. Discuter en simultané, à distance et de manière sécurisée (IRC-OTR ou équivalent) :
Le "tchat" permet des discussions à distance, particulièrement utiles en cas de besoin de soutien à distance. Dans ce cas-là, il est nécessaire de garantir que ces échanges soient chiffrés et sécurisés :
les canaux de discussion IRC (pour Instant Relay Chat), peuvent être associés à la technologie "Off the record" (OTR). Celle-ci est facilement accessible avec un logiciel comme Pidgin pour lequel un plugin OTR a été conçu. Pour plus d’information sur IRC, cet ancêtre des messageries instantanées, voir cet article de présentation.
Cryptocat est un module à intégrer dans Chrome ou Firefox, très simple d’utilisation. Il présente l’intérêt de pouvoir discuter à plusieurs. Il suffit de s’échanger le nom d’un canal de manière discrète et de se retrouver dessus. On peut convenir en amont d’un code ou d’un mot de passe pour s’assurer que les personnes présentes sont bien celles prévues. IRC avec OTR reste plus sécurisé.
P. Utiliser des mots de passe différents et compliqués
Les mots de passe identiques pour toute votre vie numérique sont l’une des principales failles de sécu. Les occasions qu’ils puissent être trouvés sont multiples. Ils peuvent soit être craqués, soit la base de données d’un site que vous utilisez peut être mal sécurisée, ou un réseau wifi écouté, etc.
- pour générer et stocker des mots de passe compliqués, on peut utiliser KeepassX. Une présentation sur le Guide d’autodéfense numérique.
on peut sinon utiliser des techniques de création et de mémorisation de phrases de passe.
Un tuto sur ces questions : Comment choisir un mot de passe.
Pour aller plus loin :
Le collectif Tactical Tech propose une série de guides pour la sécurité numérique, traduits en français : Security in a box
L’informatique, se défendre et attaquer est une brochure disponible sur Infokiosques.net qui aborde de manière beaucoup plus approfondie les pratiques évoquées dans cet article et bien d’autres essentielles.
le Guide d’autodéfense numérique, en 2 tomes, est exhaustif. Si certains passages sont particulièrement ardus, d’autres sont très accessibles. Il est intégralement disponible en ligne.
Tails est un système d’exploitation hyper sécurisé, livré clé en main avec tous les logiciels nécessaires, à installer sur une clé usb. Leur site est extrêmement documenté et l’installation relativement aisée.
Enfin pour les personnes qui ont besoin d’acheter quelque chose sur Internet, voir Comment payer de manière anonyme sur le net ?.
Quelques participant·e·s au réseau Mutu.
Messages
31 mai 2015, 16:50, par colporteur
À propos du "droit de communication", dont Pôle emploi a failli se voir doté. Devant le scandale naissant quant à cette police généralisée des précaires par l’entremise de toutes leurs « données », le gouvernement a retiré cet amendement, fruit des recommandations de la Cour des comptes en matière de « lutte contre la fraude » . Il n’en reste pas moins :
• que Pôle emploi dispose déjà, par exemple, des adresses IP depuis lesquelles les espaces persos Pôle sont utilisés. Ainsi, sauf à utiliser par ex. le logiciel TOR, on pourra être accusé, par exemple, d’absence du territoire national lors d’un pointage ou d’une autre démarche électronique.
• que la Sécu a été chargé de contrôles clés comptes bancaires de 500 000 ayants droits (actuels ou potentiels) de la CMU-C, et quelle dispose d’un « droit de communication » (c’est à dire d’accès aux data) digne de la Loi sur le renseignement récemment votée.
Voir Droit de communication : quelle administration peut obtenir quoi sans contrôle ?http://www.numerama.com/magazine/33220-droit-de-communication-quelle-administration-peut-obtenir-quoi-sans-controle.html
À charge pour la Sécu de transmettre les dossiers exploitables aux autres caisses : « Les agents des organismes de sécurité sociale peuvent user du droit de communication prévu à l’article L.114-19 pour l’ensemble des prestations qu’ils sont amenés à servir y compris les prestations servies pour le compte de tiers tels que l’Etat (notamment CMU-C, AME, allocations logement, ASPA) ou les conseils généraux (RSA) »
CIRCULAIRE N°DSS/2011/323 du 21 juillet 2011 relative aux conditions d’application par les organismes de sécurité sociale du droit de communication institué aux articles L. 114-19 et suivants du code de la sécurité sociale->http://www.sante.gouv.fr/fichiers/bo/2011/11-08/ste_20110008_0100_0151.pdf
Nous sommes traités nous aussi selon une partie des procédures dévolues aux « ennemis intérieurs ».
1er juin 2015, 02:14
Avis aux redacteurs-trices
ll pourrait être intéressant de rajouter à la liste des ressources documentaires (« Pour aller plus loin »), un guide très intéressant sur la sécurité informatique intitulé : « l’informatique se défendre et attaquer ».
C’est un texte en français qui propose une approche de la sécurité informatique en contexte militant et qui présente une stratégie du recours à l’informatique centrée sur le système TAILS et ses outils.
Le texte a été publié sur infokiosques.net et est disponible à l’adresse suivante : https://www.infokiosques.net/spip.php?article1045
1er juin 2015, 10:37, par mathias-poujol rost
Pour les emails, il existe aussi Bitmessage, même si ce n’est pas des emails en fait, c’est un autre type de message différé (donc asynchrone = pas instantanée).
Logiciel opensource et gratuit, son usage est simple et permet l’anonymat (à condition d’avoir les bases en cryptographies).
Néanmoins, il est moins rapide (car fonctionne en P2P), on ne peut pas révoquer une identité (personnalité) et il n’a pas de mot de passe global de l’application : i.e. si quelqu’un arrive sur votre machine session ouverte, il/elle peut voir : TOUS les messages, contacts, et identités (dont probablement des identités anonymes) !
7 juin 2015, 19:24, par bebop
Salut,
je fais partie de ceux « qui s’y connaissent » un peu et ce que je voudrais dire pour compléter votre article : les mails c’est une technologie du passé qui n’a jamais été conçue pour protéger la vie privée. Pour moi le gros pb des mails c’est qu’on ne peut chiffrer que dans un sens, on peut toujours recevoir des mails d’une personne qui elle ne chiffre pas donc c’est génant. Et ça laisse des traces.
Il y a une nouvelle application qui permet de chatter en chiffrant et sans passer par un serveur central : https://wiki.tox.im/Main_Page
C’est un logiciel libre, il y a plein de clients possibles (interface graphique)
Et on peut même utiliser le réseau Tor si on veut brouiller les pistes : https://wiki.tox.im/Tox_over_Tor_%28ToT%29