Atelier Internet sécurité respect de la vie privée et anonymat

De Centre de Ressources Numériques - Labomedia
Révision de 21 juillet 2018 à 15:19 par Benjamin (discussion | contributions) (Fournisseurs de courriels sympathiques)

(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à : navigation, rechercher

Sommaire

Introduction

Avertissement

Les questions de sécurité informatique et l'efficacité des outils évoqués dans cet atelier sont susceptibles d'évoluer ou de devenir obsolètes, n'hésitez donc pas à croiser les sources d'information pour vous maintenir à jour

Charte de l’atelier

  • norme d'échange : on utilise tous des technos, on est tous expert de notre rapport avec les techs
  • pas de question bête : on a jamais eu d'espace pour avoir l'info : autodidacte
  • Jargon wall : si qqu'un utilise jargon, lancer une balle de papier
  • écoute active importante, distribuer les temps de parole
  • safe space : ce qui est raconté dans cette salle, reste dans cette salle, friendly and safe environment
  • si vous pensez qu'il y a qques chose qui manque, dites le moi
  • le contexte : atelier sur temps court : donner des méthodologies reproductibles plutôt que former à des outils, fournir de ressources pour poursuivre de façon autonome après l'atelier

Enjeux

Les enjeux ? se référer à la partie "Enjeux" de la page générique

  • Données et états
  • Données et entreprises
  • Données et citoyens
  • Données et art
Deadrop2.jpg

Alors que faire ?

  • Sécurité holistique
  • Faire du bruit : chiffrer / crypter / transformer en bouillie ses données pour augmenter le coût de la surveillance et "noyer le poisson"
  • Infrastructure autonome, utilisation de logiciels libres, chiffrement de bout en bout

Icebreaking

  • qui utilise win / mac / linux
  • qui ds la salle est journaliste activiste membres d'ong membre des services de renseignement
  • qui a déjà reçu un virus informatique
  • qui a déjà reçu un spam, un faux e-mail d’hammoçonage
  • qui a déjà été victime d’attaques en ligne, de harcèlement en ligne, de troll
  • qui a déjà perdu des données sensibles
  • qui connaît edward snowden, julian Assange,
  • qui donnerait son mot de passe à son/sa petite amie, sa famille, ses amis
Kitler8845.jpg

Cartographie des activités et des risques

Pluie d’idée par rapport à la sécurité : évoquer des mots évoquant la sécurité informatique

3 dimensions : bien être / matériel / informatique > sécurité holistique https://holistic-security.tacticaltech.org/

  • Intégrité physique de soi même et de ses appareils
  • Bien être moral, social
  • Sécurité informatique

Il est en effet difficile d'avoir des pratiques sures ou d'apprendre quand on est fatigué ou sous pression

Content holisticsecurityvenn.png

Dessiner sa journée technologique

Dessiner ses interactions avec des appareils numériques, quel type de données y sont stockées, transportées, données qu'ils produisent activement et les données reçues d'autres personnes (dans le réseau)

  • Présentation collective de "sa" journée technologique
  • > la sécurité est un jeu collectif, /!\ maillon faible dans son réseau
  • > changer ses mots de passe, utiliser des dispositifs chiffrés, faire des backups
  • > les basiques de la sécurité digitale : antivirus, back-up, phrase de passe complexe
  • > se connecter de façon sure, chiffrement des communications, anonymisation

Questions à se poser par rapport à la sensibilité des données

  • qu'est qui se passerait si données disparaissent ou "ennemie" à accès à ces données
  • est-ce que ces données contiennent beaucoup de données personnelles (permettant de retrouver la personne dans le monde physique)

Il s'agit d'un exercice à répéter dans l’analyse permanente du risque pour réactualiser périodiquement le modèle de menace auquel on s'expose et ainsi les réponses qu'il convient d'y apporter : mettre en place les procédures d'hygiène, changer passwd …

Établir un modèle de menace

Cinq questions à se poser pour évaluer votre modèle de menace :

  1. Que souhaitez-vous protéger ?
  2. Contre qui souhaitez-vous le protéger ?
  3. Quelle est la probabilité que vous ayez besoin de le protéger ?
  4. Quelles seraient les conséquences si vous échouiez ?
  5. Quels désagréments êtes-vous disposé à affronter afin de vous en prémunir ?

Voir : https://ssd.eff.org/fr/module/une-introduction-au-mod%C3%A8le-de-menace ainsi que https://securityplanner.org qui propose de façon interactive de vous orienter vers des conseils selon les risques que vous encourez

L'Ordinateur, principes durables

Principes

Phrases de passe

A renouveler périodiquement ... login et mot de passe différent par compte en ligne

Mettre un mot de passe principal dans son navigateur Firefox pour conserver ses mots de passe dans un espace chiffré

  • "Utiliser mot de passe princpal" en cochant la case (voir ci-dessous)

Motdepasseprincipal Firefox.png

Données et matériels

Crypter le disque dur de son ordinateur

Se créer un espace de stockage chiffré pour y mettre des fichiers à l'abri

Veracrypt-win-fr-v01-036.png

Ce logiciel permet créer un espace de stockage de taille définie portable et offrant une clef qui peut être transportée séparément. Cest idéal pour stockage de mot de passe et autres fichiers sensibles, le logiciel offre également la possibilité d'intégrer la clef à une image via la stéganographie

Tomb n bats.png

S'envoyer des fichiers cryptés

La vie du réseau

C'est quoi Internet ?

Structure physique

  • serveur / routeur
  • FAI / Backbones
Big-internet-scheme.jpg
Global-Global-IP.png

Adresse IP

Paquet IP

échange découpé en petits paquets

  • paquet IP
  • fonctionnement théorique internet : fonctionnement ordi / cable / serveur, réseau existant, backbones
  • fonctionnement pratique (wireshark) : étude de paquets en temps réel
  • install party couches de protection:
  • Considérer l'unicité de son navigateur https://panopticlick.eff.org/index.php?action=log&js=yes

Comment une donnée circule dans le réseau

  • Carte des réseaux transatlantiques
  • Plug-in Lightbeam
  • https://trackography.org/ > Choose a country and a newspaper and see who is collecting data when you go to this website

Exercice jeu de rôle

exercice : gmail, mail du pays par FAI > FAI, gateway, routeur, serveur : chacun incarne un acteur du réseau, on fait circuler des données de différentes façons 1 contenu et meta-data, lisible 2 on chiffre : on ne voit plus le contenu 3 TOR + riseup : ok mais meta données toujours visibles démo Pidgin + OTR : authetification : question secrète, authentification

FacebookHI5OrkutMAP.jpg

Préserver la confidentialité de ses communications sur le web

Le web - Navigateur et plug-ins

607454-64.png18819.pngBadger.pngHttps-everywhere2.jpgNoscript-10years-small.png433-64.png

Moteurs de recherche alternatifs

Pour ajouter un moteur de recherche à Firefox, voir https://support.mozilla.org/fr/kb/ajouter-ou-supprimer-un-moteur-de-recherche-dans-firefox

Framabee.png

Evaluer la traçabilité de sa configuration navigateur + OS

le "fingerprinting" permet de nous identifier à partir de la combinaison : système d'exploitation, navigateur et ses configurations et extensions, taille de l'écran ...

Supprimer les métadonnées des fichiers

Les métadonnées sont des données associées au fichier lui-même, une pĥoto peut par exemple intégrer des données de géolocalisation, le nom de l'auteur, le logiciel utilisé pour la traiter, la définition de l'appareil photo, ... voir https://blog.mathiasblanchemanche.ch/2015/10/21/Anonymiser%20les%20m%C3%A9tadonn%C3%A9es%20d'un%20fichier.html

Pour demander au logiciel de remplacer toutes les informations contenues dans les métadonnées par “petit chaton” (remarquez l’originalité) tout en écrasant la donnée originale :

exiftool "-all:all=petit chaton" -overwrite_original *.ogg

Utiliser les emails de façon plus sure

Fournisseurs de courriels sympathiques

Utiliser des mails jetables

Chiffrer ses mails avec PGP

Il convient de combiner un client mail type Thunderbird et le plug-in enigmail :

Chiffrer ses webmails avec PGP

Ressources PGP :

Mailing list groupe de discussion

Services de communication et d’échange

Utiliser des services alternatifs aux services commerciaux, idéalement FLOSS (Free/Libre Open Source → Logiciels Libres), afin de remplacer skype, dropbox, doodle, google doc, ... :

Carte-full.jpg

Discuter en direct

Par Tchat ou sous forme de texte

Cryptocat.png

En audio, vidéo, visioconférence

Préserver son anonymat, contourner la censure

En utilisant Tor (The Onion Router, outil pour anonymiser certaines connexions), Tails (Système Linux orienté anonymat), un VPN (connexion chiffrée entre 2 points : soi-même et son founisseur de VPN)

Comprendre la différence entre anonymisation et chiffrement

Questionner la limite de ces outils : qui possède les serveurs ? qui développe les algo de cryptage ? qui a inventé ssh ?

Htw3.png

Installer, administrer son propre serveur pour garder le contrôle sur ses données

Dude yunohost.jpg

Utiliser des réseaux sociaux

Se poser les bonnes questions

Quel est le modèle économique du site sur lequel je m'inscris ? Qu'est-ce qui lui permet d'exister ?

Réglages des paramètres de confidentialité, mots de passe sûrs à changer, utilisation d'https

Bien déterminer quel type d’informations on publie, obtenir l’accord de tiers :

  • qui peut voir l’information que je mets en ligne
  • qui est le propriétaire de l’information que je publie sur le site de réseautage social
  • quels renseignements à mon sujet mes contacts peuvent-ils transférer à d’autres parties
  • Est-ce que mes contacts sont à l’aide avec le fait que je partage leurs renseignements avec d’autres
  • Fais-je bien confiance à toutes les personnes avec qui je suis en réseau ?

Même en ne s'inscrivant pas, des plateformes (Facebook, linkdin) créent des "shadow profiles" à notre insu

Gare à la création de comptes sur d’autres plateforme avec son compte facebook, google

Facebook-parametres-confidentialite.jpg

Choisir entre 4 types d’identité

  • ton nom réel : plus facilement identifiable mais génére de la crédibilité et influence
  • anonymat : permet des expressions d'opinion sur des questions mal vues et sensibles, option la plus difficle à maintenir, peu d'opportunité de générer un réseau de solidarité
  • identité pseudonymique : risque d'identification dans le monde réel, mais possible
  • pseudonymat collectif : identité collective anonymous guerilla girl, risque si un membre du collectif fait des bêtises, nourrir les imaginaires et les actions avec cette identité collective

4 stratégies pour altérer son ombre digitale

Les différents niveaux stratégiques : installation de programme et d'appli, génération de contenus et de meta-données (explication de la différence), utilisation de dispositifs matériels (comment on se connecte au net)

  • fortification : créer des barrières, restreindre l'accès et la visibilité, monitorer qui te suit qui tente de compromettre, creer des comptes ds tous les medias sociaux pour baliser le terrain, antivirus et spyware à jour, quarantaine, chiffrer, cacher ta webcam, migrer vers os plus surs comme gnu/linux
  • réduction : moins c'est mieux, combiner tactiques pour générer un manque de données sur soi : nettoyer et éliminer comptes et profils non-utilisés, ignorer et bloquer des applications et services digitaux non nécessaires, résister à la publication d'images et d'infos sur soi et son collectif, utiliser des vieux devices
  • obfuscation ou camouflage : plus de données tu génère, c'est le mieux : dévaluer la valeur de l'info, rompre les routine de navigation (apps et plug in), générer du bruit avec son identité (ouvrir différents comptes avec x identités), se cahcer dans la mutlitude ou ds identité collective (bien lire le zen manual), ne pas contaminer, créer des personnages crédibles (voir fakena ds zen manual pr créa id crédibles
  • compartimentation : bien compartimenter tes données, tes identités : bien déterminer ses domaines sociaux et bien les compartimenter, maintenir séparés, isoler la surface d'attaque

Téléphone mobile / intelligent

Fonctionnement de la téléphonie, triangulation, autorisation des applications, metadonnées, OS alternatifs, applications signées, rooting et jailbreaking

Chiffrer son téléphone, mot de passe sur, utiliser des applications libres

Logiciels à recommander pour la communication et l’échange

Logiciels mobiles réputés sures (au 05 2017)

Libérer son téléphone

Killyourphone.jpg

Synthèse des bonnes pratiques

Backup, phrases de passes solides, utilisation de logiciels FLOSS, Infrastructure autonome sympathique (Yunohost, services non commerciaux), sécurité holistique, actualisation de l’évaluation des risques, réseau de confiance, Safe spaces

Qu'est que l'on commence, qu'est que l'on arrête, qu'est-ce que l'on continue de faire ?

  • Start
  • Stop
  • Keep

Évaluation de l’atelier

Les bonnes ressources sur lesquelles s’appuyer

Outils actualisés, révisés par des experts

TinfoilsuitCRNUZprUEAAeQS4.jpg

Quelques vidéos