Sécurité informatique, anonymat sur internet

[skankerror]

Intéressant pour windaube et macos, pour linux pas trop d'intérêt, tous ces logiciels s'installant directement en quelques clics.

[Johan]

Je vous mets ici un article du Secours Rouge à propos du cryptage informatique et de Pretty Good Privacy:

Lors de l’arrestation des membres du Secours Rouge le 5 juin dernier, les médias ont fait grand cas des communications cryptées entre la section belge du SRI et le secrétariat international de Zurich, et interceptées par la police. Un an et demi plus tard, les services spécialisés de la police fédérale ne sont toujours pas parvenu à décrypter ces mails...

Le cryptage des mails ne fait pas partie de la culture militante en Belgique, alors qu’il est extrêmement répandu en Allemagne ou en Suisse, et alors qu’en Belgique même, il est courant dans le domaine commercial et bancaire. Il est important de généraliser les techniques de cryptage. Crypter toutes les communications politiques, même les plus banales, est essentiel pour tous ceux qui veulent éviter de nourrir les fichiers policiers.

Le logiciel utilisé par le Secours Rouge International est le classique PGP (Pretty Good Privacy). Philip Zimmermann, son développeur, a mis PGP en libre téléchargement en 1991. Le gouvernement a ouvert une enquête contre lui pour violation des lois limitant l'exportation pour les produits cryptographiques aux seuls clients validés par le gouvernement US. Zimmermann a développé PGP dans un souci de droit à la vie privée et de progrès démocratique: "PGP donne aux gens le pouvoir de prendre en main leur intimité. Il y a un besoin social croissant pour cela. C'est pourquoi je l'ai créé. (...) Si l'intimité est mise hors la loi, seuls les hors-la-loi auront une intimité. Les agences de renseignement ont accès à une bonne technologie cryptographique. De même les trafiquants d'armes et de drogue. Mais les gens ordinaires et les organisations politiques de base n'avaient pour la plupart pas eu accès à ces technologies cryptographiques de 'qualité militaire' abordable. Jusqu'à présent."

PGP est un logiciel de chiffrement et de signature de données utilisant la cryptographie asymétrique mais également la cryptographie symétrique. Il est d’une extrême facilité d’emploi. Il est basé sur un processus appelé 'public-key' ('clé publique'). Tout utilisateur dispose d'une clé privée (une série de caractère, idéalement plus de 20, choisis par lui) et d'une clé publique produite par le programme et liée à la première par un algorithme complexe. La clé publique peut être transmise sous forme de 'pièce jointe', dans le corps d’un mail, par clé USB, disque, ou n’importe quel support de données. Elle peut être interceptée et connue sans nuire à la qualité du cryptage.

L’utilisateur communique donc sa clé publique à tous ceux qui doivent lui envoyer un message crypté. Ceux-ci cryptent leur mail ou leur document (traitement de texte, image, tableur) qu’ils lui destinent avec sa clé publique (ce qui se fait en deux 'clics'). Pour décrypter, l’utilisateur tape dans le logiciel sa 'clé privée', connue de lui seul. A l’inverse, pour envoyer un message crypté, l’utilisateur doit disposer de la clé publique de son correspondant. Une fois qu’il a crypté le message, seul le correspondant pourra le décrypter avec sa 'clé privée'. Même le crypteur n’est pas en mesure de décrypter son message.

[skankerror]

Si on utilise PGP c'est que l'on est sous windauwse, donc que l'on n'est vulnérable à plusieurs types d'intrusion.

Pour bien faire il faudrait utiliser GPG la version pour GNU/Linux de ce système de chiffrement.

Il paraît néanmoins que les pouvoirs américains possèdent le moyen de décrypter ce système. Paranoïa ou vérité je n'en sais rien.

[conan]

Je n'y connais rien mais si on lit ça :
http://assiste.com.free.fr/p/abc/a/nsa-trapdoor.html
... on découvre que PGP peut être aisément craqué, la NSA dispose aujourd'hui de moyens pour craquer à peu près tout ce qui se fait.
A savoir néanmoins que pour PGP ou tout autre système, il est formellement interdit de détenir ou d'utiliser une puissance de cryptage de plus de 128 bits (même si ça ne fait que rallonger seulement le temps pour les ordis surpuissants de la NSA et d'autres services aux longues oreilles) ; à condition bien sûr que ce soit couplé à des logiciels d'open source (linux), ça complique fortement la tâche à Big Brother.
Le plus simple, c'est de partir du principe que tout peut être espionné, c'est tout...

[Johan]

Je doute que la NSA vienne lire nos mails ( ), mais en Europe ça reste efficace. Les flics ne s'acharneront à décrypter des mails que pour des raisons "extrêmes", donc autant ne pas leur faciliter la tâche avec un libre accès à nos données s'ils venaient à saisir notre matos informatique...

[skankerror]

En installant ubuntu, il y a par défaut GPG et une partition cryptée. C'est quand que les anars passent aux logiciels libres ?

[Nico37]

Pour Firefox 3.7 : http://www.brandonchecketts.com/downloa ... 1-ff37.xpi : cela créé une ligne quand on fait un clic droit sur un lien. En sélectionnant cette ligne, cela empêche le site destinataire de savoir de quel site on vient...

[Parpalhon]

Je sais pas si y a déjà un sujet sur ça, mais je trouvais important d'avoir un truc sur le fofo où on regroupe des infos sur la sécurité avec internet tout ça, étant donné que nous sommes tous ici des utilisateurs d'internet.

Bon perso j'y connais rien du tout, j'ai même été incapable de me créer toute seule un compte Jabber

Mais si y a des gens qui s'y connaissent un peu ils pourraient faire partager tout ça ... genre expliquer ce que c'est TOR et comment l'utiliser, comment crypter ses mails tout ça ... je sais qu'il y a déjà des brochures sur ces trucs, mais j'y comprends que dalle ...

[RickRoll]

POur les questions de sécurité je conseille toujours d'utiliser des logiciels libres : non-payants, mieux codés, bugs corrigés plus vite, conformes à nos idées politiques.

Bon, déjà un premier pas vers la sécurité sur Internet, c'est ne plus utiliser Internet Explorer (le navigateur internet par défaut de Windows). En effet, ce dernier contient de nombreuses failles de sécurité bien connues des flics ou des crackers. Il vaut mieux se tourner vers un navigateur plus sécurisé. Firefox, Epiphany, Midori,... Les solutions ne manquent pas. On y gagne en vitesse également, et en expérience utilisateur car IE est connu pour très mal afficher les pages (il ne respecte pas les standards utilisés pour les pages web).

Deuxième conseil : utiliser un pare-feu efficace. Quand on est branché sur Internet, notre ordinateur crée des ouvertures (les ports en langage d'informaticien) pour laisser passer les infos entrant et sortant. Or certaines ouvertures sont mal fermées, et quelqu'un peut les utiliser pour s'introduire sur nos ordis. Un pare-feu est un logiciel qui détecte les intrusions non-autorisées par les ouvertures et qui les bloque, mais aussi qui rend invisible certaines ouvertures.
iSafer par exemple : http://www.framasoft.net/article4247.html mais tout autre pare-feu libre fera l'affaire, l'important c'est de bien le configurer (donc d'avoir des tutos pour savoir comment faire)

Troisième conseil : utiliser un anti-virus. Cela évite les chevaux de troie, ces programmes qui s'installent sur l'ordi et tournent en tache de fond pour envoyer des données à la personne qui les ont créés.
Clamwin Anti-Virus (http://www.framasoft.net/article2571.html) est un bon anti-virus libre, qui s'est révélé meilleur que pas mal de logiciel payants dans la détection et la neutralisation des virus (meilleur que Norton anti-virus, Kaspersky etc.)

Quatrième conseil : utiliser Spybot Search and Destroy, un logiciel gratuit MAIS NON LIBRE, qui détecte et permet de supprimer les malwares, les logiciels espions etc.

Bon, ça c'est pour nos amis de Windows. La solution la plus simple étant de migrer vers GNU/Linux ou un autre OS de type UNIX, dont la configuration par défaut est plus sécurisée que la plupart des Windows + anti-virus + pare-feu qu'utilisent M. et Mme Tout le monde. Pas de virus et peu de logiciels espions sous Linux, un pare-feu intégré directement dans le système et configuré de base pour être efficace.

Déjà commencer donc par sécuriser sa machine, avant de vouloir sécuriser ses communications. Prochain post, comment sécuriser ses communications.

[Plokoan]

@ RickRoll



Merci pour cette explication bien faite

[charlelem]

un site sympa http://www.acbm.com/

[Parpalhon]

cool y a un expert
Alors si on a Linux on peut quand même se faire espionner l'ordi ?

[RickRoll]

Ouais mais c'est plus difficile. Et puis même si Linux est carrément plus facile à utiliser que Windows pour une personne sans grande connaissance en informatique (expérience personnelle avec plusieurs de mes proches), il vaut quand même mieux l'installer et le configurer avec quelqu'un qui s'y connait un peu pour éviter les erreurs de débutant-e. Ensuite il y a peu de soucis sous Linux du fait que c'est un OS minoritaire (peu de gens l'utilisent, donc ça a peu d'intérêt de faire des trojans LInux, ou alors ils sont dirigés contre les serveurs d'entreprise (95% des serveurs sont sous Linux) et pas les particuliers.

Faut voir ton ordi un peu comme une maison dans une ville (la ville étant Internet). Si tu veux être sûr-e que personne viendra lire tes données, faut habiter en dehors de la ville, loin de toutes les routes. Mais sinon, pour les protéger, il faut construire un mur le plus infranchissable possible autour de chez toi, avec un portail bien fermé (le pare-feu). Il faut contrôler en permanence si y'a pas des trucs qui transmettent des infos à l'extérieur sur ce qui se passe chez toi ou qui veulent faire sauter ta baraque (Spybot, anti-virus).
Un ordi sans pare-feu, c'est comme une maison dont tu ne ferme pas la porte à clé. Tu peux rester des années sans problème, mais un jour il se peut que tu rentre et toutes tes affaires ont disparu !

[digression explicative : pas obligé de la lire pour comprendre la suite]

Si tu veux, il y a deux modes sur les systèmes d'exploitation (les OS) :
- le mode administrateur : il permet de modifier les fichiers critiques du système, deux de tous les utilisateurs, collecter les données les plus sensibles etc.
- le mode utilisateur : il permet juste de modifier les fichiers de l'utilisateur qui est connecté. Tu ne peux pas installer de logiciels, juste les utiliser.

Dans l'image de la maison, c'est un peu comme si tu avais tout ce qui fait fonctionner la maison et permet à la famille de vivre dans ta cave et que seul le compte administrateur a la clé pour ouvrir. Tu risque pas de foirer ta plomberie, ton chauffe-eau, ta bouffe...

La particularité des OS basés sur Unix (GNU/Linux, BSD, MacOS...) c'est d'incorporer cette manière de faire dès l'installation : tu crée un compte administrateur, et un compte utilisateur. Et tu te connecte sur le compte utilisateur. Ensuite, tous les paramètres de ton compte, tes fichiers, sont dans ton dossier personnel.
Par contre, Windows n'a que très récemment intégré cette façon de faire (à partir de Windows XP), et il ne l'a pas très bien fait (le premier OS de Microsoft à le faire correctement c'est Windows 7). Sous Windows, le premier compte créé est un compte administrateur et il ne te propose pas d'en créer un autre. Ce qui fait que 90% des utilisateurs-trices Windows vont sur Internet etc avec le compte administrateur.

Or, on dit souvent en informatique que la plupart des soucis viennent de "l'interface chaise-clavier", c'est à dire que c'est l'utilisateur qui utilise mal son OS, son PC, qui fait un truc dangereux sans s'en rendre compte, par ignorance (ou bêtise). En l'occurence le fait d'avoir un compte utilisateur séparé limite les bugs venant de l'interface chaise clavier.
De même, les virus ou les programmes mal-intentionnés qui collectent des données sont installés par l'utilisateur (par ignorance ou bêtise : on clique sur l'installeur sans réfléchir, on ne lit pas les boites de dialogue...). On peut pas le faire aussi facilement sous Linux, le compte utilisateur est comme un bac à sable : tu y fais ce que tu veux dans les limites de tes permissions, sans que cela affecte tout ton système.

[fin de la digression]

Mettons que la personne qui en veut à tes données arrive à avoir accès à tes données d'une manière ou d'une autre, malgré les pare-feus, les murs que tu as construit autour de ton chez-toi. Elle n'aura pas accès aux données critiques du système (tes mots de passe qui sont cryptés etc...), à ce que tu as crypté, ni tout simplement ce que tu n'auras pas écrit dans des fichiers lisibles par ton profil utilisateur.

Ainsi un moyen très simple de protéger ses données, en plus d'empêcher les intrusions, c'est de ne pas mettre de données telles que comptes en banque, contacts, etc sur son PC à moins de crypter les fichiers avec une clé. Comme en manif un peu chaude, on te conseille d'effacer tous tes contacts de ton mobile au cas où tu ailles en GAV.
Si on est obligé-e d'avoir des données de ce type dans son compte utilisateur, le mieux c'est de les mettre dans un fichier crypté, voire de créer une partition cryptée. Dans l'image de la maison c'est le coffre fort. Si vous voulez quand j'ai un peu de temps je fais un petit tuto sur le cryptage. Je connais que sous LInux, mais les outils existent aussi sous Windows et ça doit pas être si différent.

[RickRoll]

Je sais pas si je suis très clair ou trop long, donc dites moi que je m'améliore.

[Parpalhon]

Si vous voulez quand j'ai un peu de temps je fais un petit tuto sur le cryptage. Je connais que sous LInux, mais les outils existent aussi sous Windows et ça doit pas être si différent.

oui moi je veux bien, et sous Linux ça me va
Est-ce que quand tu auras le temps tu pourrais aussi résumer ce que c'est TOR ?