Vous êtes sur Barbablog et tu kiffes jeune. Cherche sur ce blog...

« Un Windows à jour avec un anti virus, c’est déjà pas mal »

Au cours de ces 4 dernières années , dans le cadre de mon activité chez Reporters sans frontières, j'ai animé une cinquantaine de formations à la sécurité numérique. Avec des journalistes, des blogueurs, en France, à l'étranger et d'une manière générale plutôt dans des pays où la liberté de la presse est fortement dégradée pour ne pas dire largement piétinée.

Windows Update screen on Windows 7, photo de Christiaan Colen sous licence CC

Au cours de ces 4 dernières années , dans le cadre de mon activité chez Reporters sans frontières, j’ai animé une cinquantaine de formations à la sécurité numérique. Avec des journalistes, des blogueurs, en France, à l’étranger et d’une manière générale plutôt dans des pays où la liberté de la presse est fortement dégradée pour ne pas dire largement piétinée.

Il y a 4 ans, lorsque RSF a décidé de se lancer dans ces formations, nous avons consulté celles et ceux qui travaillaient sur ces sujets depuis quelques temps déjà, histoire de ne pas réinventer la roue. Merci au passage à foO_, Stéphane, Quinn, Okhin, ManachSkhaen, Natha, Nadim, Soghoian, intri, Oktavia et à beaucoup d’autres.

Parmi les avis et conseils recueillis, il y en a un qui m’avait particulièrement marqué et particulièrement déplu à l’époque. Il s’est pourtant avéré, 4 ans plus tard, que ce conseil était le plus judicieux de tous ceux que j’avais reçus.

Les Scuds de Johnson

Au cours d’un conversation Skype [1] avec Eric Johnson, un ancien d’Internews, nous avons abordé le sujet des formations à la sécurité numérique. A l’époque RSF prévoyait d’en mener en Chine. Bam! Premier Scud du Johnson : (c’est une conversation qui date de 4 ans, je déforme certainement les propos mais le fond est là) :

Vous êtes bien mignons les gars, mais faire des formations en Chine, ça revient à vouloir vider l’océan avec une cuillère à café.

Merci Eric me suis-je dit in petto, mais on n’a pas besoin de ton avis pour décider où se dérouleront ces formations.

La conversation suit son cours, je me lance sur PGP (un outil de chiffrement) en disant à quel point ce serait génial que les participants à ces formations puissent l’utiliser et généraliser son usage et là, bam, deuxième Scud :

Certes les outils de chiffrement de mails, de chat, de données, c’est important, mais si vous arrivez déjà à faire en sorte que les participants repartent avec un Windows non cracké, à jour, un antivirus, et un firewall, c’est déjà bien.

Merci Eric mais je ne vais pas prendre tes conseils de bouffeur de burger collabo de la CIA (Internews est une ONG américaine, financée à 100% par le gouvernement américain) pour argent comptant. Si tu as l’ambition d’une huître pour ton contenu pédagogique, ça te regarde mais de notre côté, on pense que la sécurité numérique ça va au-delà des mises à jour Windows.

Sur ce, nous nous sommes quittés bons amis. On ne s’est plus parlé pendant 4 ans.

Sur le terrain

Le bilan de ces 4 ans et 50 formations ? En fait, Eric Johnson n’était pas si loin de la vérité.

A chaque début de formation, dont certaines durent 3 jours, en fonction des participants et de leur niveau – oui parce qu’on est pas des sagouins chez RSF, avant d’aller sur place on échange avec les participants pour connaître leurs usages et leurs besoins – je me dis :

On va passer vite fait sur les bases histoire de voir avec eux un maximum d’outils, chiffrement de mails, de disques, des chats, outils sur mobile, et cerise sur le gâteau, tails.

Et à chaque fois, je me trompe. On ne passe pas vite sur les bases. On ne peut pas. Lorsqu’on aborde les mises à jour, les antivirus, les firewall, comment ça marche, à quoi ça sert, l’intérêt est toujours vif.

Au delà de l’intérêt, lorsqu’on regarde les ordinateurs de près, ou lorsqu’on discute un peu des habitudes et des pratiques avec les participants, on se rend compte (qu’au bout du compte, on est toujours tout seul au monde) que le niveau, pour des spécialistes de l’information dont l’outil principal est un ordinateur, est parfois catastrophique [2].

Florilège

Je n’ai pas participé à une seule formation – hors France – dans laquelle je n’aie rencontré au moins un Windows craqué. Le problème du piratage n’est pas du tout ici moral ; il se pose en terme de sécurité. La plupart du temps, il est impossible d’installer des mises à jour sur un Windows craqué. Et qui dit pas de mise à jour dit nombreuses failles de sécurité.

  • J’ai aussi vu des Windows sans anti virus, parce qu’on m’a dit que ça ralentissait ;
  • J’ai vu – souvent sur les mêmes Windows craqués – des anti virus type Norton ou McAfee, désinstallés et réinstallés tous les 30 jours pour bénéficier à chaque fois de la période d’essai ;
  • J’ai vu des mots de passe de moins de 8 caractères, craquables en quelques minutes. ;
  • J’ai vu des PC avec Internet Explorer comme seul et unique navigateur ;
  • J’ai vu – souvent – des Windows trop vérolés pour que la moindre installation de logiciels, voire d’extension, soit possible, et « vérolés », ça ne signifie pas infecté par un logiciel espion type Fin Fisher ou Hacking Team, non juste des malwares de base qui ajoutent de la pub sur les pages des navigateurs et changent le moteur de recherche utilisé par défaut ;
  • J’ai vu des comptes Facebook bien protégés, avec une phrase de passe, parfois même avec un système de double authentification, dont le propriétaire – citoyen d’un pays où il ne fait pas bon avoir des relations avec une ONG comme RSF – publiait des photos de la formation, parfois même des participants, en mode public.

Mea Culpa

Donc Eric, si tu lis ce billet (chose que je sais que tu ne feras pas car comme tout bon américain tu n’es pas francophone mais ne t’inquiète pas, je vais le traduire bientôt en anglais) : Mea culpa. Je reconnais que tu avais raison. Les formations à la sécurité numérique pour les journalistes sont trop souvent vues au travers au travers du prisme déformant des experts en sécurité et du fantasme du monde de l’espionnage et du renseignement.

  • Non, tout le monde n’a pas la NSA comme ennemi, même parmi les journalistes ;
  • non, tout le monde n’est pas la cible de logiciels espions qui valent plusieurs centaines de milliers de dollars et que seuls des gouvernements peuvent s’offrir
  • non, le problème principal des journalistes et autres acteurs de l’information n’est pas la protection de leur vie privée contre les Google, Apple et Microsoft

Cependant :

  • il est important de connaître les menaces sus-citées et de savoir s’en prémunir ;
  • il est encore plus important d’apprendre les bonnes pratiques de base – Stéphane Bortzmeyer parle assez justement de littératie numérique – car si un journaliste au Vietnam n’est pas capable de se protéger d’un malware ou d’un ransomware avec son bon vieux Windows, il n’a aucune chance contre un Hacking Team, un Fin Fisher, un Eagle ou même Google.

Un Windows propre… et un peu plus

J’ai l’air de peindre un portrait assez noir de ces formations : 4 ans pour installer des antivirus sur des ordinateurs un peu partout dans le monde. Non, évidemment non. La plupart du temps nous sommes allés plus loin, beaucoup plus loin : chiffrement, VPN, Tor, bridges, bridges cachés (merci TorServers), et parfois, quand la situation l’imposait et le niveau des participants l’autorisait, Tails (qui a eu un énorme succès auprès des participants dans certains pays d’Asie du sud est).

Mais tout ça, nous ne l’avons vu qu’une fois les ordinateurs nettoyés, les bases abordées et maîtrisées, tout ça afin d’éviter de construire des forteresses sur des fondations en carton.

  1. Skype, oui je sais, le logiciel de Microsoft, écouté par la NSA, dont toutes les communications passent par les serveurs de Microsoft à Redmond, en même temps, c’était une conversation avec un ancien d’Internews
  2. Ce n’est pas un jugement de valeur, tout le monde n’a pas fait des études d’informatique et le plus souvent l’ordinateur est considéré comme un outil au même titre que la voiture avec ce type de raisonnement : est-ce que j’ai besoin de savoir réparer une voiture pour en utiliser une ? Malheureusement dans certains pays, les conséquences d’un ordinateur infecté par un virus ou d’un e-mail intercepté peuvent être assez lourdes.


Reagissez

Si ce billet vous a plu ou si vous voulez apporter des précisions, ou si vous n’êtes pas d’accord avec ce que je raconte, c’est ici qu’il faut vous manifester. Je me réserve toutefois le droit de supprimer toute contribution insultante ou qui n’aurait rien à voir avec la choucroute.

  1. nicoladiaz

    @Barbayellow plop 🙂 RSF remplaçait les windows piratés par des windows légaux avec licences toussa? cc @fo0_ @okhin

  2. fo0_

    RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  3. PandaVRJ

    À lire: un Windows à jour et un antivirus, c’est déjà pas mal »
    http://t.co/CyyQmqY53W

    A lire. #InfoSec
    Via @RSF_RWB

  4. aeris22

    RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  5. Nour Hemici

    Nour Hemici liked this on Facebook.

  6. KanorUbu

    RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  7. DuriezR

    RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  8. Méa Culpa de rien du tout de ma part.
    Je préfère prendre du temps pour faire une démo de Tails + usbkey chiffré pour les données sensible plutôt que de me transformer en commercial de M$ légal via Internews.
    Ce Monsieur Johnson n’a qu’à combattre Microsoft qui mène une politique volontaire de licence craqué dans certains pays mais il le sait deja… voir plus.
    Quand à faire des formations en Chine ca sert à rien car y a trop de taff, cela dénote bien la mentalité de merde.

  9. DuriezR

    @Barbayellow il y a aussi la fameuse :  » j’ai installé deux antivirus comme ça je suis mieux protégé  » !

  10. SimonRecher

    RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  11. Simon Cornaz

    Et jamais un linux suffisament user-friendly pour eux ? Sinon en passant, tape « in petTo » et plusieurs centaineS » :)

  12. Mina_Vidar

    RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  13. @nicolasdiaz Par défaut on distribue des clés #Tails. Ensuite ça dépend des besoins. On part toujours des besoins.

    Si l’un des participants a besoin de Windows, on lui explique les problèmes liés à l’utilisation de cette plate-forme, et si il pense que c’est toujours ce dont il a besoin, alors il se trouve un Windows.

    Tout le monde n’a pas la NSA ou le gvt US en face. Et tout le monde n’a pas nécessairement envie d’utiliser des logiciels libres. On n’est pas dogmatiques. En tout cas moi je ne le suis pas.

  14. @jljouannic Les utilisateurs de Linux sont très rares. De toutes les formations que j’ai pu faire, c’est surtout en Afrique sub saharienne que j’ai vu des utilisateurs de LInux. Quasiment jamais ailleurs. En réponse à >> https://twitter.com/jljouannic/status/633974931185909760

  15. @fo0_ Je suis pas complètement en désaccord avec Johnson. Si la plupart des utilisateurs de Windows avaient déjà un Windows non craqué, à jour, avec un anti virus et un firewall, ça les protégerait de 80% des menaces. Ensuite en effet, restent tous les problèmes associés à l’utilisation d’un logiciel propriétaire, et particulièrement Windows.

    Ce que j’ai voulu dire, qui n’était peut-être pas extrêmement clair dans le billet ci-dessus, c’est que vu les pratiques en informatiques parfois catastrophiques, il vaut mieux essayer d’améliorer l’existant, même sur Windows, pour ensuite aller plus loin.

    On ne devient pas utilisateur de logiciel libre du jour au lendemain. Et parfois un Windows clean peut être la première étape vers un peu plus de sécurité. L’idéal étant bien sûr à terme de se débarrasser de Windows. Surtout quand on voit ce qui arrive avec Win10.

  16. sinatous

    « Un Windows à jour avec un anti virus, c’est déjà pas mal »http://t.co/Xc6xH8JcDv

  17. @simon Le but dans ces formations n’est pas de passer tout le monde sur linux. C’est d’expliquer les risques associés à telle ou telle situation et quel outil peut être utile et quel autre peut être troué. On distribue des clés tails pendant ces formations en en expliquant leur utilisation (et surtout comment les cloner) mais on n’installe pas des distributions linux sur les ordinateurs.

  18. amaelle_g

    RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  19. Solarus0

    RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  20. nrosenberg

    RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  21. Amaelle Guiton

    Amaelle Guiton liked this on Facebook.

  22. Zythom

    RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  23. Le « pas mal » est l’ennemi de la sécurité et le cancer de la privacy…

  24. yenos

    RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  25. Asn0r

    RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  26. enzogautier

    RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  27. Cad Web

    Cad Web liked this on Facebook.

  28. FLesueur

    RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  29. nicoladiaz

    @Barbayellow tu es bien trop sympa avec cette barbouze intrusive qui n’a jamais recommandé FLOSS…

  30. NumericTaMere

    « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/CtjvXUmMk6

  31. mcmambmy

    RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  32. damien_io

    RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  33. damien_io

    @Barbayellow @fo0_ @okhin oui, oui, la base qu’on oublie trop souvent..

  34. Stanislas Pouget

    Stanislas Pouget liked this on Facebook.

  35. leluez

    RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  36. StephRevel

    RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  37. Meszigues83

    RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  38. GuyMarty

    RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  39. Jolie polémique, belle sincérité, complexité du débat ∞

  40. genma

    De l’importance de l’hygiène numérique avant le chiffrement via @barbayellow: (Permalink) http://t.co/Es86qtkUqS

  41. _SaxX_

    RT @genma: De l’importance de l’hygiène numérique avant le chiffrement via @barbayellow: (Permalink) http://t.co/Es86qtkUqS

  42. asso_libratoi

    RT @genma: De l’importance de l’hygiène numérique avant le chiffrement via @barbayellow: (Permalink) http://t.co/Es86qtkUqS

  43. lenashou

    RT @genma: De l’importance de l’hygiène numérique avant le chiffrement via @barbayellow: (Permalink) http://t.co/Es86qtkUqS

  44. benjaltf4_

    RT @genma: De l’importance de l’hygiène numérique avant le chiffrement via @barbayellow: (Permalink) http://t.co/Es86qtkUqS

  45. Barbayellow

    RT @genma: De l’importance de l’hygiène numérique avant le chiffrement via @barbayellow: (Permalink) http://t.co/Es86qtkUqS

  46. Mnyo

    RT @genma: De l’importance de l’hygiène numérique avant le chiffrement via @barbayellow: (Permalink) http://t.co/Es86qtkUqS

  47. CodeurFou

    RT @genma: De l’importance de l’hygiène numérique avant le chiffrement via @barbayellow: (Permalink) http://t.co/Es86qtkUqS

  48. CrocMignon

    Un #Windows à jour avec un anti virus, c’est déjà pas mal. http://t.co/YjuipdyhXg

  49. genma

    RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  50. Zak Le Messager

    Zak Le Messager liked this on Facebook.

  51. m4d_z

    RT @genma: De l’importance de l’hygiène numérique avant le chiffrement via @barbayellow: (Permalink) http://t.co/Es86qtkUqS

  52. deogracia_974

    RT @genma: De l’importance de l’hygiène numérique avant le chiffrement via @barbayellow: (Permalink) http://t.co/Es86qtkUqS

Haut de la liste
Votre commentaire