Cryptoparty à Dakar
19 avril 2013 4 commentairesAu cours d’un atelier d’une journée, j’ai dispensé quelques conseils basiques et moins basiques sur les 1001 façons de protéger son ordinateur, ses données et ses communications. Une journée pour un si vaste sujet, c’est un peu court. Les plus motivés, les plus intéressés ou les plus concernés, souhaitaient aller plus loin. Nous avons donc organisé des ateliers sauvages pendant le reste de la semaine au cours desquels nous avons parlé VPN, Darknet et outils de chiffrement en tout genre. Des espèces de cryptoparty pour ceux qui connaissent.
Je publie ici la première partie de cet atelier, Sécurité numérique, les bases
. La version présentation avec les boulette points (excuse my french) qui vont bien est disponible sous forme de PDF. Je publierai la deuxième partie, « Sécuriser son surf »… quand j’aurais le temps.
Ces deux ateliers constituent les premières étape d’une formation plus vaste dispensée par Reporters sans frontières aux journalistes, blogueurs et netcitoyens. Pour creuser plus avant ces sujets, je vous recommande le Cryptoparty Handbook et Comment contourner la censure sur Internet. Tout est sous licence creative commons, alors n’hésitez pas à faire tourner !
Sécurité numérique, les bases
Entre la chaise et le clavier
Avant même de penser à sécuriser son ordinateur ou à installer des logiciels permettant de chiffrer ses communications ou ses données, il convient d’adopter une bonne hygiène numérique en respectant quelques conseils de bon sens qui vous éviteront de vous faire pirater votre compte mail ou votre ordinateur. Pas besoin d’être informaticien pour appliquer ces conseils.
- Éviter les regards indiscrets :
- Évitez de travailler dos à une fenêtre
- En voyage, dans le train ou en avion, appliquez un filtre de confidentialité sur votre écran. Le filtre de confidentialité est une feuille transparente qui une fois appliquée sur votre écran restreint la vision latérale. Ainsi seule la personne située en face (vous) est capable de voir l’écran.
- Lors de vos déplacements, dans la mesure du possible, évitez de vous séparer de votre matériel. Cela permet d’éviter qu’un individu malveillant ne puisse récupérer des fichiers de votre ordinateur ou ne puisse y introduire un cheval de troie.
- Tous les systèmes d’exploitation (Windows, Mac os et Linux) permettent de protéger votre session avec un mot de passe; N’hésitez pas à utiliser cette fonctionnalité.
Ne laissez pas trainer votre ordinateur portable ! xkcd.com
Effacez vos traces sur un ordinateur public
Si vous travaillez dans un cybercafé ou sur un ordinateur qui n’est pas le vôtre, veillez à ne pas laisser de traces une fois votre travail terminé :
- Si vous avez consulté votre boite mail, votre compte Facebook ou votre compte Twitter, surtout pensez à vous déconnecter
- Effacer votre historique de navigation. Celui-ci comporte de nombreuses informations et pour un individu expert peut également permettre d’accéder à certains de vos comptes en ligne
- Sur un ordinateur public, ne stockez jamais votre mot de passe dans le navigateur. Si par mégarde vous l’avez fait, pensez à les effacer de la mémoire du navigateur une fois votre travail terminé
- Effacez les champs de formulaire
- Supprimez les cookies
Le nettoyage de ces données se fait différemment selon les navigateurs. Un bon moyen d’éviter les impairs est d’utiliser le monde « navigation privée » de Firefox ou de Chrome.
Maitrisez l’accès à vos données
La plupart des services en ligne (Twitter, Facebook, WordPress, Tumblr, Skype etc.) permettent de récupérer un mot de passe perdu grâce à l’envoi d’un mot de passe dans votre boite mail. Il est donc capital de protéger votre boite mail le mieux possible. Si celle-ci est compromise, très souvent, c’est toute votre identité numérique qui le sera également.
Le service mail de Google, Gmail, permet de mettre en œuvre une sécurité supplémentaire : la « validation en deux étapes« . Ce service permet de protéger votre compte mail avec:
- un nom d’utilisateur,
- un mot de passe,
- un code que vous recevrez sur votre téléphone portable chaque fois que vous vous connecterez sur votre boite.
Ainsi, sans votre téléphone portable, il est impossible d’accéder à vos mails.
Lorsque vous vous connectez sur votre boite Gmail, pensez à cliquez sur le lien « détails », en bas de la page. Celui-ci ouvre une fenêtre affichant l’ensemble des connexions récentes à votre boite. Vous serez ainsi à même de déceler une activité suspecte.
Twitter et Facebook offrent également l’équivalent de ce type de servie et vous permettent de consulter l’ensemble des applications et sites autorisés à accéder à votre compte.
Utilisez des mots phrases de passe
La longueur d’un mot de passe est le facteur principal pour créer un mot de passe solide, capable de résister à une attaque par force brute. Mélanger les chiffres, les caractères spéciaux, les minuscules et les majuscule a souvent pour résultat de créer un mot de passe faible et difficile à retenir. Si, en lieu et place de « mot » de passe, vous utilisez des « phrases » de passe, vous obtiendrez une chaine de caractère facile à mémoriser et d’une longueur bien supérieure à vos anciens mots de passe.
Th$jHTo%46
est court et difficile à retenirJ’entends le son des cloches le long des pâturages verdoyants
est facile à retenir et très difficile à deviner pour un attaquant
Le site xkcd explique en quelques cases pourquoi les phrases de passe sont à utiliser plutôt que les mots de passe.
Utilisez une phrase de passe différente par service
Il ne sert à rien d’avoir une longue phrase de passe si vous utilisez cette phrase pour protéger tous vos services en ligne. Si l’un de vos services est compromis, et cela arrive parfois, tous vos comptes en ligne sont compromis. Il est donc crucial d’utiliser une phrase de passe différente par service.
Utilisez un gestionnaire de phrase de passe
Avoir une phrase de passe différente par service peut poser problème à ceux d’entre nous qui n’ont pas beaucoup de mémoire. Pas de panique, il existe des outils fiables et sécurisés pour enregistrer l’ensemble de vos mots de passe.
LastPass est un gestionnaire de mot de passe. Disponible sous forme d’extension pour Firefox, Chrome et Safari, LastPass permet d’enregistrer l’ensemble de vos phrases de passe. L’accès à votre coffre-fort LastPass est protégé par une phrase de passe unique. Il vous suffit alors de retenir cette seule phrase pour accéder à tous vos services en ligne. Tout comme le service de mail de google, Gmail, LastPass offre la possibilité de mettre en œuvre la validation en deux étapes. Si vous utilisez LastPass, il est fortement recommandé de choisir une longue phrase de passe et de configurer la validation en deux étapes.
Ne cliquez pas n’importe où !
S’il est important d’installer un antivirus sur son poste, il est encore plus important de faire preuve de bon sens lorsque vous recevez un lien ou une pièce jointe par emails, ou Twitter, Facebook ou Skype. Les services sociaux et les outils de communication sont les principaux vecteurs de transmission de virus.
Il existe aujourd’hui des logiciels malveillants développés par des sociétés spécialisés indétectables par les antivirus. La seule méthode efficace est d’agir en amont, avant qu’un logiciel malveillant n’infecte votre ordinateur ou votre smartphone.
- Ne téléchargez pas de fichiers ou ne cliquez pas sur des liens qui vous sont envoyés par des expéditeurs inconnus.
- Vérifiez soigneusement l’adresse mail ou le compte Twitter de ceux qui partagent un lien avec vous. En cas de doute, vérifiez l’identité de l’expéditeur auprès d’autres contacts ou par l’intermédiaire d’un moteur de recherche.
- Enfin si le fichier et l’expéditeur vous semble suspect, contactez des experts qui pourront vous aider. Le Citizen Lab est un organisme qui analyse les virus envoyés par des dissidents ou activistes et les aide à mieux se protéger.
Contrôlez votre présence sur les réseaux sociaux
Facebook et Twitter sont des outils très efficaces pour communiquer. Toutefois, vous devez veiller à contrôler les informations que vous donnez à voir au public. Ces tutoriels et services en ligne vous aideront à mieux contrôler votre présence en ligne:
- Vérifier votre présence sur Internet avec namechecker
- Paramètres de vie privée dans Facebook
- Les changements récents à connaitre dans Facebook
- Sécuriser son compte twitter
Ce(tte) œuvre est mise à disposition selon les termes de la Licence Creative Commons Attribution – Pas d’Utilisation Commerciale 3.0 non transposé. Image Let’s start the cryptoparty de *Xp0s3
Salut
Merci pour tous ces conseils. Ta nouvelle activité a l’air palpitante. J’espère que nous aurons l’occasion d’en discuter autour d’un verre.
Pour ma part, j’utilise depuis longtemps des gestionnaires de mot de passe et je ne connais qu’un seul pass phrase. Celui-ci ouvre le coffre que génére cet app géniale: 1password. Elle marche sur Mac, PC, iOS et Androïd. Sur tablette, ce qui est très utile c’est que tu peux surfer dans le navigateur de l’app avec tous tes mots de passe (uniques) à disposition. Sur ordi, elle fait le lien automatiquement avec le navigateur et mets à jour automatiquement dans la base si tu modifie.
À bientôt Grégoire
@grégoire Hello ! 1password est en effet un excellent gestionnaire de mot/phrases de passe. Multiplateformes, très bonne ergonomie etc. Son seul inconvénient c’est qu’il ne propose pas de version gratuite contrairement à LastPass qui a adopté un modèle freemium (gratuit pour les fonctions de base, payant pour les fonctions évoluées). imore.com a publié une étude comparative assez complète sur 3 différents gestionnaire de mots/phrases de passe : lastpass, 1password et msecure.
Au plaisir de parler de tout ça très prochainement !
@grégoire. Merci pour l’info pour lastpass. Je le conseillerai.
On se calle un moment en mai!
Merci pour toute ces infos en particulier pour le filtre de confidentialité je ne connaissais pas.Pour les passwords j’utilise keepass, portable gratuit, et dispo sur android et iphone également.