« Un Windows à jour avec un anti virus, c’est déjà pas mal »

Windows Update screen on Windows 7, photo de Christiaan Colen sous licence CC

Au cours de ces 4 dernières années , dans le cadre de mon activité chez Reporters sans frontières, j’ai animé une cinquantaine de formations à la sécurité numérique. Avec des journalistes, des blogueurs, en France, à l’étranger et d’une manière générale plutôt dans des pays où la liberté de la presse est fortement dégradée pour ne pas dire largement piétinée.

Il y a 4 ans, lorsque RSF a décidé de se lancer dans ces formations, nous avons consulté celles et ceux qui travaillaient sur ces sujets depuis quelques temps déjà, histoire de ne pas réinventer la roue. Merci au passage à foO_, Stéphane, Quinn, Okhin, ManachSkhaen, Natha, Nadim, Soghoian, intri, Oktavia et à beaucoup d’autres.

Parmi les avis et conseils recueillis, il y en a un qui m’avait particulièrement marqué et particulièrement déplu à l’époque. Il s’est pourtant avéré, 4 ans plus tard, que ce conseil était le plus judicieux de tous ceux que j’avais reçus.

Les Scuds de Johnson

Au cours d’un conversation Skype [1] avec Eric Johnson, un ancien d’Internews, nous avons abordé le sujet des formations à la sécurité numérique. A l’époque RSF prévoyait d’en mener en Chine. Bam! Premier Scud du Johnson : (c’est une conversation qui date de 4 ans, je déforme certainement les propos mais le fond est là) :

Vous êtes bien mignons les gars, mais faire des formations en Chine, ça revient à vouloir vider l’océan avec une cuillère à café.

Merci Eric me suis-je dit in petto, mais on n’a pas besoin de ton avis pour décider où se dérouleront ces formations.

La conversation suit son cours, je me lance sur PGP (un outil de chiffrement) en disant à quel point ce serait génial que les participants à ces formations puissent l’utiliser et généraliser son usage et là, bam, deuxième Scud :

Certes les outils de chiffrement de mails, de chat, de données, c’est important, mais si vous arrivez déjà à faire en sorte que les participants repartent avec un Windows non cracké, à jour, un antivirus, et un firewall, c’est déjà bien.

Merci Eric mais je ne vais pas prendre tes conseils de bouffeur de burger collabo de la CIA (Internews est une ONG américaine, financée à 100% par le gouvernement américain) pour argent comptant. Si tu as l’ambition d’une huître pour ton contenu pédagogique, ça te regarde mais de notre côté, on pense que la sécurité numérique ça va au-delà des mises à jour Windows.

Sur ce, nous nous sommes quittés bons amis. On ne s’est plus parlé pendant 4 ans.

Sur le terrain

Le bilan de ces 4 ans et 50 formations ? En fait, Eric Johnson n’était pas si loin de la vérité.

A chaque début de formation, dont certaines durent 3 jours, en fonction des participants et de leur niveau – oui parce qu’on est pas des sagouins chez RSF, avant d’aller sur place on échange avec les participants pour connaître leurs usages et leurs besoins – je me dis :

On va passer vite fait sur les bases histoire de voir avec eux un maximum d’outils, chiffrement de mails, de disques, des chats, outils sur mobile, et cerise sur le gâteau, tails.

Et à chaque fois, je me trompe. On ne passe pas vite sur les bases. On ne peut pas. Lorsqu’on aborde les mises à jour, les antivirus, les firewall, comment ça marche, à quoi ça sert, l’intérêt est toujours vif.

Au delà de l’intérêt, lorsqu’on regarde les ordinateurs de près, ou lorsqu’on discute un peu des habitudes et des pratiques avec les participants, on se rend compte (qu’au bout du compte, on est toujours tout seul au monde) que le niveau, pour des spécialistes de l’information dont l’outil principal est un ordinateur, est parfois catastrophique [2].

Florilège

Je n’ai pas participé à une seule formation – hors France – dans laquelle je n’aie rencontré au moins un Windows craqué. Le problème du piratage n’est pas du tout ici moral ; il se pose en terme de sécurité. La plupart du temps, il est impossible d’installer des mises à jour sur un Windows craqué. Et qui dit pas de mise à jour dit nombreuses failles de sécurité.

Mea Culpa

Donc Eric, si tu lis ce billet (chose que je sais que tu ne feras pas car comme tout bon américain tu n’es pas francophone mais ne t’inquiète pas, je vais le traduire bientôt en anglais) : Mea culpa. Je reconnais que tu avais raison. Les formations à la sécurité numérique pour les journalistes sont trop souvent vues au travers au travers du prisme déformant des experts en sécurité et du fantasme du monde de l’espionnage et du renseignement.

Cependant :

Un Windows propre… et un peu plus

J’ai l’air de peindre un portrait assez noir de ces formations : 4 ans pour installer des antivirus sur des ordinateurs un peu partout dans le monde. Non, évidemment non. La plupart du temps nous sommes allés plus loin, beaucoup plus loin : chiffrement, VPN, Tor, bridges, bridges cachés (merci TorServers), et parfois, quand la situation l’imposait et le niveau des participants l’autorisait, Tails (qui a eu un énorme succès auprès des participants dans certains pays d’Asie du sud est).

Mais tout ça, nous ne l’avons vu qu’une fois les ordinateurs nettoyés, les bases abordées et maîtrisées, tout ça afin d’éviter de construire des forteresses sur des fondations en carton.

  1. Skype, oui je sais, le logiciel de Microsoft, écouté par la NSA, dont toutes les communications passent par les serveurs de Microsoft à Redmond, en même temps, c’était une conversation avec un ancien d’Internews
  2. Ce n’est pas un jugement de valeur, tout le monde n’a pas fait des études d’informatique et le plus souvent l’ordinateur est considéré comme un outil au même titre que la voiture avec ce type de raisonnement : est-ce que j’ai besoin de savoir réparer une voiture pour en utiliser une ? Malheureusement dans certains pays, les conséquences d’un ordinateur infecté par un virus ou d’un e-mail intercepté peuvent être assez lourdes.

Réagissez

Si ce billet vous a plu ou si vous voulez apporter des précisions, ou si vous n’êtes pas d’accord avec ce que je raconte, c’est ici qu’il faut vous manifester. Je me réserve toutefois le droit de supprimer toute contribution insultante ou qui n’aurait rien à voir avec la choucroute.

  1. @Barbayellow plop 🙂 RSF remplaçait les windows piratés par des windows légaux avec licences toussa? cc @fo0_ @okhin

  2. RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  3. À lire: un Windows à jour et un antivirus, c’est déjà pas mal »
    http://t.co/CyyQmqY53W

    A lire. #InfoSec
    Via @RSF_RWB

  4. RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  5. Nour Hemici liked this on Facebook.

  6. RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  7. RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  8. Méa Culpa de rien du tout de ma part.
    Je préfère prendre du temps pour faire une démo de Tails + usbkey chiffré pour les données sensible plutôt que de me transformer en commercial de M$ légal via Internews.
    Ce Monsieur Johnson n’a qu’à combattre Microsoft qui mène une politique volontaire de licence craqué dans certains pays mais il le sait deja… voir plus.
    Quand à faire des formations en Chine ca sert à rien car y a trop de taff, cela dénote bien la mentalité de merde.

  9. @Barbayellow il y a aussi la fameuse :  » j’ai installé deux antivirus comme ça je suis mieux protégé  » !

  10. RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  11. Et jamais un linux suffisament user-friendly pour eux ? Sinon en passant, tape « in petTo » et plusieurs centaineS » :)

  12. RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  13. @nicolasdiaz Par défaut on distribue des clés #Tails. Ensuite ça dépend des besoins. On part toujours des besoins.

    Si l’un des participants a besoin de Windows, on lui explique les problèmes liés à l’utilisation de cette plate-forme, et si il pense que c’est toujours ce dont il a besoin, alors il se trouve un Windows.

    Tout le monde n’a pas la NSA ou le gvt US en face. Et tout le monde n’a pas nécessairement envie d’utiliser des logiciels libres. On n’est pas dogmatiques. En tout cas moi je ne le suis pas.

  14. @jljouannic Les utilisateurs de Linux sont très rares. De toutes les formations que j’ai pu faire, c’est surtout en Afrique sub saharienne que j’ai vu des utilisateurs de LInux. Quasiment jamais ailleurs. En réponse à >> https://twitter.com/jljouannic/status/633974931185909760

  15. @fo0_ Je suis pas complètement en désaccord avec Johnson. Si la plupart des utilisateurs de Windows avaient déjà un Windows non craqué, à jour, avec un anti virus et un firewall, ça les protégerait de 80% des menaces. Ensuite en effet, restent tous les problèmes associés à l’utilisation d’un logiciel propriétaire, et particulièrement Windows.

    Ce que j’ai voulu dire, qui n’était peut-être pas extrêmement clair dans le billet ci-dessus, c’est que vu les pratiques en informatiques parfois catastrophiques, il vaut mieux essayer d’améliorer l’existant, même sur Windows, pour ensuite aller plus loin.

    On ne devient pas utilisateur de logiciel libre du jour au lendemain. Et parfois un Windows clean peut être la première étape vers un peu plus de sécurité. L’idéal étant bien sûr à terme de se débarrasser de Windows. Surtout quand on voit ce qui arrive avec Win10.

  16. « Un Windows à jour avec un anti virus, c’est déjà pas mal »http://t.co/Xc6xH8JcDv

  17. @simon Le but dans ces formations n’est pas de passer tout le monde sur linux. C’est d’expliquer les risques associés à telle ou telle situation et quel outil peut être utile et quel autre peut être troué. On distribue des clés tails pendant ces formations en en expliquant leur utilisation (et surtout comment les cloner) mais on n’installe pas des distributions linux sur les ordinateurs.

  18. RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  19. RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  20. RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  21. Amaelle Guiton liked this on Facebook.

  22. RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  23. Le « pas mal » est l’ennemi de la sécurité et le cancer de la privacy…

  24. RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  25. RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  26. RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  27. Cad Web liked this on Facebook.

  28. RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  29. @Barbayellow tu es bien trop sympa avec cette barbouze intrusive qui n’a jamais recommandé FLOSS…

  30. « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/CtjvXUmMk6

  31. RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  32. RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  33. @Barbayellow @fo0_ @okhin oui, oui, la base qu’on oublie trop souvent..

  34. Stanislas Pouget liked this on Facebook.

  35. RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  36. RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  37. RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  38. RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  39. Jolie polémique, belle sincérité, complexité du débat ∞

  40. De l’importance de l’hygiène numérique avant le chiffrement via @barbayellow: (Permalink) http://t.co/Es86qtkUqS

  41. RT @genma: De l’importance de l’hygiène numérique avant le chiffrement via @barbayellow: (Permalink) http://t.co/Es86qtkUqS

  42. RT @genma: De l’importance de l’hygiène numérique avant le chiffrement via @barbayellow: (Permalink) http://t.co/Es86qtkUqS

  43. RT @genma: De l’importance de l’hygiène numérique avant le chiffrement via @barbayellow: (Permalink) http://t.co/Es86qtkUqS

  44. RT @genma: De l’importance de l’hygiène numérique avant le chiffrement via @barbayellow: (Permalink) http://t.co/Es86qtkUqS

  45. RT @genma: De l’importance de l’hygiène numérique avant le chiffrement via @barbayellow: (Permalink) http://t.co/Es86qtkUqS

  46. RT @genma: De l’importance de l’hygiène numérique avant le chiffrement via @barbayellow: (Permalink) http://t.co/Es86qtkUqS

  47. RT @genma: De l’importance de l’hygiène numérique avant le chiffrement via @barbayellow: (Permalink) http://t.co/Es86qtkUqS

  48. Un #Windows à jour avec un anti virus, c’est déjà pas mal. http://t.co/YjuipdyhXg

  49. RT @Barbayellow: Sécurité numérique : « Un Windows à jour avec un anti virus, c’est déjà pas mal » http://t.co/0EXumD1Skp cc @fo0_ @okhin

  50. Zak Le Messager liked this on Facebook.

  51. RT @genma: De l’importance de l’hygiène numérique avant le chiffrement via @barbayellow: (Permalink) http://t.co/Es86qtkUqS

  52. RT @genma: De l’importance de l’hygiène numérique avant le chiffrement via @barbayellow: (Permalink) http://t.co/Es86qtkUqS

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *