« Un Windows à jour avec un anti virus, c’est déjà pas mal »

Au cours de ces 4 dernières années , dans le cadre de mon activité chez Reporters sans frontières, j’ai animé une cinquantaine de formations à la sécurité numérique. Avec des journalistes, des blogueurs, en France, à l’étranger et d’une manière générale plutôt dans des pays où la liberté de la presse est fortement dégradée pour ne pas dire largement piétinée.

Il y a 4 ans, lorsque RSF a décidé de se lancer dans ces formations, nous avons consulté celles et ceux qui travaillaient sur ces sujets depuis quelques temps déjà, histoire de ne pas réinventer la roue. Merci au passage à foO_, Stéphane, Quinn, Okhin, Manach, Skhaen, Natha, Nadim, Soghoian, intri, Oktavia et à beaucoup d’autres.

Parmi les avis et conseils recueillis, il y en a un qui m’avait particulièrement marqué et particulièrement déplu à l’époque. Il s’est pourtant avéré, 4 ans plus tard, que ce conseil était le plus judicieux de tous ceux que j’avais reçus.

Les Scuds de Johnson

Au cours d’un conversation Skype [1] avec Eric Johnson, un ancien d’Internews, nous avons abordé le sujet des formations à la sécurité numérique. A l’époque RSF prévoyait d’en mener en Chine. Bam! Premier Scud du Johnson : (c’est une conversation qui date de 4 ans, je déforme certainement les propos mais le fond est là) :

Vous êtes bien mignons les gars, mais faire des formations en Chine, ça revient à vouloir vider l’océan avec une cuillère à café.

Merci Eric me suis-je dit in petto, mais on n’a pas besoin de ton avis pour décider où se dérouleront ces formations.

La conversation suit son cours, je me lance sur PGP (un outil de chiffrement) en disant à quel point ce serait génial que les participants à ces formations puissent l’utiliser et généraliser son usage et là, bam, deuxième Scud :

Certes les outils de chiffrement de mails, de chat, de données, c’est important, mais si vous arrivez déjà à faire en sorte que les participants repartent avec un Windows non cracké, à jour, un antivirus, et un firewall, c’est déjà bien.

Merci Eric mais je ne vais pas prendre tes conseils de bouffeur de burger collabo de la CIA (Internews est une ONG américaine, financée à 100% par le gouvernement américain) pour argent comptant. Si tu as l’ambition d’une huître pour ton contenu pédagogique, ça te regarde mais de notre côté, on pense que la sécurité numérique ça va au-delà des mises à jour Windows.

Sur ce, nous nous sommes quittés bons amis. On ne s’est plus parlé pendant 4 ans.

Sur le terrain

Le bilan de ces 4 ans et 50 formations ? En fait, Eric Johnson n’était pas si loin de la vérité.

A chaque début de formation, dont certaines durent 3 jours, en fonction des participants et de leur niveau – oui parce qu’on est pas des sagouins chez RSF, avant d’aller sur place on échange avec les participants pour connaître leurs usages et leurs besoins – je me dis :

On va passer vite fait sur les bases histoire de voir avec eux un maximum d’outils, chiffrement de mails, de disques, des chats, outils sur mobile, et cerise sur le gâteau, tails.

Et à chaque fois, je me trompe. On ne passe pas vite sur les bases. On ne peut pas. Lorsqu’on aborde les mises à jour, les antivirus, les firewall, comment ça marche, à quoi ça sert, l’intérêt est toujours vif.

Au delà de l’intérêt, lorsqu’on regarde les ordinateurs de près, ou lorsqu’on discute un peu des habitudes et des pratiques avec les participants, on se rend compte que le niveau, pour des spécialistes de l’information dont l’outil principal est un ordinateur, est parfois catastrophique [2].

Florilège

Je n’ai pas participé à une seule formation – hors France – dans laquelle je n’aie rencontré au moins un Windows craqué. Le problème du piratage n’est pas du tout ici moral ; il se pose en terme de sécurité. La plupart du temps, il est impossible d’installer des mises à jour sur un Windows craqué. Et qui dit pas de mise à jour dit nombreuses failles de sécurité.

• J’ai aussi vu des Windows sans anti virus, parce qu’on m’a dit que ça ralentissait ;
• J’ai vu – souvent sur les mêmes Windows craqués – des anti virus type Norton ou McAfee, désinstallés et réinstallés tous les 30 jours pour bénéficier à chaque fois de la période d’essai ;
• J’ai vu des mots de passe de moins de 8 caractères, craquables en quelques minutes. ;
• J’ai vu des PC avec Internet Explorer comme seul et unique navigateur ;
• J’ai vu – souvent – des Windows trop vérolés pour que la moindre installation de logiciels, voire d’extension, soit possible, et « vérolés », ça ne signifie pas infecté par un logiciel espion type Fin Fisher ou Hacking Team, non juste des malwares de base qui ajoutent de la pub sur les pages des navigateurs et changent le moteur de recherche utilisé par défaut ;
• J’ai vu des comptes Facebook bien protégés, avec une phrase de passe, parfois même avec un système de double authentification, dont le propriétaire – citoyen d’un pays où il ne fait pas bon avoir des relations avec une ONG comme RSF – publiait des photos de la formation, parfois même des participants, en mode public.

Mea Culpa

Donc Eric, si tu lis ce billet (chose que je sais que tu ne feras pas car comme tout bon américain tu n’es pas francophone mais ne t’inquiète pas, je vais le traduire bientôt en anglais) : Mea culpa. Je reconnais que tu avais raison. Les formations à la sécurité numérique pour les journalistes sont trop souvent vues au travers au travers du prisme déformant des experts en sécurité et du fantasme du monde de l’espionnage et du renseignement.

• Non, tout le monde n’a pas la NSA comme ennemi, même parmi les journalistes ;
• non, tout le monde n’est pas la cible de logiciels espions qui valent plusieurs centaines de milliers de dollars et que seuls des gouvernements peuvent s’offrir
• non, le problème principal des journalistes et autres acteurs de l’information n’est pas la protection de leur vie privée contre les Google, Apple et Microsoft

Cependant :

• il est important de connaître les menaces sus-citées et de savoir s’en prémunir ;
• il est encore plus important d’apprendre les bonnes pratiques de base – Stéphane Bortzmeyer parle assez justement de littératie numérique – car si un journaliste au Vietnam n’est pas capable de se protéger d’un malware ou d’un ransomware avec son bon vieux Windows, il n’a aucune chance contre un Hacking Team, un Fin Fisher, un Eagle ou même Google.

Un Windows propre… et un peu plus

J’ai l’air de peindre un portrait assez noir de ces formations : 4 ans et plusieurs milliers de kilomètres parcourus en avions pour installer des antivirus sur des ordinateurs un peu partout dans le monde, c’est un peu la loose pourrait-on me dire. Mais non, évidemment non. La plupart du temps nous sommes allés plus loin, beaucoup plus loin : chiffrement, VPN, Tor, bridges, bridges cachés (merci TorServers), et parfois, quand la situation l’imposait et le niveau des participants lepermettait, Tails (qui a eu un énorme succès auprès des participants dans certains pays d’Asie du sud est).

Mais tout ça, nous ne l’avons vu qu’une fois les ordinateurs nettoyés, les bases abordées et maîtrisées, tout ça afin d’éviter de construire des forteresses sur des fondations en carton.

1. Skype, oui je sais, le logiciel de Microsoft, écouté par la NSA, dont toutes les communications passent par les serveurs de Microsoft à Redmond, en même temps, c’était une conversation avec un ancien d’Internews
2. Ce n’est pas un jugement de valeur, tout le monde n’a pas fait des études d’informatique et le plus souvent l’ordinateur est considéré comme un outil au même titre que la voiture avec ce type de raisonnement : est-ce que j’ai besoin de savoir réparer une voiture pour en utiliser une ? Malheureusement dans certains pays, les conséquences d’un ordinateur infecté par un virus ou d’un e-mail intercepté peuvent être assez lourdes.