Vous êtes sur Barbablog et tu kiffes jeune. Cherche sur ce blog...

« Un Windows à jour avec un anti virus, c’est déjà pas mal »

Au cours de ces 4 dernières années , dans le cadre de mon activité chez Reporters sans frontières, j'ai animé une cinquantaine de formations à la sécurité numérique. Avec des journalistes, des blogueurs, en France, à l'étranger et d'une manière générale plutôt dans des pays où la liberté de la presse est fortement dégradée pour ne pas dire largement piétinée.

Windows Update screen on Windows 7, photo de Christiaan Colen sous licence CC

Au cours de ces 4 dernières années , dans le cadre de mon activité chez Reporters sans frontières, j’ai animé une cinquantaine de formations à la sécurité numérique. Avec des journalistes, des blogueurs, en France, à l’étranger et d’une manière générale plutôt dans des pays où la liberté de la presse est fortement dégradée pour ne pas dire largement piétinée.

Il y a 4 ans, lorsque RSF a décidé de se lancer dans ces formations, nous avons consulté celles et ceux qui travaillaient sur ces sujets depuis quelques temps déjà, histoire de ne pas réinventer la roue. Merci au passage à foO_, Stéphane, Quinn, Okhin, ManachSkhaen, Natha, Nadim, Soghoian, intri, Oktavia et à beaucoup d’autres.

Parmi les avis et conseils recueillis, il y en a un qui m’avait particulièrement marqué et particulièrement déplu à l’époque. Il s’est pourtant avéré, 4 ans plus tard, que ce conseil était le plus judicieux de tous ceux que j’avais reçus.

Les Scuds de Johnson

Au cours d’un conversation Skype [1] avec Eric Johnson, un ancien d’Internews, nous avons abordé le sujet des formations à la sécurité numérique. A l’époque RSF prévoyait d’en mener en Chine. Bam! Premier Scud du Johnson : (c’est une conversation qui date de 4 ans, je déforme certainement les propos mais le fond est là) :

Vous êtes bien mignons les gars, mais faire des formations en Chine, ça revient à vouloir vider l’océan avec une cuillère à café.

Merci Eric me suis-je dit in petto, mais on n’a pas besoin de ton avis pour décider où se dérouleront ces formations.

La conversation suit son cours, je me lance sur PGP (un outil de chiffrement) en disant à quel point ce serait génial que les participants à ces formations puissent l’utiliser et généraliser son usage et là, bam, deuxième Scud :

Certes les outils de chiffrement de mails, de chat, de données, c’est important, mais si vous arrivez déjà à faire en sorte que les participants repartent avec un Windows non cracké, à jour, un antivirus, et un firewall, c’est déjà bien.

Merci Eric mais je ne vais pas prendre tes conseils de bouffeur de burger collabo de la CIA (Internews est une ONG américaine, financée à 100% par le gouvernement américain) pour argent comptant. Si tu as l’ambition d’une huître pour ton contenu pédagogique, ça te regarde mais de notre côté, on pense que la sécurité numérique ça va au-delà des mises à jour Windows.

Sur ce, nous nous sommes quittés bons amis. On ne s’est plus parlé pendant 4 ans.

Sur le terrain

Le bilan de ces 4 ans et 50 formations ? En fait, Eric Johnson n’était pas si loin de la vérité.

A chaque début de formation, dont certaines durent 3 jours, en fonction des participants et de leur niveau – oui parce qu’on est pas des sagouins chez RSF, avant d’aller sur place on échange avec les participants pour connaître leurs usages et leurs besoins – je me dis :

On va passer vite fait sur les bases histoire de voir avec eux un maximum d’outils, chiffrement de mails, de disques, des chats, outils sur mobile, et cerise sur le gâteau, tails.

Et à chaque fois, je me trompe. On ne passe pas vite sur les bases. On ne peut pas. Lorsqu’on aborde les mises à jour, les antivirus, les firewall, comment ça marche, à quoi ça sert, l’intérêt est toujours vif.

Au delà de l’intérêt, lorsqu’on regarde les ordinateurs de près, ou lorsqu’on discute un peu des habitudes et des pratiques avec les participants, on se rend compte (qu’au bout du compte, on est toujours tout seul au monde) que le niveau, pour des spécialistes de l’information dont l’outil principal est un ordinateur, est parfois catastrophique [2].

Florilège

Je n’ai pas participé à une seule formation – hors France – dans laquelle je n’aie rencontré au moins un Windows craqué. Le problème du piratage n’est pas du tout ici moral ; il se pose en terme de sécurité. La plupart du temps, il est impossible d’installer des mises à jour sur un Windows craqué. Et qui dit pas de mise à jour dit nombreuses failles de sécurité.

  • J’ai aussi vu des Windows sans anti virus, parce qu’on m’a dit que ça ralentissait ;
  • J’ai vu – souvent sur les mêmes Windows craqués – des anti virus type Norton ou McAfee, désinstallés et réinstallés tous les 30 jours pour bénéficier à chaque fois de la période d’essai ;
  • J’ai vu des mots de passe de moins de 8 caractères, craquables en quelques minutes. ;
  • J’ai vu des PC avec Internet Explorer comme seul et unique navigateur ;
  • J’ai vu – souvent – des Windows trop vérolés pour que la moindre installation de logiciels, voire d’extension, soit possible, et « vérolés », ça ne signifie pas infecté par un logiciel espion type Fin Fisher ou Hacking Team, non juste des malwares de base qui ajoutent de la pub sur les pages des navigateurs et changent le moteur de recherche utilisé par défaut ;
  • J’ai vu des comptes Facebook bien protégés, avec une phrase de passe, parfois même avec un système de double authentification, dont le propriétaire – citoyen d’un pays où il ne fait pas bon avoir des relations avec une ONG comme RSF – publiait des photos de la formation, parfois même des participants, en mode public.

Mea Culpa

Donc Eric, si tu lis ce billet (chose que je sais que tu ne feras pas car comme tout bon américain tu n’es pas francophone mais ne t’inquiète pas, je vais le traduire bientôt en anglais) : Mea culpa. Je reconnais que tu avais raison. Les formations à la sécurité numérique pour les journalistes sont trop souvent vues au travers au travers du prisme déformant des experts en sécurité et du fantasme du monde de l’espionnage et du renseignement.

  • Non, tout le monde n’a pas la NSA comme ennemi, même parmi les journalistes ;
  • non, tout le monde n’est pas la cible de logiciels espions qui valent plusieurs centaines de milliers de dollars et que seuls des gouvernements peuvent s’offrir
  • non, le problème principal des journalistes et autres acteurs de l’information n’est pas la protection de leur vie privée contre les Google, Apple et Microsoft

Cependant :

  • il est important de connaître les menaces sus-citées et de savoir s’en prémunir ;
  • il est encore plus important d’apprendre les bonnes pratiques de base – Stéphane Bortzmeyer parle assez justement de littératie numérique – car si un journaliste au Vietnam n’est pas capable de se protéger d’un malware ou d’un ransomware avec son bon vieux Windows, il n’a aucune chance contre un Hacking Team, un Fin Fisher, un Eagle ou même Google.

Un Windows propre… et un peu plus

J’ai l’air de peindre un portrait assez noir de ces formations : 4 ans pour installer des antivirus sur des ordinateurs un peu partout dans le monde. Non, évidemment non. La plupart du temps nous sommes allés plus loin, beaucoup plus loin : chiffrement, VPN, Tor, bridges, bridges cachés (merci TorServers), et parfois, quand la situation l’imposait et le niveau des participants l’autorisait, Tails (qui a eu un énorme succès auprès des participants dans certains pays d’Asie du sud est).

Mais tout ça, nous ne l’avons vu qu’une fois les ordinateurs nettoyés, les bases abordées et maîtrisées, tout ça afin d’éviter de construire des forteresses sur des fondations en carton.

  1. Skype, oui je sais, le logiciel de Microsoft, écouté par la NSA, dont toutes les communications passent par les serveurs de Microsoft à Redmond, en même temps, c’était une conversation avec un ancien d’Internews
  2. Ce n’est pas un jugement de valeur, tout le monde n’a pas fait des études d’informatique et le plus souvent l’ordinateur est considéré comme un outil au même titre que la voiture avec ce type de raisonnement : est-ce que j’ai besoin de savoir réparer une voiture pour en utiliser une ? Malheureusement dans certains pays, les conséquences d’un ordinateur infecté par un virus ou d’un e-mail intercepté peuvent être assez lourdes.

52 réponses à “« Un Windows à jour avec un anti virus, c’est déjà pas mal »”

  1. twitter_fo0_ dit :

    Méa Culpa de rien du tout de ma part.
    Je préfère prendre du temps pour faire une démo de Tails + usbkey chiffré pour les données sensible plutôt que de me transformer en commercial de M$ légal via Internews.
    Ce Monsieur Johnson n’a qu’à combattre Microsoft qui mène une politique volontaire de licence craqué dans certains pays mais il le sait deja… voir plus.
    Quand à faire des formations en Chine ca sert à rien car y a trop de taff, cela dénote bien la mentalité de merde.

    • Barbayellow dit :

      @fo0_ Je suis pas complètement en désaccord avec Johnson. Si la plupart des utilisateurs de Windows avaient déjà un Windows non craqué, à jour, avec un anti virus et un firewall, ça les protégerait de 80% des menaces. Ensuite en effet, restent tous les problèmes associés à l’utilisation d’un logiciel propriétaire, et particulièrement Windows.

      Ce que j’ai voulu dire, qui n’était peut-être pas extrêmement clair dans le billet ci-dessus, c’est que vu les pratiques en informatiques parfois catastrophiques, il vaut mieux essayer d’améliorer l’existant, même sur Windows, pour ensuite aller plus loin.

      On ne devient pas utilisateur de logiciel libre du jour au lendemain. Et parfois un Windows clean peut être la première étape vers un peu plus de sécurité. L’idéal étant bien sûr à terme de se débarrasser de Windows. Surtout quand on voit ce qui arrive avec Win10.

  2. Barbayellow dit :

    @jljouannic Les utilisateurs de Linux sont très rares. De toutes les formations que j’ai pu faire, c’est surtout en Afrique sub saharienne que j’ai vu des utilisateurs de LInux. Quasiment jamais ailleurs. En réponse à >> https://twitter.com/jljouannic/status/633974931185909760

  3. twitter_bluetouff dit :

    Le « pas mal » est l’ennemi de la sécurité et le cancer de la privacy…

  4. Peha dit :

    Jolie polémique, belle sincérité, complexité du débat ∞

Laisser un commentaire