par Laurent | 21 Juil 2015 | Informatique
Depuis que la loi sur la sécurité informatique a été adoptée par les deux chambres, certains ont émis les inquiétudes de se voir espionnés ou tracés, de voir leurs habitudes de surf scrutées et analysées.
Faisons un point sur la loi qui vient d’être adoptée. Elle permet aux forces de l’ordre ou à un ministère d’installer sur le PC de n’importe qui un système d’audit et de traçabilité. Elle permet aussi aux F.A.I., les Fournisseurs d’Accès à Internet d’écouter sur demandes des autorités les activités internet d’une personne, ceci sans qu’un Juge n’ait eu à donner son avis. La motivation de cette loi est la lutte contre le terrorisme. Je trouve cette loi particulièrement dangereuse ou inadaptée pour deux raisons :
- La première est que les réseaux terroristes n’oeuvrent plus sur l’internet conventionnel depuis longtemps. Ils utilisent de darknet pour communiquer anonymement. Le réseau darknet est utilisé par à peu près toutes les agences de renseignement du monde et tous les réseaux de trafiquants, de terroristes en tous genres.
- La seconde est que cette loi met à disposition d’un gouvernement des outils d’écoute inédits qui, si ils tombaient en de mauvaises mains, permettraient d’espionner toute personne présente sur le territoire national pour des raisons pas nécessairement liées au terrorisme telles que l’activisme politique, l’espionnage industriel et j’en passe…
Alors le darknet, c’est quoi ?
Le darknet, le côté obscure d’internet, est un réseau sous terrain utilisant les mêmes lignes qu’internet mais utilisant des protocoles de communication différents. Ce protocole de communication inclut le passage par 5 proxys différents avec un changement de chemin toutes les 20 secondes ((cette durée est variable, elle peut être contrôlée par l’utilisateur)) . Chaque proxy connait le proxy précédent et le proxy suivant. Aucun d’eux ne connaît l’ensemble du chemin. Ces proxys peuvent être situés dans plusieurs pays différents ce qui, compte tenu des législations rend très difficile l’accès aux journaux de connexions ((les logs)) . Un proxy est un serveur transitoire.
Ajoutons à cela un protocole spécial de communication fondé sur un cryptage complexe des données, un domaine particulier pour les sites visités (les .onion)… et vous avez une idée de la difficulté pour un gouvernement de retrouver un chemin particulier. C’est théoriquement réalisable, dans la pratique c’est un vrai travail de fourmi qui nécessite beaucoup de temps, d’argent et de diplomatie.
Surfer Anonymement
Néanmoins, en tant qu’utilisateur lambda, vous pouvez surfer anonymement ((sous réserve de ce que nous avons vu)) sur l’internet normal en utilisant les proxys du réseau Tor. Installez TOR en le téléchargeant à cette adresse : httpss://www.torproject.org/download/download-easy.html
Sélectionnez la langue « Français »… Une fois téléchargé, lancez le.
Vous avez vu, c’est très simple… Vous pensez que ça ne marche pas ? Allez donc sur ce site et regardez où il croit que vous vous situez : https://whatismyipaddress.com/fr/mon-ip .
Vous utilisez gmail et vous ne souhaitez pas être lu ?
Rassurez vous, gmail est déjà crypté grâce au protocole httpss. Cependant, si vous souhaitez ajouter une couche de cryptage, vous pouvez toujours utiliser le plugin mymail-crypt (httpss://chrome.google.com/webstore/detail/mymail-crypt-for-gmail/jcaobjhdnlpmopmjhijplpjhlplfkhba) qui cryptera vos emails et les rendront lisibles à votre correspondant à l’unique condition qu’il en possède la clé.
Qu’en est il de nos conversations téléphoniques ?
Là encore, les plus paranoïaques d’entre nous pourront utiliser OpenWhisper pour Apple et Android (httpss://whispersystems.org/). Ces applications cryptent les conversations téléphoniques sans passer par internet. C’est un système open-source ce qui signifie que le code du programme est connu.
Internet est un espace de liberté, d’échanges, de connaissances et de convivialité où le bénévolat, le don est une pratique encore courante. Il appartient à chacun de contribuer à sa préservation…
par Laurent | 8 Juin 2015 | Informatique
Que n’entend on pas sur la sécurité et le piratage informatique ! « Je me suis fait piraté » dira l’utilisateur moyen devant un écran dont il ne comprendra pas le sens, comme si les pirates informatiques s’intéressaient aux photos de vacances de Mr Hulot… Relativisons. Le but de ce billet est de rappeler quelques consignes élémentaires de sécurité et surtout de bon sens informatique qui vous permettront d’avoir un indice de sécurité de 99% ((Le 100% n’existant pas en informatique)).
D’abord quelques chiffres :
- 95% des informations confidentielles sont sur internet. Vous cherchez quelque chose ? Il y a énormément de chance pour que l’information ait déjà été diffusée sur le réseau des réseaux. Pour cela essayez votre moteur de recherche favori et sachez aller au delà de la page 3 des résultats. Si l’information que vous cherchez n’est pas présente, elle l’est ailleurs. Affinez vos recherches, au bout d’un moment vous la trouverez sinon vous aurez obtenu des pistes de recherche. Sachez analyser des informations convergentes même si vous pensez qu’elles n’ont rien à voir avec l’objet de votre recherche.
- 80% des faits de piratages sont liés à des indiscrétions volontaires ou involontaires. La confidentialité s’applique à l’ensemble de tous les actes de la vie courante. Recevoir des amis à diner un samedi soir n’autorise pas à dévoiler ce qui se passe dans son entreprise sauf à vouloir lui nuire de façon intentionnelle ou pas. Il m’est arrivé par ce biais d’avoir accès à une information essentielle concernant un concurrent. Le piratage informatique n’est pas nécessairement une attaque en force brute qui sature les serveurs. Les bons piratages sont insidieux et pérennes; il collecte vos informations à votre insu sur du long terme.
Renforcer la sécurité informatique, c’est avoir un comportement sain et responsable avec les informations et le matériel que nous détenons. Voici quelques comportements à adopter :
Je n’ouvre jamais une pièce jointe dont je ne connais pas l’expéditeur ou que je trouve suspecte (le patron qui envoie une photo de Pamela Anderson dans ses années d’Alerte à Malibu est suspect, si, si, je vous assure !). Dans les années 2000 il y a eu un virus qui s’est fortement propagé ainsi. En fait un collègue recevait d’un expéditeur inconnu une photo ((d’une femme en tenue d’Eve, cela va de soi)) sur laquelle il devait cliquer pour l’agrandir. Le fait de cliquer dessus faisait suivre cette photo à l’ensemble du carnet d’adresse, effaçait certaines parties du disque dur et transmettait certains de vos fichiers ailleurs sur le web. Le simple fait de ne pas ouvrir la pièce jointe était salvateur.
Je ne vais pas sur des sites douteux et je ne télécharge rien dont je ne sois certain ; même avec le meilleur antivirus possible, il existe des sites franchement malveillants qui permettent de littéralement prendre le contrôle de votre ordinateur. C’est gênant surtout lorsque vous y allez avec l’ordinateur du bureau. Vous pouvez me dire que vous avez un excellent antivirus, ceux ci sont rétroactifs ce qui signifie qu’ils fonctionnent sur des virus déjà identifiés ou des comportements douteux de certains de sites webs. Ils ne sont efficaces à 100% en aucun cas car les pirates malveillants sont créatifs. La sécurité absolue n’existe pas.
Je ne travaille pas dans les transports en communs (trains, avions, bus, métro…). Hein ??? Mais que va penser mon patron si je ne travaille pas pendant mon Paris-Clermont Ferrand en train ? Il pensera que vous aurez bien fait ! Dans un poste précédent, j’ai eu la chance de remporter un appel d’offre parce que mes concurrents étaient assis juste devant moi dans l’avion et qu’ils passaient en revue leur présentation au client. C’était le prestataire qui était déjà en place chez le client et nous avons ainsi pu savoir combien il y avait exactement de ressources sur le site concerné par l’appel d’offre. Nous avons adapté notre présentation et notre offre. Nous avons ainsi remporté le marché. De même on ne parle pas des fournisseurs, des clients ni des chiffres de la société dans les transports. On ne sait jamais qui nous écoute.
Je ne parle pas de l’activité de ma société avec mes amis ou ma famille. On peut parler de l’ambiance de la société, en revanche on ne parle pas de l’activité. C’est une règle élémentaire. Personne n’a besoin de se faire mousser sur le compte de sa société surtout si cela la met potentiellement en danger. J’insiste sur ce dernier comportement car c’est le plus pernicieux de tous. Lors d’un repas familial, j’ai appris qu’un concurrent direct ouvrait une succursale en Inde. Cela nous a permis de revoir notre stratégie de présentation client lorsque celui ci était faisait partie des compétiteurs.
Lorsque mon PC est allumé, j’ai un écran de veille qui est désactivé avec un mot de passe… Si l’écran de veille se met en route, c’est généralement que je suis absent. Mettre un mot de passe empêche temporairement l’accès à mon PC. Si je dois m’absenter plus de 15 minutes, j’éteins mon PC. Il ne me faut pas plus de 15 minutes pour avoir accès aux informations de votre PC, même si vous avez un écran de veille avec un mot de passe. Idéalement vous pouvez crypter votre disque dur. Ceci pose néanmoins un problème au cas où votre disque dur commence à montrer des signes de faiblesses ; si vous n’avez pas fait des copies de vous fichiers, ils seront définitivement perdus. Il faut alors pour le pirate savoir où sont les copies des informations . Si vous tenez à crypter vos données, je vous recommande d’utiliser un disque virtuel, une sorte de gros fichier qui s’ouvre avec un mot de passe, qui crée un lecteur supplémentaire et dont vous pouvez avoir une copie sur un autre disque ou sur une clé USB. Je ne recommande pas le cryptage brut des disques dur pour des raisons de pérennité.
Ces règles de base et de bon sens vont vous permettre d’avoir une attitude responsable.