FRED's blaBlog

article : Conseils pour la protection de la vie privée en ligne

  Précédent >     [Fermer]

Mercredi passé (le 26/6), j'étais à la Cryptoparty organisée par le Parti Pirate au Parlement Européen.

Une Cryptoparty est un événement où l'on vous apprend à protéger votre vie privée sur le web.

Voici une copie des notes que j'y ai prises. Ce sont des notes prises au vol, donc excusez les fautes de frappes. C'est aussi pourquoi l'anglais et le français y sont mélangés. Vous y trouverez également les questions que je me suis posées auxquelles je n'ai pas eu de réponse, faute de temps.

Notez que je ne suis pas expert en sécurité. Ceci n'est que la retranscription de ce que j'ai cru comprendre. J'espère juste que ça pourra servir aux gens de mon niveau qui ne pouvaient être là.

Tous les commentaires sont bienvenus.

Attention ça commence:


OBJECTIFS:

- protéger ses messages et données
- protéger son identité
- protéger l'identité de nos contact
- protéger nos réseaux : empêcher la modélisation des flux de communication sur le web,
  qui permettent de détecter qui est important en fonction du nombre de gens gens
  qui se connectent à lui. Donc, empêcher de laisser voir d'où partent et où vont les
  messages. Brouiller les pistes.


VOCABULAIRE:

* "Repudiability" = fait de rendre impossible de certifier qui communique (même pour 
les participants eux-mêmes) = contraire de "Authentication", également très utile
en d'autres circonstances.

* encryption symétrique : même mot de passe pour crypter et décrypter. Pratique pour 
données perso mais pas très sécure pour communication puisqu'il faut envoyer le mot 
de passe à son correspondant.
* excryption asymétrique : clés (pwd) différentes pour encrypter et décrypter. Ca 
permet de communiquer sa clé publique (celle qui permet d'encoder les message à soi 
destinés) tout en conservant secrète sa clé privée (la seule qui permet de les 
décoder). On peut mettre sa clé publique partout, sur son site web, en signature de 
ses emails, invitant ainsi nos correspondants à encrypter les messages à nous 
destinés, sans les y obliger. Et on ne peut encrypter que nos messages destinés à 
ceux qui fournissent leur clé publique, ne faisant ainsi pas chier les autres qui ne 
jouent pas à ça.

* Hash: signature unique d'un fichier (codée selon un algo "hash" (par ex. MD5)) 
permettant de vérifier qu'il n'a pas été modifié. Il est très improbable que deux 
fichiers différents retournent le même Hash, et impossible que cela arrive 
intentionellement (sauf quand l'algo a été "cassé", ce qui est le cas justement du 
MD5, donc mauvais exemple, à ne plus utiliser).


CONSEILS:

* Search engines :
  - DuckDuckGo -> peu aussi rediriger recherche vers Google (add !G in query) en 
                  l'anonymisant pas à mort mais un peu quand même
  - StartPage -> uses Google's algorythms, but anonymously

* Plugin pour cleaner HTTP Request Headers: Ghostery

* Tor is a re-routing peer-to-peer network allowing for anonymous web surfing. 
There's the Tor Browser (safest), and a Tor plugin for Firefox.

* Never use Tor for websites where you'll identify yourselves (it'll defeat all your 
efforts).
  -> what if I have a special Tor identity ?

* Never BitTorrent through the Tor network ! BitTorrent is not a safe protocol, and 
exposes your whole Tor activity. Just downloading the ".torrent" files through Tor is 
ok tough. So is running a torrent client on the same system as Tor, as long as they 
don't interract.

* On peut en plus utiliser un VPN pour se connecter à Tor - ça brouille les analyses 
de flux de traffic.


* OTR Messaging offers repudiability

* Password policies :
** pour les fénéants : avoir au moins 4 passwords (ya moyen avec 3 déjà):
   - un core password, pour système, email, HD encryption...
   - un critical password, pour banques, etc.
   - un regular password, pour sites visités régulièrement
   - un trash password, pour tous les sites de merde que l'on ne visite qu'une fois
   -> perso j'ajouterais à ça un professional password, pour sites dont dépendent
      activité, auquel j'ajouterais systèmatiquement la 1re lettre du nom du site 
      concerné
** pour les paranos : avoir une boite à passwords, c-à-d un fichier encrypté (dont le 
mot de passe est le seul à retenir), dans lequel on stocke tous ses mots de passes, 
tous différents et générés aléatoirement.

* using a sentence as a password (or a random combination of four words). 
Ca fait bcp de caractères donc difficile à deviner par un robot mais facile à 
retenir par vous. Difficile à bruteforcer avec un dictionnaire parce qu'il y a 
tellement de mots possibles (bien plus que de lettres dans l'alphabet !).

* Truecrypt : encryption de drive (symétrique)

* GPG (GnuPG) : alternative à PGP si j'ai bien compris = encryption asymétrique de 
messages. On peut même mettre sa clé publique dans un annuaire

-> layer on top of layer: on peut encore "signer", c-a-d chiffrer sa clé publique... 
Tout est possible, tout est une question d'équilibre entre simplicité et sécurité.


* Vieux algorythmes d'encryption, cassés il y a longtemps, et donc fortement 
déconseillés: DES, MD5, RSA, etc...
  -> Y préférer les plus récents SHA-2, AES, etc. 
  
(Note: quand un de ces algo laisse le choix du nombre de bits sur lesquels l'encryption 
est faite, il faut savoir que plus il y a de bits, plus l'encryptage est difficile à 
casser, mais plus le processus d'encryption est lent. 
Un compromis peut donc être: bcp de bits pour les messages courts, moins de bits pour 
les messages longs)


* Avec de nombreux services comme Facebook, Google etc., il n'y a pas de vie privée,
c'est comme ça, il n'y a pas grand chose à faire si ce n'est les éviter.
(Facebook n'est pas facile à éviter, puisque chaque fois qu'un bouton j'aime s'affiche
sur n'importe quel site, vous êtes en fait en communication avec Facebook et Facebook
vous voit et vous suit à la trace sur ces sites, que vous soyez inscrits chez eux 
ou non. Il existe un plugin Firefox pour ne plus afficher ces boutons.
Avec Google+, c'est potentiellement pareil, mais en pratique je ne sais pas.)

Note: J'utilise beaucoup les termes "(en)crypter" et "décrypter". Les fans de l'académie française m'ont fait remarquer que ce sont des anglicismes, et qu'on est censés dire "chiffrer" et "déchiffrer"... Personnellement je m'en fiche. Le Français est ma langue maternelle, c'est la langue que je parle. Ce n'est pas la langue qu'une élite pour qui je n'ai pas voté voudrait me faire parler. J'espère répondre ainsi à l'argument fallacieux du "bon français": les puristes oublient trop souvent qu'une langue sert à se parler, et non à être exposée dans un musée. (Et ne me dites que ça me rend moins intelligible: ceux-là mêmes qui me reprennent me comprennent forcément.) Voilà pour le petit coup de gueule off-topic.

1 JUILLET 2013

4 commentaire(s) - lire les commentaires - ajouter un commentaire

Liste des articles :

[ Afficher plus ] [ Afficher Tous ]
Seuls les articles relatifs à "informatique" sont listés ci-dessous.

1 JUILLET 2013   Conseils pour la protection de la vie privée en ligne (4)
[Français]   [ technique - informatique - vie privée - libertés - conseils ]
26 MARS 2012   Accès à Pirate Bay depuis la Belgique (1)
[Français]   [ technique - informatique - libertés - censure ]