Home

guide d`autodéfense numérique

Contents

1. 24 3 2 Les mat riel espions 26 3 3 Les keyloggers ou enregistreurs de frappe au clavier 26 3 4 Des probl mes d impression 27 Quelques illusions de s curit 29 4 1 Logiciels propri taires open source libres 29 4 2 Le mot de passe d un compte ne prot ge pas ses donn es 31 4 3 A propos de l effacement des fichiers 32 4 4 Les logiciels portables une fausse solution 34 2 SOMMAIRE 5 La cryptographie 37 5 1 Prot ger des donn es des regards indiscrets 37 5 2 S assurer de l int grit de donn es 41 5 3 Sym trique asym trique 43 IT Choisir des r ponses adapt es 47 6 valuation des risques 49 6 1 Que veut on prot ger 49 6 2 Contre qui veut on se prot ger 49 7 D finir une politique de s curit 51 TA Une ala e de compris se s aa de pe aude DE 51 2 Comment Tamer 4 4048 ee hee dad 52 Ta Dnelguesteples ca ca a ADK ee eR OES eS 52 8 Un nouveau d part 57 Sl Vom eee Soe ee bee bee awe Beet Beha dba 57 8 2 Evaluar les visqued we da Le cu de au a a 57 8 3 D finir une politique de s curit 58 9 Travailler sur un document sensible 65 IL COME nn we eee a BR ER ee wi 65 9 2 valuer les risque
2. 17 7 Effacer le contenu d une partition chiffr e LUKS 17 8 Rendre irr cup rables des donn es d j supprim es 18 Partitionner et chiffrer un disque dur 18 1 Chiffrer un disque dur avec LUKS et dm crypt 18 2 D autres logiciels que l on d conseille 13 3 En pratiqne oe 24 844 b O48 w La aA whee Rae a 18 4 Pr parer ua disque A chifret oo pay a dea da die hi 18 5 Cr er une partition non chiffr e 18 6 Cr er une partition chiffr e 18 7 Utiliser wi disque dur dire cs s 22 ae sa ae leg 19 Sauvegarder des donn es 19 1 Gestionnaire de fichiers et stockage chiffr 192 Bnowtilisant Deja Dip Li Lite eri uses bboy a 20 Partager un secret 20 1 Partager une phrase de passe 20 2 Reconstituer la phrase de passe 21 Utiliser les sommes de contr le 21 1 Obtenir la somme de contr le d un fichier 21 2 V rifier l int grit d un fichier 93 93 93 94 99 99 100 101 101 102 105 105 106 107 107 110 114 114 115 116 117 120 122 127 127 128 128 129 129 130 132 135 137 137 138 138 139 140 140 141 143 143 145 149 149 151 4 SOMMAIRE 22 Installer et utiliser un syst me virtualis 22 1 Installer VirtualBor e c ei name 8 4 da dde mue mate ap de 22
3. 63 6 5 Confidentialit persistante 67 6 6 Resume et limites coc seum era Oe eee ae 68 7 Cacher les parties prenantes de la communication le routage en oignon 69 7 1 Pr sentation du routage en oignon 69 7 2 Participer au r seau Tor 72 7 3 Quelques limites de Tor sss 0 00048 bee See EE EEE eS 72 II Choisir des r ponses adapt es 77 8 Consulter des sites web 79 31 Contexte un das 2 S24 44 Soe Bee EDAD A ret 79 2 valuer les disques aa 2 4 un due ee do 8 due ae ae a 79 8 3 D finir une politique de s curit 80 8 4 Choisir parmi les outils disponibles 82 8 5 Naviguer sur des sites web avec le Tor Browser Bundle 84 8 6 Naviguer sur des sites web avec Tails 84 9 Publier un document 87 BU COMME coords DES ds ga ae mes did eee dt bd 87 9 2 valuer les risques 87 9 3 D finir une politique de s curit 87 GA Contact publies aace 4644 anne ee ee eb a e a de 89 10 Echanger des messages 91 IOL Contate o irradia A A Ne 91 10 2 valuer les risques 91 10 3 Deus probl matiques ss s c sob d ass anne ee 92 10 4 Webmail ou client mail 93 I WEBS sum wk seu duos AR A 93 10 6 Chest MU ooo a da 22 a anne 94 10 7 changer des emails en cachant son identit
4. 95 10 8 Echanger des emails confidentiels et authentifi s 97 11 Dialoguer 101 111 Contests Ds e saca tu se eee ee bE IS e nn 101 11 2 valuer les risques nk nnd 101 11 3 D finir une politique de s curit 101 LE Les les ce 2 2 ww cae ak D BOR ae ete eus 103 TIT Outils 107 12 Installer et configurer le Tor Browser Bundle 111 SOMMAIRE 3 12 1 T l charger et v rifier le Tor Browser Bundle 2 2 2 112 12 2 D compresser le Tor Browser Bundle 113 12 3 Lancer le Tor Browser Bundle 113 13 Naviguer sur le web avec Tor 115 13 1 Lancer le navigateur saaa en ae mt 115 13 2 Quelques remarques sur la navigation 115 14 Choisir un hebergement web 117 14 1 Quelques crit res de choix 117 14 2 Type de cantoni sess ibra Ghee a E RE 118 14 5 En pratique lt e 4 3 20 ee ed d wee eee m dd ss 119 15 Ajouter un certificat lectronique son navigateur 121 15 1 V rifier un certificat ou une autorit de certification 121 15 2 Ajouter nn CA MIRCA 2 2 Lu LR ee ee amp 122 15 3 Ajouter une autorit de certification 124 15 4 Trouver l empreinte d un certificat d j install 124 16 Utiliser un clavier virtuel dans Tails 125 16 1 Utiliser un clavier virtuel dans Tails
5. VBoxManage clonehd home LOGIN Disques virtuels propres Sauvegarde propre de gt Windows 2000 vdi home LOGIN VirtualBox VMs Projet1 Projetl vdi Apres toutes ces tapes la ligne de commande est complete et on peut lancer son ex cution en tapant sur la touche Entree 22 5 3 Cr er une nouvelle machine virtuelle Dans le bureau Debian aller dans Applications Accessoires VirtualBox Le programme d marre Cliquer sur New et suivre l assistant e choisir un Nom pour la machine virtuelle e choisir le Type de l OS correspondant parmi les Windows propos s e choisir la taille de M moire vive d di e la machine virtuelle en fonction de la quantit dont on a besoin pour le projet pr m dit si on veut utiliser un gros logiciel comme Photoshop il faut en pr voir le plus possible au moins 512 Mo en sachant que VirtualBox r lera si l on attribue plus de la moiti de la m moire totale la machine virtuelle e choisir Disque d amorcage et Utiliser un disque dur existant Cliquer sur l ic ne a droite du menu d roulant pour ouvrir une fen tre qui nous permettra de s lection ner notre image Projetl vdi Cliquer sur Ouvrir e cliquer sur Suivant et Cr er Il faut maintenant avant tout configurer la machine virtuelle Cliquer sur le bouton Configuration en prenant soin de la s lectionner dans la liste auparavant Il faut couper l acc s au r seau pour des raisons de s cur
6. noter l dedans susceptible et sur les r quisitions C est A dire que la loi est assez floue pour permettre d exiger de toute personne d tentrice de donn es chiffr es qu elle crache le morceau On peut ventuellement se voir demander la phrase de passe d un support qui ne serait pas le n tre et que nous n aurions donc pas On notera que personne notre connaissance n a pour l instant jamais t condamn pour ca Enfin il peut tre judicieux de rappeler que les math matiques utilis es dans les algo rithmes cryptographiques ont parfois des d fauts Et beaucoup plus souvent encore les logiciels qui les appliquent comportent des faiblesses Certains de ces probl mes peuvent du jour au lendemain transformer ce qu on pensait tre la meilleure des protections en une simple affaire de double clic 5 2 S assurer de l int grit de donn es Nous avons vu quelques pistes pour assurer la confidentialit de nos donn es Toute fois il peut tre aussi important de pouvoir s assurer de leur int grit c est dire de v rifier qu elles n aient pas subi de modification par accident ou par malveillance 6 Pour cette raison il est de bon ton de ne pas laisser la batterie branch e dans un ordinateur portable quand elle n est pas utilis e Il suffit alors d enlever le c ble secteur pour l teindre 7 Le terme l gal est cryptologie Une recherche sur ce mot sur L gifran
7. 14 Utiliser un systeme live 14 1 Des syst mes live discrets 14 2 T l charger et installer Tails 14 3 Cloner ou mettre jour une cl Tails 14 4 D marrer sur un syst me live 14 5 Utiliser la persistance de Tails 15 Installer un syst me chiffr Mt AOS DL IR SN NE LE Re Te aaa TRES 15 2 T l charger un support d installation 15 3 V rifier l empreinte du support d installation 15 4 Pr parer les supports d installation 15 5 L installation proprement dite 15 6 Quelques pistes pour continuer 15 7 Un peu de documentation sur Debian et GNU Linux 16 Choisir v rifier et installer un logiciel 16 1 Trouver un logiciel lt a e 4 SS eee das nein a a wees 19 2 Crit res de Chole 54 dake he eee ORR das d ps 16 3 Installer un paquet Debian ua ee as sa ue sde 16 4 Comment modifier ses d p ts Debian 17 Effacer des donn es pour de vrai VAL Un pen deine 22 22 44 4 ee granges ne Du 17 2 Sur d autres syst mes Ia ADN Lu us dass nature te aa 17 4 Supprimer des fichiers et leur contenu 17 5 Effacer pour de vrai tout un disque 17 6 Effacer tout le contenu d un disque
8. 125 17 Utiliser le client mail Claws Mail 127 17 1 Installer le client mail Claws Mail 127 17 2 Lancer Claws Mail 4 a3 4 De dune SN PEL YY Lau 127 17 3 Configurer un compte email 127 17 4 Configuration avanc e de Claws Mail 128 18 Utiliser OpenPGP 131 18 1 Importer une cl OpenPGP sa sss 4 444 44e ua 131 18 2 V rifier l authenticit d une cl publique 132 183 Signer une cl 2s 1 naar an aa aan 133 18 4 Cr er et maintenir une paire de cl s 134 18 5 Exporter une cl publique OpenPGP 137 18 6 Utiliser la crytographie asym trique pour chiffrer ses emails 138 18 7 De chitiver des emails 4 seoa saaa we moy une d 139 18 8 V rifier une signature num rique OpenPGP 139 18 9 Signer des emails aaa ricana dun due da Eu ln 141 18 10 Signer des donn es o a 4 4 4 44 ee 141 18 11 R voquer une paire de cl s 142 19 Utiliser la messagerie instantan e avec OTR 145 19 1 Installer le client de messagerie instantan e Pidgin 145 192 Lancer Pidgin csi 2 ac a a a da d 8 4 4 La eee 3 145 19 3 Configurer un compte de messagerie 145 19 4 Cr er un compte de messagerie instantan e 146 19 5 Chiffrer la connexion au serveur XMPP 146 19 6 Activer le
9. apt key finger Puis appuyer sur Entr e On obtient alors une liste des cl s de d p ts chacune sous la forme suivante pub 2048R 886DDD89 2009 09 04 expire 2014 09 03 Empreinte de la cl A3C4 FOF9 79CA A22C DBA8 F512 EE8C BC9E 886D DD89 uid deb torproject org archive signing key sub 2048R 219EC810 2009 09 04 expire 2012 09 03 C est la troisieme ligne de chaque entr e qui donne le nom du dep t Il s agit dans cette liste de trouver le nom du d p t qui nous nous interesse Dans l exemple ci dessus ona uid deb torproject org archive signing key Il s agit donc de la cl de deb torproject org L empreinte correspondante se trouve sur la ligne juste au dessus Empreinte de la cl A3C4 FOF9 79CA A22C DBA8 F512 EE8C BC9E 886D DD89 Noter alors cette empreinte pour de futures comparaisons R cup rer la cl d un d p t depuis Internet Il faut tout d abord ouvrir Applications Outils syst me Pr f rences Mots de passe et cl s e Dans le menu Distant choisir Chercher des cl s distantes e Dans Chercher des cl s contenant taper une partie du nom de la cl recherch e ou son identifiant par exemple torproject org ou 1F41B907 pour deb multimedia puis cliquer sur Chercher 124 II OUTILS e Une fen tre Cl s distantes contenant s ouvre Ici on a par exemple deb torproject org archive signing key qui a pour identifiant 886DDD89
10. Aussit t assis Benoit clique nerveusement sur la barre d adresse du na vigateur web et rentre directement l adresse du blog sur lequel sont r gu lierement publi es des informations sur les personnages politiques de son arrondissement Il n aime pas passer par Google pour ses recherches alors il l a apprise par coeur Sait on jamais a pourrait viter les mouchards Ouvrant un deuxieme onglet il entre galement l adresse de no log sa boite mail et s y connecte Nickel il est la Le document concernant les comptes bancaires en Suisse du Maire de son arrondissement M Ala voine Beno t t l charge aussit t le document et louvre dans l diteur de texte Il le parcourt rapidement et supprime quelques informations qu il vaut mieux ne pas laisser Apr s avoir entr son identifiant et son mot de passe pour se connecter au blog Beno t copie colle le contenu du document depuis sa botte mail et clique sur Envoyer Esp rons que cela inspire d autres personnes Satisfait d avoir pu enfin envoyer son document Beno t se rel ve aussit t et rend sa place Alice On va se prendre un caf Novembre 2010 Si ge social de La Reboute En arrivant au bureau Samuel Coustant PDG de La Reboute commence par plucher le courrier re u en buvant son caf Une convocation au commissariat Pour une fois il y a autre chose que des factures Sans doute une erreur ou une enqu te de voisinage Samue
11. Ces techniques utilis es isol ment ne sont pas forc ment tr s robustes mais leur utilisation conjointe procurera une cr dibilit suffisante dans le fait que le certificat que vous allez utiliser est le bon Et que personne n aura r ussi vous tromper 15 2 Ajouter un certificat Il est possible d ajouter un certificat d un site particulier plut t qu une autorit de cer tification notamment dans les cas o le certificat est auto sign c est dire lorsque celui ci n est pas mis par une autorit de certification mais par l h bergeur lui m me De la m me maniere cette manipulation est parfois n cessaire lorsqu il s agit d ajou ter le certificat d un serveur mail dans un client mail On peut galement pr f rer cette o m thode permettant de d cider au cas par cas plut t que de placer sa confiance dans page 65 des autorit s de certification on a vu qu elles n en taient pas toujours dignes Dans le cas d un site web apr s avoir rentr une adresse commengant par https il arrive qu on obtienne un message d avertissement comme suit Cette connexion n est pas certifi e Vous avez demand Iceweasel de se connecter de mani re s curis e site com mais nous ne pouvons pas confirmer que votre connexion est s curis e Normalement lorsque vous essayez de vous connecter de mani re s curis e les sites pr sentent une identification certifi e pour prouver que vous vous trouvez
12. 18 5 2 Pour exporter la cl vers un fichier Le fichier que l on va exporter contiendra notre cl publique n cessaire aux personnes qui souhaitent nous envoyer des emails chiffr es Aller dans Mots de passe et cl s s lectionner notre cl OpenPGP et choisir Exporter dans le menu Fichier En bas droite de la fen tre choisir Cl s blind es PGP dans le menu d roulant la place de Cl s PGP Choisir un emplacement d exportation et un nom de fichier puis cliquer sur Exporter 18 5 3 Pour exporter la cl vers un serveur de cl s Pour cela voir comment publier sa cl publique sur les serveurs de cl s 18 6 Utiliser la crytographie asym trique pour chiffrer ses emails Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e quelques minutes Nous allons explorer l usage de la crytographie asym trique dans le cas particulier du chiffrement d emails Selon qu on utilise un client mail ou le webmail la m thode employer pour chiffrer ses emails sera diff rente 18 6 1 Chiffrer ses emails dans Claws Mail Une fois Claws Mail d marr et configur cliquer sur le bouton Composer afin de d buter la r daction d un nouveau message Une fen tre Composition d un message s ouvre dans laquelle on va r diger son email Avant ou apr s r daction de son email mais en tout cas avant de
13. Attention cela ne signifie pas qu il n y aura pas de traces sur le disque dur par exemple nombre de syst mes live utilisent l espace d change swap pr sent sur le disque dur s ils en d tectent un De plus ils utilisent parfois automatiquement les partitions qu ils y d tectent 14 1 Des syst mes live discrets Par contre certains syst mes live sont sp cialement con us pour tenter de ne laisser aucune trace sur le disque dur de l ordinateur sur lequel ils sont utilis s moins que Pon ne leur demande express ment de le faire C est par exemple le cas de Tails The Amnesic Incognito Live System le syst me live amn sique incognito Il n y a alors si les personnes l origine du syst me live ne se sont pas tromp es rien d crit sur le disque dur Tout ce qui sera fait partir du syst me live sera uniquement crit en m moire vive qui s efface plus ou moins pour de vrai toute seule quand on teint l ordinateur du moins au bout d un certain temps Utiliser de tels systemes live est donc l une des meilleures facons d utiliser un ordi nateur sans laisser de traces Nous verrons ici comment obtenir un systeme live et comment d marrer dessus Le moyen usuel d utiliser un systeme live est de l installer sur une cl USB une carte SD ou de le graver sur un DVD On parle dans ce cas de Live DVD N anmoins vu qu il est possible d crire des donn es sur une cl USB ou une carte SD a
14. faire en sorte que ces informations restent accessibles quand on en a besoin Ici accessibilit et confidentialit sont prioritaires 8 2 2 Contre qui veut on se prot ger Cette question est importante en fonction de la r ponse qu on lui donne la politique de s curit ad quate peut varier du tout au tout Geste g n reux cons quences judiciaires Cet ordinateur pourrait tre saisi lors d une perquisition Par exemple votre fils a g n reusement donn un gramme de shit un ami fauch qui apr s s tre fait pincer a inform la police de la provenance de la chose la suite de quoi votre fils est p nalement consid r comme trafiquant de stup fiants D o la perquisition Dans ce genre de cas l ordinateur a de grandes chances d tre examin par la police mettant en p ril l objectif de confidentialit La gamme de moyens qui seront pro bablement mis en ceuvre va du gendarme de Saint Tropez allumant l ordinateur et cliquant partout l expert judiciaire qui examinera de beaucoup plus pres le disque dur il est en revanche improbable que des moyens extra l gaux usuellement aux mains des services sp ciaux et des militaires soient utilis s dans cette affaire Cambriolage Cet ordinateur pourrait tre d rob lors d un cambriolage Au contraire de la police les voleurs n ont sans doute pas grand chose faire de vos petits secrets et ne vous d nonceront pas Au pire vous feron
15. l aide d une page 137 cl USB par exemple le fichier contenant la cl publique Alice exporte alors sa cl de ce fichier Se transmettre l empreinte par un canal sir L un des inconv nients de la m thode pr c dente est qu elle n cessite de se passer un lo e fichier informatique par un moyen s r Cela n est pas toujours possible Heureusement tome 1 5 21 ce n est en fait pas n cessaire il suffit d obtenir par un moyen s r une somme de L sal Alice peut ainsi publier sa cl publique sur Internet par exemple sur son blog ou sur un serveur de cl s De notre c t nous t l chargeons cette cl de fagon non authentifi e puis on v rifie que l empreinte de la cl correspond a celle qu Alice nous a fait parvenir de facon authentifiee Que gagnons nous utiliser cette m thode Au lieu de devoir se faire passer un fichier il est suffisant de se transmettre une ligne de caract res comme celle ci 0D24 B36A A9A2 A651 7878 7645 1202 821C BE2C D9C1 18 UTILISER OPENPGP 133 Par exemple Alice qui est une personne organis e peut avoir en permanence sur elle un exemplaire de l empreinte de sa cl publique crite sur un bout de papier Il nous suffit alors de la croiser pour qu elle nous la passe pas besoin d ordinateur ni de cl USB Si Pon ne peut pas rencontrer Alice elle pourra aussi nous envoyer cette empreinte par courrier postal et on pourra l appeler pour qu elle nous
16. pierce inal ER q l Ces diff rentes m thodes ne demande pas de grandes comp tences techniques et sont donc la port e de beaucoup d adversaires Pour s en prot ger on suivra les recettes suivantes P gt te N a gt 1 f h a 9 si possible on travaillera sur notre document en utilisant d s le d but des m thodes limitant les m tadonn es qui pourront tre enregistr es Proa t O O rm O gt Pp N A e dans tous les cas il est bon de supprimer d ventuelles m tadonn es avant publi cation 9 3 3 Deuxi me tape demander 4 ceux qui voient En l absence de traces facilement exploitables l int rieur du document l un des angles d attaque le plus praticable est alors de chercher les traces de sa publication sur le r seau T 7 A x page 39 Selon ses pouvoirs notre adversaire peut effectuer une requ te legale aupres de L correspondant cette adresse IP pour avoir le nom de l abonn Ici aussi pour y faire face on utilisera Tor pour se connecter Internet en brouillant cette piste avant de publier notre document 9 PUBLIER UN DOCUMENT 89 Quant au choix de l h bergement les questions discut es ci dessus s appliquent tou jours De plus certaines des plateformes sur lesquelles on voudrait d poser notre do cument sont susceptibles de ne pas fonctionner si Tor est utilis ou d utiliser des tech nologies comme Flash qui sont fortement d
17. shred n 3 v LE P RIPH RIQUE Si l on pr f re utiliser la m thode originale de Gutmann plus longue et peut tre plus s re il faut remplacer n 3 par n 25 dans la ligne de commande Une fois la commande tap e et v rifi e appuyer sur la touche Entr e La commande shred va alors crire dans le terminal ce qu elle fait ainsi qu on lui a demand de le faire en ajoutant la commande shred l option v qui signifie dans le cadre de cette commande que l ordinateur doit tre verbeux c est dire bavard shred dev sdb pass 1 3 random shred dev sdb pass 2 3 random shred dev sdb pass 3 3 random la fin de la proc dure le terminal affiche nouveau le signe qui symbolise l invite de commande On peut alors fermer le terminal 17 6 3 R utiliser le disque Attention cette m thode efface non seulement les donn es d un volume complet mais la fin de l op ration le disque n a plus ni table de partitions ni syst me de fichiers Pour le r utiliser il est n cessaire de cr er enti rement au moins une nouvelle partition Y 7 D AS T et son systeme de fichiers avec l Utilitaire de disque par exemple page 16 L 4 132 II OUTILS 17 7 Effacer le contenu d une partition chiffr e LUKS Cc Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponi
18. L installeur pr vient pour le cas o l on voudrait le changer qu il doit commencer par une lettre minuscule et tre suivi d un nombre quelconque de chiffres et de lettres minuscules e L installeur demande un mot de passe pour l utilisateur qui aura le droit d admi nistrer l ordinateur si l on a d cid de ne pas entrer un mot de passe superuti lisateur pr c demment 15 5 5 Partitionner les disques Le CD d marre ensuite l outil de partitionnement Il d tecte les partitions pr sentes et va proposer de les modifier e Dans le menu M thode de partitionnement choisir Assist utiliser tout un disque avec LVM chiffr e Dans Disque partitionner choisir le disque sur lequel installer Debian GNU Linux Si Pon veut supprimer le syst me actuellement install il corres pond en g n ral au premier disque de la liste La taille du disque est un indice permettant de ne pas se tromper pour ne pas essayer d installer Debian sur la cl USB contenant l installeur par exemple e L installeur propose ensuite diff rents Sch mas de partitionnement La il y a plu sieurs possibilit s Tout dans une seule partition fonctionne toujours si l on a un gros disque pas moins de 20 Go on peut d cider de stocker le r pertoire home qui contiendra vos donn es personnelles dans une partition s par e e L installeur pr vient alors qu il va appliquer le sch ma actuel de partitionnement ce qui s
19. Pour viter qu un secret vent ne compromette a posteriori de nombreux autres secrets qui en d pendent comme par exemple le contenu de conversations en messa gerie instantann e pourtant chiffr es des changes de emails etc certains logiciels incluent des fonctions dites de confidentialit persistante 2 ou Perfect Forward Se crecy en anglais Elles assurent que m me si un jour un secret a long terme typiquement une cl priv e est d couverte par un adversaire les changes seront prot g s d une analyse a posteriori Dans les faits au lieu d utiliser directement la cl publique pour chiffrer les com munications ce type de chiffrement utilise un protocole d change de secrets concu pour fonctionner m me sur un canal de communication non s r en n gociant une cl temporaire chaque session de communication La cl secr te d une paire de cl s ne sert dans ce cas qu s assurer qu on communique bien avec la bonne personne en signant cet change de secret C est ensuite ce secret temporaire qui est utilis pour chiffrer de fagon sym trique les communications Une fois la communication termin e il suffit que les logiciels impliqu s oublient ce secret temporaire Quand bien m me quelqu un mettrait la main sur les cl s secr tes 18 Ainsi le projet Monkeysphere http web monkeysphere info permet d tendre l utilisation des toiles de confiance d OpenPGP 4 l authentification de s
20. change de messages la publication de nouvelles en passant par les groupes de discussion Ils tendent se substituer la fois l email la messagerie instantan e aux blogs ainsi qu aux forums Dans le m me temps se d veloppent de nouvelles fonctions comme une certaine vie relationnelle num rique o l existence d une communication prime sur son contenu 9 M Brennan R Greenstadt 2009 Practical attacks against authorship recognition techniques dans Proceedings of the Twenty First Innovative Applications of Artificial Intelligence Confe rence http www cs drexel edu greenie brennan_paper pdf en anglais 10 Andrew W E McDonald Sadia Afroz Aylin Caliskan Ariel Stolerman Rachel Greenstadt 2012 Use Fewer Instances of the Letter i Toward Writing Style Anonymization The 12th Privacy Enhancing Technologies Symposium https www cs drexel edu sa499 papers anonymouth pdf en anglais 5 IDENTIT S CONTEXTUELLES 57 pouss e son paroxysme avec les pokes ces messages sans contenu Le web 2 0 encourage l expression sur des sujets qui taient auparavant consid r s comme intimes 1 Finalement pas grand chose de bien nouveau si ce n est la centralisation de nom breuses fonctions et de pratiques vari es vers un outil unique C est d ailleurs le c t tout en un de ces plateformes le graphisme ainsi que la facilit d usage qui en font le succ s Mais cette centralisa
21. chaque visite C est ce qui permet par exemple aux applications de mail en ligne webmail de se rappeler qu on est bien authentifi avec notre adresse et notre mot de passe pendant notre session ou de m moriser la langue que l on d sire utiliser Les cookies permettent aussi un site web de pister les personnes qui le visitent Ainsi les r gies publicitaires sur Internet incluent dans les publicit s qu elles affichent sur les sites des cookies traceurs qui permettent de suivre linternaute dans ses d placements sur tous les sites qui affichent des publicit s en provenance de la m me r gie publicitaire Ainsi elles peuvent collecter des informations de plus en plus pr cises sur celui ci et par cons quent lui proposer une publicit de mieux en mieux cibl e De plus lorsqu on consulte des pages web celles ci tablissent en fait des connexions vers des sites de publicit s et souvent vers les m mes sites ce qui augmente d autant plus la possibilit de pistage de la part de ces sites Enfin certains cookies ont une date d expiration mais d autres sont dur e ind finie les sites qui nous les auront refil s pourront identifier notre navigateur pendant des ann es Les cookies classiques sont cependant restreints en termes de volume de donn es et faciles supprimer par un utilisateur averti Aussi ont ils t am lior s tout d abord via la technologie Flash par un objet loca
22. e Press KEY to enter setup e Setup KEY e KEY Setup e Enter BIOS by pressing KEY e Press KEY to enter BIOS setup e Press KEY to access BIOS e Press KEY to access system configuration e For setup hit KEY Ces messages disent d utiliser la touche KEY pour entrer dans le micrologiciel Cette touche est souvent Delete DEL ou parfois FI F10 F12 Echap Tab voire autre chose encore 1 http support apple com kb HT1310 viewlocale fr_FR 2 Des tutoriels illustr s pour quelques BIOS sont disponibles sur cette page http www hiren info pages bios boot cdrom 13 D MARRER SUR UN CD UN DVD OU UNE CL USB 95 Voici un tableau qui r sume les touches d acc s au micrologiciel pour quelques fabri quants d ordinateurs communs 3 Fabriquant Mod le Touches observ es Acer mod les r cents F2 Acer modeles anciens Cri Att Echap F1 AST ARI Ctrl Att Echap Ctrl Alt Super Compaq modeles r cents F10 Compaq modeles anciens Fi F2 Super CompUSA Super Cybermax TEchap Dell modeles r cents F2 Dell anciens desktops Ctrl Alt Entr e Super Dell anciens portables Fn Echap Fn F1 eMachines Tab Super Fujitsu F2 Gateway
23. la confiance qu on met dans l ordinateur et les logiciels auxquels on confie le chiffrement et le d chiffrement AN et donc le texte en clair Elles touchent aussi aux obligations l gales de fournir aux tome 1 5 1 4 autorit s les moyens de d chiffrer des communications lorsqu elles le demandent Elles i touchent enfin l volution de la cryptographie ce qui est s r aujourd hui ne le sera peut tre pas demain Enfin si le chiffrement permet de cacher le contenu de la communication les parties impliqu es qui communique avec qui restent apparentes CHAPITRE r Cacher les parties prenantes de la communication le routage en oignon Utiliser des protocoles chiffr s permet d avoir une certaine confidentialit sur Internet un adversaire ne sait pas ce qui se dit Par contre un adversaire peut facilement d terminer la source et le destinataire de la communication Voyons donc maintenant comment et dans quelle mesure on peut essayer de dissi muler d o vient une communication et o elle se rend 7 1 Pr sentation du routage en oignon Le routage en oignon utilis par exemple par Tor peut fournir un certain anony mat sur Internet en masquant d o provient une communication En utilisant un tel syst me l adresse IP qui appara t sur Internet et qui sera par exemple enregistr e dans les journaux de connexion des serveurs utilis s n est pas la n tre mais celle d un autre ordinateu
24. 1 Catherine Armitage 2014 Spyware s role in domestic violence http www theage com au technology technology news spywares role in domestic violence 20140321 358sj html parle de luti lisation des malwares et autres outils technologiques par des proches abusifs ou violents en anglais 2 Pour se faire une id e des probl matiques li es l espionnage industriel Wikipedia 2014 Espionnage industriel https fr wikipedia org wiki Espionnage industriel 3 Microsoft en partenariat avec Interpol a fabriqu une boite outils appel e COFEE Com puter Online Forensic Evidence Extractor mise disposition des polices d une quinzaine de pays Korben 2009 Cofee La cl s curit de Microsoft vient d apparaitre sur la toile http korben info cofee la cle securite de microsoft vient dapparaitre sur la toile html 24 I COMPRENDRE Cependant les services de s curit francais disposent maintenant des moyens de mettre en place une sur veillance informatique tr s complete en toute l galit en s appuyant sur plusieurs mouchards pr sent s par la suite travers la Loi d Orientation et de Pro grammation pour la Performance de la S curit Int rieure dite LOPPSI 2 Ce texte inclut en effet des dispositions l gales in dites permettant dans le cadre d une enqu te sur des infractions relevant de crimina lit ou de la d linquance organis e d installer des mou chards pour enregistrer et transmettre ce qu
25. Importer une cl ne signifie pas avoir v rifi qu elle appartient bien au propri taire suppos Nous verrons par la suite qu il faut pour cela effectuer d autres op rations comme tudier ses signatures ou son empreinte num rique 18 1 1 Afficher les cl s disponibles Pour afficher les cl s import es cliquer sur Affichage Tout afficher Choisir Affi chage gt Par trousseau permet de mieux s y retrouver 18 1 2 Si l on dispose de la cl dans un fichier Cliquer sur Fichier Importer dans la fen tre qui s ouvre s lectionner le fichier contenant la cl puis cliquer sur Ouvrir Une fen tre affiche des informations sur la cl Si c est bien la cl qu on souhaite importer cliquer sur Importer 18 1 3 Si l on veut chercher la cl en ligne Toujours dans la fen tre Mots de passe et cl s de chiffrement cliquer sur Distant Chercher des cl s distantes 1 Wikip dia 2014 Standard Internet https fr wikipedia org wiki Standard Internet 132 II OUTILS Dans la fen tre qui s ouvre alors taper un nom un num ro de cl ou toute autre information permettant de trouver la cl recherch e par exemple 0x63FEE659 63FEE659 ou Alice Dupont Cliquer ensuite sur Chercher Une fen tre de r sultats s ouvre Il peut d ailleurs y avoir de nombreux noms corres pondant notre recherche comme par exemple pour Erinn Clark Lequel choisir Si Von sait que la cl que l
26. Inspection en profondeur des paquets en francais se g n ralise L avantage i de cette technique par rapport aux techniques classiques est que la surveillance ne _____ se limite plus aux seules informations inscrites dans les en t tes des paquets IP mais page 28 touche au contenu m me des communications si celles ci ne sont pas chiffr es il est possible de retrouver par exemple le contenu complet d emails ou l int gralit de nos consultations et recherches sur le web L utilisation de cette technique en Lybie ou en Syrie par exemple a permis dans un premier temps de mettre sous surveillance num rique toute la population du pays pour dans un second temps notamment effectuer des attaques cibl es La soci t plus bas Amesys bas e en France a en effet avec l aide et appui du gouvernement de l poque install de tels syst mes en Lybie au Maroc au Qatar ou encore en France 47 q l 3 4 Attaques cibl es Lorsqu une internaute ou qu une ressource disponible via Internet comme un site web ou une boite mail veille la curiosit d un adversaire ce dernier peut mettre en place des attaques cibl es Ces attaques cibl es peuvent avoir lieu diff rents niveaux les annuaires qui permettent de trouver la ressource les serveurs qui l h bergent les clients qui y acc dent etc Nous tudions ces diff rentes possibilit s dans cette partie En France la loi oblige l
27. Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e 10 minutes environ Vu que le Windows invit n a pas le droit de sortir de sa bo te pour aller chercher lui m me des fichiers il peut tre n cessaire de lui en faire parvenir depuis l ext rieur Voyons donc comment proc der 22 6 1 Depuis un CD ou DVD C est n cessaire si on veut installer d autres logiciels sous Windows virtuel e Ins rer le CD lire dans le lecteur attendre quelques secondes puis reprendre le contr le avec le syst me h te ou Home et dans la fen tre accueillant Windows cliquer sur P riph rique puis Lecteurs CD DVD et s lectionner Lecteur de l h te e Windows devrait alors d tecter le CD ins r Si ce n est pas le cas on peut aller le chercher dans Menu D marrer Poste de travail Si a ne marche pas du premier coup recommencer l op ration On peut ainsi charger les logiciels depuis le lecteur CD de l ordinateur il seront install s durablement sur le disque dur virtuel 22 6 2 Depuis un dossier Il est possible de rendre un dossier du syst me h te lisible par Windows Mais veillons ce que ce ne soit pas n importe quel dossier Cr er un dossier r serv cet effet dans le syst me h te R duire la fen tre accueillant le syst me invit Ensuite choisir
28. O Dur e 15 a 30 minutes Souvent on utilise un ordinateur personnel en cliquant sur des menus et des ic nes Cependant il existe une autre fa on de lui parler en tapant des bouts de texte que l on appelle des commandes On appelle cette facon d interagir avec un ordinateur le terminal le shell ou encore la ligne de commande Ce guide cherche le plus souvent possible contourner l utilisation de cet outil qui est assez d routant lorsque l on n y est pas habitu Cependant son usage s est parfois av r indispensable 11 1 Qu est ce qu un terminal Une explication d taill e sur l usage de lignes de commandes n est pas l objet de ce guide et Internet regorge de tutoriels et de cours assurant tr s bien ce r le Il semblait cependant n cessaire de poser quelques bases sur la mani re de s en servir Alors on va tout simplement commencer par ouvrir un terminal sur un bureau GNOME standard il suffit de cliquer sur Applications Accessoires Terminal Appara t alors une fen tre qui indique IDENTIFIANTGLE NOM DE LA MACHINE la fin se trouve un carr appel curseur qui correspond l endroit o inscrire le texte de la commande Concr tement avec l identifiant roger sur une machine nomm e debian on aura sous les yeux roger debian J C est partir de cet tat appel invite de commande que l on
29. e Cliquer sur cette cl puis sur le bouton Importer e On peut alors fermer la fen tre avec la liste des cl s trouv es distance Afin de s assurer que la cl que l on vient d obtenir est bien celle qu on attend il s agit maintenant de v rifier son empreinte e Une fois la cl import e aller dans l onglet Affichage de la fen tre principale e s lectionner l affichage Par trousseau puis Tout afficher e Dans le nouveau menu a gauche s lectionner Cl s GnuPG e S lectionner la cl a v rifier dans notre exemple deb torproject org archive signing key e Cliquer dessus avec le bouton droit de la souris et dans le menu contextuel qui apparait choisir Propri t s e Aller dans Ponglet D tails e V rifier que l empreinte correspond celle relev e par ailleurs pour s assurer qu on a la bonne cl Si c est bien le cas on peut exporter la cl dans un fichier avant de l ajouter au logiciel qui s en servira pour v rifier le contenu des d p ts Pour cela fermer la fen tre avec les propri t s s lectionner la cl puis dans Fichier cliquer sur Exporter puis l enregistrer par exemple dans Documents en acceptant le nom par d faut On peut fermer Mots de passe et cl s de chiffrement 16 4 2 Ajouter un nouveau d p t partir du menu Applications Outils syst me Administration Gestionnaire de paquets Synaptic Puisque ce logiciel permet de choisir quels program
30. e sous Windows le moniteur d v nements enregistre le nom du logiciel la date et Vheure de l installation ou de la d sinstallation d une application 2 5 Sauvegardes automatiques et autres listes En plus de ces journaux il est possible que d autres traces de fichiers m me sup prim s subsistent sur l ordinateur M me si les fichiers et leur contenu ont t bien supprim s une partie du syst me d exploitation ou d un autre programme peut en garder une trace d lib r e Voici quelques exemples e sous Windows Microsoft Office peut garder la r f rence d un nom de fichier d j supprim dans le menu des documents r cents et parfois m me garder des fichiers temporaires avec le contenu du fichier en question e sous GNU Linux un fichier d historique peut contenir le nom d un fichier pr ala blement supprim Et LibreOffice peut garder autant de traces d un fichier sup prim que Microsoft Office En pratique il existe des dizaines de programmes fonctionnant ainsi e lorsqu on utilise une imprimante le syst me d exploitation copie souvent le fichier en attente dans la file d impression Le contenu de ce fichier une fois la file vid e n aura pas disparu du disque dur pour autant e sous Windows lorsqu on connecte un lecteur amovible cl USB disque dur ex terne CD ou DVD le syst me commence souvent par explorer son contenu afin de proposer des logiciels adapt s sa lecture
31. justinsomnia org 2012 04 hotel wifi javascript injection en anglais 5 4 5 4 4 a 28 I COMPRENDRE 2 2 Sur la box l adresse mat rielle de la carte r seau On a vu que la carte r seau utilis e par tout ordinateur pour se connecter poss de une Perret gt gt 2 page 101 adresse mat rielle ou adresse MAC Cette adresse est utilis e par les quipements ls I A A TRS Nine nl r seaux pour rediriger un paquet de donn es vers la bonne carte r seau lorsque plusieurs ordinateurs sont connect s sur la m me box par exemple Normalement cette adresse ne sort pas du r seau local Cependant on se connecte en g n ral directement la box d un fournisseur d acces Internet Chaque carte r seau connect e la box lui donne donc son adresse mat rielle Le plupart des box gardent un journal qui contient ces adresses mat rielles au moins pendant le temps ot elles sont allum es Elles ne sont pas suppos es laisser fuiter ce journal Cependant il est difficile de savoir les types et la quantit d informa tions contenues dans ce journal ainsi que existence potentielle de portes d rob es 11 ou de failles de s curit permettant d y acc der En effet ces box fonctionnent avec un logiciel install par le fournisseur d acc s Internet qui y garde un acc s j privil gi ne serait ce que pour effectuer les mises jour du logiciel Pour nous
32. la bonne adresse Cependant l identit de ce site ne peut pas tre v rifi e Que dois je faire Si vous vous connectez habituellement ce site sans probl me cette erreur peut signifier que quelqu un essaie d usurper l identit de ce site et vous ne devriez pas continuer Sortir d ici 15 AJOUTER UN CERTIFICAT LECTRONIQUE A SON NAVIGATEUR 123 Details techniques gt Je comprend les risques Si vous comprenez ce qui se passe vous pouvez indiquer Iceweasel de commencer faire confiance l identification de ce site M me si vous avez confiance en ce site cette erreur pourrait signifier que quelqu un est en train de pirater votre connexion N ajoutez pas d exception moins que vous ne connaissiez une bonne raison pour laquelle ce site n utilise pas d identification certifi e Ajouter une exception Il faut maintenant cliquer sur Ajouter une exception Une fen tre Ajout d une exception de s curit s ouvre alors Dans celle ci on peut trouver des informations int ressantes sur la raison pour laquelle le navigateur n a pas voulu accepter le certificat sous le titre Etat du certificat En cas de certificat auto sign on pourra lire par exemple la phrase Ce site essaie de s identifier lui m me avec des informations invalides Il se peut aussi que la date de validit du certificat soit d pass e ce qui n en emp che pas forc ment l usage Il est en tout
33. la connexion Quand toute sa musique son carnet d adresses et les cartes de sa ville n existent plus que par Internet il devient plus difficile d imaginer utiliser un ordinateur hors connexion Or toute connexion Internet ouvre des portes Et plus un ordinateur est expos plus il est difficile de garantir sa s curit de l anonymat de l internaute qui l utilise la confidentialit des donn es qu on lui confie Rien ne nous garantit non plus que nos donn es stock es en ligne soient bien gar d es M me si une organisation nous donne aujourd hui tous les gages de s curit et encore qu est ce qui nous le prouve elle n est de toute fa on pas l abri demain de la d couverte d une faille ou d une erreur de configuration d un programme qui donnerait acc s ces donn es n importe qui comme ce fut le cas pour le service de stockage chiffr de donn es en ligne Dropboxf Les entreprises qui on confie nos donn es peuvent aussi supprimer notre compte voire choisir de fermer leurs services sans que l on y puisse rien ou simplement faire faillite ou se faire fermer par d cision de justice comme dans le cas de Megaupload 4 4 Mainmise sur les programmes La plupart du temps ces applications en ligne sont d velopp es de maniere plus ferm e que les applications libres que l on peut installer sur son ordinateur Lorsque Google ou Facebook d cident de modifier son interf
34. la recette Transnets http pisani blog lemonde fr 2007 06 19 facebook5 la recette 15 Manach 2013 Pourquoi la NSA espionne aussi votre papa oupas Bug Brother http bugbrother blog lemonde fr 2013 06 30 pourquoi la nsa espionne aussi votre papa oupas 36 I COMPRENDRE la DGSE fran aise 1 auraient des pratiques similaires bien que disposant de moins de moyens 3 2 Journaux et r tention de donn es La plupart des organisations qui fournissent des services sur Internet connexion h bergement de site etc conservent plus ou moins de traces de ce qui transite entre Le leurs mains sous forme de journaux de connexion qui a fait quoi 4 quel moment tome 1 2 4 On appelle ces journaux des logs A eS i an ne u g L Historiquement ces journaux r pondent un besoin technique ils sont utilis s par les personnes qui s occupent de la maintenance des serveurs afin de diagnostiquer et r soudre les probl mes Cependant ils peuvent aussi tre tr s utiles pour recueillir des donn es sur les utilisateurs de ces serveurs 3 2 1 Lois de r tention de donn es D sormais dans la plupart des pays occidentaux les fournisseurs de services Internet sont l galement tenus de conserver leurs journaux pendant un certain temps pour pouvoir r pondre des requ tes l gales Les lois qui r glementent la r tention de donn es d finissent de fa on plus ou moins claire les informations qui doivent tr
35. ne pas confondre la phrase de passe que l on donne ici avec une des cl s de la paire de cl s de chiffrement La phrase de passe sert uniquement pouvoir restreindre l utilisation la cl priv e de notre paire 2 Agence nationale de la s curit des syst mes d information 2010 M canismes cryptographiques R gles et recommandations concernant le choix et le dimensionnement des m canismes crypto graphiques http www ssi gouv fr IMG pdf RGS_B_1 pdf 18 UTILISER OPENPGP 135 Une fen tre G n ration de cl affiche alors une barre de progression Cela peut prendre plusieurs minutes C est le moment de faire bouger sa souris d utiliser son clavier ou encore d utiliser le disque dur si cela est possible afin d aider son ordinateur a g nerer des donn es al atoires Celles ci sont n cessaires au processus de g n ration de la cl Cette tape de cr ation de cl s effectu e il est bon de penser a la mani re de sauve garder notre paire de cl s tant en partie secr tes il s agit de ne pas les laisser trainer n importe ou La cl priv e doit tre uniquement accessible 4 la personne suppos e y avoir acc s Le mieux est de conserver cette paire de cl s sur un volume chiffr que 18 4 2 Exporter sa cl publique Pour qu une personne puisse nous envoyer des emails chiffr s elle doit disposer de notre cl publique Pour cela il va falloir l exporter du logiciel Mots de passe et cl s afin d
36. un nouveau chapitre de cette troisi me dition explique comment proc der la mise jour vers Debian Wheezy Gr ce cette r vision nous esp rons que les pages suivantes restent d une compagnie avis e dans la travers e de la jungle num rique du moins jusqu la suivante Tome 1 Hors connexions Sommaire Pr face iii Les revers de la m moire num rique iii Rena Cather oi 2 4 et LL 2 ee 4 EN iii Comprendre pour pouvoir choisir iv Prendre le temps de comprendre iv Uag Ede E iv Pr face la troisi me dition vii Sommaire 1 Comprendre 7 Quelques bases sur les ordinateurs 9 1 1 Des machines traiter les donn es 9 l2 H mal mel 2 2204 4 La ba eh Eu ed 9 1 3 lectricit champs magn tiques et ondes radios 14 la Leslogidiels cover DS da dar aan a 14 1 5 Le rangement des donn es 16 Traces tous les tages 19 2 1 Dans la m moire vive 19 2 2 Dans la m moire virtuelle 19 23 Velle el hibernation 4 464 wen eT BEER ER 20 24 Les JONEMAUS lt lt coca gg ee eh a 20 2 5 Sauvegardes automatiques et autres listes 21 2 6 Les m ta donn es 21 Malware mouchards et autres espions 23 3 1 Les logiciels malveillants
37. 1 L essentiel de ce qui suit est inspir du site web de Tor https www torproject org overview html en anglais 70 I COMPRENDRE pr c demment un adversaire pie plusieurs points bien choisis de l Internet par exemple la connexion ADSL d Alice et le serveur qui h berge un blog anonyme au quel elle participe et compare les motifs de donn es qui y sont chang s L adversaire peut alors confirmer ou infirmer que la communication qu il surveille vient de telle source et se rend telle destination 5 JJ 7 1 2 Une solution un r seau d centralis d anonymisation Tor signifie The Onion Router c est dire le routage en oignon Il s agit d un logiciel libre et d un r seau public qui aide r duire les cons quences d une analyse Tee de trafic r seau Il fait transiter les communications au sein d un r seau distribu de relais aussi appel s n uds h berg s par des volontaires partout dans le monde C est comme utiliser un chemin tortueux et difficile suivre pour semer un poursuivant tout en effa ant ses traces chaque changement de direction Au lieu d emprunter un itin raire direct entre la source et la destination les paquets de donn es suivent une trajectoire al atoire travers plusieurs relais Un adversaire ne peut donc pas en observant un seul point associer la source et le destinataire Pye a yale tg oe g I Cr ation d un circuit L id e c est que lorsqu Alice v
38. 2011 Reliably Erasing Data From Flash Based Solid State Drives https www usenix org legacy events fast11 tech full_papers Wei pdf en anglais 17 EFFACER DES DONN ES POUR DE VRAI 129 17 4 Supprimer des fichiers et leur contenu Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e 5 minutes de pr paration puis quelques secondes plusieurs heures d attente en fonction de la taille du fichier a effacer et de la m thode utilis e Voici donc la m thode suivre pour se d barrasser de fichiers en prenant soin de rendre illisible ce qu ils contenaient Attention Apr s avoir recouvert le contenu de fichiers sur une cl USB ou tout autre support de stockage utilisant de la m moire flash comme une carte SD ou disque dur SSD il y a de fortes chances qu il se trouve encore inscrit dans une r gion inaccessible de la cl 17 4 1 Installer les logiciels n cessaires Si ce n est pas d ja fait il nous faut installer nautilus wipe Ce paquet est pr sent par d faut dans Tails 17 4 2 Supprimer des fichiers et leur contenu partir du navigateur de fichiers Dans Tails Afin de supprimer des fichiers et leur contenu en utilisant Tails consulter la docu mentation en cliquant sur l ic ne Documentation de Tails se trouvant sur le bureau Dans le menu a droite cliquer sur
39. Appuyer alors sur la touche Entr e pour lancer la commande GnuPG nous pose alors quelques questions sec 2048R 2A544427 2013 09 24 Alice exemple seulement lt alice example org gt G n rer un certificat de r vocation pour cette cl 0 N Taper o puis cliquer sur Entr e Le terminal nous renvoie ensuite sec 2048R 2A544427 2013 09 24 Alice exemple seulement lt alice example org gt G n rer un certificat de r vocation pour cette cl o N o choisissez la cause de la r vocation 0 Aucune raison sp cifi e 1 La cl a t compromise 2 La cl a t remplac e 3 La cl n est plus utilis e Q Vous devriez s rement s lectionner 1 ici Annuler Votre d cision Nous pr parons un certificat pour le cas o notre cl soit compromise Nous allons donc taper le chiffre 1 puis appuyer sur la touche Entr e GnuPG nous demande alors une description de probl me Entrez une description optionnelle terminez la par une ligne vide gt On ne sait pas puisque la cl n est pas encore compromise et on va donc simplement accepter une description vide en appuyant nouveau sur la touche Entr e GnuPG nous demande alors confirmation Cause de r vocation La cl a t compromise Aucune description donn e Est ce d accord o N Taper o puis appuyer sur la touche Entr e pour accepter GnuPG nous demande alors la phrase de passe associ
40. Empreinte OpenPGP D487 4FA4 F6B6 88DC 0913 COFD 326F 9F67 250B 0939 t 2014 O Copyleft cette ceuvre est libre vous pouvez la co pier la diffuser et la modifier selon les termes de la Licence Art Libre http www artlibre org Pr face Le premier tome de ce Guide s est attach donner quelques bases sur le fonctionne ment des ordinateurs hors ligne afin de mettre en lumi re ce qu ils peuvent d voiler sur leurs utilisateurs puis de proposer quelques cas concrets de leur usages et enfin des outils associ s aux probl matiques soulev es Comme annonc ce second volet s int ressera donc a l utilisation des ordinateurs en ligne Vaste programme car si une plong e dans les arcanes de ces machines pourtant familieres s tait d ja av r e un brin complexe qu en sera t il maintenant qu on se propose de connecter les ordi nateurs entre eux Rappelons d s pr sent qu un ordinateur connect est avant tout un ordinateur la re lecture du premier tome est donc un pr requis essentiel pour appr hender toutes les facettes de la s curit en ligne Internet pourtant nous est galement devenu familier Consulter ses mails t l char ger des fichiers obtenir des informations en ligne sont aujourd hui pour beaucoup d entre nous des gestes quotidiens Chacun pourrait dire que d une certaine mani re il sait ce que c est qu Internet Admettons plut t que tout le monde ou presque est capabl
41. Le chiffrement est dit de bout bout lorsqu il a lieu entre la source et la destinataire d une communication lectronique et cela sans interruption Le chiffrement a lieu dans l ordinateur d Alice et le d chiffrement dans celui de Betty Entre les deux un message dont le contenu sera chiffr circulera seul l en t te de la communication que ce soit une requ te HTTP ou un email circulera en clair Cependant il arrive souvent que Betty ne puisse pas rencontrer Alice a fortiori si elle ne la connait pas si elle rencontre une personne qui se pr sente comme tant Alice Betty ne peut pas tre s re qu il s agit bien d Alice Or c est g n ralement le cas lorsqu on veut chiffrer ses connexions vers un site web on ne connait pas les personnes qui sont derri re 6 4 2 Infrastructure cl publique La premiere solution couramment utilis e est de disposer d autorit s de confiance qui certifient les cl s publiques en les signant num riquement on parle de certificats L autorit v rifie identit d Alice par exemple en lui demandant sa carte d identit puis signe num riquement sa cl Avant d utiliser la cl d Alice Betty ou son ordi nateur v rifie qu elle est bien sign e par une autorit qu elle consid re comme digne de confiance On parle d infrastructure cl publique public key infrastructure ou PKI en anglais C est le principe qui est couramment utilis pour auth
42. ais et appuyer sur la touche Entr e e Un menu demande le pays pour peaufiner l adaptation du syst me Choisir son lieu g ographique et appuyer sur Entr e e Dans Configurer le clavier le choix par d faut Fran ais convient si l on a un clavier fran ais azerty e L installeur charge ensuite les fichiers dont il a besoin 15 5 3 Configuration du r seau et bapt me de la machine e L installeur prend alors un peu de temps pour configurer le r seau Si notre or dinateur poss de plusieurs cartes r seau il faut choisir celle dont on va se servir pour l installation Le choix par d faut est g n ralement le bon il s agit d une carte r seau Ethernet On nous demande ensuite le Nom de machine Choisir un petit nom pour son ordinateur en sachant que ce nom sera ensuite visible depuis le r seau et pourra aussi s inscrire dans les fichiers cr s ou modifies avec le systeme qu on est en train d installer e L installeur demande le Domaine Sans entrer dans les d tails mieux vaut laisser ce champ vide donc effacer ce que le programme peut ventuellement avoir pr rempli 15 5 4 Cr er les utilisateurs et choisir les mots de passe Le programme d installation nous demande maintenant de choisir le mot de passe du superutilisateur C est ce mot de passe qui sera n cessaire pour r aliser les taches 8 Le manuel d installation est disponible dans de nombreuses versions http www debian org r
43. cette exploration automatique laisse en m moire la liste de tous les fichiers pr sents sur le support employ m me si aucun des fichiers qu il contient n est consult Il est difficile de trouver une solution ad quate ce probl me Un fichier m me parfaitement supprim continuera probablement exister sur l ordinateur pendant un certain temps sous une forme diff rente Une recherche sur les donn es brutes du disque permettrait de voir si des copies de ces donn es existent ou pas sauf si elles y sont seulement r f renc es ou stock es sous une forme diff rente sous forme compress e par exemple En fait seul l crasement de la totalit du disque et l installation d un nouveau sys teme d exploitation permettent d avoir la garantie que les traces d un fichier ont bien t supprim es Et dans une autre perspective l utilisation d un syst me live dont l quipe de d veloppement porte une attention particuli re cette question garan tit que ces traces ne seront pas laiss es ailleurs que dans la m moire vive Nous y reviendrons 2 6 Les m ta donn es En plus des informations contenues dans un fichier il existe des informations accom pagnant celui ci qui ne sont pas forc ment visibles de prime abord date de cr ation 22 I COMPRENDRE nom du logiciel de l ordinateur etc Ces 4 donn es sur les donn es s appellent commun ment des m ta donn es Une partie des m
44. chaque fois qu une personne utilise certains mots de leur suppos dictionnaire des terroristes Concernant les interm diaires situ s entre les protagonistes de l change d emails et les serveurs des h bergeurs d emails respectifs on peut avoir affaire deux situations La premi re d sormais plut t rare est celle o la connexion entre un protagoniste et son serveur mail n est pas chiffr e Dans ce cas l les diff rents interm diaires verront passer entre leurs mains des cartes postales Ils seront donc dans une situation similaire celle des h bergeurs d emails la diff rence pr s que les cartes postales ne feront que transiter sauf s il leur vient l id e de jeter un coup d ceil plus approfondi au courrier qu ils transportent que ce soit pour faire des statistiques afin d am liorer la qualit de leur service ou parce qu on le leur demande gentiment La seconde situation est celle o la connexion entre un protagoniste et son serveur page 59 mail est chiffr e avec le protocole TLS Ceci est possible quel que soit le protocole utilis Les interm diaires entre un protagoniste et son serveur mail verront cette fois ci des cartes postales mises dans des enveloppes Enveloppes plus ou moins difficiles BE ouvrir en effet si la connexion entre Alice et son serveur mail est effectivement page 65 chiffr e Alice ne choisit pas de quelle mani re elle l est De plus l h bergeur
45. der toujours en ligne 10 7 3 Webmail Le webmail tant un usage particulier du web on se r f rera au cas d usage traitant de la navigation sur le web pour les questions relatives au Tor Browser Bundle ou Tails leurs avantages leurs inconv nients leur utilisation Il faudra galement prendre soin de v rifier les certificats ou autorit s de certification qui offrent un chif frement de la connexion vers le serveur de mail car un attaquant ayant les moyens de duper Putilisateur cet endroit l sera en mesure de r cup rer en clair tous les changes avec le serveur de mail dont login et mot de passe de la boite mail De plus si l on utilise le webmail depuis Tails sur un ordinateur en lequel on peut avoir des doutes notamment face une attaque de type keylogger on prendra soin 10 7 4 Client mail Dans le cas o l on pr f re utiliser un client mail plut t que faire du webmail on peut au choix e utiliser Tails dans lequel est fourni le client Claws Mail Les traces laiss es locale ment seront alors effac es l extinction du systeme e utiliser Tails et Claws Mail avec la persistance pour stocker le contenu de sa boite sur une cl USB ou une carte SD Des traces chiffr es seront alors stock es sur ce support e installer un client mail sur son systeme chiffr en utilisant l outil installer un logiciel pour installer le paquet claws mail 0 e suivre l outil utiliser Claws Mail Des tra
46. e cette paire de cl s puis affiche le certificat de r vocation C 18 UTILISER OPENPGP 137 sortie avec armure ASCII forc e Certificat de r vocation cr Veuillez le d placer sur un support que vous pouvez cacher toute personne acc dant ce certificat peut l utiliser pour rendre votre clef inutilisable Imprimer ce certificat et le stocker ailleurs est une bonne id e au cas o le support devienne illisible Attention quand m me le syst me d impression utilis pourrait stocker ces donn es et les rendre accessibles d autres Version GnuPG v1 4 10 mbox GNU Linux Comment A revocation certificate should follow iQEfBCABCgAJBQJSQZVMAhOCAAoJEMYS iAqVEQnzFsH 3NMzeXy0Xb0J3Q g2mA xEAl4G8VesEYDE8LHzemNmkyr rMKNGplLPJVkyMXKBLYTojQjjL6QhL1nyqaUavs e0maa1Swa9PgI6AJZrkmiMk74CCXJqQDb5uupZNQ3UsoGHqKcirYUHy0eEQ m94Q xMaPj pCMi9tIJjnb1T8svDuwhpsh2Gj ZhOuyUedyyD4r noT8YYhWKNC98ELPQkH VWEzu6TJUOIKRp70JgPCb8cJ6odsm3jPxj IF f cz9WLUdSEB3HJVIxoMm183XI HtddcOxSsdI1 j uk6ddqgyQDTPJVex EYdGOFreT70rFzKX0316 4RSWKX klshSp 0 8 cpvr Le certificat est la partie situ e entre BEGIN PGP PUBLIC KEY BLOCK et END PGP PUBLIC KEY BLOCK C est conserver l abri On va commencer par la s lectionner et la copier dans le presse papiers clic droit puis Copier puis par ouvrir l Editeur de texte gedit accessible depuis le menu Applications puis Accessoires et la coller dans un nouveau documen
47. est connect e et ven tuellement corr ler plusieurs identit s parce qu elles sont toujours en ligne en m me temps ou au contraire parce qu elles ne sont jamais en ligne en m me temps mais souvent successivement etc Pour que des identit s apparaissent comme tant toujours en ligne il est possible d utiliser un ghost ou proxy sur un ordinateur en qui l on a confiance qui est toujours allum et connect au serveur de messagerie instantan e C est ainsi cet or dinateur et non pas le serveur qui voit quand on est connect ou pas et cet tat n est plus public La mise en place d une telle infrastructure d passe toute fois pour l instant les ambitions de ce guide 1 Lors du d marrage de Tails deux comptes de messagerie instantan e sont g n r s automati quement https tails boum org doc anonymous internet pidgin index fr html EO RE T page 68 EA er Ll T 5 da O Es N o Jl gi T oje O al w page 69 He eee A I ll page 145 iio Se 4 a 5 104 II CHOISIR DES R PONSES ADAPTEES Ensuite dans le cas particulier o l anonymat ou le pseudonymat est prioritaire sur d autres contraintes par exemple si l on souhaite discuter dans un salon public d autres limites s ajoutent celles voqu es ci dessus Ainsi une identit contextuelle E risque toujours de finir reli e une ident
48. et imprim ou publi en ligne il nous faut supprimer 9 5 5 Limites Certaines limites communes cette m thode et celle bas e sur l usage de Windows sont expos es plus loin 9 6 Travailler sur un document sensible sous Windows saree Apr s avoir pr sent le contexte dans le d but de ce cas d usage et d cid malgr tous les probl mes que a pose d utiliser Windows essayons maintenant de trouver une facon de limiter quelque peu la casse 9 6 1 Point de d part une passoire et une boite de rustines dess ch es Partons d un ordinateur muni de la facon la plus classique qui soit d un disque dur sur lequel Windows est install Nous ne nous appesantirons pas sur cette situation la premi re partie de cet ouvrage ayant abondamment d crit les multiples probl mes qu elle pose Une passoire en somme pleine de trous de s curit On peut donc imaginer coller quelques rustines sur cette passoire Faisons en rapide ment le tour 9 TRAVAILLER SUR UN DOCUMENT SENSIBLE 69 Un disque dur ca se d monte et ca se cache Certes Mais il y a les p riodes ot l on s en sert parfois plusieurs jours ou semaines d affil e Cette rustine est bas e sur deux hypoth ses quelque peu os es e Nous avons de la chance Il suffit en effet que l accident perquisition cambriolage etc survienne au mauvais moment pour que toute la confidentialit d sir e soit r duite n ant Notre discip
49. http seclists org nmap announce 2007 0 en anglais 55 S Bortzmeyer 2013 Comment Free bloque les pubs http www bortzmeyer org free adgate html 56 Voir ce sujet Wikip dia 2014 Hameconnage https fr wikipedia org wiki Hameconnage qui explique notamment quelques parades partielles cette attaque 44 I COMPRENDRE Pour que le nom de domaine affich ressemble lui aussi comme deux gouttes d eau a celui du site copi il existe plein de techniques l adversaire peut par exemple utiliser des caract res sp ciaux qui ont l apparence des caract res de l alphabet latin Ainsi en substituant un e cyrillique un e latin dans exemple org on obtient une adresse qui s affiche de fa on quasi identique l originale mais qui repr sente pour l ordinateur une adresse differente on trouve parfois aussi des tirets en plus ou en moins ma banque fr au lieu de mabanque fr il s agit parfois d un nom identique avec un nom de domaine de premier niveau top level domain ou TDL com net org fr different site com au lieu de site org certains utilisent aussi des sous domaines paypal phishing com renvoie vers le site de phishing et non vers paypal com etc Une parade int gr e dans les navigateurs web consiste a avertir l utilisateur du danger et lui demander une confirmation avant d acc der au site suspect Cela dit cette solution n cessite que le navigateur web contacte un
50. l une ou l autre L metteur d un message confidentiel peut souhaiter nier en tre Vauteur et donc qu on ne puisse pas l authentifier On peut aussi imaginer vouloir certifier la provenance authentifier et l int grit d un communiqu officiel qui sera diffus publiquement donc loin d tre confidentiel Dans tout ce qui suit on va parler de messages mais les techniques cryptographiques s appliquent de fait n importe quels nombres donc n importe quelles donn es une fois num ris es noter la cryptographie ne cherche pas cacher les messages mais les prot ger Pour cacher des messages il est n cessaire d avoir recours des techniques st ga nograpiques comme celles utilis es par les imprimantes voqu es auparavant dont nous ne parlerons pas ici tsts lt isS 5 1 Prot ger des donn es des regards indiscrets Comme l ont bien compris les gamins utilisant des codes pour s changer des messages ou les militaires communiquant leurs ordres la piste la plus s rieuse pour que des donn es ne puissent tre comprises que par les personnes dans le secret c est celle du chiffrement Le chiffrement d un fichier ou d un support de stockage permet de le rendre illisible pour toute personne qui n a pas le code d acc s souvent une phrase de passe Il sera 1 Pour un bon aper u des diff rentes m thodes qu on appelle des attaques couramment utilis es en cryptan
51. la box est donc consid rer comme une v ritable bo te noire dont nous n avons pas les cl s qui peut conna tre et faire beaucoup de choses sur le r seau local NR UE g De plus lorsque le r seau local inclut l usage du Wi Fi il se peut que de mani re plus ou moins accidentelle les adresses mat rielles des ordinateurs se connectant la box en Wi Fi soient enregistr es par d autres ordinateurs coutant ce qui passe dans les airs C est ainsi que les Google Cars en m me temps qu elles parcouraient des milliers de rues pour tablir la carte de Google Street View en ont profit pour capturer les adresses MAC des ordinateurs environnants Il est par contre possible de changer temporairement l adresse mat rielle d une carte r seau afin par exemple de ne pas tre pist s avec nos ordinateurs portables lors de nos d placements Il faut aussi mentionner les cas o avant de pouvoir se connecter Internet on doit entrer un login et un mot de passe dans son navigateur web c est souvent le cas sur les r seaux Wi Fi publics que ce soit ceux d une agglom ration d une institution ou d un fournisseur d acces Internet Free Wifi SFR WiFi public et autres Bouygues Telecom Wi Fi On appelle ces pages des portails captifs Dans ce cas en plus de Vadresse mat rielle de la carte Wi Fi on donne l organisation qui g re le portail l identit de la personne abonn e c
52. list L editeur de texte s ouvre Dans les menus on s lectionne ensuite Rechercher Remplacer Dans la fen tre qui s ouvre Rechercher squeeze pour le Remplacer par wheezy Cliquer ensuite sur le bouton Tout remplacer puis Fermer la fen tre de recherche Si une installation ou une mise jour a t faite auparavant en utilisant un CD ou un DVD c est une bonne id e de chercher les lignes qui commencent par deb cdrom pour les supprimer On peut ensuite quitter l diteur en enregistrant les modifications Dans une version pr c dente de ce guide on conseillait la cr ation d un fichier qui n est plus n cessaire mais pourrait nuire la mise jour Le supprimer gr ce la commande a ha y rm etc apt preferences Si jamais l ordinateur nous r pond rm impossible de supprimer etc apt preferences Aucun fichier ou dossier de ce type c est sim plement que le fichier est d j absent Nous avons modifi la liste des d p ts il faut donc maintenant t l charger la liste des paquets qui y sont disponibles avant de pouvoir les installer pour cela toujours le Terminal administrateur qu on gardera ouvert taper la commande apt get update Ajouter le DVD d installation la liste des d p ts Debian La m thode la plus simple pour effectuer les mises jour consiste laisser Debian les t l charger directement depuis Internet Au cas o l or
53. ment analyser le trafic r seau pour tablir une relation entre la source et la destination d une connexion Aucun des ordinateurs ne sait donc que la machine d Alice se connecte 4 exemple org 7 CACHER LES PARTIES PRENANTES DE LA COMMUNICATION LE ROUTAGE EN OIGNON 71 Alice Box L gende locos TT connexion chiffr e 7 connexion non chiffr e f relais Tor Utilisation d un circuit Tor Vous noterez qu un circuit Tor est compos de trois interm diaires Si un seul inter m diaire tait utilis la compromission de celui ci suffirait 4 mettre en p ril notre anonymat car cet interm diaire aurait connaissance 4 la fois de l origine d une com munication et de sa destination Le fait d utiliser trois relais permet d viter ce re coupement sans ralentir la connexion de mani re trop importante Pr caution suppl mentaire le circuit Tor utilis est modifi automatiquement plu sieurs fois par heure Chiffrement en oignon On a vu que l ordinateur d Alice n gocie une connexion chiffr e avec chaque relai du circuit utilis Cela afin que les donn es qu elle veut transmettre exemple org pos sedent plusieurs couches chiffr es A l image d un oignon poss dant plusieurs peaux les donn es d Alice seront enrob es dans plusieurs couches de chiffrement La premi re couche sera chiffr e pour ne pouvoir tre lue que par le troisi me relai La seconde par dessus la premi re sera c
54. on souhaite visionner Autre avantage de cette solution pour les fournisseurs de services les internautes fournissent ainsi plus ou moins consciemment tout un ensemble de donn es qu il est D ensuite possible de monnayer notamment en constituant des profils de consomma page 33 teurs et en adaptant les publicit s affich es au public Il est ainsi courant que les internautes n utilisent plus Internet uniquement pour t l charger des films ou aller y lire leur p riodique favori De plus en plus par exemple via le remplissage de leur page Facebook les internautes produisent du contenu et Voffrent pour ainsi dire aux h bergeurs ou autres entreprises qui fournissent ces ser vices L internaute va de lui m me mettre en ligne la liste de la musique qu il coute les photos de ses vacances au Mexique ou encore ses cours d histoire contem poraine pour les partager avec ses camarades de classe Bien sir en fournissant du contenu on fournit aussi des informations sur soi informa Fr aga q page 33 tions que les regards indiscrets des publicitaires et autres adversaires ne manqueront E ll use pas d utiliser 4 3 Centralisation des donn es L utilisation d Internet comme espace de stockage de donn es va de pair avec la centralisation des donn es des internautes aux mains de quelques organisations dans quelques lieux g ographiques 2 Lionel Damm et Jean Luc Synave 2009 Entrepreneur 2
55. pour qu un adversaire puisse capter ce qu on tape ou voit tout en tant bonne distance Enfin pl thore de mat riel espion install dans l ordinateur que ce soit au niveau du disque dur du BIOS etc Le tableau n est pas tr s encourageant un v ritable audit de son ordinateur deman derait de d monter celui ci avec tr s peu de chance de le remonter de telle mani re qu il puisse fonctionner de nouveau Cela dit ce mat riel n est pas la disposition de tous types d adversaires De plus rien n indique que l usage d un tel mat riel est de venu monnaie courante que ce soit pour des raisons de co t d installation ou autres param tres Nous allons quand m me nous attarder un peu sur le cas des keyloggers qui peuvent entrer la fois dans la cat gorie du mat riel espion et des logiciels malveillants 3 3 Les keyloggers ou enregistreurs de frappe au clavier Les enregistreurs de frappe au clavier keyloggers qui peuvent tre mat riels ou logiciels ont pour fonction d enregistrer furtivement tout ce qui est tap sur un clavier d ordinateur afin de pouvoir transmettre ces donn es l agence ou la personne qui les a install s 15 13 Ce conseil vaut tout autant pour les personnes utilisant GNU Linux En d cembre 2009 le site gnome look org a diffus un malware http lwn net Articles 367874 pr sent comme un co nomiseur d cran Ce dernier tait t l chargeable sous forme de paq
56. puis applicatifs Et afin de bien comprendre quoi de mieux qu une analogie Comparons donc le voyage de nos informations travers Internet l acheminement d une carte postale dont les tapes du centre de tri postal la bo te aux lettres correspondraient aux diff rents ordinateurs travers s Les protocoles physiques Afin de livrer notre courrier bon port plusieurs moyens de transport peuvent tre utilis s successivement avion bateau camion ou encore bicyclette Chacun de ces itin raires ob it un certains nombres de r glements code de la route aiguillage a rien droit maritime etc De m me sur Internet les diverses technologies mat rielles pr sent es pr c demment page pr c dente impliquent l usage de diff rentes conventions On parle dans ce cas de protocoles phy siques r L 7 4 12 I COMPRENDRE Les protocoles r seau Cependant savoir naviguer ne suffit pas pour pouvoir acheminer notre carte postale Il faut galement savoir lire un code postal et poss der quelques notions de g ographie pour atteindre le destinataire ou du moins le centre de tri le plus proche C est l qu interviennent les protocoles r seau leur but est de permettre l achemine ment d informations d une machine une autre parfois tr s loign e ind pendam ment des connexions physiques entre ces machines Les protocoles applicatifs Maintenant que nous avons la possibilit
57. ro sur le paquet en plus de l adresse c est le num ro de port Pour comprendre comparons notre ordinateur un immeuble l immeuble n a qu une seule adresse mais abrite de nombreux appartements et diff rentes personnes Le num ro d appartement inscrit sur une enveloppe permet de faire parvenir le courrier au bon destinataire Il en est de m me pour les num ros de port ils permettent de faire parvenir les donn es la bonne application Certains num ros de port sont assign s par convention des applications particu li res Ainsi quand notre navigateur veut se connecter un serveur web il sait qu il doit toquer au port 80 ou 443 dans le cas d une connexion chiffr e De la m me o facon pour livrer un email notre ordinateur se connectera en g n ral au port 25 du page ci contre serveur ou 465 s il s agit d une connexion chiffree l ED un ee 7 Var 22 Slate com 2013 Lance des ufs cin ma coquin La liste des mots surveill s par Skype en Chine http www slate fr monde 69269 tom skype surveillance chine espionnage liste noire 23 J rgen Schmidt 2013 Skype s ominous link checking Facts and speculation http ww h online com security features Skype s ominous link checking Facts and speculation 1865629 html en anglais 1 BASES SUR LES R SEAUX 21 Sur l ordinateur qu on utilise chaque application connect e Internet ouvre au moins un port qu
58. s l ensemble du trafic r seau qui transite par sa connexion pour lequel il joue le r le de facteur Il n a par contre pas d yeux plac s en d autres points d Internet Fournisseurs de contenu Betty est inscrite sur un forum de la police nationale et passe non sans un malin plaisir un certain temps semer la zizanie dans les discussions entre flics Dans ce cas Betty ne souhaite pas rendre transparent au site h bergeant le forum qu elle est la fauteuse de troubles Comme vu pr c demment son adresse IP sera PTT ar q z 2 page 36 conserv e plus ou moins longtemps par le site visit Dans ce cas ci l adversaire aura E Dan ae a page 29 Adversaires divers et vari s L 4 RER Agathe va r guli rement consulter le site de publication de documents confidentiels page 51 sur lequel Benoit a publi des relev s bancaires Le sujet tant sensible elle sait L OA ee er O ee IO pertinemment que le blog en question pourrait tre surveill Elle ne veut donc pas qu on sache qu elle va le consulter L adversaire ici n a pas de place fixe sur le r seau il peut se situer au niveau de Vordinateur d Agathe au niveau de sa box au niveau du blog ou bien tout autre FPT de page 18 endroit sur le chemin entre son ordinateur et le blog L adversaire peut galement se L situer plusieurs endroits en m me temps 8 3 D finir une politique de s cu
59. souvent cach Vu que c est le contenu de la m moire vive qui est crite sur le disque dur ca veut dire que tous les programmes et documents ouverts mots de passe cl s de chiffrement et autres pourront tre retrouv s par quiconque acc dera au disque dur Et cela aussi longtemps que rien n aura t r crit par dessus page 371 Ce risque est toutefois limit par le chiffrement du disque dur la phrase de passe sera alors n cessaire pour acc der la sauvegarde de la m moire vive 2 4 Les journaux Les syst mes d exploitation ont une forte tendance a crire dans leur journal de bord un historique d taill de ce qu ils fabriquent 2 TRACES A TOUS LES TAGES 21 Ces journaux aussi appel s logs sont utiles au syst me d exploitation pour fonction ner et permettent de corriger des probl mes de configuration ou des bugs Cependant leur existence peut parfois tre probl matique Les cas de figure existants sont nombreux mais les quelques exemples suivants devraient tre suffisants pour donner une id e de ce risque e sous GNU Linux le syst me garde la date l heure et le nom de l utilisateur qui se connecte chaque fois qu un ordinateur est allum e toujours sous GNU Linux la marque et le mod le de chaque support amovible disque externe cl USB branch sont habituellement conserv s e sous Mac OS X la date d une impression et le nombre de pages sont inscrits dans les journaux
60. te Vadresse IP se trouve au d but 203 0 113 16 ee as g l 203 0 113 16 01 Jan 2010 00 00 00 0100 GET page html HTTP 1 1 200 9042 http Avww exemple org index html Mozilla 5 0 Windows U Windows NT gt 6 1 en US rv 1 9 2 3 Gecko 20100401 Firefox 3 6 3 2 4 2 Les en t tes email Chaque courrier lectronique inclut un en t te malgr son nom ce dernier n a stric nn tement rien voir avec l en t te d une page web Cet en t te contient des informa tome 1 2 6 tions sur les donn es contenues dans l email un autre exemple de m ta donn es les Se donn es sur les donn es Il est rarement montr dans sa totalit par notre logiciel de courrier lectronique mais il reste n anmoins bien pr sent Il inclut souvent de nombreuses informations sur l exp diteur bien plus que son adresse email q r L Dans l exemple suivant on peut lire l adresse IP publique savoir celle qui sera visible sur Internet de l ordinateur utilis pour envoyer l email 203 0 113 98 ce qui SR permet de conna tre l endroit o l exp diteur se trouvait ce moment l l adresse IP de son ordinateur l int rieur de son r seau local 192 168 0 10 le logiciel de mail utilis Icedove 24 4 0 ainsi que le syst me d exploitation Linux et le type de machine i686 q Return Path lt betty fai net gt Delivered To alice exem
61. tement au cahier des charges que l on s est fix parfois elles sont bien trop nouvelles pour avoir l assurance qu elles fonctionnent r ellement etc 6 1 Que veut on prot ger Dans le cadre de ce texte ce qu on veut prot ger rentre en g n ral dans la vaste cat gorie de l information par exemple le contenu de messages lectroniques des fichiers de donn es photo tracts carnet d adresses ou l existence m me d une cor respondance entre telle et telle personne Le mot prot ger recouvre diff rents besoins e confidentialit cacher des informations aux yeux ind sirables e int grit conserver des informations en bon tat et viter qu elles ne soient modifi es sans qu on s en rende compte e accessibilit faire en sorte que des informations restent accessibles aux personnes qui en ont besoin Il s agit donc de d finir pour chaque ensemble d informations prot ger les besoins de confidentialit d int grit et d accessibilit Sachant que ces besoins entrent g n ralement en conflit on r alise d s maintenant qu il faudra par la suite poser des priorit s et trouver des compromis entre eux en mati re de s curit informatique on a rarement le beurre et l argent du beurre 6 2 Contre qui veut on se prot ger Rapidement se pose la question des capacit s des personnes qui en auraient apr s ce que l on veut prot ger Et l a se corse
62. un il nouveau Par ailleurs la partie probl matiques de ce tome abordait de fa on relativement g n rale de nombreux modes de surveillance qu il peut tre bon de r tudier la lumi re de la situation concr te qui nous occupe nommons en particulier les ques tions d lectricit champs magn tiques et ondes radios ainsi que les effets des divers gt P q q Dee ed ee T l m I page 71 CA CHAPITRE Cas d usage archiver un projet achev 10 1 Contexte Un projet sensible touche sa fin par exemple un livre a t maquett et imprim un film a t mont compress et grav sur DVD En g n ral il ne sera des lors plus n cessaire de pouvoir acc der en permanence aux fichiers de travail iconographie en haute r solution rushes non compress s Par contre il peut tre utile de pouvoir les retrouver plus tard par exemple pour une r dition une version mise jour Vu qu un syst me est d autant plus susceptible d tre attaqu qu il est fr quemment utilis autant extraire les informations rarement utilis es de l ordinateur utilis quoti diennement De surcroit il est plus facile de nier tout lien avec des fichiers lorsqu ils sont stock es sur une cl USB au fond d un bois que lorsqu ils sont rang s sur le disque dur de l ordinateur familial 10 2 Est ce bien n cessaire La premi re question se poser avant d archiver de tels fichie
63. une r union de travail sur un document sensible ou pour dialoguer avec une amie Le tome 1 ch 9 plus simple pourrait tre de se d placer pour se rencontrer ou de s appeler mais ce n est pas toujours possible ou souhaitable Cela peut galement poser des problemes Parfois la messagerie instantan e est une bonne alternative Beaucoup de gens connaissent et utilisent r guli rement la messagerie de Skype rem placant de MSN ou Windows Live Messenger fournie par Microsoft ou la messagerie interne de Facebook pour ne citer que les exemples les plus connus C est pratique mais il est possible de faire pratique sans renoncer a tre discret 11 2 Evaluer les risques 11 2 1 Que veut on prot ger prova onies leurs identit s leur lien etc 11 2 2 De qui veut on se prot ger machines par lesquelles elles transitent aussi bien qu aux personnes qui pourraient y avoir acc s utilis s par les diff rents correspondants Viennent ensuite les routeurs situ s sur le trajet entre les protagonistes de an page 281 notamment ceux de leurs FAT respectifs ee Enfin des traces sont laiss es sur les ordinateurs utilis s 11 3 D finir une politique de s curit il Posons nous maintenant les questions expos es dans notre m thodologie en adoptant tome 1 ch 7 le point de vue de notre adversaire 102 II CHOISIR DES R PONSES ADAPTEES 11 3 1 Premiere tape toutes les infos 4 disposition des cu
64. voqu que le contenu d un fichier devenu inaccessible ou invisible ne s tait L J pas pour autant volatilis On va maintenant d tailler pourquoi 4 3 1 La suppression d un fichier n en supprime pas le contenu et ca peut tre tr s facile de le retrouver En effet lorsqu on supprime un fichier en le pla ant dans la Corbeille puis en la vidant on ne fait que dire au syst me d exploitation que le contenu de ce fichier ne nous int resse plus Il supprime alors son entr e dans l index des fichiers existants Il a ensuite le loisir de r utiliser l espace que prenaient ces donn es pour y inscrire autre chose Mais il faudra peut tre des semaines des mois ou des ann es avant que cet espace soit effectivement utilis pour de nouveaux fichiers et que les anciennes donn es disparaissent r ellement En attendant si on regarde directement ce qui est inscrit sur le disque dur on retrouve le contenu des fichiers C est une manipulation assez simple automatis e par de nombreux logiciels qui permettent de r cup rer ou de restaurer des donn es 4 3 2 Un d but de solution r crire plusieurs fois par dessus les donn es Une fois que l espace d un disque dur t r crit il devient diffile de retrouver ce qui s y trouvait auparavant Mais cela n est pas pour autant impossible lorsque l ordinateur r crit 1 par dessus 0 cela donne plut t 0 95 et lorsqu il r cr
65. ye page suivante e se renseigner sur les limites partag es par toutes les solutions envisag es dans ce AAA cas d usage IR 7 t da Ei page 1371 e se reporter la recette permettant de chiffrer un disque dur externe et celle qui L 9 TRAVAILLER SUR UN DOCUMENT SENSIBLE 75 9 7 Nettoyer les m tadonn es du document termin Une fois notre document termin on l exportera dans un format adapt l change de documents par exemple un PDF pour imprimer un texte un fichier AVI ou Ogg pour publier une vid o sur Internet etc Consid rons qu on publie notre document sans prendre de plus amples pr cautions un adversaire qui il d plairait va probablement tout simplement commencer par t l charger le document en qu te d ventuelles m tadonn es qui le rapprocheraient de ses auteurs Malgr les pr cautions qu on a d j prises il est bon de nettoyer les ventuelles m tadonn es pr sentes 9 8 Limites communes ces politiques de s curit Toute politique de s curit tudi e dans ce cas d usage est vuln rable un certain nombre d attaques Ce qu elle soit bas e sur un syst me live ou sur l envo tement de l inf me Windows Les tapes 4 et 5 du nouveau d part tudient certaines des attaques imaginables relevant plus ou moins de la science fiction selon l poque le lieu les protagonistes et les circonstances Le moment est venu de les relire d
66. 0 la boite outils de la comp titivit petit frais http www confederationconstruction be Portals 28 UserFiles Files WP2guideent repreneurweb20 pdf 3 Jean Baptiste Liouville 2013 YouTube Changement des r gles out mais pour quelles rai sons http atelierdunumerique com youtube changement des regles 4 Fanny Georges Antoine Seilles Jean Sallantin 2010 Des illusions de l anonymat Les stra t gies de pr servation des donn es personnelles l preuve du Web 2 0 Terminal num ro 105 Technologies et usages de l anonymat a l heure d Internet 4 WEB 2 0 51 L utilisation d applications en ligne signifie entre autres que les documents ne sont plus stock s sur un ordinateur personnel un disque dur ou une cl USB Ils se re trouvent sur des serveurs distants comme ceux de Google ou d Ubuntu One dans des centres de traitement de donn es Suffisamment loin de l internaute g ographi quement comme techniquement pour que l on puisse douter du pouvoir qu il a dessus Une simple absence de connexion Internet et il devient impossible d avoir acc s ses documents moins d en avoir effectu une sauvegarde Ce d placement du stockage rend galement impossible de pouvoir effacer avec certitude et de fa on s curis e les documents qui y sont plac s Cette tendance faire migrer donn es et applications de l ordinateur personnel vers Internet cr e du m me coup une d pendance
67. 2014 Objet local partag https fr wikipedia org wiki 0bjet local partag 4 Simon K 2012 Stockage des donn es locales Web Storage alsacr ations http www alsacreations com article lire 1402 web storage localstorage sessionstorage html 5 La biblioth que JavaScript evercookie http samy pl evercookie en anglais est un exemple de ce type de technologies 2 TRACES SUR TOUTE LA LIGNE 27 Des technologies ont t ajout es aux navigateurs web pour permettre ces fonction nalit s JavaScript et Ajax Flash et Java en sont les principaux repr sentants Mais ces petits plus ont galement un co t comme pr cis plus haut cela signifie que l auteur d un site est en mesure d ex cuter le code de son choix sur l ordinateur des personnes qui le visitent ce qui pose de nombreux probl mes de s curit comme nous l avons vu dans le premier tome de ce guide Bien s r des protections ont t mises en place au sein des navigateurs mais elles ne couvrent pas tous les risques et ne remplacent en tout cas pas la vigilance des internautes D autant que ces technologies ont parfois des fonctionnalit s qui si elles peuvent tre utiles posent question ainsi Flash ou WebRTC peuvent acc der au micro et a la camera de l ordinateur sur lequel ils sont ex cut s Et dans le cas de Flash il s agit d un logiciel propri taire L usage de Flash est galement probl matique car l int rieur m me
68. 63 Wikip dia 2014 3G https fr wikipedia org wiki 36 64 Elaman 2011 Communications monitoring solutions http wikileaks org spyfiles docs elaman 188_communications monitoring solutions html en anglais 65 Jean Marc Manach 2011 Internet massivement surveill http owni fr 2011 12 01 spy files interceptions ecoutes wikilleaks gosmos amesys libye syrie utilises pour ce type d attaque sont souvent des logiciels malveillants installes sur des tome 1 3 1 5 46 I COMPRENDRE Ecoutes l instar des bonnes vieilles coutes t l phoniques il est tout fait possible d enre gistrer tout ou partie des donn es qui passent par un lien r seau on parle d in terceptions IP Cela permet par exemple d couter tout le trafic chang par un serveur ou celui qui passe par une connexion ADSL domestique Selon un article du Figaro les flics fran ais n effectueraient que 500 intercep tions sur Internet par an contre environ 5 500 coutes t l phoniques ou interceptions de fax 7 mais ils comptent bien rattraper leur retard dans ce domaine Si l on ne prend pas de pr cautions particuli res une interception IP r v le un adversaire une bonne partie de nos activit s sur Internet pages web visit es emails et leurs contenus conversations de messagerie instantan e tout ce qui sort de notre ordinateur en clair Le chiffrement des communications rend l
69. 6d c5 b5 d2 06 55 a3 85 5d 07 af 9b c9 03 46 c6 e6 2f 29 la 9d b7 58 05 44 cc 68 f9 MK iterations 54520 UUID d73cbb8a 058f 469e 935a 7f71debd8193 Key Slot ENABLED Iterations 217000 Salt ec le 63 b7 13 fb 20 21 18 5d 86 44 42 do f2 af 52 a4 74 54 22 3f d8 Ob ad 69 8c 46 f2 d3 79 4d Key material offset 8 AF stripes 4000 On va avoir besoin de la taille de l en t te en secteurs crite sur la ligne Payload offset la noter quelque part On l utilisera plus loin sous le nom d OFFSET 134 II OUTILS 17 7 4 Recouvrir l en t te LUKS de donn es al atoires Comme dans la recette pr c dente on va utiliser la commande shred pour craser les donn es mais cette fois on crasera uniquement l en t te LUKS cet en t te contient la cl qui permet de d chiffrer le reste des donn es Cela ira donc beaucoup plus vite Dans le terminal administrateur saisir la commande suivante en prenant bien soin de remplacer OFFSET et LE P RIPH RIQUE CHIFFRE par les valeurs qu on a trouv es 5 l 4 shred n 3 s OFFSET 512 v LE P RIPH RIQUE CHIFFR Appuyer alors sur Entr e Note l option s utilis e ici sert dans le cadre de cette commande indiquer la taille size de l espace qui doit tre effac de mani re s curis e P q Une fois que le terminal rend la main les donn es chiffr es devraient tre illisibles Pour s en assurer il est possible de cher
70. Dans la m moire virtuelle Comme expliqu auparavant le systeme d exploitation utilise dans certains cas une 1 Maximillian Dornseif 2004 Owned by an iPod https pacsec jp psj04 psj04 dornseif e ppt Bruce Schneier 2006 Hacking Computers Over USB http www schneier com blog archives 2006 06 hacking_compute htmll en anglais 2 J Alex Halderman et Al 2008 Least We Remember Cold Boot Attacks on Encryption Keys http citp princeton edu memory en anglais 20 I COMPRENDRE partie du disque dur pour venir en aide sa m moire vive Ca arrive en particulier si ordinateur est fortement sollicit par exemple quand on travaille sur de grosses images mais aussi dans de nombreux autres cas de facon peu pr visible La cons quence la plus g nante de ce systeme pourtant bien pratique c est que l or dinateur va crire sur le disque dur des informations qui se trouvent dans la m moire vive informations potentiellement sensibles donc et qui resteront lisibles apr s avoir teint l ordinateur Avec un ordinateur configur de fa on standard il est donc illusoire de croire qu un document lu partir d une cl USB m me ouvert avec un logiciel portable ne laissera jamais de traces sur le disque dur Pour viter de laisser n importe qui acc der ces donn es il est possible d utiliser un EI Eee al page 371 syst me d exploitation configur pour chiffrer la m moire virtuelle
71. Dans une brochure commerciale Packet Forensics une compagnie am ricaine qui vend du mat riel de surveillance r seau crit ainsi que pour utiliser notre produit dans ce sc nario les utilisateurs gouvernementaux ont la possibilit d importer une copie d une cl l gitime qu ils peuvent obtenir potentiellement grace une r quisition judiciaire 16 Le PDG de Packet Forensics aurait confirm oralement l auteur de l tude que des clients gouvernementaux collaborent avec des autorit s de certification pour obtenir des vrais faux certificats utiliser lors d op rations de surveillance 7 6 4 3 Toile de confiance Une autre solution la question de l authenticit des cl s publiques est la toile de confiance ou web of trust en anglais Plut t que de faire confiance quelques autorit s centralis es il s agit d tablir un lien de confiance de proche en proche Ainsi Betty ne conna t pas Alice mais elle conna t Daniel qui conna t mile qui conna t Alice Il y a donc un chemin de confiance entre Betty et Alice S il n y avait que ce chemin de confiance cela impliquerait que Betty place une forte confiance en mile qu elle ne conna t pas directement Mais Betty 12 Alexander Sotirov et Al 2008 MD5 considered harmful today Creating a rogue CA certi ficate http www win tue nl hashclash rogue ca en anglais 13 Comodo 2011 Comodo Fraud Incident http www comodo com C
72. Documentation Dans l index qui s ouvre chercher la section Chiffrement et vie priv e et cliquer sur la page Effacer des fichiers de facon s curis e et nettoyer l espace disque avec Nautilus Wipe Avec une Debian chiffr e Afin de supprimer des fichiers et leur contenu depuis le navigateur de fichiers naviguer jusqu au fichier faire un clic droit sur celui ci et s lectionner Ecraser Une fen tre s ouvre nous demandant de confirmer la suppression et proposant galement quelques Options Nous pouvons choisir le nombre de passes effectu es afin de recouvrir les donn es de notre p riph rique ainsi que quelques options de comportement lors de l effacement des donn es Les options par d faut sont suffisantes pour les disques durs actuels Cliquer ensuite sur Ecraser Une fois l effacement termin e une fen tre L crasement a r ussi s ouvre pr cisant que Le s l ment s ont t cras s avec succ s 17 5 Effacer pour de vrai tout un disque Avant de se d barrasser d un disque dur de le recycler de r installer un syst me tre judicieux de mettre des b tons dans les roues des gens qui voudraient r cup rer les donn es qu il contenait Pour cela la meilleure solution est encore de les remplacer par du charabia Avant d utiliser cette recette il faut r fl chir 4 deux fois et sauvegarder soigneusement difficiles r cup rer m me en analysant le disque dans un laboratoire Nous
73. En effet avoir pris norm ment de pr cautions et changer des emails avec une personne ayant par exemple une Debian non chiffr e ou allum e en permanence peut tre plus dangereux car l on pourrait avoir une impression trompeuse de s curit D autant plus s il est ais de localiser ou mettre un nom sur les protagonistes de l change En utilisant un logiciel de mail dans un syst me live amn sique il n y aura aucune trace sur l ordinateur utilis apr s extinction mais il y en aura dans la partition per sistante si on l a configur e Celles ci seront chiffr es ce qui revient au cas pr c dent d une Debian chiffr e Pour ne pas laisser de traces sur l ordinateur utilis chiffr es ou non on pourra d utiliser le systeme live Tails sans persistance et de profiter ainsi de son amn sie 10 8 4 Quatri me tape attaquer le chiffrement des messages Un adversaire arrivant d une mani re ou d une autre mettre la main sur les emails 4 Lorsqu elle est allum une machine dont le disque dur est chiffr e contient de nombreuses informations d chiffr es dans sa m moire vive tome 1 1 2 3 CHAPITRE 1 1 Dialoguer 11 1 Contexte Dans le cas d usage pr c dent on changeait des messages de facon asynchrone i page 91 tout comme dans un change pistolaire Cependant on peut vouloir une commu nication synchrone comme lors d une communication t l phonique que ce soit pour 2
74. FI HP Fl F2 Echap HP tablet PC F10 IBM mod les r cents F1 IBM anciens mod les F2 IBM Lenovo mod les r cents Fl PR IBM Lenovo anciens mod les Ctrl Alt F3 Cri Att Ins Fl E Intel Tangent Super Micron F1 F2 uppr NEC F2 Packard Bell F1 F2 Super Shuttle FI Suppr Sony E Pl E Tiger Super Toshiba Fi chap Toshiba Equium F72 Souvent le micrologiciel va trop vite et on n a pas le temps de lire le message de le comprendre et d appuyer sur la touche Qu a cela ne tienne une fois la bonne touche identifi e red marrer encore la machine en appuyant sur la touche en question ne pas 3 Tim Fisher 2014 BIOS Setup Utility Access Keys for Popular Computer Systems http pcsupport about com od fixtheproblem a biosaccess pc htm ainsi que MichaelStevensTech 2014 How to access enter Motherboard BIOS http michaelstevenstech com bios manufacturer htm liens en anglais 96 II OUTILS maintenir la touche enfonc e mais la presser puis la rel cher plusieurs fois Parfois Vordinateur se perd et plante Dans ce cas red marrer et r essayer Si une image s affiche la place du message que l on esp re voir il se peut que le micrologiciel soit configur pour afficher un logo plut t que ses messages Essayer d appuyer sur ou sur Tab pour voir les messages Si ordinateur d marre trop rapidement pour qu on ait le
75. Ils centralisent la plupart des contenus que ce soient des sites web de la musique des emails etc Cela induit de la verticalit dans la hi rarchie du r seau En effet plus on dispose d information au sens large plus on a potentiellement de pouvoir Les serveurs s opposent aux clients qui ne font qu acc der aux informations Cette si tuation correspond un Internet o les utilisateurs deviennent des clients et sont donc principalement passifs centralisant Internet autour des fournisseurs de contenus Prenons l exemple d un des services disponibles sur Internet le site web du Guide d autod fense num rique https guide boum org lorsque Alice consulte une page de ce site web son ordinateur joue le r le de client qui se connecte au serveur qui h berge le Guide d autod fense num rique Cela dit n importe quel ordinateur peut tre la fois client et serveur que ce soit dans un m me temps ou successivement Ces deux usages ne sont pas d termin s par le type de machine 1 6 1 Les serveurs de noms Lorsqu Alice demande son navigateur web d aller sur le site du Guide d autod fense num rique son ordinateur doit se connecter au serveur qui h berge ce site Pour cela il est n cessaire de conna tre l adresse IP du serveur Or une adresse IP est une suite de nombres assez p nible m moriser taper ou transmettre 204 13 164 188 une adresse IPv4 Pour r soudre ce probl me il existe de
76. L 4 2 3 Veille et hibernation La plupart des syst mes d exploitation permettent de mettre un ordinateur en pause C est surtout utilis avec les ordinateurs portables mais c est galement va lable pour les ordinateurs de bureau Il y a deux grandes familles de pause la veille et l hibernation 2 3 1 La veille La veille appel e aussi en anglais suspend to ram ou suspend consiste teindre le maximum de composants de l ordinateur tout en gardant sous tension de quoi pouvoir le rallumer rapidement Au minimum la m moire vive continuera d tre aliment e pour conserver l int gralit des donn es sur lesquelles on travaillait c est dire notamment les mots de passe A q 4 page 371 et les cl s de chiffrement L Bref un ordinateur en veille prot ge aussi peu l acces aux donn es qu un ordinateur allum 2 3 2 L hibernation L hibernation ou mise en veille prolong e appel e aussi en anglais suspend to disk consiste sauvegarder l int gralit de la m moire vive sur le disque dur pour ensuite teindre compl tement l ordinateur Lors de son prochain d marrage le systeme d ex ploitation d tectera l hibernation re copiera la sauvegarde vers la m moire vive et recommencera a travailler partir de l page 17 Sur les systemes GNU Linux la copie de la m moire se fait g n ralement dans la o swap Sur d autres systemes ga peut tre dans un gros fichier
77. Publier une vid o ou un son Pour publier un contenu sonore ou une vid o des sites sp cialis s existent Ils per mettent aux internautes qui les visitent de lire en ligne le son ou la vid o sans avoir a t l charger le fichier Quelques listes de sites de ce type fla page Wikip dia sur les sites de partage de fi chiers https fr wikipedia org wiki Site_d h bergement_de_fichiers H C3 A9bergement_de_vid C3 A e une liste de sites de partage de vid os sur un blog http ww blog niums com 2007 net quoi de neuf sur le web partage de videos en ligne que choisir 14 2 5 Publier un gros fichier t l chargeable Pour publier des documents que l on souhaite t l chargeables on va aller voir du c t des services de t l chargement direct de fichiers ou DDL pour Direct Downloading Link En francais cela signifie lien de t l chargement direct on poste notre fichier sur un serveur de t l chargement direct On obtient alors un lien une adresse web qui lorsqu on la tape dans notre navigateur nous permet de lancer le t l chargement du fichier Quelques listes de tels services e liste de 10 sites de partage de fichier sur clubic http ww clubic com article 87134 2 solutions partager gros fichiers html e liste de sites de partage de fichier sur Wikibooks https fr wikibooks org wiki Partage de fichiers sur Internet Les sites d 27h C3 A9 bergement_de fichiers en un clic Partager un fichier en
78. a Windows XP o se connecter pour trouver ce dossier partag e Dans le menu D marrer ouvrir le Poste de travail e Dans le menu Outil cliquer sur Connecter un lecteur r seau e Windows propose un nom de lecteur par exemple Z et demande d indiquer le dos sier cliquer sur parcourir droite VirtualBox Shared Folders Vboxsur gt Nom_du_repertoire puis OK On peut choisir au passage si on veut que ce lec teur ne soit accessible que pour la dur e de la session en cours ou chaque nouvelle session Attention en apprenant a utiliser ce systeme de partage on pourrait tre tent de le configurer pour donner acces directement aux p riph riques branch s sur le systeme h te c est bien la pire id e qu on puisse avoir qui an antirait elle seule toute la politique de s curit 166 II OUTILS 22 7 Faire sortir des fichiers d un systeme virtualis Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e 10 minutes environ Le Windows invite n a pas le droit par d faut de laisser des traces en dehors de son compartiment tanche Mais presque in vitablement vient le temps ot il est n cessaire d en faire sortir des fichiers Voyons donc comment proc der 22 7 1 En gravant un CD ou DVD Avant tout sortir les CD ou les DVD qui pourraient tre dans le
79. ach F page 36 EN RER Jl 92 II CHOISIR DES R PONSES ADAPTEES 10 2 2 Contre qui veut on se prot ger On peut vouloir dissimuler tout ou partie de ces informations aux diverses machines qui peuvent y avoir acces ainsi qu aux personnes ayant acc s a ces machines T q 2 page 29 Parmi ces machines viennent tout d abord les serveurs impliqu s Au minimum pour L J un message envoy par Alice alice exemple org Betty betty fai net il s agira e du serveur charg par Alice d envoyer le message g n ralement ce sera exemple org e du serveur charg de recevoir un message et de le stocker dans la boite mail de Betty fai net T gl 2 page 15 Mais ce n est pas tout De nombreux autres ordinateurs les routeurs sont situ s le L entre l ordinateur d Alice et son FAT e entre le FAI d Alice et son serveur mail exemple org e entre exemple org et le serveur mail de Betty fai net e lorsque Betty consultera sa boite mail le message cheminera entre le serveur mail fai net et son FAI enfin entre le FAI de Betty et son ordinateur _ LA FAI d Alice Mm 3 E N f l m J j Serveur mail J y de fai net Ordinateur d Alice y 1 A N AG hu L A o gt LS FA EAS uE de Bett e Ordinateur de Betty Serveur mail exemple org Un mail transite par de nombreux interm diaires Les admins de ces m
80. alors tout le reste du systeme Debian GNU Linux et l installe C est long il y a le temps d aller faire autre chose 15 5 9 Installation du programme de d marrage GRUB L installeur propose de mettre en place le programme de d marrage qui permet de d marrer Linux sur une partie du disque dur appel e secteur d amorcage L installeur propose un P riph rique ow sera install le programme de d marrage laisser le choix par d faut cliquer sur Continuer et attendre un peu Lorsqu il a termin l installeur propose de red marrer l ordinateur en v rifiant que le support d installation CD DVD cl USB n est plus ins r lors du red marrage Choisir Continuer 15 5 10 Red marrer sur le nouveau syst me L ordinateur d marre alors sur le nouveau syst me A un moment il demande la phrase de passe sur un cran noir Enter passphrase La taper sans s inqui ter que rien ne s affiche et appuyer sur la touche Entr e la fin 10 Si Pon n est pas tres a l aise avec la frappe au clavier il arrive souvent dans les premiers temps qu on fasse une erreur de frappe dans la phrase et c est d autant plus probable qu aucun caract re ne s affiche Ne pas s inqui ter des erreurs r p t es et insister jusqu r ussir taper la phrase sans faute au bout de quelque temps elle sera rentr e dans les doigts et les fautes de frappe se feront plus rares Cela dit il ne co te rien de v rifier q
81. au systeme autonome de notre FAI celui ci tablit des connexions d autres r seaux Il est alors possible de faire passer des informations d un syst me autonome a un autre C est gr ce ces interconnexions que nous pouvons communiquer avec les diff rents ordinateurs formant Internet ind pendamment du SA auquel ils appartiennent Un routeur Un routeur est un ordinateur qui relie et fait communiquer plusieurs r seaux Il est allum en permanence et sa forme ressemble davantage une grosse bo te de pizza qu un ordinateur personnel son principe de fonctionnement reste cependant similaire a celui des autres ordinateurs et on lui adjoint quelques circuits sp cialis s pour basculer tr s vite les paquets d un r seau un autre Les syst mes autonomes se mettent d accord pour tablir ces connexions au cas par cas en g n ral en fonction de leurs int r ts conomiques il s agit pour eux d envoyer leur trafic r seau bon port au moindre co t Cela passe souvent par des accord d change de trafic qui d coulent parfois sur des litiges ainsi en 2011 l operateur de transit Cogent et le fournisseur d acc s Internet fran ais Orange avaient un accord de troc de trafic r seau mais Cogent envoyait jusqu a 13 fois plus de trafic qu Orange Orange a alors ralenti volontairement le trafic r seau venant de Cogent qui a son tour port plainte contre Orange et perdu Des points d int
82. avec Gravure de disque Brasero le logiciel de gravure s occupe apr s confirmation de transformer cette image en l ecrivant sur le DVD 14 3 Cloner ou mettre jour une cl Tails Une fois que l on dispose d un DVD d une cl USB ou d une carte SD de Tails il est possible de le dupliquer par exemple pour cr er une cl USB avec la persistance correspondant une nouvelle identit contextuelle pour donner une cl Tails un ami ou encore pour mettre jour une cl USB contenant une ancienne version de Tails Pour ce faire on va suivre la documentation officielle de Tails qui est disponible partir de n importe quel DVD cl USB ou carte SD de Tails m me sans connexion Internet D marrer Tails Sur le bureau cliquer sur l ic ne Documentation de Tails Dans le menu droite cliquer sur Documentation Dans l index qui s ouvre chercher la section Premier pas avec Tails et cliquer sur la page Installation sur une cl USB ou une carte SD C est celle ci qu il s agira de suivre Pour mettre a jour la cl ainsi cr e il faudra par la suite suivre la page Mettre a jour une Cl USB Tails ou une carte SD Tails dans la m me section 14 4 D marrer sur un systeme live Des que la copie ou la gravure est termin e on peut red marrer l ordinateur en laissant le support du syst me live dedans et v rifier que la copie a fonctionn condition bien s r qu on ait configur le micrologiciel pour qu
83. bien quip es de r aliser une coute de ce qui se passe l int rieur de l ordinateur 1 4 Les logiciels Au del de la somme d l ments physiques qui constituent un ordinateur il faut aussi se pencher sur les l ments moins palpables les logiciels l poque des tout premiers ordinateurs chaque fois qu il fallait ex cuter des trai tements diff rents il fallait intervenir physiquement pour changer la disposition des c bles et des composants On en est bien loin aujourd hui les op rations r aliser pour faire les traitements sont devenues des donn es comme les autres Des donn es qu on appelle programmes qui sont charg es modifi es manipul es par d autres programmes Ceux ci sont g n ralement crits pour essayer de ne faire qu une seule chose et de la faire bien principalement dans le but de rester compr hensibles par les tres humains qui les con oivent C est ensuite l interaction de dizaines de milliers de programmes 1 Berke Durak a r ussi en 1995 capter les ondes lectromagn tiques http lambda diode com electronics tempest mises par la plupart des composants de son ordinateur avec un simple walkman capable de recevoir la radio 2 Martin Vuagnoux et Sylvain Pasini ont r alis d effrayantes vid os http lasecwww epfl ch keyboard pour illustrer leur papier Compromising Electromagnetic Emanations of Wired and Wi reless Keyboards publi en 2009
84. bli es quelque part que ce soit par nous m mes ou par d autres personnes que ce soit parce qu on nous y incite c est un peu le fond de commerce du web 2 0 parce que les technologies laissent des traces ou simplement parce qu on ne fait pas attention Rien a cacher Mais faut pas tre parano je wai rien cacher pourrait on r pondre au constat pr c dent Deux exemples tout b tes tendent pourtant montrer le contraire personne ne sou haite voir ses codes secrets de carte bleue ou de compte eBay tomber entre n importe quelles mains et personne non plus n aimerait voir quelqu un qui ne lui veut pas du bien d barquer chez lui parce que son adresse a t publi e sur Internet malgr lui Mais au del de ces b tes questions de d fense de la propri t priv e la confidentialit des donn es devrait tre en soi un enjeu Tout d abord parce que ce n est pas nous qui jugeons de ce qu il est autoris ou non de faire avec un ordinateur Des personnes arr t es pour des activit s num riques qui ne plaisaient pas leur gouvernement croupissent en prison dans tous les pays du monde pas seulement en Chine ou en Iran De plus ce qui est autoris aujourd hui comment savoir ce qu il en sera demain Les gouvernements changent les lois et les situations aussi Si on n a pas cacher aujourd hui par exemple la fr quentation r guli re d un site web militant comment savoir ce qu il
85. calculs strat giques Bien plus que la pens e de X ou Y un livre exprime l tat de ces interactions un certain moment Deux caract ristiques de cet ouvrage nous obligent n anmoins faire face sous cer tains angles aux interrogations relatives sa provenance Cet ouvrage pr tend d une part transmettre des savoirs et savoirs faire techniques r serv s d ordinaire de rares sp cialistes D autre part la justesse des indications fournies peut avoir de larges im plications sur la s r nit des personnes qui les mettraient en uvre Les petites erreurs qui nous auront chapp peuvent donc avoir de graves cons quences Il importe donc de dire quelques mots sur les bouches qui ont pr t leurs voix ce guide Mettre au clair l tendue de nos savoirs faire et leurs limites permet de trouver un rapport d apprentissage plus ad quat cet crit mais aussi de d cider du niveau de confiance technique qu il m rite Disons donc que collectivement e les questions brass es par ce guide nous traversent techniquement et politique ment depuis une dizaine d ann es e nous connaissons tr s bien le fonctionnement des syst mes d exploitation et par ticuli rement celui de Debian GNU Linux e nous avons des bases solides en cryptographie mais sommes tr s loin de pouvoir pr tendre une quelconque expertise en la mati re Et pour finir affirmons une derni re fois que la parole port
86. cas toujours utile de lire cette partie et de se demander si l on souhaite continuer au regard de ces informations En cliquant sur Voir puis sur l onglet Details on peut regarder plus en profondeur le certificat et savoir par exemple qui l a mis pour combien de temps etc Il faut ensuite revenir l onglet G n ral afin d afficher diverses informations sur le certificat qui est pr sent notre navigateur web dont son empreinte SHA 1 A partir de l vous pouvez commencer mettre en place les techniques d crites pr c demment pour v rifier l authenticit de ce certificat Une fois la v rification faite deux possibilit s s offrent vous vous pouvez choisir de n utiliser ce certificat que temporairement pour la dur de votre session en cours jusqu au red marrage du navigateur ou l installer de fa on permanente dans votre navigateur afin de ne plus avoir faire cette v rification Dans le cas du Tor Browser Bundle Vimportation permanente d un certificat devra tre reproduit apres chaque mise a jour les fichiers et la configuration du navigateur tant remplac s a chaque fois par la nouvelle version Il peut donc tre utile une fois le certificat v rifi de le sauvegarder dans un endroit stir ou d en imprimer l empreinte afin de pouvoir effectuer la v rification plus rapidemment les fois suivantes Tails ne permet pas pour l instant de conserver simplement de mani re persistante les certifica
87. ci ainsi qu aux traces laiss es que ces traces soient dues au fonctionnement de la machine ou laiss es par les soins de protagonistes Afin de se prot ger d un adversaire qui pourrait s emparer de notre ordinateur on prendra soin de chiffrer son disque dur pour lui compliquer l acc s aux donn es sto ck es sur celui ci Cela ne nous protegera pas contre un logiciel malveillant voulant exfiltrer ces donn es d o l importance de n installer que des logiciels de confiance On pourra aussi utiliser un systeme live amn sique Notons que si les emails stock s font partie d un change qui a t chiffr en utilisant la cryptographie asym trique quand bien m me il a acc s l ordinateur l adversaire ne pourra pas les lire moins qu il ait acc s la cl secr te et connaisse la phrase de passe qui permet de l utiliser 10 8 3 Troisieme tape attaquer le chiffrement du support Si Pon consulte ses emails sur une Debian chiffr e les traces sur le disque dur de Vordinateur seront chiffr es que l on utilise le webmail ou un client mail Elles n ap prendront donc rien un adversaire en l tat Cependant certains adversaires pour raient avoir des moyens d attaquer ce chiffrement De plus si la personne avec qui l on converse par email ne fait pas de m me le niveau global de protection du contenu A 9 E 100 II CHOISIR DES R PONSES ADAPT ES sera nivel par la plus faible des deux protections
88. cr er de faux certificats valides car six autorit s de certifications utilisaient encore des algorithmes cryptographiques qui taient de notori t publique cass s depuis 2004 Les certificats ainsi cr s sont de vrais faux certificats le navigateur les reconnait comme vrais car malgr leur origine frauduleuse tout laisse penser qu ils ont t tablis par une autorit reconnue En 2011 neuf vrais faux certificats sign s par Comodo une autorit de certification ont t cr s Au moins l un de ces certificats aurait t utilis sur le web 1 La soci t a mis plus d une semaine assumer publiquement cette compromission et nombre d entre elles ne le font probablement pas dans ce genre de situations pour viter la mauvaise publicit et les pertes financi res qui vont avec Par ailleurs il semble que si la police ou la justice de leur pays le leur ordonne cer taines autorit s de certification donnent aux flics de vrais faux certificats tablis au nom d entit s qu ils voudraient surveiller 15 Cela dit il faut quand m me que ces a Vrais faux certificats soient mis en place l endroit ad quat sur Internet et combi page 64 nes des attaques de l homme du milieu afin d tre exploit s au mieux Enfin nos connexions passant en g n ral par plusieurs pays cette attaque peut tout a fait tre d ploy e par un pays diff rent de celui depuis lequel on se connecte
89. d email ne sera pas affect par le chiffrement et aura toujours acc s l email dans son int gralit o Afin de profiter d un chiffrement de la connexion efficace il ne faudra pas faire une u q x z page 1211 confiance aveugle une autorit de certification ou accepter un certificat sans le L J Enfin rien n assure que la connexion entre le serveur mail d Alice et celui de Betty est chiffr e auquel cas le trajet de l email se fera en partie a la mani re d une lettre en partie la mani re d une carte postale 3 Le spam est une communication lectronique non sollicit e le plus souvent du courrier lec tronique 10 CHANGER DES MESSAGES 99 0 es lo 9 tee Ordinateur d Alice Serveur de exemple org Serveur de fai net Ordinateur de Betty Connexion chiffr e aux serveurs mail Afin de s assurer que le contenu de nos messages n est lisible par aucun des inter m diaires facteur compris il nous est possible de les chiffrer directement sur notre ordinateur avant m me de les envoyer Pour cela on utilisera le standard de crypto graphie asym trique OpenPGP Il serait galement possible d utiliser la cryptographie sym trique mais ses limites nous am nent le d conseiller fortement En utilisant la cryptographie asym trique seule la personne destinataire pour la quelle on aura effectu le chiffrement sera en mesure de d chiffrer le message N ou blions pas ce
90. d tre d pass e Ceci a galement l avantage de ne pas occuper de l espace disque pour rien chez l h bergeur mail Il n y a ici pas de grande diff rence entre l usage de tel ou tel protocole d un client mail ou du webmail L usage du protocole POP avec un client mail bien configur t l chargement complet des emails suppression sur le serveur distant en admettant que l on rel ve regulierement notre courrier vitera au mieux de laisser notre courrier prendre la poussi re dans les serveurs de notre h bergeur La lecture de nos messages qui rel ve de la violation du secret de la correspondance tout comme lire une lettre qui ne nous serait pas destin e ne demande aucun effort technique pas m me celui d ouvrir une enveloppe Elle est si simple que son utilisation a notamment t automatis e par Gmail qui fait lire le contenu des emails de ses utilisateurs par des robots afin de d tecter le spam mais aussi afin de mieux cibler leurs utilisateurs pour entre autres leur offrir la publicit la plus ad quate Ces robots ne sont ni des automates ni des an droides mais de petits programmes qui parcourent automatiquement du contenu pour identifier quelque chose par exemple les robots de Google parcourent les pages web pour indexer les mots cl s pertinents qui pourraient tre recherch s De tels ro bots sont aussi utilis s par les flics pour leur signaler
91. d j servi il peut tre n cessaire de commencer par recouvrir ses donn es voir page 127 Si le disque chiffrer ne dispose pas d espace libre le formater voir page ci contre Ensuite si l on souhaite chiffrer une partie seulement du disque dur il faut cr er une partition en clair voir page 140 la suite de quoi il ne reste plus qu l initialiser pour contenir des donn es chiffr es voir page 140 Le voil enfin pr t tre utilis voir page 141 1 La derni re analyse ind pendante de FileVault http crypto nsa org vilefault 23C3 VileFault pdf date de 2006 En plus d tre sensible aux m mes attaques que d autres syst mes FileVault a quelques faiblesses qu il faut pr ciser ce syst me ne permettant de chiffrer que le r pertoire personnel des traces seront crites page 19 en clair sur le reste du disque dur la phrase de passe de chiffrement est identique au mot de passe de la session g n ralement faible le fait d enregistrer un mot de passe principal ouvre un nouveau champ d attaques la cl de chiffrement sera crite sur le disque dur si Utiliser la m moire virtuelle s curis e n a pas t choisi ou si un ordinateur mis en veille vide sa batterie N anmoins en gardant en t te que cela offre un niveau de protection limit cela vaut tout de m me la peine d activer FileVault sur un ordinateur avec Mac OS X 2 TrueCrypt dont le d veloppement a t interrompu htt
92. de copie sur le serveur distant 10 6 1 Avantages Les avantages et inconv nients peuvent tre sp cifiques au protocole utilis afin de recevoir son courrier cela dit certains leur sont communs Tout d abord avec un client d email rien n emp che d avoir acc s sa boite mail dans le m me tat qu au dernier relev de courrier m me en l absence de connexion a Internet Il sera donc possible de lire r diger supprimer des emails hors connexion 2 Wikipedia 2014 Lavabit https fr wikipedia org wiki Lavabit 10 CHANGER DES MESSAGES 95 fai net exemple org HTTP S SMTP SMTP Se ha gt P L ES j POP as 2 7 j k J gt Ordinateur de Betty Serveur Webmail Serveur Mail Serveur Mail Ordinateur d Alice Betty utilise un webmail Alice un client mail sans bien s r pouvoir ni les envoyer ni en recevoir De plus l usage d un client mail nous vite d avoir subir la myriade de publicit s dont le web est parsem On n aura galement pas besoin de rajouter un certificat SSL chaque fois que l on se connecte la page s curis de notre webmail si on utilise un syst me live amnesique comme Tails En utilisant le protocole POP on profitera d autres avantages comme la d centralisa tion des emails Au lieu de laisser toute notre correspondance sur des serveurs distants les courriers lectroniques sont rapatri s s
93. de rangement des plus efficaces 1 5 1 Les partitions Tout comme dans un meuble on peut mettre plusieurs tag res on peut d couper un disque dur en plusieurs partitions Chaque tag re pourra avoir une hauteur diff rente un classement diff rent selon que l on souhaite y mettre des livres ou des classeurs par ordre alphab tique ou par ordre de lecture De la m me mani re sur un disque dur chaque partition pourra tre de taille diff rente et contenir un mode d organisation diff rent un syst me de fichiers 1 5 2 Les syst mes de fichiers Un syst me de fichiers sert avant tout pouvoir retrouver des informations dans notre immense pile de donn es comme la table des mati res d un livre de cuisine permet directement d aller la bonne page pour lire la recette du festin du soir Il peut tre important de noter que la suppression d un fichier ne fait qu enlever une Des ligne dans la table des mati res En parcourant toutes les pages on pourra toujours page 321 retrouver notre recette tant que la page n aura pas t r crite on d veloppera T eela plus tard On peut imaginer des milliers de formats diff rents pour ranger des donn es et il existe donc de nombreux syst mes de fichiers diff rents On parle de formatage lors de la cr ation d un syst me de fichiers sur un support Vu que c est le syst me d exploitation qui donne aux programmes l acc s aux donn es un syst
94. de transmettre des donn es sous forme d impulsions lumineuses Cela permet la transmission d importants volumes d information m me sur de longues distances 6 L ADSL pour Asymmetric Digital Subscriber Line est une technologie permettant de trans mettre des donn es num riques tome 1 1 2 2 sur une ligne t l phonique de mani re ind pendante du service t l phonique 1 BASES SUR LES R SEAUX 11 Un connecteur Ethernet standard RJ 45 1 2 Protocoles de communication Pour que des machines puissent se parler il ne suffit pas qu elles soient reli es entre elles il faut aussi qu elles parlent une langue commune On appelle cette langue un protocole de communication La plupart des langues utilis es par les machines sur Internet sont d finies de facon pr cise dans des documents publics c est ce qui permet a des ordinateurs et logiciels vari s de fonctionner ensemble pour peu qu ils respectent ces standards C est ce que recouvre la notion d interop rabilit 1 2 1 Des fonctions compl mentaires Le fonctionnement d Internet est bas sur l utilisation de divers protocoles r pondant diff rents besoins le t l chargement d un fichier l envoi d un email la consultation d un site web etc fera intervenir diff rentes conventions appel es protocoles Pour simplifier nous d taillerons ci dessous ces diff rents protocoles en les classant en trois cat gories protocoles physiques r seau
95. demande d indiquer le dos sier cliquer sur parcourir droite VirtualBox Shared Folders Vboxsur gt Nom_du_dossier puis OK On peut choisir au passage si on veut que ce lec teur ne soit accessible que pour la dur e de la session en cours ou a chaque nouvelle session CHAPITRE 2 3 Garder un systeme a jour Comme expliqu pr c demment les logiciels malveillants se faufilent dans nos ordi nateurs entre autres par l interm diaire de failles de s curit Des corrections pour ces erreurs de programmation ou de conception sont r gu li rement mises disposition au fur et mesure qu elles sont identifi es Une fois que ces corrections sont disponibles il est particulierement important de remplacer les anciennes versions des logiciels En effet les probl mes corrig s qui pouvaient n avoir auparavant t identifi s que par quelques sp cialistes sont ensuite connus et r f renc s publiquement donc plus faciles exploiter 23 1 Garder Tails jour Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e 30 minutes 1 heure plus environ 30 minutes de t l chargement Un syst me live tant une collection indivisible de logiciels ex cut s partir d un DVD ou d une cl USB ou d une carte SD la seule solution praticable pour util
96. du chiffre de C sar le nombre de caract res de d calage 3 en Poccurence ou dans la technique de diffusion le nombre de lignes des colonnes La valeur de cette cl est variable on aurait tout aussi bien d cider de faire des colonnes de 2 lignes ou un d calage de 6 caract res Ce qui nous am ne la troisi me grande id e le secret r side seulement dans la cl Apres quelques mill naires on s est aper u que c tait une mauvaise id e de partir du principe que personne n arriverait comprendre l algorithme de chiffrement Tot ou tard une personne finira bien par le d couvrir par la force si n cessaire De nos jours l algorithme peut donc tre d taill sur Wikip dia en long en large et en travers permettant n importe qui de v rifier qu il n a pas de point faible particulier c est dire que la seule solution pour d chiffrer un texte sera de disposer de la cl qui a t employ e avec celui ci 5 1 2 Vous voulez un dessin Concr tement pour assurer la confidentialit de nos donn es on utilise deux op ra tions le chiffrement puis le d chiffrement Premiere tape le chiffrement Pour un exemple d usage pratique prenons le message suivant 2 Le passage qui suit est une adaptation tres partielle de la bande dessin e de Jeff Moser sur l al gorithme AES http ww moserware com 2009 09 stick figure guide to advanced html en anglais 3 Ce message est d une tr s haute i
97. du contenu du CD re 94d93910609f65475a189d178ca6a45f CD d Alice gt SHA256 22b50c95416affb1d8feb125dc3069d0 Betty peut ensuite la comparer avec celle qu elle g n re partir du CD qu elle s est procur 5 LA CRYPTOGRAPHIE 43 94d93910609f65475a189d178ca6a45f CD de Betty gt SHA256 22b50c95416affb1d8feb125dc3069d0 Comme les nombres sont les m mes Betty est contente elle est s re de bien utiliser le m me CD que celui fourni par Alice Calculer ces sommes de contr le ne leur prend pas beaucoup plus de temps que la lecture compl te du CD soit quelques minutes tout au plus Maintenant mettons nous dans la peau de Carole qui a t pay e pour prendre le contr le de l ordinateur de Betty son insu Pour cela elle veut cr er un CD qui ressemble celui d Alice mais qui contient un logiciel malveillant gl SSR ER Malheureusement pour elle la fonction de hachage ne va que dans un sens Elle doit 1 page pr c dente PR donc commencer par se procurer le CD original d Alice s S zn Ensuite elle modifie ce CD pour y introduire le logiciel malveillant Cette premiere version ressemble de tr s pr s l original Cela pourrait duper plus d une personne qui ne ferait pas attention mais elle sait que Betty verifiera la somme de contr le du CD qui lui permettra d installer la nouvelle version Comme Alice utilise la fonction de hachage SHA256 qui n a pas de d faut connu il ne
98. du moteur d ex cution ne peut tre inspect et les corrections de trous de s curit ne peuvent tre faites que par la soci t Adobe qui le distribue On a vu que placer sa confiance dans un logiciel tait un choix complexe Des lors Vex cution de ce genre de programmes pose des questions quant au pouvoir donn aux auteurs de sites ou d applications web d acc der aux ressources de notre ordinateur et aux informations qu il contient De plus avant d tre ex cut s par le navigateur ces bouts de code transitent par le r seau souvent sans aucune authentification Cela laisse le loisir aux personnes malintentionn es et bien plac es de les modifier tout comme le reste d une page web Pour y introduire par exemple un logiciel malveillant Il est aussi possible de jouer avec les donn es que ces codes doivent traiter pour tenter de d tourner leur usage Ce genre de manipulation de pages web a par exemple t d tect par le pass lors de Vutilisation du point d acces Wi Fi d un h tel New York qui utilisait un quipement r seau d di cette t che 1 Au final un navigateur web moderne a tellement de fonctionnalit s qu un ventuel adversaire dispose d un nombre consid rable d angles d attaque 2 1 4 Dans les journaux des logiciels Le navigateur web n est pas le seul logiciel enregistrer des traces sur l ordinateur utilis la plupart des logiciels ont des journaux Par exemple les logiciels de
99. e https fr wikipedia org wiki Porte d rob el 2 Linux Weekly News 2014 Some 3 14 development statistics https lwn net Articles 590354 en anglais 4 QUELQUES ILLUSIONS DE S CURIT 31 Organisation Pourcentage Linux Foundation 11 4 Intel 10 0 None 6 8 Red Hat 6 7 Texas Instruments 4 1 Unknown 3 7 IBM 3 7 Realsil Microelectronics 3 4 SUSE 3 3 NVIDIA 3 0 etc Alors il n est pas impossible qu une personne qui crit un bout de logiciel dans un coin et a qui la communaut du libre fait confiance ait pu y glisser des bouts de code mal intentionn Comme ce fut le cas avec la faille connue sous le nom d Heartbleed Si on utilise uniquement des logiciels libres livr s par une distribution GNU Linux non commerciale il y a peu de chances que ce cas se pr sente mais c est une possibilit On fait alors confiance aux personnes travaillant sur la distribution pour tudier le fonctionnement des programmes qui y sont int gr s Il est n anmoins important de rappeler que cette confiance ne peut valoir que si on n installe pas n importe quoi sur son systeme Par exemple sur Debian les paquets officiels de la distribution sont sign s ce qui permet de v rifier leur provenance Mais si on installe des paquets ou des extensions pour Firefox trouv s sur Internet sans les v rifier on s expose tous les risques mentionn s au sujet des logiciels malveillants Pour conclure et ne pas
100. e Risques pour l h bergeur selon le contenu de notre document il peut faire courir un risque l h bergeur en particulier s il s agit d un h bergeur qui ne sou haite pas collaborer avec les flics Il est alors n cessaire de se demander si l on est 14 118 II OUTILS pr t a faire courir un risque a un h bergeur qui peut tre amen a dispara tre en cas de r pression Taille du document si notre document est trop gros certains h bergeurs refuseront de le prendre Cela peut galement tre le cas si notre document est trop petit La taille autoris e est sp cifi e dans certaines offres mais attention certains h bergeurs rendent payantes des fonctionnalit s comme l hebergement de tres gros fichiers Dur e d h bergement selon les h bergeurs de nombreuses offres existent quant la dur e de l h bergement Par exemple certains suppriment automatiquement le document au bout d un d lai d autres s il n a pas t t l charg pendant un certain temps etc 14 2 Type de contenu Maintenant qu on a quelques crit res de choix en t te essayons de rendre cela plus concret L hebergement adapt notre projet d pend tout d abord du type de contenu que l on souhaite publier texte image vid o son etc 14 2 1 Publier du texte Publier du texte est souvent ce qu il y a de plus simple Si le texte a publier est en rapport avec un autre texte d ja publi il est souvent possi
101. email de m me que pour chiffrer un texte est d crite dans la documentation de Tails Une fois Tails d marr afficher le bureau et cliquer sur l ic ne Documentation de Tails Dans le menu droite cliquer sur Documentation Dans l index qui s ouvre chercher la section Chiffrement et vie priv e et cliquer sur la page Chiffrer et signer du texte avec une cl publique Suivre cette page de documentation 18 10 Signer des donn es Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e quelques minutes L objectif de cet outil est de signer num riquement des donn es Cela peut servir authentifier l auteur d un message ou d un document v rifier des logiciels etc 18 10 1 Signer du texte avec Tails Cette m thode ne fonctionne que pour signer du texte avec Tails Pour signer un autre type de ficher ou si l on utilise une Debian chiffr e suivre la section suivante Une fois Tails d marr afficher le bureau et cliquer sur l ic ne Documentation de Tails Dans le menu droite cliquer sur Documentation Dans l index qui s ouvre chercher la section Chiffrement et vie priv e cliquer sur la page Chiffrer et signer du texte avec une cl publique et suivre cette page de documentation q ra 5 l 142 II OUTILS Signer un autre type de fichier Les aut
102. en l authenticit de ce certificat puis confirmer en cliquant sur OK Le certificat est dor navant install de facon permanente dans le navigateur vous pouvez fermer les fen tres que nous avons ouvertes et vous rendre sur le site que vous vouliez visiter 15 3 Ajouter une autorit de certification Pour ajouter une AC 4 la liste de celles reconnues par le navigateur web il faudra r cup rer son certificat racine Dans Firefox il faut cliquer sur le lien vers le certificat racine de l autorit de certification en question Ce lien est souvent disponible sur le site web de PAC Par exemple pour celui de l autorit de certification CACert il faut cliquer l http www cacert org certs root crt Si celui ci n est pas d j install s ouvre alors une boite de dialogue On vous a demand de confirmer une nouvelle autorit de certification AC Voulez vous faire confiance cacert org pour les actions suivantes confirmer cette AC pour identifier les sites Web O confirmer cette AC pour identifier les utilisateurs de courrier O confirmer cette AC pour identifier les d veloppeurs de logiciels Avant de confirmer cette AC pour quelque raison que ce soit vous devriez l exa miner elle ses m thodes et ses proc dures si possible Cliquer maintenant sur Voir pour Examiner le certificat d AC Une fen tre appara t alors nous indiquant qui a mis le certificat pour qui sa validi
103. entrepos es dans des grottes 52 II CHOISIR DES R PONSES ADAPTEES 7 2 Comment faire OS Il s agit de r pondre a la question suivante quel ensemble de pratiques d outils me page 49 prot geraient de fa on suffisante contre les risques valu s pr c demment Vous pouvez par exemple partir de vos pratiques actuelles et vous mettre dans la peau de l adversaire aussi naus abonde soit elle pour vous poser les questions suivantes 1 Face a une telle politique de s curit quels sont les angles d attaque les plus praticables 2 Quels sont les moyens mettre en ceuvre pour ce faire 3 Croyez vous que ces moyens puissent tre utilis s par les adversaires Si vous r pondez oui la troisi me question prenez le temps de vous renseigner sur les solutions qui permettraient de vous prot ger contre ces attaques puis imaginez les modifications de pratiques entra n es par ces solutions et la politique de s curit qui en d coule Si a vous semble praticable remettez vous dans la peau de l adversaire et posez vous nouveau les questions nonc es ci dessus R it rez ce processus de r flexion recherche et imagination jusqu trouver une voie praticable un compromis tenable En cas d incertitude il est toujours possible de demander une personne digne de confiance et plus comp tente en la mati re de se mettre dans la peau de l adversaire elle sera ravie de constater que
104. entreprises concurrentes et agences de renseignements ennemies En attendant les attaques utilis es l heure actuelle sur les syst mes de cryptographie asym trique ciblent la fa on de le mettre en uvre dans tel ou tel logiciel ou une erreur dans son code source et non le principe math matique du syst me An Co a a A BEES A ne T l 6 3 Signature num rique Les paires de cl s utilis es pour la cryptographie asym trique peuvent aussi tre utilis es pour prouver l authenticit d un message Comment cela fonctionne t il Reprenons exemple de Betty envoyant un message Alice Cette fois Betty veut signer num riquement son message afin qu Alice puisse tre s re qu elle en est bien l auteur tome 1 5 2 Dans le premier tome de ce guide on a parl des sommes de contr le ou empreintes L 4 S re A 2 A EE NS de woe E 2 un nombre qui permet de v rifier l int grit d un message Cette empreinte va ga lement servir 4 signer des donn es num riques Dans un premier temps l ordinateur de Betty calcule une empreinte du message qu elle va envoyer Alice Ensuite cette empreinte est chiffr e avec la cl priv e de Betty c est la signature num rique Eh oui empreinte est chiffr e avec la cl priv e de Betty dont elle est la seule disposer et non avec la cl publique d Alice Cette signature sert en effet a authentifier l exp diteur et non le destinataire Or on vien
105. est le cas se r f rer aux notes de publication officielles du projet Debian notam ment la partie Mises niveau depuis Debian 6 0 Squeeze et la partie Probl mes conna tre pour Squeeze Mettre 4 jour sa Debian Squeeze Avant tout il est n cessaire de disposer d une Debian Squeeze jour Sans cela la mise niveau risque fort de ne pas fonctionner Au cas o ces mises jour n auraient pas red marrer suite de nombreuses mises jour le faire avant de proc der la suite des op rations S assurer d avoir assez d espace libre sur le disque dur Avant d viter toute mauvaise surprise il faut avoir au moins 4 Go d espace libre sur le disque dur qui contient le syst me On peut v rifier cela en ouvrant le Poste de travail partir de menu Raccourcis Ensuite on effectue un clic droit sur l ic ne du Syst me de fichiers pour atteindre les Propri t s Dans la fen tre qui s ouvre l information qui nous int resse se trouve en bas droite du graphique avant l tiquette libre Lib rer de l espace sur le disque si n cessaire S il n y a pas assez d espace sur le disque dur une piste est d effacer d anciennes mises jour devenues obsol tes Pour cela ouvrir le Gestionnaire de paquets Synaptic partir du menu Syst me Administration Dans le menu Configuration choisir Pr f rences puis s lectionner Vonglet Fichiers et cliquer sur le bouton Supprimer les paquets en cac
106. et qui leur permettraient de lire les donn es Sur ces sujets il n y a videmment aucun moyen d tre stir de ce que ces entit s peuvent faire mais en m me temps leur champ d intervention est limit et il y a peu de cas dans lesquels on risque d tre confront a elles Un facteur important est aussi prendre en compte le co t En effet plus les moyens mis en place sont importants plus les technologies utilis es sont complexes et plus leur co t est lev ca signifie qu ils ne seront utilis s que dans des cas pr cis et tout aussi importants aux yeux des personnes concern es Par exemple il y a peu de chances de voir un ordinateur soumis d intenses tests dans de co teuses expertises pour une affaire de vol a l talage Des lors avant m me de chercher une solution la question est de savoir qui pourrait tenter d acc der nos informations sensibles afin de discerner s il est n cessaire de chercher des solutions compliqu es ou pas S curiser compl tement un ordinateur est de toutes facons de l ordre de l impossible et dans cette histoire il s agit plut t de mettre des b tons dans les roues de celles et ceux qui pourraient en avoir apr s ce que l on veut prot ger Plus l on pense grands les moyens de ces personnes plus les batons doivent tre nombreux et solides Evaluer les risques c est donc avant tout se poser la question de quelles sont les donn es que l on veut prot ger et de qui peu
107. ex cuter ensuite Ce petit logiciel appel micrologiciel firmware en anglais est contenu dans une puce m moire sur la carte mere Cette m moire fait partie d un troisieme type la m moire flash C est une m moire qui garde les informations lorsqu elle est teinte mais dont on ne peut remplacer le contenu que lors d une op ration qu on appelle flashage C est aussi ce type de m moire qu on trouve dans les cl s USB ou les disques durs dits Solid State Disk ou SSD Le micrologiciel historique de la plupart des ordinateurs personnels tait appel BIOS Basic Input Output System ou syst me d entr e sortie de base Depuis 2012 de plus en plus d ordinateurs utilisent un nouveau standard appel UEFI Unified Ex tended Firmware Interface 14 I COMPRENDRE Ce premier programme qu ex cute l ordinateur permet entre autres de choisir o se trouve le syst me d exploitation que l on veut utiliser qui sera charg partir d un RES de de en ER D a AAA A disque dur d une cl USB d un CD ou d un DVD voire partir du r seau ant A es FI 1 3 Electricit champs magn tiques et ondes radios En ce qui concerne la confidentialit des informations qui circulent au sein d un or dinateur il faut d j prendre acte de plusieurs choses apr s ce rapide tour de ce qui le compose Tout d abord l essentiel de l information circule sous forme de courants lectriques Rien
108. export DEBIAN PRIORITY critical DEBIAN FRONTEND gnome gt APT_LISTCHANGES FRONTEND none Notre deuxi me commande effectue la premiere partie de la mise jour du syst me LA apt get upgrade Assez rapidement le terminal affiche Souhaitez vous continuer 0 n Apr s avoir confirm en appuyant sur Entr e on peut voir appara tre une premi re s rie de fe n tres nous demandant comment g rer certains changements Lorsqu on ne cherche pas sortir des choix de Debian cliquer sur Suivant Forward lorsque les choix sont en anglais chaque fois est suffisant Au bout d un moment un certain nombre de paquets ont d j t mis jour et le terminal devrait revenir l invite de commande La quatri me commande terminera la mise jour du syst me apt get dist upgrade Encore une confirmation toujours avec Entr e et c est parti On peut voir appara tre une nouvelle s rie de fen tres Sauf vouloir sortir des propositions de Debian on cliquera sur Suivant parfois crit en anglais Forward cette tape de la mise jour il peut arriver que le bureau GNOME affiche di vers messages d erreurs Ce n est pas particuli rement inqui tant dans la mesure o l on est en train de r installer de nombreux composants du syst me Ces probl mes devraient se r soudre d eux m mes une fois le processus termin Quelques volutions du syst me plus tard le terminal nous invite un
109. facon s re en nous authentifiant que le secret a t vent Supposons que Pon recoive un message disant le secret n est plus s r si c tait vrai il faudrait arr ter d utiliser ce moyen de communication De plus un adversaire d sirant perturber nos communications pourrait galement d livrer ce message et ainsi parvenir a ses fins sans beaucoup d efforts La crytographie asym trique r pond a ces limites mais en pr sente d autres 6 2 Une solution la cryptographie asym trique Dans les ann es 70 des math maticiens ont r volutionn la cryptographie en trou vant une solution aux problemes pos s par le chiffrement sym trique en cr ant le chiffrement asym trique Asym trique car il utilise pour d chiffrer un message une cl diff rente de celle qui a permis de le chiffrer r L A hae al 7 tome 1 5 1 60 I COMPRENDRE Prenons l exemple d Alice qui souhaite recevoir un message chiffr de la part de Betty Elle envoie Betty un cadenas ouvert dont elle garde pr cieusement la cl 8 5 9 Cl priv CPNS Alice Cl publique Betty Alice envoie sa cl publique Betty place alors son message dans une bo te et utilise le cadenas pour fermer la boite elle n a pas besoin de la cl du cadenas pour cela Cl publique d Alice yy NE Jj Betty Message Algorithme Message chiffr en clair de chiffrement Betty chiffre un message Betty renvoie a
110. gauche choisir Stockage Dans Arborescence Stockage s lectionner la ligne contenant une ic ne de CD et dans la liste d roulante Lecteur CD DVD choisir Ejecter le disque du lecteur virtuel Fermer alors la fen tre de configuration D marrer alors la machine virtuelle en cliquant sur D marrer 22 2 5 Installer les logiciels bonus pour syst me invit Dans la fen tre qui accueille Windows ouvrir le menu P riph riques qui propose d Installer les Additions invit Si a n a pas t fait auparavant VirtualBox pro posera de t l charger l image ISO qui les contient Une barre de progression en bas gauche de la fen tre indique que le t l chargement est en cours puis VirtualBox demande Voulez vous monter ce CD dans le lecteur virtuel Cliquer sur Ins rer Un 22 INSTALLER ET UTILISER UN SYSTEME VIRTUALIS 159 nouveau CD ROM est maintenant ajout l environnement de Windows Si le pro gramme d installation ne se lance pas automatiquement il faut lancer VBoxWindow sAdditions qui se trouve sur ce nouveau CD ROM Reste ensuite accepter les choix par d faut pour installer les Additions invit Une nouvelle ic ne l aspect de cube transparent appara t alors apr s red marrage de la machine virtuelle en bas a droite du bureau Windows Elle signifie que les Additions on t install es Eteindre le Windows virtuel L installation du Windows virtuel est maintenant ter min e 160 II OUT
111. il faut com mencer par le brancher sur l ordinateur La m thode vidente pour s assurer que les sauvegardes sont toujours lisibles est sans doute de simuler une restauration Proc der ainsi a un inconv nient de taille il faut avoir assez d espace libre notre disposition pour recopier l ensemble des donn es sauvegard es vers un dossier temporaire que l on supprime ensuite Voici une autre m thode peut tre moins facile mettre en uvre mais qui n a pas cette contrainte Elle n cessite d utiliser un Terminal On va commencer la commande en tapant sans faire Entr e ES find Ajouter ensuite un espace Puis il faut indiquer le dossier contenant les sauvegardes ce que l on va faire avec la souris en attrapant l ic ne du dossier et en l amenant sur le terminal Apr s avoir rel ch le bouton ce qui est affich doit ressembler find media externe sauvegardes Il faut ensuite taper la fin de la commande pour que le tout ressemble find media externe sauvegardes type f print xargs 0 cat gt dev null La lecture se lance des qu on a appuye sur Entree La ligne suivante devrait rester vide jusqu la fin de l operation 19 SAUVEGARDER DES DONN ES 145 Apres de la patience et le retour du de l invite de commande on peut fermer le terminal Si des messages d erreurs sont apparus dans l intervalle tels que Erreur d ent
112. l ordinateur sur lequel on souhaite installer Debian soit connect Internet de pr f rence par un c ble r seau et non par le Wi Fi qui ne fonctionnera que rarement l int rieur du logiciel d installation bese Il existe plusieurs fichiers galement appel s images contenant une copie du page 10 CD d installation selon l architecture du processeur Dans la plupart des cas il fau dra t l charger celui dont le nom se termine par amd64 i386 netinst iso dit multi architecture 3 qui conviendra pour les architectures 32 et 64 bits Cette image fonctionnera sur la plupart des ordinateurs domestiques fabriqu s apr s 2006 15 2 2 Le DVD avec Penvironnement graphique S il n est pas possible de connecter a Internet l ordinateur sur lequel on souhaite installer Debian il est possible de t l charger un DVD contenant tout le systeme de base ainsi que l environnement graphique habituel Cela n cessite d avoir acces un graveur de DVD ou a une cl USB d au moins 4GB 2 Pour certains mat riels des probl mes peuvent venir de d fauts dans le fonctionnement des microcodes int gr s Ces probl mes sont parfois corrig s par des mises a jour que fournissent les fabriquants Cela peut donc tre une bonne id e de faire les mises 4 jour du micrologiciel BIOS ou UEFI de Embedded Controller ou d autres composants avant de proc der installation Malheureusement ces proc dures different trop d un ma
113. l envoyer choisir Chiffrer dans le menu Options de la fen tre Composition d un message Une fois notre email termin cliquer sur Envoyer un Avertissement pour le chiffrement nous pr vient du fait que les en t tes ne seront pas chiffr s Eventuellement une fen tre Faites vous confiance ces cl s peut s afficher y r pondre en cons quence Si l adresse email de destinataire correspond a une cl publique et une seule pr sente dans le logiciel Mots de passe et cl s elle sera choisie automatiquement pour chiffrer l email Sinon une fen tre S lection de cl s s ouvre pour que nous en choisissions une 18 6 2 Chiffrer ses emails pour un webmail avec Tails Si Von pr fere chiffrer ses emails en utilisant un webmail faire comme suit tout 18 UTILISER OPENPGP 139 d acc der votre texte depuis ce m me navigateur Il serait fort regrettable d offrir en clair un texte que l on souhaite chiffrer On ne va pas expliquer comment chiffrer ses emails pour un webmail avec une Debian chiffr e mais uniquement avec Tails La m thode actuellement conseill e pour chiffrer un email de m me que pour chiffrer un texte est d crite dans la documentation de Tails Une fois Tails d marr afficher le bureau et cliquer sur l ic ne Documentation de Tails Dans le menu droite cliquer sur Documentation Dans l index qui s ouvre chercher la section Chiffrement et vie priv e et cliquer sur la page Chiffrer et signer d
114. la cible Autrement dit la NSA espionne aussi ceux qui communiquent avec ceux qui communiquent avec ceux qui sont espionn s 15 D autres agences de renseignement europ ennes comme 9 Audenard 2013 Bornes wifi et smartphones dans les magasins blogs s curit Orange Business http www orange business com fr blogs securite mobilite souriez vous etes pistes merci aux bornes wifi des magasins 10 Plusieurs versions du guide publi amp par Facebook ont fuit http publicintelligence net facebook law enforcement subpoena guides ces derni res ann es On trouve galement plusieurs autres guides du m me acabit mais tout n est pas forc ment juste sur cryptome org http cryptome org isp spy online spying htm liens en anglais 11 Begeek 2013 Facebook publie son premier rapport in ternational des demandes gouvernementales http www begeek fr 20facebook publie premier rapport international demandes gouvernementales 102351 12 Bruce Schneier cit par Guillaud 2013 Lutter contre la surveillance ar mer les contre pouvoirs Internet Actu http www internetactu net 2013 06 13 lutter contre la surveillance armer les contre pouvoirs 13 Maxime Vaudano 2013 Plong e dans la pieuvre de la cybersur veillance de la NSA Le Monde fr http www lemonde fr technologies visuel 2013 08 27 plongee dans la pieuvre de la cybersurveillance de la nsa 3467057 651865 html 14 Pisani 2007 Facebook 5
115. la sauvegarde commencera pour de bon 19 2 3 S assurer que les sauvegardes sont toujours lisibles Cc Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus a jour de cet outil qui est disponible sur le site web https guide boum org 1 Si le support externe est chiffr on peut ventuellement d cider de ne pas chiffrer les fichiers sauvegard s Cela fait une phrase de passe de moins inventer et retenir On perd n anmoins la possibilit de compartimenter les acc s au cas o le support externe servirait d autres choses que les sauvegardes 19 SAUVEGARDER DES DONN ES 147 Dur e de quelques minutes a plusieurs heures selon la taille de nos sauvegardes Le fonctionnement incr mental de D j Dup assure d j superficiellement que les sauvegardes pr c dentes soient lisibles N anmoins cela ne constitue pas une garantie Malheureusement la meilleure m thode actuellement disponible avec D j Dup pour s assurer que l on peut restaurer ses sauvegardes est de faire une restauration vers un dossier temporaire que l on effacera apr s C est loin d tre pratique vu qu il faut avoir acc s un disque dur chiffr suffisamment grand On peut toutefois s assurer que les fichiers contenant les sauvegardes restent lisibles en utilisant les m mes m thodes que celles d crites pr c demment q 4 CHAPITRE Partager un secret C Les logiciel
116. le r seau Tor gi 8 5 3 On percoit vite les limites Le Tor Browser bundle est un tr s bon outil de par son utilisation simplifi e mais on en percoit vite les limites En effet seules les connexions initi es par le TBB passent par le r seau Tor Si l on veut utiliser un autre navigateur la connexion ne passera alors plus par ce r seau ce qui peut tre facheux En cas d inattention on peut donc vite se tromper de navigateur et penser que notre navigation passe par le r seau Tor alors que ce n est pas le cas De plus il ne permet pas d utiliser Tor pour autre chose que naviguer sur le web De plus l anonymat d une connexion ne tient pas seulement a la falsification de Vadresse IP Toutes les traces que nous laissons sur le web et sur notre ordinateur peuvent nous trahir un jour ou l autre et le TBB ne prot ge pas contre cela Enfin avec le TBB il est plus facile de finir par m langer des identit s contextuelles d autant plus qu il est utilis dans le m me environnement que celui de l identit principale de la personne qui l utilise 8 6 Naviguer sur des sites web avec Tails 8 6 1 Obtenir et installer Tails tome 1 4 1 Tails est un logiciel libre et peut donc tre t l charg utilis et partag sans restric Be tion Il fonctionne sur un ordinateur ind pendamment du syst me install En effet Tails se lance sans utiliser le disque dur depuis un support externe un DVD une cart
117. les logiciels tendent inscrire le nom de l utilisateur actif dans les m ta donn es des fichiers qu ils enregistrent et qu il vaut mieux viter de rendre possibles de f cheux recoupements La recette cr er une nouvelle machine virtuelle partir d une image propre explique les d tails techniques de la chose Maintenant que nous avons un compartiment tanche voyons comment y ouvrir des portes s lectivement en fonction des besoins Comment envoyer des fichiers au Windows embastill Vu que le Windows invit n a pas le droit de sortir de sa bo te pour aller chercher lui m me des fichiers il peut tre n cessaire de lui en faire parvenir depuis l ext rieur par exemple e de la mati re premiere rushes images ou textes provenant d autres sources e un logiciel n cessaire au nouveau projet et absent de l image virtuelle d congel e Nous avons d j vu comment proc der mais c tait dans un cas tr s particulier installation de nouveaux logiciels dans un Windows propre invit Partager des fichiers avec un Windows sale requiert davantage de r flexion et de pr cautions que nous allons maintenant tudier La fa on de faire est l g rement diff rente en fonction du support sur lequel se trouvent l origine les fichiers importer CD DVD cl USB dossier pr sent sur le disque dur du syst me chiffr mais les pr cautions d usage sont les m mes e Windows doit u
118. les pages que l on consulte Quelques exemples la plupart des na vigateurs web gardent un historique des pages web consult es ils proposent aussi souvent d enregistrer ce que linternaute saisit dans les formulaires qui se trouvent sur certaines pages web ainsi que les mots de passe des diff rents comptes en ligne et ils enregistrent en g n ral les pages r cemment ou courament consult es pour en acc l rer le chargement on parle de mise en cache 1 C est l un des moyens pou vant permettre la police de retracer notre navigation sur Internet Souvenons nous dans notre histoire du d but Apparemment sur l ordinateur ayant servi mettre en ligne les relev s bancaires il y aurait eu une connexion une bo te mail dont l adresse correspond une certaine Alice chez Gmail ainsi qu une autre adresse 1 Pour voir le contenu du cache du navigateur web Firefox ou de n importe lequel de ses d riv s comme Iceweasel ou le Tor Browser Bundle taper about cache dans la barre d adresse l 4 2 J 26 I COMPRENDRE email chez no log cette fois ci peu de temps avant la publication des documents incrimin s 2 1 2 Les cookies Le mot Cookie vient de l anglais fortune cookie en r f rence des g teaux qui cachent un message sur un petit papier Un cookie est un petit texte envoy par un site web que le navigateur de l internaute stocke puis renvoie au site
119. logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e 15 30 minutes Cette partie va d crire la m thode adopter pour configurer le client de messagerie Claws Mail de mani re l utiliser pour toutes t ches ayant trait ses emails 17 1 Installer le client mail Claws Mail Si l on utilise une Debian chiffr e il va tout d abord falloir installer le logiciel Claws Mail ainsi que les paquets n cessaires au chiffrement des emails sont inclus par d faut dans Tails Si l on ne souhaite pas avoir reconfigurer Claws Mail chaque d marrage de Tails ainsi que conserver ses emails contacts etc d une session l autre on activera au pr alable l option Claws Mail dans la persistance de Tails 17 2 Lancer Claws Mail Une fois les paquets install s lancer Claws Mail partir du menu Applications Internet Claws Mail 17 3 Configurer un compte email Lorsqu on lance Claws Mail et qu aucun compte email n y est configur une fen tre propose de nous assister dans la configuration du logiciel et pour l ajout d un premier compte Si en revanche on veut ajouter un compte mail suppl mentaire Claws Mail aller directement au chapitre Avec l outil de cr ation de compte 17 3 1 Avec l assistant 1er d marrage Si l on d sire configurer un compte e
120. lui dire deux choses 1 Il faut couper l acc s au r seau pour des raisons de s curit d j mentionn es e aller dans la cat gorie R seau e d cocher la case Activer la carte r seau dans tous les onglets o elle est d j coch e par d faut g n ralement dans un seul le premier 2 Il faut lancer le syst me sur le CD d installation de Windows qu on a mis dans le lecteur CD DVD e aller dans la cat gorie Stockage dans Arborescence Stockage s lectionner la ligne contenant une ic ne de CD et intitul e Vide e ensuite dans Attributs la ligne Lecteur CD DVD s lectionner Lecteur de l h te ce qui correspond votre lecteur CD DVD habituel Cliquer ensuite sur OK pour enregistrer les param tres 158 II OUTILS 22 2 2 Lancer la machine virtuelle Si ce n est pas d ja fait c est le moment de glisser le CD d installation de Windows dans le lecteur de l ordinateur En ayant toujours notre nouvelle machine virtuelle s lectionn e on peut maintenant cliquer sur l ic ne D marrer Le systeme virtuel d marre c est le moment de d cou vrir l utilisation de la machine virtuelle Lorsqu elle est lanc e la machine virtuelle fonctionne dans une fen tre qui permet de g rer son utilisation e en haut gauche une barre de menus contenant Machine Ecran P riph riques Aide e en bas droite des ic nes indiquant comment la machine virtuelle utilise le ma t riel On pe
121. m me motif de donn es est observ deux points du r seau l adversaire peut supposer qu il s agit d une m me communication Pour prendre un exemple pr cis consid rons un adversaire qui coute la connexion ADSL d Alice et qui observe du trafic chiffr qu il ne peut pas d chiffrer mais qui soup onne Alice de discuter avec Betty par messagerie instantan e chiffr e Consid rons qu il a galement les moyens de mettre sous coute la connexion de Betty S il observe une forme similaire entre les donn es sortant de chez Alice et celles entrant chez Betty quelques milli secondes plus tard il sera confort dans son hypoth se sans toutefois disposer d une preuve formelle Ce type d attaque permet de confirmer une hypoth se pr existante mais pas d en laborer une partir des seules informations collect es moins que l adversaire n aie les moyens d couter tout le r seau o se situe le trafic entre Betty et Alice et qu il dispose d une puissance de calcul colossale L existence d un adversaire global de ce 66 Fabrice Amedeo 2011 La France mal arm e pour enqu ter sur le Net Le Figaro http www lefigaro fr actualite france 2011 04 25 01016 20110425ARTFIG00443 la france mal armee pour enqueter sur le net php 67 La Documentation francaise 2013 Commission nationale de contr le des interceptions de s curit 21e rapport d activit 2012 2013 http www ladocumentationfrancaise fr
122. messagerie instantan e enregistrent souvent l historique des conversations les logiciels de P2P ou Torrent eux aussi ont tendance se souve nir de ce qu on a t l charg r cemment les logiciels de mail gardent les emails qu on a t l charg s etc Apparement les coll gues ont fini par retrouver le document sur un des ordinateurs Il a t t l charg depuis le navigateur et modifi Dans notre histoire ce sont les journaux de logiciels tels que le navigateur web et V diteur de texte qui ont permis de retrouver les trace du document de Benoit 6 Il s agit en g n ral de ne donner acc s au code des sites web qu des fonctions limit es en Vex cutant dans un bac sable Wikipedia 2014 Sandbox s curit informatique https fr wikipedia org wiki Sandbox s curit informatique 7 F lix Aim 2012 S curit des navigateurs http free korben info index php S curit des navigateurs 8 Technologie qui vise int grer aux navigateurs web les communications en temps r el par exemple la voix sur IP VOIP 9 Une faille de s curit dans Flash permettait un pirate de d clencher leur insu la webcam des personnes qui visitent un site web Vincent Hermann 2011 Flash corrig pour emp cher l espionnage par webcam et micro PC INpact http www pcinpact com news 66557 adobe flash correction faille webcam espion htm 10 Justin Watt 2012 Hotel Wifi JavaScript Injection http
123. ne rien faire d autre dans ce Windows virtualis Congeler le Windows propre Congelons maintenant l image de disque propre qui vient d tre pr par e c est dire sauvegardons la dans un coin telle quelle et on ne d marrera plus jamais dessus Par la suite elle ne servira plus que de base de d part page 1601 La recette sauvegarder une image de disque virtuel explique comment effectuer cette op ration 2 S il est n cessaire de cacher qu on fabrique des films avoir des logiciels de montage vid o peut tre compromettant parce qu il serait plus difficile de nier cette activit si cela s av rait n cessaire 9 TRAVAILLER SUR UN DOCUMENT SENSIBLE 71 Nouveau projet nouveau d part Mettons qu un nouveau projet n cessitant l utilisation de Windows d bute voici ce qui se passe 1 l image de disque propre est clon e pour donner naissance une nouvelle image de disque en tout point identique c est la d cong lation 2 la nouvelle image de disque issue de la d cong lation peut maintenant tre d marr e dans son compartiment tanche elle servira exclusivement pour le nouveau projet et devient d sormais une image sale 3 au sein de cette nouvelle image sale un nouvel utilisateur Windows est cr le nom qui lui est attribu doit tre diff rent chaque fois qu un nouveau projet est ainsi d marr et cet utilisateur servira exclusivement pour ce nouveau projet Ceci parce que
124. nom du disque dans la partie a droite sous l intitule Disque a c t de l tiquette P riph rique Cela doit ressembler a dev sdx c est ainsi que l ordinateur a identifi le support de stockage que l on vient de brancher C est le nom qu on devra crire par la suite dans certaines commandes la place de LE_PERIPHERIQUE Comme on va remplacer ce qui se trouvait sur la cl il faut galement demander au systeme de ne plus utiliser ce qu elle contient toujours dans la partie droite on s lectionne donc tour a tour chacun des Volumes dessin s Pour chacun d entre eux on clique sur D monter le volume si ce bouton est disponible S il s agit d une parti tion chiffr e il nous faudra galement cliquer juste au dessus sur la partie intitul e Chiffr puis sur le bouton Verrouiller le volume Plut t que de fermer l Utilitaire de disque d s maintenant mieux vaut r duire sa fen tre on en aura encore besoin une derni re fois apr s la copie proprement dite Lancer la copie brute On va maintenant ouvrir un Terminal tout en gardant port e de souris l ic ne de Vimage ISO t l charg e auparavant On va commencer la commande en tapant sans faire Entr e E cat 6 http infrarecorder org 15 INSTALLER UN SYSTEME CHIFFR 109 Ajouter ensuite un espace Puis on va indiquer la source de la copie la chose que l on va copier Pour ce faire il faut avec la sou
125. nous faire plus d illusions libre ou pas il n existe pas de logiciel pouvant lui seul assurer l intimit de nos donn es pour le faire il n existe que des pratiques associ es l utilisation de certains logiciels Logiciels choisis parce que des l ments nous permettent de leur accorder un certain niveau de confiance 4 2 Le mot de passe d un compte ne prot ge pas ses donn es Tous les syst mes d exploitation r cents Windows Mac OS X GNU Linux offrent la possibilit d avoir diff rents utilisateurs sur un m me ordinateur Il faut bien savoir que les mots de passe qui prot gent parfois ces utilisateurs ne garantissent pas du tout la confidentialit des donn es Certes il peut tre pratique d avoir son espace soi avec ses propres r glages marque pages fond d cran mais une personne qui souhaiterait avoir acc s toutes les donn es qu il y a sur l ordinateur n aurait aucun mal y parvenir il suffit de rebran Aussi si utiliser des comptes s par s et des mots de passe peut avoir quelques avan tages comme la possibilit de verrouiller l cran quand on s loigne quelques minutes il est n cessaire de garder en t te que cela ne prot ge pas r ellement les donn es 3 Wikip dia 2014 Heartbleed https fr wikipedia org wiki Heartbleed 32 I COMPRENDRE 4 3 A propos de l effacement des fichiers T a eee 4 as 2 page 16 On a d j
126. parce qu il n est par exemple pas facile de savoir ce que les personnes les plus qualifi es peuvent r ellement faire et de quels moyens et de quels budgets elles b n ficient En suivant l actualit et par divers autres biais on peut se rendre compte que cela varie beaucoup selon qui on a affaire Entre le gendarme du coin et la National Security Agency am ricaine il y a tout un foss sur les possibilit s d actions de moyens et de techniques employ es Par exemple le chiffrement est un des moyens les plus adapt s pour viter qu une personne qui allumerait d roberait ou saisirait judiciairement un ordinateur acc de 50 II CHOISIR DES R PONSES ADAPT ES toutes les donn es qui y r sident Mais les lois en vigueur en France ont pr vu le coup dans le cadre d une enqu te toute personne doit donner la cl de chiffrement afin de permettre aux enqu teurs d avoir acc s aux donn es sans quoi elle risque des peines assez lourdes Cette loi permet des enqu teurs ayant peu de moyens techniques d agir contre ce type de protection m me si en r alit nous ne connaissons aucun cas ot cette loi a t appliqu e En parallele des organismes disposent de plus de moyens tels la NSA ou la DGSE et rien n est s r concernant leurs possibilit s Quelle avance ont ils dans le domaine du cassage de cryptographie Sont ils au courant de failles dans certaines m thodes qu ils n auraient pas d voil es
127. party Off the Record Messaging CACR Tech Report 2009 27 http www cacr math uwaterloo ca techreports 2009 cacr2009 27 pdf en anglais Jacob Appel baum et Al 2013 mpOTR https github com cryptocat mpOTR en anglais TROISIEME PARTIE Outils Dans cette troisieme partie nous expliquerons comment appliquer concr tement quelques unes des pistes voqu es pr c demment Cette partie n est qu une annexe technique aux pr c dentes une fois comprises les probl matiques li es l intimit dans le monde num rique une fois les r ponses adapt es choisies reste la question du Comment faire a laquelle cette annexe apporte certaines r ponses Du bon usage des recettes Les outils et recettes qui suivent sont des solutions extr mement partielles qui ne sont d aucune utilit tant qu elles ne font pas partie d un ensemble de pratiques articul es de facon coh rente Piocher dans cette bo te outils sans avoir au pr alable tudi la partie sur le choix de se tirer une balle dans le pied en croyant tort avoir r solu tel ou tel probl me On ne peut pas faire plaisir tout le monde Pour la plupart des recettes pr sent es dans ce guide nous partons du principe que Pon utilise GNU Linux avec le bureau GNOME ces recettes ont t crites et tes t es sous Debian 7 0 surnomm e Wheezy t et Tails The Amnesic Incognito Live System Pour autant celles ci sont g n ral
128. pas le temps de lire le message de le comprendre et d appuyer sur la touche Qu a cela ne tienne une fois la bonne touche identifi e red marrer encore la machine et appuyer sur la touche en question ne pas maintenir la touche enfonc e mais la presser puis la rel cher plusieurs fois des l allumage de l ordinateur Avec un peu de chance un message comme celui ci s affiche l 1 USB HDD 4 IDE HDDO BDS GH87766319819 8 Legacy Floppy Drives l l l lt Enter Setup gt Si ca marche c est gagne Choisir la bonne entr e dans ce menu en se d placant avec les fl ches du clavier et 1 puis appuyer sur Entr e Par exemple pour d marrer sur une cl USB choisir USB HDD L ordinateur doit d marrer sur le p riph rique s lectionn Lire la suite est inutile 13 3 Modifier les param tres du micrologiciel Si choisir un p riph rique de d marrage temporaire ne fonctionne pas il va falloir rentrer dans le micrologiciel pour choisir manuellement l ordre de d marrage Pour pimenter un peu la chose les micrologiciels sont quasiment tous diff rents de telle sorte qu il est impossible de donner une recette qui marche syst matiquement 13 3 1 Entrer dans l intreface de configuration du micrologiciel Encore une fois il s agit de re d marrer l ordinateur en regardant attentivement les premiers messages qui s affichent l ecran Chercher des messages en anglais qui ressembleraient
129. personne dans ses propres int r ts et ses propres convictions C est ce que certaines personnes nomment Vindividualisation de Internet 2 Dans Gmail le ciblage des annonces est enti rement automatis personne ne consulte vos emails ni les informations relatives votre compte Google avant de vous proposer des annonces ou des informations connexes Si vous ne d sactivez pas cette option les annonces contextuelles en rapport avec le message que vous tes en train de lire risquent de s afficher Google 2014 Annonces dans Gmail et vos donn es personnelles https support google com mail answer 6603 h1 fr amp ref_topic 3394525 3 Clochix 2011 Collusion pour visualiser comment nous sommes trac s en ligne http www clochix net post 2011 07 10 Collusion pour visualiser comment nous sommes trac s en ligne 4 Une interface similaire est disponible publiquement et permet de r pondre des requ tes inqui tantes Tom Scott 2014 Actual Facebook Graph Searches http actualfacebookgraphsearches tumblr com en anglais 5 CNIL La publicit cibl e en ligne op cit p 13 6 CNIL La publicit cibl e en ligne op cit p 4 7 Le Monde 2007 Google rach te DoubleClick pour 3 1 milliards de dollars http www lemonde fr technologies article 2007 04 14 google rachete doubleclick pour 3 1 milliards de dollars_ 896316 651865 html 8 Xavier de la Porte 2011 Le risque de l i
130. petite cuisine pour que le processeur ait toujours dans la m moire vive les donn es auxquelles il veut r ellement acc der La swap est ainsi un exemple d espace de stockage auquel on ne pense pas forc ment enregistr sur le disque dur soit sous forme d un gros fichier contigu sous Microsoft Windows soit dans une partition part avec Linux On reviendra dans la partie suivante sur les probl mes que posent ces questions de format et d espaces de stockage en termes de confidentialit des donn es CHAPITRE 2 Traces a tous les tages Le fonctionnement normal d un ordinateur laisse de nombreuses traces de ce que l on fait dessus Parfois elles sont n cessaires son fonctionnement D autres fois ces informations sont collect es pour permettre aux logiciels d tre plus pratiques 2 1 Dans la m moire vive On vient de voir que le premier lieu de stockage des informations sur l ordinateur est la m moire vive Tant que l ordinateur est sous tension lectrique elle contient toutes les informations dont le systeme a besoin Elle conserve donc n cessairement de nombreuses traces frappes au clavier y compris les mots de passe fichiers ouverts v nements divers qui ont rythm la phase d veil de l ordinateur En prenant le contr le d un ordinateur qui est allum il n est pas tr s difficile de lui faire cracher l ensemble des informations contenues dans la m moire vive par exemple vers u
131. physique et donc pr cis ment quel endroit se trouve une machine virtuelle donn e Cela rend en pratique impossible d avoir du contr le sur nos donn es Seront elles r ellement effac es des machines physiques si on les supprime On a vu dans le premier Tome qu effacer des donn es sur un ordinateur tait quelque chose de s agit De plus cela pose des probl mes juridiques des donn es l gales un endroit peuvent se retrouver ill gales parce que la machine qui les contient ou les sert sur Internet a chang de juridiction Il y a donc eu un glissement d un Internet o tout le monde consultait et distribuait des donn es vers un mod le o les donn es taient centralis es sur des machines physiques appel es serveurs puis aujourd hui vers le cloud o ces m mes donn es peuvent tre enregistr es parfois parpill es sur des serveurs ind termin s Il devient extr mement 25 Google 2013 Data center locations https www google com about datacenters inside locations index html en anglais 26 Wikip dia 2014 Amazon EC2 https fr wikipedia org wiki Amazon EC2 27 Jos Poortvliet 2011 openSUSE and ownCloud https news opensuse org 2011 12 20 opensuse and owncloud en anglais 5 4 24 I COMPRENDRE compliqu de savoir au final o elles sont r ellement stock es et l utilisateur a encore moins de prise sur le devenir de ses donn es CHAPITRE 2 Traces
132. plus jour de cet outil qui est disponible sur le site web https guide boum org O Dur e 5 minutes plus le temps de t l chargement et d installation quelques secondes plusieurs heures selon la taille des logiciels installer et la vitesse de la connexion 16 3 1 Ouvrir le gestionnaire de paquets Une fois que l on sait quel paquet contient le logiciel que l on veut utiliser reste Vinstaller Pour cela on va utiliser le Gestionnaire de paquets Synaptic que l on peut ouvrir partir du menu Applications Outils Systeme Administration Puisque le gestionnaire de paquets permet de modifier les logiciels install s sur l or dinateur un mot de passe est n cessaire pour l ouvrir 16 3 2 Recharger la liste des paquets disponibles Une fois dans le gestionnaire de paquets commencons par recharger la liste des pa quets disponibles en cliquant sur l ic ne Recharger Le gestionnaire de paquets t l charge alors les derni res informations sur les paquets disponibles depuis les serveurs de Debian 16 3 3 Rechercher le paquet installer FRE Ensuite on va trouver le paquet qu on veut installer On clique sur l ic ne Rechercher page 116 dans la barre d outils L si on connait le nom de ce paquet par exemple gr ce la ee 7 section pr c dente on l crit dans la case Rechercher et on s lectionne Nom dans la liste d roulante nomm e Rechercher dans 16 3 4 S lectionner le paquet inst
133. premier selon sur lequel on veut d marrer 13 D MARRER SUR UN CD UN DVD OU UNE CL USB 97 Parfois il faut entrer dans un sous menu Par exemple s il y a un menu Boot order et qu il est crit dans l aide Enter Select appuyer sur entr e une fois le menu s lectionn D autres fois les options se changent directement Par exemple s il y a une option comme First boot device et qu il est crit dans l aide Value appuyer sur la touche ou la touche jusqu ce que la bonne valeur comme par exemple IDE DVDROM soit s lectionn e Parfois ce sont plut t les touches Page suivante ou PgUp et Page pr c dente ou PgDown qui sont utilis es Parfois encore ce sont des touches comme F5 et F6 D autres fois encore ces touches servent monter et descendre le p riph rique dans une liste correspondant a l ordre de d marrage 13 3 3 Bien choisir sa nouvelle configuration Une fois qu on a r ussi s lectionner le bon support pour le d marrage il faut se demander si on veut le laisser pour toujours ou pas Si on veut le laisser il peut tre utile de placer le disque dur en deuxi me position dans la s quence de d marrage Ainsi si le support plac en premier est absent l ordinateur d marrera sur le disque dur Si l on ne met pas le disque dur dans la sequence de d marrage l ordinateur ne d marrera pas dessus m me en l abscence de CD de DVD ou de cl USB Cependant le fait de laisser son ordinateur d ma
134. prendre un exemple authentique une personne en train de se s parer de son partenaire pourra voir s afficher en marge de ses emails des publicit s pour des sites de rencontres En outre chaque site visit est un centre d inter t de plus En additionnant rss _ ces informations les unes aux autres c est tout un profil qui se dessine Un petit i page 26 logiciel permet de voir quels cookies se t l chargent sur notre ordinateur chaque page consult e Si linternaute commence par visiter allocine fr quatre r gies publicitaires enregistrent sa visite Se rendant ensuite sur le site du Monde ce sera quatre r gies qui seront au courant dont deux qui se trouvaient d j sur le site d allocin Elles savent donc que l internaute a visit ces deux sites et peut donc recouper ces deux centres d int r t En se rendant par la suite sur deux autres sites Gmail et dailymotion ce sont au total 21 r gies publicitaires qui ont eu connaissance de la visite de cet utilisateur Dans chacune de ces visites se trouvaient les r gies publicitaires XiTi et Google Analytics Le plus gros moteur de recherche a donc eu connaissance de la totalit des sites visit s et peut maintenant mettre en place sa publicit cibl e Les m dias sociaux sont particuli rement bien plac s pour obtenir directement des in ternautes des donn es personnelles les concernant Ainsi sur Facebook un annonceur peut cibler une publicit aupr s
135. projet Si un nouveau projet survient n cessitant lui aussi d utiliser Windows ne r utilisons dd 7 se page 711 pas le m me Windows sale Retournons plut t l tape nouveau projet nouveau E al A A A Eee AA O a a d part 9 6 3 Troisieme tape attaques possibles et contre mesures L hypothese que nous venons de d crire est bas e sur l utilisation comme systeme CE 2 Fer Le a h te de la Debian chiffr e mise en place la premi re tape du cas d usage un page 58 L applicables la pr sente solution Il est donc maintenant temps d tudier les attaques praticables contre ce syst me Traces laiss es sur notre Debian chiffr e La plupart des traces les plus videntes de ce projet sont s par es du reste du syst me tous les fichiers de travail sont stock es dans le fichier contenant l image de disque virtuel Le nom de la machine virtuelle sa configuration ainsi que ses p riodes d utilisation laisseront par contre d autres traces sur notre syst me Debian Si la catastrophe arrive pendant la r alisation du projet Le disque dur de l ordinateur utilis contient les fichiers de travail l int rieur de l image de disque virtuel Si la catastrophe arrive plus tard L image de disque virtuel tant convena blement nettoy e lorsque le projet est achev si la catastrophe c der face la loi d couverte d un probl me dans le syst me cryptographique arrive apr s coup le
136. prot ger contre cette attaque dans la situation d crite ici mais mieux vaut prendre d s maintenant de bonnes habitudes plut t que d avoir de mauvaises surprises dans quelques ann es Quelles habitudes En voici quelques unes qui rendent plus difficile cette attaque e teindre l ordinateur lorsqu on ne s en sert pas e pr voir la possibilit de couper le courant facilement et rapidement interrupteur de multiprise ais ment accessible ter la batterie d un ordinateur portable quand il est branch sur le secteur il suffit alors de d brancher le cordon secteur pour teindre la machine e rendre l acc s au compartiment de votre ordinateur contenant la RAM plus long et difficile par exemple en le collant soudant 8 3 7 Angle d attaque l ceil et la vid o surveillance Avec le systeme chiffre imagin la premiere tape la confidentialit des donn es repose sur le fait que la phrase de passe soit gard e secr te Si elle est tap e devant une cam ra de vid o surveillance un adversaire ayant acc s cette cam ra ou a ses ventuels enregistrements pourra d couvrir ce secret puis se saisir de l ordinateur et avoir acc s aux donn es Plus simplement un il attentif dans un bar pourrait voir la phrase de passe pendant qu elle est tap e Monter une telle attaque n cessite de surveiller les personnes utilisant cet ordinateur jusqu ce que l une d entre elles tape la phrase de passe au ma
137. qu ils gardent une trace des modifications successives faites sur les fichiers dans un journal Apr s une extinction brutale de l ordinateur cela permet au syst me de se contenter de reprendre les derni res op rations faire plut t que de devoir parcourir l int gralit du disque pour corriger les incoh rences Par contre cela peut ajouter encore une fois des traces sur les fichiers que l on souhaiterait voir dispara tre Le syst me de fichiers utilis actuellement le plus sou vent sous GNU Linux ezt3 peut fonctionner avec plu sieurs modes Celui le plus courament utilis ne met dans le journal que les noms des fichiers et d autres m ta donn es pas leur contenu D autres techniques moins courantes sur un ordinateur personnel peuvent aussi poser probl me les syst mes de fichiers avec criture redondante et continuant crire m me en cas d erreur comme les syst mes de fichiers RAID les syst mes de fichiers qui effectuent des instantan s snapshots les syst mes de fichiers qui mettent en cache dans des dossiers temporaires comme les clients NFS syst me de fichiers par le r seau les syst mes de fichiers compress s Enfin il ne faut pas oublier que le fichier m me parfaitement supprim peut avoir laiss des traces ailleurs Ce qu on ne sait pas Pour ce qui est des CD RW ou DVD RW r inscriptibles il semble qu aucune tude s rieuse n ait t men e
138. quel poste quel moment La directive europ enne pr cise que ces donn es doivent tre conserv es de 6 mois 2 ans En France la dur e l gale est de un an De plus FAT et h bergeurs fran ais sont tenus de conserver les informations fournies lors de la souscription d un contrat par un utilisateur ou lors de la cr ation d un compte pendant un an apr s la fermeture du compte Lorsque la souscription du contrat ou du compte est payante ils doivent aussi conserver les informations relatives au paiement 0 L objectif des lois de r tention de donn es est donc de rendre facile pour les autorit s d associer un nom tout geste effectu sur Internet Des flics qui enqu teraient par exemple sur un article publi sur un blog peuvent demander aux responsables du serveur h bergeant le blog l adresse IP de la personne qui a post l article ainsi que la date et l heure correspondantes Une fois ces infor mations obtenues ils vont demander au fournisseur d acc s Internet responsable de cette adresse IP qui elle tait assign e au moment des faits 28 Les personnes dont l activit est d offrir un acc s des services de communication au public en ligne LCEN op cit c est dire les FAI sont tenues de conserver durant un an a L identifiant de la connexion b L identifiant attribu par ces personnes l abonn c L identifiant du terminal utilis pour la connexion lo
139. rentes caract ristiques d un texte comme la fr quence des mots outils la longueur des mots des phrases et des paragraphes la fr quence des signes de ponctuation on peut corr ler des textes anonymes avec d autres textes et en retirer des indices sur leur auteur Ce type d analyse fut par exemple utilis lors du proc s de Theodore Kaczynski pour accr diter le fait qu il soit l auteur du manifeste La soci t industrielle et son avenir 7 Les auteurs d une tude r cente ont cherch simuler une tentative d identifica tion de l auteur d un blog publi de mani re anonyme Si l auteur est suffisamment prudent pour viter de r v ler son adresse IP ou tout autre identifiant explicite son adversaire par exemple un censeur gouvernemental peut se pencher sur l analyse de son style d criture Leurs conclusions montrent que la stylom trie permet de r duire fortement parmi de tr s nombreuses possibilit s le nombre d auteurs possibles d un texte anonyme la pr cision augmentant videmment avec le nombre d chantillons sign s c est dire dont l auteur est connu fournis au logiciel d analyse Le plus souvent cela leur permet de r duire la taille de l ensemble des auteurs pos sibles de 100 200 sur 100 000 initialement ajout une autre source d infor mation cela peut tre suffisant pour faire la difference entre l anonymat et l identifi cation d un auteur
140. reste Carole qu essayer un tr s grand nombre de variation des donn es de son CD cela dans l espoir d obtenir une collision c est dire la m me somme de contr le que celle d Alice Malheureusement pour elle et heureusement pour Betty m me avec de nombreux ordinateurs puissants les chances de r ussite de Carole dans un temps raisonnable mettons quelques ann es sont extr mement faibles Il suffit donc de se procurer une empreinte ou somme de contr le par des inter m diaires de confiance pour v rifier l integrite de donn es Tout l enjeu est ensuite de se procurer ces empreintes par un moyen de confiance de pouvoir v rifier leur authenticit 5 2 3 V rifier un mot de passe Un autre exemple d utilisation des fonctions de hachage concerne la v rification de Pauthenticit d une demande d acces Si l acc s un ordinateur est prot g par un mot de passe comme l ouverture d une session sous GNU Linux 8 il faut que l ordinateur puisse v rifier que le mot de passe est le bon Mais les mots de passe ne sont pas enregistr s sur l ordinateur car il serait trop facile de les lire Mais alors comment l ordinateur s assure t il que le mot de passe tap au clavier est exact Lorsque l on choisit un mot de passe pour son ordinateur le systeme enregistre en fait gr ce une fonction de hachage une empreinte du mot de passe Pour v rifier l acc s il hache de la m me mani re
141. s y compris les failles de s curit Pour s en rendre compte il faut consulter l historique de chacun des logiciels sur leur site web ou dans le fichier nomm Changelog ou approchant g n ralement livr avec le logiciel 16 2 3 Processus de production et communaut L tiquette logiciel libre est un crit re essentiellement juridique qui ne doit jamais suffire amp nous inspirer confiance Certes le fait qu un logiciel soit plac sous une licence libre ouvre la possibilit de modes de d veloppement inspirant confiance Mais les personnes d veloppant ce logiciel peuvent fort bien intentionnellement ou non d courager toute coop ration et travailler en vase clos Que nous importe alors 118 II OUTILS que le programme soit juridiquement libre si de fait personne d autre ne lira jamais son code source Il convient donc d tudier rapidement le processus de production des logiciels en lice en s aidant des questions suivantes qui nous permettront de surcroit de jauger le dynamisme du processus e Qui d veloppe Une personne des personnes toute une quipe e Le nombre de personnes qui contribuent au code source va t il en augmentant ou en diminuant e Le d veloppement est il actif Il ne s agit pas ici de vitesse pure mais de r activit de suivi 4 long terme de r sistance Le d veloppement logiciel est une course d endurance et non un sprint Et propos des outils de com
142. s lectionner une cat gorie dans la colonne de gauche e Les r sultats de la recherche ou les paquets de la cat gorie s affichent alors dans la liste en haut droite En cliquant sur le nom d un paquet sa description appara t dans le cadre en bas droite page 120 Reste maintenant installer le paquet correspondant L J 16 CHOISIR V RIFIER ET INSTALLER UN LOGICIEL 117 16 2 Crit res de choix Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e une demi heure a une heure On est parfois amen choisir un logiciel pour effectuer une certaine t che et il est alors courant de se sentir perdu dans la multitude de solutions disponibles Voici donc quelques crit res permettant de prendre une d cision ad quate L int r t d utiliser des logiciels libres par rapport des logiciels propri taires ou open source a d ores et d ja t expliqu La suite du texte s attachera donc uniquement a d partager les logiciels libres disponibles 16 2 1 Mode d installation Il est g n ralement pr f rable d installer des logiciels fournis par sa distribution GNU Linux par exemple Debian Il y a deux principales raisons ca Tout d abord une question pratique la distribution fournit les outils pour installer et mettre jour de fagon plus ou moins automati
143. s passer par une requ te l gale une demande officielle qui oblige les personnes qui administrent un serveur a leur fournir les in formations demand es ou d sob ir Ces requ tes l gales sont suppos es pr ciser les informations demand es Mais elles ne le font pas toujours et les fournisseurs de services Internet donnent parfois davantage d informations que ce que la loi les oblige fournir Voici l extrait d une requ te l gale re ue par un h bergeur de mail francais l adresse mail du compte vis a t anonymis e en rempla ant l identifiant par adresse L or thographe n a pas t modifi e REQUISITION JUDICIAIRE Lieutenant de Police En fonction la B R D P Prions et au besoin requ rons Monsieur le pr sident de l association GLOBENET 21ter rue Voltaire 75011 Paris Veffet de bien vouloir Concernant l adresse de messagerie adresse no log org e Nous communiquer l identit compl te nom pr nom date de naissance filiation et les coordonn es postales t l phoniques lectroniques et ban caires de son titulaire e Nous indiquer les TRENTE derni res donn es de connexion adresse IP date heures et fuseau horaire utilis es pour consulter relever o envoyer des messages avec ladite adresse Pop Imap ou Webmail e Nous indiquer si une redirection est active sur cette messagerie et nous communiquer le ou les e mails de destination le cas ch ant e Nous communiqu
144. se trouve Pour s parer un dossier de ce qu il contient on utilise le caract re qui se prononce slash Pour donner un exemple voici le chemin du document recette txt qui se trouve dans le dossier Documents du dossier personnel du compte alligator home alligator Documents recette txt 11 UTILISER UN TERMINAL 87 Comme beaucoup de commandes attendent des noms de fichiers comme arguments cela devient vite fastidieux de taper leurs chemins complets la main Il y a cependant un moyen simple d ins rer un chemin quand on attrape avec la souris l ic ne d un fichier et qu on le d place pour le l cher sur le terminal son chemin s crit l o se trouve le curseur Cela ne marche cependant qu avec les vrais fichiers ou dossiers On obtiendra un nom bizarre qui ne fonctionnera pas par exemple pour les fichiers mis a la corbeille l ic ne du Dossier personnel sur le bureau ou avec les ic nes de cl s USB 11 2 3 Ex cution Une fois que l on a tap une commande on demande l ordinateur de l ex cuter en appuyant sur la touche Entr e 11 2 4 Fin ou interruption de la commande L ex cution de la commande prend plus ou moins de temps Lorsqu elle est termin e le terminal retourne toujours l tat o il tait avant qu on lance la commande l invite de commande roger debian J On dit alors que le terminal rend la main Si on souhaite interro
145. sente des contextes diff rents donc des menaces des envies et des r ponses diff rentes elles aussi Pr face a la troisieme dition Il y a de ca trois ans nous r p tions d ja que les technologies voluaient vite Force est de constater qu on n arr te pas le progr s et cela appelait bien stir une troisieme dition du Guide Entre autres scandales celui des documents confidentiels de la National Security Agency fuit s par Edward Snowden a permis de prendre la mesure de la panoplie de logiciels malveillants de mat riel espion et autres systemes de surveillance d ploy s a l chelle du monde Les sc narios les plus alarmistes sont finalement le tissu du quotidien en mati re de surveillance lectronique Malgr la propagation d un sen timent d impuissance ces diff rentes r v lations sur l tat g n ral de la surveillance num rique rendent d autant plus n cessaire de se donner les moyen d y faire face L ann e 2013 a vu la parution d tudes concernant la robustesse toute relative des mots de passe tudes qui permettent de mettre fin d anciennes intuitions et de bons conseils qui n en sont plus Plusieurs nouveaux avertissements se sont donc gliss s a et la au fil des prochaines pages Sur le plan l gal la Loi relative 4 la Programmation Militaire a t inscrite dans la loi frangaise fin 2013 Cet arsenal largit les pretextes l gaux permettant de surveiller les internaut
146. ses limites 9 5 1 T l charger et installer le systeme live Tous les syst mes live ne sont pas particulierement destin s a des pratiques sen sibles Il importe donc de choisir un systeme sp cialement concu pour tenter de ne laisser aucune trace sur le disque dur de l ordinateur sur lequel il est utilis Si l on ne dispose pas encore d une copie de la derni re version du systeme live Tails A oo q FIR e page 100 suivre la recette t l charger et installer un systeme live discret L A partir du premier p riph rique Tails ainsi cr nous allons cr er une cl USB d di e notre projet Pour cela d marrer le syst me live pr c demment install puis suivre ails en activant uniquement l option Donn es personnelles Tail t t uniq t Poption D p ul nt 9 5 2 Installer un ventuel logiciel additionnel BEER Si lon a besoin d utiliser un logiciel qui n est pas install dans Tails et que lon ne page 1031 veut pas le r installer chaque fois suivre la recette installer un logiciel additionnel 5 persistant dans Tails 9 5 3 Utiliser le syst me live T q ES page 93 Chaque fois que l on souhaite travailler sur notre document il suffira de d marrer sur L a la cl contenant notre systeme live et sa persistance chiffr e puis d activer le volume F q A a A OL RE aaa ei page 102 persistant 9 5 4 Supprimer le systeme live Une fois notre projet termin
147. sons ou de messages de toute nature fournis par des destinataires de ces ser vices LCEN op cit c est dire les h bergeurs sont tenus de conserver pendant un an a L identifiant de la connexion l origine de la communication b L identifiant attribu par le syst me d information au contenu objet de l op ration c Les types de protocoles utilis s pour la connexion au service et pour le transfert des contenus d La nature de l op ration e Les date et heure de Vop ration f L identifiant utilis par l auteur de l op ration lorsque celui ci l a fourni D cret n 2011 219 du 25 f vrier 2011 op cit 25 Legifrance 2014 LOI n 2013 1168 du 18 d cembre 2013 relative a la program mation militaire pour les ann es 2014 2019 et portant diverses dispositions concer nant la d fense et la s curit nationale http www legifrance gouv fr affichTexte do cidTexte JORFTEXT000028338825 amp dateTexte amp categorieLien id 26 Globenet 2014 No log les logs et la loi http www globenet org No log les logs et la loi html 27 Pr cisons que les serveurs h bergeant les sites du r seau Indymedia domicili s aux USA a Seattle refusent syst matiquement de donner connaissance aux autorit s des logs de connexion des ordinateurs consultant ces sites ou y d posant une contribution rendant de fait non identifiable les auteurs des contributions dossier d instruction judiciaire cit par Anon
148. suppression des fichiers cela ne fait que rendre disponible l espace o se trouvait le contenu pr c demment les donn es restant physiquement pr sentes sur le disque Tout comme d truire le catalogue d une biblioth que ne fait pas pour autant dispara tre les livres pr sents dans les rayonnages On peut donc toujours retrouver des fichiers apr s un reformatage aussi facilement que s ils avaient t simplement supprim s 4 3 5 Et pour ne laisser aucune trace Pour r gler radicalement le probleme il n y a pas de m thode simple La solution la moins difficile pour l instant est d utiliser l ordinateur apr s l avoir d marr avec un syst me live configur pour mutiliser que la m moire vive comme Tails Alors il est possible de ne rien crire sur le disque dur ni sur le swap et de ne garder les informations tant que l ordinateur est allum que dans la m moire vive 4 4 Les logiciels portables une fausse solution Ce qu on appelle logiciels portables ce sont des logiciels qui ne sont pas install s sur un syst me d exploitation donn mais que l on peut d marrer depuis une cl USB ou un disque dur externe et donc transporter avec soi afin d en disposer sur n importe quel ordinateur Il est devenu tr s facile de t l charger sur Internet de telles applications Des packs portables ont ainsi t mis en ligne comme Firefox avec Tor ou Thunderbird avec Enigmail
149. sur toute la ligne Le fonctionnement normal des r seaux implique que de nombreux ordinateurs voient ce que l on y fait Il n est pas question ici de surveillance active C est parfois comple tement n cessaire a leur fonctionnement Il arrive aussi que ces informations soient collect es parce que c est plus pratique par exemple pour diagnostiquer des pro bl mes Or le fonctionnement de n importe quel ordinateur laisse un certain nombre de traces C est le theme du premier tome de ce Guide Dans le cas d une utilisation en ligne ce n est pas seulement l ordinateur que l on a devant les yeux qui peut garder des traces de ce que l on fait sur le r seau mais aussi chacun des ordinateurs par lesquels transitent les informations Or ces informations circulent en g n ral telles quelles c est a dire en clair et non de facon chiffr e 2 1 Sur Vordinateur client Le client utilis pour se connecter au r seau a acc s tout ce que l on y fait Et comme lors de n importe quelle autre utilisation l ordinateur en garde bien souvent des traces Comme cela a t longuement expliqu dans le premier tome de ce Guide ces traces et l aisance avec laquelle elles peuvent tre exploit es d pendent tr s largement de l ordinateur et du syst me d exploitation utilis s 2 1 1 La m moire des navigateurs Pour tre plus agr ables utiliser les navigateurs web enregistrent de nombreuses informations sur
150. syntaxe g n rale rm options NOM DU FICHIER A SUPPRIMER On va utiliser l option v qui dans le cadre de cette commande demande l ordinateur d tre bavard on parle de mode verbeux sur les actions qu il va effectuer Pour ins rer le nom du fichier supprimer on va utiliser l astuce donn e pr c dem ment pour indiquer le chemin du ficher On va donc e taper rm v dans notre terminal e taper un espace afin de s parer l option v de la suite e dans la fen tre du Dossier personnel on va prendre avec la souris l ic ne du fichier essai et la d poser dans le terminal A la fin de cette op ration on doit obtenir quelque chose comme rm v home LOGIN essai On peut alors appuyer sur la touche Entr e et constater que l ordinateur r pond home LOGIN essai supprim Cela indique qu il a bien supprim le fichier demand On peut encore v rifier son absence en lancant un nouveau ls ls On doit constater l absence de essai dans la liste que nous r pond la commande Sur le m me ordinateur que tout l heure cela donne Bureau Et Pic ne doit galement avoir disparu dans le navigateur de fichiers Apparemment il a t supprim m me si comme expliqu dans la premi re partie son contenu existe encore sur le disque Comme c tait un fichier vide nomm essai on peut se dire que ce n est pa
151. syst me d exploitation d finit une m thode bien sp cifique pour que les ap plications puissent acc der au mat riel des donn es au r seau ou d autres res sources Les applications que l on souhaite utiliser doivent donc tres con ues pour le syst me d exploitation de l ordinateur sur lequel on veut s en servir 1 4 3 Les biblioth ques Plut t que de r crire dans toutes les applications des morceaux de programme char g s de faire les m mes choses les logiciels se les partagent dans des biblioth ques ou libraries en anglais Il existe des biblioth ques pour l affichage graphique assurant une coh rence de ce qui est affich l cran pour lire ou crire des formats de fichiers pour interroger certains services r seaux etc 16 I COMPRENDRE Si l on n est pas programmeur on a rarement besoin de toucher aux biblioth ques Il peut toutefois tre int ressant de conna tre leur existence ne serait ce que parce qu un probleme comme une erreur de programmation dans une biblioth que peut se r percuter sur tous les logiciels qui l utilisent 1 5 Le rangement des donn es On a vu qu un disque dur ou une cl USB permettait de garder des donn es entre deux allumages d un ordinateur Mais histoire de s y retrouver les donn es sont agenc es d une certaine mani re un meuble dans lequel on aurait simplement entass des feuilles de papier ne constitue pas vraiment une forme
152. teindre les ordinateurs et a d sactiver d monter jecter les disques chiffr s e Dans certains cas il peut tre n cessaire de pr voir des solutions mat rielles pour pouvoir couper le courant facilement et rapidement ainsi les disques chiffr s redeviennent inaccessibles sans la phrase de passe moins d effectuer une cold boot attack o nateur et que celui ci enregistre la phrase de passe Par ailleurs une certaine limite l gale vient s ajouter aux possibles at taques En France toute personne qui chiffre ses donn es est en effet cens e donner le code d acc s aux autorit s lorsqu elles le demandent comme l explique l article 434 15 2 du Code P nal Est puni de trois ans d emprisonnement et de 45 000 euros d amende le fait pour quiconque ayant connaissance de la convention secr te de d chiffrement d un moyen de cryptologie susceptible d avoir t utilis pour pr parer faciliter ou commettre un crime ou un d lit de refuser de remettre ladite convention aux autorit s judiciaires ou de la mettre en ceuvre sur les r quisitions de ces autorit s d livr es en application des titres II et HI du livre ler du code de proc dure p nale Si le refus est oppos alors que la remise ou la mise en ceuvre de la convention aurait permis d viter la commission d un crime ou d un d lit ou d en limiter les effets la peine est port e cinq ans d emprisonnement et 75 000 euros d amende
153. tre mat riellement cor rumpu Il peut notamment contenir des keyloggers mat riels qui pourraient enregis trer tout ce qui est tap sur le clavier Les textes que l on crit des actions que l on ex cute mais surtout les mots de passe que l on saisit Lorsqu on a un doute quant la confiance accorder un ordinateur sur lequel on va utiliser Tails il est possible d utiliser un clavier virtuel afin de rendre inefficace la r cup ration des frappes sur le clavier Attention cependant cette m thode ne prot ge pas d un mouchard qui enregistrerait affichage de l cran 16 1 Utiliser un clavier virtuel dans Tails Une clavier virtuel est un logiciel ayant l apparence d un clavier et qui nous permet d entrer des caract res sans utiliser le clavier mat riel de l ordinateur Il peut tre utilis avec plusieurs dispositifs de pointage comme une souris un cran tactile ou un pav tactile par exemple La clavier virtuel Florence est install par d faut dans Tails Il est automatiquement d marr lors du lancement de Tails et est accessible en cliquant sur son ic ne en forme de clavier dans la zone de notification en haut droite de l cran ou partir de Applications Acc s universel Clavier virtuel Florence Une fois lanc taper ses mots de passe en utilisant son dispositif de pointage pr f r 16 ART Sait ca l ER Ne a CHAPITRE Utiliser le client mail Claws Mail C Les
154. un adversaire mettait la main sur notre cl priv e ou simplement si on la perdait il est n cessaire de la r voquer afin que nos correspondants soient au courant qu il ne faut plus utiliser On cr e pour cela un certificat de r vocation Il est conseill de cr er le certificat de r vocation imm diatement apr s la paire de cl s car si l on perd la cl ou qu on oublie sa phrase de passe il ne nous sera plus possible de cr er de certificat de r vocation Le certification se pr sente sous la forme d un fichier ou de quelques lignes de texte qu il nous faudra stocker dans un endroit s r par exemple sur une cl USB chiffr e chez une personne de confiance ou sur un papier bien cach En effet toute personne qui a acc s ce fichier peut r voquer notre paire de cl s et donc nous emp cher de communiquer Pour g n rer le certificat on doit malheureusement utiliser un terminal 3 Zvi Gutterman Benny Pinkas Tzachy Reinman 2006 Analysis of the Linux Random Number Generator http www pinkas net PAPERS gpr06 pdf en anglais ul he q itome 1 14 51 L a 7 tome 1 5 2 21 L 136 II OUTILS On va commencer la commande en tapant sans faire Entr e gpg gen revoke Puis taper l identifiant de notre cl accessible dans l onglet Propri taire disponible en double cliquant sur la cl Cela devrait donner quelque chose comme gpg gen revoke 2A544427
155. un disque vierge dans son lecteur qu on fait un clic droit sur le fichier et qu on choisit Gravure de disque Brasero le logiciel de gravure s occupe tout seul de transformer cette image en l crivant sur le disque vierge en tout cas ca marche avec Tails et plus g n ralement sous Debian ou Ubuntu Sous Windows si on a pas d ja install de logiciel capable de graver des images ISO le logiciel libre InfraRecorder fera parfaitement l affaire 15 4 2 Cr er une cl USB d installation Pour cr er une cl USB d installation il est n cessaire d effectuer les op rations qui suivent partir d un systeme bas sur Linux tel que Debian ou Tails Se munir d une cl USB vierge ou contenant uniquement des donn es auxquelles on ne tient pas Attention les donn es ventuellement pr sentes sur la cl seront perdues Par contre il serait facile de proc der une analyse pour retrouver les fichiers dont le contenu n aurait pas t cras auparavant Rep rer l emplacement de la cl USB Pour la suite des op rations il est n cessaire de d terminer le nom que le syst me attribue a la cl USB Pour ce faire on va d marrer l Utilitaire de disque dans le menu Applications Accessoires Une fois ce dernier ouvert on peut brancher notre cl USB Une entr e correspon dant cette derni re devrait appara tre dans la liste situ e gauche Apres l avoir s lectionn e on pourra lire le
156. une personne ou d un groupe sous un certain angle un certain ge etc page 25 tre absolument anonyme sur Internet c est tr s compliqu comme on l a vu de ne nombreuses traces sont enregistr es v a le r seau lors de son utilisation Ce ph nom ne est d autant plus vrai avec les m dias sociaux pour lesquels la g n ration d une identit unique et tracable est un fond de commerce Il est impossible de ne laisser aucune trace mais il est peut tre possible de laisser des traces qui ne ram nent nulle part On rencontre des difficult s similaires lorsqu on fait le choix du pseudonymat plus on utilise un pseudo plus les traces qu on laisse s accumulent Des petits indices qui une fois recoup s peuvent permettre de r v ler l identit civile qui correspond un pseudonyme 5 2 De l identit contextuelle l identit civile Il existe diff rentes mani res plus ou moins offensives de mettre mal un pseudonyme ou de r v ler le lien entre une identit contextuelle et la ou les personnes physiques qui l utilisent 5 2 1 Le recoupement page pr c En partant de l exemple des trois identit s contextuelles il est l gitime de se deman j der ce que jongler entre ces diff rentes identit s implique en termes d anonymat En imaginant qu on utilise un pseudonyme et non son tat civil il peut tre plus perti nent d avoir une identit donc un pseudo dans chaque contexte une
157. utilis par beaucoup de monde on peut douter de sa viabilit a long terme si l quipe de d veloppement venait a cesser de travailler sur ce logiciel que deviendrait il Qui reprendrait le flambeau On peut donc retenir comme r gle g n rale qu il faut choisir un logiciel utilis par un nombre suffisamment important de personnes mais pas forc ment le logiciel le plus utilis Afin de mesurer la popularit d un logiciel il est possible d une part d utiliser les m mes crit res que ceux d crits ci dessus au sujet du dynamisme de la commu naut form e autour de lui D autre part Debian publie les r sultats de son concours de popularit qui permet de comparer non seulement le nombre de personnes ayant install tel ou tel logiciel mais aussi voire surtout l volution dans le temps de leur popularit 16 2 5 Pass de s curit Voici de nouveau un crit re double tranchant 1 Debian org 2014 Debian Popularity Contest http popcon debian org en anglais 16 CHOISIR V RIFIER ET INSTALLER UN LOGICIEL 119 On peut commencer par jeter un ceil sur le suivi de s curit propos par Debian En y cherchant un logiciel par son nom on peut avoir la liste des probl mes de s curit qui y ont t d couverts et parfois r solus Si ce logiciel a un historique de s curit parfaitement vierge ca peut impliquer soit que tout le monde s en fout soit que le logiciel est crit de facon ext
158. utiliser le logiciel GParted Plus difficile utiliser que l Utilitaire de disque ce dernier l avantage de savoir redimensionner une partition d j existante tout en gardant les fichiers qui s y trouvent 4 I J A en re q l BORA N ee 4 140 II OUTILS 18 5 Cr er une partition non chiffr e Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e 2 minutes On ouvrira la partition chiffr e qui contiendra nos donn es confidentielles uniquement sur les ordinateurs auxquels on fait confiance Si on le souhaite c est le moment de cr er une partition non chiffr e o l on met des donn es qui ne sont pas confidentielles et que l on peut utiliser depuis tous les ordinateurs sans avoir taper la phrase de passe Si l on d sire chiffrer le disque dur en entier on peut directement passer l tape suivante Toujours avec l Utilitaire de disque et le disque dur s lectionn dans la partie droite cliquer sur la zone Libre du sch ma des Volumes En dessous cliquer ensuite sur Cr er une partition Placer le curseur Taille la taille voulue pour la partition non chiffr e L espace laiss libre nous servira pour la partition chiffr e Dans Type choisir FAT On peut aussi choisir un nom pour la partition Une fois cela fait cliquer sur Cr er 18 6 Cr er
159. veur de cl s n a t choisi cliquer sur le bouton Serveurs de cl s et selectionner hkp pool sks keyservers net pour publier nos cl s Fermer la fen tre et cliquer enfin sur Synchroniser Importer le certificat de r vocation d un correspondant Si par contre la cl compromise de notre correspondant n est pas disponible sur un serveur de cl s ou non synchronis e et que celui ci nous a fait parvenir le certificat de r vocation il nous faudra l importer nous m mes Pour cela suivre les tapes du paragraphe Importer le certificat de r vocation pr c dent CHAPITRE Utiliser la messagerie instantan e avec OTR C Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e une demi heure une heure L objectif de cet outil est de dialoguer avec une personne en utilisant la messagerie instantan e avec chiffrement et authentification On va pour cela utiliser le protocole OTR qui permet d ajouter chiffrement authentification et confidentialit persis tante nombre de protocoles de messagerie instantan e 19 1 Installer le client de messagerie instantan e Pidgin On va utiliser pour cela le client de messagerie Pidgin En effet il dispose d une bonne prise en charge du chiffrement OTR De plus il permet d utiliser diff rents protocoles de messagerie instantan e co
160. vous avez fait vous m mes le gros du travail de r flexion ce qui l encouragera certainement vous aider sur les points qui restent hors de votre port e 7 3 Quelques r gles Avant de s int resser de plus pr s l tude de cas concrets et des politiques de s curit qu il serait possible de mettre en place il existe quelques grands principes quelques grandes familles de choix 7 3 1 Complexe vs simple En mati re de s curit une solution simple doit toujours tre pr f r e une solution complexe Tout d abord parce qu une solution complexe offre plus de surface d attaque c est dire plus de lieux o peuvent appara tre des probl mes de s curit ce qui ne manquera pas d arriver Ensuite parce que plus une solution est complexe plus il faut de connaissances pour l imaginer la mettre en uvre la maintenir mais aussi pour l examiner valuer sa pertinence et ses probl mes Ce qui fait qu en r gle g n rale plus une solution est complexe moins elle aura subi les regards ac r s et ext rieurs n cessaires pour tablir sa validit Enfin tout simplement une solution complexe qui ne tient pas en entier dans l espace mental des personnes qui l ont labor e a plus de chances de g n rer des probl mes de s curit issus d interactions complexes ou de cas particuliers difficiles d celer Par exemple plut t que de passer des heures mettre en pla
161. 2 Installer un Windows virtualis 22 3 Sauvegarder une image de disque virtuel propre 22 4 Effacer pour de vrai une machine virtuelle 22 5 Cr er une nouvelle machine virtuelle partir d une image propre 22 6 Envoyer des fichiers un systeme virtualis 22 7 Faire sortir des fichiers d un syst me virtualis 23 Garder un syst me jour 23 1 Garder Valea JOUR aaa au AA a ee 23 2 Garder jour un syst me chiffr 23 3 Les mises jour quotidiennes d un syst me chiffr 2 2 2 23 4 Passage une nouvelle version stable 24 Nettoyer les m tadonn es d un document 24 1 Installer les logiciels n cessaires 24 2 Ouvrir le Metadata Anonymisation Toolkit 24 3 Ajouter des fichiers nettoyer 214 Nettoyer les hehlers aos u dE a Pe NUS Qui parle Index 155 156 157 160 161 162 164 166 169 169 169 170 170 175 175 175 175 176 177 179 PREMIERE PARTIE Comprendre Devant la grande complexit des outils informatiques et num riques la quantit d in formations avaler pour tenter d acqu rir quelques pratiques d autod fense peut pa ra tre enorme Elle l est s rement pour qui chercherait tout comprendre en m me temps Ce premier tome se concentrera do
162. 3 Paul Kocher Joshua Jaffe et Benjamin Jun ont publi en 1998 en anglais un rapport http www cryptography com public pdf DPATechInfo pdf expliquant les diff rentes techniques d analyse de consommation lectrique 1 QUELQUES BASES SUR LES ORDINATEURS 15 entre eux qui permettra de r aliser les t ches complexes pour lesquelles sont g n ra lement utilis s les ordinateurs de nos jours L effet produit lorsqu on clique sur un bouton c est donc le lancement d une chaine d venements d une somme impressionnante de calculs qui aboutissent des impul sions lectriques venant la fin modifier un objet physique comme un DVD qu on veut graver un cran qui modifie ses LEDs pour afficher une nouvelle page ou un disque dur qui active ou d sactive des micro interrupteurs pour cr er la suite binaire de donn es qui constituera un fichier 1 4 1 Le syst me d exploitation Le but d un systeme d exploitation est avant tout de permettre aux logiciels de se partager l acces aux composants mat riels de ordinateur Son r le est aussi de per mettre aux diff rents logiciels de communiquer entre eux Un systeme d exploitation est par ailleurs g n ralement livr avec des logiciels au minimum de quoi permettre de d marrer d autres logiciels La partie la plus fondamentale d un systeme d exploitation est son noyau qui s occupe de coordonner l utilisation du mat riel par les programmes Pour chaque composant m
163. 8v1stea980uyUlefwNzHaKX9CuZ TKObRWY Attention si un des morceaux a mal t tap l erreur qui s affiche n est pas forc ment tr s explicite ssss combine t 3 Enter 3 shares separated by newlines Share 1 3 4 4 143alefcde7f4f5658415a150fcac6da04f697ebfeb9427b59dca57b50ec755510b0e5 gt 7ccc594e6blaleeb04 Share 2 3 4 2 af83f0af05fc207e3b466caef30ec4d39c060800371feab93594350b7699a8db9594bf 4 c7led9cd2bf31ab738 Share 3 3 4 6 ebf7a305f14bf3143b801a222cc1c857b7e8582119374925274f9f335d283677f4c002 gt f8d68bcce722ebbalf Resulting secret Klier Ora er ZI ar WARNING binary data detected use x mode instead 152 II OUTILS 20 2 3 Ouvrir le support chiffr Une fois la phrase de passe obtenue on peut utiliser un copier coller af n de dever rouiller le support chiffre ou alors la retranscrire en l ayant sous les yeux CHAPITRE 2 1 Utiliser les sommes de controle C Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e 5 10 minutes Dans la premi re partie on a voqu les sommes de contr le des nombres qui permettent de v rifier l int grit d un fichier ou de toutes autres donn es Le principe est qu il est quasiment impossible d avoir une somme de contr le identique pour deux fichiers diff rents Si Alice di
164. Ainsi Internet n est pas un grand r seau homog ne qui serait g r de facon centrale mais est plut t constitu d un ensemble d ordinateurs et de liaisons r seau qui ap partiennent des organisations et 4 des entreprises diverses et vari es chacune ayant son fonctionnement propre Tous ces r seaux infrastructures et ordinateurs ne marchent pas tous seuls ils sont g r s au quotidien par des gens appel s administrateurs ou administratrices syst mes 15 Les plages d adresses priv es sont d finies par convention dans un document appel RFC 1918 Elles incluent en plus des adresses commengant par 192 168 celles qui commencent par 10 et de 172 16 172 31 1 BASES SUR LES R SEAUX 17 et r seau ou admins 16 Ce sont eux qui s occupent d installer d entretenir et de mettre jour ces machines Pour cela ils ont n cessairement acc s norm ment d information sur les ordinateurs dont ils s occupent En termes de surveillance les int r ts commerciaux et les obligations l gales des sys t mes autonomes sont tr s vari s en fonction des tats et des types d organisation en jeu institutions entreprises associations etc Personne ne contr le enti rement In ternet et son caract re mondial rend compliqu e toute tentative de l gislation unifi e Il n y a donc pas d homog n it des pratiques Interconnexion de r seaux De la m me facon que l on a branch notre r seau local
165. Dans 20 des cas il est m me possible d identifier directement l auteur anonyme La particularit de ce travail est qu il d passe le cadre de petits chantillons une centaine de possibilit s auxquels s taient cantonn es les tudes pr c dentes pour 2 Nate Anderson 2006 AOL releases search data on 500 000 users http arstechnica com uncategorized 2006 08 7433 en anglais 3 Paul Ohn 2009 Broken Promises of Privacy Responding to the Surprising Failure of Ano nymization http www uclalawreview org pdf 57 6 3 pdf en anglais 4 Par exemple gr ce des logiciels comme The Signature Stylometric System http www philocomp net pageref humanities amp page signature ou Java Graphical Authorship Attribution Pro gram http www jgaap com liens en anglais 5 Les mot outils sont des mots dont le r le syntaxique est plus important que le sens Il s agit typiquement de mots de liaison https fr wikipedia org wiki Mot outil 6 Kathy Bailey 2008 Forensic Linguistics in Criminal Cases Language in Social Contexts http ksbailey writersresidence com samples forensic linguistics in criminal cases en anglais 7 Theodore Kaczynski 1998 La soci t industrielle et son avenir http ww fichier pdf fr 2012 12 20 kaczynski kaczynski pdf 8 Hristo Paskov Neil Gong John Bethencourt Emil Stefanov Richard Shin Dawn Song 2012 On the Feasibility of Internet Scale Author Identification http ran
166. ER ET CHIFFRER UN DISQUE DUR 141 supprim es Le processus dure de quelques minutes quelques heures selon la taille du disque dur et sa vitesse par exemple 2 heures pour une cl USB de 4 Go 18 6 3 D brancher proprement le disque dur Retourner dans l Utilitaire de disque cliquer sur D monter le volume Attendre un peu puis sur le sch ma des volumes cliquer sur le volume Chiffr au dessus du volume FAT Cliquer alors sur Verrouiller le volume sous le sch ma droite s il y a un message d erreur ce n est pas tr s grave puis sur D connexion en toute s curit au dessus du sch ma a droite D brancher ensuite physiquement le disque externe de Vordinateur On peut d sormais fermer Utilitaire de disque Le disque dur chiffr est maintenant utilisable 18 7 Utiliser un disque dur chiffr Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e 2 minutes quelques heures ou jamais selon notre capacit retenir la phrase de passe Afin de permettre au syst me d acc der aux donn es qui se trouvent sur un disque chiffr il est heureusement n cessaire d indiquer la phrase de passe Une op ration plus ou moins simple selon les environnements 18 7 1 Avec Debian ou autre GNU Linux Sur un syst me GNU Linux avec un environnement de bureau configur pour m
167. Facebook accompagn es de m ta donn es concernant notamment la g olocalisation tous les pokes mis ou AS re us tous les amis y compris les amis effac s les journaux de connexions o Facebook incluant l adresse IP et sa g olocalisation toutes les 4 machines iden page 26 tifi es par un cookie utilis es par un profil ainsi que les autres profils utilisant les m mes machines ou encore la localisation de sa derni re connexion connue Facebook longitude latitude altitude me Saye 0 T an ae g Enfin malgr les d clarations du fondateur de Facebook comme quoi l ere de la vie priv e est r volue 7 nombre de strat gies restent d velopper remanier afin de jouer avec les diff rentes marges encore d actualit Et ceci dans l optique d avoir un peu de prise sur ces questions fondamentales Qu est ce que l on souhaite mon trer Qu est ce que l on accepte de rendre visible et Qu est ce que l on veut cacher et a quel prix 16 Europe versus Facebook 2012 Facebook s Data Pool http europe v facebook org EN Data_ Pool data_pool html en anglais 17 Bobbie Johnson 2010 Privacy no longer a social norm says Facebook founder http ww theguardian com technology 2010 jan 11 facebook privacy en anglais CHAPITRE 6 Cacher le contenu des communications la cryptographie asym trique Dans le premier tome de ce guide nous avo
168. Fi Mais au dela de notre prise t l phonique nos communications sur Internet sont trans port es par bien d autres moyens Il existe de nombreux supports pour transmettre Vinformation cable de cuivre fibre optique ondes radio etc De la transmission par modem des ann es 90 la fibre optique utilis e pour les connexions intercontinen tales en passant par ADSL des ann es 2000 chacun d eux a des caract ristiques diff rentes notamment en termes de d bit d information galement appel bande passante et de co t d installation et d entretien Ces diff rentes technologies n ont pas les m mes faiblesses vis a vis de la confiden tialit des communications qu on leur confie ou des traces qu elles laissent il sera ainsi plus facile d intercepter distance un signal radio que de la lumi re qui passe Vint rieur d une fibre optique 2 Wikipedia 2014 R seau informatique https fr wikipedia org wiki R seau_informatique 3 Une adresse MAC se pr sente sous la forme d une suite de 12 chiffres hexad cimaux 0 9 et a pour 10 b pour 11 et ainsi de suite jusqu f pour 15 comme par exemple 00 3a 1f 57 23 98 4 Modem est le mot condens de modulateur d modulateur il permet de transmettre des donn es num riques tome 1 1 2 2 sur un canal permettant de v hiculer du son comme par exemple une ligne t l phonique 5 Une fibre optique est un fil constitu d un mat riau transparent permettant
169. ILS 22 3 Sauvegarder une image de disque virtuel propre Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e 10 minutes Comme indiqu dans la m thode permettant de travailler sur un document sensible virtuelle 22 3 1 Eteindre la machine virtuelle Si la machine virtuelle propre qui doit amp tre sauvegard e est en cours d utilisation il faut commencer par l teindre par exemple via le menu Machine Fermer gt Envoyer le signal d extinction de VirtualBox ou tout bonnement depuis le menu D marrer de windows 22 3 2 Ouvrir le dossier des disques virtuels de VirtualBox Dans le Dossier personnel ouvrir le dossier VirtualBox VMs 22 3 3 Effectuer la sauvegarde e S lectionner le disque virtuel dont le nom correspond a celui de la machine virtuelle par exemple Windows 2000 vdi Dans le menu Edition choisir Copier e Aller dans le dossier de sauvegarde des images propres Si l on a suivi les conseils donn s pr c demment il s agit du dossier Disques virtuels propres dans Dossier personnel e Dans le menu Edition choisir Coller pour obtenir une copie du fichier e S lectionner la copie et la renommer partir du menu Edition Renommer Entrer un nouveau nom par exemple Sauvegarde propre de Windows 2000 vdi 22 3 4 Effacer la machine virtuelle n ne va plus
170. P 6 Liste de serveurs XMPP communautaires http wiki jabberfr org w index php title index php amp title Serveurs 7 Pour plus de d tails sur les informations renseigner pour cr er un compte XMPP voir le site de Linuxpedia http www linuxpedia fr doku php internet pidgin jabber 8 Wikipedia 2014 Internet Relay Chat https fr wikipedia org wiki Internet Relay Chat 9 irchelp org 2012 IRC Networks and Server Lists http ww irchelp org irchelp networks en anglais 19 UTILISER LA MESSAGERIE INSTANTAN E AVEC OTR 147 19 7 Mettre en place une conversation priv e 19 7 1 Commencer une conversation priv e Pour commencer une conversation priv e double cliquer sur un nom se trouvant dans la colonne de droite de la fen tre d un salon de discussion ot l on se trouve Une fen tre de conversation s ouvre Cliquer alors sur le menu OTR Commencer une conversation priv e Si c est la premiere fois qu on utilise OTR avec ce compte Pidgin va alors g n rer une cl priv e et afficher une fen tre G n ration de la cl priv e Cette cl est unique pour un compte donn Si l on possede plusieurs comptes de messagerie instantan e on aura donc plusieurs cl s Lorsqu elle affiche que la g n ration de cette cl est effectu e on peut fermer cette fen tre en cliquant sur Valider Pidgin affiche alors Alice n a pas encore t authentifi e Vous devriez authentifier ce contact Cela signifie que notre co
171. Pidgin enregistrera le certificat du serveur XMPP dans sa configuration Si le certificat du serveur n est pas sign ou que pour une raison ou une autre Pidgin n arrive pas a v rifier son authenticit il est alors n cessaire de mettre en place les ee ee q page 1211 m mes techniques que lors de l installation d un certificat dans son navigateur web L He ie Dans ce cas lors de votre premi re connexion Pidgin affichera une fen tre demandant si l on veut Accepter le certificat pour Il expliquera galement la raison pour laquelle il n a pas voulu accepter le certificat Le certificat est auto sign Il ne peut tre ee v rifi automatiquement si par exemple le certificat n est pas sign par une Autorit I tome 1 5 2 de Certification En cliquant sur Voir le certificat Pidgin affichera l empreinte i re 4 Bene Susann num rique de celui ci vous permettant de le v rifier 19 6 Activer le plugin Off the Record Dans le menu Outils cliquer sur Plugins Trouver la ligne Messagerie confidentielle Off the Record et cocher la case correspondante pour activer le plugin Il est pos sible en cliquant sur Configurer le plugin de choisir certaines options telles que Ne pas archiver les conversations d OTR 4 riseup net 2013 Riseup chat https help riseup net en chat en anglais 5 Wikip dia 2014 Extensible Messaging and Presence Protocol https fr wikipedia org wiki XMP
172. Pour suivre cette piste il nous faudra donc dans un premier temps si l on n en a pas d j faire une cl USB une carte SD ou un DVD Tails identit en activant l option Pidgin Nous pourrons enfin suivre l outil utiliser la messagerie instantan e avec OTR On combine ici deux crit res confidentialit et anonymat A V tape pr c dente on a vu comment disposer de confidentialit avec le chiffrement OTR Ici on vient de voir comment avoir anonymat et confidentialit en utilisant le chiffrement OTR sous Tails ainsi qu une identit contextuelle Cependant on peut d sirer l anonymat ou le pseudonymat seul c est dire sans confidentialit En effet on peut vouloir cacher qui on est sans cacher le contenu de nos conversations par exemple pour discuter dans des salons publics traitant de pratiques sexuelles consid r es comme d viantes Pour suivre cette piste on d marrera alors Tails puis on utilisera Pidgin avec un compte cr automatiquement pour l occasion sans utiliser le chiffrement OTR 11 4 Les limites Tout d abord cette m thode reste vuln rable aux ventuelles attaques sur le chiffre ment dont on vient de parler et aux attaques sur Tor Mais il existe aussi quelques limites sp cifiques aux conversations en temps r el Ainsi l tat en ligne ou hors ligne d une identit est en g n ral accessible publi quement Un adversaire peut ainsi voir quand une identit
173. S ADAPTEES 3 Cr dibilit de l attaque encore faut il que la police considere pouvoir trouver des l ments a charge sur l ordinateur avec suffisamment de foi pour pousser le bouchon jusque l Dans le strict cadre de l enqu te qui part du gramme de shit c est peu probable mais pas du tout impossible Si la police en arrive exiger l acces aux donn es chiffr es se posera en pratique la question suivante les informations contenues dans l ordinateur font elles encourir plus de risques que le refus de donner la phrase de passe Apr s c est selon comment on le sent C der dans cette situation ne remet pas en cause tout l int r t de chiffrer au d part son disque dur ca permet tout au moins de savoir ce qui a t d voil quand et qui Ceci dit il peut tre bon de s organiser pour vivre de facon moins d licate une telle si tuation le nouvel objectif pourrait tre d avoir un disque dur sufisamment propre pour que ce ne soit pas la catastrophe si on c de face la loi ou si le systeme cryp tographique utilis est cass Comme premier pas il est souvent possible de faire un compromis concernant l ac BER cessibilit pour des fichiers concernant des projets achev s dont on n aura pas besoin page TT souvent on traitera ceci dans le cas d usage sur l archivage qu il pourra tre bon d tudier apr s celui ci sss Ensuite c est toute la question de la compartimentation qu
174. Toutefois contrairement aux syst mes live ils se servent du syst me d exploitation install sur l ordinateur o on les utilise la plupart du temps ils sont pr vus pour Windows L id e qui est leur origine est de permettre d avoir toujours les logiciels dont on a besoin sous la main personnalis s notre usage Mais transporter son bureau partout avec soi par exemple n est pas forc ment la meilleure mani re de pr server la confidentialit de ses donn es Disons le tout de suite ces logiciels ne prot gent pas plus les personnes qui s en servent que des logiciels non portables Pire le discours faisant leur promotion participe cr er une illusion de s curit avec d normes b tises comme l utilisation des logiciels se fait de fa on s curis e et sans laisser d informations personnelles sur les machines sur lesquelles vous utilisez votre Framakey 8 C est malheureusement faux 8 Cet extrait provient de la page d accueil du site web de FramaKey http www framakey org une compilation de logiciels portables r alis e par Framasoft http www framasoft net un site fran ais de promotion du logiciel libre Sur la pr sentation de la FramaKey http framakey org Main Details on peut lire maintenant le navigateur web et le client mail prot geront votre intimit et l ordinateur h te en laissant un minimum de traces sans plus de pr cisions sur la nature de ces tr
175. ablement efficaces jusqu ce qu on commette une erreur Alors comme on finira forc ment par en faire une il vaut mieux les pr voir plut t que de payer les pots cass s Par exemple une cl USB destin e n tre utilis e que sur des ordinateurs utilisant un syst me libre et qu on fait vraiment attention ne pas laisser tra ner peut quand m me finir par tre oubli e sur une table et tre branch e sur Windows par une personne qui l aura confondue avec une autre Mais si elle a t format e d s le d part avec un syst me de fichiers incompatible avec Windows a devrait limiter la casse Bref on n est pas des robots Il vaut mieux se donner de solides garde fous mat riels que de s imposer une vigilance sans bornes a permet aussi de garder l esprit tranquille 7 3 4 Date limite de consommation Une fois une politique de s curit d finie il ne faut pas oublier de la revoir de temps en temps Le monde de la s curit informatique volue tr s vite et une solution consid r e comme raisonnablement s re l heure actuelle peut tr s bien tre ais ment attaquable l an prochain N oublions pas non plus de penser dans nos politiques de s curit qu il est important Cas d usages Tr ve de th orie illustrons maintenant ces notions avec quelques cas d usage partir de situations donn es nous indiquerons des pistes permettant de d finir une politique de s curit ad quat
176. absence dans le monde num rique une mise au point sur certaines id es recues afin de mieux comprendre quoi on s expose dans tel ou tel usage de tel ou tel outil Afin aussi de pouvoir faire le tri parmi les solutions toutes plus ou moins dangereuses si l on ne se rend pas compte de ce contre quoi elles ne prot gent pas A la lecture de ces quelques pages on pourra avoir le sentiment que rien n est vraiment s r avec un ordinateur et bien c est vrai Et c est faux Il y a des outils et des usages appropri s Et souvent la question n est finalement pas tant doit on utiliser ou pas ces technologies mais plut t quand et comment les utiliser ou pas Prendre le temps de comprendre Des logiciels simples d utilisation meurent d envie de se substituer nos cerveaux s ils nous permettent un usage facile de l informatique ils nous enlevent aussi prise sur les bouts de vie qu on leur confie Avec l acceleration des ordinateurs de nos connexions Internet est arriv le r gne de l instantan it Gr ce au t l phone portable et au Wi Fi faire le geste de d crocher un t l phone ou de brancher un cable r seau son ordinateur pour communiquer est d ja d suet Etre patient prendre le temps d apprendre ou de r fl chir deviendrait superflu on veut tout tout de suite on veut la solution Mais cela implique de confier de nom breuses d cisions de distants experts que l on croit sur
177. ace ou de changer le fonctionnement du service de faire du rangement l internaute n a pas son mot dire De plus l interactivit de ces applications web implique qu une partie de leur pro gramme soit ex cut sur l ordinateur client le n tre travers des technologies comme JavaScript Flash ou encore Java Ces technologies sont d sormais activ es par d faut dans nos navigateurs et ceci pour tous les sites C est sympa pratique moderne Mais ces technologies posent quelques probl mes quant la s curit de nos sible de n autoriser leur usage que site par site en fonction de la confiance qu on leur accorde 5 Le paragraphe vos contenus et nos Services des Conditions G n rales d Utilisation https www google com intl fr policies terms des services fournis par Google d montre assez clairement l absence de pouvoir concret d un utilisateur sur les contenus qu il a stock s en ligne Ce qui est vous reste vous mais libre Google d en faire ce qu il en a envie tant que vous laissez votre contenu sur ses serveurs 6 Vincent Hermann 2011 Dropbox admet poss der un double des cl s d acc s aux donn es http www pcinpact com breve 64460 dropbox conditions utilisation chiffrement securite htm 7 Owni 2011 Apr s 7 ans d utilisation il se fait supprimer son compte Google donc les emails le calendriers les docs etc http owni fr 2011 08 29 google suppress
178. aces 4 QUELQUES ILLUSIONS DE SECURITE 35 4 4 1 Principaux probl mes Ces solutions cl amp en main posent donc quelques problemes plut t f cheux Il restera des traces sur le disque dur Si le logiciel a t rendu portable correctement il ne devrait pas laisser d li b r ment de traces sur le disque dur de l ordinateur sur lequel on l utilise Mais en fait le logiciel n a jamais un contr le absolu Il d pend en effet largement du systeme Pa z I de T d exploitation sur lequel il est employ qui peut avoir besoin d crire de la m moire page 19 P q ploye qui p 8 r Bee cen Wa E T Tin a a ye ern L 4 virtuelle sur le disque dur ou d enregistrer diverses traces de ce qu il fait dans ses ee NV kgs che A ESTE oa Joa A gt I Sr 2 T journaux et autres documents r cents Tout cela restera ensuite sur le disque page 20 A A en ERE AAA ES EHER dur nes page 21 Ls roe ol Il n y a aucune raison d avoir confiance en un syst me inconnu x ae T On a vu auparavant que beaucoup de syst mes ne faisaient absolument pas ce que l on page 23 ea AAN e TR CA ARA croit Or puisque le logiciel portable va utiliser le syst me install sur l ordinateur sur lequel on le lance on souffrira de tous les mouchards et autres logiciels malveillants qui pourraient s y trouver On ne sait pas qui les a compil s ni comment Les m
179. achines sont les premiers avoir acc s aux informations que celles ci traitent mais n en ont pas forc ment l exclusivit Ces informations peuvent se retrouver aux mains de pirates plus ou moins gouvernementaux munis ou non de es requ tes l gales pa Pour finir chaque consultation d une bo te mail chaque envoi de message est suscep tome ch 2 tible de laisser des traces sur l ordinateur utilis Il peut tre pertinent de dissimuler celles ci aux curieux qui seraient en mesure de jeter un ceil au contenu de nos disques durs 10 3 Deux probl matiques On peut avoir comme souci de prot ger la fois notre identit voire celles de nos destinataires et le contenu des changes Il s agit donc des informations contenues dans les deux parties de notre carte postale num rique gauche le texte droite les en t tes Ces informations apparaissent tout au long du parcours de nos messages et peuvent tre la cible d attaques La politique de s curit que l on va d finir va notam o ment d pendre de la fagon dont nous consultons nos emails En effet son utilisation page 20 peut impliquer divers protocoles qui n ont pas les m mes cons quences en termes de traces 10 CHANGER DES MESSAGES 93 10 4 Webmail ou client mail Il existe deux mani res d utiliser l email permettant les m mes actions l utilisation du webmail ou d un client mail Ce choix repose sur diff rents crit res
180. ait un adversaire de contourner la protection offerte par l usage du reseau Tor Mais surtout utilise en dehors d un systeme amn sique le TBB laissera probablement des traces sur le disque dur de l ordinateur utilis Ensuite le TBB n est pas disponible dans les dep ts de paquets Debian Il faudra donc se charger manuellement de v rifier son authenticit et de le garder jour pour corriger des probl mes li s la s curit De plus lors de mises jour de Firefox sur lequel le TBB est bas il peut y avoir un d lai plus ou moins long d ici ce que ces mises jour soient prises en compte dans le TBB Pendant ce d lai il pr sentera des failles de s curit connues et publi es Enfin avec les r glages par d faut par ailleurs modifiables il peut arriver de perdre d finitivement toutes ses lectures et recherches en cours si jamais le TBB vient planter par exemple D autre part le TBB n emp che pas d autres programmes de se connecter Internet sans passer par Tor et ce m me s ils sont ouverts depuis le navigateur du TBB logiciels P2P afficheurs de fichiers PDF lecteurs multimedia etc Tails i tome 1 ch 14 Tails est un syst me live dont le but est de pr server la confidentialit et l anony mat de ses utilisateurs Il permet d utiliser Internet de mani re anonyme quasiment partout et depuis n importe quel ordinateur De plus il ne laisse aucune trace des activit s effectu es su
181. alit du disque dur interne de l ordinateur 2 Installer un systeme d exploitation libre en pr cisant au programme d installa tion de chiffrer le disque dur m moire virtuelle swap comprise 3 Recopier vers le nouveau systeme les donn es pr alablement sauvegard es 4 Mettre en place ce qu il faut pour supprimer des fichiers de facon s curis e afin de pouvoir 5 Effacer le contenu des fichiers qui se trouvent sur le support de sauvegarde temporaire qui pourra ventuellement resservir Et ensuite de temps a autre faire en sorte que les donn es supprim es sans pr cau tions particuli res ne soient pas r cup rables par la suite Il faudra galement veiller mettre r guli rement jour le systeme afin de combler les trous de s curit que pourraient utiliser des logiciels malveillants Pour effectuer ces tapes se r f rer aux recettes suivantes e chiffrer un disque externe ou une cl USB voir page 137 e utiliser un systeme live voir page 99 e sauvegarder des donn es voir page 143 e effacer pour de vrai voir page 127 e installer un syst me chiffr voir page 105 e garder un systeme a jour voir page 169 Cette voie semblant praticable posons nous de nouveau les m mes questions 8 3 2 Seconde tape le tiroir de la commode n tait pas chiffr 1 Angle d attaque l quivalent des fichiers qu on cherche prot ger tra ne peut tre dans la pi ce vo
182. aller Vient alors la phase d installation proprement dite du paquet trouv pr c demment Il y a diff rentes fa ons de le faire selon que l on souhaite utiliser la version disponible dans les d p ts officiels de sa distribution ou un paquet provenant d un autre d p t par exemple pour avoir une version plus r cente Pour installer la version par d faut Normalement le paquet d sir se trouve maintenant quelque part dans la liste de paquets Une fois trouv e la ligne correspondante on clic droit dessus et dans le menu contextuel on choisit S lectionner pour installation Si ce paquet d pend d autres paquets le gestionnaire de paquets ouvre alors une fen tre o il demande s il doit Pr voir d effectuer d autres changements En g n ral ses propositions sont pertinentes et on peut accepter en cliquant sur Ajouter la s lection Pour installer une version particuli re Beh y Parfois on souhaite installer une version particuli re d un paquet parmi celles dispo page 122 nibles Par exemple si on a ajout des d p ts sp cifiques Au lieu de choisir S lec 7 tionner pour installation dans le menu contextuel il faut s lectionner le paquet d sir d un clic gauche puis choisir dans le menu Paquet de Forcer la version La suite ne change pas 16 CHOISIR V RIFIER ET INSTALLER UN LOGICIEL 121 16 3 5 Appliquer les modifications Il est possible de r p ter les deux derni res tapes pour in
183. alyse on peut se r f rer la page Wikip dia 2014 Cryptanalyse https fr wikipedia org wiki Cryptanalysel T 4 38 I COMPRENDRE certes toujours possible d acc der au contenu mais les donn es ressembleront une s rie de nombres al atoires et seront donc illisibles Souvent on dit crypter et d crypter la place de chiffrer et d chiffrer ce qui peut porter a confusion les termes sont cependant synonymes 5 1 1 Comment ca marche Grosso modo il y a seulement trois grandes id es pour comprendre comment on peut chiffrer des messages La premiere idee la confusion Il faut obscurcir la relation entre le message originel et le message chiffr Un exemple tres simple est le chiffre de C sar texte en clair ASSAUT DANS UNE HEURE Le Sl JIL SL texte chiffr DVVDXW GDQV XQH KHXUH A 3 lettres D Sauf qu avec le chiffre de C sar il est facile d analyser la fr quence des lettres et de retrouver les mots Alors la deuxi me grande id e c est la diffusion Cela permet d clater le message pour le rendre plus difficile 4 reconna tre Un exemple de cette technique c est la transposition par colonne a N a i 7 ADE SAH SNE E H E U R E diffusion en 3 points ASU UUR TNE Ce que l on appelle un algorithme de chiffrement ce sont les diff rentes techniques utilis es pour transformer le texte original Quant la cl de chiffrement c est par exemple dans le cas
184. analyse du contenu issu de ces coutes beaucoup plus difficile l adversaire a toujours acc s aux donn es chang es mais il ne peut pas les comprendre et les exploiter directement Il peut nr alors essayer de casser le chiffrement utilise ou tenter de contourner la facon dont il page 59 est mis en uvre On parlera plus loin de ces questions li es au chiffrement Dans tous les cas l adversaire aura toujours acces un certain nombre d informations pr cieuses comme par exemple les adresses IP des diff rents interlocuteurs impliqu s dans une communication Analyse du trafic r seau Lorsque le trafic est chiffr il reste possible de mettre en place des attaques plus subtiles Un adversaire pouvant couter le trafic r seau m me s il n a pas acc s au contenu dispose d autres indices comme la quantit d informations transmises un moment donn Ainsi si Alice envoie 2 Mo de donn es chiffr es vers un site web de publication et que quelques instants plus tard un nouveau document de 2 Mo apparait sur ce site cet adversaire pourra en d duire qu il est probable que ce soit Alice qui ait envoy ce document En tudiant la quantit d informations transmises par unit de temps l adversaire peut aussi dessiner une forme on l appellera le motif de donn es Le contenu d une page web chiffr e n aura ainsi pas le m me motif qu une conversation de messagerie instantan e chiffr e De plus si un
185. ant lui une capacit de 512 Mo Attention cette op ration n cessite l utilisation de l int gralit de la cl USB Il faudra donc veiller sauvegarder auparavant les fichiers qui s y trouvent 15 3 V rifier empreinte du support d installation Il est bon de s assurer que le t l chargement de l image s est bien d roul en v rifiant l empreinte de l installeur pour s assurer de son int grit et de son authenticit Nous allons proc der en deux tapes une premi re nous assurant de son int grit et une seconde assurant son authenticit Pour cela il est n cessaire de d marrer sur un syst me d j install Si l on a acc s un ordinateur sous GNU Linux tout va bien Si on ne dispose que d un syst me live il est par exemple possible de mettre l image t l charg e sur une cl USB puis de v rifier l empreinte partir du syst me live 15 3 1 V rifier l int grit du support d installation Pour cela suivre l outil concernant les sommes de contr le Il sera n cessaire de calculer la somme de contr le SHA512 du support d installation t l charg et v rifier si celle ci correspond celle contenue dans le fichier SHA512SUMS contenu dans le m me dossier que le support d installation Fichier que l on devra t l charger galement 15 3 2 V rifier l authenticit du support d installation Si la v rification de l int grit s est bien d roul e savoir
186. ant de recoupements que Google Microsoft ou Facebook r A y 2 ARS tome 1 ch 15 Pour suivre cette piste sur un syst me Debian chiffr install pr c demment se i i p y p Bie e oie logiciel est d j install 11 3 2 Deuxi me tape demander aux h bergeurs En utilisant un client de messagerie instantan e et des serveurs vari s on ne centralise pas tous les liens et les dialogues entre les m mes mains Cependant le contenu des conversations tout comme les parties qui communiquent restent accessibles partir des ordinateurs par lesquels ils transitent S il est souvent possible de param trer notre logiciel pour chiffrer la connexion jus qu au serveur de messagerie les dialogues restent accessibles au serveur De plus on ne peut en g n ral pas garantir que le lien entre le serveur et l autre correspondant soit aussi chiffr Un adversaire qui en a les moyens pourra donc s adresser aux admins du serveur E 7 utilis voire aux organisations qui fournissent le r seau pour obtenir des informations sur les conversations Il pourra aussi tenter de pirater leurs machines RE er al Bes ee La confidentialit des dialogues reste donc fortement li e la confiance qu on met dans les serveurs de messagerie que l on utilise voire dans les infrastructures du r seau et en particulier notre fournisseur d acc s E Pour fortement compliquer la t che d un adversaire qui voudrait lire
187. ape attaquer Tor Angle d attaque exploiter les limites de l anonymat fourni par Tor par exemple en Moyens n cessaires tre capable de surveiller plusieurs points du r seau par exemple la connexion utilis e et le site consult Cr dibilit d une telle attaque un adversaire comme une entreprise qui cherche surveiller ses salari s a peu de chances de monter une telle attaque Idem pour les gendarmes de Saint Tropez Elle peut cependant tre la port e d un fournisseur de services r seau d envergure nationale ou mondiale voire de flics sp cialis s Encore une fois n oublions pas qu il y a une diff rence notable entre avoir la capacit technique de mettre en place une attaque et mettre effectivement en place une telle attaque Cette diff rence peut notamment tenir au co t conomique au retour sur investissement d une telle attaque cibl e Rappelons au passage que de nombreuses autres attaques contre Tor sont possibles ou envisag es Retenons surtout qu il est n cessaire de bien comprendre les objectifs 1 Jacques Follorou Le Monde 2014 Espionnage comment Orange et les services secrets coop rent http www lemonde fr international article 2014 03 20 dgse orange des liaisons incestueuses 4386264 3210 html 2 Contre certains des adversaires list s ici des solutions techniques moins pouss es que le rou tage en oignon peuvent suffire L utilisation d un VPN https fr wikipedia or
188. aque une solution efficace est d utiliser le routage en oignon 2 en utilisant le r seau Tor selon des modalit s qu on pr sentera plus loin Pour s assurer un maximum d anonymat il sera alors n cessaire de ne pas m langer ses activit s quotidiennes normales avec celles que l on souhaite plus discr tes afin ne pas cr er de liens entre nos diff rentes identit s contextuelles 8 3 2 Deuxi me tape regarder sur l ordinateur utilis Lorsque nous utilisons Tor l adversaire observant les donn es circulant sur le r seau ne peut pas savoir la fois d o viennent et o vont ces donn es et doit alors trouver un autre moyen d y parvenir Angle d attaque le plus praticable avoir acc s aux traces laiss es sur l ordinateur par les sites visit s Moyens n cessaires acc der l ordinateur utilis Cr dibilit d une telle attaque dans le cas d Alice qui utilise l ordinateur de son boulot cela est tr s facile pour son adversaire Dans d autres cas et selon l adversaire cela n cessite soit un cambriolage galement appel perquisition quand il est l gal soit de corrompre l ordinateur cible de l attaque par exemple pour y installer un logiciel malveillant rendre difficiles d acces les traces laiss es Ou mieux encore viter d s le d part de laisser des traces en utilisant un syst me live amn sique qui n enregistrera rien sur Vordinateur utilis 8 3 3 Troisi me t
189. aquets E va faire le m me genre de calcul et envoyer le paquet F Le r seau de F comprend des ordinateurs non seulement en Europe mais aussi aux tats Unis reli s par un c ble transatlantique F appartient une entreprise similaire celle qui g re E qui est pay e par l universit de Betty F envoie finalement le paquet au routeur de l universit qui l envoie l ordinateur de Betty Ouf voil notre paquet arriv destination Ainsi chaque paquet d information qui traverse Internet passe par plusieurs r seaux chaque fois un routeur joue le r le de centre de tri et l envoie un routeur voisin Au final chaque paquet passe par beaucoup d ordinateurs diff rents qui ap partiennent des organisations nombreuses et vari es De plus la topologie du r seau savoir son architecture la disposition des diff rents postes informatiques ainsi que leur hi rarchie changent au fil du temps Lorsque le lendemain Alice se connecte de nouveau l ordinateur de Betty les paquets que son ordinateur envoie ne prendront pas n cessairement le m me chemin que la veille Par exemple si le routeur E est teint la suite d une coupure de courant le routeur du FAI d Alice fera passer le paquet par D qui avait auparavant une route plus longue C est en agissant au niveau du routage que le gouvernement gyptien a fait couper Internet lors de la r volution de 2011 Les routeurs des principaux fournisseu
190. ar gz que l on peut t l char ger sur la page http cdimage debian org cdimage unofficial non free firmware wheezy current Utiliser une cl USB en plus d un CD ou d un DVD Si on utilise un CD ou un DVD pour r aliser l installation il est n cessaire de copier les microcodes suppl mentaires sur une cl USB II est possible d utiliser une cl USB contenant d ja des donn es mais cette cl ne doit pas tre chiffr e Pour cela il faut cr er dans la cl un nouveau r pertoire que l on baptisera firmware gt P a P gt et y extraire avec le Gestionnaire d archives le contenu de l archive que l on vient de t l charger Pour ce faire il suffit avec un systeme GNU Linux de double cliquer sur le fichier firmware tar gz qu on vient de t l charger Le Gestionnaire d archives s ouvre cli quer sur le bouton Extraire dans le menu du haut et choisir ensuite comme empla cement le dossier firmware de la cl USB en question On peut ensuite d monter la cl Utiliser une seule cl USB Si on r alise l installation a partir d une cl USB il est possible de copier les micro codes sur cette m me cl Pour cela il faut commencer par ouvrir l Utilitaire de disque partir du menu Appli cations Accessoires Puis e brancher la cl USB dans l ordinateur e s lectionner la cl USB dans la liste de gauche e dans la partie droite cliquer sur la zone indiqu e comme Libre sous l in
191. assrooms com informatique cours les reseaux de zero l attaque de 1 homme du milieu mitm 1 BASES SUR LES R SEAUX 15 1 3 3 Adressage Pour que les machines qu on connecte au r seau puissent communiquer avec le proto cole IP elles doivent avoir chacune une adresse IP Plut t que de configurer l adresse IP et les param tres du r seau manuellement sur chaque machine des logiciels et protocoles ont t d velopp s pour automatiser cette tape lors du branchement un r seau comme par exemple le protocole DHCP Pour fonctionner ce logiciel doit garder en m moire l association de telle carte r seau identifi e par son adresse mat rielle telle adresse IP Ce logiciel fonctionne souvent sur un petit ordinateur qui peut se trouver dans le m me bo tier que le switch comme par exemple dans une box internet mais il peut tre ailleurs sur le r seau local Cette correspondance entre l adresse IP et l adresse mat rielle n est utile que dans ce r seau local car elle est li e au protocole physique utilis en son sein Ces adresses mat rielles n ont donc aucune raison technique de circuler sur Internet mais cela arrive tout de m me 4 1 3 4 Connexion d autres r seaux Si la plupart des r seaux locaux sont de nos jours reli s Internet cela n est pas n cessaire des ordinateurs peuvent tout fait communiquer entre eux au sein d un r seau local sans connexion a Internet Ce qu on appelle Int
192. at riel de ordinateur que l on veut utiliser le noyau active un programme qu on appelle pilote ou driver en anglais Il existe des pilotes pour les p riph riques d entr e comme le clavier et la souris de sortie cran imprimante etc de stockage DVD cl USB etc Le noyau gere aussi l ex cution des programmes en leur donnant des morceaux de m moire et en r partissant le temps de calcul du processeur entre les diff rents pro grammes qui veulent le faire travailler Au dela du noyau les syst mes d exploitation utilis s de nos jours comme Windows Mac OS X ou GNU Linux avec Debian Ubuntu Fedora par exemple incluent aussi de nombreux utilitaires ainsi que des environnements de bureaux graphiques qui permettent d utiliser l ordinateur en cliquant simplement sur des boutons Le syst me d exploitation est en g n ral stock sur le disque dur Cependant il est aussi tout fait possible d utiliser un syst me d exploitation enregistr sur une cl USB ou grav sur un DVD Dans ce dernier cas on parle de syst me live vu qu aucune modification ne pourra tre faite sur le DVD 1 4 2 Les applications On appelle applications les logiciels qui permettent r ellement de faire ce qu on a envie de demander l ordinateur On peut citer comme exemple Mozilla Firefox comme navigateur web LibreOffice pour la bureautique ou encore GIMP ou Adobe Photoshop pour le traitement d images Chaque
193. ation sur l utilisation de GNU Linux Si elles sont souvent tr s utiles elles sont malheureusement comme beaucoup de choses sur Internet du reste de qualit in gale En particulier beaucoup d entre elles arr teront de fonctionner lorsqu une partie du systeme sera modifiee ou seront peu soucieuses de Vintimit que l on attend de notre syst me Il faut donc faire preuve d esprit critique et tenter de les comprendre avant de les appliquer Ceci dit voici encore quelques r f rences de wikis et des forums e Le wiki officiel de Debian partiellement traduit de l anglais e Le forum en fran ais sur Debian debian fr org e Andesi 7 un wiki et forum en fran ais sur Debian touche VerrMaj enfonc e auquel cas l on pourrait s acharner longtemps sur le clavier sans pour autant arriver d verrouiller le disque dur 11 http www debian org doc manuals debian reference index fr html 12 http www debian org doc user manuals 13 http formation debian via ecp fr 14 http debian handbook info browse fr FR stable 15 http wiki debian org 16 http forum debian fr org 17 http www andesi org CHAPITRE Choisir v rifier et installer un logiciel Cette partie propose quelques recettes propos de la gestion de ses logiciels Comment trouver un paquet Debian Lorsqu on cherche r aliser de nouvelles t ches avec un ordinateur on est souvent amen installer de nouveaux logiciel
194. au sein du r seau Ainsi la box qui permet a la plupart d entre nous d acc der a Internet est un petit ordinateur de m me les serveurs sur lesquels sont enregistr s les sites web sont aussi des ordina teurs D autres types d ordinateurs sp cialis s pourraient encore tre ajout s a cette liste on en d couvrira certains dans les pages qui viennent 1 1 2 Carte r seau Malgr leurs diff rences tous les ordinateurs connect s a un r seau ont n cessairement un point commun en plus du mat riel minimum qui compose un ordinateur ils Eee 7 jours plusieurs cartes r seau sont souvent int gr es dans tout ordinateur personnel I A di ASE 4 une filaire et une Wi Fi par exemple Chaque carte r seau poss de une adresse mat rielle qui l identifie de facon plus ou moins unique Dans la technologie filaire domestique appel e Ethernet comme dans la technologie sans fil Wi Fi adresse mat rielle est appel e adresse MAC L adresse MAC livr e avec la carte est con ue pour que la probabilit que deux cartes r seau ee poss dent la m me adresse mat rielle soit tr s faible 3 ce qui n est pas sans poser page 28 probleme en matiere d anonymat comme nous le verrons plus loin 1 1 3 Diff rents types de liens Les facons les plus courantes de connecter des ordinateurs personnels en r seau sont soit d y brancher un cable que l on appelle c ble Ethernet soit d utiliser des ondes radio avec le Wi
195. aucoup fait parler de lui les failles qui rendent ce genre de pira tage possible ne sont pas rares et n importe quel serveur peut tre touch Une fois introduits dans le serveur les pirates peuvent potentiellement avoir acc s distance a toutes les donn es enregistr es sur celui ci Attaque par d ni de service Sans saisir le serveur ni m me le pirater il est possible d emp cher celui ci de fonc tionner en le saturant l adversaire fait en sorte que de tr s nombreux robots tentent en permanence de se connecter au site attaquer Au del d un certain nombre de requ tes le logiciel serveur est d bord et n arrive plus r pondre le site est alors page 22 inaccessible On appelle cette attaque une attaque par d ni de service 0 Les robots ordinateurs personnels l insu de leurs propri taires 3 4 3 Sur le trajet Enfin un adversaire qui contr le une partie du r seau comme un fournisseur d acc s Internet peut couter ou d tourner des paquets de plusieurs mani res Filtrage 2 7 2 A r T Comme voqu pr c demment un adversaire qui contr le lun des routeurs par les page 28 L al quels passe le trafic entre un internaute et une ressource peut lire plus ou moins en p111 profondeur le contenu des paquets et ventuellement le modifier et ce d autant plus facilement s il n est pas chiffr De nos jours quasiment tous les fournisseurs d acces Internet pratiqu
196. aune quelque peu alarmiste et cliquer sur le bouton Supprimer Le gestionnaire de m dias virtuels ainsi que la fen tre de VirtualBox peuvent main tenant tre referm s Ber AU l eae 4 162 II OUTILS 22 5 Cr er une nouvelle machine virtuelle 4 partir d une image propre Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e selon la taille du disque L objectif de cette recette est de d congeler une image de disque virtuel propre pr alablement sauvegard e afin de l utiliser pour un nouveau projet comme le recom 22 5 1 Choix du nom Il faudra choisir un nom pour cette nouvelle machine virtuelle et les fichiers qui lui correspondent Ces fichiers tant situ s sur le systeme h te ce nom laissera quasi in vitablement des traces dessus m me une fois la machine virtuelle supprim e Il s agit donc de choisir ce nom en connaissance de cause 22 5 2 Copier l image de disque virtuel On ne peut pas simplement copier le fichier congel car VirtualBox se plaindrait qu on a deux disques virtuels identiques Il existe cependant une commande pour recopier un disque virtuel mais elle n est accessible que depuis la ligne de commande Commen ons donc par ouvrir un terminal Applications Accessoires Terminal Ensuite recopions l image pr c demment d cong
197. aussi parfois un d codeur de t l vision un disque dur etc 1 3 5 NAT et adresses r serv es pour les r seaux locaux Les organismes de standardisation d Internet se sont rendus compte dans les ann es 90 que le nombre d adresses IP v4 disponibles n allait pas tre suffisant pour faire face la croissance rapide du r seau Pour r pondre ce probl me on a r serv certaines plages d adresses pour les r seaux priv s qui ne sont pas utilis es sur Internet ce sont les adresses priv es 13 Utilis dans les r seaux IPv4 DHCP signifie protocole de configuration dynamique d h te Dynamic Host Configuration Protocol en anglais 14 L un des cas o l adresse mat rielle circule sur Internet est l utilisation de portails captifs dont on parlera plus tard page 28 16 I COMPRENDRE Ainsi la plupart des box assignent aux ordinateurs qui s y connectent des adresses commen ant par 192 16815 Plusieurs r seaux locaux peuvent utiliser les m mes adresses IP priv es au contraire des adresses IP sur Internet qui doivent tre uniques au niveau mondial Les paquets portant ces adresses ne peuvent pas sortir du r seau priv tels quels Ces adresses priv es ne sont donc utilis es que sur le r seau local ma machine a PIP 192 168 0 12 sur le r seau local mais semblera utiliser l adresse IP de la box pour les autres machines avec qui elle communiquera par Internet par exemple 203 0 113 48
198. authentification des logiciels et des communications personnelles comme des courriers lectroniques en utilisant le standard OpenPGP Elles ne sont h las pas utilis es couramment pour authentifier des sites web bien que ce soit possible techniquement 18 Les toiles de confiance permettent donc de se pr munir des attaques de l homme n cessitent de publier des liens entre identit s ce qui a des cons quences qui ne sont pas toujours souhaitables 6 5 Confidentialit persistante Comme on l a vu quiconque poss de une cl secr te peut l utiliser pour d chiffrer propri t tr s utile mais qui dans certains cas peut se r v ler embarrassante Admettons qu une personne mal intentionn e enregistre une conversation en ligne chiffr e entre deux personnes Elle ne pourra bien s r rien lire du contenu de cette conversation dans l imm diat Mais elle peut avoir l id e de s introduire ensuite chez ces personnes ou dans leur ordinateur et de mettre la main sur leurs cl s priv es Dans ce cas elle sera en mesure de lire a posteriori toutes les conversations pass es qu elle aura conserv es Ce fut le cas il y a quelques ann es lorsque les admins du serveur autistici org se rendirent compte lors d un proc s que la police avait mis la main sur les cl s secr tes install es sur leur serveur parce qu ils produisaient au dossier des changes d emails qu ils n auraient normalement pas d tre capables de lire
199. b On voit m me apparaitre des systemes d exploitation comme Chrome OS concus enti rement selon ce principe Ce mouvement ce d placement du logiciel install sur Vordinateur vers le web est notamment une r ponse aux soucis d incompatibilit des logiciels de licences et de mises jour En effet plus besoin d installation une simple connexion a Internet et on dispose via un navigateur web de la plupart des applications traditionnelles traitement de texte tableur messagerie lectronique agenda collaboratif systeme de partage de fichiers lecteur de musique etc Ainsi Google Drive permet entre autres de r diger des documents ou bien de faire sa comptabilit en ligne Mais ce service permet galement de la partager avec des amis des coll gues etc 1 L expos d ouverture de la conf rence de O Reilly et Battelle sur le Web 2 0 cit par Wiki p dia 2014 Web 2 0 https fr wikipedia org wiki Web 2 0 est un bel exemple de d finition trop technique 4 l J 50 I COMPRENDRE Certains vont m me jusqu a voir dans cette possibilit d acc der a ces outils en ligne depuis n importe quel ordinateur dans n importe quel pays et n importe quelle heure une facon de concilier le travail avec d ventuelles probl mes m dicaux m t orologique voir m me en cas de pand mie Plus besoin d aller au bureau un ordinateur connect Internet suffit reconstituer imm diatement l env
200. bien un syst me live Lorsqu il demande le secret on peut coller le contenu du presse papier l aide du menu Edition Coller Appuyer ensuite sur la touche Entr e pour valider la com mande Chaque personne partageant le secret devra conserver l une des lignes affich es en suite Cela dans leur int gralit en prenant galement bien en note le premier chiffre suivi du tiret Voici un exemple avec la cl al atoire g n r e pr c demment partag e entre 6 per sonnes et qui n cessitera que 3 d entre elles se r unissent pour la retrouver ssss split t 3 n 6 Generating shares using a 3 6 scheme with dynamic security level Enter the secret at most 128 ASCII characters Using a 352 bit security level 1 b8d576a1a8091760b18f125e12bb6f2b1f2dd9d93f7072ec69b129b27bb8e97536ea85c7f6dcee7b gt 4399ea49 2 af83f0af05fc207e3b466caef30ec4d39c060800371feab93594350b7699a8db9594bfc71ed9cd2b lt gt f314b738 3 4718cb58873dab22d24e526931b061a6ac331613d8fe79b2172213fa767caa57d29a6243ec0e6cf7 4 7b6cbb64 4 143alefcde7f4f5658415a150fcac6da04f697ebfeb9427b59dca57b50ec755510b0e57ccc594e6b gt laleeb04 5 fca1250b5cbec40ab14964d2cd7463af34c389f81158d1707b6a838a500977d957be38f83e8eefb7 9266e74a 6 ebf7a305f14bf3143b801a222cc1c857b7e8582119374925274f9f335d283677f4c002f8d68bcce7 lt gt 22ebbalf 20 1 4 Cr er le support chiffr transcrire en l ayant sous les yeux 20 PARTAGER UN SECRET 151 20 2 Reco
201. ble de poster un commentaire que ce soit sur un blog un forum ou autre site participatif Pour ce genre de publication l inscription n est pas forc ment obligatoire mais cela ne veut en aucun cas dire que la publication est anonyme si l on ne prend pas de pr cautions particuli res comme par exemple utiliser le routage en oignon De plus notre texte tant un commentaire et non un sujet principal il n est pas forc ment mis en avant sur le site Te T q l Il est aussi possible de publier un texte sur un site ou un blog existant Il faudra alors l envoyer au site en question via un formulaire ou par email et la publication d pendra alors du ou des admins Certains sites proposent la publication libre d articles sur un th me donn 14 2 2 Publier un blog ou autre site Si l on souhaite publier r guli rement des textes on peut alors choisir d administrer un blog de nombreuses organisations proposent des blogs d j configur s et faciles utiliser On pourrait galement administrer un site web cette m thode demande toutefois un peu d apprentissage Dans de nombreuses villes des groupes de personnes s int ressant au logiciel libre ou la libert d expression sur Internet peuvent tre de bon conseil Quelques listes sont aussi disponibles sur le web e une liste d h bergeurs de blogs sur l annuaire ouvert dmoz http www dmoz org World Francais Informatique Internet Weblogs Outils H bergement e u
202. ble sur le site web https guide boum org Dur e 10 minutes environ Il est extr ment rapide de rendre inaccessible le contenu d une partition LUKS le format de stockage standard des cl s de disques chiffr s sous GNU Linux page 371 Certains logiciels de chiffrement d un disque complet ont en effet la capacit de d x truire la cl de chiffrement rendant ainsi le contenu chiffr incompr hensible Vu que la cl contient une part minuscule d informations et peut tre d truite presque ins tantan ment cette m thode est une alternative bien plus rapide l crasement de l ensemble des donn es Ceci dit cette option n est r alisable que si le disque dur a d j t chiffr Si les donn es confidentielles contenues sur le disque ne sont pas d ja chiffr es il est n ces N a 1 4 page 130 saire d effacer le disque entier comme expliqu pr c demment avant de pouvoir s en L d barrasser ou le r utiliser en toute tranquillit A Attention Sur une cl USB ou tout autre support de stockage utilisant de la m moire flash cette m thode ne permet pas de garantir que les donn es ainsi re a T couvertes soient r ellement rendues inaccessibles Il est donc nettement plus s r de page 130 recouvrir plusieurs fois l int gralit des donn es de la cl 17 7 1 Rep rer la partition en question Comme dans le cas pr c dent si l on souhaite effacer un d
203. boum org Serveur a web Sch ma d une requ te web 1 6 3 Le logiciel serveur Afin d envoyer a Alice la page web demand e le serveur recherche alors celle ci dans sa m moire sur son disque dur ou la fabrique Les pages consultables sur le web n existent pas forc ment sous une forme telle qu on peut la voir sur notre ordinateur avant qu on ait demand a y acc der Elle sont sou vent g n r es automatiquement 4 la demande On parle alors de site web dynamique par opposition au site web statique dont les pages sont crites par avance LLL Par exemple si l on cherche ouistiti moteur virtuose dans un moteur de recherche tome 184 1 1 il n a pas encore la r ponse en r serve Le serveur ex cute alors le code source du site pour calculer la page contenant la r ponse avant de nous l envoyer Sur le serveur il y a donc un logiciel qui fonctionne et qui r pond lorsqu on lui oon fait une requ te Ce logiciel serveur est sp cifique a chaque application c est lui qui pi age 11 comprend le protocole applicatif Dans le pr sent exemple ce logiciel recherche et sert l ordinateur d Alice la page web on l appelle donc un serveur web 1 6 4 L h bergement des serveurs plus bas Les serveurs ordinateurs sur lesquels fonctionnent les logiciels serveurs voqu s connexion au r seau et d une alimentation lectrique tr s fiable des centres de don n es ou data center en an
204. box qt et virtualbox dkms L 22 1 3 V rifier l installation Lancer VirtualBox partir du menu Applications Accessoires VirtualBox Une fen tre s ouvre et nous souhaite la bienvenue dans VirtualBox Refermons la car nous avons encore quelques pr paratifs faire avant de nous servir de ce logiciel 22 1 4 Cr er un dossier pour sauvegarder les images propres E q 2 page 68 Comme expliqu dans le cas d usage on aura plus tard envie de sauvegarder des L ds AL aS images de syst mes propres Cr ons d s maintenant un dossier pour cela par exemple en ajoutant dans le Dossier personnel accessible depuis le menu Raccourcis un dossier Disques virtuels propres A 22 INSTALLER ET UTILISER UN SYSTEME VIRTUALIS 157 22 2 Installer un Windows virtualis Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e 20 minutes environ plus le temps d installer Windows de 30 minutes plus d une heure Avant tout chose se munir d un CD d installation de la version de Windows appro pri e et l ins rer dans le lecteur CD DVD Si une fen tre affichant le contenu du CD s ouvre automatiquement la refermer ou l ignorer 22 2 1 Pr parer l installation sur VirtualBox Depuis le bureau aller dans Applications Accessoires VirtualBox Le programme d marre Clique
205. ce http www legifrance gouv fr donnera une liste exhaustive des textes de loi concernant ce domaine Fate ae 7 page 19 E ell 42 I COMPRENDRE On peut galement vouloir s assurer de la provenance de nos donn es en assurer V authenticit Concr tement apres la lecture de ces pages on peut comprendre a quel point il est beeen complexe de s assurer que les logiciels que l on souhaite installer sur nos ordinateurs page 24 maient pas t modifi s en route afin d y introduire des logiciels malveillants 5 2 1 La puissance du hachoir L essentiel des techniques pour assurer l int grit ou l authenticit reposent sur des outils math matiques que la cryptographie a baptis s fonctions de hachage Ces derni res fonctionnent comme des hachoirs capables de r duire n importe quoi en tout petits morceaux Et si notre hachoir fonctionne bien pour tre utilis en cryptographie on sait que e avec les petits morceaux impossible de reconstituer l objet original sans essayer tous les objets de la terre e le m me objet une fois pass au hachoir donnera toujours les m mes petits mor ceaux e deux objets diff rents doivent donner des petits morceaux diff rents Lorsque ces propri t s sont r unies il nous suffit alors de comparer les petits morceaux issus de deux objets pour savoir s il taient identiques Les petits morceaux qui sortent de notre hachoir s appellent plus couramment un
206. ce des dispositifs visant D prot ger un ordinateur particuli rement sensible contre les intrusions provenant du page 131 r seau autant len d brancher On peut m me parfois retirer physiquement la carte 7 D FINIR UNE POLITIQUE DE S CURIT 53 7 3 2 Liste blanche liste noire Le r flexe courant lorsqu on prend connaissance d une menace est de chercher a s en pr munir Par exemple apr s avoir d couvert que tel logiciel laisse des traces de nos activit s dans tel dossier on nettoiera r guli rement cet emplacement Jusqu d couvrir que le m me logiciel laisse aussi des traces dans un autre dossier et ainsi de suite C est le principe de la liste noire une liste des dossiers o sont enregistr s les fichiers temporaires de logiciels qui envoient des rapports etc cette liste est compl t e au fil des d couvertes et des mauvaises surprises sur cette base on essaie de faire au mieux pour se pr munir de chacune de ces menaces Autrement dit une liste noire fonctionne sur la base de la confiance sauf dans certains cas Le principe de la liste blanche est inverse car c est celui de la m fiance sauf dans certains cas On interdit tout sauf ce qu on autorise explicitement On interdit l en registrement de fichiers sur le disque dur sauf a tel endroit tel moment On interdit aux logiciels d acc der au r seau sauf certains logiciels bien choisis Voila pour les principes de base Toute polit
207. ce sera l adresse publique La box se charge de modifier les paquets en cons quence gr ce la traduction d adresse r seau NAT pour Network Address Translation 1 4 Internet des r seaux interconnect s Internet signifie interconnected networks c est dire interconnexion de r seaux Comme son nom le sugg re le terme Internet d signe la connexion entre eux de nombreux r seaux de taille variable comparables aux r seaux locaux dont on vient de parler Chacun de ces r seaux est appel syst me autonome ou AS pour Autonomous System 1 4 1 Des syst mes autonomes Un syst me autonome peut typiquement tre celui d un fournisseur d acc s Internet par exemple Free ou SFR Chaque box qui sert connecter un r seau local do mestique Internet fait ainsi partie du r seau du fournisseur d acc s qui est lui m me interconnect d autres syst mes autonomes pour former Internet Les organisations qui h bergent des sites Internet par exemple Dailymotion ou Google et celles qui g rent les gros tuyaux comme les c bles transatlantiques par lesquels passent une grande partie des flux de donn es de l Internet poss dent aussi leurs propres syst mes autonomes Syst me Autonome du Fournisseur d Acc s Internet 1 rre a Be Ye A ZA La ai E ed La Routeur Es K NY o Server A LAN Mai E e area A a ak Internet est une inter connexion de reseaux autonomes
208. ces chiffr es seront alors laiss es sur le disque dur de l ordinateur Mais de la m me mani re que pour un webmail il faudra veiller v rifier les certificats 10 8 Echanger des emails confidentiels et authentifi s On souhaite ici cacher le contenu de nos emails afin d viter qu une autre personne que la destinataire ne puisse les lire ce qui peut tre utile lorsque le contenu de nos messages est sensible ou qu il en dit long sur la personne l ayant r dig Pour d finir notre politique de s curit il nous faut envisager l utilisation du chiffre ment selon plusieurs modalit s 10 8 1 Premiere tape demander aux factrices Sans mesure de protection particuli re les services d h bergement d email pourront lire le contenu des emails qui nous sont destin s En effet ce sont sur leurs serveurs que sont achemin s et stock s nos emails Message en clair Message en clair Message en clair 7 N La La J o o ZS j gt Ordinateur d Alice Serveur de exemple org Serveur de fai net Ordinateur de Betty Connexion non chiffree aux serveurs mail 98 II CHOISIR DES R PONSES ADAPTEES Nos messages peuvent tre ainsi conserv s pendant des ann es jusqu que nous les rapatrions ou les supprimions voire plus longtemps encore si l un des serveurs en fait une copie dans le cadre d une sauvegarde par exemple D o l importance notam ment de fermer des bo tes mail une fois leur raison
209. cet outil qui est disponible sur le site web https guide boum org Dur e un quart d heure une demi heure Les paquets Debian qui contiennent les programmes se trouvent dans ce qu on appelle des d p ts Si les d p ts fournis avec Debian contiennent quasiment tous les logiciels dont on peut avoir besoin il est parfois utile d installer de nouveaux d p ts comme backports debian org qui contient des programmes plus r cents que ceux inclus dans la distribution stable de Debian ou deb multimedia org qui contient des codecs et des logiciels multim dia non libres ou interdits dans certains pays par exemple pour des questions de brevets A Attention ajouter un nouveau d p t Debian sur un ordinateur revient a d cider de faire confiance aux gens qui s en occupent Si les d p ts de backports debian org sont maintenus par des membres de Debian ce n est pas le cas pour de nombreux autres ven d p ts La d cision de leur faire confiance ne doit pas se prendre a la l g re si le page 24 d p t en question contient des logiciels malveillants il serait possible de les installer sur l ordinateur sans m me s en rendre compte 16 4 1 Authenticit du contenu des d p ts Les d p ts Debian sont sign s par des cl s GnuPG Ceci afin de s assurer que leur contenu n a pas t alt r par malveillance ou simple probl me technique Cette section traite rapidement de comment chercher et v rifier une c
210. cher un en t te LUKS qui n aurait pas t bien effac en tapant nouveau cryptsetup luksDump LE P RIPH RIQUE CHIFFR Si len t te a bien t effac le terminal renvoie soit aucune r ponse soit LE P RIPH RIQUE CHIFFR n est pas un p riph rique LUKS valide 17 EFFACER DES DONN ES POUR DE VRAI 135 17 8 Rendre irr cup rables des donn es d ja supprim es Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e 5 minutes de pr paration puis de plusieurs minutes plusieurs heures d at tente selon la taille du disque nettoyer et selon la m thode utilis e Lorsque des fichiers ont d j t effac s sans pr cautions particuli res les donn es qu ils contenaient se trouvent toujours sur le disque L objectif de cette recette est de recouvrir les donn es qui subsisteraient en crasant l espace libre d un disque dur Attention Comme les autres fa ons d effacer un fichier pour de vrai cela ne marche pas avec certains systemes de fichiers intelligents qui pour tre plus efficaces ne vont pas montrer tout l espace libre au logiciel charg d y recouvrir les traces Voir ce sujet la premi re partie Il ne faut pas non plus faire confiance cette Dans Tails Le paquet nautilus wipe est d j install par
211. cliquer sur OK Une fen tre de t l chargement s ouvre alors Quand le t l chargement est termin on peut fermer celle ci Nous sommes pr sent de nouveau sur le site du projet Tor 12 1 3 T l charger la signature du programme page 62 Nous allons present t l charger la signature du fichier pour pouvoir l authentifier L a page 63 Pour ce faire il faut faire un clic droit sur sig situ juste au dessous du bouton Be 1 Download Tor Browser Bundle et gauche du menu d roulant de selection de la langue Cliquer sur Enregistrer la cible du lien sous une fen tre nous demande de choisir o enregistrer ce nouveau fichier Il faut l enregistrer dans le m me dossier que le fichier pr c dent par d faut dans T l chargements Une fois la signature t l charg e on peut fermer la fen tre des t l chargements et la fen tre du site du projet Tor page 131 12 1 4 V rifier l authenticit du programme Importer la cl OpenPGP qui signe le Tor Browser Bundle Erinn Clark lt erinn torproject org gt 0x63FEE659 Il faut tre attentif qu il s agisse de la bonne cl tant donn que des petits plaisan tins pas forc ment bien intentionn s s amusent a publier des cl s GnuPG pour cette identit Le projet Tor maintient une page web https www torproject org docs signing keys html en en anglais listant les v ritables cl s utiliser C est un bon point de d part pour ne pas se trompe
212. coller dans le champ d entr e de mot de passe A administrateurs voir admins admins 16 adresse IP 13 15 adresse MAC voir adresse mat rielle adresse mat rielle 10 adresse priv e 15 adresse publique 15 ADSL 10 anonymity set 73 ARPANET 9 AS voir syst me autonome B backbone voir pine dorsale box 15 bridge voir switch C carte r seau 10 Claws Mail voir client mail client de messagerie voir client mail client mail 94 commutateur voir switch Cookie 26 Cookie Flash voir Local Shared Ob ject D deep packet inspection voir examen approfondi des paquets DHCP 15 DNS voir nom de domaine domaine de premier niveau 44 DPI voir examen approfondi des pa quets 41 E en t te 28 encapsulation 12 pine dorsale 18 Ethernet 10 examen approfondi des paquets 29 45 Index F Facebook 35 FAI voir fournisseur d acces Internet fibre optique 10 filoutage voir hameconnage filtrage 45 firewall voir pare feu Flash 26 fournisseur d acc s Internet 15 G Google 35 H hameconnage 43 HTTP 93 HTTPS 93 I IMAP 20 93 IMAPS 20 93 Internet Protocol 12 interop rabilit 11 IP voir Internet Protocol IPv4 voir Internet Protocol IPv6 voir Internet Protocol IRC 20 L LAN voir r seau local Local Shared Object 26 LSO voir Local Shared Object M MAC voir adresse mat rielle modem 10 15 N NAT 15 nom de d
213. conseill es lorsque l on souhaite conserver son anonymat cela restreindra les h bergeurs utilisables Il est aussi possible d h berger nous m mes notre do cument gr ce aux services cach s de Tor page 71 ils i permettent de rendre disponible un serveur web ou un i autre type de serveur sans avoir r v ler son adresse i IP Ils n utilisent pas d adresse publique et peuvent i donc fonctionner ais ment m me derri re un pare i feu page 20 ou une autre box faisant de la traduction i d adresse r seau NAT page 18 La proc dure est un peu complexe On ne la documentera pas en d tail i dans cette dition du guide mais une traduction fran 1 caise du site web de Tor http tor hermetix org i docs tor hidden service html fr est une bonne base pour tenter l aventure Dans la plupart des cas la publication se fera grace un navigateur web On suivra donc la piste navigateur web du cas d usage pr c dent de l h bergeur en utilisant une connexion chiffr e 9 3 4 Troisi me tape regarder sur l ordinateur utilis Cet angle d attaque est similaire celui d crit dans la section regarder sur l ordi nateur utilis du cas d usage pr c dent Nous ne pouvons donc que vous inviter aller lire et relire ce chapitre 9 3 5 Quatri me tape attaquer Tor En d sespoir de cause l adversaire peut aussi tenter d attaquer Tor voir la sectio
214. d autres protocoles de transport de ces paquets Adresse IP Pour que cela fonctionne tout ordinateur connect au r seau doit avoir une adresse qui est utilis e pour lui envoyer des paquets l adresse IP Cette adresse doit tre unique au sein d un r seau En effet si plusieurs ordinateurs du r seau avaient la m me adresse le r seau ne pourrait pas savoir quel ordinateur envoyer les paquets On peut comparer l adresse IP un num ro de t l phone chaque poste t l phonique doit avoir un num ro de telephone pour qu on puisse l appeler Si plusieurs postes t l phoniques avaient le m me num ro de t l phone il y aurait un probl me Les adresses utilis es depuis les d buts d Internet se pr sentent sous la forme de quatre num ros s par s par un point on parle d adresses IPv4 Une adresse IPv4 ressemble 203 0 113 12 Ces adresses IPv4 ont t standardis es une poque o les ordinateurs personnels n taient pas si r pandus il y a 4 milliards d adresses IPv4 possibles et cela semblait amplement suffisant tel point qu elles ont t utilis es sans parcimonie Depuis le nombre d adresses possibles est devenu trop petit par rapport la quantit d ordi nateurs utilis s de nos jours Pour cette raison dans un futur proche une nouvelle norme est suppos e se g n raliser IPv6 qui permet de connecter beaucoup plus d ordinateurs Internet sans que deux d entre eux n
215. d faut dans Tails Il nous suffit donc de consulter la documentation en cliquant sur l ic ne Documentation de Tails se trouvant sur bureau Dans le menu droite cliquer sur Documentation Puis dans l index qui s ouvre chercher la section Chiffrement et vie priv e et cliquer sur la page Effacer des fichiers de facon s curis e et nettoyer l espace disque avec Nautilus Wipe Avec une Debian chiffr e Si ce n est pas d ja fait il nous faut installer le paquet voir page 120 nautilus wipe Il nous faut ensuite ouvrir un navigateur de fichiers puis naviguer jusqu au disque que l on veut nettoyer Effectuez ensuite un clic droit dans la partie droite du navigateur de fichiers et s lectionnez Ecraser l espace disque disponible Une fen tre s ouvre nous demandant de confirmer la suppression de l espace disque disponible et proposant galement quelques Options Nous pouvons choisir le nombre de passes effectu es afin de recouvrir les donn es de notre p riph rique ainsi que quelques options de comportement lors de l effacement des donn es Les options par d faut sont suffisantes pour les disques durs actuels Cliquer ensuite sur Ecraser l espace disque disponible L effacement peut prendre du temps Remarquons qu un fichier appel 00000000 000 est cr dans le dossier Nau tilus Wipe va en augmenter la taille autant que possible afin d utiliser tout l espace libre disponible puis l crasera de mani re s c
216. dans Windows ou en sortir a priori et partir de cette r gle g n rale on autorise des exceptions au cas par cas en r fl chissant leur impact La virtualisation permet de mettre en place ce type de syst mes C est un ensemble de techniques mat rielles et logicielles qui permettent de faire fonctionner sur un seul ordinateur plusieurs syst mes d exploitation s par ment les uns des autres presque comme s ils fonctionnaient sur des machines physiques distinctes Il est ainsi relativement facile de nos jours de faire fonctionner Windows l int rieur d un syst me GNU Linux en lui coupant par la m me occasion tout acc s au r seau et en particulier en l isolant d Internet Attention il est conseill de lire l int gralit de ce chapitre avant de se pr cipiter sur les recettes pratiques la description de l hypoth se qui suit est assez longue et ses limites sont tudi es la fin de ce chapitre o des contre mesures sont envisag es Il serait quelque peu dommage de passer quatre heures suivre ces recettes avant de se rendre compte qu une toute autre solution serait en fait plus ad quate Commen ons par r sumer l hypoth se propos e L id e est donc de faire fonctionner Windows dans un compartiment a priori tanche l int rieur d un syst me Debian chiffr tel que celui qui a pu tre mis en place la suite de la lecture du cas d usage pr c dent Ce qui servira d
217. dans un logiciel en apparence inoffensif C est ainsi qu un simple lien vers une vid o post sur un r seau social li a la r volution syrienne amenait en fait les internautes t l charger un virus contenant un keylogger L at taquant n est alors pas oblig de trouver des vuln rabilit s s rieuses dans des logiciels courants Il est particulierement difficile de s assurer que des ordinateurs partag s par de nombreuses personnes ou des ordinateurs qui se trouvent dans des lieux publics comme une biblioth que ou un cybercaf n ont pas t corrompus il suffit en effet qu une seule personne un peu moins vigilante se soit faite avoir 4 Pour plus de d tails nous recommandons la lecture de ces deux articles Marc Rees 2009 LOPPSI la police sera autoris e installer des chevaux de Troie http www pcinpact com actu news 51027 police opj cheval troie loppsi htm et Marc Rees 2009 Les che vaux de Troie de la police seront installables distance http www pcinpact com actu news 51077 loppsi chevaux troie police distance htm et ventuellement du texte de loi L gifrance 2011 Section 6 bis De la captation des donn es informatiques http www legifrance gouv fr affichCode do cidTexte LEGITEXT000006071154 amp idSectionTA LEGISCTA000023712495 amp dateT0exte 20110428 5 Toute cette partie est grandement inspir e du passage consacr amp la question dans le Sur veillance Self Defense Guide http
218. de faire transiter des informations entre nos interlocuteurs et de les faire parvenir bon port reste s accorder sur un dernier point la langue utilis e sur la carte postale page 191 Aussi est il n cessaire que dans les changes informatiques les applications utilisent une langue commune Pour cela elles s accordent sur l usage de protocoles applicatifs similaires Des protocoles encapsul s En r alit ces protocoles sont employ s simultan ment lors d une communication chacun d entre eux ayant un r le dans l acheminement des informations Il est courant de repr senter ces diff rents protocoles en couches qui se superposent Couche application La langue utilis e sur notre carte postale Couche r seau L acheminement par la Poste Couche physique Le code de la route l aiguillage a rien Des protocoles encapsul s De fait lorsqu on communique par courrier notre communication se base sur l cri ture puis sur acheminement par la Poste qui se base elle m me sur diff rents moyens de transport De mani re similaire une application Internet utilisera un protocole applicatif pr cis sera aiguill e gr ce l usage de protocoles r seau et parcourera les diff rentes infrastructures en respectant les protocoles physiques en vigueur On parle d encapsulation mettre dans une capsule le protocole applicatif est en capsul dans le protocole de communication protocole l
219. de la commande Et comme l ordinateur effectue exactement ce qui est demand si on change la com mande il fera exactement autre chose 11 5 Un exercice On va cr er un fichier vide nomm essai qu on va ensuite supprimer sans recou vrir son contenu Dans un terminal entrer la commande touch essai Et taper sur Entr e pour que l ordinateur l ex cute La commande touch donne l ordre de cr er un fichier vide argument essai donne le nom de ce fichier Aucune option n est utilis e On peut alors v rifier que ce fichier a t cr en lancant la commande 1s qui signifie lister ls 11 UTILISER UN TERMINAL 89 Une fois la commande lanc e l ordinateur r pond avec une liste Sur celui utilis pour les tests cela donne Bureau essai Bureau est le nom d un dossier qui existait d ja avant et essai le nom du fichier qu on vient de cr er Un autre ordinateur auraient pu r pondre avec de nombreux autres fichiers en plus de Bureau et de essai Ce que r pond la commande ls n est qu une autre mani re de voir ce que l on peut obtenir par ailleurs En cliquant sur le bureau sur l ic ne du Dossier personnel on pourra noter dans le navigateur de fichiers l apparition d une nouvelle ic ne repr sen tant le fichier essai que l on vient juste de cr er On va maintenant supprimer ce fichier La ligne de commande pour le faire a pour
220. de la lutte men e par l industrie de l audiovisuel contre le t l charge ment ill gal a la veille technologique les entreprises observent et analysent en temps r el et de mani re automatis e des centaines de sources sites d actualit bases de d pot de brevets blogs d experts afin de conna tre rapidement les derni res avanc es technologiques et de rester les plus comp titives possible Les entreprises sont loin d tre les seules scruter Internet Les Etats de la justice aux services secrets en passant par les diff rents services de police sont m me certainement les plus curieux De plus en plus de pays mettent en place des lois visant rendre possible l identifi cation des auteurs de toute information qui circule sur Internet Mais cela va plus loin encore Les agences de renseignement et autres services secrets ne se contentent plus d espionner quelques groupes ou personnes qu elles considerent comme des cibles la limite de la l galit la NSA agence de renseignement tats unienne collecte toutes sortes de donn es sur les personnes nous pensons que cela concernerait des millions de personnes 1 Parmi ses objectifs examiner quasiment tout ce que fait un individu sur Internet 13 et tablir un graphe social c est dire le r seau de connexions et de relations entre les gens 14 En g n ral ils analysent les r seaux situ s deux degr s de s paration de
221. des jeunes de 13 15 ans habitant Birmingham en Angleterre et ayant la boisson comme centre d int r t De plus Facebook indique que la cible choisie comporte approximativement une centaine de personnes La so ci t Facebook exploite ainsi les donn es qu elle collecte de ses membres de mani re fournir une publicit qui peut tre tr s cibl e 5 La publicit cibl e est d ailleurs l une des raisons qui a pouss les acteurs Internet diversifier leurs services et leurs activit s afin de collecter toujours plus d informations sur le comportement des utilisateurs sur Internet Par exemple Google fournit des services de recherche Il a rachet des soci t s de publicit comme DoubleClick Il a r cemment lanc un service Google Suggest int gr son navigateur Chrome qui envoie Google l ensemble des pages web visit es par les internautes m me quand ces derniers n y ont pas acc d via le moteur de recherche etc 6 Pour se donner une id e de l importance des enjeux notons que Google a rachet la soci t Doubleclick pour la somme de 3 1 milliards de dollards Cette accumulation de donn es et leur traitement permet galement Google de trier et d adapter les r sultats aux suppos s centres d int r t de linternaute Ainsi pour une recherche identique deux personnes ayant un profil diff rent n obtiendront pas le m me r sultat ce qui a pour effet de renforcer chaque
222. des sites de rencontres o plus on est honn te meilleurs sont les r sultats ici plus on fournit du contenu plus on utilise cette plateforme meilleures sont les interactions Ceci est d autant plus vrai qu utiliser son nom d tat civil fait partie des r gles de r seaux comme Facebook qui met en place diff rents m canismes pour traquer les pseudonymes Ces entreprises poussent jusqu au bout le business model de la pu blicit cibl e et de la vente de profils ils mettent en place diff rents proc d s techniques de captation de l identit des usagers depuis l identit fond e sur leurs d clarations jusqu l identit agissante 1 et l identit calcul e fond e sur l analyse de leurs comportements sites visit s nombre de messages etc Il appara t que l ano nymat total devient impossible dans un univers virtuel o les usagers sont avant tout des consommateurs qu il s agit d observer 1 Ainsi en juillet 2011 Max Schrems a r ussi obtenir l ensemble des donn es dont Facebook dispose sur lui en invoquant une directive europ enne Le dossier qu il a 11 Fanny Georges 2008 Les composantes de l identit dans le web 2 0 une tude s miotique et statistique Communication au 76 me congr s de PACFAS Web participatif mutation de la communication Qu bec Canada http hal archives ouvertes fr hal 00332770 12 Alain Rallet et Fabrice Rochelandet 2010 Exposition de soi et d cl
223. dinateur n est pas reli Internet ou si la connexion est de mauvaise qualit on peut demander au syst me d utiliser un DVD d installation de Debian comme d p t de paquets Si ce n est pas le cas passer directement l tape suivante Pour cela reprendre le Terminal administrateur et taper la commande suivante apt cdrom add Il faut ensuite ins rer le DVD et appuyer sur la touche Entr e On peut garder le terminal ouvert il devrait nous resservir sous peu 23 GARDER UN SYSTEME A JOUR 173 D sactiver l conomiseur d cran Lors de la mise jour l economiseur d cran peut se bloquer et laisser l cran ver rouill Il est donc prudent de le d sactiver pour le temps de la mise jour Pour cela ouvrir Economiseur d cran partir du menu Syst me Pr f rences Dans la fen tre qui s ouvre d cocher Activer l conomiseur d cran quand l ordinateur est inactif Fermer cette fen tre Lancer la mise jour proprement dite La mise jour se fait en plusieurs tapes que l on pilotera l aide du Terminal administrateur Notre premi re commande dit au gestionnaire de paquets d une part que nous pr f rons qu il nous pose le moins possible de questions concernant les d tails de la mise jour d autre part que ces questions doivent tre pos es dans une interface graphique enfin qu on ne veut pas voir l historique des changements
224. disque 17 EFFACER DES DONN ES POUR DE VRAI 133 peut aussi indiquer que le type de partition est inconnu ou parfois indiquer un type plus courant ext3 NTFS Une fois la partition chiffr e a effacer rep r e sur le sch ma cliquer dessus Son chemin appara t alors sous le sch ma droite c t de l tiquette P riph rique C est ce chemin que nous allons noter Nous l appellerons LE P RIPH RIQUE CHIFFR Ce doit tre quelque chose comme dev sdx9 17 7 2 Ouvrir un terminal administrateur 17 7 3 V rifier le premier rep rage et r cup rer la taille de l en t te LUKS Dans le terminal la commande cryptsetup luksDump donne plein d informations sur l en t te LUKS dont sa taille sur le disque en secteurs de 512 octets Taper donc en remplacant LE P RIPH RIQUE CHIFFR par la valeur d termin e ci dessus cryptsetup luksDump LE P RIPH RIQUE CHIFFR Dans le cas o on se serait tromp de p riph rique le terminal ne renvoie soit aucune r ponse soit LE P RIPH RIQUE CHIFFR n est pas un p riph rique LUKS valide Si l on ne s est pas tromp on doit plut t se voir r pondre quelque chose comme LUKS header information for dev sdx2 Version 1 Cipher name aes Cipher mode cbc essiv sha256 Hash spec shal Payload offset 4096 MK bits 256 MK digest a4 79 85 49 1f 3f 71 e5 le c6 07 14 88 Oc 02 27 59 80 25 58 MK salt b7 bl 2a 5d
225. diversit renfor ant ainsi l efficacit du r seau Tor dans son ensemble Cependant les n uds ne sont pas gaux devant l attention qu ils peuvent attirer Si un relai plac en premiere ou seconde position d un circuit Tor ne peut pas trop tre dommageable pour Alice en France un n ud de sortie est en revanche plus susceptible d attirer l attention sur sa connexion Les flics pourraient s int resser son relai et ventuellement venir perquisitionner chez elle voire saisir son ordinateur parce qu ils font une enqu te sur quelqu un qui est pass par son n ud de sortie pour des activit s suspectes Il est bien s r possible de configurer Tor pour que son relai ne puisse pas tre un n ud de sortie et serve uniquement de premier ou de second relai Les relais Tor sont consid r s l galement comme des routeurs et par cons quent Alice n est pas tenue de garder des journaux c est dire de garder la trace des com munications entre une IP et une autre C est une bonne chose car m me si un relai Tor pris isol ment ne sait pas grand chose si le r seau Tor se trouvait petit petit compos en bonne partie de relais qui gardent des journaux il serait plus facile de red couvrir les circuits a posteriori 7 2 2 Monter un bridge Tor Il est aussi tr s utile de mettre un place des bridges Tor Il s agit de relais particuliers qui ne sont pas list s dans les annuaires publics du r seau Tor Ils peuven
226. document 9 1 Contexte Apr s avoir termin la r daction d un document sensible on souhaite le publier sur Internet tout en conservant notre anonymat le fait qu il ne puisse tre associ aucun nom ou notre pseudonymat le fait qu il ne puisse tre associ qu un nom choisi et diff rent de notre nom civil En prime on voudrait pouvoir y inclure une adresse de contact public correspondant ce pseudonyme 9 2 Evaluer les risques 9 2 1 Que veut on prot ger Le contenu du document est public On ne s int resse donc pas a sa confidentialit Par contre on cherche cacher les liens entre le document et les personnes qui l ont r dig C est donc ici anonymat ou le pseudonymat qui nous int resse 9 2 2 Contre qui veut on se prot ger Comme dans le cas d usage pr c dent nous chercherons ici nous prot ger des regards indiscrets qui chercheraient a savoir qui fait quoi sur le web On fera d autant plus attention aux traces laiss es qu il s agit justement ici de publier un document dont on suppose qu il peut d plaire une ou plusieurs personnes ayant un certain pouvoir de nuisance Il est alors probable que d bute une recherche d indices pour tenter de retrouver le ou les auteurs du document par exemple en adressant des requ tes l gales l h bergeur 9 3 D finir une politique de s curit Nous allons traiter successivement la publication de documents puis l utilisation d u
227. domwalker info publications author identification draft pdf en anglais 56 I COMPRENDRE s int resser l identification de l auteur parmi un tr s grand nombre de possibilit s en d autres termes il d montre que la stylom trie peut tre employ e pour confirmer Porigine d un texte sur la base d un tres grand nombre d chantillons Cependant crire en essayant de masquer son style sans expertise particuli re semble permettre de rendre inefficaces les analyses stylom triques Imiter le style de quelqu un d autre permet m me de les tromper dans plus de la moiti des cas D autres chercheurs d veloppent des logiciels qui sugg rent les modifications a effec tuer pour anonymiser un texte 10 5 3 La compartimentation Comme on vient de le voir de nombreuses possibilit s d attaques permettent de faire correspondre une identit civile et une identit contextuelle L utilisation d un seul et m me nom pour ses diff rentes activit s est sans doute la pratique la plus m me de nous confondre Face cela il est donc important de bien r fl chir l usage que l on a de ses pseu donymes Il est souvent dangereux de m langer plusieurs identit s contextuelles sous un m me pseudo La meilleure pr vention reste de les s parer clairement des le d part afin de limiter les ennuis par la suite Apr s tout une pratique ou une identit qui peut tre utilis e un moment donn peut d un coup se transform
228. du support de stockage externe cl USB ou disque dur Pour effectuer les copies avec r gularit et sans trop y passer de temps il est recom mand 19 144 II OUTILS e d avoir quelque part une liste des fichiers et dossiers sauvegarder e de se fabriquer un petit calendrier des jours ou semaines o l on fera ses sauve gardes avec des cases que l on cochera apres les avoir faites Une bonne pratique consiste cr er un dossier avec la date de la sauvegarde pour y copier les donn es Cela permet de garder facilement plusieurs sauvegardes si on le souhaite et de supprimer tout aussi facilement les sauvegardes pr c dentes 19 1 2 Restaurer une sauvegarde Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e selon la quantit de donn es restaurer En cas de perte des donn es originales la restauration se fait aussi simplement que la sauvegarde en effectuant des copies dans l autre sens 19 1 3 S assurer que les sauvegardes sont toujours lisibles Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e environ 5 minutes attendre que la v rification se fasse Si l on a effectu nos sauvegardes sur un support de stockage externe
229. dus 45 Fabrice Epelboin 2011 Kadhafi espionnait sa population avec l aide de la France http reflets info kadhafi espionnait sa population avec 1 E2 80 99aide de la france 46 Reflets info 2011 Qatar Le Finger tendu bien haut d Amesys http reflets info gatar le finger tendu bien haut damesys 47 Jean Marc Manach 2011 Amesys surveille aussi la Framce http owni fr 2011 10 18 amesys surveille france takieddine libye eagle dga dgse bull 48 legifrance 2011 Article 4 de la loi LOPPSI 2 http www legifrance gouv fr affichTexteArticle do idArticle JORFARTI000023707337 amp cidTexte JORFTEXT000023707312 amp dateTexte 29990101 49 Tribunal de Grande Instance de Paris 2011 jugement en r f r du 14 octobre 2011 ordonnant le blocage Copwatch http www pcinpact com media 20111014 tgi paris copwatch pdf 42 I COMPRENDRE En f vrier 2012 le tribunal ordonnait le blocage de l un des 35 sites miroirs que le minist re de l Int rieur voulait faire bloquer Par contre le tribunal n a pas ordonn le blocage des 34 autres miroirs r f renc s par le minist re de l Int rieur car ce dernier n indique pas s il a tent ou non d identifier leurs diteurs et leurs h bergeurs ni celui des sites miroirs qui pourraient appara tre 3 4 1 Bloquer l acc s au fournisseur de ressources Penchons nous maintenant sur les diff rents moyens qui permettent de bloquer l acc s
230. e Bon nombre des solutions techniques retenues seront expliqu es dans la partie suivante vers laquelle nous renverrons au besoin Vu qu ils s inscrivent tous dans le contexte hors connexions de ce premier tome ces cas d usage auront quelque chose d artificiel ils partent tous du principe que les ordinateurs en jeu ne sont jamais connect s des r seaux et en particulier Internet CHAPITRE Cas d usage un nouveau d part pour ne plus payer les pots cass s ou comment faire le m nage sur un ordinateur apr s des ann es de pratiques insouciantes 8 1 Contexte Prenons un ordinateur utilis sans pr cautions particuli res pendant plusieurs ann es Cette machine pose sans doute un ou plusieurs des probl mes suivants 1 son disque dur conserve des traces ind sirables du pass 2 le syst me d exploitation est un logiciel propri taire exemple Windows et truff de logiciels malveillants Par ailleurs des fichiers g nants y sont stock s de facon parfaitement transparente En effet cet ordinateur est utilis pour diverses activit s populaires parmi lesquelles certaines osons l avouer sont parfaitement l gales telles que e couter de la musique et regarder des films pris sur Internet e aider des sans papiers pr parer leurs dossiers pour la pr fecture e dessiner une jolie carte de v ux pour Mamie e fabriquer de menus faux papiers simplifiant grandement les d marches adminis
231. e conserv es dans ces journaux La notion de fournisseur de service Internet peut ainsi tre entendue de fa on assez large un cybercaf est un fournisseur de service Internet qui fournit aussi une machine pour acc der au r seau Au del des obligations l gales il est probable que de nombreux fournisseurs de ser vices Internet conservent de plus ou moins grandes quantit s d information sur les internautes qui utilisent leurs services notamment pour la publicit cibl e Comme vu pr cedemment certaines entreprises telles Google Yahoo ou Facebook sont particu li rement connues pour cela Cependant tant donn que ce mod le de fourniture de services adoss s de la publicit est quasiment devenu la norme 18 on peut supposer que nombre d autres font de m me plus discr tement Au Royaume Uni un FAI a ainsi cr une pol mique lorsqu il est apparu qu il gardait la trace de l ensemble des pages web visit es par ses abonn s pour tester une techno logie de profilage destin e offrir de la publicit comportementale 1 20 Le serveur qui h berge le contenu utilis page web bo te mail et le fournisseur d acc s Internet sont particuli rement bien plac s pour disposer des informations permettant d identifier qui est l origine d une requ te de connexion En France ce sont eux qui sont particuli rement vis s par les lois de r tention de donn es 3 2 2 Les journaux con
232. e somme de contr le ou une empreinte Elle est g n ralement crite sous une forme qui ressemble f9f5a68a721e3d10baca4d9751bb27f0ac35c7ba Vu que notre hachoir fonctionne avec des donn es de n importe quelle taille et de n importe quelle forme comparer des empreintes peut nous permettre de comparer plus facilement des images des CD des logiciels etc Notre hachoir n est pas magique pour autant On imagine tout de m me bien qu en r duisant n importe quoi en petits cubes de taille identique on peut se retrouver avec les m mes petits cubes issus de deux objets diff rents Cela s appelle une collision Ce carambolage math matique n est heureusement dangereux que lorsqu il est possible de le provoquer ce qui est d j arriv pour plusieurs fonctions de hachage apr s quelques ann es de recherche 5 2 2 V rifier l int grit d un logiciel Prenons un exemple Alice a crit un programme et le distribue sur des CD que l on peut trouver dans des clubs d utilisateurs de GNU Linux Betty a envie d utiliser le programme d Alice mais se dit qu il aurait t tr s facile pour une administration mal intentionn e de remplacer un des CD d Alice par un logiciel malveillant Elle ne peut pas aller chercher un CD directement chez Alice qui habite dans une autre ville Par contre elle a rencontr Alice il y a quelque temps et conna t sa voix Elle lui t l phone donc et Alice lui donne la somme de contr le
233. e SD ou une cl USB suffisent rome 1 14 2 1 Apres avoir t l charg Tails il nous faudra v rifier l image ISO afin de s assurer que en le t l chargement s est bien d roul l 0 2 0 Une fois la v rification effectu e on peut proc der l installation sur une cl USB ES aves A SS 8 CONSULTER DES SITES WEB 85 une carte SD ou un DVD 8 6 2 D marrer Tails E A Maintenant que l on a install Tails on peut red marrer et commencer l utiliser 1 tome 1 14 4 L eu uw sans alt rer le syst me d exploitation pr sent sur l ordinateur 8 6 3 Se connecter Internet Une fois le d marrage de Tails achev c est dire une fois que le bureau a termin x 70 gas 7 de s afficher il ne nous reste plus qu nous connecter a Internet afin d aller naviguer page 115 SS eee NE ee ee L sur le web 8 6 4 Limites Une telle solution repose sur l utilisation de Tor et de Tails et h rite donc des limites de ces deux outils Concernant les limites de Tor elles ont t voqu es pr c demment dans le paragraphe an EEE 7 Troisieme tape attaquer Tor page 81 L ul Pour les limites de Tails vous trouverez une liste approfondie d avertissements sur le site web du projet https tails boum org doc about warning index fr htmll Nous ne pouvons que vous inviter a lire et relire attentivement ces deux documents CHAPITRE Publier un
234. e base de donn es centralis e recensant les sites consid r s comme malveillants et peut donc poser des probl mes de discr tion le serveur h bergeant cette liste aura n cessairement connaissance des sites que l on visite 3 4 2 Attaquer le serveur Une autre cat gorie d attaques consiste pour l adversaire a s en prendre a l ordi nateur qui h berge la ressource qui l int resse Ca peut se faire physiquement ou distance Saisie de serveurs Il s agit tout simplement pour un adversaire qui en a les moyens par exemple la police ou la justice d aller l ot se trouve l ordinateur auquel il s int resse L adversaire peut ts alors s emparer de la machine ou copier les donn es qu elle abrite Il pourra ensuite tome ch 2 tudier toutes les traces qui ont t laiss es dessus par les personnes qui s y sont meet connect es du moins si son disque dur n est pas chiffr tome 1 5 1 A 4 Au moins quatorze serveurs ont t saisis par la justice en Europe entre 1995 et 2007 57 Ainsi en 2007 un serveur de Greenpeace Belgique a t emmen par la police belge suite une plainte pour association de malfaiteurs d une compagnie d lectricit belge 58 contre laquelle l organisation cologiste avait appel manifester Piratage de serveurs Comme tout ordinateur un serveur peut tre pirat cela consiste pour l attaquant s introduire par effraction dans
235. e ce soit un navigateur web un logiciel de messagerie instantan e un lec teur de musique etc Ainsi le nombre de ports ouverts dans le cadre d une connexion a Internet peut tre tr s lev et fermer son navigateur web est souvent loin d tre suffisant pour couper toute connexion au r seau Plus il y a de ports ouverts plus il y a de points par lesquels s infiltrer dans un ordinateur connect au r seau C est le r le habituellement d volu aux pare feu firewall en anglais que de ne laisser ouverts que cer tains ports d finis dans leur configuration et de rejeter les requ tes allant vers les autres 1 6 Des clients des serveurs Historiquement dans les ann es 80 chaque ordinateur connect Internet fournissait une partie d Internet Non seulement il servait aller voir des choses sur Internet mais il proposait galement des informations des donn es et des services aux autres utilisateurs connect s Internet il faisait Internet autant qu il y acc dait Le tableau g n ral est tr s diff rent de nos jours On a vu qu il existe des ordinateurs allum s en permanence qui se chargent de relier des bouts d Internet entre eux les routeurs De m me il y a une autre cat gorie d ordinateurs allum s en permanence qui eux contiennent presque toutes les donn es et services disponibles sur Internet On appelle ces ordinateurs des serveurs car ils servent des informations et des services
236. e d sir que nos faits gestes et pens es ne soient pas automatiquement voire pas du tout reli s notre identit civile Pour autant il peut tre n cessaire ou simplement pr f rable de savoir qui on s adresse pour entamer une discussion sur un forum ou envoyer des emails par exemple Dans ces cas la avoir une identit c est a dire tre identifiable par notre correspondant simplifie la communication 5 1 D finitions Pour commencer deux d finitions e l anonymat c est ne pas laisser appara tre de nom e le pseudonymat c est choisir et utiliser un nom different de son nom civil De par son fonctionnement il est tr s difficile d tre anonyme ou de rester un pseu donyme sur Internet 5 1 1 Pseudos Un pseudo c est une identit qui n est pas celle assign e un individu par l tat civil On peut choisir de se faire appeler Spartacus Amazone enrag e Zi gouigoui ou m me Jeanne Dupont En conservant un m me pseudonyme lors de diff rents changes nos interlocuteurs auront de bonnes chances de penser que les divers messages crits par ce pseudo viennent de la m me personne ils pourront alors nous r pondre mais ne pourront pas venir nous casser la gueule en cas de d saccord Il faut n anmoins tre conscient lors du choix d un pseudonyme que celui ci peut en lui m me tre un indice qui permet de remonter la personne qui l utilise au moins pour les perso
237. e de s en servir pour quelques usages communs Notre propos dans ce second tome pour autant ne sera pas de d finir dans les moindres d tails ce qu est Internet Tout au plus fournira t on quelques l ments de compr hension suffisants pour permettre au lecteur d y naviguer ambigu t du terme qui renvoie autant la navigation sur le web qu la possibilit de s orien ter dans un espace complexe l aide d outils adapt s Ou le retour du sextant et de la boussole Commen ons par le d but Internet est un r seau Ou plut t un ensemble de r seaux connect s entre eux qui partir d une obscure application vis e militaire s est tendu au fil de dizaines d ann es au monde entier R seau qui a vu se multiplier les applications les usages et les usagers les technologies et les techniques de contr le Certains ont pu disserter l infini sur le nouvel ge qui s ouvrait les suppos es possibilit s d horizontalit et de transparence dans la diffusion de l information et des ressources ou dans l organisation collective auxquelles a pu ouvrir cette nouvelle technologie y compris dans l appui qu il pouvait offrir pour les luttes politiques Cependant comme il semble vident que les pouvoirs n aiment pas ce qui peut leur chapper m me partiellement il s est d velopp en m me temps que l expansion des usages une expansion des techniques de contr le de surveillanc
238. e de s curit ad quate sa propre situation 7 1 Une affaire de compromis On peut toujours mieux prot ger ses donn es et ses communications num riques Il n y a de limite ni aux possibilit s d attaque et de surveillance ni aux dispositifs qu on peut utiliser pour s en prot ger Cependant chaque protection suppl mentaire qu on veut mettre en place correspond un effort en termes d apprentissage de temps non seulement un effort initial pour s y mettre pour installer la protection mais aussi bien souvent une complexit d utilisation suppl mentaire du temps pass taper des phrases de passe a effectuer des proc dures p nibles et r p titives porter son attention sur la technique plut t que sur l usage qu on voudrait avoir de l ordinateur Dans chaque situation il s agit donc de trouver un compromis convenable entre la facilit d utilisation et le niveau de protection souhait Parfois ce compromis n existe tout simplement pas on doit parfois conclure que les efforts qui seraient n cessaires pour se prot ger contre un risque plausible seraient trop p nibles et qu il vaut mieux courir ce risque ou bien tout simplement ne pas utiliser d outils num riques pour stocker certaines donn es ou pour parler de certaines choses D autres moyens existent l efficacit prouv e de longue date certains manuscrits de la Bible ont surv cu des si cles durant enfouis dans des jarres
239. e des donn es doivent tre chiffr es ou d chiffr es la m moire vive contient galement la cl de chiffrement Toute personne qui dispose de la cl de chiffrement pourra lire tout ce qui a t chiffr avec et aussi s en servir pour chiffrer elle m me des donn es Il faut donc faire attention aux l ments suivants 4 Le syst me LUKS utilis sous GNU Linux permet m me d utiliser plusieurs versions chiffr es de la cl de chiffrement Chacune de ces versions pourra tre chiffr e avec une phrase de passe diff rente ce qui permet plusieurs personnes d acc der aux m mes donn es sans pour autant avoir a retenir le m me secret 5 Un article en anglais sur un proc s ot la police avoue son impuissance face au chiffrement Phi lip Willan 2003 PGP Encryption Proves Powerful http www pcworld com article 110841 article html 5 LA CRYPTOGRAPHIE 41 e Le syst me d exploitation et les logiciels ont acc s aux donn es et la cl de chiffrement autant que nous alors cela d pend de la confiance qu on met en eux encore une fois il s agit de ne pas installer n importe quoi n importe comment en clair les donn es sur lesquelles on a travaill depuis l allumage de l ordinateur m me si elles sont chiffr es sur le disque Mais elle contient surtout comme dit plus haut la cl de chiffrement qui peut donc tre recopi e Donc il vaut mieux s habituer quand on ne s en sert pas a
240. e disque dur Windows c est en fait un gros fichier rang c t de tous nos autres fichiers sur le disque dur de notre syst me Debian chiffr Ce fichier qui n a vraiment rien de particulier nous le nommons une image de disque virtuel parfois abr g par une image de disque 1 Pour plus d informations voir la page Wikip dia 2014 Virtualisation https fr wikipedia org wiki Virtualisation T 4 70 II CHOISIR DES R PONSES ADAPTEES Le fait que ce pseudo disque dur soit un fichier nous simplifiera grandement la vie par la suite qui d crit plus pr cis ment la proc dure envisag e Installer VirtualBox page 1561 La recette installer Virtual Box explique comment installer le logiciel VirtualBox L 4 qui nous servira lancer Windows dans un compartiment tanche Installer un Windows propre dans VirtualBox page 157 Preparons une image de disque virtuel propre la recette installer un Windows des le d part tout acces au r seau A partir de ce moment l on qualifie Windows de syst me invit par le systeme Debian chiffr qui lui est le systeme h te Installer les logiciels n cessaires dans le Windows propre Autant installer des maintenant dans le Windows propre tout logiciel non compromettant n cessaire la r alisation des ceuvres pr m dit es ca vitera de le refaire au d but de chaque nouveau projet et ca vitera souhaitons le ard
241. e en place une bonne politique de sauvegardes e d finir une m thode pour effectuer r guli rement ses sauvegardes e tester de temps autre si les sauvegardes sont toujours bien lisibles Ce dernier aspect est vraiment ne pas n gliger Perdre les donn es originales est sou vent p nible S apercevoir ensuite que les sauvegardes ne permettent pas de restaurer ce qu on a perdu transforme la situation en catastrophe Dans le m me ordre d id e cela parait galement une bonne id e de ne pas stocker les sauvegardes au m me endroit que les donn es originales Sinon on risque que les deux soient perdues ou d truites simultan ment 19 1 Gestionnaire de fichiers et stockage chiffr R aliser des sauvegardes est avant tout une question de rigueur et de discipline Dans les cas simples on peut se passer de logiciels sp cialement pr vus pour r aliser des sauvegardes et se contenter simplement d effectuer des copies avec le gestionnaire de fichiers 19 1 1 Effectuer les sauvegardes Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e pour la premi re fois le temps de chiffrer le support de stockage et de d cider des fichiers sauvegarder et ensuite cela d pend de la quantit de donn es sauvegarder Le chiffrement de nos sauvegardes sera assur par le chiffrement
242. e et de r pression dont les cons quences se font de plus en plus sentir Au cours de l ann e 2011 pour la premi re fois des gouvernements ont organis la d connexion de la quasi totalit de leurs habitants vis vis du r seau mondial L Egypte comme l Iran puisque c est d eux qu il s agit ont estim que pour mieux iv contenir les r voltes qui prenaient place sur leurs sols ils avaient tout int r t limiter au maximum les possibilit s de communication par le r seau ce qui ne les a pas emp ch s dans le m me mouvement de chercher organiser la surveillance et le pistage sur le r seau L Iran fut ainsi capable de mettre en place un systeme d analyse de trafic demandant des ressources importantes pour surveiller les opposants connus ou non tablir une cartographie de leurs relations et plus tard confondre et condamner les r volt s qui utilisaient le r seau pour s organiser Autre exemple depuis la mise en place d une version chinoise de Google en 2006 et jusqu en 2010 l entreprise acceptait la politique du gouvernement chinois de filtrage des r sultats de recherche Des m thodes similaires ont aussi cours dans des pays dits d mocratiques Ainsi la fin de l t 2011 apr s plusieurs journ es d meutes Londres deux jeunes anglais ont t condamn s 4 ans de prison pour avoir appel sur Facebook A des rassemblements dans leurs quartiers et ce alors m me que leur
243. e eux par des technologies tr s diverses allant du cable de cuivre a la fibre optique en passant par le sans fil Mais pour nous derri re notre petit cran Internet c est avant tout ce qu il nous permet de faire visiter des sites web envoyer des emails tchatter avec des gens ou t l charger des fichiers De nouvelles applications apparaissent en permanence et seule imagination humaine semble en limiter les possibles Comprendre comment fonctionne Internet et comment s y prot ger c est donc d cortiquer un minimum cette complexit afin de comprendre comment ces mat riaux communiquent entre eux mais aussi comment fonctionnent les diverses applications qu on y utilise 1 1 Des ordinateurs branch s entre eux Assez t t dans l histoire de l informatique il est apparu n cessaire notamment dans le travail universitaire et dans le domaine militaire de faire en sorte que des ordinateurs puissent partager des ressources ou des informations et ce a des distances de plus en plus grandes Ainsi sont n s les r seaux informatiques On a d abord reli des ordinateurs les uns aux autres dans un lieu restreint g n ralement une universit une entreprise ou un site militaire puis on a reli ces lieux entre eux Aux Etats Unis la fin des ann es 60 est cr ARPANET Advanced Research Projects Agency Network un r seau qui reliait les universit s dans tout le pays Pour sa mise en place et son am lioration o
244. e fichiers 16 33 systeme d exploitation 15 systeme h te 70 systeme invite 70 systeme live 34 68 99 T terminal 85 traces 19 transistor 10 Transmission 100 TrueCrypt 30 U UEFI 13 61 upgrade voir mise jour USB 13 V veille 20 VirtualBox 70 156 virtualisation 69 virus 24 W watermarking voir signature st gano graphique Windows 68 157 wipe voir crasement des donn es Photo page 10 de Darkone licence CC BY SA 2 5 trouv e sur https secure wikimedia org wikipedia fr wiki Fichier ASRock_K7VT4A_Pro_Mainboard jpg Photo page 10 domaine public trouv e sur https secure wikimedia org wikipedia fr wiki Fichier Pentium 60 back jpg Photo page 12 domaine public trouv e sur https secure wikimedia org wikipedia fr wiki Fichier DDR_RAM 3 jpg Photo page 12 domaine public trouv e sur https secure wikimedia org wikipedia fr wiki Fichier Hdd wscsi jpg Photo page 13 de Zac Luzader Codeczero licence CC BY 3 0 trouv e sur https secure wikimedia org wikipedia fr wiki Fichier AT Motherboard RTC and BIOS jpg tome 1 hors connexions nous n avons pas envie d tre contr lables par quelque Big Brother que ce soit Qu il existe d j ou que l on anticipe son mergence le mieux est sans doute de faire en sorte qu il ne puisse pas utiliser contre nous tous ces mer veilleux outils que nous offrent ou que lui offrent les technologies num riqu
245. e la transmettre nos correspondants Voir comment exporter une cl 18 4 3 Publier sa cl publique sur les serveurs de cl s Si l existence de l identit contextuelle laquelle correspond la cl n est pas elle m me confidentielle on pourra publier notre cl publique sur un serveur de cl s afin que quiconque d sirant nous envoyer des emails chiffr s puisse la t l charger cette fin Pour cela cliquer sur Sychroniser et publier des cl s dans le menu Distant Une fen tre Synchroniser les cl s appara t Si elle affiche Aucun serveur de cl s n a t choisi pour publier vos cl s ne seront donc pas mises disposition des autres cliquer sur Serveurs de cl s et choisir un serveur dans le menu d roulant en face de Publier les cl s sur puis cliquer sur Fermer Cliquer alors sur Synchroniser pour publier la cl 18 4 4 Obtenir l empreinte d une cl Si l on transmet notre cl publique par un moyen non authentifi par exemple un courrier lectronique non sign il peut tre utile de faire parvenir notre corres pondant 1 empreinte de notre cl par un moyen authentifi afin qu il s assure de son int grit L empreinte est accessible dans l onglet D tails disponible en double cliquant sur une cl On pourra par exemple la noter sur un papier qu on donnera en main propre notre correspondant 18 4 5 G n rer un certificat de r vocation et le conserver l abri Si
246. e ne vois absolument pas ce que j aurais voir l dedans ni ce dont il s agit J espere bien Enfin bref c est la police de faire son travail d sormais Je vous rappellerai si j ai des nouvelles de leur part D accord je ferais de m me s ils appellent ici Au revoir Alice repose le combin h b t e Se gratte la t te Mais qu est ce donc que cette histoire de documents bancaires Qui aurait pu faire a Commissariat central de Paris quelques semaines plus tard Commissaire Mathias Lui m me Officier Nerret l appareil Je vous appelle propos de l affaire Ala voine On a eu un fax des coll gues de la technique et scientifique qui ont les ordinateurs saisis entre les mains Et on a du neuf Allez y Nerret Je vous coute Apparement les coll gues ont fini par retrouver le document sur un des ordinateurs Il a t t l charg depuis le navigateur et modifi I y aurait eu une connexion une bo te mail dont l adresse correspond une certaine Alice chez Gmail ainsi qu une autre adresse email chez no log cette fois ci peu de temps avant la publication des documents incrimin s Ah tr s bien Mais vous ne comptez pas prendre un annuaire et inter roger toutes les Alice de La Reboute quand m me Non on va d abord la retrouver puis utiliser l annuaire Quel humour officier On va demander Gmail ainsi qu no log les
247. e nouvelle fois lui indiquer des commandes Quand l invite r appara t on peut alors saisir une derni re commande pour lib rer de l espace disque apt get clean 174 II OUTILS Premier red marrage Le moment est maintenant venu de red marrer le syst me Dans notre terminal administrateur taper la commande reboot et appuyer sur la toucher Entr e R activer les d p ts Debian suppl mentaires On peut maintenant souffler Le plus gros est fait Il reste toutefois encore quelques petits ajustements Si l on d sactiv des d p ts non officiels avant la mise jour c est le moment de v rifier qu on en a toujours besoin avec la nouvelle version de Debian Si oui Fi de q 2 2 2 page 122 les r activer On peut galement r activer l conomiseur d cran si on l a d sactiv L mi auparavant Prendre en main le nouveau syst me Apres le red marrage on se retrouve dans la nouvelle version de Debian Si l on a un ordinateur suffisamment puissant on se retrouve avec un nouvel environnement de bureau appel Gnome Shell auquel on mettra peut tre un peu de temps s habituer Pour une introduction cette nouvelle interface on pourra consulter l aide en cliquant sur Activit s en haut gauche de l cran puis sur Applications Accessoires et enfin Aide S assurer que le nouveau syst me fonctionne correctement Il peut tre utile de s ass
248. e par cet ouvrage comme toute parole de guide se doit d tre prise avec des pincettes d autant plus longues que ses implications sont importantes A algorithme 38 application 15 architecture 11 archivage 77 argument 86 authenticit 41 B backdoor voir porte d rob e backports 123 biblioth que 15 binaire 11 BIOS 13 61 boot voir d marrage bug 20 C cache 33 carte m re 10 chemin d un fichier 86 cheval de Troie 24 chiffrement 37 chiffrer un syst me 105 chiffrer une cl 137 cl de chiffrement 38 40 code source 29 cold boot attack 19 40 61 collision 42 confidentialit 37 CPU voir processeur cryptanalyse 37 cryptographie 37 cryptographie asym trique 43 cryptographie sym trique 43 cryptologie 40 D Debian 15 105 D j Dup 145 d marrage 93 disque dur 12 32 distribution 30 Index d p t de paquets 122 E crasement des donn es 32 effacement 32 lectricit 14 empreinte voir somme de contr le en t te LUKS 40 enregistreur de frappe 26 espace d change voir m moire vir tuelle ext2 ext3 16 F FAT32 16 fonction de hachage 42 force brute 63 format de fichiers 17 formatage 16 34 G GNU Linux 15 30 GnuPG 39 H hachage 42 HADOPI 25 hibernation 20 historique 20 I imprimante 27 installation d un logiciel 115 installation d un syst me 105 installeur 105 int grit 41 J jour
249. e probleme avec l approche liste blanche est d emp cher l ex cution de tout programme qui n a pas t enregistr au pr alable ou de limiter les possibilit s d action de chaque programme ces techniques nomm es Mandatory Access Control n cessitent aussi de maintenir des listes mais il s agit dans ce cas de listes blanches et le sympt me d une liste obsol te sera le dysfonctionnement d un logiciel plut t que le piratage de l ordinateur Aussi il est bien plus int ressant de se donner les moyens lorsque c est possible de s appuyer sur des listes blanches les plus vastes possible afin de pouvoir faire plein de choses chouettes avec des ordinateurs dans une certaine confiance Et de s appuyer quand la liste blanche ad quate n existe pas sur des listes noires solides de provenance connue en gardant en t te le probleme intrins que cette m thode listes noires qu on aidera ventuellement compl ter en partageant nos d couvertes 1 Les expressions liste blanche et liste noire peuvent voquer une dimension raciste que ce soient les termes en eux m mes ou leur hi rarchisation Cependant il nous a sembl peu judicieux de ne pas utiliser les termes consacr s et actuellement utilis s par tous les programmes modes d emploi et autres documentations techniques 54 II CHOISIR DES R PONSES ADAPTEES 7 3 3 On n est pas des robots Certaines pratiques tr s exigeantes peuvent tre di
250. e quasi permanente et quasi exhaustive pour toutes sortes de traces qui parlent de nous de ce que nous faisons avec qui et com ment d s qu on utilise un ordinateur 1 2 5 Les autres p riph riques Avec uniquement un processeur de la m moire vive et un support de stockage on obtient d j un ordinateur Pas tr s causant par contre Donc on lui adjoint g n ra lement d autres p riph riques comme un clavier une souris un cran un adaptateur r seau avec ou sans fil un lecteur de DVD etc Certains p riph riques n cessitent des puces suppl mentaires afin que le processeur puisse y acc der Ces puces peuvent tres soud es directement au circuit de la carte m re c est typiquement le cas pour le clavier ou alors n cessiter l ajout d un circuit suppl mentaire livr sous forme de carte dite fille Afin de r duire le nombre de puces sp cifiques et donc co teuses et compliqu es a mettre au point les syst mes d acc s aux p riph riques tendent a s uniformiser Par exemple la norme USB pour Universal Serial Bus est de plus en plus utilis e pour connecter imprimantes claviers souris disques durs suppl mentaires adaptateurs r seaux ou ce qu on appelle couramment des cl s USB 1 2 6 Le micrologiciel Y Une puce de micrologiciel Award BIOS sur une carte m re Pour d marrer l ordinateur il faut donner au processeur un premier programme pour pouvoir charger les programmes a
251. e se retrouvent avec la m me adresse IP L adresse IP est une information extr mement utile pour quiconque cherche sur veiller ce qui se passe sur un r seau car elle identifie un ordinateur du r seau de fa on unique un instant donn sans pour autant tre une preuve r elle 1 contre une personne un ordinateur peut tre utilis par plusieurs personnes Elle peut n an moins indiquer l origine g ographique d une connexion donner des indices amorcer ou confirmer des suspicions 1 3 Les r seaux locaux On peut faire des r seaux sans Internet D ailleurs les r seaux informatiques sont apparus bien avant Internet Dans les ann es 60 des protocoles r seau comme HP 7 Un autre protocole couramment utilis pour la transmission est UDP pour User Datagram Protocol utilis notamment quand il est n cessaire de transmettre des donn es tr s rapidement quitte en perdre une partie comme pour la t l phonie sur Internet les micro coupures dans la communication entrain es par de l g res pertes de donn es seront imperceptibles pour les utilisateurs comme c est le cas avec la t l phonie classique 8 Une adresse IPv6 ressemble 2001 0db8 85a3 0000 0000 8a2e 0370 7334 9 Cette nouvelle norme pose de nouveaux probl mes vis vis de notre anonymat en ligne F Florent 2011 Journal IPv6 et cons quences sur l anonymat https linuxfr org users ffourcot journaux ipv6 et cons quences sur lanon
252. el e avec la commande s gt VBoxManage clonehd SAUVEGARDE NOUVEAU DISQUE Nous allons pr sent voir comment construire cette ligne de commande car il faut remplacer SAUVEGARDE par le chemin d acc s la sauvegarde du disque virtuel et NOUVEAU DISQUE par le chemin du nouveau disque Attention Si l on souhaite taper les noms de fichiers la main il faut savoir que les chemins sont relatifs au dossier de VirtualBox si l on ne change pas les options il s agit de VirtualBox Pour corriger cela on pourra par exemple mettre des chemins absolus La fa on la plus simple de faire est de commencer par taper VBoxManage clonehd Ensuite il faut ajouter un espace Puis avec la souris attraper l ic ne du disque virtuel d congeler dans le dossier Disques virtuels propres et la l cher au dessus du terminal Pour ajouter le nouveau disque on recommence l op ration avec l ic ne du dossier VirtualBox VMs L affichage devrait pr sent ressembler VBoxManage clonehd home LOGIN Disques virtuels propres Sauvegarde propre de gt Windows XP vdi home LOGIN VirtualBox VMs 22 INSTALLER ET UTILISER UN SYSTEME VIRTUALIS 163 Un espace a t ajout automatiquement avec l insertion du chemin On va le sup primer pour ajouter ensuite le nom du nouveau disque en crivant par exemple Projet1 Projetl vdi Au final cela doit ressembler d assez pres
253. eleases wheezy installmanual fr html On suivra celui correspondant l architecture du proces seur page 10 112 II OUTILS d administration de l ordinateur mises a jour installation de logiciels modifications majeures du syst me etc Il est toutefois possible de s pargner un mot de passe suppl mentaire et de per mettre que le premier compte cr sur le systeme ait le droit de faire des op rations d administration Pour cela il suffit de ne pas entrer de mot de passe pour le super utilisateur laisser simplement la case vide Cela dit ce choix doit tre bien pes au pr alable souvent il est plus simple d utiliser cette m thode notamment parce qu il n y a pas un mot de passe suppl mentaire retenir Cependant dans sa configuration par d faut elle peut permettre a n importe quel programme lanc dans ce compte sans que celui ci nous demande confirmation au pr alable d effectuer des op rations en disposant des privileges d administrateur et ce pendant quinze minutes apr s la saisie du mot de passe e Dans Nom complet du nouvel utilisateur choisir le nom associ au premier compte cr sur le systeme Ce nom sera souvent enregistr dans les documents cr s ou modifi s dans cette session il peut donc tre int ressant de choisir un nouveau pseudonyme e Dans Identifiant pour le compte utilisateur choisir un identifiant login pour ce compte Il est pr rempli mais peut tre modifi
254. ement adaptables d autres distributions bas es sur Debian telles qu Ubuntu ou gNewSense Si l on n utilise pas encore GNU Linux on pourra consulter les cas d usage du premier tome au chapitre un nouveau d part ou utiliser un systeme live http www debian org releases wheezy index fr html https tails boum org index fr html http www ubuntu fr org http www gnewsense org Main HomePage fr AUNE 108 II OUTILS De la bonne interpr tation des recettes Avant de passer aux recettes elles m mes quelques remarques transversales nous ont paru n cessaires Les proc dures sont pr sent es pas pas et expliquent chaque fois que c est possible le sens des actions que l on propose d effectuer Une utilisation efficace de ces outils n cessite de s entendre sur quelques points e L ordre dans lequel chaque recette est d velopp e est d une importance capitale Sauf mention contraire il est simplement inimaginable de sauter une tape pour ensuite revenir en arri re le r sultat si jamais ces op rations d sordonn es en donnaient un pourrait tre soit diff rent de celui escompt soit tout bonnement catastrophique e Dans le m me ordre d id e les actions indiqu es doivent tre effectu es a la lettre Omettre une option ou ouvrir le mauvais dossier peut avoir pour effet de totalement modifier le r sultat escompt e De mani re g n rale la bonne compr hension de ces recettes dema
255. emment d utiliser une image Windows sale pour un nouveau projet un jour o le temps presse Vu que le Windows invite n a pas le droit de sortir de sa boite pour aller chercher lui m me des fichiers il est n cessaire de lui faire parvenir depuis l exterieur les fichiers d installation des logiciels n cessaires Une telle op ration sera aussi utile par la suite pour lui envoyer toutes sortes de fi chiers et nous y reviendrons Pour l heure vu que nous sommes en train de pr parer une image de Windows propre servant de base chaque nouveau projet ne m langeons pas tout et contentons nous de lui envoyer uniquement ce qui est n cessaire Vinstallation des logiciels non compromettants souhait s Cr ons sur le syst me h te un dossier nomm Logiciels Windows et copions y uni quement les fichiers n cessaires l installation des logiciels souhait s Puis partageons ce dossier avec le Windows invit sans rendre ce partage permanent ae T Y q N page 1641 la recette envoyer des fichiers au syst me virtualis explique comment proc der E E IA AT RA PR o do NE ee pratiquement Et en ce qui concerne l installation des logiciels l int rieur du Windows invit toute personne suffisamment accro Windows pour lire ces pages est sans aucun doute plus comp tente que celles qui crivent ces lignes A Attention une fois cette tape effectu e il est imp ratif de
256. en dehors de son comparti ment tanche Mais presque in vitablement vient le temps ot il est n cessaire d en faire sortir des fichiers et ce moment la il nous faut l autoriser explicitement par exemple e pour emmener la bo te copies ou chez l imprimeur un fichier PDF export e pour projeter sous forme de DVD le film fraichement r alis Lorsqu on doit r cup rer un CD ou DVD non chiffr et que la machine h te est munie d un graveur il suffit de pr ter ce p riph rique temporairement au Windows invit afin de graver depuis ce syst me Dans le cas o rien n oblige r cup rer les fichiers sur un support non chiffr il est possible de les exporter vers un dossier vide d di a cet usage et stock sur un volume chiffr qui peut tre e une cl USB chiffr e qu on active sous Debian en tapant la phrase de passe cor respondante e le disque dur de la Debian chiffr e qui fait ici office de systeme h te Ce dossier d di sera partag via VirtualBox avec le Windows invite Insistons sur les mots vide et d di Windows pourra lire et modifier tout ce que ce dossier contient et il serait dommageable de lui permettre de lire des fichiers quand on a seulement besoin d exporter un fichier Afin d viter de se m langer les pinceaux et de limiter la contagion nous recomman dons de e cr er un dossier d exportation par projet e nommer ce dossier de fa on aus
257. en sera si celui ci se trouve li un processus de r pression Les traces auront t laiss es sur l ordinateur et pourraient tre employ es comme l ment charge Enfin et surtout l poque des soci t s de contr les de plus en plus parano aques de plus en plus r solues traquer la subversion et voir derri re chaque citoyen un iv terroriste en puissance qu il faut surveiller en cons quence se cacher devient en soi un enjeu politique ne serait ce que pour mettre des b tons dans les roues de ceux qui nous voudraient transparents et rep rables en permanence Quoi qu il en soit beaucoup de gens que ce soient les gouvernants les employeurs les publicitaires ou les flics ont un int r t obtenir l acc s nos donn es surtout au vu de la place qu a pris l information dans l conomie et la politique mondiales Tout ca peut amener se dire que nous n avons pas envie d tre contr lables par quelque Big Brother que ce soit Qu il existe d j ou que l on anticipe son mer gence le mieux est sans doute de faire en sorte qu il ne puisse pas utiliser contre nous tous ces merveilleux outils que nous offrent ou que lui offrent les technologies modernes Aussi ayons tous quelque chose cacher ne serait ce que pour brouiller les pistes Comprendre pour pouvoir choisir Ce guide se veut une tentative de d crire dans des termes compr hensibles l intimit ou plut t son
258. ent d autres n en ont pas 18 4 1 Cr er une paire de cl s Afin de cr er une paire de cl s lancer Mots de passe et cl s partir du menu Appli cations gt Outils systeme Preferences Dans la fen tre qui s ouvre alors cliquer sur le bouton Nouveau dans le menu Fichier Selectionner ensuite Cle PGP puis cliquer sur Continuer m F x ys page 53 Une nouvelle fen tre s ouvre Entrer un Nom complet correspondant a l identite L mi de mettre l identifiant de l adresse email se situant avant le symbole comme Nom complet Cliquer ensuite sur Options avanc es de cl pour choisir la taille de la cl et sa date d expiration Le Type de chiffrement par d faut est RSA Le laisser tel quel La Force de la cl propos e par d faut 2048 bits est consid r comme s re jusqu en 2020 On peut choisir la force de la cl la plus lev e disponible savoir 4096 bits si l on souhaite prot ger ses communications plus fortement ou plus longtemps Il est conseill de choisir une Date d expiration pour la cl Si c est la premi re fois que l on cr e une paire de cl s on choisira une date d expiration comprise entre 1 an et 2 ans par exemple Cliquer enfin sur Cr er as Une nouvelle fen tre s ouvre demandant une phrase de passe pour prot ger la cl tome 1 ch 12 C est le moment de choisir une bonne phrase de passe puis de la taper deux fois avant de cliquer sur Valider Attention cependant
259. ent ce genre d inspection le DPI a minima des fins de statistiques De plus ils sont de plus en page 40 plus nombreux de fa on plus ou moins discr te plus ou moins assum e s en servir E pour faire passer certains paquets avant les autres en fonction de leur destination ou de l application laquelle ils correspondent Par exemple pour ralentir la vid o la demande qui g n re beaucoup de trafic et donc leur co te cher et privil gier le t l phone par Internet fl Ce type de moyens est par exemple utilis par le FAI SFR afin de modifier les pages web visit es par ses abonn s en 3G Le d ploiement massif d quipements permettant cet examen approfondi des paquets rend beaucoup plus facile une surveillance aux portes des r seaux des FAI En analysant ce type de donn es les gouvernements peuvent identifier la position d un individu de ses relations et des membres d un groupe tels que des opposants politiques 4 De tels syst mes ont t vendus par des soci t s occidentales la Dr 1 60 Wikip dia 2014 Attaque par d ni de service https fr wikipedia org wiki Ddos 61 Christopher Parsons et Colin Bennet 2010 What Is Deep Packet Inspection http www deeppacketinspection ca what is dpi en anglais 62 bluetouff 2013 SFR modifie le source HTML des pages que vous visitez en 3G http reflets info sfr modifie le source html des pages que vous visitez en 3g
260. entation Dans l index qui s ouvre chercher la section Premier pas avec Tails et cliquer sur la page Persistance et enfin Activer et utiliser le volume persistant et suivre cette page de documentation 14 5 3 Supprimer un volume persistant L objectif de cette recette est de supprimer un volume persistant cr pr c demment sur une cl USB ou une carte SD de Tails Pour ce faire on va suivre la documentation officielle de Tails qui est disponible partir de n importe quel cl USB carte SD ou DVD de Tails m me sans connexion page pr c Internet al A 4 14 UTILISER UN SYSTEME LIVE 103 D marrer Tails Sur le bureau cliquer sur l ic ne Documentation de Tails Dans le menu a droite cliquer sur Documentation Dans l index qui s ouvre chercher la section Premier pas avec Tails et cliquer sur la page Persistance et enfin Supprimer le volume persistant et suivre cette page de documentation 14 5 4 Installer un logiciel additionnel persistant dans Tails Tails contient des logiciels adapt s la plupart des t ches courantes lors de l utilisa tion d Internet et de la cr ation de documents Toutefois pour des projets sp cifiques on peut avoir besoin d installer un logiciel sp cifique dans Tails comme par exemple un logiciel de conception et de simulation de circuits lectroniques Lorsque Tails est install sur une cl USB ou sur une carte SD il est possible de configurer un volume persista
261. entera simplement d observer pour conclure que la mani re dont Internet fut con u et est le plus couramment utilis est quasiment transparente pour un adver saire un tant soit peu attentif moins d utiliser toute une s rie de parades adapt es pour rendre ces indiscr tions plus difficiles ces parades seront voqu es plus loin 68 latribune fr 2012 A peine 25 du trafic web am ricain chappe la surveillance du NSA http www latribune fr actualites economie international 20130821trib000781040 a peine 25 du trafic web americain echappe a la surveillance du nsa html 69 Mark Rees 2011 Le CCC disseque un cheval de Troie gouvernemental trou PCInpact http www pcinpact com news 66279 loppsi ccc cheval de troie faille malware htm 70 Legifrance 2014 De la captation des donn es informatiques Code de proce dure p nale article 706 102 1 http www legifrance gouv fr affichCodeArticle do idArticle LEGIART1000023712497 amp cidTexte LEGITEXT000006071154 71 Me myself and the Internet 2011 Mais qui surveillera les surveillants http memyselfandinternet wordpress com 2011 02 14 mais qui surveillera les surveillants CHAPITRE 4 Web 2 0 Le terme web 2 0 est de nos jours presque une banalit Pour autant il semble difficile d en saisir la v ritable consistance force d emploi tort et travers ou au contraire de d finitions parfois trop techniques Il s agit avant tout d
262. entifier les sites web ou les serveurs d email avec lesquels l ordinateur tablit une connexion chiffr e Les enjeux les plus courants lors de l tablissement d une connexion chiffr e vers un site web sont la protection de mots de passe pour se connecter son compte email par exemple ou la protection de donn es bancaires pour effectuer des achats sur des sites de vente en ligne Le protocole utilis pour ce type de chiffrement est appel TLS anciennement SSL Cependant une telle solution ne fait que d placer le probl me il faut faire confiance l autorit de certification En g n ral ce sont des entreprises commerciales et plus rarement des administrations Ainsi Microsoft Apple et Mozilla incluent chacun des autorit s de certification de gouvernements parmi les autorit s de certification reconnues par leurs navigateurs web 10 Mozilla Firefox inclut notamment des autorit s de certifications de gouverne ments chinois fran ais n erlandais catalan japonais d entreprises de certification Verisign GoDaddy mais aussi d entreprises de t l communications Deutsche Te lecom Hongkong Post 4 Ces gouvernements qui peuvent souvent se positionner en homme du milieu ont le pouvoir de d signer n importe quel certificat comme valide pour un site web en le signant avec leur autorit de certification les navigateurs qui l incluent n y verraient que du feu 9 Lorsqu on veut chiff
263. er en source de probl mes en raison de conditions ext rieures qu il n est pas forc ment possible d anticiper ou de maitriser RE Cependant ces pratiques ne sont pas toujours faciles mettre en place Car en plus page 541 des techniques d crites pr c demment la s paration entre ces diff rentes identit s i contextuelles d pend de beaucoup d autres param tres Notamment des relations que Von tablit avec d autres personnes que ces relations soient num riques ou non Il n est pas forc ment facile d avoir une identit contextuelle diff rente pour absolument chacune des facettes de sa personnalit ou chacune de ses activit s ni d viter que certaines d entre elles ne se recoupent Ces identit s voluent au gr des activit s qu on leur attribue et au fil du temps Plus longtemps on les utilise plus leur s paration a tendance a s amenuiser Il est donc souvent difficile d quilibrer et de mesurer les efforts n cessaires la mise en place des multiples identit s contextuelles avec les b n fices escompt s D autant plus qu il est g n ralement compliqu de faire marche arri re dans ce domaine Certains outils tels les m dias sociaux les rendent m me quasiment impraticables en imposant une transparence absolue 5 4 Les m dias sociaux centralisation de fonctions et identit unique Les m dias sociaux tendent en effet centraliser des fonctions qui taient auparavant assur es par diff rents outils de
264. er le disque dur avec l Utilitaire de disque Aller dans Applications Accessoires Utilitaire de disque Une fen tre s ouvre La partie de gauche liste les disques connus du syst me La partie de droite permet d effectuer des actions Choisir le p riph rique gauche dans la section Disques p riph riques il y a la liste des disques Si l ordi nateur utilis contient un syst me chiffr il y a aussi les volumes chiffr s de notre syst me Les ic nes la taille indiqu e ainsi que le nom des disques devraient permettre d iden tifier celui que l on cherche Une fois le disque rep r le s lectionner dans la liste D monter les volumes Si le volume est mont un bouton D monter le volume sera accessible dans le menu de droite sous l onglet Volumes Cliquer sur ce bouton afin de d monter le volume Si ce disque contient plusieurs volumes les d monter tous un par un Reformater le disque Attention Formater un disque dur revient supprimer tous les fichiers qui s y trouvent Dans le menu de droite sous l onglet Disque cliquer sur Formater le disque puis choisir comme Sch ma Master Boot Record et cliquer sur Formater L utilitaire de disque demande si l on veut vraiment formater le p riph rique C est le moment de v rifier que l on a choisi le bon p riph rique avant de faire une b tise Si c est bien le cas confirmer en cliquant sur Formater 3 On pourrait galement
265. er le num ro de t l phone l abonnement internet du compte no log org adresse et les trente derni res donn es de connexion qui lui sont relatives e Nous communiquer les TRENTES derni res donn es de connexion adresse IP date heure et fuseau horaire aux pages d aministration du compte no log adresse De plus il est av r que les flics demandent parfois de telles informations dans un simple courrier lectronique et il est probable que de nombreux fournisseurs de ser vices Internet r pondent directement de telles requ tes officieuses ce qui implique 40 I COMPRENDRE que n importe qui peut obtenir de telles informations en se faisant passer pour la police Les requ tes l gales sont monnaie courante Les gros fournisseurs de services Inter net ont d sormais des services l gaux d di s pour y r pondre et une grille tarifaire chiffre chaque type de demande Depuis octobre 2013 en France une grille tarifaire index e par l tat vient m me homog n iser ces diff rentes prestations 32 identifier un abonn partir de son adresse IP co tait ainsi 4 tarifs en vigueur en octobre 2013 Au del de 20 demandes ce tarif est r duit 18 centimes Ainsi pour la seconde moiti de l ann e 2013 Google a re u chaque mois en moyenne 458 demandes de renseignements sur ses utilisateurs de la part de la France concer nant au total 3378 comptes des chiffres en augmentatio
266. er un syst me GNU Linux minimal Le laisser faire 15 5 7 Choix du serveur Debian Si cette question n appara t pas ce moment pas d inqui tude c est simplement que Vinstalleur utilis n est pas celui par le r seau Dans ce cas elle arrivera un peu plus tard au cours de l installation e L installeur demande de choisir le Pays du miroir de Varchive Debian Le choix par d faut France est bon si l on est en France Il demande ensuite le Miroir de l archive Debian utiliser Le choix par d faut ftp fr debian org est aussi tr s bien e L installeur demande si on a besoin d un Mandataire HTTP On laisse vide L installeur t l charge alors les fichiers dont il a besoin pour continuer 15 5 8 S lection des logiciels La prochaine question concerne la configuration de popularity contest et demande Souhaitez vous participer l tude statistique sur l utilisation des paquets Il est possible de r pondre Oui sans risque de divulguer beaucoup d informations suppl mentaires vu que les logiciels seront de toute fa on t l charg s partir des serveurs de Debian ceux ci pourraient d j savoir quels paquets on utilise s ils le voulaient L installeur demande quels sont les Logiciels installer Ses propositions conviennent en g n ral environnement de bureau Debian serveur d impression et Utilitaires usuels du syst me plus ordinateur portable le cas ch ant L installeur t l charge
267. era irr versible Vu que l on a bien fait les sauvegardes de ce que l on voulait garder r pondre Oui crire les modifications sur les disques et configurer LVM e L installeur va alors remplacer l ancien contenu du disque par des donn es al a toires C est tr s long de nombreuses heures sur un gros disque et a laisse donc du temps pour faire autre chose L installeur demande alors une Phrase secr te de chiffrement Choisir une bonne phrase de passe et la taper e Confirmer la phrase de passe en la tapant une seconde fois e L installeur montre une liste de toutes les partitions qu il va cr er Il est possible de lui faire confiance et de Terminer le partitionnement et appliquer les changements pr Y Ed 0 O FA Tee i 9 Ce mode est appel sudo car dans le terminal il sera possible en ajoutant sudo au d but de la ligne d ex cuter une commande en tant que superutilisateur 15 INSTALLER UN SYSTEME CHIFFR 113 e L installeur pr vient qu il va d truire toutes les donn es pr sentes sur le disque Tout le disque a d ja t rempli de donn es al atoires donc s il contenait des donn es importantes elles ont d j t effac es R pondre Oui Faut il appliquer les changements sur les disques L installeur cr e alors les partitions ce qui peut prendre un petit bout de temps 15 5 6 Installation du syst me de base L installeur va maintenant install
268. erconnexion Les op rateurs fournissant l infrastructure r seau ont d abord commenc par tirer des c bles directement entre leurs routeurs avant de se rendre compte que ca faisait beaucoup de c bles et beaucoup de frais et donc que ca serait souvent plus simple si tout le monde en tirait un qui arrivait au m me endroit Il y a donc des endroits o de nombreux syst mes autonomes se relient entre eux Chacun de ces endroits est appel point d interconnexion IX pour Internet Exchange Point les syst mes autonomes qui veulent s y connecter y am nent chacun un c ble et y installent des routeurs Du fait de la quantit importante de trafic qui passe par 16 On parlera plus loin d admins pour d signer les administrateurs ou administratrices 17 Marie C cile Renault 2012 Neutralit du Net Orange gagne face a Cogent http www lefigaro fr hightech 2012 09 20 01007 20120920ARTFIG00732 neutralite du net orange gagne face a cogent php 18 I COMPRENDRE ces lieux ceux ci sont d une grande importance strat gique pour les Etats et autres organisations qui voudraient surveiller ce qui transite par le r seau 18 reli s entre eux Les grands centres d interconnexion sont reli s par de gros faisceaux de fibres op tiques L ensemble de ces liaisons forment les pines dorsales backbones en anglais d Internet Ainsi pour relier l Europe l Am rique plusieurs faisceaux de fibres optique
269. ernet n est d ailleurs qu une interconnexion de r seaux locaux Pour connecter le r seau local d autres r seaux il faut un routeur C est un ordina teur dont le r le est de faire transiter des paquets entre deux r seaux ou plus Quand ce routeur sert faire transiter les paquets entre un r seau local et Internet il est appel passerelle Une box que l on utilise pour raccorder une maison a Internet joue ce r le de routeur Elle dispose d une carte r seau connect e au r seau local mais aussi d un modem ADSL connect au r seau du fournisseur d acc s Internet on parle de modem routeur Elle fait partie non seulement du r seau local mais aussi d Internet c est l adresse IP de la box qui est visible depuis Internet sur tous les paquets qu elle achemine pour les ordinateurs du r seau local Le fournisseur d acces Internet ou FAT est une organisation offrant une connexion a Internet que ce soit via une ligne t l phonique un cable coaxial ou une fibre optique En France les principaux fournisseurs d acc s 4 Internet commerciaux sont pour un usage domestique Orange Free SFR ou numericable Il existe aussi des FAI associatifs tels FDN La box est un petit ordinateur qui integre dans le m me boitier que le modem routeur les logiciels permettant la gestion du r seau local comme le logiciel de DHCP ainsi qu un switch Ethernet ou Wi Fi pour brancher plusieurs ordinateurs mais
270. ers d autres fins soit pr sents de mani re syst matique dans les logiciels qu on aura install s Ces mouchards peuvent participer diverses techniques de surveillance de la lutte contre le piratage de logiciels propri taires au fichage cibl d un individu en passant par la collecte de donn es pour des pourriels spam ou autres arnaques La port e de ces dispositifs augmente fortement des que l ordinateur est connect Internet Leur installation est alors grandement facilit e si on ne fait rien de sp cial pour se prot ger et la r cup ration des donn es collect es se fait distance Toutefois les gens qui r coltent ces informations sont in galement dangereux a d pend des cas de leurs motivations et de leurs moyens Les proches abusifs les sites Internet la recherche de consommateurs cibler les multinationales comme Microsoft les gendarmes de Saint Tropez ou la National Security Agency am ricaine autant de structures souvent en concurrence entre elles et ne formant pas une totalit coh rente Pour s introduire dans nos ordinateurs ils n ont pas acc s aux m mes passe partout et ne savent pas tous manipuler le pied de biche aussi bien par exemple l espionnage industriel est une des raisons importantes de la surveillance plus ou moins l gale et malgr les apparences il ne faut pas croire que Microsoft donne toutes les astuces de Windows la police fran aise
271. ersaire 9 3 2 Premiere tape c est crit en bas a gauche L adversaire dispose de prime abord d un gros volume de donn es au sein duquel chercher des traces le contenu du document Ainsi une ventuelle signature comme un pseudonyme ou une ville une date la langue dans laquelle le document est crit voire tout simplement le th me du document sont autant d indices qui peuvent mener a ses auteurs Un texte qui d crit les pratiques abusives de la soci t Machinex en novembre 2012 a probablement t r dig par des employ s de cette soci t ou des gens qui partageaient leur lutte a cette date T el 4 Y page 54 L adversaire peut aussi tenter une analyse stylom trique pour le comparer a d autres L JS textes anonymes ou non et essayer d en d duire des informations sur les auteurs A notre connaissance ce type d attaque n est r ellement effective que lorsqu on a dej de forts soupcons sur un sous ensemble d auteurs potentiels mais c est un champ de recherche r cent Vu que l on souhaite diffuser largement ce document on ne pourra pas masquer le contenu Cependant si l on pense n cessaire de s en donner la peine on pourra avoir une attention particuli re changer son style d criture Enfin si l on publie notre document sans prendre de plus amples pr cautions un adversaire peut chercher d ventuelles m tadonn es qui lui fourniraient quelques in Sa Sere a Se ee see formations
272. es M me si l on choisit de ne pas les utiliser directement d autres le font pour nous Alors autant essayer de com prendre ce que a implique Face ces constats la seule voie praticable semble tre de devenir capables d imaginer et de mettre en place des poli tiques de s curit ad quates Tout l enjeu de ce guide est de fournir cartes sextant et bous sole quiconque veut cheminer sur cette route e aA e KE E e amp De x X x X Ao A a g eo 2 2 x Ce a amp se amp amp a 2 x A amp oE x x p A Y e a Y Ce premier tome se concentre sur l utilisation d un ordinateur hors connexion on pourrait aussi bien dire pr alable ment a toute connexion les connaissances g n rales qu il apporte valent que l ordinateur soit connect ou non un r seau Un livre a lire relire pratiquer en solitaire ou a plusieurs a faire d couvrir et a partager ou comment affiner l art de la navigation dans les eaux troubles du monde num rique https guide boum org See Ree guide d autod fense num rique A guide d autod fense num rique tome 2 en ligne t 000101 1000 100118 000111 Mi p010 0010011 st P GS DO 118 00g premi re dition t 2014 101000 111 4 Y ouvrage collectif Guide d autod fense num rique Tome 2 En ligne premi re dition Ouvrage collectif guide boum org
273. es le nombre de minist res dont ces requ tes de surveillance peuvent maner ainsi que le nombre d entit s auxquelles ces requ tes d adressent Elle ouvre galement la voie a la collecte en temps r el de ces donn es Du c t des outils le printemps 2013 a vu la sortie de la nouvelle version de Debian baptis e Wheezy En juillet 2014 sortait la version 1 1 du systeme live Tails dor navant bas sur Wheezy et poss dant de nouvelles fonctionnalit s majeures Il a donc fallu revoir les outils pour que les recettes fonctionnent sur ces nouveaux syst mes La persistance est une de ces nouvelles fonctionnalit s Il est dor navant possible de conserver sur une partition chiffr e des donn es ainsi que des configurations d une session l autre L amn sie n est plus totale La suppression de m tadonn es contenues dans de nombreux types de fichiers est d sormais simplifi e grace au logiciel Metadata Anonymisation Toolkit ainsi que la suppression s curis e de fichiers tout cela tant maintenant int gr dans Debian Enfin le calcul des sommes de contr les est galement simplifi par la mise en place d un outil graphique permettant de les effectuer 2 Wikip dia 2014 NSA https fr wikipedia org wiki NSA 3 Wikip dia 2014 Edward Snowden https fr wikipedia org wiki Edward_Snowden viii Et pour les personnes ayant d j un syst me install avec la version pr c dente de Debian Squeeze
274. es clients mails connus sont par exemple Outlook de Microsoft ou Thunderbird de Mozilla Il en existe de nombreux autres qui malgr leurs diff rences poss dent une interface globalement similaire proche de celle des webmails Contrairement au webmail o l on va consulter ses emails stock s chez l h bergeur en utilisant son navigateur web ici la lecture des emails se fait gr ce un logiciel install sur ordinateur On se sert d un p riph rique de stockage local disque dur de l ordinateur utilis cl USB etc comme espace de stockage des emails Pour reprendre notre petit sch ma pr c dent il faut remplacer les protocoles web par des protocoles email Deux protocoles diff rents existent afin de recevoir son courrier IMAP pour Internet Message Access Protocol et POP pour Post Office Protocol Le premier IMAP permet de manipuler les emails stock s sur les serveurs d email de notre h bergeur chaque connexion vers la bo te mail une synchronisation a lieu afin d avoir le m me tat nombres d emails de brouillons de dossiers etc sur le serveur mail que sur notre client mail et inversement Et cela sans pour autant t l charger le contenu pr sent sur le serveur mail Seuls les en t tes des emails peuvent tre rapatri s sur notre client mail par exemple Le second protocole POP t l chargera les diff rents contenus de la boite mail direc tement sur notre client mail sans forc ment en laisser
275. es fournisseurs d acces Internet bloquer l acces aux sites web qui ont t inscrits sur une liste noire la suite d une d cision de justice 48 C est ainsi qu en octobre 2011 le tribunal de Grande Instance de Paris a ordonn sept fournisseurs d acc s Internet fran ais de bloquer par IP ou par DNS le site web https copwatchnord idf org 4 ce site tait accus de propos injurieux et diffamatoires et de collecter des donn es caract re personnel sur des policiers 40 Wikip dia 2014 Echelon https fr wikipedia org wiki Echelon 41 Gerhard Schmid 2001 Rapport sur l existence d un systeme d interception mondial des communications priv es et conomiques systeme d interception ECHELON http www europarl europa eu sides getDoc do pubRef EP NONSGML REPORT A5 2001 0264 0 DOC PDF V9 FR 42 Wikip dia 2014 Frenchelon https fr wikipedia org wiki Frenchelon 43 Gorman Siobhan 2008 NSA s Domestic Spying Grows As Agency Sweeps Up Data Terror Fight Blurs Line Over Domain Tracking Email http online wsj com article SB120511973377523845 html en anglais 44 kitetoa 2011 Amesys le gouvernement schizophr ne fran ais a valid l exporta tion vers la Libye de mat riel d coute massive des individus Reflets info http reflets info amesys le gouvernement schizophrene francais a valide lexportation vers la libye de materiel decoute massive des indivi
276. ettoyer ais ment de nombreux formats de fichiers Attention Nettoyer les m tadonn es n anonymise pas le contenu des fichiers et n enl ve pas les ventuels marquages qui seraient inclus dans le contenu lui m me 24 1 Installer les logiciels n cessaires Sous Tails le Metadata Anonymisation Toolkit est d j install Sur un syst me o le paquet mat n est pas encore pr sent il faut l installer 24 2 Ouvrir le Metadata Anonymisation Toolkit Aller dans Applications Outils Syst me MAT 24 3 Ajouter des fichiers nettoyer Ajouter le fichier nettoyer avec File Ajouter puis apr s l avoir selectionn cliquer sur Valider Il est galement possible de le glisser directement dans Metadata Ano nymisation Toolkit On pourra galement ajouter plusieurs fichiers et les nettoyer en m me temps Si le logiciel sait nettoyer le fichier s lectionn il l ajoute la liste de fichiers nettoyer Passer alors directement Scour nettoyer les fichiers ci dessous S il affiche un message Fichier s non support s il faut convertir le document dans un format de fichiers support par le MAT avec une autre application avant de 1 Voir ce sujet Wikip dia 2014 Tatouage num rique https fr wikipedia org wiki Tatouage_ num rique et Wikip dia 2014 St ganographie https fr wikipedia org wiki St ganographiel 176 II OUTILS pouvoir le nettoyer La liste des formats support s est dis
277. eurs de ce guide n ont pour l instant pas trouv d outil graphique permettant d effectuer de signatures num riques de facon s rieuse qui soit inclus la fois dans Tails et dans la version actuelle de Debian r q ea tome 1 ch 11 Nous allons donc ouvrir un terminal pour faire ces v rifications La d marche est la m me sous Tails et sous Debian On va commencer la commande en tapant sans faire Entr e gpg detach sign Nous allons ensuite cliquer sur l ic ne du fichier signer et la faire glisser dans le terminal Apr s avoir rel ch le bouton ce qui est affich doit ressembler gpg detach sign home amnesia monfichier gpg Dans notre exemple le fichier a comme extension gpg mais il peut tout aussi bien s agir d un fichier mp3 jpg ou autre Appuyer alors sur la touche Entr e pour effectuer la signature L ordinateur nous demande la phrase de passe de notre cl secr te Le processus de signature peut prendre jusqu a plusieurs minutes en fonction de la taille du fichier et de la puissance de l ordinateur qu on utilise Une fois la signature termin e elle se pr sente sous la forme d un petit fichier ayant le m me nom que le fichier original mais se terminant par l extension sig situ au m me endroit que le fichier original et qu il nous faudra transmettre a notre interlocuteur avec celui ci 18 11 R voquer une paire de cl s CG Les logicie
278. eurs sont infect s par des logiciels malveillants mais certains estiment que c est le cas pour 40 90 des installations de Windows 8 Wikip dia 2014 Vuln rabilit jour zero https fr wikipedia org wiki Vuln rabilit zero day 9 Gr goire Fleurot 2013 Espionnage Vupen l entreprise fran aise qui bosse pour la NSA http www Slate fr france 77866 vupen nsa espionnage exploits 10 Ministry of Justic of Georgia et Al 2012 CYBER ESPIONNAGE Against Georgian Govern ment http dea gov ge uploads CERT 20D0CS Cyber 20Espionage pdf en anglais 11 Kevin Poulsen 2007 FBI s Secret Spyware Tracks Down Teen Who Made Bomb Threats http www wired com politics law news 2007 07 fbi_spyware en anglais 12 Voir les sp cifications du logiciel http hadopi fr download sites default files page pdf Consultation sur_les 2 specifications fonctionnelles des moyens de securisation pdf F l m 26 I COMPRENDRE Il est donc fort probable d en trouver sur le premier Windows que l on croisera Jus qu a pr sent utiliser un syst me d exploitation minoritaire tel GNU Linux diminue significativement les risques d infection car ceux ci sont moins vis s le d veloppement de malwares sp cifiques tant conomiquement moins rentable On peut d ores et d j voquer quelques moyens de limiter les risques e winstaller ou n utiliser aucun logiciel de provenance inconnue ne pas faire confiance au premier s
279. eut se connecter exemple org en utilisant Tor son ordinateur commence par tablir un circuit Tor Pour cela il recupere une liste des noeuds Tor disponibles aupres d un annuaire Pa N yA gt o A MM A ay A AA E wer o WE A Alice Box L gende 2 gt connexion chiffr e EN Ay relais Tor Connexion un annuaire de relais Tor Il choisit ensuite un premier relai parmi la liste des relais disponibles puis tablit une connexion celui ci A partir de ce premier relai il tablit une connexion avec un second relai Enfin d apr s sa liste de noeuds Tor choisit un noeud de sortie et tablit une connexion entre le second relai et ce n ud Cet ensemble de trois relais constitue ce qu on appelle un circuit Tor Des le d but de cette phase d tablissement du circuit Tor toutes les communications sont chiffr es Utilisation du circuit Ensuite les donn es transiteront successivement par ces trois relais avant d atteindre le serveur de destination ici exemple org La r ponse du serveur suivra le m me chemin dans le sens inverse Le circuit est parcouru tape par tape et chaque relai le long du chemin ne connait que celui qui lui a transmis les donn es et celui auquel il va les retransmettre Aucun relai ne connait lui tout seul le chemin complet pris par un paquet de donn es Un ventuel interm diaire ou un relai compromis ne peut pas ais
280. g wiki R seau priv _ virtuell par exemple Cependant qui peut le plus peut le moins et Tor prot ge contre beaucoup plus d attaques possibles qu un VPN qui n ins re entre nous et la ressource consult e qu un seul interm diaire E 5 4 82 II CHOISIR DES R PONSES ADAPTEES 8 4 Choisir parmi les outils disponibles En fonction de nos besoins et de notre politique de s curit il nous faudra choisir parmi diff rents outils 8 4 1 Tor Browser Bundle ou Tails Tor Browser Bundle Configurer un navigateur web pour utiliser Tor correctement est un exercice diffi cile C est notamment pour pallier cette difficult qu existe le Tor Browser Bundle TBB Le TBB est un pack de logiciels il fournit un navigateur web pr configur ee ase oN pour surfer de fa on anonyme en utilisant le r seau Tor partir de notre systeme page 111 d exploitation habituel Une fois le Tor Browser Bundle install on peut choisir d utiliser ce navigateur web utilisant Tor ou notre navigateur web habituel Avantages Le Tor Browser Bundle permet de naviguer sur le web avec Tor depuis notre systeme d exploitation habituel Il permet par exemple de travailler sur un document avec nos outils habituels tout en cherchant des informations sur le web de facon anonyme Inconv nients Le Tor Browser Bundle s ex cutant sur le systeme d exploitation habituel cela implique qu une faille dans celui ci permettr
281. ge d accueil sp ciale Halloween de Google Alice d place le pointeur de sa souris et clique sur le lien Connexion Une fois la page charg e elle y rentre son nom d utilisatrice et son mot de passe puis clique sur Gmail Quelque part dans une obscure salle bond e d ordi nateurs un disque dur gr sille Quelques secondes apr s avoir ouvert son navigateur web Alice commence parcourir sa bo te mail Alors qu elle consulte un email re u du site leboncoin fr son regard est attir par le lien qui vient de s afficher dans la colonne de droite Tiens quelqu un vend le m me mod le d appareil photo que celui que je cherche juste au coin de la rue je devrais peut tre y faire un saut Ah ben t es l La voix dans le dos d Alice la fait l g rement sursauter C est Beno t un collegue Ben oui je me suis lev e un peu plus t t que d habitude alors j ai pris le RER de 7h27 au lieu de 7h48 Je regarde vite fait mes emails avant de I COMPRENDRE m y mettre J attends la confirmation d une r servation de billet pour les Bal ares cet hiver Vacances au soleil j vois le genre Et ten as pour longtemps Beno t a Vair press Euh non non j avais presque fini Pourquoi Ben si a te d range pas je t emprunterais bien ton poste 2 minutes Le mien est plant depuis hier j attend que la nouvelle responsable informatique arrive pour r gler ca
282. glais De nos jours la mode est de parler de cloud computing informatique en nuage en anglais Ce concept de marketing ne remet pas en cause la s paration entre clients et serveurs bien au contraire Il signifie simplement que les donn es sont susceptibles d tre d plac es d un serveur un autre pour des raisons l gales techniques ou conomiques Et cela sans que leurs propri taires en soient n cessairement inform s 1 BASES SUR LES R SEAUX 23 La soci t Google possede par exemple au moins 12 data centers r partis sur 3 continents afin d assu rer l op rabilit de ses services 24h 24h 7j 7j m me lorsque certains quipements sont indisponibles I I I I Ce type d h bergeur fait tourner des centaines de ma chines physiques r parties dans plusieurs centres de donn es autour du monde et mettent en commun leur puissance de stockage et de calcul pour en faire i une super machine abstraite Ensuite ils vendent des i machines virtuelles c est dire des parts de puis i sance de calcul et de stockage de cette super machine i L Amazon Elastic Compute Cloud ou EC2 est Pun I I des services les plus connus dans ce domaine Une machine virtuelle peut tre d plac e automatiquement en fonction de l utilisation des machines physiques de la qualit de leur connexion au r seau etc Avec une telle infrastructure il est impossible de savoir l avance sur quelle machine
283. gning key lt tails boum org gt 18 UTILISER OPENPGP 141 18 9 Signer des emails Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e quelques minutes Comme expliqu dans la partie concernant les signatures num riques on peut vouloir num riquement des emails afin de fournir a minima une assurance de leur int grit et au mieux une assurance quant leur authenticit Depuis Claws Mail Une fois Claws Mail d marr et configur cliquer sur le bouton Composer afin de d buter la r daction d un nouveau message Une fen tre Composition d un message s ouvre dans laquelle on va r diger email Avant ou apr s r daction de l email mais en tout cas avant de l envoyer choisir signer dans le menu Options de la fen tre Composition d un message Une fois notre email termin cliquer sur Envoyer Une fen tre Phrase secr te s ouvre nous demandant de saisir la phrase de passe associ e la paire de cl s qui va servir signer le message Taper la phrase de passe puis cliquer sur Valider Depuis un webmail Il existe pas d outils que l on puisse recommander pour signer des emails pour un webmail avec une Debian chiffr e Afin de signer ses emails en utilisant un webmail dans Tails suivre la proc dure qui suit La m thode actuellement conseill e pour chiffrer un
284. guide d autod fense num rique tome 1 hors connexions H 3 Due pa e P 0 000101 y 1000 0010011 st ot ge troisieme dition t 2014 ouvrage collectif Guide d autod fense num rique Tome 1 Hors connexions troisi me dition Ouvrage collectif guide boum org Empreinte OpenPGP D487 4FA4 F6B6 88DC 0913 C9FD 326F 9F67 250B 0939 t 2014 O Copyleft cette ceuvre est libre vous pouvez la co pier la diffuser et la modifier selon les termes de la Licence Art Libre http www artlibre org Pr face Les revers de la m moire num rique De nos jours les ordinateurs Internet et le t l phone portable tendent prendre de plus en plus de place dans nos vies Le num rique semble souvent tr s pratique c est rapide on peut parler avec plein de gens tr s loin on peut avoir toute son histoire en photos on peut crire facilement des textes bien mis en page mais ca n a pas que des avantages ou en tout cas ca n en a pas seulement pour nous mais aussi pour d autres personnes qu on n a pas forc ment envie d aider Il est en effet bien plus facile d couter discretement des conversations par le biais des t l phones portables que dans une rue bruyante ou de trouver les informations que l on veut sur un disque dur plut t que dans une tag re d bordante de papiers De plus norm ment de nos informations personnelles finissent par se retrouver pu
285. hachage a chou La cl est mauvaise ou le fichier est endommag Cliquer sur OK et essayer de nouveau 20 2 6 Utiliser un mot de passe enregistr Apr s avoir restaur et d verrouill la base de donn es de mots de passe on peut utiliser les mots de passe qui y sont enregistr s Pour utiliser un identifiant enregistr le s lectionner dans la liste Aller dans la fen tre o l on souhaite l utiliser et placer le curseur dans le champ d entr e Retourner alors la fen tre de KeePassX puis cliquer sur Ex cuter la Saisie Automatique partir du menu Entr es KeePassX se r duit alors automatiquement dans le tableau de bord Attention La saisie automatique permet aussi de faire de belles boulettes comme coller son mot de passe dans une fen tre de messagerie instantan e et envoyer le message automatiquement Il faut donc faire tr s attention l endroit o on place le curseur avant d ex cuter la saisie automatique Il est possible que cette m thode de saisie automatique ne fonctionne pas pour tous les types d interfaces Dans ce cas faire clic droit sur l identifiant s lectionn pr c demment et choisir Copier l utilisateur dans le presse papier faire ensuite clic droit et Coller l endroit o saisir le nom d utilisateur Pour copier le mot de passe refaites un clic droit sur l identifiant dans la fen tre de KeePassX et cliquer sur Copier le mot de passe vers le presse papier puis le
286. he puis fermer le Gestionnaire de paquets Synaptic Si cela ne suffit pas il faudra supprimer certains de nos propres fichiers ou d sinstaller des programmes D sactiver les autres d p ts Debian La mise jour n est test e qu avec les paquets officiellement fournis par Debian Squeeze On va donc d sactiver tous les autres d p ts Debian y compris les d p ts backports et volatile Pour cela ouvrir les Sources de mises jour partir du menu Systeme Adminis tration Vu qu on va choisir 4 quels programmes on fait confiance on doit entrer le 2 http www debian org releases wheezy i386 release notes index fr html 3 http www debian org releases wheezy i386 release notes ch upgrading fr html 4 http www debian org releases wheezy i386 release notes ch information fr html 172 II OUTILS mot de passe d administration Dans l onglet Third party software d cocher tous les d p ts list s puis cliquer sur Fermer A ce moment l si le logiciel demande s il faut recharger les informations sur les paquets disponibles lui confirmer en cliquant sur Actualiser Mettre jour les d p ts Debian utilis s Commencons par modifier les d p ts configur s afin d utiliser ceux d di s la nou velle version Il n est pas encore possible de faire cette op ration travers l interface graphique il faut donc ouvrir un Terminal administrateur et taper la commande suivante gedit etc apt sources
287. hiffr e quant elle pour n tre lisible que du second re lai Enfin la troisi me couche ne pourra tre lue que par le premier relai C est pour cela que l on peut parler de chiffrement en oignon A chaque passage par un relai une couche de chiffrement sera enlev e Aucun des relais ne peut donc d chiffrer les informations qui ne lui sont pas destin es Le troisi me et dernier relai est appel n ud de sortie la connexion semblera provenir de lui il risque donc davantage de se faire ennuyer par les flics 7 1 3 Les services cach s Tor Lorsque les utilisateurs de Tor souhaitent galement fournir des services comme par exemple un site web ou un serveur de messagerie instantan e ils ont la possibilit d en masquer l emplacement g ographique C est ce qui s appelle un service cach De la m me mani re que pour chaque utilisateur du r seau Tor l adresse IP du serveur mis en place n est pas d voil e De plus les personnes souhaitant s y connecter devront n cessairement utiliser le r seau Tor pour cela Les services cach s assurent donc un certain anonymat la fois des serveurs et des clients Ces services cach s ont des adresses en onion Afin de s y connecter les autres utilisateurs de Tor utiliseront le syst me des points de rendez vous de Tor Le point de rendez vous est le troisi me relai pour chacun des deux protagonistes de l change le client et le service cach Le c
288. hoisi ainsi que Utiliser SSL pour les connexions SMTP Si le certificat du serveur n est pas sign par une Autorit de Certification il faudra le v rifier et l ajouter manuellement Enfin dans la partie Avanc des Pr f rences de Compte il est possible que les ports des protocoles utilis s ne soient pas les bons avec les r glages par d faut Si c est le cas modifier Port SMTP Port IMAP4 ou Port POPS en fonction des informations de configurations disponibles chez notre h bergeur email 17 4 1 Activer le plugin de chiffrement PGP MIME Si l on d sire utiliser la cryptographie asym trique que ce soit pour chiffrer des emails les signer ou les deux il faut configurer le logiciel Claws Mail selon nos pr f rences Pour cela ouvrir la fen tre d Edition des comptes en choisissant Edition des comptes depuis le menu Configuration de Claws Mail S lectionner d un clic le compte email diter puis cliquer sur le bouton Modifier Aller dans la partie Confidentialit des Pr f rences de Compte Dans le menu d roulant attenant Syst me de confidentialit par d faut choisir PGP MIME Ce mode de chiffrement permet de chiffrer le contenu ainsi que les pi ces jointes ventuelles de l email Il est possible ensuite de d cider de r gles par d faut quant au chiffrement automatique de r ponses des emails chiffr s parmi d autres options Faites le tour et en cas de doute faites une recherche sur Internet ou de
289. htmll en anglais 6 CACHER LE CONTENU DES COMMUNICATIONS LA CRYPTOGRAPHIE ASYM TRIQUE 63 Message Message sE Alice a 610111 ft o Algorithme Somme de Algorithme Signature de hachage contr le de chiffrement num rique Cl priv e de Betty Betty signe un message Pour v rifier la signature l ordinateur d Alice va lui aussi calculer l empreinte du message et d chiffrer en parallele la signature E 010011 Algorithme a nn de hachage gt de Betty 010 i 010011 Cl publique Somme de Signature de Betty contr le num rique Alice v rifie le message Puisqu elle est chiffr e avec la cl priv e de Betty la cl publique de Betty suffit pour d chiffrer cette signature Si l empreinte du message re u correspond la signature d chiffr e celle ci n tant rien d autre comme on l a dit que l empreinte du message calcul e par l ordinateur de Betty Alice est s re de l authenticit du message qu elle a re u En effet Betty garde sa cl priv e en lieu s r Elle est donc la seule avoir pu chiffrer l empreinte qu Alice a d chiffr avec la cl publique de Betty Le contrepoint n gatif de cette certitude est que le possesseur d une cl priv e pourra plus difficilement nier tre l auteur du message 6 4 V rifier l authenticit de la cl publique La cryptograhie asym trique permet ainsi de chiffrer et de signer des messages sans a
290. i O ER 5 al Les protocoles applicatifs ne sont pas gaux non plus pour ce qui est de leur trans parence Si beaucoup d entre eux sont d finis par des conventions ouvertes acces sibles et donc v rifiables par tous certaines applications utilisent des protocoles propri taires pas ou peu document s Il est alors difficile d analyser les ventuelles NS informations sensibles que contiendraient les donn es chang es Par exemple Skype fonctionne comme une v ritable boite noire qui fait ce qu on veut communiquer mais possiblement beaucoup d autres choses il a t notamment d couvert que le contenu des messages est analys et ventuellement censur et que toutes les adresses web qui sont envoy es via la messagerie sont transmises Microsoft 3 FRS EU EN ET ake q l 1 5 2 Port On peut utiliser de nombreuses applications simultan ment partir d un m me ordi nateur lire ses emails dans le gestionnaire d emails Thunderbird regarder le site web de la SNCF tout en tchattant avec ses potes par messagerie instantan e en coutant de la musique en ligne Chaque application doit recevoir seulement les paquets qui lui sont destin s et qui contiennent des messages dans une langue qu elle comprend Or chaque ordinateur connect au r seau n a qu une seule adresse IP On ajoute donc cette adresse un num ro qui permet l ordinateur de faire parvenir le paquet la bonne application On crit ce num
291. i s affiche l cran ou ce qui est entr au clavier d un ordinateur sans n cessairement disposer d un acc s physique la machine ou en p n trant dans le domicile de la per sonne surveill e pour y installer les outils n cessaires 3 1 Les logiciels malveillants Les logiciels malveillants que l on appelle galement malwares sont des logiciels qui ont t d velopp s dans le but de nuire collecte d informations h bergement d infor mations ill gales relai de pourriel etc Les virus informatiques les vers les chevaux ac X de Troie les spyware les rootkits logiciels permettant de prendre le contr le d un page 26 ordinateur et les keyloggers sont de cette engeance Certains programmes peuvent appartenir plusieurs de ces categories simultan ment Afin de s installer sur un ordinateur certains logiciels malveillants exploitent les vul n rabilit s du syst me d exploitation ou des applications Ils s appuient sur des er reurs de conception ou de programmation pour d tourner le d roulement des pro grammes leur avantage Malheureusement de telles failles de s curit ont t trouv es dans de tr s nombreux logiciels et de nouvelles sont trouv es constamment tant par des gens qui cherchent les corriger que par d autres qui cherchent les exploiter Un autre moyen courant est d inciter la personne utilisant l ordinateur a lancer le logiciel malveillant en le cachant
292. i se pose en effet s il est possible d augmenter globalement de nouveau le niveau de s curit de l ensemble des activit s pratiqu es ce serait trop p nible a l usage Il convient donc de pr ciser les besoins respectifs en termes de confidentialit de ces diverses activit s Et a partir de 1a faire le tri et d cider lesquelles plus sensibles que les autres doivent b n ficier d un traitement de faveur T 7 2 page 651 Le prochain cas d usage tudiera de tels traitements de faveur mais patience mieux E al vaut pour l instant terminer la lecture de celui ci 8 3 4 Quatri me tape en r seau Tout ceci est valable pour un ordinateur hors ligne D autres angles d attaques sont imaginables s il est connect un r seau Le second tome de ce guide les tudiera A A A Bonn ee nn one vo SO EA IE tat HT g l Et au del de ces probl mes plusieurs autres angles d attaque demeurent encore en visageables contre une telle politique de s curit 8 3 5 Angle attaque une br che dans le syst me de chiffrement utilis Comme il a d j t expliqu en ces pages tout syst me de s curit finit par tre cass Si l algorithme de chiffrement utilis est cass a fera la une des journaux tout le monde sera au courant et il sera possible de r agir Mais si c est sa mise en uvre dans le noyau Linux qui est cass e a ne passera pas dans Lib ration et il y a for
293. icat de r vocation pour la cl 2A544427 rev Taper ensuite sur entr e le terminal doit renvoyer en retour un message ressemblant gpg clef 2A544427 Alice exemple seulement lt alice example org gt certificat de gt r vocation import gpg Quantit totale trait e 1 gpg nouvelles r vocations de clef 1 gpg 3 marginale s n cessaire s 1 compl te s n cessaire s mod le de confiance PGP gpg profondeur 0 valables 1 sign es 0 confiance 0 i On d 0j Om Ot lu Maintenant il nous reste encore a faire savoir nos correspondants que notre paire de cl s a t compromise car pour l instant seul notre ordinateur est au courant Pour y rem dier nous pouvons publier notre cl d sormais r voqu e Il faudra ensuite dire nos correspondants par exemple par email qu il leur faut se synchroniser avec le serveur de cl s afin de r voquer notre cl publique en leur possession Si en revanche nous n avons pas publi notre cl publique sur un serveur de cl s il faudra inclure le certificat de r vocation dans un email envoy nos correspondants Publier la paire de cl s r voqu e Si notre cl publique a au pr alable t publi e sur un serveur de cl s le mieux est de page 134 se synchroniser avec ce m me serveur pour que notre cl publique y soit d sormais r voqu e galement permettant ainsi tous nos correspondants d en tre avertis en se sy
294. ichier un code qu on appelle parfois extension permettant d indiquer le format du fichier Quelques exemples d extensions pour la musique on utilisera le format MP3 ou Ogg pour un document texte le LibreOffice ce sera OpenDocument Text ODT pour des images on aura le choix entre le JPEG le PNG le format d Adobe Photoshop PSD etc Il peut tre int ressant de faire la diff rence entre les formats ouverts dont les d tails sont publics et les formats propri taires souvent concus pour tre manipul s par un logiciel bien pr cis Les formats propri taires ont parfois t observ s la loupe pour tre ouverts par d autres logiciels mais leur compr hension reste souvent imparfaite et assujettie des changements d une version l autre d une application C est typiquement le cas pour le format de Microsoft Word souvent appel doc ou docx 1 5 4 La m moire virtuelle swap Normalement toutes les donn es auxquelles le processeur doit acc der et donc tous les programmes et les documents ouverts devraient se trouver en m moire vive Mais pour pouvoir ouvrir plein de programmes et de documents les syst mes d exploitation modernes trichent ils changent quand c est n cessaire des morceaux de m moire vive avec un espace du disque dur d di a cet effet On parle alors de m moire virtuelle de swap en anglais ou encore d espace d change Le systeme d exploitation fait donc sa
295. iciles retrouver et surtout de mauvais codage des caracteres si l on est amen taper notre phrase de passe sur un clavier diff rent de celui dont on a Vhabitude Un exemple prenons cette phrase sans sens apparent correct cheval pile agraphe On peut les transformer ainsi pour obtenir une meilleure phrase de passe korect sheVall peEla grafF Une fois vos donn es chiffr es avec votre nouvelle phrase de passe c est une bonne id e de l utiliser tout de suite une bonne dizaine de fois pour d chiffrer vos donn es Cela permettra d apprendre un peu vos doigts comment la taper et ainsi de la m moriser a la fois mentalement et physiquement N oublions toutefois pas que si trouver une telle phrase de passe n est pas sans effort cela ne dispense aucunement d en trouver une diff rente par support que l on chiffre L usage d une m me phrase de passe ou pire d un m me mot de passe pour une vari t de choses diff rentes boites mail compte PayPal banque en ligne etc peut rapidement s av rer d sastreux si elle est d voil e CHAPITRE 1 3 D marrer sur un CD un DVD ou une cl USB Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e 1 minute 20 minutes environ On va voir ici comment d marrer un ordinateur PC sur un m dia externe par exemple un CD d
296. ier et la faire glisser aussi dans le terminal Apr s avoir rel ch le bouton ce qui est affich doit ressembler gpg verify home amnesia tails i386 0 20 iso sig gt home amnesia tails i386 0 20 iso Appuyer alors sur la touche Entr e pour lancer la v rification Elle peut prendre plusieurs minutes en fonction de la taille du fichier et de la puissance de l ordinateur qu on utilise Une fois la v rification termin e l ordinateur devrait afficher quelque chose qui ressemble a opg Signature faite le mer 07 ao t 2013 19 36 23 UTC avec la clef RSA 4 d identifiant BE2CD9C1 gpg Bonne signature de Tails developers signing key lt tails boum org gt gpg alias T A ILS developers signing key lt amnesia boum org gt Ces quelques lignes pourront tres suivies de quelque chose comme gpg Attention cette clef n est pas certifi e avec une signature de confiance gpg Rien n indique que la signature appartient a son propri taire Empreinte de clef principale 0D24 B36A A9A2 A651 7878 7645 1202 821C BE2C D9C1 e 2 Ces lignes ne nous indiquent pas que la signature est invalide mais seulement que page 1321 l on a pas encore v rifi l authenticit de la cl publique de la personne signataire des L 4 gpg Signature faite le mer 07 ao t 2013 19 36 2 UTC avec la clef RSA gt d identifiant BE2CD9C1 gpg MAUVAISE signature de Tails developers si
297. iffusion publique par exemple Concr tement il s agit de conserver pendant un an les ventuels identifiants ou pseudonymes fournis par Pauteur mais surtout l adresse IP associ e 4 chaque modification de contenu 24 Une requ te aupr s du fournisseur d acc s Internet qui fournit cette adresse IP permet ensuite g n ralement de remonter jusqu au propri taire de la connexion utilis e De plus la Loi relative la programmation militaire 2 promulgu e fin d cembre 2013 permet de demander ces m mes informations en temps r el pour des motifs aussi vari s que les attaques terroristes les cyber attaques les atteintes au potentiel scientifique et technique la criminalit organis e etc C est donc cette obligation de r tention de donn es qui permet la police dans notre histoire introductive d obtenir des informations aupr s des organismes h bergeant les adresses emails incrimin es On va demander Gmail ainsi qu no log les informations sur ces adresses email A partir de la on pourra sans doute mettre la main sur les personnes responsables de cette publication Les hebergeurs pourront amp tre plus ou moins coop ratifs sur la facon de v rifier la l galit des requ tes que leur adressent les flics et d y repondre il semblerait que certains r pondent un simple email des flics alors que d autres attendront d avoir un courrier sign d un juge 7 voire ne r pondent pas aux requ tes 7 N
298. ignes quasiment tous les autres syst mes Le projet Debian publie peu pres tous les deux ans une version stable Cela repr sente un norme effort pour coordonner la compatibilit des diff rentes versions des logiciels effectuer de nombreux tests et s assurer qu il n y reste aucun d faut majeur 23 3 Les mises a jour quotidiennes d un systeme chiffr 6 Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org O Dur e une minute pour lancer la mise jour plus un temps variable pour les t l char gements et l installation pendant lequel on peut continuer utiliser son ordinateur Tout l int r t d une version stable de Debian est que par la suite les logiciels qui la composent ne sont plus modifi s en profondeur ne seront ajout es que les am lio rations de traduction les corrections de probl mes lies la s curit ou emp chant d utiliser normalement un programme Ces nouvelles versions peuvent donc tre en g n ral install es les yeux ferm s elles ne devraient pas perturber les petites habitudes qu on a prises Lorsqu on a install l environnement graphique de bureau le systeme v rifiera automa tiquement lorsqu il sera connect Internet la disponibilit de nouvelles versions dans les d p ts configur s O az T a ey ee en 4 Lorsque c e
299. il d marre sur le bon support voir la recette expliquant comment d marrer sur un m dia externe pour les d tails Au d marrage Tails affiche un cran qui permet de choisir entre autres options la langue d affichage et la disposition du clavier r l g AA een 4 tome 2 18 8 all 7 I 4 l la et E 4 l 102 II OUTILS 14 5 Utiliser la persistance de Tails Lorsqu on utilise Tails partir d une cl USB ou d une carte SD il est possible de cr er un volume persistant chiffr sur l espace libre de la cl cr par l Installeur de Tails Les donn es contenues dans le volume persistant sont sauvegard es et restent dispo nibles d une session de travail l autre Le volume persistant permet de sauvegarder des fichiers personnels des cl s de chiffrement des configurations ou des logiciels qui ne sont pas install s par d fault dans Tails Une fois le volume persistant cr on peut choisir de l activer ou non a chaque d marrage de Tails On pourra enfin le supprimer lorsqu on ne voudra plus pouvoir acc der ses donn es L utilisation d un volume persistant n est toutefois pas sans cons quences quant aux traces laiss es C est pourquoi il faudra commencer par lire la page d avertissements concernant l usage de la persistance Pour cela cliquer sur l ic ne Documentation de Tails se trouvant sur bureau Dans le menu droite cliquer sur Documenta
300. informations sur ces adresses email A partir de l on pourra sans doute mettre la main sur les personnes responsables de cette publication Bien Nerret Tr s bien De mon c t je contacte le proc Et tenez moi au courant d s qu il y a du neuf Bien commissaire Bonne journ e Voil pour la mise en contexte Cette petite histoire fictive pourra en rappeler d autres bien plus r elles L id e tait simplement de montrer combien il est facile et rapide de s exposer lors de la moindre connexion Internet et cela sans qu aucune forme de surveillance cibl e ne soit n cessaire Quant savoir quelles traces num riques permettent de remonter jusqu Alice et Beno t l un des objectifs de ce second tome est justement d apporter des clair cissements sur ces points Avant de baliser encore une fois quelques pistes pour se prot ger des attaques cibl es ou non CHAPITRE 1 Bases sur les r seaux Internet ce n est pas un espace virtuel un nuage d information abstrait o l on trouve tout et n importe quoi En tout cas ce n est pas seulement cela Ce qu on appelle Internet est avant tout un ensemble de r seaux Des millions de r seaux agr g s sur plusieurs d cennies et de facon plus ou moins chaotique g r s aussi bien par des entreprises des universit s des gouvernements des associations que des particuliers des millions d ordinateurs et de mat riaux de tous types reli s entr
301. installation de Debian ou un syst me live sur une cl USB ou m me une carte SD Parfois en particulier sur les ordinateurs modernes c est tr s simple D autres fois c est un peu s arracher les cheveux ou DVD etc o se trouve le syst me qu on veut utiliser 13 1 Essayer na vement Commencer par mettre le CD ou le DVD dans le lecteur ou par brancher la cl puis re d marrer Pordinateur Parfois a marche tout seul Si c est le cas c est gagn lire la suite est inutile 13 2 Tenter de choisir le p riph rique de d marrage Sur les micrologiciels r cents il est souvent possible de choisir un p riph rique de d marrage au cas par cas Re d marrer l ordinateur en regardant attentivement les tout premiers messages qui s affichent l cran Chercher des messages en anglais qui ressembleraient e Press KEY to select temporary boot device e KEY Boot menu e KEY to enter MultiBoot Selection Menu Ces messages disent d utiliser la touche KEY pour choisir un p riph rique de d marrage Cette touche est souvent F12 ou F10 Sur les Mac il existe un quivalent de cette possibilit imm diatement apres l allu mage de l ordinateur il faut appuyer et maintenir la touche parfois galement 94 II OUTILS marqu e Au bout d un moment on doit normalement voir appara tre le Gestionnaire de d marrage Mais revenons nos PC Souvent le micrologiciel va trop vite on n a
302. ion compte donnees personnelles vie privee god 8 Suivant le navigateur qu on utilise il existe des extensions comme noscript http noscript net qui permettent de g rer ces param tres A Se A 4 g 4 5 l 4 5 a 52 I COMPRENDRE 4 5 De la centralisation l auto h bergement d centralis Face une centralisation toujours croissante des donn es et des applications peut on profiter des avantages d un r seau participatif et interactif sans perdre le contr le sur nos donn es Le d fi parait ardu Mais des travaux sont en cours pour d velopper des applications web qui fonctionneraient de facon d centralis e chez chaque internaute au lieu d tre centralis es sur quelques serveurs Des projets comme les m dias sociaux de pair pair ownCloud la FreedomBox ou encore la distribution YunoHost travaillent dans cette direction En attendant qu ils soient aussi simples d utilisation que les solutions propos es par les g ants du web 2 0 il est d ores et d ja possible en mettant un peu les mains dans le cambouis d h berger soi m me la plupart des services qu on souhaite offrir ou utiliser 9 Owncloud http owncloud org en anglais 10 Freedombox foundation http freedomboxfoundation org en anglais 11 Page francophone du projet YunoHost https doc yunohost org index fr CHAPITRE 5 Identit s contextuelles L un des pr suppos s de ce guide est l
303. ion de nos donn es L usage massif du webmail nous am ne une situation o des milliers de bo tes mail avec tout leur contenu se retrouvent entre les mains des plus gros fournisseurs de service email leur confiant ainsi la garde d une montagne de donn es personnelles Ces h bergeurs peuvent les utiliser des fins commerciales les livrer diverses autorit s ou tout simplement les perdre De plus si l on consid re que notre correspondance est sensible d une mani re ou d une autre peut tre preferera t on ne pas la laisser reposer sur les paules de personnes car il y en a encore derri re les machines qui n ont pas particulierement envie d en porter la responsabilit Tel fut probablement le cas courant ao t 2013 pour la soci t d h bergement d email Lavabit qui h bergeait un compte email d Edward Snowden et qui d cida de stopper ses activit s Fermeture intervenue suite aux requ tes voire pressions de la part d agences gouvernementales telles que la NSA ou le FBI Enfin Putilisation du webmail peut nous faire profiter pleinement d un tas de pu blicit s s affichant dans notre navigateur web lors de la consultation de notre bo te nr aux lettres informatique Publicit s qui peuvent d ailleurs tre choisies en fonction du page 33 contenu de nos mails 10 6 Client mail Un client mail ou client de messagerie est un logiciel qui sert g rer ses emails les recevoir les lire les envoyer etc D
304. ique de s curit bas e sur le principe de la liste noire a un gros probleme une telle liste n est jamais complete car elle prend uniquement en compte les pro blemes qui ont d j t rep r s C est une t che sans fin d sesp rante que de tenir jour une liste noire qu on le fasse nous m mes ou qu on le d l gue des gens ayant des connaissances informatiques pointues quelque chose sera forc ment oubli L ennui c est que malgr leurs d fauts r dhibitoires les outils bas s sur une approche liste noire sont l gion comme nous allons le voir au contraire de ceux s appuyant sur la m thode liste blanche qui nous est donc sans doute moins familiere Mettre en ceuvre l approche liste blanche requiert donc un effort initial qui s il peut tre important est bien vite r compens apprendre a utiliser un systeme live qui n ecrit rien sur le disque dur sans qu on lui demande ca prend un temps non n gli geable mais une fois que c est fait c en est fini des longues s ances de nettoyage de disque dur toujours recommencer et inefficaces car bas es sur le principe de liste noire Une autre illustration nous est fournie par les logiciels antivirus qui visent 4 emp cher l execution de programmes mal intentionn s Vu qu ils fonctionnent sur le principe de la liste noire leurs bases de donn es doivent perp tuellement tre mises a jour syst matiquement en retard Une r ponse a c
305. iquer la t che aussi bien pour des acces d sir s qu ind sirables 10 6 Un disque dur Une cl Plusieurs cl s Selon les choix faits pr c demment entre autres sur la phrase de passe on peut se demander quels supports utiliser Sachant que sur le plan technique le plus simple actuellement est d avoir une seule phrase de passe par support Un disque dur externe peut contenir plus de donn es qu une cl USB et est donc parfois n cessaire pour archiver un projet de vid o par exemple Archiver plusieurs projets sur un m me support permet de se simplifier la t che mais il devient alors difficile de s parer les projets selon les niveaux de confidentialit souhait s Qui plus est en proc dant ainsi les personnes pouvant acc der aux archives d un projet ont aussi acc s aux autres ce qui n est pas forc ment souhaitable Par ailleurs si la phrase de passe est un secret partag autant faciliter l acces aux personnes partageant le secret en ayant un support qu elles peuvent se transmettre TROISIEME PARTIE Outils Dans cette troisieme partie nous expliquerons comment appliquer concr tement quelques unes des pistes voqu es pr c demment Cette partie n est qu une annexe technique aux pr c dentes une fois comprises les probl matiques li es l intimit dans le monde num rique une fois les r ponses adapt es choisies reste la question du Comment faire a laquelle cette annexe a
306. iquer sur Extraire ici Un dossier s appellant tor browser_fr est cr On peut ensuite supprimer le fichier tor browser gnu linuz tar xz le TBB est ins tall 12 3 Lancer le Tor Browser Bundle Pour lancer le TBB il faut se rendre dans le Dossier personnel puis dans le dossier tor browser_fr La il faut double cliquer sur start tor browser une fen tre s ouvre nous demandant si on veut lancer start tor browser et comme c est ce que l on veut on clique sur Lancer droite Le lanceur du TBB s ouvre et nous propose soit de Se connecter au r seau Tor directement soit de le Configurer avant notre premiere connexion au r seau Tor via le TBB Si tout se passe bien apr s avoir cliqu sur Se connecter en quelques secondes un navigateur web s ouvre dans lequel il est inscrit F licitations Ce navigateur est configure pour utiliser Tor L adresse IP du n ud de sortie s affiche si l on clique sur Tester les parametres du r seau Tor Il peut arriver dans certaines conditions comme dans le cas du bloquage des connexions vers le r seau Tor par des fournisseur d acc s Internet que le TBB n arrive pas a se connecter Dans ce cas ou simplement pour plus d informations consulter la documentation disponible sur le site web du projet Tor 1 Tir et adapt de Torproject Le Guide Rapide Utilisateur http www torproject org in dist manual short user manual_fr xhtml CHAPITRE Naviguer s
307. iques de la prise de vue sans oublier une version miniature de l image Ce sont d ailleurs ces m ta donn es qui mettront fin 4 la cavale John McAfee fonda teur et ancien patron de la soci t de s curit informatique du m me nom Et toutes ces informations ont tendance a rester apres tre pass es par un logiciel de retouche photo Le cas de la miniature est particulierement interessant de nombreuses photos disponibles sur Internet contiennent encore l int gralit d une photo recadr e et des visages ayant t flout s 3 Deblock Fabrice 2006 Quand les documents Word trahissent la confidentialit http ww journaldunet com solutions 0603 060327 indiscretions word shtml 4 Big Browser 2012 VICE DE FORME La bourde qui a men a l arrestation de John McAfee http bigbrowser blog lemonde fr 2012 12 12 vice de forme la bourde qui a mene a larrestation de john mcafee 5 Maximillian Dornseif et Steven J Murdoch 2004 Hidden Data in Internet Published Docu ments http events ccc de congress 2004 fahrplan files 316 hidden data slides pdf en anglais CHAPITRE 3 Logiciels malveillants mouchards et autres espions Au del des traces que le fonctionnement de tout systeme d exploitation laisse au moins le temps o l ordinateur fonctionne on peut aussi trouver dans nos ordinateurs tout un tas de mouchards Soit install s notre insu permettant par exemple de d tourner les journaux v
308. ironnement de travail 4 2 et des clients devenus b n voles En arrivant sur le march web ces entreprises durent revoir leur mod le conomique L audience de l Internet grandissant il n tait pas possible de financer un site web sur la seule publicit tout en payant une arm e de r dacteurs pour fournir du contenu en quantit toujours plus importante Les fournisseurs de services utiliserent une technique d ja pr sente sur le web depuis longtemps miser sur la participation des internautes Ce sont dor navant ceux ci qui se chargent de r diger le contenu qui alimente les sites Les fournisseurs de services se contentent d h berger les donn es et de fournir l interface permettant d y acc der mais aussi et surtout d ajouter de la publicit autour et d encaisser la monnaie Ainsi la plateforme de partage de vid o YouTube a pendant de nombreuses ann es permis a ses internautes de mettre en ligne et de visionner gratuitement les vid os de leur choix sans contrepartie visible Aujourd hui suite au succ s et fort de son monopole la plupart des personnes voulant visionner et partager des vid os sont d pendantes de cette plateforme ce qui permet alors YouTube d imposer petit petit de la publicit Au d but elle se situait sur un bandeau c t de l image puis sur un bandeau transparent sur l image et maintenant c est tout simplement une vid o incrust e au d but de celle que l
309. is Cr er un dossier et lui donner un nom vocateur comme Dossier o Windows peut crire Indiquer au gestionnaire de la machine virtuelle o se trouve ce dossier e Si la machine virtuelle est teinte la d marrer Aller dans la fen tre de VirtualBox dans laquelle est lanc e la machine virtuelle Windows et ouvrir le menu P riph riques Dossiers partag s e Ajouter un dossier en cliquant sur l ic ne avec un en haut gauche Une bo te de dialogue s ouvre dans Chemin du dossier cliquer sur Autre et indiquer l emplacement du dossier partager dans Nom du dossier le nom que le dossier aura l int rieur du syst me virtuel s affiche Choisir un nom court sans espace par exemple sortie 22 INSTALLER ET UTILISER UN SYSTEME VIRTUALIS 167 Si on veut exporter un dossier de facon permanente et non pas pour cette session uniquement cocher la case Configuration permanente ne pas cocher la case Lecture seule Attention avant de valider il faut tre bien s r que le dossier en question est vide Windows pourra en effet non seulement y crire mais aussi y lire Si c est bon cliquer sur OK et refermer la fen tre avec OK Indiquer 4 Windows XP ot se connecter pour trouver ce dossier partag e Dans le menu D marrer ouvrir le Poste de travail Dans le menu Outils cliquer sur Connecter un lecteur r seau e Windows propose un nom de lecteur par exemple Z et
310. iser les DNS par d faut de Free ce r solveur pour une liste de nom de domaine blo quer donne une r ponse fausse en pointant vers un serveur de fichier vide et par cons quent le navigateur web n affiche rien la place des pub Hameconnage Dans le m me ordre d id e hameconnage appel galement filoutage ou phishing en anglais consiste pousser l internaute se connecter un site qui n est pas celui qu il croit tre mais qui y ressemble beaucoup Par exemple un site qui ressemble comme deux gouttes d eau a celui d une banque afin d obtenir des mots de passe de connexion une interface de gestion de comptes bancaires Pour cela l adversaire ach te un nom de domaine qu on croira tre le bon au premier coup d ceil Il ne lui reste plus qu a inciter la personne cibl e a se connecter a ce site g n ralement en lui faisant peur par exemple Nous avons d tect une attaque sur votre compte ou Vous avez d pass votre quota suit alors la proposition de r gulariser la situation en cliquant sur le lien pi g 53 Apres cette coupure des milliers d utilisateurs se sont vus priv s de leurs contenus en un claquement de doigts et pas que de leurs fichiers pirates au vu des p titions en ligne et de tous ces gens disant que leur vie professionnelle tait ruin e car ils n avaient plus acc s tous leurs documents 54 Fyodor 2007 Seclists org shut down by Myspace and GoDaddy
311. iser les derni res versions de ces logiciels est de s assurer qu on utilise bien la derni re version du syst me live Au d marrage du syst me live Tails le Tails upgrader appara t pour nous pr venir lorsqu une nouvelle version qui corrige des failles de s curit est disponible Dans le cas o l on utilise un DVD il faut donc d truire celui contenant l ancienne version et en graver un nouveau Sauf si celui ci est r inscriptible auquel cas il suffira de l effacer pour y graver la derni re version de Tails Pour une cl USB ou une carte SD et dans la mesure o l on dispose d une connexion Internet on peut utiliser le Tails upgrader directement Il suffit de cliquer sur mettre jour maintenant et de suivre l assistant tout au long du processus Si une erreur se produit ou s il est n cessaire d utiliser une autre m thode de mise jour l assistant nous orientera vers la page de la documentation appropri e Celle ci se trouve facilement partir de la Documentation de Tails se trouvant sur le bureau Dans le menu droite cliquer sur Documentation Dans l index qui s ouvre chercher la section Premier pas avec Tails et cliquer sur la page Mettre jour une cl USB ou une carte SD Tails 23 2 Garder a jour un systeme chiffr a ic gers qT An 170 II OUTILS de lui faire confiance Les sections qui suivent concernent le systeme Debian mais les concepts s appliquent dans les grandes l
312. isine dans le troisi me tiroir de la commode sur papier ou sur une cl USB 2 Moyens n cessaires perquisition cambriolage ou autre visite impromptue 3 Cr dibilit de l attaque grande c est pr cis ment contre ce type de situations qu on cherche se prot ger ici L encore on constate qu une politique de s curit doit tre pens e comme un tout Sans un minimum de coh rence dans les pratiques rien ne sert de s emb ter taper des phrases de passe longues comme un jour sans pain Il est donc temps de trier les papiers dans la commode et de nettoyer toute cl USB CD DVD contenant des donn es qu on compte d sormais chiffrer e sauvegarder sur un support chiffr les donn es conserver e pour les cl s USB et disques durs externes effacer pour de vrai leur contenu e pour les CD et DVD les d truire et se d barrasser des r sidus e d cider que faire des donn es pr alablement sauvegard es les recopier sur le disque dur nouvellement chiffr ou les archiver 8 3 3 Troisi me tape la loi comme moyen de coercition 1 Angle d attaque la police a le droit d exiger que vous lui donniez acc s aux informations chiffr es comme expliqu dans le chapitre consacr la cryptographie 2 Moyens n cessaires suffisamment de pers v rance dans l enqu te pour appli quer cette loi T Ne ne 4 i T page 24 L a TR ce T 60 II CHOISIR DES R PONSE
313. isque interne commencer par d brancher tous les disques durs externes cl s USB lecteurs de cartes m moire ou autre p riph rique de stockage branch s sur l ordinateur D une part cela vitera de les effacer par erreur d autre part cela rendra la recherche du disque interne plus facile Bien s r il ne faut pas faire cela si c est justement le contenu d un disque externe que l on souhaite rendre inaccessible Ouvrir l Utilitaire de disque On va s aider de l Utilitaire de disque que l on ouvre partir du menu Applications gt Accessoires Chercher le disque en question La partie situ e gauche indique la liste des disques durs connus du syst me Les ic nes la taille indiqu e ainsi que le nom des disques devraient permettre d iden tifier celui que l on cherche On peut cliquer sur l un d entre eux afin de voir plus d informations appara tre sur la partie droite Le premier p riph rique que l Utilitaire de disque affiche dans cette liste est g n ra lement le disque dur interne Chercher le chemin de la partition Lorsqu un disque est s lectionn dans la liste de gauche plus d informations son sujet apparaissent dans la partie droite de la fen tre On s int ressera en particulier au sch ma des Volumes ou partitions Normalement les partitions chiffr es sont indiqu es dans la partie Volumes avec comme indication Chiffre mais ce n est pas toujours le cas l Utilitaire de
314. it civile comme nous l avons vu dans la page 54 partie sur les pseudonymes En effet m me sous un pseudonyme le fond et la forme de nos conversations peuvent en dire tr s long sur la personne se trouvant derri re le clavier Il est bon de garder en m moire le fait que quand on essaye de d finir une politique de o s curit lors d une relation entre plusieurs personnes que ce soit au t l phone dans le page 91 cas d changes d emails ou encore ici pour la messagerie instantan e le niveau global de s curit sera nivel par le niveau de s curit du protagoniste le moins pr caution neux En effet si l on prend par exemple soin d utiliser Tails afin de ne laisser aucune trace de notre conversation sur l ordinateur alors que notre interlocuteur utilise son systeme d exploitation habituel sans protection particuli re alors ce dernier sera sans doute le point le plus faible de la politique de s curit de notre communication Enfin comme cela a d ja t dit le chiffrement OTR ne permet pas a l heure actuelle de converser plus de deux la fois Des recherches avancent cependant dans ce sens En attendant et condition d aimer bidouiller il est d ores et d j possible de mettre en place son propre serveur de messagerie instantan e par exemple XMPP sur un service cach Tor page 71 2 Wikip dia 2014 Proxy https fr wikipedia org wiki Proxy 3 lan Goldberg et Al 2009 Multi
315. it d j mentionn es e Aller dans la section R seau e D cocher la case Activer la carte r seau dans tous les onglets o elle est d j coch e par d faut g n ralement dans un seul le premier Cliquer ensuite sur OK pour enregistrer les param tres Cr er un compte utilisateur pour le nouveau projet 2 q vr ol Comme expliqu dans le cas d usage on souhaite travailler sur un compte utilisa page 68 A aa a Le teur diff rent pour chaque projet Voici comment le faire avec Windows XP ca ne doit pas tre trop diff rent avec d autres versions D marrer la nouvelle machine virtuelle en cliquant sur D marrer Une fois dans le Windows virtualis ouvrir D marrer gt Panneau de configuration puis choisir Comptes d utilisateurs et Cr er un nouveau compte Choisir alors un nom pour le nouveau compte tout en gardant a l esprit que ce nom sera probablement enregistr dans les documents cr s Choisir ensuite de cr er un compte Administrateur de l ordinateur et cliquer sur Cr er un compte Fermer alors la session partir du menu D marrer On veillera ne plus utiliser pour ce projet que le compte nouvellement cr 1 tant donn que Pon utilise un disque virtuel propre pour chaque projet et que l on a pas acc s au r seau cela ne constitue pas un grand risque et nous simplifiera la vie 164 II OUTILS 22 6 Envoyer des fichiers a un systeme virtualis
316. it s ayant des pouvoirs suffi sants Il est juste de se dire qu en premier lieu ne pas avoir une adresse email du genre nom pr nom exemple org est d j un bon r flexe Il va tout d abord falloir penser utiliser un pseudonyme pour mettre sur pied une identit contextuelle pr a Ceci dit si Kiwi Poilu crit r gulierement Caroline Carot Sofiane Carot et Francine Carot un adversaire pourrait se dire qu il appartient a la famille Carot ou fait partie des intimes les identit s des gens qui on crit sont elles aussi r v latrices De plus si l on utilise un pseudonyme mais qu un adversaire observe que les emails qu il surveille sortent de telle maison ou tel appartement il peut effectuer le rappro page 69 chement C est pourquoi comme pour la navigation sur le web l utilisation du routage 3 de brouiller des pistes remontant jusqu notre ordinateur Enfin le contenu des changes peut permettre d en apprendre suffisamment sur leurs auteurs pour mettre des noms dessus Cacher une identit n cessite donc de faire attention non seulement aux en t tes mais aussi au contenu de l email Pour prot ger le contenu des emails des regards curieux que ce soit pour lui m me ou pour ce qu il peut divulguer sur les auteurs des mails on utilisera le chiffrement SR en nr al UNIR d emails Tl Deuxi me tape regarder sur l ordinateur utilis Pere eee N Si le r seau Tor ain
317. it 1 par dessus 1 cela donne plut t 1 054 un peu comme on peut lire sur un bloc notes ce qui a t crit sur une page arrach e par les d pressions cr es sur la page vierge situ e en dessous En revanche a devient tr s difficile voire impossible de les r cup rer quand on r crit un grand nombre de fois par dessus et de diff rentes mani res La meilleure fa on donc de rendre inaccessible le contenu de ces fichiers supprim s est d utiliser des logiciels qui s assureront de le r crire plusieurs fois pour terminer par du charabia incompr hensible C est ce qu on appelle craser des donn es wipe en anglais 4 3 3 Quelques limites des possibilit s de r criture M me s il est possible de r crire plusieurs fois un endroit donn d un disque dur pour rendre inaccessibles les donn es qu il contenait cela ne garantit pas pour autant leur disparition complete du disque Les disques intelligents Les disques durs modernes r organisent leur contenu intelligemment une partie du disque est reserv e pour remplacer des endroits qui deviendraient d fectueux Ces op rations de remplacement sont difficilement d tectables et on ne peut jamais tre vraiment s r que l endroit sur lequel on r crit trente fois est bien celui ou le fichier a t crit initialement Pour les cl s USB on est m me s r que dans la plupart des cas on r crit un endroit diff re
318. it pouvoir ni se souvenir ni deviner la phrase de passe qui sera utilis e pour le chiffrement On va donc g n rer une phrase de passe compl tement al atoire en tapant la commande head c 32 dev random base64 1 Pour plus de d tails voir l article de Wikip dia sur les secrets r partis https fr wikipedia org wiki Secret r parti 20 150 II OUTILS L ordinateur va r pondre quelque chose comme 7rZw00u 8v1stea980uyUlefwNzHaKX9CuZ TKObRWY Si Pon d sire une phrase de passe de plus ou moins de 32 caract res il suffira de remplacer 32 par le nombre de caract res d sir s S lectionner cette ligne l aide de la souris et la copier dans le presse papiers via le menu Edition gt Copier 20 1 3 D couper le secret Avant de d couper le secret il faut d cider en combien de morceaux il sera d coup et combien de morceaux seront n cessaires pour le reconstituer Ensuite toujours a l aide de notre terminal il faut utiliser ssss split de la facon suivante ssss split t NOMBRE DE MORCEAUX NECESSAIRES n NOMBRE DE MORCEAUX TOTAL Le NOMBRE DE MORCEAUX NECESSAIRES est le nombre de morceaux qu il sera n cessaire de r unir pour retrouver la phrase de passe de d part Le NOMBRE DE MORCEAUX TOTAL correspond au nombres de morceaux en lesquels la phrase de passe sera d coup e Le message WARNING couldn t get memory lock peut tre ignor sans probl me si on utilise
319. it y avoir au moins deux partitions l une avec un systeme de fichiers swap l autre en g n ral ext e si le disque effacer contenait un syst me GNU Linux chiffr il doit y avoir au moins deux partitions l une avec un systeme de fichiers ext2 l autre en g n ral Chiffr ou Inconnu e si le disque effacer contenait un systeme Windows il doit y avoir une ou plusieurs partitions not es ntfs ou fat32 17 EFFACER DES DONN ES POUR DE VRAI 131 Par ailleurs le p riph rique correspondant au disque interne est g n ralement le pre mier de la liste Une fois le disque trouv et s lectionn on pourra lire le chemin du disque dans la partie droite sous l intitul Disque c t de l tiquette P riph rique Le chemin du p riph rique commence par dev suivi de trois lettres les deux pre mieres tant sd ou hd par exemple dev sdx Noter le chemin quelque part il faudra l crire tout l heure la place de LE P RIPH RIQUE Attention Ce chemin n est pas n cessairement toujours le m me Il vaut mieux recommencer cette courte proc dure apr s avoir red marr l ordinateur branch ou d branch une cl USB ou un disque dur Cela vitera les mauvaises surprises comme perdre le contenu d un autre disque dur 17 6 2 Lancer la commande shred Saisir la commande suivante en veillant remplacer LE P RIPH RIQUE par le chemin de p riph rique d termin pr c demment
320. ite utiliser Sinon en cr er un au pr alable 19 4 Cr er un compte de messagerie instantan e Si l on ne dispose pas de compte de messagerie instantan e c est le moment d en A ane a fe c E tome 1 ch 12 cr er un Tout comme pour un compte mail un identifiant et une phrase de passe seront n cessaires pour viter d utiliser tout le temps la m me ou bien de risquer de q page 149 l oublier il est possible d utiliser un gestionnaire de mots de passe E J Certains fournisseurs d adresses email comme le collectif tats unien Riseup pro posent un compte de messagerie instantan e toute personne y disposant d une adresse email tout comme un compte Facebook donne acc s la messagerie instan tan e du site Facebook Messenger On peut utiliser des serveurs communautaires o l inscription est libre Par exemple une liste de serveurs XMPP libres est disponible sur le site jabberfr org Une fois un serveur choisi et les informations n cessaires entr es dans la fen tre de Pidgin cocher la case Cr er ce nouveau compte sur le serveur Il est aussi possible de se connecter des serveurs du protocole IRC sans disposer de compte 19 5 Chiffrer la connexion au serveur XMPP Par d faut Pidgin configure le nouveau compte pour qu il chiffre la communication avec le serveur XMPP Si le certificat est bien sign par une Autorit de Certification la connexion se d roulera sans probleme et
321. ite web venu e prendre au s rieux les avertissements des systemes d exploitation r cents qui tentent de pr venir les utilisateurs lorsqu ils utilisent un logiciel peu s r ou lors qu ils indiquent qu une mise a jour de s curit est n cessaire e enfin limiter les possibilit s d installation de nouveaux logiciels en limitant l uti lisation du compte administrateur et le nombre de personnes y ayant acces 3 2 Les mat riel espions Les adversaires voulant mettre la main sur les secrets contenus par nos ordinateurs AS q page 241 peuvent utiliser des logiciels malveillants comme on vient de le voir mais peuvent L BU gt IAS da tara AE ee Te tout aussi bien utiliser du mat riel espion Et celui ci n a rien envier au bon vieux James Bond Il existe tout une gamme de mat riel plus ou moins facilement disponible permettant intrusions ou exfiltration d information quasiment tous les niveaux d un ordinateur Suite la r v lations de documents confidentiels de la NSA par Edward Snowden un v ritable catalogue du parfait espion informatique a t publi sur le journal allemand Spiegel 14 Sans en faire un tour exhaustif on peut d couvrir p le m le dans ce catalogue de faux connecteurs USB permettant de retransmettre sous forme d ondes radio ce qui transite par ces m mes connecteurs des minuscules puces install es dans les c bles reliant cran ou clavier l ordinateur et faisant de m me
322. iter l acc s des informations Il faut tout simplement consid rer que mettre une information sur un ordinateur et c est encore plus vrai quand il est sur un r seau c est accepter que cette information puisse nous chapper Ce guide peut aider limiter la casse mais il faut malgr tout prendre acte de cette r alit 1 2 Le mat riel Somme de composants reli es entre eux notre ordinateur est donc d abord une accu mulation d objets qu on peut toucher d placer bidouiller casser L ensemble cran clavier tour ou unit centrale ou l ordinateur portable est pratique quand on veut simplement brancher les fils aux bons endroits Mais pour savoir ce qu il advient de nos donn es un examen plus fin est n cessaire On considere ici le contenu d un ordinateur classique parfois appel PC Mais on retrouvera la plupart de ces composants avec de legeres variations sur d autres machines Mac t l phone portable box de connexion Internet tablette lecteur MP3 etc 10 I COMPRENDRE 1 2 1 La carte m re Une carte m re Un ordinateur est surtout compos d l ments lectroniques La carte mere est un gros circuit imprim qui permet de relier la plupart de ces l ments a travers l quivalent de fils lectriques Sur la carte m re viendront se brancher au minimum un processeur de la m moire vive un syst me de stockage disque dur ou autre m moire de quoi d marre
323. ites web 19 Austitci 2005 CRACKDOWN violato autistici org some legal notes http www autistici org ai crackdown legal_en html en anglais 20 Wikip dia 2014 Confidentialit persistante https fr wikipedia org wiki Confidentialit _ persistante arae T T l m 5 l 4 68 I COMPRENDRE des deux parties la confidentialit de la communication ne serait pas compromise les participants de l change eux m mes n y ont plus acc s 6 6 R sum et limites La cryptographie asym trique est donc un bon compl ment la cryptographie sy m trique des qu il s agit non pas de prot ger seulement nos donn es mais plut t le contenu de nos communications change d emails navigation sur le web conversa tions par messagerie instantan e etc Son utilisation n est pas aussi compliqu e qu on pourrait le craindre et faire du chiffrement une routine permet aux informations par ticulierement sensibles d tre noy es dans la masse Ce chiffrement est particuli rement efficace lorsqu il est utilis de bout bout c est dire lorsque l exp diteur d un message le chiffre de fa on ce que seul le destinataire final puisse le d chiffrer Pour finir ce petit tour des techniques de cryptographie il est bon de se rappeler que as z le chiffrement aussi difficile casser soit il a des limites qu on a voqu es dans le itome 1 5 1 4 premier tome de ce guide Ces limites touchent notamment
324. ive des int r ts en jeu on peut toutefois d crire quelques motivations parmi les plus courantes 3 1 1 Des entreprises la recherche de profils revendre Vous d cidez de r server un billet d avion pour New York sur Internet Deux jours plus tard en lisant votre quotidien en ligne une publicit vous propose une offre int ressante pour une location de voitures New York Ce n est pas une simple coincidence il s agit d un m canisme de publicit cibl e comme il s en d veloppe actuellement de plus en plus sur Internet 1 La publicit est l une des principales sources de revenus des entreprises qui fournissent des services gratuits sur Internet bo tes mails moteurs de recherche m dias sociaux etc Or du point de vue des annonceurs la qualit et donc le prix d un espace publicitaire en ligne est fonction de l int r t que les internautes vont porter aux publicit s D s lors les donn es personnelles valent de l or Centres d int r t sexe ge etc autant d informations qui permettent de pr senter les publicit s auxquelles linter naute est le plus susceptible de r agir Ainsi Gmail le service d email de Google utilise t il le r sultat de analyse du contenu des emails pour afficher des publicit s 1 CNIL 2009 La publicit cibl e en ligne http www cnil fr fileadmin documents La_CNIL actualite Publicite Ciblee rapport VD pdf 34 I COMPRENDRE correspondantes pour
325. ivre la d marche expliqu e plus bas pour retrouver l empreinte d un certificat d j install dans le navigateur de cette personne e si vous avez acc s plusieurs connexions Internet depuis l endroit o vous tes par exemple en zone urbaine o l on trouve beaucoup d acces Wi Fi visitez le site ou t l chargez le certificat de PAC en utilisant plusieurs d entre elles et comparez PES Vempreinte du certificat qui vous sera pr sent e chaque fois page 70 si vous utilisez Tor vous pouvez profiter du changement de circuit et donc de n ud z de sortie sur Internet pour v rifier plusieurs reprises l empreinte du certificat Cela vitera qu un adversaire ayant la main sur le n ud de sortie ou tant plac entre le n ud de sortie et le site consult puisse usurper son identit Pour savoir si votre n ud de sortie a chang visitez en utilisant votre navigateur Tor un site comme celui de torproject https check torproject org qui vous indique PIP de votre n ud de sortie chaque fois que celle ci change visitez le site souhait ou t l chargez le certificat de AC et comparez son empreinte avec celle collect e les fois pr c dentes Ne les acceptez pas encore Au bout de quelques essais r ussis la Beeren cr dibilit qu il s agisse du bon certificat devient suffisamment grande pour l accepter tome 1 ch 7 Enfin c est vous d en juger en fonction de votre politique de s curit
326. l GnuPG Il s agit de cryptographie asym trique technique qui sera trait e plus avant dans le tome 2 ch 6 tome 2 On se contentera ici de donner un protocole permettant de v rifier une cl partir d une empreinte ou fingerprint On n apprendra pas bien utiliser la cryptographie asym trique I l Ce protocole simplifi a des limites en particulier on v rifie la cl partir d une empreinte une sorte de somme de contr le Toute la confiance que nous allons donner la cl vient uniquement de cette empreinte Or v rifier cette empreinte partir de ce qui est crit dans ce guide cela signifie faire fortement confiance la source partir de laquelle on l a obtenu En lisant ce guide sur Internet c est encore pire on fait en plus confiance sa connexion Internet a ei Tl 4 Encore une fois tout est affaire de compromis entre utilisabilit et s curit Pour obtenir des empreintes en toute confiance le mieux est de les v rifier en t te t te Malheureusement ce n est g n ralement pas possible en pratique lorsqu il s agit de dep ts Debian Ce n est cependant pas une raison pour ne rien v rifier du tout Dans le cadre du premier tome de ce guide qui n aborde pas les probl matiques li es l utilisation de r seaux il n y a pas de solution vraiment satisfaisante En attendant le tome 2 qui traitera plus avant de ces questions le mieux qu on ait tro
327. l ordinateur Des erreurs de conception ou de programmation qui permettent de d tourner le fonctionnement d un programme et de s introduire dans l ordinateur sur lequel il fonctionne sont r guli rement d cou vertes dans les programmes couramment utilis s sur les serveurs Des erreurs dans la configuration des logiciels de la part des admins de ces serveurs sont aussi possibles Ainsi en avril 2011 l exploitation de failles dans les logiciels utilis s sur leurs serveurs a permis des pirates de s introduire dans les serveurs de Sony Online du PlayStation Network et de Qriocity Sony Entertainment Network Cela leur a donn acc s aux donn es personnelles et bancaires de millions d utilisateurs de ces r seaux de jeux vid o pseudonymes mots de passe adresses postales et lectroniques etc 57 Globenet 2007 Les saisies de serveurs en Europe un historique http www globenet org Les saisies de serveurs en Europe html start_aff 6 58 Greenpeace 2007 Greenpeace d plore l abus de proc dure et la r action disproportionn e d Electrabel http ww greenpeace org belgium fr pers persberichten perquisition 59 Wikipedia 2014 Piratage du PlayStation Network https fr wikipedia org wiki Piratage_ du PlayStation Network Diowan 2011 Retour sur le piratage de Sony http www jeuxvideo com dossiers 00014882 le piratage du psn htm 3 SURVEILLANCE ET CONTR LE DES COMMUNICATIONS 45 Si cet exemple a be
328. l les deux possibilit s suivantes s offrent nous e utiliser le Tor Browser Bundle depuis une Debian chiffr e Cela permet de naviguer de mani re anonyme tout en utilisant son syst me habituel Par contre des traces chiffr es seront probablement laiss es sur le disque dur de l ordinateur e utiliser le navigateur web de Tails On ne laisse pas de traces sur le disque dur de l ordinateur utilis voire pas de traces du tout si l on n utilise pas la persistance Une fois votre choix effectu consultez ci dessous le paragraphe correspondant 5 On peut aussi utiliser Tails dans une machine virtuelle tome 1 ch 22 dans le syst me utilis habituellement Dans ce cas la m moire de la machine virtuelle sera visible pour celui ci et toutes les donn es utilis es mots de passe compris seront la port e d une faille de programmation ou d un ventuel logiciel malveillant De plus si celui ci utilise de la swap tome 1 1 5 4 il est possible que des donn es de la machine virtuelle finissent par tre crites sur le disque dur L amn sie du syst me Tails utilis de cette fa on est donc quasiment impossible garantir SS oe q D 4 OR ey een a E 84 II CHOISIR DES R PONSES ADAPTEES 8 5 Naviguer sur des sites web avec le Tor Browser Bundle Si apres avoir pes le pour et le contre on d cide d utiliser le Tor Browser Bundle plut t que Tails certaines pr cautions sont bonnes prend
329. l emplacement o on veut mettre ce dossier d change Par exemple dans le Dossier personnel faire un clic droit puis Cr er un dossier et lui donner un nom vocateur Dossier lisible par Windows par exemple Indiquer au gestionnaire de la machine virtuelle o se trouve ce dossier Aller dans la fen tre de VirtualBox dans laquelle est lanc e la machine virtuelle Windows et ouvrir le menu P riph riques gt Dossiers partag s Ajouter un dossier en cliquant sur l ic ne avec un en haut droite Une bo te de dialogue s ouvre e dans Chemin du dossier cliquer sur Autre et indiquer l emplacement du dossier partager e dans Nom du dossier le nom que le dossier aura l int rieur du syst me virtuel s affiche par exemple partage Il est possible de le modifier mais ce nom doit tre court et ne doit pas contenir d espace e cocher la case Lecture seule Ainsi le syst me virtuel ne pourra que lire le contenu du dossier mais rien y crire e si et seulement si le partage de ce dossier doit tre permanent s lectionner Confi guration permanente sinon le partage ne sera activ que pour cette session Attention avant de valider il faut tre bien s r que l on veut laisser le syst me Windows lire tout le contenu du dossier qu on a demand de partager Si c est bon cliquer sur OK et refermer la fen tre avec OK 22 INSTALLER ET UTILISER UN SYSTEME VIRTUALIS 165 Indiquer
330. l ne pense pas avoir quoi que ce soit se reprocher alors inutile de s inqui ter Il se rend donc au commissariat le jour de sa convocation M Coustant Bonjour nous voudrions vous poser quelques questions concernant une plainte pour diffamation Plus tard le m me jour Bureau d Alice Allo ressources humaines de La Reboute Alice j coute Bonjour M Coustant l appareil coutez je viens de passer 2 heures au poste de police J ai t interrog quant des documents bancaires publi s sur Internet et concernant un certain M Alavoine Maire du 10 me dont j ignorait l existence jusqu alors En plus de a lors de mon audition ils m ont pr sent un papier les autorisant faire une perquisition aux bureaux rue Jaur s Quelle histoire Mais quel rapport avec nos bureaux Et bien c est galement pour a que je vous appelle Ils affirment qu ils ont toutes les preuves comme quoi ces documents ont t publi s depuis vos bureaux Je leur ai dit que ce n tait pas moi que je ne voyais pas de quoi ils parlaient Ils ont fait des recherches contact je ne sats qui Mais ils disent qu une enqu te a t ouverte et qu elle ira jusqu au bout Qu ils retrouveront les responsables Autant vous dire que je ne suis pas franchement rassur J esp re bien que vous n y tes pour rien et qu il s agit d un regrettable erreur Honn tement j en suis la premiere tonn e j
331. l on va nommer quelque chose que l on a trouv pour le r utili ser plus tard Par exemple on dira que l identifiant est LOGIN Mettons qu on travaille sous l identifiant paquerette Lorsqu on crira taper LOGIN en remplacant LOGIN par Videntifiant de son compte il faudra taper en r alit paquerette Si l on tape LOGIN cela ne fonctionnera pas 11 3 Terminal Terminal administrateur Dans le menu Applications Accessoires se trouvent deux entr es permettant d ob tenir un terminal Terminal et Terminal administrateur La premi re permet d obtenir un terminal fonctionnant avec les droits d acc s de la session en cours On ne pourra donc pas l utiliser pour effectuer des op rations privil gi es comme cr er une partition chiffr e Le symbole la fin de l invite de commande sera un dollar La seconde commande permet d obtenir un terminal avec les droits d administration On appelle galement cela un shell root A partir de ce dernier les commandes pour ront acc der a l int gralit du systeme sans restriction avec les risques que cela comporte donc Le symbole la fin de l invite de commande sera un diese 11 4 Encore une mise en garde Plus encore que pour les recettes dont on parlait plus haut les commandes doivent tre tap es tr s pr cis ment Oublier un espace omettre une option se tromper de symbole tre impr cis dans un argument c est changer le sens
332. l partag en anglais Local Shared Object ou LSO aussi appel cookie Flash qui permet de stocker plus de donn es 2 La nouvelle norme HTMLS inclut un m canisme similaire appel Stockage web local 4 D autres techniques consistent stocker le m me cookie diff rents emplacements dans le navigateur et recr er chaque visite ceux qui auraient t supprim s en partant du principe que si chacun peut tre supprim ils ne le seront pas tous en m me temps 2 1 3 Applications c t clients Dans l volution du web et de ses navigateurs il est rapidement devenu clair que pour avoir un minimum d interactivit il tait n cessaire qu une partie du code source du Eee al zen a ee U I qui h berge le site Cela a plusieurs aspects pratiques du c t du serveur web c est du travail en moins et des conomies sur le mat riel Du c t du client l affichage et les fonctionnalit s du site sont acc l r s Cela permet aussi de minimiser le trafic r seau entre le navigateur et le site web plus besoin de demander une page complete du site chaque fois que Pon clique sur un petit bouton seul un petit fragment de la page doit tre transmis 2 CNIL La publicit cibl e en ligne communication pr sent e en s ance pl ni re le 5 f vrier 2009 M Peyrat rapporteur http www cnil fr PRIVOXY FORCE fileadmin documents La_CNIL actualite Publicite Ciblee rapport VD pdf 3 Wikip dia
333. la cl USB Dans la plupart des cas deux passages ont suffit mais sur certains mod les vingt r critures ont t n cessaires avant que les donn es ne disparaissent pour de bon Partant de ces constats la r ponse pr ventive semble tre de chiffrer F Se ee 4 mr des informations directement depuis les puces de m moire flash Et pour nettoyer a posteriori l crasement entier malgr ses limites prot ge tout de m me contre les attaques purement logicielles 17 1 4 D autres limites de l effacement s curis A Il peut encore rester des informations sur le fichier permettant de le retrouver no tamment si l on utilise un systeme de fichiers journalis comme ext3 ext4 ReiserFS ad _ XFS JFS NTFS un syst me d criture de compression ou de sauvegarde sur disque page 33 exemple RAID ou via un r seau Voir ce sujet la premiere partie 17 2 Sur d autres systemes page 291 On a vu qu il est illusoire si l on utilise un syst me d exploitation propri taire de j rechercher une r elle intimit Bien qu il existe des logiciels suppos s effacer des fichiers avec leur contenu sous Windows et Mac OS X il est donc bien plus difficile de leur faire confiance 17 3 Allons y On peut effacer le contenu e de fichiers individuels voir page ci contre e de tout un p riph rique voir page suivante de fichiers d j supprim s voir page 135 5 Michael Wei et Al
334. la lise par t l phone La v rification sera moins bonne qu en se voyant directement mais il reste plus difficile pour un adversaire de nous envoyer un courrier postal avec sa cl et de r pondre au num ro de t l phone d Alice en nous lisant son empreinte tout en imitant sa voix Ca se complique encore si on ne connait pas Alice Dans ce cas il nous faudra faire confiance des personnes qui pr tendent la conna tre Encore une fois il n y a pas de recette magique mais combiner diff rents moyens de v rification permet de compli quer la t che d un ventuel adversaire souhaitant monter une attaque de l homme du milieu il nous est possible de demander plusieurs personnes qui pr tendent conna tre Alice plut t qu une seule utiliser plusieurs moyens de communication diff rents etc Utiliser les toiles de confiance OpenPGP int gre la notion de confiance transitive avec les toiles de confiance Une fois la cl d Alice t l charg e on peut lister les identit s qui ont sign sa cl ces personnes d clarent publiquement avoir v rifi que cette cl appartient bien Alice Si l on conna t une de ces personnes ou un tiers qui a confiance en une de ces personnes OpenPGP peut tablir des chemins de confiance entre les identit s auxquelles on fait confiance et d autres avec lesquelles on souhaite communiquer 18 3 Signer une cl Les logiciels voluent c est pourquoi il est vivement co
335. la main TS e sous Debian ou Ubuntu ouvrir le Client BitTorrent Transmission Il peut tre a g page 120 n cessaire au pr alable d installer le paquet transmission gtk L e sous Mac OS X il est aussi possible d installer Transmission e sous Windows il est possible d installer le client libre Vuze 14 2 2 V rifier l authenticit du systeme live A L image du systeme live que l on vient de t l charger est sign e num riquement avec tome 2 ch 18 OpenPGP 1 http www transmissionbt com 2 http www vuze com 14 UTILISER UN SYSTEME LIVE 101 Apres avoir t l charg l image ISO de la derni re version de Tails ainsi que sa signa ture num rique il va nous falloir v rifier son int grit de ce guide est en admettant que c est un exemplaire original que l on a entre les mains 0D24 B36A A9A2 A651 7878 7645 1202 821C BE2C D9C1 14 2 3 Installer Tails sur le support choisi Retourner la documentation officielle de Tails disponible sur le site web section Installer ou mettre jour Tails https tails boum org download index fr html index5hl Le fichier t l charg est une image ISO c est dire un format de fichiers que la plupart des logiciels de gravure reconnaissent comme image CD brute En g n ral si on insere un disque vierge ou r inscriptible dans son lecteur qu on fait un clic droit sur le fichier t l charg et qu on choisit Ouvrir
336. la plupart des choix qu il nous demande de faire le pro gramme d installation nous proposera automatiquement une r ponse qui fonctionne g n ralement 15 5 1 Lancement de l installeur On d marre donc sur le support d installation CD DVD ou cl USB Un premier menu nomm Debian GNU Linux installer boot menu appara t Dans le cas o on a choisi un CD multi architecture certaines options seront pr sentes en double marqu es comme 64 bit L option s lectionn e automatiquement par l installeur sera soit Install soit 64 bit ins tall dans ce dernier cas le programme d installation a d tect que le processeur est compatible avec l architecture amd64 qui apporte quelques avantages en termes de s curit Il est plus commode d utiliser la souris lors de l installation on choisira donc Graphical install dans le cas o Install tait pr s lectionn et plut t 64 bit graphical install si 64 bit install avait t s lectionn tout seul Ce choix s effectue en se d pla ant avec les touches et du clavier Une fois la bonne ligne s lectionn e il faut appuyer sur la touche Entr e pour lancer la suite du programme d installation 15 5 2 Choisir la langue et la disposition du clavier e Apres un peu de patience un menu nomm Select a language appara t l instal leur propose de choisir une langue pour la suite de l installation Toujours en se d pla ant avec les fl ches s lectionner Fran
337. la version la plus jour de cet outil qui est disponible sur le site web https guide boum org O Dur e 10 minutes environ Une phrase de passe ou passphrase en anglais est un secret qui sert prot ger des donn es chiffr es C est ce qu on utilise pour chiffrer un disque dur des emails des documents voire comme nous le verrons dans le second tome de cet ouvrage des cl s cryptographiques On parle de phrase plut t que de mot de passe car un seul mot aussi bizarre et compliqu soit il est beaucoup moins r sistant qu une simple phrase de plusieurs mots On consid re qu une phrase de passe doit tre constitu e d au moins 10 mots Mais plus il y en a mieux c est Un crit re important mais parfois n glig une bonne phrase de passe est une phrase de passe dont on peut se souvenir ca vite de la noter sur un papier grave erreur qui rend caduc l int r t de se faire une phrase de passe b ton Mais et c est tout aussi important une bonne phrase de passe doit tre impossible deviner vitons donc les phrases de passe form es de 15 mots compos s de caract res al atoires qu on aura oubli peine 15 minutes apr s l avoir trouv Une technique simple pour trouver une bonne phrase de passe difficile deviner mais n anmoins facile retenir est de fabriquer une phrase qui n est pas issue d un texte existant En effet que ce soit des paroles de chansons le vers d un po
338. lanter on perd toutes les pages que nous tions en train de consulter tout comme dans le cas du TBB Pour ne pas m langer ses activit s quotidiennes normales avec celles que l on souhaite plus discr tes lorsqu on utilise Tails il est n cessaire de red marrer sa machine quand on passe d une identit contextuelle une autre Au chapitre des inconv nients inh rents Tails il y a aussi le d lai entre les mises jour de s curit de programmes par ailleurs inclus dans Tails et les m mes mises jour de ces logiciels dans Tails Cet inconv nient est similaire celui du TBB concernant le d lai entre les mises jour de Firefox et leur prise en compte dans le TBB Pour plus d information se reporter la page Avertissements de Tails https tails boum org doc about warning index fr html 8 4 2 Faire son choix On doit en fin de compte faire son choix entre e utiliser son systeme d exploitation habituel e utiliser un systeme live amn sique En d autres termes quelles traces ventuellement chiffr es est on pr t laisser sur l ordinateur la cl USB ou la carte SD utilis s A t on besoin du reste de son envi ronnement lors de la navigation anonyme Encore une fois il n y a pas de bonne ou de mauvaise r ponse il s agit de choisir la solution qui nous convient le mieux De plus il est tout a fait possible de tester une solution puis de passer une autre si n cessaire Au fina
339. le site web de PIANA 5 Internet Assigned Numbers Authority qui g re le serveur racine du DNS celui qui fait autorit sur tous les autres Si les gestionnaires au niveau des TLD ont un r le purement technique tenir jour une liste des domaines dont ils ont la charge ceux qui elle d l gue sont g n ralement des entreprises commmerciales appel es registrars qui vendent des noms de domaine 50 Un site miroir est une copie exacte d un autre site web 51 Tribunal de Grande Instance de Paris 2012 ordonnance de r f r rendue le 10 f vrier 2012 http cnd pcinpact com media 20120210 tgi paris ordonnance refere copwatch v2 pdf 52 IANA 2014 Root Zone Database http www iana org domains root db en anglais 3 SURVEILLANCE ET CONTR LE DES COMMUNICATIONS 43 Ainsi acheter ou louer un nom de domaine est une op ration disctincte de louer une IP par exemple pour monter son propre site web il faudra d une part acheter un nom de domaine et d autre part trouver un h bergement pour le site avec une adresse IP qui lui est attach e Et ensuite mettre en place la liaison entre les deux Certaines entreprises proposent tous ces services en m me temps mais ce n est ni syst matique ni obligatoire On voit maintenant se dessiner une carte des points n vralgiques o peut intervenir la censure La saisie de nom de domaine la plus spectaculaire ce jour fut certainement celle ins crite dans le cadre de la ferme
340. le contenu de page 591 nos dialogues on pourra utiliser le chiffrement de bout en bout et disposer alors de i confidentialit Malheureusement il n y a pas actuellement d impl mentation du chiffrement de bout en bout qui permette des conversations de ce type en groupe Cette solution sera donc limit e aux discussions deux tome 1 ch 15 Pour suivre cette m thode sur un systeme Debian chiffr install pr c demment 11 DIALOGUER 103 11 3 3 Troisi me tape les liens restent visibles Si on utilise le chiffrement de bout en bout dans le cadre d un dialogue en messagerie instantan e un adversaire ne peut alors plus avoir acc s au contenu de la conversation moins de casser le chiffrement utilis d acc der notre ordinateur voire de le pirater 0 Cependant un adversaire qui a acc s au r seau ou au serveur de messagerie utilis peut toujours voir avec qui nous parlons Pour cacher les liens il faudra utiliser des identit s contextuelles et se connecter de fa on anonyme par exemple en utilisant Tor On a alors confidentialit gr ce au chiffrement mais aussi pseudonymat En utilisant un syst me live amn sique comme Tails on s occupe du m me coup de la question des traces qui pourraient tre laiss es sur l ordinateur utilis Sauf si on utilise la persistance auquel cas des traces chiffr es seront conserv es dans la partition persistante de la cl USB ou de la carte SD de Tails
341. le mot de passe que l on a saisi Et si les empreintes sont les m mes il consid re que le mot de passe tait le bon Il est donc possible de v rifier que le mot de passe correspond sans garder le mot de passe lui m me 5 3 Sym trique asym trique Les techniques de chiffrement mentionn es jusqu ici reposent sur une seule cl secr te qui permet la fois d effectuer le chiffrement et le d chiffrement On parle dans ce cas de cryptographie sym trique 8 Rappelons nous que ces mots de passe ne servent pas prot ger les donn es page 31 44 I COMPRENDRE Ceci en opposition avec la cryptographie asym trique qui n utilise pas la m me cl pour chiffrer et d chiffrer Autrement appel chiffrement cl publique ce dernier est surtout utilis pour la communication en ligne on en parlera donc en d tail dans le prochain tome A A e ARSTER ren tome 2 ch 6 Une des propri t s les plus int ressantes de la cryptographie asym trique que l on peut voquer bri vement est la possibilit de r aliser des signatures num riques Comme son quivalent papier une signature num rique permet d apposer une marque de reconnaissance sur des donn es Ces signatures num riques utilisant la cryptographie asym trique constituent la fagon la plus simple de v rifier la provenance d un logiciel On sera donc amen a s en servir plus loin DEUXIEME PARTIE Choisir des r ponses adap
342. lient construit 2 The Tor Project 2013 Tor Hidden Service Protocol https www torproject org docs hidden services html en anglais l 72 I COMPRENDRE un circuit Tor avec comme troisi me relai ce point de rendez vous De son c t le service cach fait de m me Client et service cach se rencontrent alors et peuvent changer des informations Ces services cach s peuvent par exemple permettre de mettre en place un site web sur lequel des auteurs publieraient sans craindre la censure L identification de l empla cement physique du serveur qui fournit le site web comme celle de ses contributeurs et de ses visiteurs est en effet rendue beaucoup plus difficile que dans le cadre d un site web conventionnel elle n cessite de mettre en place une attaque sur le r seau Tor SS E q mi 7 2 Participer au r seau Tor Le r seau Tor repose sur la base du volontariat et est ouvert tout le monde puis qu aucun relai ne peut conna tre la provenance des communication et leur destination Et mis part les n uds de sortie aucun relai ne peut conna tre le contenu des com munications qu il transporte Quiconque le souhaite peut donc faire tourner sur la machine de son choix un relai Tor Ce dernier rejoindra le r seau public et relayera le trafic des personnes utilisant ce r seau 7 2 1 Monter un relai Tor Le fait que chaque utilisateur puisse mettre en place un relai introduit de la
343. line est parfaitement rigoureuse En effet si l on oublie ou qu on ne prend pas le temps d aller ranger le disque dur quand on n en a plus besoin et que l accident survient ce moment l c est perdu fin de la partie Par ailleurs des outils existent pour chiffrer des donn es sous Windows Quelle que soit la confiance qu on leur accorde il n en reste pas moins qu ils s appuient obliga toirement sur les fonctions offertes par la bo te noire qu est Windows On ne peut donc que s en m fier et dans tous les cas Windows lui aura acc s nos donn es en clair et personne ne sait ce qu il pourrait bien en faire Pour conclure ce petit tour dans la cour des miracles douteux ajoutons que la seule solution possible dans le cas pr sent serait une approche de type liste noire dont l inefficacit crasse a d j t expliqu e pr c dement Il est maintenant temps de passer aux choses s rieuses 9 6 2 Seconde tape enfermer Windows dans un compartiment presque tanche Ce qui commence ressembler une solution s rieuse ce serait de faire fonctionner Windows dans un compartiment tanche dans lequel on ouvrirait quand c est n cessaire et en connaissance de cause une porte pour lui permettre de communiquer avec l ext rieur de fa on strictement limit e En d autres termes mettre en place une solution bas e sur une logique de type liste blanche rien ne pourrait entrer
344. lors la boite contenant le message prot g e par le cadenas ferm Alice g 8 Betty Message chiffr Alice Betty envoie un message chiffr Gr ce la cl qu elle a toujours gard e sur elle Alice peut ouvrir le cadenas On le voit gr ce la cryprographie asym trique la seule chose qui circule sur le r seau est un cadenas ouvert puis un cadenas ferm Et si une personne mal intentionn e tombe sur le cadenas ouvert ce n est pas tr s grave cela ne lui permet pas d ouvrir un cadenas ferm 6 CACHER LE CONTENU DES COMMUNICATIONS LA CRYPTOGRAPHIE ASYM TRIQUE 61 t Alice Cl priv e Message chiffr Message en clair Alice d chiffre un message chiffr 6 2 1 Cl publique cl priv e Ce type de chiffrement est aussi appel chiffrement cl publique Le cadenas ouvert d Alice est sa cl publique ainsi appel e car il n est pas n cessaire de la ca cher elle peut tre rendue publique par exemple publi e sur Internet afin que toute personne qui souhaite crire Alice de mani re chiffr e puisse se la procurer Au contraire la cl du cadenas d Alice qui sert ouvrir les cadenas ferm s prot geant les messages ne doit jamais tomber dans les mains de l adversaire Alice la garde donc pr cieusement l abri des regards indiscrets on l appelle la cl priv e Cl publique et cl priv e forment la paire de cl s d Alice Chaque entit qui souhai
345. lors que ce n est pas possible sur un DVD apres installation du systeme live on a moins de garanties au cas ot les gens qui ont crit le systeme live auraient commis des erreurs Cela devient aussi plus simple pour des personnes malveillantes de modifier votre systeme live pour par exemple enregistrer vos mots de passe ou vos frappes au clavier 14 re T l 100 II OUTILS 14 2 T l charger et installer Tails On va expliquer ici comment t l charger la derni re version de Tails partir de son site web officiel v rifier son authenticit et l installer sur une cl USB une carte SD ou la graver sur un DVD Si Pon dispose d ja de la derni re version de Tails il est possible de la dupliquer page suivante simplement Suivre pour cela l outil cloner Tails Pour t l charger et installer Tails on va suivre la documentation officielle disponible sur la page web https tails boum org download index fr html A Attention ce guide fournit des explications sur la v rification de l int grit de l image de Tails Lorsqu on arrive la section V rifier l image ISO de la docu mentation officielle de Tails se rapporter a v rifier son authenticit EEE ars al 22 22 220 202 200 000 Pena gi 14 2 1 T l charger Tails Tails peut tre t l charg soit directement avec un navigateur web en HTTP soit l aide de BitTorrent BitTorrent est un protocole de partage de fichiers de pair pai
346. lot un s jour en prison Plus g n ralement nous ne d bordons pas d enthousiasme l id e que le facteur puisse lire aujourd hui toutes les lettres qu on a re ues ces derni res ann es pour se mettre en bouche avant d attendre avidement celles qui arriveront demain Pourtant lorsqu on change du courrier lectronique sans pr cautions particuli res les interm diaires peuvent lire nos communications de fa on totalement transparente comme s il s agissait de cartes postales Au del du contenu de ces cartes postales il peut tre int ressant de masquer les informations contextuelles telles que la date de l change les identit s des protago nistes leurs localisations etc qui peuvent tre r v l es par exemple dans les en t tes HTTP les en t tes des emails ou dans le corps du message lui m me Le fait qu une certaine personne crive telle autre peut constituer en soi une infor mation sensible En effet il arrive que ce soit les relations entre des gens qui soient vis es par certaines formes de surveillance afin de reconstituer un r seau d opposants politiques par exemple Ces traces persisteront g n ralement dans les en t tes des emails et les journaux de connexion 1 Jean Marc Manach 2011 R fugi s sur coute http owni fr 2011 12 01 amesys bull eagle surveillance dpi libye wikileaks spyfiles kadhafi E page 29 ain cs MO pt AN 7 l A el I A a Se A
347. ls voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e 15 30 minutes Si notre cl priv e tait compromise il faudrait faire parvenir le certificat de r vocation FT TT e q 4 A 4 Lu E page 1341 cr pr c demment nos correspondants pour que ceux ci ne puissent plus l utiliser L TR dede ON ea et sachent qu elle n est plus de confiance A Attention les instructions qui suivent r voqueront de maniere irr versible notre cl A utiliser avec mod ration 18 11 1 Faire savoir que notre paire de cl s est compromise Dans le cas ou notre propre paire de cl s est compromise par exemple si celle ci a t obtenue apres piratage de notre systeme l enjeu est d arriver a le faire savoir nos correspondants Que ce soit sous Tails ou avec une Debian chiffr e il faudra tout d abord importer ce certificat de r vocation 18 UTILISER OPENPGP 143 Importer le certificat de r vocation E 7 x se QE i page 1311 Contrairement l importation d une cl il nous faudra le faire en utilisant un terminal L re tome I ch 11 On va commencer la commande en tapant sans faire Entr e gpg import Puis on fera glisser le fichier du certificat de r vocation dans le terminal pour obtenir quelque chose ressemblant gpg import home amnesia Certif
348. lt mais par qui il est consult Nous avons vu pr c demment que l utilisation d Internet et notamment du web laisse de nombreuses traces de diverses natures a diff rents endroits nombre d entre elles telles de petits cailloux esquissent un chemin qui va de la ressource consult e jusqu une maison un ordinateur voire la personne qui se trouve derri re Ce sont donc ces traces sur le r seau au premier rang desquelles se trouve l adresse IP dont on veut se d barrasser Cependant VIP tant n cessaire au bon fonctionnement du r seau la strat gie sera ici de faire en sorte que les curieux qui suivraient cette piste finissent dans une impasse De plus on pourra ventuellement vouloir ne laisser aucune trace de notre navigation sur l ordinateur utilis et en particulier sur son disque dur 8 2 2 De qui veut on se prot ger Cette question est importante en fonction de la r ponse qu on lui donne la politique de s curit ad quate peut fortement varier 80 II CHOISIR DES R PONSES ADAPTEES Fournisseur d acc s a Internet Alice travaille pour une grande entreprise et acc de Internet par l interm diaire du r seau de la soci t Elle consulte ses blogs pr f r s sur ses heures de boulot mais ne souhaite pas que son employeur le sache Dans ce cas Alice souhaite se prot ger de l il indiscret de son fournisseur d acces Internet en l occurrence son entreprise L adversaire a ici acc
349. lusieurs heures 17 6 1 Trouver le chemin du p riph rique Avant tout il faut savoir rep rer sans se tromper le chemin utilis par le syst me d exploitation pour d signer le support de stockage qu on veut effacer Si Pon souhaite effacer un disque interne commencer par d brancher tous les disques durs externes cl s USB lecteurs de cartes m moire ou autre p riph rique de stockage branch s sur l ordinateur D une part cela vitera de les effacer par erreur d autre part cela rendra la recherche du disque interne plus facile Bien s r il ne faut pas faire cela si c est justement le contenu d un disque externe que l on souhaite rendre inaccessible Ouvrir l Utilitaire de disque Pour trouver le chemin du p riph rique une m thode simple consiste a utiliser l Utilitaire de disque que l on d marre par le menu Applications Accessoires Chercher le chemin du p riph rique La partie situ e gauche indique la liste des disques durs connus du systeme On peut cliquer sur l un d entre eux afin de voir plus d informations appara tre sur la partie droite Les ic nes la taille indiqu e ainsi que le nom des disques devraient permettre d identifier celui que l on cherche Si cela ne suffit pas il est possible de jeter un ceil l organisation des partitions en regardant le tableau qui apparait dans la partie droite e si le disque effacer contenait un systeme GNU Linux non chiffr il do
350. mail cliquer sur Suivant On arrive sur une fen tre Informations personnelles Remplir a minima le champ Votre nom avec le pseudonyme qu on voudra voir apparaire dans les en t tes et le champ Votre adresse email Cliquer ensuite sur Suivant Nous arrivons d sormais sur la page de configuration relative a la R ception du cour 17 5 l m 128 II OUTILS ees de serveur savoir IMAP ou POP Les informations correspondant l Adresse du page 97 serveur et aux m thodes de chiffrement de la connexion accept es se trouvent en i g n ral sur le site web du fournisseur d email Vous pouvez galement les trouver en utilisant un moteur de recherche avec des mots cl s tels que par exemple pour le fourniseur d email Riseup riseup configure client mail P P Remplir ensuite les champs Utilisateur Mot de passe et ventuellement choisir quelques options concernant le chiffrement de la connexion Une fois la partie Re ception du courrier termin e cliquer sur Suivant Configurons maintenant l Envoi du courrier Tout comme pour la r ception du courrier sp cifier l Adresse du serveur d envoi SMTP ainsi que le Nom d utilisateur SMTP et le Mot de passe SMTP Ceux ci sont g n ralement identiques a l Utilisateur et au Mot de passe indiqu s auparavant pour la R ception du courrier Cliquer ensuite sur Suivant On nous demande alors de choisir un dossier dans lequel les emails seront stock s on peu
351. mandez autour de vous Une fois votre choix effectu cliquez sur le bouton Valider Il est galement possible de modifier quelques options concernant la gestion du chif frement dans Claws Mail en allant dans Configuration gt Preferences une fen tre Pr f rences s ouvre dans laquelle on peut aller voir du c t de la rubrique GPG de la partie Modules des Preferences Il sera par exemple possible d activer ou non la m morisation de la phrase de passe d une paire de cl s et si oui pendant un temps donn l 4 CHAPITRE 1 8 Utiliser OpenPGP Le standard Internet OpenPGP est un format de cryptographie qui permet notam eens E ment d effectuer et de v rifier des signatures num riques ainsi que de chiffrer et de page 141 Nous allons ici d tailler diff rents outils de cryptographie ayant en commun Pusage 2222777 d OpenPGP page 138 18 1 Importer une cl Open P GP re J Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e quelques minutes Le but de ce chapitre est d importer une cl OpenPGP que nous utiliserons pour v rifier des signatures num riques ou pour chiffrer des messages La proc dure est la m me sous Tails ou avec une Debian chiffr e Ouvrir Mots de passe et cl s de chiffrement depuis le menu Applications Outils systeme Pr f rences
352. mbres premiers possibles 62 I COMPRENDRE Avec un ordinateur actuel ce calcul serait beaucoup plus long que la dur e d une vie humaine Les nombres les plus difficiles factoriser sont les produits de deux grands nombres premiers On choisira donc des nombres suffisamment grands pour que m me avec des ordinateurs extr mement puissants la factorisation ne puisse pas se faire en un temps r aliste Faire confiance cette m thode revient donc faire le pari que son adversaire dispose d une puissance de calcul relativement limit e La taille des cl s qui se mesure en bits est d une importance capitale En effet si on consid re qu une cl asym trique de 2048 bits est s re jusqu en 20203 une cl de 512 bits se casse en quelques mois avec un ordinateur personnel haut de gamme actuel Il faut garder a l esprit que ce qui est cassable par un ordinateur en 10 ans pourrait l tre en 1 an avec 10 ordinateurs identiques au premier De plus si un jour une personne r sout ce probleme math matique il sera possible de d chiffrer sans trop de difficult les changes chiffr s qui auront ont t enregistr s ce type de collecte et de stockage fait partie entre autres des activit s de la NSA agence de renseignement tats unienne Beaucoup de secrets militaires et commer ciaux seraient alors r v l s ceux qui auront acces a ces enregistrements En d autres termes on peut imaginer une sacr e pagaille entre
353. me ou une citation d un livre des outils comme le projet Gutenberg rendent de plus en plus facile le test de phrases de passe tir es de la litt rature existante M me s il faut ici vous en remettre votre imagination nous pouvons quand m me donner quelques pistes quant aux bonnes habitudes avoir lors du choix d une phrase de passe 1 Fabriquons tout d abord une phrase dont on se souviendra ais ment Faisons tourner nos m ninges un instant 2 Trouvons dans cette phrase ce que l on peut modifier pour la rendre plus dif ficilement devinable On peut ainsi penser y ajouter de l argot des mots de 1 Randall Munroe 2014 Password Strength https xkcd com 936 en anglais 2 Wikip dia 2014 Projet Gutenberg https fr wikipedia org wiki Projet Gutenberg 3 Dan Goodin 2013 How the Bible and YouTube are fueling the next frontier of password cracking http arstechnica com security 2013 10 how the bible and youtube are fueling the next frontier of password cracking en anglais 92 II OUTILS diff rentes langues mettre des majuscules l o l on ne les attend pas rempla cer des caract res par d autres laisser libre cours son imagination quant a Vorthographe etc Un conseil toutefois il est pr f rable d viter les caract res accentu s ou tout autre symbole n tant pas directement disponible sur un clavier am ricain Cela peut viter des probl mes de touches absentes ou diff
354. me de fichiers est souvent fortement li un syst me d exploitation particulier Pour en citer quelques un les type NTFS FAT32 sont i ceux employ s habituellement par les syst mes d ex ploitation Windows le type ext ext3 ext4 est sou i vent utilis sous GNU Linux les types HFS HFS et HFSX sont employ s par Mac OS X Il est n anmoins possible de lire un syst me de fichiers tranger au syst me qu on utilise moyennant l usage du logiciel ad quat Windows est par exemple capable de lire une partition ext3 si on installe le logiciel appropri Une des cons quences de cela c est qu il peut exister sur un ordinateur donn des espaces de stockage invisibles pour l utilisateur parce que non reconnus par le systeme d exploitation ou non accessibles pour l utilisateur mais qui sont pourtant bel et bien pr sents 1 QUELQUES BASES SUR LES ORDINATEURS 17 1 5 3 Les formats de fichiers Les donn es que l on manipule sont g n ralement regroup es sous forme de fichiers Un fichier a un contenu mais aussi un nom un emplacement le dossier dans lequel il se trouve une taille et d autres d tails selon le syst me de fichiers utilis Mais a l interieur de chaque fichier les donn es sont elles m mes organis es diff rem ment selon leur nature et les logiciels utilis s pour les manipuler On parle de format de fichier pour les diff rencier En g n ral on met la fin d un f
355. me signent leur travail Cette signature st ganographique 1 repose sur de tr s l gers d tails d impres sion souvent invisibles l il nu et ins r s dans chaque document Ils permettent d identifier de mani re certaine la marque le mod le et dans certains cas le num ro de s rie de la machine qui a servi imprimer un document On dit bien de mani re certaine car c est pour cela que ces d tails sont l afin de pouvoir retrouver la machine partir de ses travaux Toutes les imprimantes ne sont pas pourvues de ce syst me baptis watermarking mais c est le cas pour nombre de mod les courants 7 16 Pour se faire une id e nombre de mod les sont en vente libre http www google com products q keyloggers pour une somme allant de 40 100 17 ZDNet Australia 2007 Microsoft wireless keyboard hacked from 50 metres http www zdnet com au news security soa Microsoft wireless keyboard hacked from 50 metres 0 130061744 339284328 00 htm en anglais 18 En 2000 l usage d un keylogger a permis au FBI http ww theregister co uk 2000 12 06 mafia trial to test fbi d obtenir la phrase de passe utilis e par un ponte de la mafia de Philadel phie pour chiffrer ses documents en anglais 19 Pour en savoir plus sur la st ganographie nous conseillons la lecture de cet article Wikip dia 2014 St ganographie https fr wikipedia org wiki St ganographiel 20 L Electronic Frontier Foundation
356. mes on fait confiance on est rassur qu il nous demande notre mot de passe pour s ouvrir Aller dans le menu Configuration puis D p ts Configurer l emplacement du d p t Aller dans l onglet Other Software ce qui signifie Autre logiciel qui ne sont pas founis officiellement par le projet Debian et cliquer sur le bouton Add Ajouter Entrer l adresse du d p t ajouter dans la case Ligne APT de la bo te de dialogue qui s ouvre Par exemple pour ajouter les backports programmes plus r cents que ceux inclus dans la distribution Debian stable il faut entrer deb http ftp fr debian org debian wheezy backports main Si l on souhaite galement installer des logiciels non libres on peut ajouter contrib et non free en plus de main la place de la ligne pr c dente on pourrait plut t entrer deb http ftp fr debian org debian wheezy backports main contrib non free La plupart des d p ts que vous voudrez rajouter ici ne d pendent pas du tout du Projet Debian par exemple pour rajouter les d p ts du Projet TOR il faudrait entrer deb http deb torproject org torproject org wheezy main 16 CHOISIR V RIFIER ET INSTALLER UN LOGICIEL 125 Une fois que c est fait il suffit de cliquer sur Ajouter une source de mise a jour Pour tre s r que le nouveau d p t et les paquets qu il contient sont bien ceux que Pon croit on doit disposer d un fichier qui c
357. ministrait en utilisant une page 64 attaque de type homme du milieu SERE Pour se prot ger contre de telles attaques il est n cessaire d utiliser du chiffrement page 59 de bout bout voqu dans la partie pr c dente 7 3 4 Attaque de type motif temporel La conception de Tor ne permet pas de prot ger contre certains types d attaques notamment de l ordre de l analyse de trafic L attaque par motif temporel en est une L id e derri re cette attaque est d observer le rythme d envoi des donn es deux endroits de leur trajet par exemple sur le premier relai et sur le troisi me relai n ud de sortie envoyons par exemple un flux comme du code morse 3 paquets envoy s en salve puis 5 secondes de silence puis 3 paquets etc Un adversaire qui voit que l ordinateur d Alice envoie sur le premier relai un flux avec un motif temporel donn et qui observe un flux avec ce m me motif sur le n ud de sortie qui va vers exemple org peut en d duire que c est probablement l ordinateur d Alice qui est connect exemple org 8 La force mais aussi la faiblesse de Tor c est que n importe qui peut l utiliser mais aussi avoir un relai Tor Alice Betty une universit la CIA etc Si un adversaire n a les informations que d un seul des relais par lesquels transitent les donn es pas de probl me S il se trouve que par malchance des adversaires qui coop rent ont la main sur plusieurs
358. mme XMPP IRC ou encore Yahoo Messenger Ce logiciel est install dans le syst me live Tails mais seuls les protocoles XMPP et IRC y sont pris en charge les autres tant difficiles anonymiser Sur une Debian chiffr e 19 2 Lancer Pidgin Pour ouvrir le logiciel de messagerie instantan e cliquer sur Messagerie internet Pid gin partir du menu Applications Internet 19 3 Configurer un compte de messagerie Lorsqu on ouvre Pidgin et qu aucun compte de messagerie n est configur une fen tre propose d ajouter un nouveau compte Pour configurer un nouveau compte cliquer sur le bouton Ajouter 1 Wikip dia 2014 Off the Record Messaging https fr wikipedia org wiki Off the Record_ Messaging 2 La confidentialit persistante est une propri t en cryptographie qui garantit que la d cou verte par un adversaire de la cl priv e d un correspondant ne compromet pas la confidentialit d une communication Wikipedia 2014 Confidentialit persistante https fr wikipedia org wiki Confidentialit Persistante 3 Pour une liste exhaustive des protocoles pris en charge par Pidgin se r f rer leur site web http www pidgin im en anglais 19 E ra 146 II OUTILS Une fen tre Ajouter un compte s ouvre Si l on dispose d j d un compte de messagerie instantan e fournir les informations n cessaires concernant ce compte en commen cant par s lectionner le Protocole que l on souha
359. mment les Britanniques d passent les Am ricains pour espionner Internet http lexpansion lexpress fr high tech operation tempora comment les britanniques depassent les americains pour espionner internet_ 390971 html 38 NSA 2013 Dates When PRISM Collection Began For Each Provider https commons wikimedia org wiki File Prism slide 5 jpg 39 Le Monde 2013 Le FBI aurait acc s aux serveurs de Google Facebook Micro soft Yahoo et d autres g ants d Internet http www lemonde fr ameriques article 2013 06 07 le fbi a acces aux serveurs des geants d internet_3425810_3222 htmll 3 SURVEILLANCE ET CONTR LE DES COMMUNICATIONS 41 De m me les communications satellites sont cout es par le r seau Echelon un sys t me mondial d interception des communications priv es et publiques 4 labor par des pays anglo saxons Les informations ce sujet restent floues mais la France semble aussi disposer d un r seau d coute des t l communications sur son terri toire 2 La NSA surveille et recoupe galement les changes d emails pour tablir une carte des relations entre tous les habitants des tats Unis 4 Si ce genre de pratiques n est pas forc ment attest ailleurs dans le monde elles y sont tout aussi possibles De plus pour toute organisation ayant les moyens d tre un n ud cons quent du r seau que ce soit officiellement ou non l utilisation du Deep Packet Inspection ou i page 98 DPI
360. moins quotidiennement sur un ordinateur qui n aurait pas du tout acc s au r seau Le projet Debian sort r guli rement de nouvelles versions mineures ou point releases en anglais qui sont annonc es sur le site web du projet Le projet propose alors des DVD contenant tous les paquets mis jour un tel DVD peut par exemple s appeler debian update 7 4 0 amd64 DVD 1 iso En ajoutant ce DVD aux Sources de mise jour il est ensuite possible d utiliser le Gestionnaire de mises jour sans pour autant que Vordinateur soit connect 23 GARDER UN SYSTEME A JOUR 171 le fait qu il est ensuite n cessaire de s adapter aux changements qu auront connus les logiciels que nous utilisons habituellement 23 4 1 Passage de Squeeze a Wheezy La proc dure d taill e ici concerne la mise jour de la version de Debian baptis e Squeeze ou 6 0 sortie en f vrier 2011 la version Wheezy ou 7 0 sortie en mai 2013 Nous documenterons ici une proc dure de mise jour simplifi e qui a t test e sur des installations de Debian Squeeze avec un environnement graphique de bureau GNOME et des logiciels provenant uniquement des d p ts officiels de Debian Elle n cessite de disposer pour la dur e de la mise jour d une connexion Internet ou d un DVD d installation Attention Cette proc dure simplifi e a moins de chances de fonctionner lorsqu on a bidouill son systeme en ajoutant des sources de mises a jour non officielles Si c
361. mportance strat gique pour des personnes qu on inviterait chez soi Il est donc crucial de le chiffrer 5 LA CRYPTOGRAPHIE 39 Phrase de passe secr te E 4 vb Message Algorithme Mec chiite en clair de chiffrement Les spaghetti sont dans le placard Apr s avoir chiffr ce message en utilisant le logiciel GnuPG avec l algorithme AES256 et comme phrase de passe ceci est un secret on obtient jAQECQMCRMOLmTSIONRgOLKBWGQI76cQO0ocEvdBhX6BM2AU6aYSPYymSqj 8ihFXu WV1GVraWuwEt4XnLc3F 0xT3EaXINMHdH9oydA92WDkaqPEn j sWQs oSCez3WXoB 9mf9y6jzqozEHw T6eN Voici donc l aspect que prend un texte apres chiffrement son contenu est devenu parfaitement imbuvable Les donn es en clair lisibles par tout le monde ont t transform es en un autre format incompr hensible pour qui ne poss de pas la cl Deuxieme tape le d chiffrement Pour le d chiffrement il nous suffira d utiliser de nouveau GnuPG avec notre texte chiffr cette fois GnuPG nous demandera la phrase de passe ayant servi a chiffrer notre texte et si cette derni re est correcte on obtiendra enfin l information qui nous manquait pour pr parer le d jeuner Phrase de passe secr te Algorithme Message Message chiffr de d chiffrement en clair 40 I COMPRENDRE 5 1 3 Pour un disque dur Si on souhaite mettre sur un support de stockage disque dur cl USB etc uni quement des donn es chiffr es il va falloir que le sy
362. mpre l ex cution d une commande avant qu elle soit termin e on peut appuyer la touche et tout en laissant cette touche enfonc e appuyer sur la touche On arr te alors la commande imm diatement un peu comme quand on ferme la fen tre d un programme 11 2 5 Typographie La plupart des symboles utilis s pour entrer les commandes compl tes sont des sym boles courants Lorsqu une commande emploie le symbole il ne s agit que du tiret qu on peut obtenir en tapant sur un clavier fran ais la touche Pour un apostrophe droite c est le 4 D autres symboles sont rarement utilis s en dehors du terminal mais sont disponibles avec les claviers standards Ils sont m mes indiqu s sur le clavier et accessibles l aide de la touche de droite not e Voici en se basant sur un clavier de PC fran ais standard la correspondance de quelques touches avec les symboles qu elles crivent et leur nom bien peu seront en fait utilis es dans ce guide Touches R sultat Nom du symbole AKGr 2 tilde AltGr Bl di se AltGr 2 accolade gauche ARG 5 I crochet gauche AltGr 6 pipe AltGr 8 antislash AltGr 0 arobase AltGr DJ crochet droit 88 II OUTILS Touches R sultat Nom du symbole accolade droite 11 2 6 Noms remplacer Parfois on pr cise que
363. munication collective sur lesquels s appuie le d velop pement listes et salons de discussion par exemple e A t on facilement acc s aux discussions guidant le d veloppement du logiciel e Ces discussions rassemblent elles de nombreuses personnes e Ces personnes participent elle son d veloppement ou ne font elles que l utiliser e Quelle atmosph re y r gne Calme plat silence de mort joyeuse cacophonie s rieux gla ant bras ouverts hostilit implicite tendre complicit etc e Le volume de discussion sur les derniers mois ann es va t il en diminuant ou en augmentant Plus que le volume brut c est surtout la proportion de messages obtenant des r ponses qui importe un logiciel m r stable et bien document ne sera pas forc ment source de discussions mais si plus personne n est l pour r pondre aux questions des n ophytes ca peut tre mauvais signe e Peut on trouver des retours d utilisation des suggestions d am liorations Si oui sont elles prises en compte e Les r ponses sont elles toujours donn es par un nombre r duit de personnes ou existe t il des pratiques d entraide plus large 16 2 4 Popularit La popularit est un crit re d licat en mati re de logiciels Le fait que la grande majorit des ordinateurs de bureau fonctionnent actuellement sous Windows n indique en rien que Windows soit le meilleur systeme d exploitation disponible Pour autant si ce logiciel n est pas
364. n attaquer Tor du cas d usage pr c dent 9 4 Contact public Lorsqu on publie un document on peut vouloir tre contact par les personnes qui vont nous lire Ce contact ouvre de nouvelles possibilit s d attaques un adversaire en qu te de failles exploiter Si l on a pris toutes les pr cautions afin d tre le plus anonyme possible lors de la publi cation du document mais que notre adresse de contact est nom pr nom exemple org ces pr cautions seront sans int r t l adresse de contact donne directement l adver saire notre nom Pour viter cette erreur on veillera donc avoir un pseudo qui sera utilis uniquement que l on souhaite adopter L adversaire cherchera alors savoir qui se cache derri re ce pseudonyme Pour tenter de masquer qui utilise cette adresse email le cas d usage Envoyer des emails sous Me D LE qui 4 90 II CHOISIR DES R PONSES ADAPTEES un pseudonyme pourra nous aider nome F aO RE E Be Base a et eas peut apparaitre tres complexe dans la mesure ot l on souhaite avoir une adresse de contact publique l accessibilite peut rentrer en conflit avec la discr tion On peut ainsi prendre tout un ensemble de pr cautions pour augmenter l anonymat de notre contact mais l on peut difficilement agir sur l autre bout du tuyau Les personnes qui vont nous contacter peuvent alors prendre des risques en dialoguant avec nous sans penser le
365. n emp che donc de mettre l quivalent d un b te voltmetre pour mesurer le courant qui passe et ainsi pouvoir reconstituer n importe quelles donn es manipul es par l ordinateur sous une forme ou une autre Par ailleurs tout courant qui circule a tendance a mettre un champ magn tique Ces champs magn tiques peuvent rayonner A quelques m tres voire plus Il est donc possible pour qui s en donne les moyens de reconstituer le contenu d un cran ou ce qui a t tap sur un clavier et cela m me derri re un mur depuis la rue ou Vappartement contigu ainsi des chercheurs ont r ussi enregistrer les touches tap es sur des claviers filaires normaux partir de leurs missions lectromagn tiques une distance allant jusqu 20 m tres Le m me type d op ration est possible partir de l observation des l g res pertur bations que g n re l ordinateur sur le r seau lectrique o il est branch Il faut toutefois pour cela que l attaquant soit branch sur le m me r seau lectrique Enfin certains p riph riques claviers souris couteurs etc fonctionnent sans fil Ils communiquent alors avec l ordinateur par des ondes radio que n importe qui autour peut capter et ventuellement d coder sans vergogne Bref pour r sumer m me si un ordinateur n est pas connect un r seau et quels que soient les programmes qui fonctionnent il reste tout de m me possible pour des personnes
366. n contact public li ceux ci 9 3 1 Publication Publier un document revient techniquement sauvegarder celui ci sur un serveur pour r aliser cette op ration Cependant on ne va pas utiliser les m mes sites si l on veut publier du texte du son ou de la vid o Il s agit donc de bien choisir notre h bergeur en ayant l esprit les nombreux crit res entrant en jeu type de document disponibilit conditions d h bergement r sistance mises 7 al 4 if J 88 II CHOISIR DES R PONSES ADAPTEES de l h bergeur aux pressions judiciaires risques que notre document fait courir celui Rare ejs page 117 ci etc Un liste plus exhaustive de ces criteres est disponible dans la partie Outils L Se eR Re o ee ee do Une fois notre choix effectu il va falloir tre s r que notre document reste consul table en effet si notre publication ne plait pas notre h bergeur qu il recoit des pressions voire une requ te l gale exigeant sa suppression notre ceuvre pourrait de venir indisponible Pour viter ce genre de d sagr ments on peut multiplier les h bergements d un m me fichier si possible sur des serveurs situ s dans diff rents pays La mise en ligne d un fichier tant beaucoup plus rapide qu un recours judiciaire cela semble tre une bonne solution pour viter la censure Quels seront alors les angles d attaque a la port e d un ventuel adv
367. n tre s ouvre proposant de s lectionner un fichier pour lequel des sommes de contr le seront calcul es avec trois s lections par d faut MD5 SHA1 SHA256 Si une autre somme de contr le que celles ci est n cessaire aller dans dition Pr f rences et cocher les ye ae F E 154 II OUTILS sommes de contr les desirees pour les voir s afficher Une fois cela termine cliquer sur le champ contenant Aucun situ apr s l entr e Fichier et s lectionner le fichier dont on veut calculer une somme de contr le Cliquer enfin sur Hash les sommes de contr les apparaissent alors 21 2 V rifier Pint grit d un fichier Il faut obtenir la somme de contr le du fichier original par un moyen s r autre que celui par lequel on a re u le fichier Par exemple si l on a t l charg le fichier on peut avoir re u sa somme de contr le dans une lettre ou par t l phone le mieux tant bien s r de vive voix De la m me mani re pour permettre d autres personnes de v rifier l int grit d un fichier on leur fera parvenir la somme de contr le selon les m mes m thodes Gr ce l une des m thodes ci dessus obtenir la somme de contr le de sa copie du fichier Prendre garde utiliser le m me algorithme que celui qui a t utilis par son correspondant Si l on utilise SHA1 et qu il utilise SHA256 on n aura bien s r pas la m me somme de contr le Si notre correspondant nous propose plu
368. n constante depuis 2009 Apr s analyse de la recevabilit des requ tes sur le plan juridique la soci t a r pondu 51 d entre elles l autre moiti des requ tes n entrait donc pas dans le cadre de ce que l entreprise s estimait l galement contrainte de fournir 3 3 Ecoutes de masse Au del des journaux et des requ tes l gales pr vus par les lois de r tention de don n es les communications sur Internet sont surveill es de fa on syst matique par divers services tatiques Un ancien employ de l op rateur de t l communications tats unien AT amp T a t moign du fait que la NSA l agence de renseignement lectronique tats unienne surveillait l ensemble des communications Internet et t l phoniques qui passaient par une importante installation de l op rateur de t l communication AT amp T San Fran cisco Ceci l aide d un superordinateur sp cialement con u pour la surveillance de masse en temps r el de communications Il a aussi d clar que de telles installa tions existaient probablement au sein d autres infrastructures similaires dans d autres villes des tats Unis ce que confirment les r v lation d un ex employ de la NSA et de la CIA Des installations similaires seraient mises en place par les services secrets britanniques sur plus de 200 fibres optiques sous marines 37 La NSA a aussi obtenu un acc s direct aux serveurs de plusieurs g ants du
369. n systeme non live ou que l on a active la persistance de Pidgin dans Tails cette tape d authentification n est a effectuer qu une fois pour toutes pour un contact donn 19 7 3 Terminer une conversation Une fois notre dialogue termin cliquer sur le menu OTR Terminer la conversation priv e Cela efface la cl de chiffrement temporaire g n r e pour cette conversation de la m moire vive de l ordinateur M me si un adversaire obtenait nos cl s priv es il lui serait alors impossible de d chiffrer la conversation a posteriori r L gi eee al tome 1 14 51 CHAPITRE 2 0 G rer des mots de passe C Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e 15 30 minutes Lorsqu on cr e une adresse email un compte sur un site web etc ce compte est en g n ral prot g par un mot de passe Il est important de ne pas utiliser le m me mot de passe pour des acc s des services ayant des niveaux de s curit diff rents par exemple une bo te mail et un compte sur un site de jeu d checs en ligne Il est important aussi de ne pas utiliser le m me mot de passe pour des identit s pas la compromission des autres Il existe deux bonnes coles pour choisir de bons mots de passe e choisir et retenir une bonne phrase de passe e utiliser de bons m
370. n t tes contiennent aussi le num ro du port source et celui du port de destination ce qui peut renseigner sur l application utilis e Pour faire leur travail les routeurs doivent lire ces informations ils peuvent aussi garder la trace dans des journaux en Bien qu ils n aient pas de bonne raison de le faire les routeurs sont aussi en mesure d acc der l int rieur de l enveloppe transport e par exemple le contenu de la page approfondi des paquets Deep Packet Inspection ou DPI en anglais Le fournisseur d acces a Internet francais Orange inclut par exemple dans le contrat de ses abonn s une clause concernant l usage des donn es relatives son trafic 2 4 Sur le serveur 15 Le serveur a acc s comme les routeurs aux en t tes des paquets IP et donc toutes ces informations dont on vient de parler Il regarde notamment l adresse IP de la box utilis e par ordinateur qui se connecte pour savoir qui envoyer la r ponse En plus des en t tes IP correspondant la couche r seau de la communication de la communication le Mais le serveur lit aussi le contenu des paquets eux m mes c est en effet lui qui doit ouvrir l enveloppe et lire la lettre pour y r pondre Le logiciel serveur va alors interpr ter la lettre reque qui est crite avec le protocole applicatif pour fournir r ponse adapt e la Or de tr s nombreux protocoles applicatifs v hiculent aussi des inf
371. nal 20 journalisation 33 K keylogger voir enregistreur de frappe 180 L library voir bibliotheque licence libre 30 licence propri taire 29 ligne de commande 85 liste blanche 53 liste noire 53 log voir journaux logiciel 14 logiciel espion 24 logiciel libre 29 30 logiciel malveillant 24 62 logiciel open source 30 logiciel portable 34 logiciel propri taire 29 logiciel malveillant 23 LOPPSI 2 23 LUKS 40 137 M malware voir logiciel malveillant m moire flash 13 32 128 m moire morte voir m moire persis tante m moire persistante 12 m moire virtuelle 17 19 m moire vive 11 19 micrologiciel 13 61 mise jour 169 mot de passe 31 m ta donn es 21 N noyau 15 NTFS 16 num risation 10 O ondes 14 open source 30 option 86 OS voir syst me d exploitation P paquet Debian 115 partition 16 phrase de passe 37 91 pilote 15 politique de s curit 51 porte d rob e 29 pourriel 23 24 processeur 10 programme 14 p riph rique 13 R RAM voir m moire vive rootkit 24 INDEX S sauvegarde 143 sauvegardes automatiques 21 secure delete 127 sfill 135 shred 131 134 signature num rique 44 signature st ganographique 27 somme de contr le 41 153 spam voir pourriel spyware voir logiciel espion SSD voir m moire flash st ganographie 27 swap 17 19 Synaptic 116 120 syntaxe 86 systeme d
372. nc sur l utilisation d un ordinateur hors connexion on pourrait aussi bien dire pr alablement a toute connexion Mais ce sont aussi des connaissances plus g n rales qui valent que l ordinateur soit connect ou non a un r seau On met donc de c t jusqu au second tome les menaces sp ci fiquement li es l usage d Internet et des r seaux Pour ce morceau hors connexion comme pour les autres on prendra le temps de s attarder sur des notions de base leurs implications en termes de s curit confi dentialit intimit Apr s l analyse de cas concrets d utilisation on pourra se pencher sur quelques recettes pratiques Une derni re pr cision avant de nous jeter l eau l illusion de s curit est bien pire que la conscience nette d une faiblesse Aussi prenons le temps de bien lire les premi res parties avant de nous jeter sur nos claviers ou m me de jeter nos ordinateurs par les fen tres 1 On souhaite ici faire appel 4 une notion un peu floue quelque chose qui tournerait autour de la possibilit de d cider ce qu on r v le qui on le r v le ainsi que ce que l on garde secret quelque chose qui inclurait aussi une certaine attention d jouer les tentatives de percer ces secrets Le terme employ en anglais pour nommer ce qu on voque ici est privacy Aucun mot francais ne nous semble adapt pour porter tout le sens que l on aimerait mettre derri re cette notion Ailleu
373. nchronisant galement Attention toutefois si aucune cl n est s lectionn e c est l int gralit du trousseau qui va tre envoy au serveur de cl s Pour cela que ce soit sous Tails ou dans une Debian lancer Mots de passe et cl s partir du menu Applications Outils systeme Pr f rences et suivre la partie Ben Publier sa cl publique sur les serveurs de cl s de l outil cr er et maintenir une paire 1 page 134 SERRE ES NE ee pale l de cl s oy AA al Une fois cette synchronisation effectu e reste faire savoir cela nos correspondants Pas de recette toute faite pour ca entre envoyer un email chiffr ceux ci le leur faire savoir de vive voix etc 18 11 2 R voquer la paire de cl s d un correspondant Si l un de nos correspondant nous fait savoir que sa paire de cl s est compromise et qu il l a r voqu e il nous faut mettre cela jour sur notre ordinateur que ce soit Tails ou une Debian chiffr e 144 II OUTILS Se synchroniser avec un serveur de cles Dans le cas o notre correspondant a mis jour sur un serveur de cles sa cl pu blique d sormais r voqu e il nous faudra simplement se synchroniser avec ce serveur de cl s Pour cela lancer Mots de passe et cl s partir du menu Applications gt Outils systeme Pr f rences S lectionner la cl que l on veut synchroniser puis cliquer sur le menu Distant puis Synchroniser et publier des cl s Si aucun ser
374. nde norm ment de temps de nombreuses ann es et ou norm ment d argent et des comp tences pointues du moins si la phrase de passe est solide Ce qu on peut se dire c est qu a priori si une organisation est pr te a mobiliser autant de ressources pour avoir acces vos donn es elle gagnerait amplement 4 mettre en place une des autres attaques moins co teuses et tout aussi efficaces list es ci dessus CHAPITRE 9 Cas d usage travailler sur un document sensible 9 1 Contexte CE 2 4 r Apres avoir pris un nouveau d part l ordinateur utilis pour mener ce projet bien page 57 L projet particulier plus sensible par exemple e un tract doit tre r dig e une affiche doit tre dessin e e un livre doit tre maquett puis export en PDF e une fuite d informations doit tre organis e pour divulguer les affreuses pratiques d un employeur e un film doit tre mont et grav sur DVD Dans tous ces cas les probl mes r soudre sont peu pr s les m mes Comme il serait trop p nible d augmenter globalement de nouveau le niveau de s curit de lordinateur il est d cid que ce projet particulier doit b n ficier d un traitement de faveur 9 1 1 Conventions de vocabulaire Par la suite nous nommerons e les fichiers de travail l ensemble des fichiers n cessaires la r alisation de l uvre les images ou rushes utilis s comme bases les documents en
375. nde d y accorder un minimum d attention et de vivacit d esprit On ne peut pas tout r expliquer a chaque fois il est implicite d avoir auparavant consult et compris les explications des cas d usage dont ces recettes ne sont que la derni re tape e Enfin les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de ce guide qui est disponible sur le site web https guide boum org TONI ee T 4 CHAPITRE Installer et configurer le Tor Browser Bundle 6 Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e une demi heure une heure Nous avons vu que lors de nos navigations sur le web les sites visit s peuvent en registrer notre adresse IP et donc qu un adversaire peut facilement remonter nous par ce biais D o parfois la n cessit de dissimuler cette adresse IP Tor est un logi ciel permettant de faire transiter notre connexion au sein d un r seau de n uds masquant ainsi notre IP r elle C est le routage en oignon Pour pouvoir utiliser le r seau d anonymisation Tor il faut param trer le logiciel Tor lui m me mais galement les logiciels qui vont l utiliser comme le navigateur web par exemple Ces param trages sont souvent complexes tel point qu il est difficile d t
376. ndividualisation de l Internet Inter netActu net Fondation Internet nouvelle g n ration http www internetactu net 2011 06 13 le risque de lindividualisation de linternet 3 SURVEILLANCE ET CONTR LE DES COMMUNICATIONS 35 En plus d tre cibl e th matiquement la publicit l est aussi g ographiquement grace aux GPS int gr s dans les terminaux mobiles tels les smartphones mais aussi gr ce Vadresse IP et aux r seaux Wi Fi visibles port e de l ordinateur portable ou du t l phone Ainsi il est par exemple possible de faire appara tre des publicit s pour des boutiques situ es proximit de l abonn Des int r ts conomiques poussent ainsi les fournisseurs de services Internet ras sembler des profils d internautes les plus pr cis possibles pour ensuite vendre direc tement ou pas des espaces publicitaires cibl s Une fois ces informations rassembl es les entreprises en question ne rechigneront en g n ral pas les communiquer aux flics s ils les leur demandent Tous les gros fournisseurs de contenus ont des bureaux d di s r pondre aux requ tes et donc des formulaires proc dures etc crites pour les flics pour expliquer la meilleure marche suivre pour demander des informations 3 1 2 Des entreprises et des tats cherchant pr server leurs int r ts D autres entreprises s int ressent ce qui se passe sur Internet pour pr server leurs int r ts Cela va
377. ne cl USB ou vers un autre ordinateur travers le r seau Et prendre le contr le d un ordinateur peut tre aussi simple qu y brancher un Pod quand on a le dos tourn Une fois r cup r es les nombreuses informations que contient la m moire vive sur l ordinateur et les personnes qui l utilisent pourront alors tre exploit es Par ailleurs si ces donn es deviennent illisibles lors de la mise hors tension cela prend n anmoins du temps ce qui peut suffire pour qu une personne mal intentionn e ait le temps de r cup rer ce qui s y trouve On appelle cela une cold boot attack Vid e est de copier le contenu de la m moire vive avant qu elle ait eu le temps de s effacer de mani re l exploiter par la suite Il est m me techniquement possible de porter tres basse temp rature la m moire d un ordinateur fraichement teint auquel cas on peut faire subsister son contenu plusieurs heures voire plusieurs jours Cette attaque doit cependant tre r alis e peu de temps apres la mise hors ten sion Par ailleurs si on utilise quelques gros logiciels par exemple en retouchant une norme image avec Adobe Photoshop ou GIMP avant d teindre son ordinateur les traces qu on a laiss es pr c demment en m moire vive ont de fortes chances d tre recouvertes Mais surtout il existe des logiciels sp cialement concus pour craser le contenu de la m moire vive avec des donn es al atoires 2 2
378. ne liste de grosses plateformes de blogs sur Wikipedia https fr wikipedia org wiki Cat gorie H bergeur de blogs e une autre liste de plateformes de blogs http wuw allists com 2033 e une liste de services web libres sur le wiki de la communaut francophone d Ubuntu http doc ubuntu fr org liste de services web libres e une liste d h bergeurs sur le wiki des h bergeurs libres http ww hebergeurslibres net wakka php wiki ListeHebergeurs e Il existe aussi h bergeur noblogs org http noblogs org 1 Par exemple les sites du r seau Indymedia qui proposent d assurer a tous la libert de cr er et de diffuser de l information Wikip dia 2014 Indymedia https fr wikipedia org wiki Indymedia 14 CHOISIR UN H BERGEMENT WEB 119 14 2 3 Publier des images On veut souvent pouvoir publier des images pour accompagner son texte La plupart des sites o l on peut publier du texte proposent d en inclure dans notre article Ils nous proposent alors soit de prendre des images depuis notre ordinateur ils h bergent alors ces derni res sur leur serveur soit d indiquer l adresse d images d j h berg es sur un autre serveur Il existe aussi des sites sp cifiques de partage de photos e une liste de sites d h bergement d images sur l annuaire ouvert dmoz http ww dmoz org World Francais Informatique Images Web H bergement e une liste de sites de partage de photos http www allists com 2042 14 2 4
379. net Microsoft Yahoo Google Facebook PalTalk Youtube Skype AOL et Apple 38 ce qui lui permet d acc der aux donn es qu ils h bergent ou qui transitent par leurs serveurs 31 Christopher Soghoian 2010 Your ISP and the Government Best Friends Forever http www defcon org html defcon 18 dc 18 speakers html Soghoian en anglais 32 legifrance 2013 Arr t du 21 aotit 2013 pris en application des articles R 213 1 et R 213 2 du code de procedure p nale fixant la tarification applicable aux r quisitions des op rateurs de communi cations lectroniques http www legifrance gouv fr affichTexte do cidTexte JORFTEXT000028051025 33 Google 2014 France Google Transparency Report https www google com transparencyreport userdatarequests FR 34 Mark Klein 2004 AT amp T s Implementation of NSA Spying on American Citizens http ww audioactivism org text att_klein_wired pdf en anglais 35 Reflets info 2011 OpSyria BlueCoat ma tre artisan de la censure syrienne http reflets info opsyria bluecoat maitre artisan de la censure syrienne 36 Craig Timberg et Barton Gellman 2013 NSA paying U S compa nies for access to communications networks http www washingtonpost com world national security nsa paying us companies for access to communications networks 2013 08 29 5641a4b6 10c2 11e3 bdf6 e4fc677d94a1_story htmll en anglais 37 L expansion com 2013 Operation Tempora co
380. niquement avoir acc s aux fichiers qu on veut y importer et c est tout Il n est pas question de lui donner acc s un dossier qui contient p le m le des fichiers concernant des projets qui ne devraient pas tre recoup s entre eux Si a implique de commencer par une phase de tri et de rangement et bien soit e Lorsque Windows a besoin de lire recopier les fichiers contenus dans un dossier on lui donne uniquement acc s en lecture ce dossier Le moins on donne le droit a Windows d crire ici ou l le moins il laissera de traces g nantes A noter que lorsqu on d cide de partager un dossier du syst me h te avec un Windows invit VirtualBox propose de rendre ce partage permanent Ca vite de refaire la manipulation chaque fois qu il est n cessaire d envoyer un fichier au Windows invit mais ca implique le risque de d poser des fichiers dans ce dossier sans penser qu ils pourront tre lisibles par Windows et ses sbires C est pourquoi afin d viter de se m langer les pinceaux nous recommandons de e cr er un dossier d importation par projet e nommer ce dossier de fa on aussi explicite que possible par exemple Dossier lisible par Windows e ne jamais partager d autres dossiers que celui ci avec le Windows invit 5 72 II CHOISIR DES R PONSES ADAPTEES Comment faire sortir des fichiers du Windows embastill Le Windows invit n a pas le droit par d faut de laisser des traces
381. nnes qui connaissent d j ce pseudonyme par ailleurs 5 1 2 Identit contextuelle En reprenant le fil de notre histoire introductive l identit contextuelle correspondrait une ou plusieurs personnes publiant des informations sur le Maire du 10 me arrondissement et la personne physique Beno t Que l on discute avec des personnes avec qui on partage la passion de l escalade ou de notre projet professionnel avec un agent P le Emploi ou encore avec notre banquier la teneur des propos la mani re dont on en parle n est pas la m me D un c t on sera plut t exalt e aventureuse de l autre plut t sobre s rieuse on peut donc parler d identit contextuelle 54 I COMPRENDRE Il en va de m me lors de l utilisation d un ordinateur quand on poste un message sur un forum de rencontre quand on annonce une grosse soir e sur son compte Facebook ou quand on r pond un email de papa on fait appel diff rentes identit s contex tuelles Celles ci peuvent bien videmment tre m lang es et donc rejoindre une m me identit compos e des trois identit s contextuelles mobilis es ci dessus la c libataire la f tarde la fille de Elles sont en d finitive toutes constitutives des personnalit s de leur propri taire Une identit contextuelle est donc un fragment d une identit globale cens e correspondre une personne physique ou un groupe Tout comme une photographie est un instantan d
382. nom de domaine correspondant www exemple org sui vie d un en t te qui contient entre autres le nom et la version de navigateur Mozilla 5 0 Gecko 20140429 Firefox 24 0 Iceweasel 24 5 0 ainsi que le sys teme d exploitation utilis Linux x86_64 les langues accept es fr fr pour francais de France en us pour anglais des tats Unis la page sur laquelle se trouvait le lien que l internaute a suivi pour arriver la page deman id dee https www google com search q example domain amp ie ut f 8 amp 0e ut f 8 amp aq t no page 261 ter les termes de recherche exemple et domaine et le cookie de session PHPSESSID r2t5uvjq435r4q7ib3vtdjq120 sss Ces informations sont l pour tre utilis es par le serveur web qui va adapter sa r ponse en fonction c est notamment gr ce cela qu un site disponible en plusieurs langues s affiche dans notre langue sans que nous ayons eu l indiquer Mais ces informations comme toutes celles qui transitent par le serveur sont aussi accessibles aux personnes qui s occupent de la maintenance du serveur ses admins et leur hi rarchie En g n ral les serveurs gardent aussi ces informations dans des journaux plus ou moins longtemps notamment pour faire des statistiques et pour DS faciliter les diagnostics en cas de panne Ils ajoutent aux en t tes l adresse IP d origine ainsi que la date et l heure Voici une ligne de journal enregistr e pour notre requ
383. ns des diff rentes communications travers ce r seau chaque instant il serait statistiquement possible d identifier un circuit Tor car le m me flux d information y appara trait quelques millisecondes d intervalle chaque noeud du circuit L adversaire pourra t ainsi relier un utilisateur de Tor et son serveur destina taire Un adversaire global ayant des moyens comparables ceux de la NSA par exemple pourrait galement mettre en place d autres attaques visant briser l anonymat fourni par le r seau Tor Cependant ne pas r pondre une telle menace fait partie des compromis de Tor et cela pour permettre une navigation raisonnable en termes de d lais d attente pour le web ou la messagerie instantan e par exemple Toutefois les risques r sultants de ces limites ne sont pas comparables ceux ren contr s lors d une navigation non anonyme Tor est l un des outils les plus efficaces en mati re d anonymat sur Internet et s il faut les garder l esprit ces risques ne devraient pas nous d tourner de son utilisation avis e 9 Roger Dingledine Nick Mathewson Paul Syverson 2004 Tor Project The Second Generation Onion Router https svn torproject org svn projects design paper tor design pdf partie 3 De sign goals and assumptions en anglais DEUXIEME PARTIE Choisir des r ponses adapt es La panique s est d sormais empar e de nous Tout ce qu on fait sur un ordinateur nou
384. ns vu que la piste la plus s rieuse pour prot ger des donn es des regards indiscrets est le chiffrement il permet de les rendre illisibles pour toute personne qui n a pas la cl secr te 6 1 Limites du chiffrement sym trique Dans le cadre du chiffrement sym trique c est une m me cl secr te qui permet la fois d effectuer le chiffrement et le d chiffrement Le chiffrement sym trique est tout fait adapt pour chiffrer une cl USB ou un autre support de stockage Cependant dans le cas d une communication lorsque la personne qui devra d chiffrer les donn es n est pas la m me que celle qui les a chiffr es plusieurs probl mes se posent Tout d abord il faut une nouvelle cl secr te pour chaque couple metteur r cepteur si je veux pouvoir changer des messages chiffr s avec ma s ur d une part et un ami d autre part j aurai besoin d utiliser deux cl s diff rentes sans quoi ma s ur pourrait d chiffrer les messages que j change avec mon ami et inversement Du moins dans le cas o l un d eux tombe sur les messages que j change avec l autre De plus exp diteur et destinataire doivent se mettre d accord sur une cl secr te et se l changer de fa on confidentielle Si un adversaire entrait en possession de la cl secrete il pourrait dechiffrer tous nos changes pass s mais aussi futurs Il serait en effet n cessaire mais tres difficile que notre interlocuteur soit prevenu de
385. nseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e quelques minutes Une fois qu on a tabli une confiance en la cl d Alice il est utile d informer OpenPGP qu il peut faire confiance sa cl Cette op ration s appelle Signer une cl La proc dure est la m me sous Tails ou avec une Debian chiffr e Deux options s offrent nous e signer la cl d Alice localement ce qui permet de ne pas publier que notre identit est li e celle d Alice e signer la cl d Alice publiquement ce qui permet n importe quel utilisateur de la toile de confiance de profiter des v rifications qu on faites Encore une fois pas de bonne r ponse mais un choix faire en fonction de nos besoins et de notre mod le de risques Pour signer une cl rendez vous dans Mots de passes et cl s qui est accessible partir du menu Applications Outils syst me Pr f rences Pour voir les cl s OpenPGP cliquer sur le menu Affichage Tout afficher et Affichage gt Par trousseau Si la cl n est pas pr sente l importer Une fois la cl d Alice rep r e dans la fen tre principale double cliquer dessus pour afficher les d tails de la cl V rifier que c est la bonne cl par exemple en v rifiant RSS ED T l a 134 II OUTILS son empreinte dans l onglet Details Choisir ensuite l onglet Confiance puis cliq
386. nstituer la phrase de passe Afin de reconstituer la phrase de passe il est n cessaire de disposer d au moins autant de morceaux que le nombre minimal d cid lors du d coupage Cette tape doit id alement tre faite partir d un systeme live afin de ne pas laisser de traces du secret partag 20 2 1 Installer les paquets n cessaires Comme pr c demment si le programme n est pas disponible sur le systeme on aura besoin d avoir install le paquet ssss et d avoir ouvert un terminal 20 2 2 Recombiner le secret Afin de recombiner le secret on utilisera le programme ssss combine Il est n cessaire de lui indiquer le nombre de morceaux qu on a notre disposition A ssss combine t NOMBRE DE MORCEAUX A DISPOSITION Le programme demande ensuite de saisir les morceaux notre disposition Il faut taper Entr e apr s chacun d entre eux Si tout se passe bien le programme affichera ensuite la phrase de passe compl te Pour reprendre l exemple pr c dent cela donne ssss combine t 3 Enter 3 shares separated by newlines Share 1 3 gt 4 143alefcde7f4f5658415a150fcac6da04f697ebfeb9427b59dca57b50ec755510b0e5 gt 7ccc594e6blaleeb04 Share 2 3 gt 2 af83f0af05fc207e3b466caef30ec4d39c060800371feab93594350b7699a8db9594bf gt c71ed9cd2bf314b738 Share 3 3 gt 6 ebf7a305f14bf3143b801a222cc1c857b7e8582119374925274f9f335d283677f4c002 gt f8d68bcce722ebbalf Resulting secret 7rZw00u
387. nsuivra un petit bout de chemin chez fai net qui assurera le passage du webmail a l email e suivi d un voyage en protocole email SMTP entre fai net et exemple org e de nouveau un petit bout de chemin chez exemple org cette fois ci entre protocole email et web e puis du web HTTP ou HTTPS jusqu l ordinateur d Alice 10 5 1 Avantages Parmi les avantages du webmail de m me que pour chaque application web on peut noter absence d installation de mise jour de configuration pour le logiciel de mail On y retrouve galement un argument phare du web 2 0 la possibilit d acc der sa bo te mail depuis n importe quel ordinateur connect Internet n importe quand n importe ou 10 5 2 Inconv nients C t inconv nients il y a le fait qu en cas d absence de connexion toute notre cor respondance nous est inaccessible moins qu on en ait sauvegard tout ou partie sur un support port e de main cl USB disque dur etc Le fait qu il soit possible d utiliser n importe quel navigateur web pour acc der a notre boite mail peut vite nous inciter a utiliser effectivement n importe quel navigateur web T l 4 94 II CHOISIR DES R PONSES ADAPTEES et par l des ordinateurs en lesquels nous n avons que tr s peu de raisons de placer notre confiance Ensuite en fonction de la confiance que l on place dans notre h bergeur d email il convient de se poser la question de la centralisat
388. nt Internet uniquement via Tor et pouvoir utiliser Tor avec d autres logiciels qu un navigateur il faudra se tourner vers un ae a ee q tome 1 ch 14 syst me live comme Tails 12 1 T l charger et v rifier le Tor Browser Bundle 12 1 1 V rifier l architecture de son systeme d exploitation tome 1 1 2 2 Avant d installer le Tor Browser Bundle il faut d terminer l architecture de notre syst me d exploitation Debian savoir si elle est en 32 ou 64 bits Pour ce faire cliquer sur votre nom d utilisateur en haut droite puis sur Param tres syst me Une fen tre s ouvre avec plusieurs ic nes Cliquer sur Details tout en bas a droite Nous avons pr sent diff rents renseignements sur notre machine En face de Type d OS il y a soit 32 bits soit 64 bits Noter cette information dans un coin et fermer la fen tre 12 1 2 T l charger le programme Nous pouvons maintenant t l charger le Tor Browser Bundle Aller sur https www torproject org et cliquer sur le gros bouton Download Tor Puis dans la colonne de droite listant diff rents types de syst mes d exploitation cliquer sur Linux Uniz La dans l encadr correspondant votre architecture c est ce que l on a not l tape pr c dente s lectionner la langue d sir e par exemple Fran ais et enfin cliquer sur Download Une fen tre proposant d ouvrir le fichier s affiche Choisir Enregistrer le fichier et
389. nt t invent es une bonne partie des techniques utilis es aujourd hui avec Internet La naissance d Internet est li e a celle des logiciels libres et il fonctionne selon des principes similaires d ouverture et de transparence ce qui n emp che pas qu au d part il a t d velopp pour r pondre a des besoins militaires Les diff rents r seaux informatiques furent reli s au fur et mesure constituant ainsi progressivement Internet qui se d veloppe de facon importante depuis les ann es 90 1 Selon Benjamin Bayard on ne peut pas dissocier Internet et logiciel libre car ils sont apparus aux m mes dates avaient les m mes acteurs une croissance et un fonctionnement similaires Benjamin Bayart 2007 Internet libre ou Minitel 2 0 conf rence aux 8e rencontres mondiales du logiciel libre Amiens https www fdn fr internet libre ou minitel 2 html 10 I COMPRENDRE 1 1 1 Un r seau d ordinateurs PEPO ae _ Un r seau est un ensemble de n uds reli s entre eux par des liens Dans un tome ch 1 r seau informatique les n uds sont des ordinateurs C est donc un ensemble d ordi O nateurs reli s entre eux par des c bles des ondes etc ou 4 Les ordinateurs qui font partie des r seaux ne ressemblent pas tous aux ordinateurs personnels fixes ou portables que l on utilise en g n ral Certains sont en effet sp cialis s pour assurer des fonctions particuli res
390. nt Comme la m moire flash utilis e par les cl s USB et les disques durs SSD 4 Peter Gutmann 1996 Secure Deletion of Data from Magnetic and Solid State Memory http www cs auckland ac nz pgut001 pubs secure_del html en anglais 4 QUELQUES ILLUSIONS DE SECURITE 33 Solid State Disks arr te de fonctionner correctement apr s un certain nombre d cri tures ces derniers contiennent des puces charg es de r organiser automatiquement le contenu pour r partir les informations au maximum d endroits diff rents En prenant en compte ces m canismes il devient difficile de garantir que les donn es que l on souhaite d truire auront bien disparu N anmoins ouvrir un disque dur pour en examiner les entrailles demande du temps et d importantes ressources mat rielles et humaines investissement qui ne sera pas forc ment la port e de tout le monde tout le temps Pour les puces de m moire flash d une cl USB ou d un disque dur SSD m me si ce n est pas non plus imm diat l op ration est beaucoup plus simple il suffit d un fer souder et d un appareil permettant de lire directement les puces de m moire Ces derniers se trouvent pour environ 1 500 dollars Les syst mes de fichiers intelligents Un autre probl me vient des syst mes de fichiers intelligents Les syst mes de fichiers d velopp s ces derni res ann es comme NTFS ou ezt3 sont journalis s c est dire
391. nt gr s dans un ordinateur portable Les keyloggers logiciels sont beaucoup plus r pandus parce qu ils peuvent tre install s a distance via un r seau par le biais d un logiciel malveillant ou autre et ne n cessitent g n ralement pas un acc s physique la machine pour la r cup ration des donn es collect es l envoi peut par exemple se faire p riodiquement par email La plupart de ces logiciels enregistrent galement le nom de l application en cours la date et l heure laquelle elle a t ex cut e ainsi que les frappes de touches associ es cette application Aux Etats Unis le FBI utilise depuis de nombreuses ann es des keyloggers logiciels 18 La seule mani re de rep rer les keyloggers mat riels est de se familiariser avec ces dispositifs et de faire r guli rement une v rification visuelle de sa machine l int rieur et l ext rieur M me si le catalogue de la NSA publi fin 2013 rend compte de la difficult de trouver soi m me des dispositifs d enregistrement de frappe peine plus gros qu un ongle Pour les keyloggers logiciels les pistes sont les m mes que pour les autres logiciels malveillants 3 4 Des probl mes d impression On croyait avoir fait le tour des surprises que nous r servent nos ordinateurs mais m me les imprimantes se mettent avoir leurs petits secrets 3 4 1 Un peu de st ganographie Premi re chose savoir de nombreuses imprimantes haut de gam
392. nt le fichier est supprim 17 1 2 Le compromis adopte L etude de Peter Gutmann porte sur des technologies de disques durs qui n existent plus de nos jours Il a depuis ajout la fin de son article un paragraphe intitul Epilogue qui nous dit en substance que pour un disque dur r cent les 38 critures successives ne sont plus n cessaires il suffit d craser les donn es quelques fois avec des donn es al atoires Mais mis a part la nature et le nombre de r critures le processus d crit pr c demment reste tout fait d actualit De surcro t le NIST Vational Institute of Standards and Techonology organisme gouvernemental tats unien d finissant les protocoles de s curit utilis s entre autres par les administrations de ce pays a publi une tude r cente de la NSA qui semble 1 Fichier README gz install sur une Debian dans usr share doc secure delete 2 Peter Gutmann 1996 Secure Deletion of Data from Magnetic and Solid State Memory http www cs auckland ac nz pgut001 pubs secure_del html en anglais 3 Utilisant la technologie PRML https fr wikipedia org wiki PRML apparue en 1990 http ww storagereview com guide histFirsts html 4 NIST 2006 Guidelines for Media Sanitization http csrc nist gov publications nistpubs 800 88 NISTSP800 88 with errata pdf en anglais 17 128 II OUTILS conclure que sur les disques durs modernes les donn es sont telleme
393. nt coll es les unes aux autres qu il devient impossible de se livrer des analyses magn tiques pour retrouver les traces de donn es effac es en effet la densit des donn es des disques durs ne cesse de cro tre afin d augmenter leur capacit de stockage Par cons quent nous nous contenterons dans les recettes qui suivent de quelques pas sages al atoires en voquant tout de m me la mise en ceuvre de la m thode originale de Gutmann T 7 page 51 Il s agira une fois de plus de faire le bon compromis au cas par cas entre la rapidit L E WORDEN AN ARA O E aes r a E a Sad et le niveau de protection souhait en fonction de la taille des donn es craser de l ge du disque dur et de la confiance qu on accorde au NIST 17 1 3 Pour les cl s USB et autres m moires flash Pour les cl s USB ou autre m moire flash comme les cartes SD ou disques durs SSD une tude datant de 20115 a montr que la situation tait r ellement probl matique Cette tude d montre qu il est impossible d avoir la garantie d avoir recouvert tout le contenu d un fichier donn quel que soit le nombre de r critures M me si cela rend inaccessibles les donn es en branchant simplement la cl elles sont toujours visibles pour quiconque regarderait directement dans les puces de m moire flash La seule m thode qui a fonctionn de fa on syst matique tait de r crire plusieurs fois l int gralit de
394. nt pour qu un ou plusieurs logiciels sp cifiques soient install s de mani re automatique chaque d marrage Trouver le nom de paquet installer On a besoin du nom exact du paquet installer Pour le trouver suivre la recette trouver un logiciel Par exemple notre logiciel de conception de circuits lectroniques est fourni par le paquet geda Configurer les logiciels additionnels Si l on ne dispose pas encore d une cl USB ou d une carte SD contenant un volume persistant il faut en cr er une gr ce aux recettes cloner une cl Tails puis cr er et configurer un volume persistant dans activer les options Paquets APT et Listes APT Red marrer alors Tails Une fois red marr au niveau de l cran d accueil apr s avoir choisi le fran ais comme langue cliquer sur Plus d option gt Oui Puis activez la le rentrer deux fois et cliquer sur Connexion Une fois sur le bureau ouvrir un Terminal administrateur partir du menu Appli cations Accessoires Entrer le mot de passe choisi pr c demment puis Valider Le terminal administrateur s ouvre taper dedans gedit live persistence TailsData unlocked live additional software conf Puis taper sur Entrer Un fichier texte s ouvre Chaque ligne de ce fichier doit contenir le nom exact d un paquet installer On va donc ajouter une ligne avec le nom du paquet trouv pr c demment Dans notre exemple on ajoutera la ligne geda Enregistre
395. nts de mat riel y font g n ralement peu attention Il arrive donc qu il ne soit nn pas facile voire compl tement impossible d utiliser un ordinateur ou l un de ses page 13 p riph riques avec Debian La situation s am liore depuis quelques ann es le fonctionnement du mat riel tend s homog n iser et surtout la diffusion des syst mes libres pousse de plus en plus les fabriquants aider directement ou non ce que leur mat riel fonctionne Cependant avant de remplacer un syst me d exploitation cela peut tre une bonne er os a sis A 4 i page 99 id e de s assurer que le mat riel n cessaire fonctionne bien l aide d un systeme live L E A ee at IA A A os ee A AN TA D 7 Sige oe or ae Le syst me Tails par exemple est bas sur Debian Le mat riel qui fonctionne avec l un devrait donc fonctionner avec l autre sans difficult s 15 2 T l charger un support d installation Pour r aliser l installation du systeme le plus simple est d utiliser un CD un DVD ou une cl USB Debian en propose plusieurs variantes et il est donc n cessaire de commencer par choisir la m thode qui convient le mieux notre situation 15 2 1 Le CD d installation par le r seau Le plus rapide est d utiliser un CD d installation par le r seau Le CD contient unique ment les tout premiers morceaux du syst me Il t l charge ensuite depuis Internet les logiciels installer Il faut donc que
396. nversation est chiffr e mais qu un adversaire thentifier 19 7 2 Authentifier un correspondant Pour authentifier un correspondant il faut soit s tre mis d accord au pr alable sur un secret soit disposer d un moyen de communication autre que la messagerie ins tantan e que l on considere comme stir Ce moyen peut tre une conversation de vive voix un email chiffr etc OTR propose trois facons d authentifier un contact e par question r ponse on d finit une question et sa r ponse La question tant ensuite pos e a notre correspondant e avec un secret partag un secret connu uniquement des deux interlocuteurs est demand afin de v rifier qu on dialogue bien avec la personne escompt e e grace a la v rification manuelle de l empreinte on v rifie que l empreinte de la cl de la personne avec qui l on s appr te avoir une conversation chiffr e est la m me que celle qui nous a t fournie par un moyen authentifie Une fois les secrets les questions r ponses ou les empreintes chang s cliquer sur le menu OTR gt Authentifier le contact Choisir la m thode d authentification en dessous de Comment d sirez vous authentifier votre contact puis r pondre aux ques tions Enfin cliquer sur Authentifier Si Pauthentification est r ussie le statut de la conversation devient Priv ce qui signifie qu elle est non seulement chiffr e mais aussi authentifi e Si l on utilise u
397. ocker l image de disque virtuel en dehors du disque du syst me h te Une idee est de stocker hors du disque dur du systeme h te l image de disque virtuel utilis e par le systeme Windows invit Par exemple sur un disque dur externe chiffr Ainsi m me si le disque du systeme h te est d chiffr nos fichiers de travail restent inaccessibles pourvu que le disque dur externe qui les contient soit 4 ce moment la convenablement rang page 531 Cette approche est de type liste noire avec tous les probl mes que ga pose Les fichiers de travail et le syst me Windows sont certes extraits du disque dur du syst me o h te mais il ne faut pas oublier une chose ces donn es seront utilis es par un logiciel T q 2 x A A x page 19 anim par le systeme h te nomm ment VirtualBox Comme le chapitre traces E ul disque dur interne de l ordinateur utilis Pour suivre cette piste F 7 2 page suivante e se renseigner sur les limites partag es par toutes les solutions envisag es dans ce L cas d usage e se reporter a la recette permettant de chiffrer un disque dur externe Utiliser un systeme live comme systeme h te Le pendant de cette approche liste noire est une solution de type liste blanche conjuguant l utilisation d un systeme live et le stockage de l image de disque virtuel sur un disque dur externe chiffre Pour suivre cette piste F 7
398. odifications apport es aux logiciels pour les rendre portables sont rarement v rifi es alors m me qu elles ne sont g n ralement pas faites par les auteurs du logiciel lui m me Des lors on peut soupconner ces logiciels encore plus que leurs versions non portables de contenir des failles de s curit qu elles aient t introduites par erreur ou volontairement On traitera plus loin de la question de l hygi ne minimale avoir dans le choix des logiciels qu on installe ou t l charge CHAPITRE 5 Une piste pour se prot ger la cryptographie La cryptographie est la branche des math matiques qui s occupe sp cifiquement de prot ger des messages Jusqu en 1999 l usage de techniques cryptographiques tait interdit au grand public C est devenu l gal entre autres pour permettre aux services marchands sur Internet de se faire payer sans que les clients se fassent piquer leur num ro de carte bleue La cryptanalyse est le domaine consistant casser les techniques cryptogra phiques par exemple pour permettre de retrouver un message qui avait t prot g Lorsque l on veut prot ger des messages on distingue trois aspects e confidentialit emp cher les regards indiscrets e authenticit s assurer de la source du message e int grit s assurer que le message n a pas subi de modification On peut d sirer ces trois choses en m me temps mais on peut aussi vouloir seulement
399. oisonnement des espaces priv s les fronti res de la vie priv e l heure du Web relationnel Terminal num ro 105 Tech nologies et usages de l anonymat l heure d Internet http ead univ angers fr granem08 IMG pdf Rochelandet pdf 13 Nikopik 2012 Facebook et la d lation http www nikopik com 2012 07 facebook vous demande de denoncer vos amis a pseudonyme html 14 Identit agissante messages notifi s par le Syst me concernant les activit s de l utilisateur Par exemple a modifi sa photo de profil est d sormais ami avec dans l historique de Facebook ou Linkedin Fanny Georges Antoine Seilles Jean Sallantin 2010 Des illusions de l anonymat Les strategies de pr servation des donn es personnelles l preuve du Web 2 0 Terminal num ro 105 Technologies et usages de l anonymat l heure d Internet 15 Chantal Enguehard Robert Panico 2010 Approches sociologiques Terminal num ro 105 Technologies et usages de l anonymat Vheure d Internet http www revue terminal org www articles 105 introPartie2Anonymat105 pdf 58 I COMPRENDRE recu comprend 1222 pages qui incluent non seulement l ensemble des informa tions disponibles sur son profil mais aussi tous les v nement auxquels il a t invit y compris les invitations d clin es tous les messages envoy s ou recus y compris les messages supprim s toutes les photos charg es sur
400. omaine 22 nom de domaine de premier niveau voir domaine de premier ni veau 154 O Outlook voir client mail P pare feu 21 passerelle 15 phishing voir hameconnage point d acc s 14 pont voir switch POP 20 93 POPS 20 93 port 20 portail captif 28 protocole applicatif 20 protocole IP voir Internet Protocol protocole r seau 12 R radio voir Wi Fi r seau local 14 RJ 45 voir Ethernet robot 98 routeur 15 17 18 28 S site mirroir 42 Skype 20 SMTP 20 93 SMTPS 20 93 spam 98 switch 14 syst me autonome 16 T TCP 13 Thunderbird voir client mail TLD voir domaine de premier niveau top level domain voir domaine de pre mier niveau U UDP 13 W webmail 93 Wi Fi 10 14 X XMPP 20 INDEX Photo page 11 de David Monniaux licence CC BY SA 3 0 trouv e sur https commons wikimedia org wiki File Ethernet RJ45 connector p1160054 jpg Photo page 17 de Geek2003 licence CC BY SA 3 0 trouv e sur https commons wikimedia org wiki File Avaya Secure Router 2330 jpg Photo page 23 de Victor Grigas licence CC BY SA 3 0 trouv e sur https commons wikimedia org wiki File Wikimedia Foundation Servers 8055 08 jpg Les autres sch mas sont faits par les auteurs du guide et utilisent des ic nes de GNOME Project licence CC BY SA 3 0 de Silvestre Herrera licence GPLv2 trouv es sur http www silvestre com ar du domaine public trouv es sur htt
401. omodo Fraud Incident 2011 03 23 html en anglais 14 Jacob Appelbaum 2011 Detecting Certificate Authority com promises and web browser collusion https blog torproject org blog detecting certificate authority compromises and web browser collusion en anglais 15 Christopher Soghoian Sid Stamm 2011 Certified Lies Detecting and Defeating Govern ment Interception Attacks Against SSL Financial Cryptography and Data Security http files cloudprivacy net ssl mitm pdf en anglais 16 To use our product in this scenario government users have the ability to import a copy of any legitimate key they obtain potentially by court order Citation extraite du papier de Christopher Soghoian et Sid Stamm cit ci dessus et traduite par nos soins 17 Cette citation se trouve dans une version pr liminaire datant d avril 2010 du papier de Chris topher Soghoian et Sid Stamm cit ci dessus cette version est disponible sur cryptome org http cryptome org ssl mitm pdf en anglais 6 CACHER LE CONTENU DES COMMUNICATIONS LA CRYPTOGRAPHIE ASYM TRIQUE 67 connait aussi Francoise qui connait Gaston qui connait lui aussi Alice ainsi que H loise qui connait Ingrid qui connait elle m me Alice Il y a donc trois chemins de confiance entre Alice et Betty qui n a pas besoin d avoir une confiance totale dans chacune des parties en jeu dans la certification Ces toiles de confiance sont couramment utilis es pour l
402. on cherche a comme identifiant 63FEE659 on fera clic droit sur l un des r sultats puis Propri t s On pourra alors comparer l empreinte de la cl s lectionn e avec celle d sir e Une fois la bonne cl trouv e la s lectionner Fichier gt Importer puis fermer la fen tre La cl import e devrait tre visible dans le trousseau de Cl s PGP 18 2 V rifier l authenticit d une cl publique C Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e de quelques minutes une demi heure ee Lors de l utilisation de la cryptographie asym trique il est crucial de s assurer que page 63 l on dispose la v ritable cl publique de notre correspondant Sinon on s expose dance pour notre adversaire On devra tout d abord choisir une m thode pour s assurer que l on dispose de la bonne cl publique On indiquera ensuite 4 OpenPGP notre confiance en cette cl 18 2 1 Etablir une confiance E N a gt 1 6 En fonction des exigences de notre mod le de risque et de nos possibilit s on pourra choisir diff rentes fa ons pour v rifier l authenticit d une cl publique Admettons qu on doive v rifier l authenticit de la cl publique d Alice Se transmettre la cl par un canal s r D Lorsque c est possible le plus simple est de se passer en main propre
403. on seulement les personnes ayant acc s au serveur peuvent collaborer avec les flics de plein gr mais un adversaire peut aussi comme dans le cas d un ordinateur personnel s y introduire et espionner ce qui s y passe en utilisant des failles sans passer par 21 LOI n 2004 575 du 21 juin 2004 pour la confiance dans l conomie num rique Journal Officiel n 143 du 22 juin 2004 page 11168 NOR ECOX0200175L http www legifrance gouv fr affichTexte do cidTexte JORFTEXT000000801164 amp dateTexte amp categorieLien id 22 EUR lex 2006 Directive 2006 24 CE du Parlement europ en et du Conseil du 15 mars 2006 sur la conservation de donn es g n r es ou trait es dans le cadre de la fourniture de services de communications lectroniques accessibles au public ou de r seaux publics de communications http eur lex europa eu LexUriServ LexUriServ do uri CELEX 32006L0024 FR HTML 23 legifrance 2011 D cret n 2011 219 du 25 f vrier 2011 relatif a la conservation et a la communication des donn es permettant d identifier toute personne ayant contribu a la cr ation d un contenu mis en ligne http www legifrance gouv fr affichTexte do cidTexte JORFTEXT000023646013 amp dateTexte amp categorieLien id 24 Les personnes physiques ou morales qui assurent m me titre gratuit pour mise dis position du public par des services de communication au public en ligne le stockage de signaux d crits d images de
404. onc aussi r fl chir aux utilisations qu on fait des services propos s sur Internet et aux donn es qu on leur confie des themes qu on traitera plus avant dans les parties a venir 16 La plupart du temps cela se trouve dans la ligne Received de la premi re machine ou dans le Message Id Mais certains autres logiciels ou services de messagerie rajoutent d autres lignes plus sp cifiques 5 l 4 CHAPITRE 3 Surveillance et contr le des communications Au del des traces laiss es par le fonctionnement m me des r seaux en g n ral et d Internet en particulier il est possible d couter nos activit s sur Internet plusieurs niveaux De plus en plus souvent les organismes qui font fonctionner des parties d Internet cables serveurs etc sont m me dans l obligation l gale de conser ver un certain nombre de donn es sur ce qui se passe sur leurs machines au titre de lois de r tention de donn es 3 1 Qui veut r cup rer les donn es Diverses personnes ou organisations peuvent porter des regards indiscrets sur les changes v a Internet Parents un peu trop curieux sites web la recherche de consom mateurs cibler multinationales comme Microsoft gendarmes de Saint Tropez ou National Security Agency tats unienne Comme dans le cas des mouchards sur les ensemble et ne forment pas une totalit coh rente Si les curieux sont trop vari s pour pr tendre dresser une liste exhaust
405. onfiance il est possible de d couper le disque dur en deux partitions e une partition non chiffr e o l on ne met que des donn es non confidentielles comme de la musique que l on peut utiliser depuis tous les ordinateurs sans taper la phrase de passe e une partition chiffr e avec les donn es confidentielles qu on n ouvre que sur les ordinateurs auxquels on fait confiance 18 1 Chiffrer un disque dur avec LUKS et dm crypt On va expliquer comment chiffrer un disque avec les m thodes standards sous GNU Linux appel es dm crypt et LUKS Ce syst me est maintenant bien int gr avec les environnements de bureau et la plupart des op rations sont donc possibles sans avoir besoin d outils particuliers 16 pi T ul 138 II OUTILS 18 2 D autres logiciels que l on d conseille o Il existe d autres logiciels de chiffrement comme FileVault qui est int gr dans page 29 Mac OS X mais il s agit d un logiciel propri taire ou TrueCrypt mais on a moins de raisons de lui faire confiance que le chiffrement standard de GNU Linux o car il n est plus mis jour depuis mai 2014 et ce n tait pas vraiment un logiciel page 151 libre De plus si l on utilise un logiciel m me libre sur un systeme d exploitation E i propri taire on fait implicitement confiance ce dernier car il a forc ment acc s aux donn es d chiffr es 18 3 En pratique Si le disque dur a
406. ons viennent d un noeud de sortie Tor car la liste de ces noeuds de sortie est galement disponible sur Internet En utilisant Tor Alice ne ressemble donc pas une utilisatrice ordinaire d Internet L anonymat fourni par Tor fonctionne en essayant de mettre tous ses utilisateurs dans le m me panier pour qu on ne puisse pas les diff rencier les uns des autres Plus nombreux seront les internautes utilisant Tor et plus vari es seront leurs activit s moins l utilisation de Tor sera incriminante La solidit de ce r seau repose notamment sur cet ensemble non distinguable d utilisateurs c est ce qu on appelle en anglais Vanonymity set 7 3 3 Les noeuds de sortie Tor peuvent espionner les communications qu ils relaient Si Tor emp che de savoir o l on se trouve il ne chiffre pas les communications en dehors de son propre r seau Tor ne peut donc pas chiffrer ce qui transite entre le 5 Cette section ainsi que les suivantes sont fortement inspir es du site web de Tails https tails boum org doc about warning index fr html 74 I COMPRENDRE noeud de sortie et le serveur de destination Tout noeud de sortie a donc la possibilit de capturer le trafic qui passe par lui Par exemple en 2007 un chercheur en s curit informatique a intercept des milliers d emails priv s envoy s par des ambassades trang res et des ONG travers le monde o en coutant le trafic sortant du n ud de sortie qu il ad
407. ont de r soudre des d fis appel s captcha pour montrer qu on est bien un humain avant d acc der leurs services Enfin certaines fonctionnalit s sont d sactiv es pour prot ger l anonymat C est no tamment le cas de Flash technologie utilis e par beaucoup de sites proposant des vid os en streaming 1 https tails boum org doc anonymous internet networkmanager index fr html 2 Wikip dia 2014 Captcha 13 Tr DET i AN 7 CHAPITRE Choisir un h bergement web Cc Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e une demi heure une heure L objectif de cette recette est de trouver o h berger un document sur le web Les possibilit s sont trop nombreuses pour pouvoir apporter une r ponse cl en main cette question De plus conseiller une petite liste d h bergeurs sur lesquels seraient centralis s beaucoup de contenus risque ne semble pas une bonne id e Cette recette donnera donc plut t quelques pistes pour bien choisir un h bergement 14 1 Quelques crit res de choix Il existe de tr s nombreux h bergeurs tel point que l on peut vite se sentir per dus dans la jungle des possibilit s Voici quelques crit res pour se poser les bonnes questions On parlera ci dessous de document mais ces crit res valent aussi po
408. onter automatiquement les m dias externes une fen tre appara t pour demander la phrase de passe lorsqu on branche un disque externe contenant des donn es chiffr es Si ce n est pas le cas elle appara tra quand on demandera au syst me de monter la partition par exemple partir du Poste de travail Pour fermer la partition chiffr e il suffit de d monter le disque dur comme on le fait habituellement 18 7 2 Avec d autres syst mes Nous ne connaissons pas de moyen simple d acc der la partition chiffr e du disque Alors le mieux faire pour mettre sur le disque dur des donn es auxquelles on veut acc der sur des ordinateurs en lesquels on n a pas confiance c est de mettre une deuxi me partition non chiffr e sur le disque dur comme expliqu pr c demment 4 Pour les anciennes versions de Windows jusqu Vista il tait possible d utiliser FreeOTFE http sourceforge net projects freeotfe mirror 4 1 4 CHAPITRE Sauvegarder des donn es R aliser des sauvegardes est une op ration relativement simple dans son principe faire une copie des fichiers qu on ne voudrait pas perdre sur un autre support de stockage que celui o se trouvent les donn es Bien entendu si on prend le soin de mettre nos donn es de travail sur des disques durs ou des cl s USB chiffr s il est n cessaire que ces copies soient chiffr es elles aussi Deux autres points ne pas n gliger pour mettr
409. ontient la cl avec laquelle sont sign es les listes de paquets du d p t ajouter et avoir v rifi cette cl La t l charger sur un site web et lui faire confiance aveugl ment n est pas une bonne id e Ajouter une nouvelle cl de confiance Le d p t contenant les backports est devenu un d p t officiel de Debian avec la sortie de la version Squeeze de Debian La cl de confiance est donc la m me que pour le reste des paquets officiels Par contre si on souhaite utiliser le d p t deb torproject org fourni par le pro jet Tor il est n cessaire d ajouter sa cl de confiance Apr s suivi la proc dure de v rification de la cl et avoir export cette derni re on proc de ainsi Aller dans l onglet Authentification et cliquer sur le bouton Import Key File importer un fichier de cl e S lectionner le fichier o on a pr c demment sauvegard la cl t l charg e deb torproject org archive signing key pgp dans le dossier Documents si l on a suivi les conseils pr c dents et cliquer sur valider On pourra ensuite suppri mer le fichier en question Mettre jour les paquets disponibles Il est maintenant possible de refermer les Sources de mises jour De retour dans le Gestionnaire de paquets Synaptic il faut cliquer sur Recharger pour mettre jour les listes de paquets Installer le paquet avec les cl s du d p t Une fois la cl ajout e on a acc s au d p t Celui ci fo
410. option option argument Dans cette ligne de commande on peut voir dans l ordre e la commande que l on appelle est sfill La commande est en g n ral un programme install sur le syst me e deux options l et v qui modifient le comportement du programme sfill Ces derni res peuvent tre facultatives selon le programme et commencent par un ou deux tiret pour qu on les distingue e un argument home qui pr cise ce sur quoi va travailler la commande Il peut y en avoir plusieurs ou aucun tout d pend de la commande Chacun de ces l ments doit tre s par des autres par un ou plusieurs espace s Il y a donc un espace entre la commande et la premiere option entre la premiere option et la suivante entre la derni re option et le premier argument entre le premier argument et les suivants etc Pour savoir quelles sont les commandes disponibles leurs options et leurs arguments pas de myst re chaque commande dispose normalement d une page de manuel Pour y acc der il suffit d aller dans Syst me Aide puis dans Pages de manuel Ces derni res peuvent toutefois tre difficiles comprendre par leur aspect technique et ne sont parfois disponibles qu en anglais 11 2 2 Insertion du chemin d un fichier Lors de l utilisation d un terminal on a souvent besoin d indiquer des dossiers et des fichiers On parle de chemin car on d crit g n ralement dans quel dossier et sous dossier un fichier
411. ormations qui permettent d identifier ordinateur qui se connecte c est ce que nous allons voir d tails ici Les serveurs ont comme les ordinateurs clients des journaux systemes on parlera davantage dans la partie suivante 2 4 1 Les en t tes HTTP en en Lorsqu un navigateur demande une page web il inclut dans la requ te le nom du logiciel son num ro de version le syst me d exploitation utilis et la langue dans laquelle celui ci est configur Voici une requ te envoy par le navigateur web Firefox GET index html HTTP 1 1 Host www exemple org User Agent Mozilla 5 0 X11 Linux x86 64 rv 24 0 Gecko 20140429 Firefox 24 0 gt Iceweasel 24 5 0 Accept text html application xhtml xml application xml q 0 9 q 0 8 Accept Language fr fr fr q 0 8 en us q 0 5 en q 0 3 Accept Encoding gzip deflate Connection keep alive Referer https Aww google com search q example domain amp ie ut f 8 amp 0e ut f 88aq t Cookie PHPSESSID r2t5uvjq435r4q7ib3vtdjq120 14 Wikipedia 2014 Deep Packet Inspection https fr wikipedia org wiki Deep packet_ inspection 15 Martin Untersinger 2012 Fin de l Internet illimit a se pr cise chez Orange qui d ment http www rue89 com 2012 10 11 fin de linternet illimite ca se precise chez orange 236102 o dent ma 30 I COMPRENDRE On y voit tout d abord une commande contenant la nom de la page de mand e index html le
412. orrespondant ces identifiants 2 3 Sur les routeurs les en t tes de paquets Sur le chemin entre un ordinateur et le serveur auquel on souhaite se connecter il y Hart ma q page 161 a de nombreux routeurs qui relaient les paquets et les envoient au bon endroit L J Pour savoir o envoyer un paquet ces routeurs lisent une sorte d enveloppe sur laquelle un certain nombre d informations sont crites on appelle cette enveloppe 1 en t te AAA il page 121 du paquet L L en t te d un paquet contient de nombreuses informations qui sont n cessaires son acheminement et notamment l adresse IP du destinataire mais aussi celle de l exp diteur qui la r ponse devra tre envoy e Le routeur voit donc quel ordinateur veut parler quel autre ordinateur de la m me mani re que le facteur doit avoir l adresse du destinataire pour lui transmettre le courrier ainsi que l adresse de l exp diteur pour un ventuel retour 11 Une revue d tail e de nombreux routeurs compromis est disponible dans l article Tiger 222 2013 Routeurs d chus http tiger 222 fr d 2013 10 29 23 59 51 routeurs dechus 12 TOMHTML 2011 Google condamn l analyse des Google cars d voil e http www zorgloob com 2011 03 21 google street view cnil 13 Wikip dia 2014 Mac Spoofing https fr wikipedia org wiki Filtrage par adresse MAC MAC_ Spoofing 2 TRACES SUR TOUTE LA LIGNE 29 Les e
413. ots de passe g n r s al atoirement et les enregistrer dans un gestionnaire de mots de passe qui lui est prot g par une bonne phrase de passe que l on retiendra 20 1 Choisir une bonne phrase de passe La premiere cole a l avantage de ne n cessiter aucun support de stockage on a toujours ses phrases de passe avec soi Pour l appliquer consulter choisir une bonne phrase de passe Toutefois lorsqu on multiplie les comptes ainsi que les identit s contextuelles cela peut faire beaucoup de phrases de passe retenir 20 2 Utiliser un gestionnaire de mots de passe La seconde m thode peut alors nous tre utile Dans la pratique on aura une phrase de passe a retenir par identit notre gestionnaire de mots de passe se chargeant ensuite de conserver les diff rents mots de passe li s cette identit Cela peut se faire sur un systeme Debian chiffr comme sur un systeme live amnesique en utilisant 150 II OUTILS 20 2 1 Installer le gestionnaire de mots de passe On va utiliser le gestionnaire de mots de passe KeePassX S il n est pas install sur notre systeme installer le paquet keepassx Le logiciel KeePassX est install par A A E RA qe d faut dans Tails UN cae 7 l 20 2 2 Lancer KeePassX Pour lancer KeePassX choisir Applications Accessoires gt KeePassX 20 2 3 Cr er et enregistrer une base de donn es de mots de passe Une base de donn es de mots de passe es
414. ou teindre la lumi re dans une cuisine que le traitement des don n es se fait Tous les processeurs ne fonctionnent pas de la m me mani re Certains ont t concus pour tre plus efficaces pour certains types de calcul d autres pour consommer le moins d nergie etc Par ailleurs tous les processeurs ne disposent pas exactement des m mes instructions Il en existe de grandes familles que l on appelle des architectures Cela a son importance car un programme pr vu pour fonctionner sur une architecture donn e ne fonctionnera en g n ral pas sur une autre 1 2 3 La m moire vive La m moire vive ou RAM pour Random Access Memory se pr sente souvent sous forme de barrettes et se branche directement sur la carte mere La m moire vive sert stocker tous les logiciels et les documents ouverts C est a cet endroit que le processeur va chercher les donn es a traiter et entreposer le r sultat des op rations Ces informations doivent donc forc ment s y trouver sous une forme directement utilisable pour effectuer les calculs 12 I COMPRENDRE Une barrette de m moire vive L acc s la m moire vive est tres rapide il suffit du temps n cessaire pour basculer les interrupteurs qui vont relier le processeur la case de la m moire lire ou a crire Lorsque la m moire vive n est plus aliment e en lectricit les donn es qu elle contient deviennent illisibles apr s quelques minutes ou quelque
415. our chaque op ration de paiement a Le type de paiement utilis b La r f rence du paiement c Le montant d La date et l heure de la transaction Les donn es mentionn es aux 3 et 4 ne doivent tre conserv es que dans la mesure o les personnes les collectent habituellement D cret n 2011 219 du 25 f vrier 2011 op cit 3 SURVEILLANCE ET CONTR LE DES COMMUNICATIONS 39 Quelle histoire Mais quel rapport avec nos bureaux Et bien c est galement pour a que je vous appelle Ils affirment qu ils ont toutes les preuves comme quoi ces documents ont t publi s depuis vos bureaux Je leur ai dit que ce n tait pas moi que je ne voyais pas de quoi ils parlaient C est exactement de a qu il s agit quand dans notre histoire du d but la police pr tend traces a l appui que les relev s bancaires ont t post s depuis les bureaux rue Jaur s Elle a au pr alable obtenu aupr s des h bergeurs du site de publication Vadresse IP qui correspond la connexion responsable de la publication des docu ments incrimin s Cette premi re tape permet de savoir d o de quelle box provient la connexion La requ te aupr s du FAI permet de savoir quel est le nom de Vabonn adresse en prime via son contrat associ a l adresse IP 3 2 4 Requ tes l gales En France lorsque les flics souhaitent acc der aux journaux pr vus par les lois de r tention de donn es ils sont suppos
416. p openclipart org tome 2 en ligne nous n avons pas envie d tre contr lables par quelque Big Brother que ce soit Qu il existe d j ou que l on anticipe son mergence le mieux est sans doute de faire en sorte qu il ne puisse pas utiliser contre nous tous ces mer veilleux outils que nous offrent ou que lui offrent les technologies num riques M me si l on choisit de ne pas les utiliser directement d autres le font pour nous Alors autant essayer de com prendre ce que a implique Face ces constats la seule voie praticable semble tre de devenir capables d imaginer et de mettre en place des poli tiques de s curit ad quates Tout l enjeu de ce guide est de fournir cartes sextant et bous sole quiconque veut cheminer sur cette route E r 2 La 4 2 AA 5 L 2 x SS zur x ox hal TI An se s amp a x a es ye gt e o amp 2 e g C est l objet principal de ce second tome que de permettre a tout un chacun de comprendre quels sont les risques et les limites associ s l utilisation d Internet et de se donner les moyens de faire des choix clair s quant nos usages de l Internet Un livre lire relire pratiquer en solitaire ou plusieurs faire d couvrir et partager ou comment affiner l art de la navigation dans les eaux troubles du monde num rique https guide boum org guide d autod fense num rique x RS DRS
417. p truecrypt sourceforge net en mai 2014 tait distribu sous une licence particuli re la TrueCrypt License le d veloppement n tait pas ouvert et seules les sources de la derni re version sont disponibles ce qui rend plus difficile la v rification des modifications apport es De plus le logiciel n est pas consid r comme libre par nombre de distributions GNU Linux notamment Debian et ne correspond pas la d finition de lopen source de Open Source Initiative http www opensource org docs osd 18 PARTITIONNER ET CHIFFRER UN DISQUE DUR 139 18 4 Pr parer un disque chiffrer Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e environ 10 minutes Ci dessous on parlera toujours de disque dur sachant que a vaut aussi bien pour un disque dur externe que pour une cl USB sauf si on pr cise le contraire La proc dure que l on explique ici implique d effacer toutes les donn es qui se trouvent sur le disque Si l on a d j de l espace non partitionn sur son disque on peut directement passer l tape de chiffrement 18 4 1 Installer les paquets n cessaires Pour chiffrer notre disque dur on a besoin d avoir install les paquets secure delete dosfstools et cryptsetup Si l on utilise Tails ces paquets sont d j install s 18 4 2 Format
418. paquet et doit d cider qui faire passer le paquet pour qu il se rapproche de sa destination Comment s effectue ce choix 18 Guillaume Champeau Juin 2013 Comment l Allemagne aussi espionne nos communica tions http www numerama com magazine 26279 comment 1 allemagne aussi espionne nos communications html 19 Pierre Col 2009 Internet les ancres de bateaux et les s ismes sous marins http www zdnet fr blogs infra net internet les ancres de bateaux et les seismes sous marins 39602117 htm en francais Earl Zmijewski 2008 Mediterranean Cable Break https www renesys com blog 2008 01 mediterranean_cable_break shtml en anglais 1 BASES SUR LES R SEAUX 19 Chaque routeur maintient une liste des r seaux auxquels il est connect Il envoie r guli rement les mises jour de cette liste aux autres routeurs qui il est branch ses voisins qui font de m me C est gr ce ces listes qu il peut aiguiller les paquets re us et les transmettre vers leur destination Ainsi le routeur du FAI d Alice sait qu il peut joindre le r seau de l universit de Betty par 4 interm diaires en envoyant le paquet au routeur D Mais il peut aussi l envoyer par 2 interm diaires en le passant au routeur E Il va choisir d envoyer le paquet E qui a un chemin plus direct Le paquet arrive ainsi E le routeur d un op rateur de transit une organisation pay e par le FAT d Alice pour acheminer des p
419. parole Ce guide a pour but de proposer d autres solutions qui n cessitent de prendre le temps de les comprendre et de les appliquer Adapter ses pratiques l usage qu on a du monde num rique est donc n cessaire des lors qu on veut ou qu on doit apporter une certaine attention 4 son impact Mais la travers e n a que peu de sens en solitaire Nous vous enjoignons donc construire autour de vous votre radeau num rique 4 sauter joyeusement a bord sans oublier d emmener ce guide et quelques fus es de d tresse pour envoyer vos remarques guide boum org avec les pr cautions n cessaires Un guide Ce guide est une tentative de rassembler ce que nous avons pu apprendre au cours de nos ann es de pratiques d erreurs de r flexions et de discussions pour le partager 1 On utilise ici le terme flics tel qu il est d fini dans l introduction de Face la police Face la justice http guidejuridique net PR FACE v Non seulement les technologies voluent tr s vite mais nous avons pu commettre des erreurs ou crire des contre v rit s dans ces pages Nous tenterons donc de tenir ces notes jour l adresse https guide boum org Afin de rendre le tout plus digeste nous avons divis tout ce que nous souhaitions raconter en plusieurs tomes Qu on se trouve avec uniquement un ordinateur que ce dernier soit connect un r seau ou qu on soit chez soi ou au t l phone cela repr
420. partenait Carole elle l a substitu e celle d Alice e Carole intercepte 4 nouveau le message Mais cette fois il est chiffr avec sa cl publique dont elle a la cl priv e Elle peut donc d chiffrer le message pour le lire et ventuellement le modifier Puis elle chiffre 4 nouveau le message avec la v ritable cl publique d Alice avant de l envoyer Alice e Alice peut alors d chiffrer le message avec sa cl priv e sans se rendre compte de rien Ainsi Betty est persuad e d utiliser la cl d Alice alors qu elle utilise en r alit celle de Carole De la m me mani re Carole peut usurper la cl publique de Betty et falsifier la signature du message transmis par Betty Alice Alice recevra un message chiffr et d ment sign par Carole On appelle cette attaque l attaque de l homme du milieu Man in the Middle attack ou MitM en anglais Dans notre exemple Carole tait homme du milieu capable de lire et de modifier la communication chiffr e en se faisant passer aux yeux de chaque partie de la communication pour l autre Un adversaire peut se positionner en homme du milieu par diff rent biais Le fournisseur d acc s a Internet est par exemple particulierement bien place car tout le trafic passera obligatoirement par lui De m me un gros n ud du r seau par lequel passe une quantit importante du trafic sera en bonne mesure de mettre en place cette attaque Enfin
421. pendant que la cryptographie asym trique poss de galement des limites qui peuvent permettre un adversaire de r v ler le contenu chiffr En pratique si ce n est pas d ja fait on commencera par importer la cl publique tablir une correspondance et donc recevoir des emails en retour il nous faudra ga lement disposer d une paire de cl s l une sera utilis e par nos correspondants pour chiffrer des emails notre intention l autre nous permettra de les d chiffrer Si l on n a pas encore de paire de cl s de chiffrement suivre la recette pour en cr er une et en avoir une bonne gestion Apres r daction du message on suivra les tapes n cessaires son chiffrement Ne reste plus qu a l envoyer Attention cependant cette m thode permet de chiffrer le contenu de l email et seule ment le contenu Elle ne modifiera en rien les en t tes de l email 10 8 2 Deuxi me tape regarder sur l ordinateur utilis Supposons qu un attaquant n a pas acc s aux donn es de nos h bergeurs et ne peut pas couter le r seau mais qu il peut venir se servir chez nous quelles traces de nos changes trouvera t il sur notre ordinateur Si cet adversaire peut mettre la main sur notre ordinateur ou sur celui de l autre per sonne impliqu e dans la communication que ce soit en s en emparant ou en arrivant y installer un logiciel malveillant il pourra avoir acc s tous les emails stock s sur celui
422. peut taper direc tement les commandes qu on veut faire ex cuter l ordinateur L effet final de ces commandes est souvent le m me que celui qu on peut obtenir en cliquant au bon endroit dans une interface graphique 1 Entre autres une page sur ubuntu fr org http doc ubuntu fr org console qui se termine elle m me par d autres liens 86 II OUTILS Par exemple si dans le terminal qu on vient d ouvrir on crit juste gedit puis qu on tape sur Entr e le r sultat est qu on ouvre un diteur de texte On aurait pu faire exactement la m me chose en cliquant sur Applications Accessoires gt Editeur de texte gedit Par contre on ne pourra pas entrer de nouvelle commande dans notre terminal tant que l on aura pas quitt l editeur de texte Dans le cadre de ce guide l int r t du terminal est surtout qu il permet d effectuer des actions qu aucune interface graphique ne propose pour le moment 11 2 A propos des commandes Les commandes sont comme des ordres qu on donne l ordinateur par le biais du terminal Ces lignes de commande ont leur propre langage avec leurs mots leurs lettres et leur syntaxe Quelques remarques a ce sujet sont donc utiles 11 2 1 Syntaxe Prenons par exemple cette commande sfill qui permet peu pr s les m mes op RASE ee 7 page 135 rations que nautilus wipe un outil graphique qui sera pr sent plus tard L sfill 1 V home commande
423. ple org Received from smtp fai net smtp fai net 198 51 100 67 by mail exemple org Postfix with ESMTP id 0123456789 for lt alice exemple org gt Sat 1 Jan 2014 20 00 00 0100 CET Received from 192 168 0 10 paris abo fai net 203 0 113 98 by smtp fai com Postfix with ESMTP id ABCDEF1234 Sat 1 Jan 2014 19 59 49 0100 CET Message ID lt CBOABB91 17B7F fai net gt Date Sat 1 Jan 2014 19 59 45 0100 From Betty lt betty fai net gt User Agent Mozilla 5 0 X11 U Linux i686 en US rv 1 9 1 16 Gecko 20111110 Icedove 24 4 0 MIME Version 1 0 2 TRACES SUR TOUTE LA LIGNE 31 To Alice lt alice exemple org gt Subject mardi Content Type text plain charset iso 8859 1 Content Length 22536 Lines 543 Ces en t tes contiennent aussi parfois l identifiant de l abonn chez son prestataire d email ou le nom de sa machine 16 A Vinstar de ces quelques exemples courants quasiment toutes les applications en voient des informations sur le contenu mais aussi des m ta donn es dans leur proto cole 2 5 Les traces qu on laisse soi m me Il n y a pas que les traces que laisse le fonctionnement des r seaux il y a bien stir aussi celles que nous laissons nous m mes de facon plus ou moins volontaire par exemple en saisissant des informations sur des sites web ou simplement en nous connectant des services Tenter de maitriser les traces qu on laisse sur les r seaux c est d
424. plugin Off the Record 146 19 7 Mettre en place une conversation priv e 147 20 G rer des mots de passe 149 20 1 Choisir une bonne phrase de passe 149 20 2 Utiliser un gestionnaire de mots de passe 149 Index 153 PREMIERE PARTIE Comprendre Dans le premier tome du guide d autod fense num rique nous avons commenc par expliquer dans quelle mesure l utilisation d ordinateurs pouvait constituer une menace pour nos intimit s dans le monde num rique notamment par rapport aux donn es qu on leur confie Ce tome ambitionne de faire de m me dans le cas o ces ordinateurs sont connect s Internet Octobre 2010 Paris Ce matin Alice arrive en avance au travail Elle est employ e a La Re boute une entreprise de vente de v tements par correspondance situ e au dernier tage d un immeuble rue Jaur s pfiou 18 tages vivement que cet ascenseur soit r par Elle s installe son bureau se penche et appuie sur le bouton d allumage de l ordinateur Sur l cran de l ordinateur une petite fen tre vient d apparattre Connexion r seau tablie Avant de se mettre au boulot elle veut regarder ses emails Alice clique sur l ic ne du navigateur web provo quant louverture d une fen tre qui reste vierge quelques millisecondes avant de faire appara tre la page d accueil de Google Tout en appr ciant mentalement la pa
425. ponible partir de Help Supported Formats Souvent il suffit de l exporter dans un format d change de fichiers commun Ainsi le MAT ne peut pas nettoyer le fichier XCF du programme de manipulation d images GIMP mais il sait nettoyer les images export es en JPEG ou PNG 24 4 Nettoyer les fichiers Une fois le fichier ajout le nettoyer avec Process gt Scour On peut alors fermer Metadata Anonymisation Toolkit Qui parle D ot vient cet ouvrage Qui parle en ses lignes Nous pourrions nous contenter de dire qu il nous semble parfaitement inint ressant de chercher des r ponses de telles interrogations que nous laissons aux flics sp cialistes de la question le privil ge de s y consacrer que nous avons mieux faire Le fait que telle ou telle personne couche des mots sur le papier n est pas croyons nous particulierement d terminant dans le contenu d un texte dans son existence m me Nous croyons plut t qu il s crit lorsque des d sirs s entrem lent lorsque des n cessit s se confrontent lorsque des questions appellent des r ponses Des facons de se rappor ter a ce qui nous entoure se rencontrent se partagent se transforment alors Elles se lient et des mani res communes de s y rapporter se construisent qui interagissent avec d autres cela va des conflits aux complicit s en passant par l alliance et le clin d ceil entendu sont alors en jeu sensibilit s crit res thiques
426. poth ses plus larges Consid rons un adversaire qui a identifi un groupe de connexions ADSL qui l int ressent ainsi 6 Kim Zetter 2007 Rogue Nodes Turn Tor Anonymizer Into Eavesdropper s Paradise http www wired com politics security news 2007 09 embassy hacks en anglais 7 Wikipedia 2014 Attaque par analyse du trafic https fr wikipedia org wiki Attaque par_ analyse du trafic 8 Voir ce sujet Wikip dia 2014 Tor r seau http fr wikipedia org wiki Tor_ r seau 7 CACHER LES PARTIES PRENANTES DE LA COMMUNICATION LE ROUTAGE EN OIGNON 75 qu un serveur utilis partir de ces connexions S il a acc s au trafic du groupe de connexions en question et celui du serveur par exemple gr ce une requ te l gale Vadversaire peut alors partir de cette hypoth se et d une attaque de type motif temporel trouver quelle est la connexion parmi le groupe suspect qui est l origine de telle connexion au serveur Ainsi un post sur un serveur de blog peut tre corr l a une connexion parmi un groupe de personnes soupconn es de participer a ce blog anonyme 7 3 6 Tor ne prot ge pas face un adversaire global Enfin un cas particulier d adversaire est celui de l adversaire global passif Un adver saire global passif serait une personne ou une entit capable de regarder et donc de comparer le trafic entre tous les ordinateurs d un r seau En tudiant par exemple les volumes d informatio
427. pour les sites de rencontres une autre pour les m dias sociaux et une pour les relations familiales etc afin d viter les recoupements Si les informations manant des dites identit s ne sont pas compartiment es c est a dire si un m me pseudo est utilis leur recoupe ment permet de r duire le nombre de personnes qui elles peuvent correspondre Il devient alors plus facile de faire le lien entre une pr sence num rique et une personne physique et donc de mettre un nom sur l identit contextuelle correspondante Consid rons par exemple un internaute qui utilise le pseudonyme bruce76 sur un blog o il dit tre v g tarien et aimer les films d action Il n existe qu un certain nombre de personnes correspondant a ces crit res Ajoutons a cela le fait que ce m me pseudonyme est utilis pour organiser une fiesta dans telle ville via un r seau social et pour communiquer par email avec Mme Unetelle Il n y a sans doute pas beaucoup de personnes v g tariennes aimant les films d actions organisant une f te dans cette m me ville et communiquant par email avec Mme Unetelle Plus les utilisations d un pseudonyme sont nombreuses et vari es plus le nombre de personnes pouvant correspondre ce pseudonyme est restreint Il est donc possible en recoupant les utilisations d un m me pseudonyme par exemple d affaiblir voire de casser le pseudonymat C est ce que nombre d utilisateurs d AOL d couvrirent leur
428. pporte certaines r ponses Du bon usage des recettes Les outils et recettes qui suivent sont des solutions extr mement partielles qui ne sont d aucune utilit tant qu elles ne font pas partie d un ensemble de pratiques articul es de facon coh rente Piocher dans cette bo te outils sans avoir au pr alable tudi la partie sur le choix de se tirer une balle dans le pied en croyant tort avoir r solu tel ou tel probl me On ne peut pas faire plaisir tout le monde Partons du principe pour la plupart des recettes pr sent es dans ce guide que l on utilise GNU Linux avec le bureau GNOME elles ont t crites et test es sous Debian GNU Linux version 6 0 surnomm e Squeeze et Tails The Amnesic Incognito Live System Pour autant ces recettes sont g n ralement concoctables avec d autres distributions bas es sur Debian telles qu Ubuntu ou gNewSense http ww debian org releases squeeze https tails boum org http www ubuntu fr org http www gnewsense org Main fr HomePage AUNE A qT E 82 II OUTILS De la bonne interpr tation des recettes Avant de passer aux recettes elles m mes quelques remarques transversales nous ont paru n cessaires Dans un certain nombre d outils les proc dures sont pr sent es pas pas et ex pliquent chaque fois que c est possible le sens des actions que l on propose d effectuer Une utilisation efficace de ces o
429. probl mes un autre niveau vu qu elles sont dot es d une DO x q 2 page 111 m moire vive celle ci tout comme celle du PC gardera la trace des documents qui E A o SEE ir ont t trait s aussi longtemps que la machine est sous tension ou jusqu ce qu un autre document les recouvre La plupart des imprimantes lasers disposent d une m moire vive pouvant contenir une dizaine de pages Les modeles plus r cents ou ceux comportant des scanners int gr s peuvent quant eux contenir plusieurs milliers de pages de texte Pire encore certains modeles souvent utilis s pour les gros tirages comme dans les A al q page 121 centres de photocopies disposent parfois de disques durs internes auxquels l utilisa L US E A E E o ds O A teur n a pas acc s et qui gardent eux aussi des traces et cette fois m me apr s la mise hors tension CHAPITRE 4 Quelques illusions de s curit Bien On commence a avoir fait le tour des traces que nous pouvons laisser involon tairement et des informations que des personnes mal intentionn es pourraient nous arracher Reste maintenant a pourfendre quelques id es recues 4 1 Logiciels propri taires open source libres On a vu qu un logiciel pouvait faire plein de choses qu on n aurait pas du tout envie qu il fasse Des lors il est indispensable de faire ce que l on peut pour r duire ce probleme autant que possible De ce point de v
430. propos de l efficacit de la r criture pour rendre des donn es irr cup rables Un postulat prudent est donc de d truire m thodiquement les supports de ce type qui auraient pu contenir des donn es faire dispara tre 5 Les mod les bas de gamme ne fonctionneront plus correctement apr s avoir t crits cent mille fois et cinq millions pour les meilleurs D apr s Wikip dia 2014 Solid state drive https fr wikipedia org wiki Solid State Drive 6 Le Salvation Data Flash Doctor http www sd flash com ou encore le PC 3000 Flash SSD Edition http www pc 3000flash com sont tous les deux vendus comme des outils professionnels de recouvrement de donn es sur des p riph riques flash endommag s liens en anglais 7 Page de manuel de shred 1 http manpages debian net cgi bin man cgi query shred amp locale frl 34 I COMPRENDRE 4 3 4 Plein d autres fois o l on efface Il faut noter qu on ne supprime pas seulement des fichiers en les mettant la corbeille Par exemple quand on utilise l option Effacer mes traces du navigateur Firefox ce dernier ne fait pas mieux que de supprimer les fichiers Certes les donn es sont devenues inaccessibles pour Firefox mais elles sont toujours accessibles en regardant directement le disque dur Enfin il est utile d insister ici sur le fait que le reformatage d un disque dur n efface pas pour autant le contenu qui s y trouvait De m me que la
431. qu on donne a manger notre processeur et donc ce qui va s occuper de nos donn es 4 1 2 Les logiciels propri taires une confiance aveugle Un logiciel propri taire est donc un peu comme une bo te tanche on peut constater que le logiciel fait ce qu on lui demande poss de une belle interface gra phique etc Sauf qu on ne peut pas vraiment conna tre en d tail comment il procede On ne sait pas s il se cantonne a faire ce qu on lui demande ou s il fait d autres choses 30 I COMPRENDRE en plus Pour le savoir il faudrait pouvoir tudier son fonctionnement ce qui est dif ficile faire sans son code source il ne nous reste donc qu lui faire aveugl ment confiance Windows et Mac OS X les premiers sont d immenses boites herm tiquement ferm es sur lesquelles sont install es d autres boites tout aussi herm tiques de Microsoft Office aux anti virus qui font peut tre bien d autres choses que celles qu on leur demande Notamment balancer des informations que ces logiciels pourraient grapiller sur nous ou permettre d acc der a l interieur de notre ordinateur au moyen de backdoors des portes d rob es pr vues dans le logiciel pour que ceux qui en ont la cl puissent pirater nos ordinateurs en fait vu que l on ne peut pas savoir comment est crit le syst me d exploitation on peut tout imaginer en la mati re Des lors laisser reposer la confidentialit et l in
432. ques et enfin une troisi me d crivant pr cis ment les outils n cessaires la mise en uvre de politiques de s curit abord es dans la seconde partie ainsi que leurs usages 1 Wikip dia 2014 Google China https fr wikipedia org wiki Google Chinal 2 France Soir 2011 meutes Londres Deux jeunes condam n s a quatre ans de prison nttp www francesoir fr actualite international emeutes Londres deux jeunes condamnes quatre ans prison 128302 html 3 Wikipedia 2014 Edward Snowden https fr wikipedia org wiki Edward Snowden 4 National Security Agency agence d pendant du d partement de la D fense des Etats Unis charg e de la collecte et de l analyse des donn es trang res et de la protection des donn es tats uniennes Tome 2 En ligne Sommaire Pr face iii Sommaire 1 Comprendre 5 Bases sur les r seaux 9 1 1 Des ordinateurs branch s entre eux 9 1 2 Protocoles de communication 11 18 hes r seatix loca saa nakit a ar nd da A aka 13 1 4 Internet des r seaux interconnect s 16 1 5 Des applications vari es 19 1 6 Des clients des serveurs 21 Traces sur toute la ligne 25 2 1 Sur l ordinateur client 4 4 4 ou a au qu au dau das da 25 2 2 Surla box l adresse mat rielle de la carte r seau 28 2 3 Sur le
433. r 7 1 1 Cacher l origine et la destination On a vu que les paquets IP la mani re d une carte postale se composent de plusieurs donn es que l on veut effectivement transmettre un email une page web du son etc D autre part les en t tes qui contiennent entre autres les adresses IP d origine et de destination ainsi que la taille des donn es transport es M me en chiffrant les donn es les en t tes restent visibles Ils r v lent au destinataire de la communication de quelle machine de l Internet elle provient Ils r v lent aussi tout adversaire qui surveille le trafic chang beaucoup de choses sur qui l on est voire ce que l on fait sur Internet Un probl me classique concernant l anonymat est que les destinataires d une com munication peuvent savoir qui en est l auteur en regardant les en t tes Les inter m diaires autoris s comme les fournisseurs d acc s Internet et parfois des inter m diaires non autoris s le peuvent aussi Une forme d analyse de trafic tr s simple consiste donc par exemple capturer le trafic entre un exp diteur et un destinataire et regarder les en t tes Le chiffrement ne dissimule que le contenu du trafic et non les en t tes Il ne prot ge donc pas contre ce type d attaques De plus il existe des attaques plus pouss es pour trouver la source et la destina tion d une communication Par exemple l analyse de trafic r seau dont on a parl
434. r Dans KeePassX cliquer sur Entr es puis Ajouter une nouvelle entr e Remplir les champs utiles Arriv au champ Mot de passe cliquer sur le bouton Gen Une boite de dialogue G n rateur de mots de passe s ouvre Choisir parmi les options disponibles et cliquer sur G n rer puis sur OK Il est pr f rable d utiliser des lettres minuscules majuscules et des chiffres puis d aug menter le nombre de caract res du mot de passe au minimum 32 puisqu on aura pas retenir ce dernier Une fois revenu a la boite de dialogue Nouvelle Entr e cliquer sur OK Cliquer alors sur Fichier puis Enregistrer la base de donn es 20 2 5 Restaurer et d verrouiller la base de donn es de mots de passe Lorsqu on veut utiliser une base de donn es de mots de passe pr alablement enre gistr e il nous faut la d verrouiller Pour cela lancer KeePassX Si une base de donn es de mots de passe est trouv e automatiquement une fen tre s ouvre deman dant d Entrer la cl ma tre afin de d verrouiller la base de donn es Taper la phrase de passe associ e la base de donn es que l on souhaite d verrouiller et cliquer sur 20 G RER DES MOTS DE PASSE 151 OK Sinon localiser la base de donn es a partir de Fichier puis Ouvrir une base de donn es Si vous entrez une mauvaise phrase de passe le message d erreur suivant appara t L erreur suivante est survenue lors de louverture de la base de donn es Le test de
435. r L empreinte de cette cl observ e par les auteurs de ce guide est en admettant que c est un exemplaire original que l on a entre les mains 8738 A680 B84B 3031 A630 F2DB 416F 0610 63FE E659 12 INSTALLER ET CONFIGURER LE TOR BROWSER BUNDLE 113 C est un premier pas pour utiliser l outil de v rification de l authenticit d une cl qui est n cessaire pour s assurer de ne pas avoir affaire une usurpation d identit de la part de quelqu un qui voudrait nous faire utiliser un faux TBB Une fois rassur suivre l outil v rifier la signature num rique afin de v rifier l au thenticit du TBB qui a t t l charg Si elle est confirm e on peut passer la suite Dans le cas contraire il peut tre n cessaire de re t l charger le TBB et sa signature et de recommencer le processus de v rification 12 2 D compresser le Tor Browser Bundle Tout d abord copier le fichier a installer dans son dossier personnel pour ce faire se rendre dans le dossier o l on a t l charg le Tor Browser Bundle Effectuer un clic droit sur le fichier tor browser gnu linuz tar xz et s lectionner Couper dans le menu contextuel qui apparait Se rendre alors dans son dossier personnel effectuer un clic droit et s lectionner Coller Pour terminer d installer le Tor Browser Bundle nous allons le d compresser Dans le dossier personnel faire un clic droit sur le fichier tor browser gnu linux tar xz et cl
436. r peer to peer en anglais il permet donc tous les ordinateurs qui effectuent le t l chargement de participer la diffusion des fichiers Cela n cessite d utiliser un logiciel d di au t l chargement Quand cela est possible cette m thode a l avantage de garantir une certaine dispo nibilit des fichiers au cas o un probl me arriverait sur les gros serveurs offrant le t l chargement direct C est donc celle ci que nous allons d velopper Si l on choisit de t l charger l image directement avec son navigateur web on peut PTA E E A plus bas directement aller v rifier son authenticit L T l charger le torrent Pour t l charger en pair pair il faut tout d abord t l charger un petit fichier ap pel torrent Ce fichier contient les informations qui seront n cessaires au logiciel de t l chargement pour trouver les sources des fichiers que l on veut obtenir On va donc t l charger le fichier Torrent en cliquant sur le bouton correspondant T l charger l image du systeme live Sur une Debian standard le logiciel de t l chargement de torrents Transmission de marrera automatiquement apres le t l chargement du fichier torrent Une fen tre indiquant les fichiers qui seront t l charg s s ouvre apres avoir v rifi le dossier de destination il suffit de cliquer sur Ouvrir pour d marrer le t l chargement Si le client BitTorrent ne s ouvre pas tout seul on va l ouvrir
437. r des infractions relevant de criminalit ou de la d linquance organis e Mais l espionnage distance n est pas seulement r serv aux pratiques polici res Aux tats Unis c est un lyc e qui s est lanc dans l espionnage de grande ampleur Sous couvert de vouloir retrouver des ordinateurs portables vol s ou perdus le lyc e avait install une fonction permettant d allumer au bon vouloir de l tablis sement la webcam des quelques milliers d ordinateurs distribu s aux l ves L affaire a t r v l e fin 2009 un des l ves s est vu reprocher d avoir eu un comporte ment inappropri en l occurrence d avoir consomm de la drogue Le responsable accusant cet l ve produisit en guise de preuve une photo qui s est r v l e avoir t prise linsu de l tudiant par la webcam de son ordinateur lorsqu il tait chez lui dans sa chambre 71 3 5 En conclusion Identification de l internaute par son adresse IP lecture de l origine et de la destination des paquets par le biais de leurs en t tes enregistrement de diverses informations diff rentes tapes du parcours voire acc s au contenu m me des changes tout ceci est plus ou moins simple en fonction de l entit impliqu e Pirate publicitaire gendarme de Saint Tropez ou NSA n ont en effet pas les m mes possibilit s techniques et l gales d acc s aux traces voqu es dans ce chapitre On se cont
438. r e sortie ou Input output error cela indique que la sauvegarde est corrompue En r gle g n rale il faut alors se d barrasser du support CD ou DVD cl USB ou disque dur en prendre un autre et refaire une nouvelle sauvegarde Note ces deux m thodes partagent le d faut de ne pas v rifier l int grit des donn es Mettre en place un m canisme pour le faire est difficile sans recourir des logiciels de sauvegarde plus complexes 19 2 En utilisant D j Dup Dur e 5 minutes pour installer le logiciel On peut galement pr f rer utiliser un logiciel sp cialis dans la r alisation des sau vegardes L un d entre eux baptis D j Dup a comme avantages d tre facile utiliser et de r aliser des sauvegardes chiffr es Ces sauvegardes sont galement in cr mentales c est dire que les fichiers inchang s depuis la sauvegarde pr c dente ne sont pas copi s une nouvelle fois et qu il est possible d acc der aux fichiers tels qu ils taient chacune des sauvegardes Ce qui le rend aussi simple peut tre aussi une limite il ne sait g rer qu une seule configuration la fois On ne peut donc pas sauvegarder des dossiers diff rents sur des supports diff rents des fr quences diff rentes C est surtout l outil id al pour sauvegarder l essentiel du contenu de son dossier personnel mais pas beaucoup plus Il n est pas livr avec l environnement par d fau
439. r mement rigoureuse Si des failles de s curit ont t d couvertes dans le logiciel tudi il y a plusieurs implications parfois contradictoires 1 Ces failles ont t d couvertes et corrig es e donc elles n existent plus a priori e donc quelqu un s est pr occup de les trouver et quelqu un d autre de les corriger on peut supposer qu une attention est donn e a cette question 2 Ces failles ont exist e le logiciel est peut tre crit sans que la s curit soit un souci particulier e d autres failles peuvent subsister non encore d couvertes ou pire non encore publi es Afin d affiner notre intuition par rapport ce logiciel il peut tre bon de se pencher sur le critere temps par exemple il n est pas dramatique que quelques failles aient t d couvertes au d but du d veloppement d un logiciel si aucune n a t d couverte depuis quelques ann es on peut alors mettre ca sur le compte des erreurs de jeunesse Au contraire si de nouvelles failles sont d couvertes r guli rement depuis des ann es et jusqu tr s r cemment il est fort possible que le logiciel ait encore de nombreux problemes de s curit totalement inconnus ou non publi s Pour illustrer le propos il est possible de comparer l historique des failles de Claws Mail et celui de Thunderbird 4 16 2 6 Equipe de d veloppement Qui a crit qui crit ce logiciel Si l on a r ussi repond
440. r l ordinateur 4 moins qu on ne le lui demande explicitement Avantages En utilisant Tails non seulement on ne laisse pas de trace sur l ordina teur utilis mais les logiciels ayant besoin d acc der a Internet sont configur s pour passer par le r seau Tor et les connexions directes qui ne permettent pas l anonymat sont bloqu es 3 Dans notre cas il s agit de Debian mais le Tor Browser Bundle fonctionne aussi avec n importe quelle autre distribution GNU Linux tout comme avec Windows ou Mac OS 4 Site de Tails https tails boum org index fr html 8 CONSULTER DES SITES WEB 83 De plus comme il s agit d un systeme live Tails d marre a partir d un DVD d une cl USB ou d une carte SD sans modifier le systeme d exploitation install sur l ordina teur Il peut donc tre utilis autant la maison que chez un ami ou a la bibliotheque du coin Pour plus d informations consultez la page A propos de Tails https tails boum org about index fr html Inconv nients Tout d abord Tails tant un syst me d exploitation part enti re il est n cessaire pour l utiliser de red marrer l ordinateur Il est aussi plus complexe installer que le Tor Browser Bundle Enfin il est n cessaire d avoir sur soi une cl USB ou une carte SD d une capacit d au moins 4 GB ou bien un DVD contenant Tails Ensuite du fait de l amn sie du syst me si jamais le navigateur web vient p
441. r l ordinateur un micrologiciel et d autres cartes et p riph riques selon les besoins On va rapidement faire un petit tour travers tout a pour avoir une vague id e de qui fait quoi ce sera fort utile par la suite 1 2 2 Le processeur 06069 AGG 000 AAO OMC MM Per a de A en mm Mam em La puce d un microprocesseur Intel Pentium 60 Mhz dans son bo tier 1 QUELQUES BASES SUR LES ORDINATEURS 11 Le processeur aussi appel CPU pour central processing unit ou unit centrale de traitement en francais est le composant qui s occupe du traitement des donn es Pour se repr senter le travail d un processeur l exemple le plus concret sur lequel se baser est la calculatrice Sur une calculatrice on entre des donn es les nombres et des op rations faire dessus addition multiplication ou autres avant d examiner le r sultat ventuellement pour s en servir ensuite comme base pour d autres calculs Un processeur fonctionne exactement de la m me mani re A partir de donn es qui peuvent tre la liste d op rations a effectuer il se contente d ex cuter a la chaine les traitements faire Il ne fait que ca mais il le fait vraiment tr s vite Mais si le processeur n est qu une simple calculatrice comment peut on alors effectuer des traitements sur des informations qui ne sont pas des nombres par exemple sur du texte des images du son ou un d placement de la souris To
442. r le fichier en cliquant sur Enregistrer On peut maintenant fermer le fichier texte ainsi que le terminal et red marrer Tails Une fois la persistance activ e et l ordinateur connect au r seau notre logiciel devrait s installer automatiquement au bout d un temps plus ou moins long en fonction de la taille et du nombre de logiciels installer une fen tre signale alors le succ s de l installation FES 4 page 101 Lues a EA By a te page ci contre Eee an page ci contre E 1 I 4 q I 4 FR I 4 4 if CHAPITRE Installer un systeme chiffr C Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e compter une journ e avec plusieurs p riodes d attente parfois longues On a vu que tout ordinateur hormis avec certains syst mes live laisse un peu etc On a vu aussi qu une fa on d exposer un peu moins les donn es conserv es sur l ordinateur ainsi que les traces qu on y laisse est de chiffrer le syst me sur lequel on travaille dans son ensemble une partie chiffr e du disque dur chaque d marrage l ordinateur va demander une phrase de passe apr s quoi il d bloque le chiffrement du disque ce qui donne acc s aux donn es et permet donc le d marrage du syst me Sans cette phrase toute personne qui voudrait consulter le con
443. r sur New et suivre l assistant e Choisir un Nom pour la machine virtuelle e Choisir le Type de l OS correspondant parmi les versions de Windows propos es e Indiquer la taille de M moire vive d di e a la machine virtuelle Pour Windows 512 Mio est le minimum recommand e Cr er un Disque dur virtuel pour accueillir le systeme d exploitation virtuel cocher Disque d amorcage et Cr er un nouveau disque dur une fen tre s ouvre cliquer sur Suivant choisir Dynamiquement allou l image disque s agrandira au besoin jusqu atteindre au maximum la taille indiqu e dans Emplacement donner un nom au fichier image disque on peut aussi choisir son emplacement en cliquant sur le petit dossier droite de cette ligne mais c est bien de le laisser l endroit sugg r choisir la Taille de l image virtuelle sachant qu on veut accueillir tout un Win dows elle doit tre cons quente 20 Go c est bien si on a assez de place en cas de petit disque dur essayer moins cliquer sur Suivant puis Cr er le logiciel a cr et s lectionn un disque dur virtuel e Cliquer sur Cr er Sur la fen tre principale de VirtualBox la liste contient maintenant notre nouvelle machine virtuelle Il reste y installer le syst me d exploitation Mais avant tout on va cliquer sur le bouton Configuration ce menu permettra par la suite de la configurer Pour l instant on va juste
444. rait que le logiciel remplisse Dans tous les cas la base de donn es des logiciels disponibles dans Debian r pondra certainement nos questions Pour faire des choix clair s lorsque plusieurs logiciels permettent d effectuer une m me t che voir choisir un logiciel e Ouvrir le gestionnaire de paquets Synaptic partir du menu Applications Outils syst me Administration Puisque le gestionnaire de paquets permet de modifier les logiciels install s sur l ordinateur et donc de choisir quels programmes on fait confiance on est rassur qu il nous demande notre mot de passe pour s ouvrir e Une fois dans le gestionnaire de paquets commen ons par recharger la liste des paquets disponibles en cliquant sur l ic ne Recharger Le gestionnaire de paquets t l charge alors les derni res informations sur les paquets disponibles depuis un serveur Debian e Ensuite il y a deux techniques pour chercher un paquet soit cliquer sur l ic ne Rechercher dans la barre d outils L v rifier que Des cription et nom est bien s lectionn dans Rechercher dans Taper des mots cl ou un nom d application dans la case Rechercher par exemple dictionnaire allemand openoffice Les descriptions des applications peu courantes sont rarement traduites en fran ais Avec quelques bases d anglais il est souvent in t ressant d essayer des mots cl dans cette langue Cliquer sur Rechercher pour lancer la recherche soit
445. re 8 5 1 Pr parer sa machine et installer le Tor Browser Bundle Tout d abord comme nous n utilisons pas un systeme live des traces de navigation cookies fichiers t l charg s seront inscrites sur notre disque dur Appliquer la tome 1 ch 8 m me politique que pour un nouveau d part est une bonne piste Ensuite il faut ae t l charger et installer le Tor Browser Bundle correctement Le chapitre expliquant page 1111 comment installer le TBB d crit cette proc dure O ERNEST 7 8 5 2 Utiliser le Tor Browser Bundle page 111 Dans la page concernant l installation du TBB il est galement expliqu comment le d marrer Cet outil est sp cialement con u pour tre le plus simple possible utiliser Au moment de son lancement tous les logiciels dont nous avons besoin Tor et le navigateur web Firefox d marreront et seront param tr s Il suffira donc d attendre que la fen tre de Firefox s ouvre et nous pourrons commencer la navigation via le r seau Tor A Attention seule la consultation de sites web v a cette fen tre de navigateur garantit une connexion anonymis e Toutes vos autres applications client mail messagerie instantan e etc laisseront appara tre votre v ritable adresse IP EN de Ve JE ll ee ee De plus une fois cette fen tre ferm e il vous faudra relancer le Tor Browser Bundle et attendre qu une nouvelle fen tre de Firefox s ouvre pour reprendre une navigation qui passe par
446. re a cette question divers indices peuvent nous aider d terminer la confiance qui peut tre accord e l quipe de d veloppement Par exemple e Les m mes personnes ont aussi crit un autre logiciel que nous utilisons d ja intensivement nos impressions sur cet autre logiciel sont tout fait pertinentes dans le cadre de cette tude e Des membres de l quipe de d veloppement ont des adresses qui finissent par debian org et ont donc le droit de modifier les logiciels fournis par Debian GNU Linux si nous utilisons cette distribution nous accordons d ja de fait une certaine confiance 4 ces personnes e Des membres de l quipe de d veloppement ont des adresses qui finissent par google com ce qui montre que Google les paie s il n y a aucun doute a avoir sur leurs comp tences techniques on peut se demander a quel point leur travail est t l guid par leur employeur qui lui n est digne d aucune confiance quant ses intentions concernant vos donn es personnelles 2 L quipe de s curit de Debian maintient des informations pour chacun des paquets visibles sur le security tracker http security tracker debian net tracker 3 http cve mitre org cgi bin cvekey cgi keyword claws mail 4 http cve mitre org cgi bin cvekey cgi keyword thunderbird 120 II OUTILS 16 3 Installer un paquet Debian 6 Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la
447. re s r de l anonymat qui en r sulte C est pourquoi il est conseill pour utiliser Tor de se servir soit d un syst me live d di cet usage soit d utiliser un kit pr t l emploi le Tor Browser Bundle TBB C est un outil qui permet d installer et d utiliser tr s facilement Tor sur un syst me classique Aucun param trage ne sera n cessaire et tous les logiciels indispensables une navigation sous Tor y sont inclus Le Tor Browser Bundle rassemble e le navigateur web Firefox param tr pour utiliser Tor le logiciel Tor e un lanceur pour d marrer le tout en un simple double clic Attention il faut bien garder a l esprit que le Tor Browser Bundle ne procure pas un anonymat pour l ensemble de l ordinateur seules les connexions vers les sites web a l aide du navigateur inclus dans le TBB passent par Tor Toutes les autres connexions client mail agr gateurs de flux RSS autres navigateurs etc ne sont pas anonymis es De plus les traces de navigation comme les cookies ou les mots de passe seront probablement enregistr es sur le disque dur de m me que les documents t l charg s Enfin il arrive parfois que lors de la navigation on clique sur un lien qui lance automatiquement un logiciel lecteur de musique par exemple qui lui ne passera pas par Tor Des indices sur la nature de notre navigation pourraient alors fuiter 12 112 II OUTILS Pour utiliser un systeme se connecta
448. registr s par le logiciel utilis etc e l uvre le r sultat final tract affiche etc En somme la mati re premi re et le produit fini 9 2 valuer les risques Partant de ce contexte tentons maitenant de d finir les risques auxquels exposent les pratiques d crites dans ce cas d usage 9 2 1 Que veut on prot ger e confidentialit viter qu un il ind sirable ne d couvre trop ais ment l uvre et ou les fichiers de travail 66 II CHOISIR DES R PONSES ADAPTEES e int grit viter que ces documents ne soient modifi s notre insu e accessibilit faire en sorte que ces documents restent accessibles quand on en a besoin Ici accessibilit et confidentialit sont prioritaires Accessibilit car l objectif principal est tout de m me de r aliser l oeuvre S il fallait se rendre au p le Nord pour ce faire le projet risquerait fort de tomber a l eau Et pour ce qui est de la confidentialit tout d pend de la publicit de l ceuvre Voyons donc ca de plus pres uvre diffusion restreinte Si le contenu de l uvre n est pas compl tement public voire parfaitement secret il s agit de dissimuler la fois l uvre et les fichiers de travail uvre diffus e publiquement Si l uvre a vocation tre publi e la question de la confidentialit se ram ne celle de l anonymat C est alors principalement les fichiers de travail qui devront pa
449. relais ils peuvent mener une attaque de type motif temporel Les fournisseurs d acc s Internet et les gros fournisseurs de contenu ou de ressources utilis es sur de nombreux sites web encarts publicitaires fonctionnalit s de recherche et de m dias sociaux sont aussi en bonne position pour observer le trafic et donc collaborer ce type d attaque 7 3 5 Tor ne prot ge pas contre les attaques par confirmation On vient de voir que la conception de Tor ne permet pas de prot ger contre un attaquant qui est capable de mesurer le trafic qui entre et qui sort du r seau Tor Car si l adversaire peut comparer les deux flux il est possible de les corr ler via des statistiques basiques Consid rons maintenant un adversaire qui a des raisons de penser que c est Alice qui publie sur tel blog anonyme Pour confirmer son hypoth se il pourra observer le d bit du trafic qui sort de la connexion ADSL d Alice et celui qui entre sur le serveur qui h berge le blog S il observe les m mes motifs de donn es en comparant ces deux trafics il pourra tre confort dans son hypoth se Tor prot ge Alice contre un attaquant qui cherche d terminer qui publie sur le blog anonyme Mais il ne prot ge pas contre un adversaire ayant davantage de moyens qui essaye de confirmer une hypoth se en surveillant aux bons endroits dans le r seau puis en faisant la corr lation Ce type d attaque peut aussi s effectuer avec des hy
450. rer une connexion avec un serveur web ou email on utilise le protocole TLS C est un standard qui permet d encapsuler page 11 le protocole utilis habituellement Par exemple le protocole web HTTP quand il est encapsul dans du TLS donc chiffr est appel HTTPS Il en va de m me pour les protocoles email POPS IMAPS et SMTPS 10 Christopher Soghoian Sid Stamm 2011 Certified Lies Detecting and Defeating Govern ment Interception Attacks Against SSL Financial Cryptography and Data Security http files cloudprivacy net ssl mitm pdf en anglais 11 Mozilla Foundation 2014 Mozilla Included CA Certificate List https www mozilla org about governance policies security group certs included en anglais See ee er T mer T 4 4 I 4 66 I COMPRENDRE Dans le cas des entreprises leur but premier n est pas de certifier des identit s mais de gagner de l argent en vendant comme service la certification d identit s Mais v rifier me une identit co te cher Qu est ce qui nous prouve qu elles le font correctement Que page 44 leurs cl s priv es utilis es pour signer sont stock es dans un endroit s r Encore une fois c est une question de confiance On peut esp rer que ne serait ce que pour maintenir leur activit ces autorit s de certification font bien leur travail Sauf que des exemples montrent qu elles le font parfois tr s mal Ainsi en 2008 des chercheurs ont r ussi
451. rieux La messagerie interne de Facebook Skype etc permettent beaucoup de gens de prendre connaissance d informations qui ne les concernent pas Facebook ou Micro soft verront passer l int gralit de nos conversations sur leurs machines et peuvent les archiver pour pouvoir y acc der ensuite Les flics n auront qu demander pour b n ficier des informations et une faille de s curit sur le serveur peut donner acc s de nombreux autres curieux Sans oublier que Facebook change r guli rement ses r glages de confidentialit sans pr venir et peut d cider demain de rendre public ce qui est priv aujourd hui Par ailleurs Skype enregistre les conversations sur l ordinateur utilis et donc n im OKyp 8 gt porte quel voisin l utilisant cambrioleur l emmenant ou amant jaloux peut acc der cet historique aussi Mais Microsoft et Facebook n ont pas invent la messagerie instantan e et de multiples alternatives sont disponibles Il existe de nombreux logiciels que l on peut installer sur son ordinateur qui permettront de communiquer selon divers protocoles Skype IRC XMPP etc Le fait d utiliser un logiciel de confiance nous permettra de d sactiver l archivage des conversations et donc de limiter les traces laiss es sur notre ordinateur Il existe galement des serveurs qui fournissent des adresses de messagerie instantan e et qui ne sont pas dans une position leur permettant de faire aut
452. ris cliquer sur l ic ne du fichier ISO que Pon vient de t l charger puis de v rifier et le faire glisser dans la fen tre du terminal Apres avoir rel ch le bouton ce qui est affich doit ressembler cat home domi Desktop debian 7 4 0 amd64 i386 netinst iso Ce n est toujours pas fini car il faut maintenant indiquer la destination de la copie en ajoutant a la fin de notre commande gt LE P RIPH RIQUE Une fois cela fait la commande compl te doit ressembler quelque chose comme cat home domi Desktop debian 7 4 0 amd64 i386 netinst iso gt dev sdx La copie se lance d s qu on a appuy sur Entr e ne laissant plus appara tre qu un sobre carr la ligne suivante Apr s de la patience et le retour du signe symbolisant l invite de commande on peut fermer le terminal Reste ensuite faire r appara tre la fen tre de l Utilitaire de disque et cliquer sur D connexion en toute s curit pour tre s r de ne pas ab mer les donn es fra chement copi es sur notre cl USB 15 4 3 Mettre les microcodes sur une cl USB Pd ER a r a Certains p riph riques de l ordinateur peuvent n cessiter pour fonctionner que le page 13 L ll syst me leur fournisse un microcode ou firmware mais ce n est pas toujours le cas On peut donc tenter de r aliser l installation sans s en pr occuper et revenir lire cette section pl
453. rit F q a 2 J tome ch 7 Posons nous maintenant les questions expos es dans notre m thodologie 1 Quel ensemble de pratiques d outils nous prot geraient de facon suffisante contre nos adversaires 2 Face a une telle politique de s curit quels sont les angles d attaque les plus praticables 3 Quels sont les moyens n cessaires pour les exploiter 4 Pensons nous que ces moyens puissent tre utilis s par nos adversaires 8 3 1 Premiere tape demander ceux qui voient a 7 2 2 page 36 Angle d attaque le plus praticable pour l adversaire analyser les donn es enregistr es E if z ee EE ee ee ee par les serveurs h bergeant les ressources consult es Moyens n cessaires e se connecter au serveur qui fournit la connexion si l adversaire est le fournisseur d acc s a Internet ou collabore avec lui e se connecter au serveur qui h berge la ressource si l adversaire est ou collabore avec le fournisseur de contenu Si l adversaire est le fournisseur d acces Internet ou le fournisseur de contenu il lui Fire ns q 2 x page 36 suffira de consulter ses journaux de connexions Mais il est galement possible L all 8 CONSULTER DES SITES WEB 81 d un contrat commercial d une collaboration volontaire voire d un piratage Cr dibilit d une telle attaque probable si notre connexion ou le site visit attirent attention de l adversaire Contre ce type d att
454. rmet de limiter la casse Allons donc voir page 681 quoi ressemble ce chemin en ignorant les paragraphes suivants qui sont consacr s i T GNU Linux 9 4 Le systeme live amn sique EA Les probl mes attenants a la situation de d part sont les m mes que ceux du cas page 57 d usage un nouveau d part Mais avant de mettre sur la table de potentielles po litiques de s curit lancons nous dans un rapide tour d horizon des outils et m thodes disponibles 9 TRAVAILLER SUR UN DOCUMENT SENSIBLE 67 9 4 1 Liste noire vs liste blanche Vu qu on a d j un systeme Debian chiffr on peut de prime abord imaginer le configurer finement pour qu il conserve moins de traces de nos activit s sur le disque dur Le probl me de cette approche c est qu elle est de type liste noire et nous en avons expliqu les limites en ces pages quel que soit le temps consacr quelle que soit l expertise mise au travail m me avec une compr hension particuli rement pouss e des entrailles du syst me d exploitation utilis on oubliera toujours une petite option bien cach e il restera toujours des traces ind sirables auxquelles on n avait pas pens Au contraire certains syst mes live fonctionnent sur le principe de la liste blanche tant qu on ne le demande pas explicitement aucune trace n est laiss e sur le disque dur En envisageant uniquement le crit re confidentialit le systeme live ba
455. rober des donn es Dans le cas pr sent un tel logi ciel est en mesure de transmettre la cl de chiffrement du disque dur un adversaire qui obtiendra ensuite gr ce cette cl l acces aux donn es chiffr es quand il aura acc s physique l ordinateur Installer un logiciel malveillant sur le syst me Debian dont il est question ici requiert des comp tences de plus haut niveau que les attaques tudi es ci dessus mais aussi plus de pr paration Une telle attaque rel ve donc ici aussi de la science fiction du moins en ce qui concerne la situation qui nous occupe Dans d autres situations il conviendra parfois d tre extr mement prudent quant la provenance des donn es et logiciels qu on injecte dans l ordinateur en particulier lorsqu il est connect Internet un cas qui rappelons le n est pas notre propos dans ce premier tome page 117 La recette concernant l installation de logiciels donne quelques pistes fort utiles sur la facon d installer de nouveaux logiciels proprement Le second tome de ce guide consacr aux r seaux et a Internet en particulier prolonge cette tude 8 UN NOUVEAU D PART 63 8 3 10 Angle d attaque la force brute Attaquer un syst me cryptographique par force brute est la plus simple la plus stupide et la plus lente des mani res Mais quand on ne peut mettre en ceuvre un autre type d attaque Pour le disque dur chiffr lors de l tape 1 a dema
456. rrer a priori sur un support externe peut avoir des cons quences facheuses il devient un peu plus facile pour un intrus de le faire d marrer en utilisant ce support par exemple pour effectuer une attaque On peut certes mettre en place avec le micrologiciel un mot de passe d acc s Vordinateur qui devra tre entr avant tout d marrage Mais il est inutile de compter sur celui ci pour prot ger quoi que ce soit cette protection peut la plupart du temps tre contourn e tr s facilement 13 3 4 Enregistrer et quitter Une fois la nouvelle configuration tablie il reste 4 enregistrer et quitter Encore une fois lire l aide l cran comme F10 Save Parfois il faut appuyer une ou plusieurs fois sur Echap pour avoir le bon menu Un message s affiche alors pour demander en anglais si on est s r de vouloir enregistrer et quitter Par exemple Save configuration and exit now lt Yes gt lt No gt On veut effectivement enregistrer donc on s lectionne Yes et on appuye sur Entr e CHAPITRE Utiliser un systeme live Cc Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la O plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e 30 minutes une heure plus environ 30 minutes de t l chargement Un syst me live est un systeme GNU Linux qui fonctionne sans tre install sur le disque dur de l ordinateur
457. rs on rencontrera souvent le terme s curit mais l usage qui en est couramment fait nous donne envie de l viter CHAPITRE 1 Quelques bases sur les ordinateurs Commengons par le commencement Un ordinateur ce n est pas un chapeau de magicien ot on peut ranger des lapins et les ressortir quand on a besoin et qui permettrait en appuyant sur le bon bouton d avoir une fen tre ouverte sur l autre bout du monde Un ordinateur est compos d un ensemble de machines plus ou moins complexes reli es entre elles par des connexions lectriques des cables et parfois des ondes radios Tout ce mat riel stocke transforme et r plique des signaux pour manipuler Vinformation que l on peut voir sur un bel cran avec plein de boutons o cliquer Comprendre comment s articulent ces principaux composants comprendre les bases de ce qui fait fonctionner tout a c est la premi re tape pour comprendre o sont les forces et les faiblesses de ces engins qui l on confie pas mal de nos donn es 1 1 Des machines traiter les donn es Les ordinateurs sont des machines invent es pour pouvoir s occuper d informations Elles savent donc pr cisemment enregistrer traiter analyser et classer de l informa tion m me en tr s grande quantit Dans le monde num rique copier une information ne co te que quelques micro watts autant dire pas grand chose c est essentiel d avoir a en t te si nous voulons lim
458. rs d acc s Internet du pays ont cess de dire aux autres routeurs que c est eux qu il fallait s adresser pour acheminer les paquets vers les ordinateurs gyptiens 2 Ainsi les paquets destin s l gypte ne pouvaient plus trouver de chemin interrompant de fait l acc s au r seau le tout sans avoir coup le moindre c ble 1 5 Des applications vari es On se sert souvent d Internet pour acc der des pages web c est dire un ensemble de pages accessibles sur des serveurs que l on consulte partir d un navigateur web https guide boum org est un exemple de site web Le langage courant confond fr quemment le web avec Internet avec des expressions comme aller sur Internet par exemple Or le web n est qu un des nombreux usages d Internet Il existe en fait de tr s nombreuses applications qui utilisent Internet que la plupart des internautes n ont pas conscience d utiliser Outre le web on peut ainsi citer le courrier lectronique la messagerie instantan e le transfert de fichiers les monnaies num riques comme Bitcoin etc Ainsi vous pourrez rencontrer ces diff rents protocoles qui s ils utilisent Internet ne sont pas du web e SMTP POP IMAP sont des protocoles utilis s dans la messagerie lectronique t dont il existe galement des versions chiffr es IMAPS POPS SMTPS 20 St phane Bortzmeyer 2011 Coupure de l Internet en gypte http www bortzmeyer org eg
459. rs est la suivante est il vraiment n cessaire de les conserver Lorsqu on ne dispose plus du tout d une information quiconque aura beau insister personne ne sera en mesure de la donner et c est parfois la meilleure solution 10 3 Evaluer les risques 10 3 1 Que veut on prot ger Que donnent les cat gories d finies lorsque nous parlions d valuation des risques appliqu es a ce cas e confidentialit viter qu un il ind sirable ne tombe trop ais ment sur les infor mations archiv es e int grit viter que ces informations ne soient modifi es notre insu e accessibilit faire en sorte que ces informations restent accessibles quand on en a besoin Ici l accessibilit est secondaire par rapport la confidentialit toute l id e de l ar chivage est de faire un compromis en rendant l acc s aux donn es plus difficile pour tout le monde afin de leur offrir une meilleur confidentialit 10 3 2 Contre qui veut on se prot ger 10 5 5 l m 78 II CHOISIR DES R PONSES ADAPTEES cambriolage une perquisition ayant des motifs qui ne sont pas directement li s aux informations qu on veut ici prot ger Ajoutons ces risques la possibilit que le livre ou le film produit d plaise quelque commissaire ministre P D G ou assimil Ca arrive Admettons que e cette autorit a eu vent d indices lui permettant de soupconner qui a commis le chef d ceuvre e cet
460. rsqu elles y ont acc s d Les dates et heure de d but et de fin de la connexion e Les caract ristiques de la ligne de l abonn D cret n 2011 219 du 25 f vrier 2011 op cit 29 Parlement Europ en et Conseil 2006 Directive 2006 24 CE du Parlement europ en et du Conseil du 15 mars 2006 sur la conservation de donn es g n r es ou trait es dans le cadre de la fourniture de services de communications lectroniques accessibles au public ou de r seaux publics de communications et modifiant la directive 2002 58 CE http eur lex europa eu LexUriServ LexUriServ do uri CELEX 32006L0024 FR HTML 30 3 Pour les personnes mentionn es aux 1 et 2 du I du m me article FAI et h bergeurs NdA les informations fournies lors de la souscription d un contrat par un utilisateur ou lors de la cr ation d un compte a Au moment de la cr ation du compte l identifiant de cette connexion b Les nom et pr nom ou la raison sociale c Les adresses postales associ es d Les pseudonymes utilis s e Les adresses de courrier lectronique ou de compte associ es f Les num ros de t l phone g Le mot de passe ainsi que les donn es permettant de le v rifier ou de le modifier dans leur derni re version mise jour 4 Pour les personnes mentionn es aux 1 et 2 du I du m me article FAI et h bergeurs NdA lorsque la souscription du contrat ou du compte est payante les informations suivantes relatives au paiement p
461. s quelques conseils pour trouver ce que l on cherche dans Debian Avec quels crit res de choix On doit parfois choisir un logiciel pour effectuer une certaine t che et il est alors courant de se sentir perdu dans la multitude de solutions disponibles quelques crit res permettant de prendre une d cision ad quate Comment installer un paquet Debian Une fois que l on sait quel paquet contient le logiciel que l on veut utiliser reste l installer proprement Comment modifier ses d p ts Debian Les paquets Debian qui contiennent les programmes se trouvent dans ce qu on appelle des d p ts Si les d p ts fournis avec Debian contiennent quasiment tous les logiciels dont on peut avoir besoin il est parfois utile d ajouter de nouveaux d p ts 16 q l 4 l L page ci contre q 4 116 II OUTILS 16 1 Trouver un logiciel Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e de 5 minutes si l on conna t le nom du logiciel que l on cherche une demi heure si Von part de z ro Parfois on conna t d j le nom du logiciel que l on souhaite installer parce qu on nous l a conseill parce qu on l a trouv sur Internet et l on veut savoir s il est dans Debian D autres fois on conna t seulement la t che que l on souhaite
462. s appels n ont pas t suivis De m me les r v lations d Edward Snowden sur l tat de la surveillance lectro nique mise en place par la NSA 4 l chelle mondiale ont rendu cr dibles les hypo th ses parmi les plus pessimistes partir de l il appara t indispensable de prendre conscience que l utilisation d Internet tout comme celle de l informatique en g n ral est tout sauf anodine Elle nous expose la surveillance et la r pression qui peut lui succ der c est l objet principal de ce second tome que de permettre tout un chacun de comprendre quels sont les risques et les limites associ s l utilisation d Internet Mais il s agit aussi de se donner les moyens de faire des choix clair s quant nos usages de l Internet Des choix qui peuvent permettre de compliquer la t che des sur veillants de contourner des dispositifs de censure voire de mettre en place des outils des infrastructures de mani re autonome Une premi re amorce pour reprendre le contr le de technologies qui semblent parfois vou es nous chapper ambition qui d passe cependant largement les objectif de ce guide Nous voici donc repartis pour un nouveau voyage dans les eaux troubles du monde nu m rique Notre travers e se fera en trois parties une premi re expliquant le contexte les notions de base permettant une compr hension g n rale une seconde partie trai tant de cas d usage typi
463. s ssd eff org tech malware de l Electronic Frontier Foundation 6 D apr s Internet Storm Center http isc sans org survivaltime html une installation de Microsoft Windows sur laquelle les mises jour de s curit n ont pas t faites se fait compromettre en moins de 4 minutes si elle est connect e directement Internet 7 Eva Galperin et Al 2014 Quantum of Surveillance Familiar Actors and Possible False Flags in Syrian Malware Campaigns https www eff org files 2013 12 28 quantum_of_surveillance4d pdf en anglais 3 MALWARE MOUCHARDS ET AUTRES ESPIONS 25 En outre la plupart des logiciels malveillants s rieux ne laissent pas de signe imm diatement visible de leur pr sence et peuvent m me tre tres difficiles d tecter Le cas sans doute le plus compliqu est celui de failles jusqu alors inconnues appel es exploits O day 8 et que les logiciels antivirus seraient bien en mal de reconna tre car pas encore r pertori es C est exactement ce genre d exploitation de failles 0 day que la compagnie VUPEN a vendu a la NSA en 2012 En 2006 Joanna Rutkowska a pr sent lors de la conf rence Black Hat le malware nomm Blue Pill Cette d monstration a montr qu il tait possible d crire un rootkit utilisant les technologies de virtualisation pour tromper le syst me d exploitation et rendre ainsi vrai ment tr s difficile d identifier la pr sence du mal
464. s voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e une heure environ Parfois on souhaite tre plusieurs partager un secret sans pour autant que chaque personne ne dispose de la totalit du secret Cela tombe bien plusieurs techniques cryptographiques ont t invent es pour cela Elles permettent toutes mais avec des calculs math matiques un peu diff rents de d couper un secret en plusieurs morceaux que l on pourra reconstituer en en r unissant quelques uns 20 1 Partager une phrase de passe L usage le plus pratique est de partager comme secret la phrase de passe d un support chiffr Cette tape doit id alement tre faite partir d un syst me live afin de ne pas laisser des traces du secret que l on va partager 20 1 1 Installer le paquet n cessaire Pour r aliser le partage du secret on utilisera le programme ssss split On trouve ce programme parmi ceux fournis par le syst me live Tails cependant pour en disposer sur une Debian chiffr e il est n cessaire d installer le paquet Debian 5555 Les outils contenus dans le paquet ssss sont utiliser en ligne de commande Toutes les op rations devront donc tre effectu es dans un Terminal sans les pouvoirs d ad ministration 20 1 2 G n rer une phrase de passe al atoire Dans notre cas personne ne do
465. s e un ensemble de logiciels elle nous alerte lorsqu une faille de s curit affecte l un des logiciels que l on utilise Mais des lors qu on installe un logiciel qui n est pas fourni par sa distribution on est livr a soi m me il faut penser le mettre jour se tenir inform des failles de s curit qui y sont d couvertes g rer les d pendances entre logiciels Ca demande des efforts du temps des comp tences D autre part une question de politique de s curit lorsqu on a choisi sa distribu tion GNU Linux on a implicitement d cid d accorder une certaine confiance un ensemble de gens un processus de production Installer un logiciel qui n est pas fourni par sa distribution implique de prendre une d cision similaire propos d un nouvel ensemble de gens d un nouveau processus de production Une telle d cision ne se prend pas a la legere lorsqu on d cide d installer un logiciel n appartenant pas sa distribution on largit l ensemble des personnes et processus qui on accorde de la confiance et on augmente donc les risques 16 2 2 Maturit L attrait de la nouveaut qui lave plus blanc que blanc est bien souvent un pi ge Mieux vaut autant que possible choisir un logiciel ayant atteint une certaine ma turit dans un logiciel activement d velopp et utilis depuis au moins quelques ann es il y a des chances que les plus gros probl mes aient d ja t d couverts et corrig
466. s traces r siduelles sur le disque dur seront moins videntes et moins nombreuses que si l on avait proc d de fa on ordinaire M me si la catastrophe arrive apr s la fin du projet c est dire apr s le nettoyage 2 WI aa 7 conseill ici il serait malvenu de se sentir immunis car comme le d but de ce cas page 65 L i m moires vive et virtuelle sauvegardes automatiques Si malgr ces soucis l hypoth se que nous venons de d crire semble tre un compromis aj acceptable il est maintenant n cessaire de se renseigner sur les limites partag es par page 75 Y ERAS ss SIE ss TU Men parta sets d toutes les solutions envisag es dans ce cas d usage Sinon creusons un peu Aller plus loin Admettons qu une des attaques d crites partir de la troisieme tape du cas d usage page 59 Ls al chiffr du syst me h te serait lisible en clair par l attaquant Or nos fichiers de travail sont rappelons le contenus dans l image de disque virtuel utilis e par notre Windows invit qui est un b te fichier stock sur le disque dur du syst me h te Ces fichiers de travail ainsi que toute trace enregistr e par les logiciels utilis s dans Windows deviennent alors lisibles par l attaquant Nous allons envisager deux pistes permettant de limiter les d g ts L une est de type liste noire l autre est de type liste blanche 74 II CHOISIR DES R PONSES ADAPTEES St
467. s bien grave 90 II OUTILS 11 6 Attention aux traces page 21 La plupart des shells enregistrent automatiquement les lignes de commande que l on i Za tap es dans un fichier d historique C est bien pratique pour retrouver plus tard des commandes que l on a pu utiliser mais cela laisse galement sur le disque une trace de nos activit s Le shell standard dans Debian s appelle bash Avec ce dernier pour d sactiver tem porairement l enregistrement de l historique dans le terminal que l on utilise il suffit de faire unset HISTFILE Par ailleurs les commandes sont enregistr es dans le fichier cach bash_history qui PAR TT en q page 129 se trouve dans le Dossier personnel On peut donc avoir envie de le nettoyer de temps E A A A E ee en temps 11 7 Pour aller plus loin Cette premi re exp rience avec cette fen tre pleine de petits caract res pourrait tre le d but d une longue passion Pour l entretenir rien de mieux que de prendre le temps de lire le chapitre D buter en console de la formation Debian ou celui baptis Linux en mode texte consolez vous du livre Linux aux petits oignons 2 http formation debian via ecp fr debuter console html 3 http www editions eyrolles com Chapitres 9782212124248 Pages 63 82 Novak pdf CHAPITRE 1 2 Choisir une phrase de passe C Les logiciels voluent c est pourquoi il est vivement conseill d utiliser
468. s courent au fond de l oc an Atlantique Ces faisceaux de fibres sont autant de points de fai blesse et il arrive de temps en temps qu un accident par exemple une ancre de bateau qui coupe un c ble ralentisse fortement Internet l chelle d un continent Ca peut para tre trange vu qu historiquement l id e d Internet tait d inspiration militaire un r seau d centralis qui multiplie les liens pour tre r sistant la coupure de l un d eux 1 4 2 Routage a avons vu que les ordinateurs s changeaient des informations en les mettant dans des paquets Imaginons deux ordinateurs connect s a Internet sur des r seaux diff rents qui veulent s envoyer un paquet d informations Par exemple l ordinateur personnel d Alice situ en Europe se connecte a celui de Betty situ aux Etats Unis Routeur du FAI d Alice I Routeur de o jg l universit D C E je ox d Alice A Pa Ordinateur x 5 4 de Betty Ordinateur d Alice Routage L ordinateur d Alice acc de Internet par sa box qui se trouve sur le r seau de son fournisseur d acc s Internet ou FAI L ordinateur de Betty lui fait partie du r seau de son universit Le paquet destin a l ordinateur de Betty arrivera tout d abord sur le r seau du FAI d Alice Il sera transmis au routeur C de son FAI qui joue le r le de centre de tri Le routeur lit l adresse de l ordinateur de Betty sur le
469. s d pends lors de la publication de plus de trois mois de r sultats d utilisation du moteur de recherche de la 1 ippolita 2012 J aime pas Facebook Payot http www ippolita net fr jaime pas facebook 5 IDENTIT S CONTEXTUELLES 55 firme Nombre de chercheurs purent facilement briser le faible pseudonymat appliqu par AOL sur ces donn es Le gouverneur de l tat du Massachusetts a lui aussi fait les frais de ces recoupements lorsque son dossier m dical soit disant anonymis a pu tre identifi parmi ceux de tous les citoyens de cet tat La chercheuse ayant effectu e cette d monstration de desanonymisation de donn es poussa l ironie jusqu lui envoyer son dossier m dical par la poste 5 2 2 Corr lation temporelle Proc d un peu plus technique cette fois ci la corr lation temporelle permet ga lement de briser ou d affaiblir un peu plus l anonymat ou le pseudonymat En ef fet si dans un intervalle de temps r duit il y a connexion vers la boite mail ama zone exemple org ainsi que jeanne dupont courriel fr la probabilit que ces deux adresses emails soient aux mains de la m me personne augmente et ce d autant plus si cette observation se r p te Diverses parades r pondant a des besoins divers seront explicit es plus loin 5 2 3 Stylom trie Il est possible d appliquer des analyses statistiques sur la forme de n importe quel type de donn es et notamment aux textes En analysant diff
470. s de Compte et cocher Authentification SMTP SMTP AUTH dans la partie Authentification Cliquer enfin sur Valider De nombreuses autres options de configurations sont disponibles que nous d taillerons en partie dans le paragraphe suivant 17 4 Configuration avanc e de Claws Mail Une fois Claws Mail configur pour un compte email on peut vouloir optimiser sa configuration pour qu elle nous soit plus agr able ou pour qu elle r duise les risques en termes de s curit informatique Pour cela choisir Edition des comptes dans le menu Configuration de Claws Mail Une fen tre Edition des comptes s ouvre s lectionner d un clic le compte email diter puis cliquer sur Modifier Nous n allons pas faire une tour exhaustif des options de configuration mais de quelques unes qui nous semblent utiles Tout d abord si l on a choisi d utiliser le protocole POP dans la partie R ception des Pr f rences de Compte on peut d cider de la dur e apr s laquelle les messages seront 17 UTILISER LE CLIENT MAIL CLAWS MAIL 129 supprim s des serveurs apres rapatriement Cela est bien stir sans grande garantie et d pend notamment notre h bergeur mail nous ne pouvons qu esp rer qu il efface v ritablement nos donn es Ensuite dans la partie SSL des Pr f rences de Compte si ce n est pas d ja s lectionn choisir d Utiliser SSL pour les connexions POP3 ou Utiliser SSL pour les connexions IMAP en fonction du protocole c
471. s heures selon les modeles 1 2 4 Le disque dur Un disque dur 3 pouces 2 Etant donn que la m moire vive s efface A partir du moment o elle n a plus de courant ordinateur a besoin d un autre endroit o stocker donn es et programmes entre chaque allumage On parle aussi de m moire persistante ou de m moire morte une m moire ot les informations crites restent m me sans alimentation lectrique Pour ce faire on utilise en g n ral un disque dur C est souvent une coque en m tal dans laquelle se trouvent plusieurs disques qui tournent sans s arr ter Sur ces disques se trouvent de minuscules morceaux de fer Au dessus de chaque disque se trouvent des t tes de lecture A l aide de champs magn tiques ces derni res d tectent et modifient la position des morceaux de fer C est la position des morceaux de fer qui permet de coder les information a stocker Ce m canisme est beaucoup plus lent 50 fois environ que l acc s la m moire vive Par contre c est plus simple d y mettre beaucoup plus d informations Les informations que l on met donc g n ralement sur un disque dur sont bien entendu des documents mais aussi les programmes et toutes les donn es qu ils utilisent pour 1 QUELQUES BASES SUR LES ORDINATEURS 13 fonctionner comme des fichiers temporaires des journaux de bord des fichiers de sauvegarde des fichiers de configuration etc Le disque dur conserve donc une m moir
472. s lecteurs et auxquels on ne veut pas donner acc s a la machine virtuelle Si la machine virtuelle est en fonction l teindre Aller alors dans la fen tre principale de VirtualBox et s lectionner dans la liste de gauche la machine virtuelle sur laquelle se trouvent les donn es graver Cliquer alors sur l ic ne Configuration Dans la bo te de dialogue Configuration s lectionner Stockage dans la liste de gauche et dans la section Arborescence Stockage cliquer sur la ligne qui commence par une ic ne de CD Dans Lecteur CD DVD choisir Lecteur de l h te et cocher Mode direct Valider en cliquant sur Ok Il est alors possible de relancer la machine virtuelle et de graver les donn es depuis l int rieur 22 7 2 Dans un dossier vide Il est possible de permettre Windows d crire dans un dossier du syst me h te Mais veillons ce que ce ne soit pas n importe quel dossier Attention en apprenant utiliser ce syst me de partage on pourrait tre tent de le configurer pour donner acc s directement aux p riph riques branch s sur le syst me h te c est bien la pire id e qu on puisse avoir qui an antirait elle seule toute la politique de s curit Cr er un dossier r serv cet effet dans le syst me h te e R duire la fen tre accueillant le syst me invit e Choisir l emplacement o on veut mettre ce dossier d change Par exemple dans le Dossier personnel faire un clic droit pu
473. s limites 7 3 1 L utilisateur mal inform ou peu attentionn Comme souvent quand on est mal inform on a de grandes chances de se tromper Lorsque l on utilise un outil a fortiori des fins de protection de sa vie priv e il est capital de bien comprendre quoi il sert mais aussi et surtout quoi il ne sert pas tout comme ses diff rentes limites Si Alice utilise r gulierement Tor pour consulter des sites web potentiellement pr judi du m me noeud de sortie En comparant galement les heures auxquelles ont lieu les consultations il est possible d augmenter d autant plus les chances de corr lation Dans cet exemple Alice utilise diff rentes identit s contextuelles en m me temps alors que Tor ne pr tend pas magiquement s parer celles ci Pour viter de tels recoupe ments la solution serait chercher du c t de la compartimentation des identit s contextuelles 000000 7 3 2 Un adversaire voit que l on utilise Tor Le fournisseur d acc s Internet ou l administrateur du r seau local d Alice peut tr s facilement savoir qu elle se connecte un relai Tor et non un serveur web ordinaire En effet adresse IP du serveur vers lequel l ordinateur d Alice se connecte sera celui d un noeud d entr e du r seau Tor et la liste des noeuds d entr e est disponible publiquement sur Internet Le serveur de destination auquel elle se connecte via Tor peut savoir si ces commu nicati
474. s qui disposeront du lien pourront telecharger le fichier en le saisissant dans la barre d adresse d un navigateur web CHAPITRE Ajouter un certificat lectronique a son navigateur 6 Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e 15 30 minutes Nous avons vu dans la premi re partie de ce guide qu afin d tablir une connexion chiffr e il fallait souvent faire confiance une autorit de certification AC La plupart du temps les AC sont d j enregistr es dans le navigateur web par exemple Mais ce n est pas toujours le cas dans cette situation votre navigateur ou autre logiciel vous pr sentera un message vous expliquant qu il n a pas pu authentifier le certificat du site Il arrive galement que le site visit n utilise pas les services d une autorit de cer tification par manque de confiance ou de moyen financier Il faut alors v rifier son certificat 15 1 V rifier un certificat ou une autorit de certification Que ce soit pour le certificat d une AC ou pour celui d un site en particulier il est n cessaire de le v rifier avant de l installer Sans cela la connexion sera bien chiffr e mais pas authentifi e Autrement dit on chiffera bien la communication mais sans savoir vraiment avec qui autant dire qu part se donner une fausse impre
475. s rica 65 93 Accroa Windows 234 4 4 44 asa sad edt de i wa 66 9 4 Le syst me live amn sique 66 9 5 Travailler sur un document sensible sur un systeme live 68 9 6 Travailler sur un document sensible sous Windows 68 9 7 Nettoyer les m tadonn es du document termin 75 9 8 Limites communes ces politiques de s curit 75 10 Archiver un projet achev 77 MOLD Contate o ac ee BEER REE Bee REEDS Ee 77 10 2 Est ce bien n cessaire 77 10 3 valuer les risques 4 22222 eus dde ut 77 IDA INES cea a e ee RR A RE ee ad ee 78 10 5 Quelle phrase de passe o 78 10 6 Un disque dur Une cl Plusieurs cl s 79 TIT Outils 81 11 Utiliser un terminal 85 11 1 Qu est ce qu un terminal sec o iedo aaa cdda bb baa aes 85 11 2 A propos des commandes 86 11 3 Terminal Terminal administrateur 88 11 4 Encore une mise en garde 88 11 5 Do o A 88 11 6 Attention aux traces 90 11 7 Pouraller plus loin 2 244244844484 Haba a a get 90 12 Choisir une phrase de passe 91 SOMMAIRE 13 D marrer sur un CD un DVD ou une cl USB 13 1 Essayer Mavement ora a a ok OSS dus 13 2 Tenter de choisir le p riph rique de d marrage 13 3 Modifier les param tres du micrologiciel
476. s routeurs les en t tes de paquets 28 BA BURN aos 24 dos LE dus So OR a Eau 29 2 5 Les traces qu on laisse soi m me 31 Surveillance et contr le des communications 33 3 1 Qui veut r cup rer les donn es 33 3 2 Journaux et r tention de donn es 36 33 Beowtes de masse 42 4 a ua du die ue nee 40 3 4 Attaques cibl es o 4 4 4 344 da a en ere 8 pue ee 41 35 EM CONCISO se 4 4 4 8 san ah een LABS ss 47 Web 2 0 49 4 1 Des applications Internet riches 49 4 2 et des clients devenus b n voles 50 4 3 Centralisation des donn es 50 4 4 Mainmise sur les programmes 51 4 5 De la centralisation l auto h bergement d centralis 52 Identit s contextuelles 53 Bal D MOS na 4 5 os 4 444 BAe eae A ei 53 5 2 De l identit contextuelle l identit civile 54 Do La compartimentation Kara 56 2 SOMMAIRE 5 4 Les m dias sociaux centralisation de fonctions et identit unique 56 6 Cacher le contenu des communications la cryptographie asym trique 59 6 1 Limites du chiffrement sym trique 59 6 2 Une solution la cryptographie asym trique 59 6 3 Signature UMENG esa aaa eh 62 6 4 V rifier l authenticit de la cl publique
477. s serveurs qui on peut poser des questions comme quelle est l adresse IP de guide boum org comme on chercherait dans l annuaire t l phonique quel est le num ro d un corres pondant Ce systeme s appelle le DNS Domain Name System ce qui donne sys t me de noms de domaine en fran ais L ordinateur d Alice commence donc via 24 La conf rence de Benjamin Bayart Internet ou Minitel 2 0 conf rence aux 8e rencontres mondiales du logiciel libre 13 juiller 2007 Amiens http www fdn fr Internet libre ou Minitel 2 html explique tr s bien ce glissement et les enjeux qu il recouvre 22 I COMPRENDRE sa box par interroger le serveur DNS de son fournisseur d acces a Internet pour obtenir l adresse IP du serveur qui h berge le nom de domaine guide boum org L ordinateur d Alice re oit en retour l adresse IP du serveur et peut donc communi quer avec celui ci 1 6 2 Chemin d une requ te web L ordinateur d Alice se connecte alors 4 cette IP donc au serveur et lui envoie une requ te qui signifie envoie moi la page d accueil du site web guide boum org Les paquets qui v hiculent la demande partent de son ordinateur et passent alors par eee sa box pour arriver au routeur de son fournisseur d acces Ils traversent ensuite page 16 ss r seaux et routeurs pour atteindre enfin le serveur de destination SS pour og sono ane GET 204 13 164 188 https guide
478. s trahit jour apr s jour Qui plus est lorsqu on croit tort tre en s curit Mais avant de retourner au pigeon voyageur et a la cache secrete derriere la biblio theque qu on ouvre en tirant sur un faux livre solutions rustiques ne pas oublier totalement ceci dit il y a un peu de marge Pas tant que ca mais tout de m me C est cette marge que ce texte s appliquera dor navant cartographier Dans cette partie nous d crirons quelques situations typiques que nous nommons cas d usage afin d illustrer notre propos CHAPITRE 8 Consulter des sites web 8 1 Contexte On s int resse ici la consultation d informations disponibles sur le web lire un p riodique suivre un blog etc Autant d activit s ordinaires lorsqu on est en ligne Cependant on veut effectuer ces activit s de facon discr te pour diverses raisons parmi lesquelles on peut citer e d jouer la surveillance ou contourner la censure que ce soit celle d un patron d un proche ou d un Etat e viter la collecte et le recoupement d informations personnelles des fins commer ciales 8 2 Evaluer les risques Ce probleme peut paraitre trop vaste et complexe pour voir par ot le prendre D coupons le donc en petits bouts 8 2 1 Que veut on prot ger Dans ce cas d usage ce qui nous importe en premier lieu est l anonymat ou tout du moins le pseudonymat ce qu on cherche a cacher n est pas le contenu de ce qui est consu
479. sachant que les deux sont utilisables pour une m me adresse email et que le choix de l un ou de l autre n est pas irr versible 10 5 Webmail Un webmail est un site web permettant de consulter ses emails via un navigateur web Son usage s est r pandu comme une tra n e de poudre depuis le d but des ann es 2000 tel point qu on en aurait presque oubli les autres mani res de faire de l email Hotmail et Gmail sont des exemples tr s populaires d h bergeurs qui favorisent son utilisation m me s ils ne sont pas utilisables qu en webmail Ici encore on a affaire une tendance du web 2 0 plus besoin d avoir son syst me d exploitation pour acc der sa bo te mail que ce soit sur son ordinateur ou sur la cl USB contenant un syst me live un acc s Internet suffit fai net exemple org fg gt TIRA a HTTP S SMTP SMTP SMTP HTTP S ha C mo h sum gt o EN EEE ESS SS Ordinateur de Betty gt Serveur Webmail Serveur Mail Serveur Mail Serveur Webmail Ordinateur d Alice Alice et Betty utilisent un webmail Le webmail c est en fin de compte une interface web qui nous permet d agir sur des serveurs mails Sch matisons un change d email entre Alice et Betty qui utilisent toutes deux le webmail e le chemin r seau entre l ordinateur de Betty et sa bo te mail h berg e par fai net sera parcouru via un protocole web HTTP ou HTTPS e s e
480. se servir de cette machine propre C est donc le moment de suivre la O pl d tt h propre C est d l td l 22 INSTALLER ET UTILISER UN SYSTEME VIRTUALIS 161 22 4 Effacer pour de vrai une machine virtuelle Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e 10 minutes pour supprimer quelques minutes a quelques heures pour craser les donn es Cette recette vise effacer proprement une machine virtuelle 22 4 1 Supprimer la machine virtuelle de VirtualBox Ouvrir la fen tre principale de VirtualBox accessible depuis le menu Applications gt Accessoires S lectionner la machine virtuelle a effacer Dans le menu Machine choisir Supprimer puis choisir Supprimer de la liste 22 4 2 Effacer le disque dur virtuel et son contenu Ouvrir le dossier des disques virtuels de VirtualBox VirtualBox VMs depuis Rac courcis Dossier personnel S lectionner le dossier contenant la machine virtuelle effacer puis utiliser l outil effacer des fichiers avec leur contenu pour effacer le disque virtuel de la machine virtuelle en question 22 4 3 Pr venir VirtualBox que le disque virtuel n existe plus Dans le menu Fichier de VirtualBox ouvrir le Gestionnaire de m dias puis dans Vonglet Disques durs s lectionner la ligne correspondant au fichier effac pr c d e d un panneau j
481. serv s par les h bergeurs On a vu que le serveur qui h berge un service comme un site web une bo te mail ou IE gt E q x x 2 page 29 un salon de messagerie instantan e avait acc s une grande quantit de donn es L 16 Manach 2010 Frenchelon la DGSE est en 1 re division Bug Brother http bugbrother blog lemonde fr 2010 10 02 frenchelon la dgse est en lere division 17 CNIL 2010 Conservation des donn es de trafic hot spots wi fi cybercaf s em ployeurs quelles obligations http ww cnil fr documentation fiches pratiques fiche article conservation des donnees de trafic 18 CNIL La publicit cibl e en ligne op cit p 4 19 CNIL La publicit cibl e en ligne op cit p 17 20 Arnaud Devillard 2009 Affaire Phorm 5 Bruxelles demande des comptes au Royaume Uni http www Olnet com editorial 501173 affaire phorm bruxelles demande des comptes au royaume uni 3 SURVEILLANCE ET CONTR LE DES COMMUNICATIONS 37 En France c est la Loi pour la Confiance dans l Economie Num rique issue de la directive europ enne 2006 24 EC sur la r tention de donn es qui oblige les h bergeurs de contenus publics a conserver les donn es de nature 4 permettre Videntification de toute personne ayant contribu a la cr ation d un contenu mis en ligne 2 crire sur un blog ou sur un site de m dia participatif envoyer un email poster sur une liste de d
482. si explicite que possible par exemple Dossier o Windows peut crire e ne jamais partager d autres dossiers que celui ci avec le Windows invit mis part le dossier d importation que le paragraphe pr c dent pr conise E A x z page 166 Les recettes r cup rer des fichiers depuis un systeme virtualis et chiffrer une E Quand le projet est termin Quand ce projet est termin il faut faire le m nage mais avant toute chose 1 l uvre r sultante est export e sur le support appropri papier VHS etc en s aidant du paragraphe pr c dent qui explique comment faire sortir des fichiers o du Windows invit 1 2 les fichiers de travail sont si n cessaire archiv s le cas d usage suivant traitant j quelle co ncidence de la question 0000000 Puis vient l heure du grand m nage qui liminera du systeme h te le plus possible de traces du projet achev e l image de disque sale est retir e de VirtualBox et effac e pour de vrai e le dossier d importation est effac pour de vrai e le dossier d exportation est effac pour de vrai apres avoir v rifi une derni re fois que tout ce qui doit tre conserv a bien t archiv ailleurs i page 161 Les recettes effacer des images de disque et effacer des fichiers expliquent BEM comment effectuer ces op rations 9 TRAVAILLER SUR UN DOCUMENT SENSIBLE 73 Encore un nouveau
483. si les deux sommes de contr les calcul es correspondent on peut poursuivre le processus afin de v rifier son authenticit En effet un adversaire pourrait fournir un support d installation corrompu et sa somme de contr le La v rification pr c dente nous permettrait sim plement de constater que le fichier t l charg est bien celui qui tait disponible sur le site web pas qu il est celui qu on esp re avoir Le deuxi me tome explique comment s assurer de l authenticit de l installeur t l charg car l empreinte est sign e avec GnuPG qui utilise la cryptographie asym trique il faudra donc directement se r f rer l outil concernant la v rification d une signature Apr s avoir t l charg le fichier SHAISUMS sign suivre les tapes permettant de v rifier la signature cryptographique du fichier SHA512SUMS 15 4 Pr parer les supports d installation Une fois l image du support d installation choisie et t l charg e et v rifi e il nous reste la transf rer sur un CD un DVD ou une cl USB 5 Les DVD d installation de Debian multi architecture http cdimage debian org debian cd current multi arch iso dvd 5 I 4 q SS SS 108 II OUTILS 15 4 1 Graver le CD ou le DVD d installation Le fichier t l charg est une image ISO c est a dire un format de fichiers que la plupart des logiciels de gravure reconnaissent comme image CD brute En g n ral si on ins re
484. si qu un pseudonyme sont utilis s afin de prot ger son identit un tome 1 ch 2 attaquant potentiel peut essayer d acc der aux traces laiss es sur l ordinateur Afin de prouver que la personne qu il suspecte est bien en possession du compte email en question Pour se pr munir contre cette attaque il est n cessaire de chiffrer son disque dur ou C est d autant plus important si l on utilise un client mail car ce ne sont pas seulement des traces qui seraient laiss es sur le syst me mais galement les mails eux m mes Troisieme tape attaquer Tor Un attaquant capable de surveiller plusieurs points du r seau par exemple la connexion utilis e et h bergeur d email pourrait tre en mesure de d faire l ano nymat fourni par le r seau Tor Rappelons encore une fois que de nombreuses autres attaques sont envisageables contre le r seau Tor et qu il est imp ratif de bien saisir contre quoi il prot ge et contre quoi il ne protege pas oO ae ee rbd pus a mine g ij A a ce 4 10 7 2 Choisir parmi les outils disponibles Plusieurs outils sont disponibles pour communiquer par email le choix se fait donc en fonction des diff rents crit res voqu s pr c demment On peut par exemple pr f rer 10 CHANGER DES MESSAGES 97 ne pas laisser ses emails sur le serveur de notre h bergeur les lire et y r pondre hors ligne ou au contraire ne pas vouloir t l charger de copie de ses emails et y acc
485. sieurs sommes de contr le pr f rer l algorithme le plus dur casser SE ee ae J o V rifier que les deux sommes de contr le sont les m mes c est un peu long et fastidieux mais c est souvent plus simple deux ou en les collant l une en dessous de l autre dans un fichier texte CHAPITRE 2 2 Installer et utiliser un systeme virtualis Cet ensemble de recettes traite de l utilisation d un systeme d exploitation virtuel l int rieur d un syst me GNU Linux Elles sont utilis es par le cas d usage qui parle ____ de travailler sur un document sensible sous Windows page 68 156 II OUTILS 22 1 Installer VirtualBox Cc Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e un quart d heure environ 22 1 1 Principe L objectif de cette recette est d installer VirtualBox un logiciel qui permet de faire tourner un syst me d exploitation appel invit l int rieur d un autre appel h te on appelle cela de la virtualisation Cette technologie ainsi qu une politique D de s curit l utilisant est d crite plus avant dans le cas d usage expliquant comment page 68 travailler sur un document sensible sous Windows 22 1 2 Installer VirtualBox page 120 L tape suivante est donc d installer les paquets virtual
486. sir la fr quence de sauvegarde et la dur e de conservation des donn es sainte 4 146 II OUTILS 4 On peut maintenant retourner la Vue d ensemble Dans le cas ot l on a choisi une sauvegarde automatique d placer le curseur sur la droite pour lancer ee cette derniere sinon cliquer sur Sauvegarder maintenant Une nouvelle fen tre page 91 s ouvre nous demandant une phrase de passe pour chiffrer notre nouvelle sauvegarde une fois la phrase de passe confirm e cliquer sur continuer pour d marrer la sauvegarde 5 On peut maintenant fermer D j Dup Lors de la prochaine sauvegarde si les param tres ne sont pas chang s il suffira de donner la phrase de passe de la sauvegarde pour que cette derni re soit mise jour On peut modifier plus tard tous ces param tres en red marrant D j Dup Lorsque la planification des sauvegardes est activ e et que le temps indiqu depuis la pr c dente sauvegarde est coul D j Dup affiche un message de notification pour nous signifier qu il effectuera la prochaine sauvegarde d s que le support externe sera de nouveau branch sur l ordinateur Et d s que ce sera le cas une fen tre s ouvrira automatiquement pour demander de saisir la phrase de passe n cessaire pour mettre jour la sauvegarde 19 2 2 Restaurer une sauvegarde C Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui e
487. sser sous le tapis en effet les d couvrir sur un ordinateur incite fortement penser que ses propri taires ont r alis l uvre avec les cons quences potentiellement d sagr ables que cela peut avoir Mais ce n est pas tout si l uvre ou ses versions interm diaires sont stock es sur cet ordinateur PDF etc leur date de cr ation est tr s probablement enregistr e dans le Paares 7 amp A 2 2 Ari A page 16 systeme de fichiers et dans des m ta donn es Le fait que cette date soit ant rieure L J Se la publication de l uvre peut ais ment amener des adversaires tirer des conclusions P P g nantes quant sa g n alogie 9 2 2 Contre qui veut on se prot ger T q 7 2 2 page 57 Pour faire simple reprenons les possibilit s d crites dans le cas d usage un nouveau L A Ton d part ordinateur utilis pour r aliser l uvre peut tre d rob plus ou moins fortuitement par de quelconques flics voire par de braves voleurs travaillant leur compte 9 3 Accro Windows La premi re question qui se pose est quel syst me d exploitation utiliser a d pend videmment des logiciels utilis s pour ce projet S ils fonctionnent sous GNU Linux continuons la lecture de ce chapitre pour tudier les options qui s offrent nous S ils fonctionnent exclusivement sous Windows c est dommage Mais nous tudions Peer tout de m me un chemin praticable qui pe
488. ssion de s curit cela ne sert pas a grand chose V rifier un certificat signifie la plupart du temps visualiser son empreinte num rique et la comparer avec une autre source afin de s assurer que celle ci est correcte Utilisez de pr f rence l empreinte num rique de type SHA 1 et non celle de type MD5 cette derni re n tant plus consid r e comme s re Pour l autorit de certification CaCert par exemple on obtiendra une cha ne de ca racteres de ce genre 13 5C EC 36 F4 9C B8 E9 3B 1A B2 70 CD 80 88 46 76 CE 8F 33 Encore reste t il trouver d autres sources permettant d obtenir cette empreinte Il existe quelques techniques pour essayer de s assurer de l authenticit d un certificat 1 Chad R Dougherty 2008 MD5 vulnerable to collision attacks http www kb cert org vuls id 836068 en anglais 15 page 64 L l 122 II OUTILS e si une personne de confiance proximit de vous utilise d j le site ou PAC en question et a d ja v rifi son certificat vous pouvez comparer l empreinte du cer tificat qu elle connait avec celle qui vous est pr sent e Vous pouvez galement la demander par email a des personnes qui vous l enverront de facon chiffr e et sign e pour plus de s curit C est encore mieux si vous avez a votre disposition plusieurs de ces personnes qui auraient v rifi ce certificat en utilisant chacune diff rentes connexions Internet Il faut alors su
489. st disponible sur le site web https guide boum org Dur e 5 minutes pour configurer de quelques minutes plusieurs heures pour la restauration selon la taille de nos sauvegardes On ouvre D j Dup via Applications Outils syst mes Administration gt Sau vegarde L op ration de restauration d marre simplement en cliquant sur le bouton Restaurer Si c est la premi re fois qu on utilise D j Dup par exemple pour restaurer son dossier personnel apr s la perte d un disque dur il nous demande d indiquer le dossier o ont t effectu es les sauvegardes Sinon il utilise le dossier d j configur Apr s un court d lai D j Dup nous demande de choisir avec sa date la sauvegarde restaurer Il faut ensuite indiquer le dossier o seront crits les fichiers issus de la sauvegarde On peut soit restaurer vers l emplacement original ce qui remplace ventuellement des fichiers par la version qui se trouvait dans la sauvegarde soit indiquer un autre dossier Pour finir un dernier cran r sume les param tres de cette restauration Apr s avoir cliqu sur Restaurer une fen tre s ouvre si n cessaire pour demander le mot de passe du superutilisateur par exemple pour restaurer les permissions de certains fichiers Si la sauvegarde a t chiffr e D j Dup nous demande ensuite la phrase de passe Une fois que l on aura cliqu sur Continuer l criture des fichiers en provenance de
490. st le cas une fen tre ainsi qu une ic ne apparaitront dans l espace de notification afin de proposer de proc der aux mises jour Apres avoir cliqu sur l ic ne le systeme nous demande d entrer le mot de passe d administration Une fois cela fait une fen tre s ouvre avec la liste des paquets qui peuvent tre mis jour Ils sont normalement tous s lectionn s Il suffit de cliquer sur le bouton Installer les mises jour ou en anglais Install updates pour lancer la proc dure 23 4 Passage une nouvelle version stable 6 Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org O Dur e une demie journ e une journ e dont un long temps de t l chargement pen dant lequel on peut continuer utiliser son ordinateur et un long temps d installation pendant lequel il vaut mieux ne plus l utiliser Lorsqu une nouvelle version stable de Debian est sortie le projet veille garder jour la pr c dente version stable pendant une dur e d un an Il est donc n cessaire de profiter de cette p riode pour prendre le temps de mettre jour son syst me vers cette nouvelle version C est un processus plus d licat que les mises jour quotidiennes pas n cessairement dans sa r alisation m me mais dans 1 On peut galement effectuer ces petites mises jour certes un peu
491. staller plusieurs paquets en m me temps Une fois qu on a pr par cette installation il ne reste qu la lancer en cliquant sur Appliquer dans la barre d outils Le gestionnaire de paquets ouvre alors une fen tre R sum ot il liste tout ce qu il va faire Apres avoir jet un ceil pour v rifier qu on ne s est pas tromp on clique sur Appliquer Le gestionnaire de paquets t l charge alors les paquets depuis Internet les v rifie puis les installe Il peut arriver que le gestionnaire indique que certains paquets n ont pas pu tre v rifi s cette information n est pas a prendre a la legere Dans un tel cas il vaut mieux annuler le t l chargement cliquer sur Recharger dans le menu principal et recommencer l op ration de s lection des paquets Si l indication appara t de nouveau cela peut tre le fruit d une attaque d une d faillance technique ou de soucis de configuration Mais autant s abstenir d installer de nouveaux paquets avant d avoir identifi la source du probl me Enfin si tout s est bien pass le gestionnaire de paquets affiche une fen tre comme quoi Les modifications ont t appliqu es et on peut donc cliquer sur Fermer C est alors une bonne id e de fermer le gestionnaire de paquets pour viter qu il tombe entre d autres mains 122 II OUTILS 16 4 Comment modifier ses d p ts Debian C Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de
492. steme d exploitation se charge de r aliser a la vol e les op rations de chiffrement et de d chiffrement Ainsi chaque fois que des donn es devront tres lues du disque dur elles seront d chiffr es au passage afin que les logiciels qui en ont besoin puissent y acc der Vinverse chaque fois qu un logiciel demandera crire des donn es elles seront chiffr es avant d atterrir sur le disque dur Pour que ces op rations fonctionnent il est n cessaire que la cl de chiffrement se Brenz r A A 1lic page 11 trouve en m moire vive aussi longtemps que le support aura besoin d tre utilis L A Par ailleurs la cl de chiffrement ne peut pas tre chang e Une fois que cette derni re a servi chiffrer des donn es inscrites sur le disque elle devient indispensable pour pouvoir les relire Pour pouvoir changer la cl il faudrait donc relire puis r crire l int gralit des donn es du disque Pour viter cette op ration p nible la plupart des syst mes utilis s pour chiffrer les supports de stockage utilisent donc une astuce la cl de chiffrement est en fait un grand nombre totalement al atoire qui sera lui m me chiffr l aide d une phrase de passe Cette version chiffr e de la cl de chiffrement est g n ralement inscrite sur le support de stockage au d but du disque en t te des donn es chiffr es Avec ce syst me changer le code d acc s devient simple
493. t et en bas sont affich es les empreintes num riques du certificat wein ef a a meme Il est temps ce moment de mettre en place les techniques d crites pr c demment pour v rifier l authenticit de ce certificat TA D T Si les empreintes correspondent on peut alors cliquer sur Fermer Dans la fen tre pr c dente cocher la case confirmer cette AC pour identifier les sites Web puis cliquer sur le bouton OK 15 4 Trouver l empreinte d un certificat d ja install Cette empreinte peut tre visualis e en cliquant sur dition dans le menu du navi gateur puis Pr f rences Choisir l onglet Avanc puis le sous menu Certificats Enfin cliquer sur Afficher les certificats Vous pourrez ensuite trouver les certificats des sites install s en choisissant l onglet Serveurs puis en s lectionnant le site en question dans la liste et en cliquant sur le bouton Voir La m me op ration est possible pour les autorit s de certification en choisissant plut t l onget Autorit s 2 Wikip dia 2014 Root certificate https fr wikipedia org wiki Root_certificate CHAPITRE Utiliser un clavier virtuel dans Tails CG Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e quelques minutes Nous avons vu dans le premier tome qu un ordinateur peut
494. t Betty dans une lettre que le programme que cette derni re peut t l charger sur son site a pour somme de contr le SHA256 171a0233a4112858db23621dd5ffa31d269cbdb4e75bc206ada58ddab444651f et que le fi chier qu elle a re u a la m me somme de contr le il est quasiment s r que personne n a falsifi le programme en chemin et elle peut ex cuter le programme sans trop de craintes Il existe plusieurs algorithmes pour faire des sommes de contr les Parmi eux e MD5 n est plus s r de nos jours et est proscrire e SHAL est tr s utilis mais est en voie d tre cass Il faut l abandonner e SHA224 SHA256 SHA384 et SHA512 sont pour l instant toujours s rs Nous allons utiliser SHA256 mais les m mes m thodes fonctionnent avec les autres algorithmes 21 1 Obtenir la somme de contr le d un fichier Que l on souhaite v rifier l int grit d un fichier ou permettre son correspondant de le faire il faut calculer la somme de contr le de ce fichier Il est possible d utiliser un outil graphique tout aussi bien qu un terminal pour effec tuer de tels calculs nous n allons cependant pas d tailler l utilisation d un terminal 21 1 1 Installer les logiciels n cessaires Si le paquet nautilus gtkhash n est pas encore install l installer Ce paquet est install par d faut dans Tails 21 1 2 Utiliser GtkHash Pour lancer GtkHash aller dans Applications Accessoires GtkHash Une fe
495. t parier que seuls les sp cialistes de la s curit informatique seront au courant Lorsqu on ne c toie pas de tels tres une fa on de se tenir au courant est de s abonner aux annonces de s curit de Debian Les emails re us par ce biais sont r dig s en anglais mais ils donnent l adresse de la page o on peut trouver leur traduction francaise La difficult ensuite est de les interpr ter 2 La liste de diffusion se nomme debian security announce http lists debian org debian security announce 8 UN NOUVEAU D PART 61 Ceci tant dit m me si le syst me de chiffrement utilis est cass encore faut il que les adversaires le sachent le gendarme de Saint Tropez n en saura rien mais un expert judiciaire si Par ailleurs dans le rayon science fiction rappelons qu il est difficile de conna tre l avance qu ont en la mati re militaires et agences gouvernementales comme la NSA 8 3 6 Angle d attaque cold boot attack 1 Angle d attaque la cold boot attack est d crite dans le chapitre consacr aux traces 2 Moyens n cessaires acc der physiquement l ordinateur pendant qu il est al lum ou teint depuis peu par exemple lors d une perquisition 3 Cr dibilit de l attaque notre connaissance cette attaque n a jamais t utilis e du moins de fa on publique par des autorit s Sa cr dibilit est donc tr s faible Il peut sembler superflu de se
496. t tre int ress par ces donn es A partir de l on peut avoir une vision de quels moyens ils disposent ou en tout cas dans la mesure du possible essayer de se renseigner et en cons quence d finir une politique de s curit adapt e CHAPITRE r D finir une politique de s curit Une cha ne n a que la solidit de son maillon le plus faible Rien ne sert d installer trois normes verrous sur une porte blind e plac e c t d une fr le fen tre d labr e De m me chiffrer une cl USB ne rime pas grand chose si les donn es qui y sont son disque dur Ces exemples nous apprennent quelque chose de telles solutions cibl es ne sont d aucune utilit tant qu elles ne font pas partie d un ensemble de pratiques articul es de fa on coh rente Qui plus est les informations qu on veut prot ger sont le plus souvent en relation avec des pratiques hors du champ des outils num riques C est donc de fa on globale qu il faut valuer les risques et penser les r ponses ad quates De fa on globale mais situ e une situation donn e correspond un ensemble singu lier d enjeux de risques de savoirs faire et donc de possibilit s d action Il n existe pas de solution miracle convenant tout le monde et qui r glerait tous les probl mes d un coup de baguette magique La seule voie praticable c est d en apprendre suff samment pour tre capables d imaginer et de mettre en place une politiqu
497. t clic droit puis Coller Selon notre choix on pourra e lPenregistrer avec la commande Enregistrer du menu Fichier Choisir une nom de fichier clair et le terminer par rev Par exemple Certificat de r vocation pour la cl 2A544427 rev e l imprimer avec la commande Imprimer du menu Fichier 18 4 6 Effectuer la transition vers une nouvelle paire de cl s Avant que notre paire de cl s expire ou lorsque des avanc es dans le domaine de la cryptographie nous obligent a utiliser des cl s plus s res il nous faudra cr er une nouvelle paire de cl s On suivra pour cela les instructions ci dessus 18 5 Exporter une cl publique OpenPGP Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e quelques minutes o eh a g ij 4 138 II OUTILS Le but de cet outil est d exporter une cl OpenPGP utilis e par exemple pour la transmettre a nos contacts afin qu ils puissent nous crire ou pour v rifier des signa tures num riques La proc dure est la m me sous Tails ou avec une Debian chiffr e Ouvrir Mots de passe et cl s depuis le menu Applications Outils systeme Pr f rences 18 5 1 Afficher les cl s disponibles Pour afficher les cl s import es cliquer sur Affichage Tout afficher Choisir Affi chage Par trousseau permet de mieux s y retrouver
498. t es La panique s est d sormais empar e de nous Tout ce qu on fait sur un ordinateur nous trahit jour apr s jour Qui plus est lorsqu on croit tort tre en s curit Mais avant de retourner au pigeon voyageur et a la cache secrete derriere la biblio th que qu on ouvre en tirant sur un faux livre solutions rustiques ne pas oublier totalement ceci dit il y a un peu de marge Pas tant que ca mais tout de m me C est cette marge que ce texte s appliquera dor navant cartographier Dans cette partie c est en expliquant quelques id es tout aussi importantes qu elles sont g n rales que nous brosserons le tableau d une m thodologie sommaire permet tant quiconque de r pondre la question suivante comment d cider d un ensemble de pratiques et d outils ad quats notre situation Nous d crirons ensuite quelques situations types que nous nommons des cas d usage afin d illustrer notre propos CHAPITRE 6 Evaluation des risques Quand on se demande quelles mesures mettre en place pour prot ger des donn es ou des communications num riques on se rend assez vite compte qu en la mati re on avance un peu a l aveuglette D abord parce que la plupart des solutions qu on pourrait mettre en place ont aussi leurs inconv nients parfois elles sont tr s p nibles d ployer entretenir ou utiliser parfois on a le choix entre diverses techniques dont aucune ne r pond com pl
499. t eux aussi acc s leurs entrailles mais ont des modes de d veloppement plus ferm s plus opaques La modification et la redistribution de ces logiciels est au pire interdite et au mieux autoris e formellement mais rendue en pratique tr s p nible Vu que seule l quipe l origine du logiciel va pouvoir participer au d veloppement on peut consid rer que en pratique personne ne lira en d tail leur code source et donc que personne ne v rifiera vraiment leur fonctionnement C est le cas par exemple de TrueCrypt dont le d veloppement s est arr t en mai 2014 Logiciel de chiffrement dont le code source est disponible mais dont le d veloppement est ferm et dont la licence restreint la modification et la redistribution Pour ce qui nous occupe le fait qu un logiciel soit open source doit plut t tre consid r comme un argument commercial que comme un gage de confiance Sauf que la distinction entre logiciels libres et open source est de plus en plus floue des employ s d IBM et compagnie crivent de grosses parties des logiciels libres les plus importants et on ne va pas toujours regarder de pr s ce qu ils crivent Par exemple voici les statistiques des employeurs des gens qui d veloppent le noyau Linux qui est libre exprim es en nombre de lignes de code source modifi es sur une courte p riode de temps 1 Au sujet des portes d rob es voir l article Wikip dia 2014 Porte d rob
500. t grit de ses donn es sur des pro grammes auxquels on ne peut accorder sa confiance que les yeux ferm s releve de la plus pure illusion de s curit Et installer d autres logiciels pr tendant sur leur emballage veiller cette s curit notre place alors que leur fonctionnement n est pas plus transparent ne peut pas r soudre ce probl me 4 1 3 L avantage d avoir la recette les logiciels libres La confiance plus grande qu on peut mettre dans un syst me libre comme GNU Linux est principalement li e au fait de disposer de la recette qui permet de le fabriquer Gardons en t te quand m me qu il n y a rien de magique les logiciels libres ne jetent aucun sort de protection sur nos ordinateurs Toutefois GNU Linux offre davantage de possibilit s pour rendre un peu plus s r l usage des ordinateurs notamment en permettant de configurer assez finement le syst me Ca implique trop souvent des savoirs faire relativement sp cialis s mais au moins c est possible Par ailleurs le mode de production des logiciels libres est peu compatible avec l in troduction de portes d rob es c est un mode de production collectif plut t ouvert et transparent auquel participent des gens assez vari s il n est donc pas facile d y mettre en toute discr tion des cadeaux l attention de personnes mal intentionn es Il faut toutefois se m fier des logiciels qualifi s d open source Ces derniers donnen
501. t il est donc n cessaire d installer le paquet Debian deja dup pour pouvoir s en servir 19 2 1 Effectuer une sauvegarde Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e 15 minutes environ pour la configuration de quelques minutes plusieurs heures pour la sauvegarde selon la taille de ce qu on veut copier On ouvre D j Dup via Applications Outils syst mes Administration gt Sauve garder L interface est simplissime deux normes boutons nous accueillent l un pour res taurer des fichiers d une sauvegarde pr c dente l autre pour Afficher seulement les param tres de sauvegarde Avant que toute sauvegarde soit possible il faut donc Afficher ces param tres 1 Dans le menu de gauche cliquer sur Stockage pour choisir l emplacement de la sauvegarde ainsi que le nom du nouveau dossier o elle sera enregistr e 2 Dans Dossiers on trouve la liste des dossiers inclure dans la sauvegarde gauche et celle des dossiers exclure droite Laisser le Dossier personnel dans la fen tre de gauche est suffisant dans la plupart des cas Dans la liste de droite on peut rajouter les dossiers contenant des fichiers souvent volumineux comme Vid os ou Musique 3 Si l on d sire effectuer ces sauvegardes automatiquement cliquer sur Planifi cation pour choi
502. t permettre des utilisateurs dont le fournisseur d acc s Internet filtre les connexions Tor de se connecter tout de m me au r seau 7 3 Quelques limites de Tor Comme tout outil de ce genre Tor peut facilement donner une fausse impression de s curit et faire oublier qu il r pond un probl me pr cis S il r pond effectivement plut t bien au besoin de dissimuler son adresse IP et au besoin de masquer avec quels serveurs on est en communication il ne r sout pas par contre un tas d autres probl mes 3 Nos Oignons 2013 Qu est ce que c est https nos oignons net propos index fr html 4 Il est en revanche possible d obtenir des adresses de bridges en visitant le site web https bridges torproject org en anglais 7 CACHER LES PARTIES PRENANTES DE LA COMMUNICATION LE ROUTAGE EN OIGNON 73 Comme pr cis en anglais sur le site de Tor https www torproject org il y a trois choses fondamentales savoir avant de commencer 1 Tor ne prot ge pas si l on ne l utilise pas correctement 2 M me si l on configure et que l on utilise Tor correctement il y a encore des attaques potentielles qui peuvent compromettre la protection fournie par Tor 3 Aucun syst me d anonymisation n est parfait ce jour et Tor ne fait pas ex ception il serait imprudent de se reposer uniquement sur le r seau Tor si l on a besoin d un anonymat strict D taillons 4 pr sent quelques unes de ce
503. t riel un autre pour tre d taill es dans cet ouvrage mais peuvent en g n ral tre trouv es sur le site du constructeur 3 Les images multi architectures d installation par le r seau sur le site de Debian http cdimage debian org debian cd current multi arch iso cd 4 Pour les vieux Macs Book G4 par exemple il est n cessaire d utiliser l image dont le nom se termine par powerpc netinst iso que l on trouvera sur le m me site http cdimage debian org debian cd current powerpc iso cd A noter il n est pas possible de cr er une cl USB partir de cette image il vous faudra donc utiliser un DVD 15 INSTALLER UN SYSTEME CHIFFR 107 De la m me mani re que pour l installation par le r seau on choisira le DVD cor respondant notre architecture Le DVD d installation multi architecture devrait convenir pour la plupart des ordinateurs Seul le premier DVD est n cessaire pour r aliser l installation Le nom du fichier a t l charger devrait ressembler debian 7 4 0 i386 amd64 source DVD 1 iso 15 2 3 Utiliser une cl USB Le syst me d installation de Debian permet de transf rer le contenu du CD d instal lation par le r seau ou celui du DVD sur une cl USB d di e cela On peut ainsi installer Debian sur un ordinateur n ayant pas de lecteur CD ou DVD Transf rer le DVD demande une cl d une capacit de plus de 5 Go Le CD d instal lation par le r seau n cessite qu
504. t somme toute assez limit s a priori point n est besoin d tre Superman pour avoir acc s pendant quelques minutes la pi ce o r side l ordinateur Cependant l aussi dans la situation d crite pour ce cas d usage nous sommes en pleine science fiction Mais la r alit a parfois tendance d passer la fiction La seule protection praticable contre cette attaque est de stocker les programmes de d marrage dont ce petit dossier non chiffr boot sur un support ex terne comme une cl USB qui sera conserv en per manence dans un endroit plus s r que l ordinateur C est l integrite de ces donn es et non leur confiden tialit qui est alors prot ger Cette pratique exige pas mal de comp tences et de rigueur nous ne la d velopperons pas dans ce guide De telles pratiques mettent la barre plus haut mais il reste un mais une fois obtenu l acc s physique Vordinateur si boot n est pas accessible et donc pas modifiable il reste possible d effectuer le m me type d attaque sur le micrologiciel de la machine C est l g rement plus difficile car la fa on de faire d pend du mod le d ordinateur utilis mais c est possible Nous ne connaissons aucune facon praticable de s en prot 8 3 9 Angle d attaque les logiciels malveillants page 231 Nous avons appris dans un chapitre pr c dent que des logiciels install s 4 notre insu sur un ordinateur peuvent nous d
505. t de voir que cl publique et cl priv e taient en fait deux nombres choisis de telle fa on que l un permette de d chiffrer ce que l autre a chiffr Rien n emp che donc de chiffrer quelque chose avec la cl priv e C est alors la cl publique qui va permettre de le d chiffrer Betty envoie alors le message accompagn de sa signature a Alice 1 La factorisation de ce nombre de 768 bits en 2010 a n cessit 20 10 op rations Les chercheurs qui l ont r alis e estiment que le calcul aurait pris environ 2000 ans sur un AMD Opteron a 2 2 GHz ce qui correspond 4 plusieurs centaines d ann es sur un processeur dernier cri Thorsten et al 2010 Factorization of a 768 bit RSA modulus http eprint iacr org 2010 006 pdf en anglais 2 Un bit est un chiffre binaire 0 ou 1 Pour en savoir plus voir Wikip dia 2014 Bit https fr wikipedia org wiki Bit 3 Agence nationale de la s curit des syst mes d information 2010 Mecanismes cryptographiques Regles et recommandations concernant le choix et le dimensionnement des m canismes cryptogra phiques http www ssi gouv fr IMG pdf RGS B 1 pdf 4 S A Danilov I A Popovyan 2010 Factorization of RSA 180 http eprint iacr org 2010 270 pdf en anglais 5 Nicole Perlroth Jeff Larson et Scott Shane 2013 N S A Able to Foil Basic Sa feguards of Privacy on Web The New York Times http www nytimes com 2013 09 06 us nsa foils much internet encryption
506. t donc l autre plate couture En termes de temps et de difficult de mise en uvre en revanche la comparaison est plus mitig e 9 4 2 Le beurre ou l argent du beurre Un syst me live est en effet amn sique c est certes son principal atout mais cette propri t est aussi source d inconv nients Par exemple dans le cas o notre syst me live pr f r ne fournit pas un logiciel donn qui est pourtant indispensable au projet il faut au choix e installer le logiciel dans le syst me live au d but de chaque session de travail e cr er une cl live incluant notre logiciel dans son volume persistant e faire du lobbying aupr s des auteurs du syst me live pour qu ils y ajoutent le logiciel souhait L utilisation d un syst me live est la solution la plus s re et dans ce cas la moins difficile 4 mettre en place Auquel cas allons tudier une politique de s curit bas e la dessus A noter qu il est possible d installer une Debian dans VirtualBox mais cette solution est r serv e aux utilisateurs avertis et ne sera donc pas document e ici lt 68 II CHOISIR DES R PONSES ADAPTEES 9 5 Travailler sur un document sensible sur un systeme live FF q N ya 2 page 651 Apr s avoir pr sent le contexte dans le d but de ce cas d usage et avoir d cid L aN A a A E A A he os O ee sil O a d utiliser un systeme live reste mettre cette solution en place et tudier
507. t ici laisser le choix par d faut Cliquer une derni re fois sur Suivant Une notification nous indique que la configuration est termin e il ne nous reste plus qu a cliquer sur Enregistrer Claws Mail est d sormais pr t r ceptionner les messages Si vous souhaitez des maintenant ajouter un compte suppl mentaire continuez la lecture Sinon vous pou vez passer directement au chapitre suivant consacr la configuration avanc e de Claws Mail 17 3 2 Avec l outil de cr ation de compte Pour ajouter un nouveau compte Claws Mail s lectionner Cr ation d un nouveau compte depuis le menu Configuration de Claws Mail Une fen tre Configuration d un nouveau compte s ouvre alors Sur la gauche est affi ch e une liste de pr f rences Dans la partie G n ral de Compte remplir les informa tions n cessaires au fonctionnement du compte Dans les Informations personnelles fournir le Nom complet qui peut tre la partie situ e avant le de l adresse email ainsi que l Adresse email Dans la partie Configuration de serveurs choisir le Pro tocole pour la r ception du courrier crire les adresses du Serveur de r ception et du Serveur d envoi SMTP Les adresses de ces serveurs ainsi que divers d tails de configuration se trouvent facilement sur les sites web des h bergeurs d email en ques tion Enfin fournir le Nom d utilisateur et le Mot de passe associ Passer ensuite a la partie Envoyer des Pr f rence
508. t ils chanter propos de la r cup ration de vos donn es Il est cependant improbable qu ils mettent en ceuvre de grands moyens pour les retrouver sur le disque dur de l ordinateur 8 3 D finir une politique de s curit Posez vous maintenant en vous mettant dans la peau de l adversaire les questions Mn EE q 2 ye page 51 expos es dans notre m thodologie L 8 3 1 Premi re tape quand ouvrir les yeux suffit pour voir 1 Angle d attaque le plus praticable brancher le disque dur sur un autre ordina teur examiner son contenu y trouver tous vos petits secrets 2 Moyens n cessaires un autre ordinateur dont le gendarme de Saint Tropez se servira pour trouver le plus gros de vos secrets un expert judiciaire lui saurait aussi retrouver les fichiers que vous croyiez avoir effac s Nostradamus en d duirait la date de lev e de vos semis 3 Cr dibilit de l attaque grande page 37 Il faut donc adapter vos pratiques Contre ce type d attaque chiffrer le disque dur est simple Les tapes pour y arriver seraient alors 8 UN NOUVEAU D PART 59 1 Lancer un systeme live afin d effectuer les op rations suivantes dans un contexte relativement str e sauvegarder temporairement sur un disque externe ou une cl USB chiffr s les fichiers qui doivent survivre au grand nettoyage e jecter d monter et d brancher ce support de stockage externe e effacer pour de vrai l int gr
509. t un ensemble de mots de passe qui seront stock s dans une m me base de donn es KeePassX et chiffr s par la phrase de passe associ e E Si on choisit d utiliser KeePassX dans Tails il faudra au pr alable activer la tome 1 14 51 persistance et activer l option Donn es personnelles Il faut tout d abord cr er une nouvelle base de donn es de mots de passe et l enregis trer pour l utiliser lors de futures sessions de travail Pour cr er une nouvelle base de donn es de mots de passe choisir Fichier puis Nouvelle base de donn es Une fen tre apparait et demande de d finir la cl maitre Il s agit de la phrase de passe servant a d chiffrer la base de donn e de mots de passe Sp cifier une phrase de passe dans la boite de texte Mot de passe puis cliquer sur OK Taper cette phrase de passe de nouveau dans la fen tre suivante puis cliquer sur OK Pour stocker la base de donn es de mots de passe nouvellement cr e afin de l utiliser lors de prochaines sessions de travail choisir Fichier puis Enregistrer la base de don n es Taper keepassx dans le champ Nom Si l on utilise Tails s lectionner Persistent dans la liste des dossiers du menu d roulant de gauche Sinon garder le choix par d faut Cliquer sur Enregistrer 20 2 4 G n rer et enregistrer un mot de passe al atoire KeePassX permet galement de g n rer des mots de passe al atoires plus robustes que des mots de passe dont on pourrait se souveni
510. ta donn es est enregistr e par le systeme de fichiers le nom du fichier la date et l heure de cr ation et de modification et souvent bien d autres choses Ces traces sont laiss es sur l ordinateur ce qui peut d ja tre un probleme en soi mais celles ci ne sont la plupart du temps pas inscrites dans le fichier En revanche de nombreux formats de fichiers conservent galement des m ta donn es l int rieur du fichier Elles seront donc diffus es lors d une ventuelle copie sur une cl USB ou lors de l envoi d un email ou d une publication en ligne Ces informations pourront tre connues de quiconque aura acc s au fichier Les m ta donn es enregistr es d pendent des formats et des logiciels utilis s La plu part des fichiers audio permettent d y enregistrer le titre du morceau et l interpr te Les traitements de texte ou les PDFs enregistreront un nom d auteur la date et Vheure de cr ation et parfois m me l historique complet des derni res modifications 3 et donc potentiellement des informations que l on pensait avoir supprim La palme revient probablement aux formats d images comme TIFF ou JPEG ces fi chiers de photos cr s par un appareil num rique ou un t l phone portable contiennent des m ta donn es au format EXIF Ce dernier peut contenir la marque le modele et le num ro de s rie de l appareil utilis mais aussi la date l heure et parfois les coordon n es g ograph
511. te pouvoir se faire envoyer des messages chiffr s asym triquement doit disposer de sa propre paire de cl s 6 2 2 Une affaire de nombres premiers Dans la r alit la cl publique et la cl priv e sont des nombres Ce qu une cl permet de chiffrer l autre permet de le d chiffrer aan I en Cle publique Message en clair en ne Message chiffre Cl privee Mais comment est il possible que la cl publique permette de chiffrer un message sans permettre de le d chiffrer La cryptographie asym trique repose en fait sur des pro bl mes math matiques extr mement difficiles r soudre L algorithme de chiffrement RSA par exemple repose sur la factorisation de nombres entiers tant donn le nombre 12 il est simple de le d composer en 2 x 2 x 3 De m me 111 est gal 3 x 37 En revanche comment d composer le nombre suivant compos de 232 chiffres 1230186684530117755130494958384962720772853569595334792197322452151726400 5072636575187452021997864693899564749427740638459251925573263034537315482 6850791702612214291346167042921431160222124047927473779408066535141959745 9856902143413 Le r sultat est le produit de deux nombres premiers compos s chacun de 116 chiffres Ce probl me de factorisation d entiers est tudi depuis plus de 2000 ans par des ma th maticiens pourtant aucune solution pratique n a encore t trouv e la meilleure solution connue est d essayer avec tous les no
512. te autorit est en mesure de mandater une cohorte de p nibles hommes en armes et uniforme au petit matin et au domicile des personnes soupconn es Une telle inopportune intrusion d bouchera au minimum de facon tout aussi facheuse qu vidente sur la saisie de tout mat riel informatique qui pourra y tre d couvert Ce mat riel sera ensuite remis par les intrus 4 un autre homme de main des autorit s o qui pratiquera un genre d autopsie visant mettre au jour les donn es stock es sur page 32 ce mat riel ou l ayant t 10 4 M thode La m thode la plus simple l heure actuelle est 3 q z page 137 1 cr er une cl USB ou un disque dur externe chiffr E 2 copier les fichiers archiver vers ce p riph rique a gt page 127 3 supprimer et craser le contenu des fichiers de travail E l Une fois ces op rations effectu es la cl ou le disque dur pourra tre entrepos dans un autre lieu que l ordinateur utilis couramment On pourrait envisager l utilisation de CD ou de DVD pour leur faible co t mais Vheure actuelle il est plus complexe de chiffrer correctement des donn es sur ces supports que sur des cl s USB qui sont d sormais monnaie courante et faciles se procurer 10 5 Quelle phrase de passe y q 2 Y z page 911 Vu que les fichiers seront archiv s sous forme chiffr e il sera n cessaire de choisir une pas souvent u
513. temps de lire les messages qu il affiche il est parfois possible d appuyer sur la touche Pause souvent en haut droite du clavier pour geler l cran R appuyer sur n importe quelle touche peut d geler l cran 13 3 2 Modifier la s quence de d marrage Une fois dans le micrologiciel l cran est souvent bleu ou noir et plein de menus En g n ral une zone en bas ou droite de l cran explique comment naviguer entre les options comment changer d onglet Elle est souvent en anglais aide se dit help touche se dit key s lectionner se dit select valeur value et modifier modify Les touches utiliser pour se d placer sont g n ralement d crites aussi par exemple t gt Move en anglais d placer se dit move Il s agit des fl ches du clavier et et ou et gt Parfois la touche Tab est utile aussi gt Primary Master 105MB Enter Un cran de BIOS L id e c est de fouiller dedans jusqu trouver quelque chose qui contient boot et qui ressemble par exemple e First Boot Device e Boot Order e Boot Management e Boot Sequence S il n y a pas tenter quelque chose comme Advanced BIOS Features sur les Award BIOS ou Advanced features sur les AMIBIOS Une fois la bonne entr e trouv e il s agit de trouver comment on la modifie Par exemple Enter Select ou Value L objectif est alors de mettre le CD DVD ou USB en
514. tente de maintenir une liste des constructeurs et de ces mod les d imprimantes indiscrets http www eff org issues printers en anglais Re eee T all oon s T l A 28 I COMPRENDRE Par ailleurs d autres types de traces li es l usure de la machine sont aussi laiss es sur les documents et ce avec toutes les imprimantes Car avec l ge les t tes d impression se d calent de l g res erreurs apparaissent les pieces s usent et tout cela constitue au fur et mesure une signature propre l imprimante Tout comme la balistique permet d identifier une arme feu partir d une balle il est possible d utiliser ces d fauts pour identifier une imprimante a partir d une page qui en est sortie Pour se prot ger en partie de cela il est int ressant de savoir que les d tails d im pression ne r sistent pas a la photocopie r p t e photocopier la page imprim e puis photocopier la photocopie obtenue suffit faire dispara tre de telles signatures Par contre on en laissera s rement d autres les photocopieuses pr sentant des d fauts et parfois des signatures st ganographiques similaires ceux des imprimantes Bref on tourne en rond et le probl me devient surtout de choisir quelles traces on veut laisser 3 4 2 La m moire encore Certaines imprimantes sont suffisamment volu es pour tre plus proches d un v ritable ordinateur que d un tampon encreur Elles peuvent poser des
515. tenu de ce disque se trouvera face des donn es ind chiffrables C est ce qu on se propose de faire dans cette recette 15 1 Limites Attention Cette simple installation chiffr e ne r gle pas tous les probl mes de confi dentialit d un coup de baguette magique Elle ne prot ge les donn es qu certaines conditions 15 1 1 Limites d un syst me chiffr Nous recommandons chaudement les lectures pr alables suivantes e le chapitre concernant le chiffrement et ses limites tel syst me et les attaques possibles contre lui Sans cela l installation d un syst me chiffr peut procurer un sentiment erron de s curit source de bien des probl mes 15 1 2 Limites d une nouvelle installation Lors de l installation d un nouveau systeme on part de z ro Il n y a aucun moyen simple de v rifier que le CD d installation qu on utilise est fiable et ne contient pas 1 Pour chiffrer le disque dur lors de l installation d Ubuntu il est n cessaire d utiliser le CD nomm alternate installer http www ubuntu com download ubuntu alternative download alternate 15 i 4 5 en 106 II OUTILS par exemple de logiciels malveillants On ne pourra ventuellement s en rendre compte que par la suite et peut tre qu il sera trop tard 15 1 3 Limites dans la prise en charge du mat riel Utiliser un systeme d exploitation libre comme Debian a un d savantage les fabri qua
516. teurs branch s un switch lit l adresse indiqu e sur le paquet pour ne l envoyer qu la bonne prise de destination L quivalent du switch des r seaux filaires s appelle un Point d acc s dans le monde sans fil Chaque point d acces poss de un nom qui est diffus aux environs c est la liste des r seaux Wi Fi qu affiche notre logiciel r seau Pour reprendre notre comparaison le switch est un peu comme la factrice de quartier qui va dispatcher le courrier dans tout le quartier 4 chaque destinataire Pour cela le switch se souvient de la liste des cartes r seau identifi es par leur adresse mat rielle o 4 gt ee nes branch es sur chacune de ses prises ir re A l Tout comme l acc s physique une machine donne beaucoup de possibilit s pour r cup rer les informations qui s y trouvent avoir acc s physiquement un r seau permet sauf d fenses particuli res de se faire passer pour l une des autres machines de ce r seau Cela rend possible de collecter beaucoup d informations sur les com munications qui y circulent en mettant en place une attaque de type homme du milieu L acc s physique au r seau peut se faire en branchant un c ble un switch mais aussi en y p n trant via un point d acc s Wi Fi a ee q l 11 Wikip dia 2014 HP IB https fr wikipedia org wiki HP IB 12 Vincl4 et junior0 2013 L attaque de l homme du milieu MITM http fr opencl
517. tilis e Et une phrase de passe rarement utilis e a toutes les chances d tre oubli e rendant impossible l acc s aux donn es Face ce probl me on peut envisager quelques pistes 10 5 1 crire la phrase de passe quelque part Toute la difficult tant de savoir o l crire ranger ce document pour pouvoir le retrouver sans pour autant que d autres puissent le retrouver et l identifier comme une phrase de passe 10 5 2 Utiliser la m me phrase de passe que pour son syst me quotidien POTT q x x page 1051 La phrase de passe de son syst me quotidien dans le cas o il est chiffr est une L 4 2 oN OTAN phrase qu on tape r guli rement et dont on a toutes les chances de se souvenir Par contre e si on est forc de r v ler la phrase de passe commune l acces l archive devient galement possible 10 ARCHIVER UN PROJET ACHEV 79 e il est n cessaire d avoir tr s fortement confiance dans les ordinateurs avec lequel on accedera aux archives Sinon on peut se faire piquer son insu la phrase de passe qui pourra ensuite tre utilis e pour lire non seulement les informations archiv es mais aussi toutes les donn es stock es sur l ordinateur 10 5 3 Partager le secret plusieurs Il est possible de partager un secret plusieurs Cela impose de r unir plusieurs per sonnes afin de pouvoir acc der au contenu archive C est peser a peut compl
518. tion Dans l index qui s ouvre chercher la section Premier pas avec Tails et cliquer sur la page Avertissement a propos de la persistance 14 5 1 Cr er et configurer un volume persistant L objectif de cette recette est de cr er et de configurer un volume persistant sur une cl USB ou une carte SD de Tails Pour ce faire on va suivre la documentation officielle de Tails qui est disponible a partir de n importe quel cl USB carte SD ou DVD de Tails m me sans connexion a Internet D marrer Tails Sur le bureau cliquer sur l ic ne Documentation de Tails Dans le menu a droite cliquer sur Documentation Dans l index qui s ouvre chercher la section Premier pas avec Tails et cliquer sur la page Persistance et enfin Cr er et configurer un volume persistant Suivre cette page de documentation Si Pon a d j un volume persistant et que l on souhaite simplement modifier ses param tres aller directement la section Options du volume persistant 14 5 2 Activer et utiliser un volume persistant L objectif de cette recette est d activer le volume persistant nouvellement cr sur une cl USB ou une carte SD de Tails Pour ce faire on va suivre la documentation officielle de Tails qui est disponible partir de n importe quel cl USB carte SD ou DVD de Tails m me sans connexion a Internet D marrer Tails Sur le bureau cliquer sur l ic ne Documentation de Tails Dans le menu a droite cliquer sur Docum
519. tion pose question quant aux cons quences de Vutilisation de ces outils sur nos intimit s La pression sociale pour utiliser les m dias sociaux est tr s forte dans certains mi lieux lorsque des groupes les utilisent pour la majorit de leurs communications des messages interpersonnels aux invitations en passant par la publication d informa tions ne pas participer aux m dias sociaux c est tre marginalis Le succ s de ces sites repose sur l effet de r seau plus il y a de personnes qui les utilisent plus il est important d y tre pr sent Mais dans le m me temps ces m dias sociaux permettent aussi de s vader de ces pressions de groupes et d assumer ou d exp rimenter plus facilement certaines parts de sa personnalit qui ne sont pas forc ment tol r es par ces groupes La centralisation de toutes les activit s sur une seule plateforme rend extr mement difficile l usage de pseudonymes diff rents pour diff rentes identit s contextuelles En effet en mettant toutes les informations au m me endroit le risque de recoupement de diff rentes identit s contextuelles est maximis Nombre de m dias sociaux demandent une identit unique celle correspondant l tat civil d une personne physique C est l une diff rence cl par rapport un mod le o un individu peut avoir plusieurs blogs avec des tons et des contenus diff rents chacun sous un pseudonyme diff rent De plus l instar
520. titul Volumes e cliquer sur le bouton Cr er une partition en dessous e choisir FAT comme Type et firmware comme nom e cliquer sur le bouton Cr er On peut maintenant fermer l Utilitaire de disque utiliser le Gestionnaire d archives pour extraire le contenu de l archive t l charg e pr c demment sur l espace de la cl USB s appelant firmware et d monter cette derni re 15 5 L installation proprement dite re Pour installer la Debian chiffr e depuis le support d installation CD DVD ou cl page 93 USB il faut d marrer sur celui ci en suivant la recette correspondante A partir de l l installation proprement dite peut commencer pr voir du temps devant soi et quelques mots crois s car l ordinateur pourra travailler longtemps sans surveillance particuli re V rifier dans le cas d un CD d installation par le r seau que le cable reliant l ordi nateur au r seau est bien branch Et s il s agit d un ordinateur portable v rifier que le c ble d alimentation est branch car il n y a pas de notification de batterie faible durant l installation 7 Le nom du r pertoire doit vraiment tre firmware sinon cela ne marchera pas 15 INSTALLER UN SYSTEME CHIFFR 111 Le programme d installation de Debian dispose de sa propre documentation En cas de doute a la lecture des tapes d crites par la suite cela peut valoir le coup d y jeter un oeil Par ailleurs pour
521. tratives gonfler des fiches de paie quand on en a marre de se voir refuser des locations appart apr s appart e tenir jour la comptabilit familiale e fabriquer des textes musiques ou vid os terroristes plus pr cisemment mena ant selon la d finition europ enne du terrorisme de causer des destructions massives une infrastructure susceptible de produire des pertes conomiques consid rables dans le but de contraindre ind ment des pouvoirs publics accomplir ou s abstenir d accomplir un acte quelconque par exemple des employ s de France T l com qui lors d une lutte menaceraient de mettre hors d tat de nuire le syst me de facturation et d ainsi permettre aux usagers de t l phoner gratuitement 8 2 valuer les risques 8 2 1 Que veut on prot ger Appliquons au cas pr sent les cat gories d finies lorsque nous parlions d valuation des risques 1 EUR lex 2002 D cision cadre 2002 475 JAI du Conseil de l Union Europ enne relative la lutte contre le terrorisme http eur lex europa eu LexUriServ LexUriServ do uri CELEX 32002F0475 FR NOT 0 T 4 58 II CHOISIR DES R PONSES ADAPTEES e confidentialit viter qu un il ind sirable ne tombe trop ais ment sur les infor mations stock es dans l ordinateur e int grit viter que ces informations ne soient modifi es notre insu e accessibilit
522. ts import s Par cons quent on doit nouveau contr ler ces certificats apr s chaque extinction Il est alors conseill de noter les empreintes SHA1 quelque part pour les avoir toujours sous la main Dans le cas o une utilisation temporaire suffit taper sur la touche Echap pour fermer la fen tre puis cliquer sur Confirmer l exception de s curit Si vous souhaitez installer le certificat de facon permanente cliquer sur Votr puis sur l onglet D tails et enfin sur le bouton Exporter Enregistrer le certificat sur votre disque dur en ajoutant pem au nom du fichier ce qui facilitera pour la suite son I m 124 II OUTILS importation Si vous utilisez Tails enregistrer ce fichier dans un dossier de la partition persistante vous pourrez ainsi le r importer en toute confiance lors de vos prochaines sessions Fermer ensuite cette fen tre puis cliquer sur Annuler Il n est pas encore temps d accepter le certificat Dans la fen tre du navigateur cliquer sur dition puis Pr f rences Choisissez l onglet Avanc puis le sous menu Certificats Enfin cliquez sur Afficher les certificats Choisir Vonglet Serveurs et cliquer ensuite sur Importer puis s lectionner le fichier enregistr l tape pr c dente et confirmer S lectionner ensuite le certificat du site qui est apparu dans la liste des certificats connus de votre navigateur puis cliquer sur le bouton Modifier la confiance Cliquer sur Avoir confiance
523. ture du site d h bergement de fichiers megaupload com par le D partement de la Justice des tats Unis Pour rendre inaccessibles les services de ce site le FBI a notamment demand a Verisign l entreprise qui g re les com de modifier ses tables de correspondance afin que cette adresse pointe non plus vers les serveurs de Megaupload mais vers un serveur du FBI indiquant que le site avait t saisi 53 Cependant une des premi res censures connues par suspension d un nom de domaine s est produite en 2007 au niveau d un registrar GoDaddy le plus important au monde Dans le cadre d un conflit entre un de ses clients seclists org et un autre site myspace com GoDaddy prit le parti de ce dernier et modifia sa base de donn es rendant du jour au lendemain et sans avertir personne le site injoignable 54 sauf pour les personnes connaissant son adresse IP par c ur Enfin si modifier les annuaires globaux n est la port e que de quelques Etats et soci t s nombreux sont ceux qui peuvent simplement falsifier leur propre version de Vannuaire Ainsi chaque fournisseur d acc s Internet FAI a en g n ral ses propres serveurs de noms de domaines qui sont utilis s par d faut par ses abonn s D but 2013 le FAI Free a utilis un r solveur int gr la freebox pour mettre en uvre son nouveau service de blocage de publicit s 55 moins de d sactiver ce service ou de configurer son ordinateur pour ne plus util
524. u droite cliquer sur Documentation Dans l index qui s ouvre chercher la section Chiffrement et vie priv e et cliquer sur la page D chiffrer et v rifier du texte Suivre cette page de documentation 18 8 V rifier une signature num rique OpenPGP Dur e quelques minutes L objectif de cet outil est de v rifier l autenthenticite d un fichier disposant d une signature num rique OpenPGP ARA AN gi Be ale ee fe ele as 4 page 93 AAA al gi Oo 09 O en w A MA eek a Le i Long 0 Q G Li O O 5 ct Lx Lee re eS page 127 Ka zen 4 FORTS net wee ae AN E 7 a Sy en 140 II OUTILS Les auteurs de ce guide n ont pour l instant pas trouv d outil graphique permettant d effectuer des v rifications de signature de facon s rieuse qui soit inclus a la fois dans Tails et dans la version actuelle de Debian JA q tome 1 ch 11 Nous allons donc ouvrir un terminal pour faire ces v rifications On va commencer la commande en tapant sans faire Entr e Es gpg verify Ajoutez un espace la suite puis nous allons cliquer sur l ic ne du fichier de signature souvent suffix de sig ou asc et la faire glisser dans le terminal Apr s avoir rel ch le bouton ce qui est affich doit ressembler gpg verify home amnesia tails i386 0 20 iso sig Attraper alors l ic ne du fichier v rif
525. u on n a pas malencontreusement laiss la 114 II OUTILS Apres le d marrage d un certain nombre de programmes un cran apparait avec le nom de la machine et le nom du compte utilisateur entr pr cedemment Il faut s lectionner ce dernier puis entrer le mot de passe associ Voila un nouveau systeme Debian chiffr pr t a tre utilis Pour qui n en aurait jamais utilis se balader dedans peut tre une bonne id e pour s y familiariser En haut de l cran le menu Applications permet d acc der aux nombreux logiciels d j install s Les pages d aide contenant de nombreux conseils et astuces sont accessibles travers le menu Applications Accessoires Aide 15 6 Quelques pistes pour continuer page 143 Il peut maintenant tre utile d apprendre sauvegarder des donn es et en effacer a a pour de vrai page 169 affectant les logiciels sont d couverts r gulierement et il est important d installer les Be corrections au fur et mesure de leur disponibilit 15 7 Un peu de documentation sur Debian et GNU Linux Voici quelques r f rences de documentations sur Debian et GNU Linux e Le guide de r f rence officiel de Debian 1 e La page d accueil de la documentation officielle d utilisation de Debian e La Formation Debian GNU Linux une excellente auto formation sur Debian en francais e Le cahier de l administrateur Debian On peut trouver beaucoup de document
526. u texte avec une cl publique Suivre cette page de documentation 18 7 D chiffrer des emails Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e quelques minutes Apr s avoir choisi une m thode de gestion de ses emails vu comment cr er et les d chiffrer L encore plusieurs m thodes existent en fonction des outils utilis s 18 7 1 D chiffrer ses emails dans Claws Mail Pour d chiffrer un email dans le logiciel Claws Mail Cliquer sur cet email dans Claws Mail Une fen tre Saisissez la phrase de passe s ouvre dans laquelle il faudra taper la phrase de passe qui permet d utiliser la cl priv e pour laquelle le message a t chiffr Si l on ne poss de pas la cl priv e pour laquelle le message a t chiffr en cliquant dessus le texte s affichera dans sa forme chiffr e sans nous demander de phrase de passe 18 7 2 D chiffrer ses emails pour un webmail avec Tails Nous allons uniquement expliquer comment d chiffrer ses emails pour un webmail avec Tails De la m me mani re que pour chiffrer un email il faut viter de le d chiffrer dans le fen tre du webmail Des attaques JavaScript sont susceptibles d acc der au texte depuis le navigateur web utilis Une fois Tails d marr afficher le bureau et cliquer sur l ic ne Documentation de Tails Dans le men
527. ue les logiciels libres sont dignes d une confiance bien plus grande que les logiciels dits propri taires nous allons voir pourquoi 4 1 1 La m taphore du gateau Pour comprendre la diff rence entre logiciels libres et propri taires on utilise souvent la m taphore du g teau Pour faire un g teau il faut une recette il s agit d une liste d instructions a suivre des ingr dients a utiliser et d un proc d de transformation effectuer De la m me facon la recette d un logiciel est appel e code source Elle est crite dans un langage fait pour tre compr hensible par des tres humains Cette recette est ensuite transform e en un code compr hensible par le processeur un peu comme la cuisson d un g teau nous donne ensuite la possibilit de le manger Les logiciels propri taires ne sont disponibles que pr ts consommer comme un g teau industriel sans sa recette Il est donc tr s difficile de s assurer de ses ingr dients c est faisable mais le processus est long et compliqu Au demeurant relire une s rie de plusieurs millions d additions de soustractions de lectures et d critures en m moire pour en reconstituer le but et le fonctionnement est loin d tre la premi re chose que l on souhaite faire sur un ordinateur Les logiciels libres au contraire livrent la recette pour quiconque veut comprendre ou modifier le fonctionnement du programme Il est donc plus facile de savoir ce
528. uer sur Signer la cl Choisir avec quelle pr caution on a v rifi la cl par exemple superficiellement si on a v rifi empreinte par t l phone ou tr s s rieusement si on conna t bien Alice et qu elle nous a donn sa cl ou son empreinte en main propre En bas de la fen tre cliquer sur Les autres ne peuvent pas voir cette signature si l on souhaite cacher les liens entre notre identit et Alice Cliquer ensuite sur Signer et saisir la phrase de passe de notre cl priv e dans la boite de dialogue qui s affiche OpenPGP sait maintenant qu on a confiance en la cl d Alice 18 4 Cr er et maintenir une paire de cl s Cc Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e 15 minutes une heure Nous allons d tailler dans cet outil la cr ation et une partie de la gestion d une paire de cl s de chiffrement Il est bon de rappeler quelques notions de base toujours D avoir l esprit Tout d abord le fait que toutes les cl s de chiffrement n utilisent pas page 61 le m me algorithme Nous avons parl du chiffrement RSA mais il en existe plusieurs autres Et si des cl s de chiffrement utilisent en effet le m me algorithme elles ne sont pas pour autant de m me taille De plus certaines ont des dates d expirations laquelle elles p rim
529. uet Debian au milieu d autres conomiseurs et de fonds d cran 14 Spiegel 2013 Interactive Graphic The NSA s Spy Catalog http ww spiegel de international world a 941262 html en anglais 15 security resist ca 2014 Keystroke Loggers amp Backdoors http security resist ca keylog shtml en anglais 3 MALWARE MOUCHARDS ET AUTRES ESPIONS 27 Leur capacit enregistrer touche par touche ce qui est tap sur un clavier contour nant ainsi tout dispositif de chiffrement permet d avoir directement acc s aux phrases mots de passe et autres donn es sensibles entr es lorsqu il y a un enregistreur de frappe sur un clavier Les keyloggers mat riels sont des dispositifs reli s au clavier ou a l ordinateur Ils peuvent ressembler des adaptateurs 4 des cartes d extension l int rieur de l ordi nateur PCI ou mini PCI et m me s int grer l int rieur du clavier 16 Ils sont donc difficiles rep rer si on ne les recherche pas sp cifiquement Pour un clavier sans fil il n y a m me pas besoin de keylogger pour r cup rer les touches entr es il suffit de capter les ondes mises par le clavier pour communiquer avec le r cepteur puis de casser le chiffrement utilis qui est assez faible dans la plupart des cas 7 A moindre distance il est aussi toujours possible d enregistrer et de d coder les ondes lectromagn tiques mises par les claviers avec un fil y compris ceux qui sont i
530. ui m me encapsul dans le protocole r seau 1 2 2 Le protocole IP Il est int ressant de remarquer que contrairement aux protocoles physiques et ap plicatifs les protocoles r seau sont relativement universels Les protocoles physiques voluent au gr des avanc es technologiques filaires ou sans fil Les protocoles appli catifs voluent avec le d veloppement de nouvelles applications web email chat etc Entre ces deux niveaux pour savoir par o passer et comment acheminer nos paquets travers les millions de r seaux d Internet tout passe depuis les ann es 80 par le protocole IP Internet Protocol 1 BASES SUR LES R SEAUX 13 Paquets Dans le protocole IP les informations transmettre sont d coup es et emball es dans des paquets sur lesquels sont crits notamment l adresse d exp dition et celle de destination Cette tiquette sur laquelle sont crites les informations utiles l acheminement des paquets l aller comme au retour est appel e en t te du paquet Les paquets d informations sont ensuite transmis ind pendamment les uns des autres parfois en utilisant diff rents chemins puis r assembl s une fois arriv s destination C est pourquoi un autre protocole appel TCP pour Transmission Control Protocol est couramment utilis en compl ment du protocole IP pour s assurer que tous les paquets sont arriv s et qu ils sont rassembl s dans le bon ordre Cela dit il existe
531. un adversaire ayant acc s au r seau local que vous utilisez pourra toujours faire transiter le trafic r seau par son ordinateur utilisant pour cela des techniques plus sp cifiques 8 Pour se pr munir contre cette attaque il faut que Betty ait une facon de v rifier que la cl publique qu elle utilise est bien celle d Alice Si la cl publique n est pas une information confidentielle il faut donc toutefois s assurer de son authenticit avant de l utiliser Parfois la facon la plus simple pour Betty est de rencontrer Alice afin de v rifier que la cl publique dont elle dispose est bien la sienne Peu importe que Carole 6 Wikip dia 2014 Attaque de l homme du milieu https fr wikipedia org wiki Attaque de l homme du milieu 7 reflets info 2011 OpSyria Bluecoat au coeur d attaque MITM de grande envergure http reflets info opsyria bluecoat au coeur dattaque mitm de grand envergure 8 Wikipedia 2014 ARP poisoning https fr wikipedia org wiki ARP_poisoning 6 CACHER LE CONTENU DES COMMUNICATIONS LA CRYPTOGRAPHIE ASYM TRIQUE 65 soit pr sente au moment de cette rencontre seule une v rification de cl publique aura lieu et aucun secret ne va tre chang part que Betty et Alice souhaitent communiquer mais qa vu sa position Carole peut le savoir d autres facons Une fois cette v rification faite du chiffrement de bout bout pourra tre mis en place entre Alice et Betty
532. un clic 14 3 En pratique De fa on plus concr te il faut en premier lieu choisir l h bergeur du fichier Les crit res pr sent s auparavant aident effectuer ce choix Il est tr s important de choisir un h bergeur en toute connaissance de cause car notre anonymat peut d pendre en partie de ce choix Il faut maintenant h berger le fichier proprement parler La m thode exacte est diff rente selon l h bergeur mais le principe reste le m me On va tout d abord ouvrir R notre navigateur web et l utiliser de fa on discr te Ensuite on va se rendre sur le site 1 page 79 ropa JE dE de l h bergeur et trouver la page o d poser notre fichier upload en anglais L il faudra suivre la m thode sp cifique l h bergeur afin de lui transmettre notre fichier En g n ral cette m thode est facile suivre et m me si elle varie relativement similaire d un h bergeur l autre Une fois l upload termin l adresse web laquelle se trouve le fichier est affich e Il est parfois n cessaire d entrer une adresse email afin de recevoir ce lien web le cas 2 ie ee ul d usage sur les changes par email et le chapitre sur les identit s contextuelles vont page 95 L nous permettre de d cider quelle adresse email fournir le cas ch ant p 120 II OUTILS Une fois le lien obtenu on peut le diffuser de la maniere qui nous convient le mieux Les personne
533. un terme marketing qui d finit une volution du web une poque o la massification de l acces l Internet en fait un march juteux Nombre d entreprises ne peuvent plus se permettre de l ignorer que leur domaine d activit soit les m dias la communication ou le commerce Il a bien fallu qu elles adaptent leur business model ce nouveau march L arriv e de ces nouveaux acteurs sur un web jusque l compos principalement d uni versitaires et de passionn s a transform la conception des sites web et de ce fait Putilisation qu en ont les internautes Au del de ces formulations marketing nous allons tenter de voir plus pr cis ment comment ces volutions se manifestent aux internautes et les changements topologiques qu elles impliquent 4 1 Des applications Internet riches L une de ces volutions porte sur l interactivit des sites web Ce ne sont plus seule ment des pages statiques l image de celles d un livre ou d un magazine En utilisant des technologies pr existantes au web 2 0 comme le JavaScript et le Flash les sites web ressemblent de plus en plus a des applications telles que celles que l on trouve sur nos ordinateurs personnels des sites web dynamiques r pondant aux sollicitations de linternaute De plus la plupart des logiciels habituellement install s sur un ordinateur personnel sont transpos s en version web et deviennent accessibles depuis un navigateur we
534. une partition chiffr e Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e 10 minutes quelques minutes plusieurs heures pour remplir l espace libre selon la taille de la partition 18 6 1 Cr er la partition chiffr e Sur le sch ma des Volumes cliquer sur Libre En dessous cliquer sur Cr er une par tition une fen tre s ouvre Dans la section Type choisir FAT Entrer un nom pour la partition en lettres sans espaces ni caract res sp ciaux sinon a risque fort de ne pas marcher et cocher la case Chiffrer le p riph rique correspondant Valider en cliquant sur Cr er Une fen tre s ouvre alors qui demande la phrase de passe Il faut en choisir une bonne et la taper dans les deux cases correspondantes avant de valider en cliquant sur Cr er 18 6 2 Remplir la partition de donn es al atoires Pour finir on va remplir l espace vide du disque dur de donn es al atoires Cela permet de cacher l endroit o vont se trouver nos propres donn es et complique donc la vie des personnes qui voudraient tenter de les d chiffrer Sur le sch ma des Volumes cliquer sur la partition FAT en dessous de Chiffr puis gauche sous le sch ma cliquer sur Monter le volume Ouvrir ensuite le dossier en le s lectionnant dans la liste situ e en dessous de Poste de 18 PARTITIONN
535. une ressource sur Internet Saisie de domaines Il est possible de d tourner le trafic qui devait aller vers un certain nom d h te en an a modifiant l annuaire utilis pour passer du nom de domaine l adresse IP c est dire page 211 le DNS EP abs Cela peut se faire diff rents niveaux R solveur du FAI TLDfr d Alice sait o sont les fr Box d Alice adresse IP exemple fr nsZone sait o sont les serveurs de sa zone exemple fr 98 201 5 98 Les tapes clefs d une requ te DNS Pour des raisons d efficacit et de robustesse le Domain Name Systeme est g r par diverses organisations en un systeme d information hi rarchis et distribu La base de donn es globale du DNS est r partie entre plusieurs serveurs de noms chacun de ces serveurs ne maintenant qu une partie de la base Ainsi tous les domaines finissant par fr rel vent du serveur de nom de 1 AFNIC une association cr e cet effet en 1997 De m me c est une Soci t Anonyme tasunienne cot e en bourse Verisign qui a re u la d l gation pour caract riser l emplacement l adresse IP de tous les domaines finissant par com ou l emplacement de l organisation qui Verisign a elle m me d l gu une zone a g rer On peut lire la liste des organisations et entreprises qui sont charg es de g rer les noms dits de premier niveau TLD Top Level Domain comme com fr org etc sur
536. ur la cl USB ou la carte SD sur lequel on a install un syst me live Tails persistant on peut dire adieu ses pr cieux messages sauf si on a pens en faire une sauvegarde 10 7 Echanger des emails en cachant son identit L objectif sera ici de cacher un adversaire que nous sommes l un des interlocuteurs d un change d emails Il s agit peut tre d un change d emails avec un dissident politique recherch ou bien avec une amie perdue de vue 10 7 1 D finir une politique de s curit Notre souci principal va tre de masquer les noms des personnes changeant par email ou du moins de rendre leur identification aussi difficile que possible 96 II CHOISIR DES R PONSES ADAPTEES Premiere tape demander aux facteurs Notre fournisseur d emails est un noeud du r seau par lequel transitera obligatoirement notre correspondance num rique Un adversaire s y int ressant aurait donc de bonnes raisons de jeter un coup d ceil cet endroit d autant plus que cela peut lui tre tr s ais o De la m me mani re les interm diaires entre Betty et Alice dont leurs FAI respec page 30 tifs n auront qu regarder au bon endroit pour lire les en t tes mail qui peuvent livrer nombre d informations dont chez certains h bergeurs les adresses IP des cor respondantes Une telle attaque est plus que probable si le contenu des emails ou les protagonistes des changes attirent l attention d autor
537. ur anonymat Rappeler et expliciter les conditions de confi dentialit et d anonymat est alors indispensable De plus on ne sait jamais vraiment qui nous contacte il faudra alors faire attention ce que l on raconte si l on ne veut pas se compromettre CHAPITRE 1 0 Echanger des messages 10 1 Contexte On souhaite maintenant changer des messages avec d autres personnes que ce soit pour souhaiter une bonne ann e mamie ou pour travailler sur un document sensible On ne se soucie pas de la synchronicit de l change l inverse d une conversation t l phonique ou d un dialogue en messagerie instantan e on parle dans ce cas de communication asynchrone Un autre cas d usage sera consacr au dialogue synchrone Concentrons nous plut t our l instant sur le courrier lectronique ou email P gt que 10 2 Evaluer les risques 10 2 1 Que veut on prot ger Lorsqu un courrier lectronique est envoy diverses informations sont potentiellement d voil es nos adversaires Lesquelles Quand on se pose cette question c est bien souvent le contenu du message qui vient a l esprit en premier lieu Si tous les messages que nous changeons ne sont pas n cessairement top secrets certains m ritent plus de discr tion que d autres afin d viter que les d tails de nos relations intimes soient tal s ou encore car le contenu d un message peut nous attirer des ennuis allant de la perte d un bou
538. ur l ordinateur Cela vite de laisser ind fi niment tous nos emails aux h bergeurs d emails majeurs mais aussi de d vorer trop d espace disque chez les petits h bergeurs d emails Le fait que les emails finissent leur course sur le syst me du destinataire peut permettre galement plus de prise sur leur gestion concernant la suppression effective d emails qui pourraient s av rer tre critiques par exemple Enfin on laisse moins de donn es des entreprises qui n ont que faire de la confidentialit de la correspondance Attention cependant nos emails transitent toujours par notre h bergeur qui pourra y acc der et ventuellement en faire une copie avant qu on ne les rapatrie 10 6 2 Inconv nients Pour utiliser un client mail il va falloir configurer un logiciel de mail pour qu il sache quelle boite relever quel serveur se connecter et quel protocole utiliser Il est plus compliqu de consulter de cette mani re ses emails depuis un ordinateur qui n est pas le n tre chez des amis ou au travail par exemple moins d utiliser le client mail d un syst me live persistant comme celui de Tails install sur une cl USB ou une carte SD De plus dans le cas o le protocole POP est utilis le support de stockage sur lequel se trouve notre client mail sera le seul sur lequel sera stock e notre correspondance En cas de perte du support sur lequel celle ci est stock e que ce soit le disque dur d un ordinate
539. ur le web avec Tor C Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e 5 10 minutes L objectif de cet outil est de naviguer sur le web de fa on anonyme en utilisant Tor Il n y a pas beaucoup de diff rence avec l utilisation d un navigateur web classique qu on considerera comme un pr requis La documentation de Tails sur NetworkMa nager vous expliquera comment connecter votre ordinateur Internet 13 1 Lancer le navigateur Si vous utilisez le syst me live Tails le logiciel Tor est automatiquement d marr une fois la connexion Internet tablie et il suffit alors de lancer le navigateur web Sinon il vous faudra utiliser le Tor Browser Bundle apres l avoir install Attention lorsqu on utilise le Tor Browser Bundle seul le navigateur lanc par start tor browser fournit l anonymat procur par Tor 13 2 Quelques remarques sur la navigation Une fois le navigateur lanc on peut s en servir presque comme d un navigateur ordinaire Cependant certains d tails sont noter Tout d abord il faut avoir bien compris contre quoi Tor prot ge mais surtout contre Les sites web consult s peuvent savoir que l on se connecte via le r seau Tor Certains comme Wikip dia utilisent cela pour bloquer l dition anonyme D autres comme Google demander
540. ur un projet plus ambitieux tel qu un blog ou un documentaire vid o Type d organisation beaucoup de sites proposent d heberger des documents gratuitement Nombre d entre eux sont des services commerciaux qui trouvent associations ou des collectifs qui h bergent galement des projets sous certaines conditions e Conditions d hebergement si le document ne pla t pas l h bergeur rien ne l emp che de le supprimer sans m me nous avertir Sa charte que Pon doit accepter lors de h bergement de notre document peut souvent nous donner une idee de ce que l h bergeur tol re ou non R sistance aux pressions l tat peut lui aussi vouloir emp cher que notre document reste en ligne Il lui suffit dans bien des cas d intimider l h bergeur pour que ce dernier supprime notre document En effet selon h bergeur choisi celui ci peut supporter plus ou moins la pression certains attendront qu un recours a la justice soit effectu tandis que d autres supprimeront notre document des le premier email un peu mena ant e Suppression du document inversement on peut vouloir un moment sup primer notre document Or l h bergement de documents tant un service que l on remet dans les mains d autres personnes plus ou moins de confiance on ne peut pas avoir la garantie que nos fichiers seront r ellement effac s Mieux conna tre Vh bergeur peut dans certains cas nous donner plus de garanties
541. urer que les actions et les commandes les plus courantes sont fonctionnelles Le cas ch ant il pourrait tre n cessaire de diagnostiquer et de r soudre les probl mes Il vaut certainement mieux le faire d s la prise de contact avec le nouveau syst me afin de pouvoir repartir pour deux ans avec un syst me So fonctionnel Les probl mes les plus courants sont souvent d crits avec les astuces page 114 pour les r soudre dans diverses documentations sur Debian et GNU Linux Rappelons galement qu il existe des notes de publication officielles du projet De bian 5 http ww debian org releases wheezy i386 release notes index fr html CHAPITRE 2 4 Nettoyer les m tadonn es d un document C Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e quelques minutes L objectif de cet outil est d effacer les m tadonn es pr sentes dans un document avant sa publication Ces m tadonn es ne sont pas les m mes dans tous les formats de documents certaines sont plus difficiles voire impossibles nettoyer que d autres Cependant la plupart des formats utilis s pour changer des documents termin s que ce soient des textes des images du son ou de la vid o sont nettoyables L outil qu on va utiliser ici est le Metadata Anonymisation Toolkit MAT qui permet de n
542. uris e Une fois l effacement termin une fen tre L ecrasement a r ussi s ouvre pr cisant que L espace disque disponible sur la partition ou le p riph rique a t cras avec succ s CHAPITRE Partitionner et chiffrer un disque dur Nous allons maintenant aborder le chiffrement d un p riph rique afin d y stocker des donn es de mani re chiffr e Une fois un disque dur chiffr les donn es qu il contient ne sont accessibles que lors qu on a tap une phrase de passe permettant de le d chiffrer Pour plus d informations l dessus consultez la partie sur la cryptographie Une fois la phrase de passe saisie le systeme a acc s aux donn es du disque dur en question il ne faut donc pas taper cette phrase de passe n importe o mais seulement sur les ordinateurs et les systemes dans lesquels on a sufisamment confiance Il peut s agir d un disque dur externe d une cl USB d une carte SD ou encore d une partie seulement d un de ces p riph riques On peut en effet d couper un disque dur ou une cl USB en plusieurs morceaux ind pendants qu on appelle des partitions Ci dessous on parlera de disque dur sachant que sauf mention contraire le terme vaut aussi bien pour un disque dur externe une cl USB ou une carte SD Si on veut avoir un endroit sur le disque dur o mettre des donn es qui ne seront pas confidentielles mais auxquelles on pourra acc der sur des ordinateurs non dignes de c
543. urnit g n ralement un paquet contenant les cl s de ce d p t et permettant de le mettre ais ment jour Il est souvent nomm partir du nom du d p t suivi du mot keyring Par exemple pour deb torproject org il s agit de deb torproject org keyring Il faut donc prendre le temps d installer ce paquet s il est disponible 5 wll CHAPITRE Effacer des donn es pour de vrai On a vu dans la premi re partie que lorsqu on efface un fichier son contenu n est pas vraiment supprim Cependant il existe des programmes qui permettent d effacer des fichiers et leur contenu ou du moins qui tentent de le faire avec les limites expliqu es auparavant 17 1 Un peu de th orie Pour la plupart des prochaines recettes nous allons utiliser la suite de logiciels secure delete 17 1 1 La m thode de Gutmann La documentation du paquet secure delete inspir e d une publication de Peter Gut mann publi e en 1996 nous dit en anglais Le processus d effacement fonctionne comme suit 1 la procedure d crasement en mode s curis remplace le contenu du fichier 38 reprises Apres chaque passage le cache du disque est vide 2 le fichier est tronqu de sorte qu un attaquant ne sache pas quels blocs du disque appartenaient au fichier 3 le fichier est renomm de sorte qu un attaquant ne puisse tirer aucune conclu ston sur le contenu du fichier supprim a partir de son nom 4 finaleme
544. us tard si l on rencontre des probl mes Un micro quoi Ces microcodes sont des programmes qui ont la particularit de s ex cuter sur de E RR AR soe re T des puces lectroniques l int rieur du p riph rique et non sur le processeur de page 10 L ER parties m caniques d un disque dur ou le fonctionnement du systeme de radio d une carte Wi Fi On ne se rend pas forc ment compte qu ils existent car la plupart des microcodes sont livr s directement avec le mat riel Mais pour d autres p riph riques le systeme d exploitation doit envoyer le microcode un composant lors de son initialisation Ceux qui sont libres sont livr s avec le programme d installation de Debian Malheu page 29 reusement la plupart des microcodes ne sont pas libres Nous devons donc mettre nous m mes disposition du programme d installation tout microcode non libre n cessaire au fonctionnement de l ordinateur c est typiquement le cas pour certaines cartes Wi Fi M me si c est hautement improbable on peut envisager que le microcode propri taire d une carte Wi Fi nous espionne notre insu sauf que sans microcode elle ne fonctionnera tout simplement pas C est encore une fois une histoire de compromis 110 II OUTILS Obtenir les microcodes suppl mentaires Une bonne partie des microcodes non libres sont n anmoins redistribu s par le projet Debian Ils sont livr s dans une archive nomm e firmware t
545. ut par exemple v rifier en passant la souris dessus le comportement du curseur de souris entre syst me h te et invit Au premier clic dans la fen tre le logiciel explique qu il va capturer la souris la premi re touche tap e il explique qu il capture le clavier Il faut bien prendre en compte ce qu il indique c est ce qui permet de savoir comment par la suite sortir de la machine virtuelle Enfin tout ca est expliqu par le logiciel Il nous reste donc a installer le Windows virtuel 22 2 3 Installer Windows Le syst me virtuel d marre sur le lecteur CD DVD qu on lui a indiqu et commence Vinstallation On ne rentrera pas dans les d tails du processus On peut toutefois pr ciser e Au moment de formater la partition mieux vaut choisir Formater avec NTFS rapide e Ne pas mettre d informations personnelles lorsque le Nom et l Organisation sont demand s Mettre par exemple un simple point dans les cases permet la plupart du temps de continuer l installation e Lors de la configuration du r seau un message d erreur peut tre affich C est bon signe nous avons d sactiv le r seau de la machine virtuelle 22 2 4 D marrer sur le systeme invit Une fois l installation termin e teindre la machine virtuelle Retourner dans la fe n tre principale de VirtualBox S lectionner la machine virtuelle qu on vient d instal ler et cliquer sur l ic ne Configuration Dans la liste de
546. ut simplement en transformant en nombre tout ce qui ne l est pas en utilisant un code d fini auparavant Pour du texte ca peut par exemple tre A 65 B 66 etc Une fois ce code d fini on peut num riser notre information Avec le code pr c dent on peut par exemple transformer GUIDE en 71 85 73 44 69 Cette s rie de chiffres permet de repr senter les lettres qui composent notre mot Mais le processus de num risation perdra toujours de l information Pour cet exemple on perd au passage la sp cificit de l criture manuscrite alors que pourtant une rature des lettres h sitantes constituent tout autant de l information Lorsque des choses passent dans le tamis du monde num rique on perd forc ment toujours des morceaux au passage Au del des donn es les op rations que le processeur doit effectuer ses instructions sont galement cod es sous forme de nombres binaires Un programme est donc une s rie d instructions manipul es comme n importe quelles autres donn es A Vint rieur de l ordinateur tous ces nombres sont eux m mes repr sent s a l aide d tats lectriques ab sence de courant ou pr sence de courant Il y a donc deux possibilit s ces fameux 0 et 1 que l on peut croi ser un peu partout C est pourquoi on parle de bi naire Et c est uniquement l aide d un paquet de fils et de plusieurs milliards de transistors des interrupteurs pas si diff rents de ceux pour allumer
547. utils n cessite de s entendre sur quelques points e L ordre dans lequel chaque recette est d velopp e est d une importance capitale Sauf mention contraire il est simplement inimaginable de sauter une tape pour ensuite revenir en arri re le r sultat si jamais ces op rations d sordonn es en donnaient un pourrait tre soit diff rent de celui escompt soit tout bonnement catastrophique e Dans le m me ordre d id e les actions indiqu es doivent tre effectu es a la lettre Omettre une option ouvrir le mauvais dossier peut avoir pour effet de totalement modifier le sens ou les effets d une recette e De mani re g n rale la bonne compr hension de ces recettes demande d y accorder un minimum d attention et de vivacit d esprit On ne peut pas tout r expliquer a chaque fois il est implicite d avoir auparavant suivi et int gr les explications des cas d usage dont ces recettes ne sont que la derni re tape Enfin l exemplaire que vous avez entre les mains n est pas forc ment jour aux vues des versions actuelles des diff rents outils impliqu s La version en ligne https guide boum org du Guide d Autod fense Num rique a des chances d tre plus jour CHAPITRE 1 1 Utiliser un terminal Cc Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org
548. uv est d utiliser e des empreintes donn es dans ce guide qui ont t v rifi es sur Internet 4 partir de nombreuses connexions diff rentes 4 plusieurs moments diff rents mais impliquent de faire confiance a la source de ce guide e si possible les empreintes qui se trouvent sur d autres ordinateurs sur lesquels les d p ts en question auraient t install s pr c demment si l on peut y avoir acc s chez des proches par exemple Ce protocole est vraiment loin d tre stir Il met cependant des batons dans les roues de l ventuelle personne qui souhaiterait nous faire installer des logiciels malveillants 16 CHOISIR V RIFIER ET INSTALLER UN LOGICIEL 123 Quelques empreintes v rifi es par nos soins Deux des empreintes de d p ts parmi les plus utilis s sont reproduites ci dessous Dep t Date Empreinte deb multimedia org octobre 1999 1D7F C53F 80F8 52C1 88F4 EDOB 07DC 563D 1F41 B907 deb torproject org septembre 2009 A3C4 FOF9 79CA A22C DBA8 F512 EE8C BC9E 886D DD89 Comparer les empreintes avec celles pr sentes sur d autres ordinateurs Si on peut avoir acces des ordinateurs sur lesquels les d p ts que l on souhaite utiliser ont d j t install s on pourra recouper les empreintes donn es dans ce guide avec celles pr sentes sur ces ordinateurs Pour ce faire sur des ordinateurs vari s ouvrir un Terminal administrateur partir du menu Applications Accessoires Taper alors
549. uvais endroit Ca peut prendre du temps et c est co teux Dans la situation d crite ici une telle attaque rel ve de la pure science fiction a Vheure actuelle rares sont les organisations susceptibles de mettre en ceuvre des moyens aussi cons quents mis part divers services sp ciaux anti terroristes es pionnage industriel Pour se pr munir d une telle attaque il convient de e choisir une longue phrase de passe qui rend impossible la m morisation a la vol e par un observateur humain e v rifier autour de soi la recherche d ventuels yeux humains ou lectroniques ind sirables avant de taper sa phrase de passe 8 3 8 Angle d attaque la partie non chiffr e et le micrologiciel r T page 91 mi 62 II CHOISIR DES R PONSES ADAPTEES ment le petit logiciel qui nous demande au d marrage la phrase de passe de chiffre ment du reste des donn es est lui stock en clair sur la partie du disque dur qu on a nomme boot Un attaquant ayant acc s l ordinateur peut ais ment en quelques page 23 minutes modifier ce logiciel y installer un keylogger qui conservera la phrase de passe pour venir la chercher plus tard ou tout simplement l enverra par le r seau Si cette attaque est mont e l avance l adversaire pourra d chiffrer le disque dur quand il se saisira de l ordinateur lors d une perquisition par exemple Les moyens n cessaires pour cette attaque son
550. var storage rapports publics 144000007 0000 pdf 3 SURVEILLANCE ET CONTR LE DES COMMUNICATIONS 47 type est techniquement possible mais peu r aliste Par contre des agences comme la NSA sont capables de mener ce type d attaque au moins l chelle de leur pays la NSA dispose d une puissance de calcul qui peut tre suffisante et des fuites indiquent qu elle couterait 75 du trafic Internet des Etats Unis d Am rique 8 3 4 4 Piratage du client L ordinateur de l internaute lui aussi peut tre une cible De la m me facon que dans un serveur un attaquant peut s introduire par effraction dans un ordinateur person nel Des erreurs de programmation ou d autres failles dans le systeme d exploitation ou dans les applications install es permettent parfois des adversaires d effectuer un tel piratage l gal ou ill gal depuis Internet sans avoir d acc s physique la ma chine De plus l intrusion peut tre facilit e par de mauvaises pratiques de la part des utilisateurs comme ouvrir une pi ce jointe frauduleuse ou installer des programmes trouv s au hasard sur le web Un groupe de hackers allemands renomm le Chaos Computer Club a mis la main sur un mouchard utilis par la police allemande qui lui permettait d espionner et de contr ler un ordinateur distance De tels mouchards peuvent tre install s distance et sont aussi autoris s par la loi fran aise dans le cadre d une enqu te su
551. verrons d abord comment effacer tout le contenu d un disque puis comment rendre le contenu d une partition chiffr e inaccessible rapidement Re Tr T el 130 II OUTILS 17 6 Effacer tout le contenu d un disque Cc Les logiciels voluent c est pourquoi il est vivement conseill d utiliser la version la plus jour de cet outil qui est disponible sur le site web https guide boum org Dur e 5 minutes de pr paration puis plusieurs heures d attente en fonction de la taille du disque Pour effacer un volume complet disque ou partition on va utiliser la commande shred de fa on ce qu elle recouvre la totalit des donn es trois fois avec des don n es al atoires Cette commande permet donc en plus de l effacement des fichiers de recouvrir l espace effac de telle mani re qu il devient quasiment impossible de retrouver ce qu il contenait auparavant Pour recouvrir le contenu d un disque il est n cessaire de ne pas tre en train de Putiliser s il contient le syst me d exploitation habituellement utilis il faut donc Ben page 99 mettre le disque dur dans un autre ordinateur ou utiliser un syst me live shred tant bs a un outil standard n importe quel syst me live devrait faire l affaire La commande est tres simple Elle exige seulement de connaitre l emplacement du p riph rique son chemin que l on veut effacer puis de faire preuve de patience car le processus prend p
552. voir besoin de s changer pr alablement un secret partag Cependant elle ne r sout pas une question importante comment s assurer que je poss de bien la v ritable cl publique de mon destinataire et que ce n est pas un 64 I COMPRENDRE usurpateur qui m a fourni une fausse cl publique pour pouvoir intercepter mes mes sages tout en me donnant une fausse impression de s curit 6 4 1 L attaque de l homme du milieu Reprenons exemple d Alice qui souhaite recevoir un message chiffr de la part de Betty en pr sence d une adversaire Carole qui peut avoir acc s aux messages chan g s e Alice commence par envoyer sa cl publique Betty Carole peut la lire e Betty chiffre son message avec la cl publique qu elle a re ue puis l envoie Alice Carole qui ne possede pas la cl priv e d Alice mais seulement sa cl publique ne peut pas d chiffrer le message Alice elle peut d chiffrer le message l aide de la cl priv e qu elle garde pr cieu sement Cependant si Carole est en mesure de modifier les changes entre Alice et Betty les choses se corsent e Lorsqu Alice envoie sa cl publique Betty Carole l intercepte et renvoie Betty en lieu et place de celle d Alice une cl publique dont elle d tient la cl priv e correspondante Betty chiffre son message avec la cl publique qu elle a re ue puis l envoie Alice Mais la cl qu elle a re ue ap
553. vu qu il suffira de remplacer uniquement cet en t te par un nouveau 5 1 4 R sum et limites La cryptographie permet donc de bien prot ger ses donn es en chiffrant tout ou partie de son disque dur comme de tout autre support de stockage cl USB CD tome 2 ch 6 etc ou de ses communications De plus les ordinateurs modernes sont suffisamment puissants pour que nous puissions faire du chiffrement une routine plut t que de le r server a des circonstances sp ciales ou a des informations particulierement sensibles sinon cela identifie tout de suite ces derni res comme importantes alors qu il vaut mieux les dissoudre dans la masse EI EN ER SES g On peut ainsi mettre en place une phrase de passe pour chiffrer tout un disque dur et ou donner certaines personnes une partie chiffr e avec leur propre phrase de passe Il est galement possible de chiffrer individuellement tel ou tel fichier ou un email ou une pi ce jointe avec une phrase de passe encore diff rente Cependant bien qu il soit un outil puissant et essentiel pour la s curit des infor mations le chiffrement a ses limites en particulier lorsqu il n est pas utilis correctement Comme expliqu auparavant lorsqu on acc de a des donn es chiffr es il est n cessaire de garder deux choses en t te Premi rement une fois les donn es d chiffr s ces derni res se trouvent au minimum dans la m moire vive Deuxi ment tant qu
554. ware une fois celui ci charg et se cacher eux m mes des autres programmes Mais ils peuvent galement utiliser le micro la webcam ou d autres p riph riques de l ordinateur Il existe un vrai mar ch sp cialis o l on peut acheter de tels programmes personnalis s pour diff rents objectifs Ces logiciels peuvent concurrir de nombreuses t ches obtenir des num ros de cartes bancaires des mots de passe de compte PayPal envoyer des pourriels ou participer attaquer un serveur en le saturant de demandes Mais ils servent tout aussi bien espionner des organisations ou des individus sp cifiques 1 Pour donner un exemple venu des tats Unis le FBI a crit un logiciel nomm CIPAV pour Computer and Internet Protocol Address Verifier Ce dernier a permis entre autres d identifier un adolescent de quinze ans ayant envoy par email des menaces d attentat contre un lyc e de Washington 1 Plus r cemment la loi HADOPI exige des internautes qu ils s curisent leur connexion sous peine d tre responsables des usages illicites qui en seraient faits Pour cela l autorit charg e de l application de la loi eut la bonne id e de proposer aux internautes d installer volontairement un logiciel espion qui enregistrerait un tas de donn es concernant l usage de leur connexion ainsi que celles permettant d iden tifier les machines qui l ont utilis e 2 Personne ne sait combien d ordinat
555. ymat suivre donc 10 legalis 2013 L adresse IP preuve insuffisante de l auteur d une suppression de donn es sur Wikipedia http www legalis net spip php page breves article amp id article 3885 14 I COMPRENDRE IB ne permettant de connecter qu un nombre restreint d ordinateurs faisaient d j fonctionner des r seaux locauz 1 3 1 Le r seau local structure de base de l Internet Quand on branche plusieurs ordinateurs entre eux dans un m me batiment maison cole universit bureau etc on parle de r seau local ou LAN pour Local Area Network Les ordinateurs peuvent alors communiquer entre eux par exemple pour changer des fichiers partager une imprimante ou jouer en r seau On peut comparer les r seaux locaux aux r seaux t l phoniques internes de certaines organisations entreprise universit Ces r seaux locaux sont souvent compos s de diff rents appareils qui communiquent entre eux switch 7 f point d acc s WiFi ordinateur connect en WiFi smartphone ESS connect en WiFi Sch ma d un r seau local 1 3 2 Le switch Pour relier les machines constituant un r seau local on les connecte en g n ral cha cune une multiprise r seau que ce soit avec un c ble ou par des ondes Wi Fi On utilise souvent un switch que l on peut comparer une multiprise intelligente au lieu de transmettre chaque paquet qui lui arrive tous les ordina
556. ymes 2010 Analyse d un dossier d instruction antiterroriste http infokiosques net lire php id article 789 38 I COMPRENDRE l tape requ te l gale Il aura alors acc s toutes les donn es stock es sur le serveur y compris les journaux Mais le serveur ne conna t pas toujours l identit r elle des clients qui s y connectent en g n ral tout ce qu il peut donner c est une adresse IP C est alors qu intervient le fournisseur d acc s Internet 3 2 3 Les journaux conserv s par les fournisseurs d acc s Internet FAI F7 a q Y x 2 page 15 On a vu qu on acc dait Internet par l interm diaire d un fournisseur d acces L Internet Mais a peut aussi tre une association ou une institution publique une universit par exemple quand on utilise leurs salles informatiques Les FAI sont eux aussi soumis des lois concernant la r tention de donn es Au sein de l Union Europ enne une directive oblige les fournisseurs d acc s Internet FAT garder la trace de qui s est connect quand et depuis o En pratique cela consiste enregistrer quelle adresse IP t assign e quel abonn pour quelle p riode Les institutions qui fournissent un acc s Internet comme les biblioth ques et les universit s font de m me en g n ral il faut se connecter avec un nom d utilisa teur et un mot de passe On peut ainsi savoir qui utilisait
557. ypte coupure html 21 Il existe une diff rence notable dans les protocoles employ s qui a des cons quences en termes de confidentialit et d anonymat selon qu on utilise une boite mail par le biais de son navigateur webmail ou par le biais d un client de messagerie Tout cela sera d velopp plus loin page 93 20 I COMPRENDRE Skype Yahoo Messenger IRC et XMPP sont des protocoles utilis s dans la mes sagerie instantan e En fait une personne qui a des connaissances suffisantes en programmation peut cr er elle m me un nouveau protocole et donc une nouvelle application d Internet 1 5 1 Protocole applicatif _ Chaque application d Internet utilise ainsi un langage particulier appel protocole ap page 111 plicatif et met ensuite le r sultat dans les paquets qui sont transmis par les protocoles on crit le texte d une carte postale il faut que l exp diteur et le destinataire com prennent cette langue Cependant la Poste n a pas besoin d y comprendre quoi que ce soit tant que la lettre contient une adresse valide En g n ral les cartes postales ne sont pas mises dans des enveloppes n importe qui sur la route peut les lire De m me les langages de la plupart des applications ne sont absolument pas chiffr s non seulement la source et la destination crites dans l en t te des paquets sont lisibles par quiconque mais le contenu des paquets l est aussi Fe ct B D pa

Download Pdf Manuals

Related Search

Related Contents

Blodgett 1000 User's Manual  Jabra® CRUISER  PLC Gateway Planning, Installation, and Service  WiRobot DRK6080/8080 USER MANUAL  S8 Escape™ II  Manuale istruzioni  طــــلب مــعــلــــــومــــــات - Direction générale des douanes  Xen User Manual  Caricabatterie  Electromagnetic Compatibility Criteria Test Report  

Copyright © All rights reserved. Failed to retrieve file