Surveillance
Self-Defense

Défenseur des droits de l'homme ?

  • Défenseur des droits de l'homme ?

    Recettes pour les organisations ayant besoin de se protéger des espions du gouvernement.

    Si vous dirigez une organisation dont le travail soit susceptible d'être contrôlé par les gouvernements—qu'ils soient locaux ou lorsque vous voyagez—vous devez penser à verrouiller vos communications. Voici un guide de base afin de planifier votre autodéfense contre la surveillance institutionnelle.

  • Évaluer votre degré de risques

    Tenter de protéger toutes vos données, de tout le monde, en tout temps est irréaliste et épuisant. Mais n’ayez crainte ! La sécurité est un processus, et une planification réfléchie vous permettra d’évaluer ce qui vous convient. La sécurité ne se réduit pas aux outils que vous utilisez ou aux logiciels que vous téléchargez. Elle commence par une compréhension des menaces particulières auxquelles vous êtes exposé et de la façon de vous en prémunir.

    En sécurité informatique, une menace est un événement potentiel qui pourrait compromettre vos efforts pour défendre vos données. Vous pouvez faire obstacle aux menaces auxquelles vous êtes exposé en déterminant ce que vous devez protéger, et contre qui. On appelle ce processus « modélisation des menaces ».

    Ce guide vous apprendra à modéliser les menaces, c’est-à-dire à évaluer les risques auxquels vos renseignements numériques sont exposés et à déterminer les solutions qui vous conviennent le mieux.

    À quoi pourrait ressembler la modélisation des menaces ? Disons que vous souhaitez assurer la sécurité de votre maison et de vos possessions. Voici quelques questions que vous pourriez vous poser :

    Qu’est-ce qui vaut la peine d’être protégé dans ma maison ?

    • Les biens pourraient inclure : des bijoux, des appareils électroniques, des documents financiers, des passeports ou des photos

    Contre qui les protéger ?

    • Les adversaires pourraient être : des cambrioleurs, des colocataires ou des invités

    Dans quelle mesure ai-je besoin de les protéger ?

    • Des cambriolages ont-ils déjà eu lieu dans mon quartier ? Mes colocataires ou invités sont-ils dignes de confiance ? Que pourraient faire mes adversaires ? Quels risques devrais-je prendre en considération ?

    Quelle est l’ampleur des conséquences si j’échoue ?

    • Ai-je quoi que ce soit qui ne peut pas être remplacé dans ma maison ? Ai-je le temps ou l’argent pour remplacer ces choses ? Mon assurance couvre-t-elle les biens volés dans ma maison ?

    Quelles difficultés suis-je prêt à rencontrer pour prévenir ces conséquences ?

    • Suis-je prêt à acheter un coffre pour les documents de nature délicate ? Puis-je me permettre d’acheter une serrure de haute qualité ? Ai-je le temps de louer un coffret de sécurité à ma banque locale et d’y conserver mes biens de valeur ?

    Une fois que vous vous êtes posé ces questions, vous êtes à même d’évaluer les mesures à prendre. Si vous possédez des biens de valeur, mais que le risque d’un cambriolage est moindre, vous ne voudrez alors peut-être pas investir trop d’argent dans une serrure. Mais si le risque est élevé, vous achèterez la meilleure serrure sur le marché ou envisagerez d’acheter un système de sécurité.

    Établir un modèle de menaces vous aidera à comprendre les menaces particulières auxquelles vous êtes exposé, mais aussi à évaluer vos actifs, vos adversaires et leurs possibilités d’action, tout en diminuant les risques possibles.

    Qu’est-ce que la modélisation des menaces et par où commencer ?

    La modélisation des menaces vous aide à cerner les menaces contre ce à quoi vous tenez et à déterminer contre qui vous devez le protéger. Répondez à ces cinq questions pour établir un modèle de menaces :

    1. Que veux-je protéger ?
    2. Contre qui ?
    3. Quelle est l’ampleur des conséquences si j’échoue ?
    4. Dans quelle mesure ai-je besoin de le protéger ?
    5. Quelles difficultés suis-je prêt à rencontrer pour tenter de prévenir des conséquences potentielles ?

    Regardons chacune de ces questions de plus près.

    Que veux-je protéger ?

    Un bien est quelque chose auquel vous tenez et que vous souhaitez protéger. Dans le contexte de la sécurité numérique, on parlera plutôt d’« actifs » qui seront habituellement des informations. Par exemple, vos courriels, vos listes de contacts, vos messages instantanés, votre position géographique et vos fichiers sont tous des actifs possibles.

    Rédigez une liste de vos actifs : les données que vous conservez, où elles se trouvent, qui y a accès, et enfin ce qui empêche les autres d’y accéder.

    Contre qui le protéger ?

    Pour répondre à cette question, il est important de déterminer qui pourrait vouloir prendre vos renseignements ou vous-même pour cible. Une personne ou entité qui présente une menace pour vos biens est un « adversaire ». Votre patron, votre ancien associé, votre concurrent commercial, votre gouvernement ou un pirate sur un réseau public sont des exemples d’adversaires possibles.

    Rédigez une liste de vos adversaires et de ceux qui pourraient vouloir s’emparer de vos actifs. Votre liste peut comprendre des personnes, un organisme gouvernemental ou des entreprises.

    En fonction de l’identité de vos adversaires, dans certaines conditions, vous voudrez peut-être détruire cette liste après avoir modélisé les menaces.

    Quelle est l’ampleur des conséquences si j’échoue?

    Un adversaire peut menacer vos données de différentes façons. Par exemple, un adversaire peut lire vos communications personnelles alors qu’elles transitent par le réseau, ou il peut supprimer ou corrompre vos données.

    Les intentions des adversaires diffèrent considérablement, tout comme leurs attaques. Un gouvernement qui tente d’empêcher la propagation d’une vidéo de violence policière pourrait se contenter de supprimer cette vidéo ou d’y réduire l’accès. Par contre, un adversaire politique souhaitera peut-être avoir accès à un document secret afin de le publier sans que vous le sachiez.

    La modélisation des menaces consiste aussi à comprendre la gravité des conséquences si un adversaire réussissait à attaquer un de vos actifs. Pour ce faire, vous devriez tenir compte de la possibilité d’action de votre adversaire. Par exemple, un fournisseur de télécommunications mobiles peut accéder à tous les relevés de votre téléphone et potentiellement utiliser ces données contre vous. Sur un réseau Wi-Fi ouvert, un pirate peut accéder à vos communications non chiffrées. La possibilité d’action de votre gouvernement pourrait être encore plus étendue.

    Notez ce que votre adversaire pourrait vouloir faire de vos données personnelles.

    Dans quelle mesure ai-je besoin de le protéger ?

    Le risque est la probabilité qu’une certaine menace, contre un actif particulier, se réalise effectivement. Il va de pair avec la possibilité d’action. Bien que votre fournisseur de télécommunications mobiles puisse accéder à toutes vos données, le risque qu’il publie en ligne vos données personnelles pour nuire à votre réputation est faible.

    Il est important d’établir une distinction entre menaces et risques. Bien qu’une menace soit une chose fâcheuse qui pourrait avoir lieu, le risque est la probabilité que cette menace se réalise. Par exemple, il y a menace que votre bâtiment s’effondre, mais le risque que cela arrive est bien plus grand à San Francisco (où les tremblements de terre sont fréquents) qu’à Stockholm (où ce n’est pas le cas). Effectuer une analyse des risques est à la fois un processus personnel et subjectif ; tout le monde n’a pas les mêmes priorités ni ne perçoit les menaces de la même façon. Nombreux sont ceux qui trouvent certaines menaces inacceptables, quel que soit le risque, car la seule présence de menace, probable ou non, ne vaut pas le coût. Dans d’autres cas, les gens ignorent des risques élevés, car ils ne considèrent pas la menace comme un problème.

    Notez les menaces que vous allez prendre au sérieux et celles qui sont trop rares ou trop anodines (ou encore trop difficiles à combattre) pour vous en soucier.

    Quelles difficultés suis-je prêt à rencontrer pour prévenir ces conséquences ?

    Il faut effectuer l’analyse des risques pour répondre à cette question. Tout le monde n’a pas les mêmes priorités ni ne perçoit les menaces de la même façon.

    Par exemple, un avocat qui représente un client dans un cas de sécurité nationale sera probablement prêt à aller beaucoup plus loin pour protéger les communications concernant ce cas, comme chiffrer les courriels, qu’une mère qui envoie fréquemment des vidéos amusantes de chats à sa fille.

    Notez les options qui s’offrent à vous pour vous aider à atténuer vos menaces particulières. Notez aussi si vous avez des contraintes financières, techniques ou sociales.

    La modélisation des menaces comme pratique habituelle

    N’oubliez pas que votre modèle de menace peut évoluer en fonction de votre situation. C’est pourquoi il est de bonne pratique d’effectuer des évaluations fréquentes du modèle de menaces.

    Créez votre propre modèle de menaces en fonction de votre situation particulière. Inscrivez ensuite un rappel futur dans votre agenda, rappel qui vous invitera à revoir votre modèle de menaces et à évaluer si votre liste d’actifs est toujours pertinente à votre situation.

     

    Dernière actualisation: 
    2017-09-07
  • Communiquer avec les autres

    Les réseaux de communications et Internet ont rendu les communications avec les autres plus aisées que jamais, mais ont répandu la surveillance d’une manière que l’histoire de l’humanité n’a jamais connu. Sans prendre de mesures supplémentaires afin de protéger votre intimité, chaque appel téléphonique, message de texte, e-mail, message instantanée, appel vocal IP (VoIP), vidéo, chat et message au moyen des médias sociaux peut être vulnérable pour les espions.

    Souvent, la manière la plus sûre de communiquer avec les autres est de le faire en personne, sans ordinateurs ni implication quelconque de téléphones. Ce n’est pas toujours possible, la meilleure des choses à faire est donc d'utiliser le chiffrement global si vous communiquez sur un réseau et avez besoin de protéger le contenu de vos communications.

    Comment Fonctionne le Chiffrement Global ?

    Lorsque deux personnes souhaitent communiquer de manière sécurisée (par exemple, Akiko et Boris), elles doivent générer des crypto clés. Avant qu’Akiko n’envoie un message à Boris, elle devra le chiffrer grâce au code de Boris afin que seul ce dernier puisse le déchiffrer. Puis, elle envoie le message déjà chiffré sur Internet. Si quelqu’un espionne Akiko et Boris—et même s’il a accès au service utilisé par Akiko afin d’envoyer ce message (comme son compte e-mail) —il ne pourra visualiser que les données chiffrées et ne pourra pas lire le message. Lorsque Boris le reçoit, il doit utiliser son code afin de de le déchiffrer et de rendre le message lisible.

    Le chiffrement global implique un certain effort, mais il s’agit de la seule manière grâce à laquelle les utilisateurs peuvent vérifier la sécurité de leurs communications sans devoir faire confiance à la plate-forme qu’ils utilisent. Certains services, tels que Skype, ont prétendu offrir un chiffrement global, il n’en est rien. Afin que le chiffrement global soit sécurisé, les utilisateurs doivent pouvoir vérifier que la crypto clé grâce à laquelle ils chiffrent les messages appartient à la personne à laquelle ils croient qu’elle doive appartenir. Si le logiciel de communication ne dispose pas de cette capacité intégrée, tout chiffrement utilisé peut être intercepté par le prestataire du service lui-même, par exemple, si un gouvernement l’y oblige.

    Vous pouvez lire le livre blanc sur la Liberté d’Expression de la Fondation, Travaux de Chiffrement afin d’obtenir des instructions détaillées sur la manière d’utiliser le chiffrement global pour protéger les messages instantanés et les e-mails. Assurez-vous de consulter également les modules suivants d’Autodéfense contre la surveillance :

    Appels Vocaux

    Lorsque vous réalisez un appel d’un téléphone fixe ou portable, votre appel n’est pas chiffré dans son intégralité. Si vous utilisez un téléphone portable, votre appel peut être (faiblement) chiffré entre le combiné et les antennes-relais. Cependant, si votre conversation voyage sur le réseau téléphonique, elle est vulnérable à toute interception par votre prestataire de téléphonie et, en conséquence, aux gouvernements et organisations qui contrôlent votre compagnie téléphonique. La manière la plus facile d’assurer que vos conversations vocales sont globalement chiffrées est d’utiliser VoIP.

    Méfiez-vous! Les prestataires les plus célèbres de VoIP, tels que Skype et Google Hangouts, offrent le chiffrement du transport afin que les espions ne puissent pas écouter, mais les prestataires sont toujours à même de le faire. En fonction de votre modèle de menace, ceci peut constituer ou non un problème.

    Certains services qui offrent des appels VoIP globalement chiffrés comprennent :

    Afin de maintenir des conversations VoIP globalement chiffrées, les deux parties doivent utiliser le même logiciel (ou un logiciel compatible).

    Messages de Texte

    Les SMS n'offrent pas un chiffrement de bout en bout. Si vous voulez envoyer des SMS chiffrés sur votre téléphone, il vous faudra utiliser une application de messagerie instantanée chiffré au lieu du SMS.

    Quelques applications de messagerie instantanée chiffrées utilisent leur propre protocole. Les utilisateurs de Signal sur Androïde et iOS peuvent parler de manière sécurisé avec les autres utilisateurs du programme. ChatSecure est une application qui chiffre vos conversations avec OTR sur tous types de réseaux utilisant XMPP, ce qui veut dire que vous pouvez choisir un grand nombre de services de messagerie indépendants.

    Messages Instantanés

    Off-the-Record (Confidentiel) (OTR) est un protocole de chiffrement global pour les conversations via texte en temps réel, qui peut être utilisé avec de nombreux services.

    Certains outils qui incorporent OTR à la messagerie instantanée comprennent :

    E-mails

    La plupart des prestataires de services de courrier vous permet d’avoir accès à vos e-mails en utilisant un navigateur Web, comme Firefox ou Chrome. La grande majorité de ces prestataires fournit un support pour HTTPS ou chiffrement de la couche de transport. Vous pouvez savoir si votre prestataire de services de courrier admet HTTPS si vous vous connectez à votre messagerie Web et l’URL en haut de votre navigateur commence par les lettres HTTPS au lieu de HTTP (par exemple : https://mail.google.com).

    Si votre prestataire de services de courrier admet HTTPS, mais pas par défaut, tâchez de remplacer HTTP par HTTPS dans l’URL et actualisez la page. Si vous souhaitez vous assurer que vous utilisez toujours HTTPS sur les sites où il est disponible, téléchargez l’accessoire pour navigateur HTTPS Everywhere pour Firefox ou Chrome.

    Certains prestataires de messagerie Web utilisant HTTPS par défaut, comprennent :

    • Gmail
    • Riseup
    • Yahoo

    Certains prestataires de messagerie Web vous offrent l’option d’utiliser HTTPS par défaut en le sélectionnant dans vos paramètres. Le service le plus célèbre offrant toujours cette option est Hotmail.

    Quelles sont les conséquences du chiffrement de la couche de transport et pourquoi seriez-vous susceptible d’en avoir besoin ? HTTPS, également dénommé SSL (Couche de Connexion Sécurisée) ou TLS (Sécurité de la Couche de Transport), chiffre vos communications de manière à ce que personne d’autre ne puisse les lire sur votre réseau. Ceci peut faire référence aux autres personnes utilisant le même Wi-Fi dans un aéroport ou café, les autres personnes dans votre bureau ou école, les administrateurs de votre Prestataire de Services Internet, les pirates informatiques malveillants, les gouvernements ou les agents du maintien de l’ordre. Les communications envoyées sur votre navigateur Web, y compris les pages Web que vous visitez et le contenu de vos e-mails, les publications sur les blogs et les messages, en utilisant HTTP au lieu de HTTPS sont futiles aux yeux d’un attaquant au moment d’être interceptées et lues.

    HTTPS est le niveau le plus basique de chiffrement de navigation Web que nous vous recommandons. Aussi élémentaire que mettre votre ceinture de sécurité lorsque vous conduisez.

    Mais HTTPS ne peut pas tout faire. Lorsque vous envoyez des e-mails en utilisant HTTPS, votre prestataire de services de courrier obtient toujours une copie non chiffrée de votre communication. Les gouvernements et les agences du maintien de l’ordre peuvent avoir accès à ces données grâce à un mandat. Aux États-Unis, la plupart des prestataires de services de courrier possède une politique conformément à laquelle ils doivent porter à votre connaissance toute requête de vos données d’utilisateur provenant du gouvernement, étant donné qu’ils y sont légalement autorisés, mais ces politiques sont strictement volontaires et, dans bon nombre de cas, les prestataires sont légalement empêchés d’informer les utilisateurs de cette requête de données. Certains prestataires, comme Google, Yahoo et Microsoft, publient des comptes rendus sur la transparence, en y détaillant le nombre de requêtes de données des utilisateurs qu'ils reçoivent en provenance du gouvernement, quels pays présentent ces requêtes et la fréquence avec laquelle la compagnie a respecté ces requêtes en remettant ces données.

    Si votre modèle de menace comprend un gouvernement ou une agence du maintien de l’ordre, ou que vous ayez d’autres raisons de vous assurer que votre prestataire ne peut pas remettre les contenus de vos communications par e-mail à un tiers, vous pouvez envisager d’utiliser le chiffrement global pour vos communications par e-mail.

    PGP (Pretty Good Privacy/Confidentialité Plutôt Bonne) est le standard de chiffrement global de votre courrier. Correctement utilisé, il offre une protection très forte à vos communications. Afin d’obtenir des instructions détaillées sur la manière d’installer et d’utiliser le chiffrement PGP de votre courrier, cf. :

    Ce Que Le Chiffrement Global Ne Peut Pas Faire

    Le chiffrement global protège exclusivement le contenu de vos communications, non les communications en elles-mêmes. Il ne protégé pas vos métadonnées—c’est-à-dire tout le reste, y compris l’objet de votre e-mail, ou la personne avec qui vous communiquez et quand.

    Les métadonnées peuvent fournir des informations extrêmement révélatrices vous concernant, même lorsque le contenu de vos communications demeure secret.

    Les métadonnées relatives à vos appels téléphoniques peuvent divulguer certaines informations très intimes et sensibles. Par exemple :

    • Elles savent que vous appelé un service de sexe par téléphone à 2 heures 24 et parlé pendant 18 minutes, mais elles ne savent pas de quoi vous avez parlé.
    • Elles savent que vous appelé la ligne directe pour la prévention des suicides du haut du Golden Gate Bridge, mais le sujet de votre appel demeure secret.
    • Elles savent que vous avez parlé avec un service de test VIH, puis à votre médecin, et enfin à votre compagnie d'assurance santé la même heure, mais elles ne savent pas de quoi vous avez discuté.
    • Elles savent que vous avez reçu un appel du bureau local de l’Association Nationale des Fusils lorsqu’elle menait une champagne contre la législation anti-pistolets, puis qu’elle a appelé les sénateurs et les représentants au congrès immédiatement après, mais le contenu de ces appels demeure sécurisé contre l’intrusion du gouvernement.
    • Elles savent que vous appelé un gynécologue, parlé pendant une demi-heure, puis appelé la Planification Familiale plus tard dans la journée, mais personne ne sait ce dont vous avez parlé.

    Si vous appelez d’un téléphone portable, les informations concernant votre position consistent en des métadonnées. En 2009, Malte Spitz, politicien du Parti Écologiste, attaqua Deutsche Telekom en justice afin de la forcer à remettre six mois de données stockés sur son téléphone, qu’elle avait rendu disponibles à un journal allemand. La visualisation en résultant démontra un historique détaillé des mouvements de Spitz.

    Protéger vos métadonnées requerra d’utiliser d’autres outils, comme Tor, avec le chiffrement global.

    Afin de visualiser un exemple de la manière dont Tor et HTTPS travaillent ensemble à la protection du contenu de vos communications et métadonnées contre de nombreux attaquants potentiels, vous pouvez consulter cette explication.

    Dernière actualisation: 
    2017-01-12
  • Sécuriser vos données

    L’un des plus grands défis au moment de protéger vos données contre ceux qui souhaitent en disposer est l’ampleur des informations que vous stockez ou transportez, et la facilité avec laquelle elles peuvent vous être dérobées. Bon nombre d’entre nous transportons des historiques entiers de nos contacts, communications, nos documents actuels sur nos ordinateurs portables, voire téléphones portables. Ces données peuvent comprendre des informations confidentielles concernant des dizaines, voire des milliers de personnes. Un téléphone et un ordinateur portables peuvent être volés ou copiés en question de secondes.

    Les États-Unis sont l’un des nombreux pays qui saisissent et copient les données à la frontière. Les données peuvent être saisies par un barrage routier, dans la rue ou dévalisées de votre domicile.

    Tout comme vous pouvez sécuriser vos communications grâce au chiffrement, vous pouvez également compliquer la vie de ceux qui se consacrent à physiquement voler les données afin d’en révéler les secrets. Les ordinateurs et les téléphones portables peuvent être verrouillés grâce à des mots de passe, PINs ou signes, mais ces verrous ne protègent pas les données si le dispositif en lui-même est volé. Il est relativement facile de contourner ces verrous, car vos données sont stockées dans un format aisément lisible à l’intérieur du dispositif. Tout ce dont un attaquant a besoin est d'avoir directement accès au stockage, et les données peuvent être copiées ou examinées sans même connaître votre mot de passe.

    Si vous utilisez le chiffrement, votre adversaire a non seulement besoin de votre dispositif, mais également de votre mot de passe afin de démêler les données chiffrées—il n’existe aucun raccourci.

    Il est plus sûr et plus facile de chiffrer toutes vos données et non quelques dossiers. La plupart des ordinateurs et des Smartphones offre le chiffrement du disque dans son intégralité en tant qu’option. Android l’offre dans ses paramètres de "Sécurité", les dispositifs Apple tels que l’iPhone et l’iPad le décrivent comme "Protection des Données" et l’activent si vous configurez un mot de passe. Dans les ordinateurs fonctionnant avec Windows Pro, il se dénomme "BitLocker." 

    Le code de BitLocker est fermé et exclusif, ce qui signifie qu'il est difficile pour les évaluateurs externes de savoir exactement comment elle est sûre. En utilisant BitLocker nécessite de confiance Microsoft fournit un système de stockage sécurisé sans vulnérabilités cachées. D'autre part, si vous utilisez déjà Windows, vous êtes déjà approuvez Microsoft dans la même mesure. Si vous êtes inquiet à propos de la surveillance de ce genre d'attaquants qui pourraient connaître ou bénéficier d'une porte arrière dans Windows ou BitLocker, vous pouvez envisager un système d'exploitation open source alternative comme GNU / Linux ou BSD, notamment une version qui a été durci contre les attaques de sécurité, ces Tails ou Qubes OS.

    Apple fournit une fonctionnalité intégrée de cryptage de disque sur MacOS appelé FileVault. Sur les distributions Linux, le cryptage de disque est typiquement offert lorsque vous configurez votre système pour la première fois. Au moment que ce guide a été écrit, nous n'avons pas un outil de cryptage de disque complet pour les versions de Windows qui n'incluent pas BitLocker que nous pouvons recommander.

    Quelle que soit la manière dont votre dispositif le dénomme, le chiffrement est aussi utile que votre mot de passe. Si votre attaquant est en possession de votre dispositif, il dispose de tout son temps afin de tester de nouveaux mots de passe. Le logiciel criminalistique peut tester des millions de mots de passe en une seconde. Ceci signifie que si un pin à quatre chiffres ne peut probablement pas protéger vos données trop longtemps, un mot de passe plus long ralentira simplement votre attaquant. Un mot de passe réellement fort dans ces conditions doit contenir quinze caractères.

    En réalité, la plupart d’entre nous n’apprendra ni ne saisira de telles phrases de passe sur son téléphone ou dispositif portable. Alors que le chiffrement peut être utile afin de prévenir les accès fortuits, vous devez préserver les données réellement confidentielles en les dissimulant aux yeux des attaquants, ou en les verrouillant sur une machine beaucoup plus sécurisée.

    Créer une Machine Sécurisée

    Sécuriser un environnement peut être un travail difficile. Au mieux, vous devez modifier les mots de passe, habitudes et peut être le logiciel que vous utilisez sur votre ordinateur principal ou dispositif. Au pire, vous devrez continuellement penser si vous divulguez des informations confidentielles ou utilisez des pratiques non sécurisées. Même lorsque vous connaissez les problèmes, certaines solutions peuvent ne pas se trouver à portée de main. D’autres personnes peuvent requérir que vous poursuiviez vos pratiques de sécurité digitale non sécurisées, même si vous en avez expliqué les dangers. Par exemple, vos collègues de travail peuvent souhaiter que vous continuiez d’ouvrir les pièces jointes de leurs e-mails, même si vous savez que les attaquants pourraient se faire passer pour eux et vous envoyer des programmes malveillants. Ou vous pouvez vous soucier que leur ordinateur principal soit déjà compromis.

    L’une des stratégies à considérer est de verrouiller les données de valeur et les communications sur un ordinateur plus sécurisé. Utilisez cette machine de manière occasionnelle et, ce faisant, soyez encore plus prudent. Si vous devez ouvrir des pièces jointes ou utiliser un logiciel qui ne soit pas sûr, faîtes-le sur une autre machine.

    Si vous configurez une machine sécurisée, quelles sont les mesures additionnelles que vous devez prendre afin de la rendre réellement sécurisée ?

    Vous pouvez ranger le dispositif dans un lieu physique encore plus à l’abri : quelque part où vous puissiez savoir s'il a été falsifié, comme meuble verrouillé.

    Vous pouvez installer un système d’exploitation centré sur la confidentialité et la sécurité, comme Tails. Il est possible que vous ne puissiez (ou ne vouliez) pas utiliser un système d’exploitation libre au quotidien, mais si vous avez simplement besoin de stocker, d’éditer et d’écrire des e-mails confidentiels ou des messages instantanés à partir de ce dispositif sécurisé, Tails fonctionnera parfaitement, par défaut vis-à-vis de paramètres de grande sécurité.

    Un ordinateur complémentaire et sécurisé peut s’avérer être une option pas aussi coûteuse que vous ne le pensez. Un ordinateur rarement utilisé, qui n’exécute que quelques programmes et n’a pas besoin d’être particulièrement rapide ou nouveau. Vous pouvez acquérir un netbook plus ancien pour une partie du prix d’un ordinateur ou téléphone portable nouveau. Les machines plus anciennes possèdent également l’avantage de mieux fonctionner avec des logiciels sécurisés comme Tails que les modèles plus nouveaux.

    Vous pouvez utiliser la machine sécurisée afin d’y sauvegarder la copie principale de vos données confidentielles. Une machine sécurisée peut s’avérer être de grande valeur au moment de verrouiller les données privées, mais vous devez également envisager les quelques risques complémentaires qu’elle peut créer. Si vous concentrez vos informations les plus précieuses dans un seul ordinateur, celui-ci devient une cible plus que manifeste. Dissimulez-le bien à l’abri, ne parlez pas de son emplacement et chiffrez-en le disque dur avec mot de passe fort, dans le cas où il serait volé, les données demeureront illisibles sans le coffre-fort de mots de passe.

    L’autre risque consiste en ce que la destruction de cette seule machine détruira la seule copie des données.

    Si votre adversaire souhaite tirer parti de la perte de vos données, ne les rangez pas à un seul endroit, aussi sécurisé soit-il. Chiffrer une copie et rangez-la ailleurs.

    Le plus haut niveau de protection contre les attaques sur Internet ou la surveillance en ligne n’est, chose étonnante, pas du tout reliée à Internet. Vous pouvez vous assurer que votre ordinateur sécurisé ne se connecte jamais à un réseau local ou Wi-Fi et copie exclusivement des fichiers en utilisant des moyens physiques tels que les DVDs ou les clés USB. En matière de sécurité sur le réseau, ceci se dénomme disposer d’un "entrefer" entre l’ordinateur et le reste du monde. Seules quelques personnes vont aussi loin, mais il peut s’agir d’une option si vous souhaitez sauvegarder des données auxquelles vous avez rarement accès mais ne souhaitez perdre sous aucun prix. Exemples : un code de chiffrement que vous utilisez exclusivement pour les messages importants (comme "Mes autres codes de chiffrement ne sont plus sécurisés"), une liste de mots de passe ou d’instructions afin que les autres sachent que vous n’êtes pas disponible, ou une copie de sauvegarde des données privées de quelqu’un d’autre qui vous a été confiée. Dans la plupart de ces cas, vous devez juste envisager de disposer d’un dispositif de stockage bien caché, au lieu d’un ordinateur. Une clé USB chiffrée bien à l’abri est probablement aussi utile (ou inutile) qu’un ordinateur déconnecté d’Internet.

    Si vous utilisez des dispositifs sécurisés afin de vous connecter à Internet, vous pouvez choisir de ne pas vous connecter ou d’utiliser vos comptes habituels. Créez un Web ou des comptes e-mails indépendants que vous utiliserez afin de communiquer à partir de ce dispositif, et utilisez TOR afin de dissimuler votre adresse IP vis-à-vis de ces services. Si quelqu’un a tout particulièrement choisi de cibler votre identité avec des logiciels malveillants, ou n’intercepte que vos communications, séparez vos comptes et Tor vous aidera à briser le lien entre votre identité et cette machine en particulier.

    Une des variations de l’idée de la machine sécurisée est de disposer d’une machine non sécurisée : un dispositif que vous utilisez exclusivement lorsque vous vous rendez dans des endroits dangereux ou devez mener à bien une opération risquée. De nombreux journalistes et activistes, par exemple, emportent seulement un netbook lorsqu’ils voyagent. Cet ordinateur de poche ne contient aucun de leurs documents, contacts habituels ou informations relatives aux e-mails, donc ne constituera qu’une simple perte s’il est confisqué ou scanné. Vous pouvez appliquer la même stratégie aux téléphones portables. Si vous utilisez habituellement un Smartphone, envisagez d’acquérir un téléphone jetable bon marché lorsque vous voyagez ou pour maintenir certaines conversations.

    Dernière actualisation: 
    2016-12-01
  • À prendre en compte lorsque vous traversez la frontière des États-Unis

    Envisagez-vous de traverser bientôt la frontière des États-Unis ? Saviez-vous que le gouvernement a le droit, sans devoir se justifier, de rechercher les voyageurs à la frontière—y compris ceux qui atterrissent dans les aéroports internationaux—afin de contrôler les flux entrants ? (Notez que bien que certaines justifications légales existent afin de rechercher ceux qui quittent les États-Unis et que de telles recherches sont possibles, les voyageurs ne sont normalement pas recherchés lorsqu’ils quittent le pays).

    Pour un traitement plus en profondeur de ce problème, veuillez consulter le guide de la Fondation Frontières Électroniques, Défendre la Confidentialité à la Frontière des États-Unis

    En attendant, voici quelques directrices à avoir à l’esprit lorsque vous traversez la frontière des États-Unis :

    • Avez-vous réalisé une copie de sauvegarde de vos dispositifs ? Ceci peut être utile dans le cas où l’un ou plusieurs de vos dispositifs sont saisis. Vous pouvez utiliser le service de copie de sauvegarde en ligne ou un disque dur externe, mais nous ne vous recommandons pas d’emmener à la fois un ordinateur portable et la copie de sauvegarde de votre disque dur.

    • Avez-vous besoin de transporter autant de données ? Nous vous suggérons de minimiser la quantité de données transportée au-delà de la frontière. Envisagez de voyager avec un ordinateur portable "vide", et notez que glisser tout simplement vos fichiers dans la corbeille ne les élimine pas complètement. Assurez-vous d’ éliminer vos fichiers de manière sécurisée.

    • Vos dispositifs sont-ils chiffrés ? Nous vous recommandons de totalement chiffrer vos dispositifs (ordinateurs portables, téléphones portables, etc.) et de choisir des phrases de passe sécurisées. Si un agent frontalier vous demande votre phrase de passe, vous n’êtes pas obligé de le divulguer. Seul un juge peut vous forcer de révéler de telles informations. Cependant, ce refus peut entrainer certaines conséquences : les non-résidents peuvent se voir refuser l’entrée dans le pays ; les résidents peuvent être détenus jusqu’à ce que la patrouille frontalière décide que faire, ce qui peut se traduire par la saisie de votre ordinateur, téléphone, caméra, dispositifs USB, etc.

    • Lorsque vous arrivez dans un nouveau pays, envisagez d’acquérir un téléphone temporaire et de transférer votre carte SIM ou obtenir un nouveau numéro. Ce téléphone transportera beaucoup moins de données que votre téléphone habituel.

    • Si vous avez affaire aux agents frontaliers, souvenez-vous de ces trois directrices : Soyez courtois, ne mentez pas, et évitezd’interférer physiquement avec la recherche des agents.

    Dernière actualisation: 
    2015-05-27
  • Choisir le VPN approprié à vos besoins

    Qu’est-ce qu’un VPN ? VPN signifie “Réseau Virtuel Privé.” Il permet à un ordinateur d’envoyer et de recevoir des données sur des réseaux partagés ou publics comme s’il était directement connecté au réseau privé—bénéficiant ainsi de la fonctionnalité, sécurité et politiques de gestion du réseau privé.

    À Quoi Sert un VPN ?

    Vous pouvez utiliser un VPN afin de vous connecter à votre Intranet corporatif lorsque vous voyagez à l’étranger, si vous êtes à la maison, ou à tout autre moment lorsque vous n’êtes pas au bureau.

    Vous pouvez également utiliser un VPN commercial afin de chiffrer vos données sur un réseau public tel que le Wi-Fi dans un Cybercafé ou un hôtel.

    Vous pouvez utiliser un VPN commercial afin de détourner la censure d’Internet sur un réseau verrouillant certains sites ou services. Par exemple, certains utilisateurs chinois utilisent les VPNs commerciaux afin d’avoir accès à des sites Web verrouillés par la Grande e-Muraille de Chine.

    Vous pouvez également vous connecter à votre réseau domestique en exécutant votre propre service VPN, par le biais d’un logiciel libre tel que OpenVPN.

    Ce qu’un VPN Ne Fait Pas

    Un VPN protégé votre trafic Internet contre la surveillance du réseau public, mais ilne protège pas vos données contre les personnes sur le réseau privé que vous utilisez.Si vous utilisez un VPN corporatif, quiconque exécutant le réseau corporatif visualisera votre trafic. Si vous utilisez un VPN commercial, quiconque exécutant le service pourra visualiser votre trafic.

    Un service RPV (ou VPN) douteux pourrait faire cela délibérément, à savoir, recueillir des renseignements personnels ou tout autres données non moins importantes. 

    Le gestionnaire de votre VPN corporatif ou commercial peut également être soumis à la pression provenant des gouvernements ou des agences du maintien de l’ordre afin de générer des informations relatives aux données que vous avez envoyées sur le réseau. Vous devez réviser la politique de confidentialité de votre prestataire VPN afin de connaître les circonstances dans lesquelles celui-ci peut générer vos données et les transmettre aux gouvernements ou agences du maintien de l’ordre.

    Vous devez également connaître les pays où le prestataire VPN réalise ses activités. Le prestataire sera soumis aux lois en vigueur dans ces pays, lesquelles peuvent contenir des requêtes légales de vos informations provenant de ce gouvernement, et autres pays disposant d’un traité d’assistance légale. Dans certains cas, les lois permettront ces requêtes sans vous prévenir ou vous permettre de les contester.

    La plupart des VPNs commerciaux vous demandera de régler en utilisant une carte de crédit, laquelle contient des informations vous concernant que vous ne souhaitez sans doute pas divulguer à votre prestataire VPN. Si vous ne souhaitez pas divulguer le numéro de votre carte de crédit à votre prestataire VPN commercial, vous pouvez utilisera un prestataire VPN qui accepte Bitcoin, ou utiliser des numéros de carte de crédit temporaires ou jetables. De même, tenez compte du fait que le prestataire VPN peut toujours recueillir votre adresse IP lorsque vous utilisez son service, ce qui peut vous identifier, même si vous utilisez une méthode de paiement alternative. Si vous souhaitez dissimuler votre adresse IP à votre prestataire VPN, vous devez utiliser Tor lorsque vous vous connectez à votre VPN.

    Dernière actualisation: 
    2016-06-09
Next:
JavaScript license information