Surveillance
Self-Defense

Vétéran de la sécurité en ligne ?

  • Vétéran de la sécurité en ligne ?

    Guides avancés afin d'améliorer vos compétences en matière d'autoprotection contre la surveillance.

    Toutes nos félicitations ! Vous avez déjà pris les mesures afin d'améliorer la sécurité de vos communications en ligne. Maintenant, vous souhaitez passer au niveau suivant et, grâce à cette liste de lecture, vous pouvez. Vous apprendrez à comprendre les menaces, à vérifier l'identité de la personne avec qui vous communiquez et ajouter quelques nouveaux outils à votre répertoire.

  • Évaluer votre degré de risques

    Tenter de protéger toutes vos données, de tout le monde, en tout temps est irréaliste et épuisant. Mais n’ayez crainte ! La sécurité est un processus, et une planification réfléchie vous permettra d’évaluer ce qui vous convient. La sécurité ne se réduit pas aux outils que vous utilisez ou aux logiciels que vous téléchargez. Elle commence par une compréhension des menaces particulières auxquelles vous êtes exposé et de la façon de vous en prémunir.

    En sécurité informatique, une menace est un événement potentiel qui pourrait compromettre vos efforts pour défendre vos données. Vous pouvez faire obstacle aux menaces auxquelles vous êtes exposé en déterminant ce que vous devez protéger, et contre qui. On appelle ce processus « modélisation des menaces ».

    Ce guide vous apprendra à modéliser les menaces, c’est-à-dire à évaluer les risques auxquels vos renseignements numériques sont exposés et à déterminer les solutions qui vous conviennent le mieux.

    À quoi pourrait ressembler la modélisation des menaces ? Disons que vous souhaitez assurer la sécurité de votre maison et de vos possessions. Voici quelques questions que vous pourriez vous poser :

    Qu’est-ce qui vaut la peine d’être protégé dans ma maison ?

    • Les biens pourraient inclure : des bijoux, des appareils électroniques, des documents financiers, des passeports ou des photos

    Contre qui les protéger ?

    • Les adversaires pourraient être : des cambrioleurs, des colocataires ou des invités

    Dans quelle mesure ai-je besoin de les protéger ?

    • Des cambriolages ont-ils déjà eu lieu dans mon quartier ? Mes colocataires ou invités sont-ils dignes de confiance ? Que pourraient faire mes adversaires ? Quels risques devrais-je prendre en considération ?

    Quelle est l’ampleur des conséquences si j’échoue ?

    • Ai-je quoi que ce soit qui ne peut pas être remplacé dans ma maison ? Ai-je le temps ou l’argent pour remplacer ces choses ? Mon assurance couvre-t-elle les biens volés dans ma maison ?

    Quelles difficultés suis-je prêt à rencontrer pour prévenir ces conséquences ?

    • Suis-je prêt à acheter un coffre pour les documents de nature délicate ? Puis-je me permettre d’acheter une serrure de haute qualité ? Ai-je le temps de louer un coffret de sécurité à ma banque locale et d’y conserver mes biens de valeur ?

    Une fois que vous vous êtes posé ces questions, vous êtes à même d’évaluer les mesures à prendre. Si vous possédez des biens de valeur, mais que le risque d’un cambriolage est moindre, vous ne voudrez alors peut-être pas investir trop d’argent dans une serrure. Mais si le risque est élevé, vous achèterez la meilleure serrure sur le marché ou envisagerez d’acheter un système de sécurité.

    Établir un modèle de menaces vous aidera à comprendre les menaces particulières auxquelles vous êtes exposé, mais aussi à évaluer vos actifs, vos adversaires et leurs possibilités d’action, tout en diminuant les risques possibles.

    Qu’est-ce que la modélisation des menaces et par où commencer ?

    La modélisation des menaces vous aide à cerner les menaces contre ce à quoi vous tenez et à déterminer contre qui vous devez le protéger. Répondez à ces cinq questions pour établir un modèle de menaces :

    1. Que veux-je protéger ?
    2. Contre qui ?
    3. Quelle est l’ampleur des conséquences si j’échoue ?
    4. Dans quelle mesure ai-je besoin de le protéger ?
    5. Quelles difficultés suis-je prêt à rencontrer pour tenter de prévenir des conséquences potentielles ?

    Regardons chacune de ces questions de plus près.

    Que veux-je protéger ?

    Un bien est quelque chose auquel vous tenez et que vous souhaitez protéger. Dans le contexte de la sécurité numérique, on parlera plutôt d’« actifs » qui seront habituellement des informations. Par exemple, vos courriels, vos listes de contacts, vos messages instantanés, votre position géographique et vos fichiers sont tous des actifs possibles.

    Rédigez une liste de vos actifs : les données que vous conservez, où elles se trouvent, qui y a accès, et enfin ce qui empêche les autres d’y accéder.

    Contre qui le protéger ?

    Pour répondre à cette question, il est important de déterminer qui pourrait vouloir prendre vos renseignements ou vous-même pour cible. Une personne ou entité qui présente une menace pour vos biens est un « adversaire ». Votre patron, votre ancien associé, votre concurrent commercial, votre gouvernement ou un pirate sur un réseau public sont des exemples d’adversaires possibles.

    Rédigez une liste de vos adversaires et de ceux qui pourraient vouloir s’emparer de vos actifs. Votre liste peut comprendre des personnes, un organisme gouvernemental ou des entreprises.

    En fonction de l’identité de vos adversaires, dans certaines conditions, vous voudrez peut-être détruire cette liste après avoir modélisé les menaces.

    Quelle est l’ampleur des conséquences si j’échoue?

    Un adversaire peut menacer vos données de différentes façons. Par exemple, un adversaire peut lire vos communications personnelles alors qu’elles transitent par le réseau, ou il peut supprimer ou corrompre vos données.

    Les intentions des adversaires diffèrent considérablement, tout comme leurs attaques. Un gouvernement qui tente d’empêcher la propagation d’une vidéo de violence policière pourrait se contenter de supprimer cette vidéo ou d’y réduire l’accès. Par contre, un adversaire politique souhaitera peut-être avoir accès à un document secret afin de le publier sans que vous le sachiez.

    La modélisation des menaces consiste aussi à comprendre la gravité des conséquences si un adversaire réussissait à attaquer un de vos actifs. Pour ce faire, vous devriez tenir compte de la possibilité d’action de votre adversaire. Par exemple, un fournisseur de télécommunications mobiles peut accéder à tous les relevés de votre téléphone et potentiellement utiliser ces données contre vous. Sur un réseau Wi-Fi ouvert, un pirate peut accéder à vos communications non chiffrées. La possibilité d’action de votre gouvernement pourrait être encore plus étendue.

    Notez ce que votre adversaire pourrait vouloir faire de vos données personnelles.

    Dans quelle mesure ai-je besoin de le protéger ?

    Le risque est la probabilité qu’une certaine menace, contre un actif particulier, se réalise effectivement. Il va de pair avec la possibilité d’action. Bien que votre fournisseur de télécommunications mobiles puisse accéder à toutes vos données, le risque qu’il publie en ligne vos données personnelles pour nuire à votre réputation est faible.

    Il est important d’établir une distinction entre menaces et risques. Bien qu’une menace soit une chose fâcheuse qui pourrait avoir lieu, le risque est la probabilité que cette menace se réalise. Par exemple, il y a menace que votre bâtiment s’effondre, mais le risque que cela arrive est bien plus grand à San Francisco (où les tremblements de terre sont fréquents) qu’à Stockholm (où ce n’est pas le cas). Effectuer une analyse des risques est à la fois un processus personnel et subjectif ; tout le monde n’a pas les mêmes priorités ni ne perçoit les menaces de la même façon. Nombreux sont ceux qui trouvent certaines menaces inacceptables, quel que soit le risque, car la seule présence de menace, probable ou non, ne vaut pas le coût. Dans d’autres cas, les gens ignorent des risques élevés, car ils ne considèrent pas la menace comme un problème.

    Notez les menaces que vous allez prendre au sérieux et celles qui sont trop rares ou trop anodines (ou encore trop difficiles à combattre) pour vous en soucier.

    Quelles difficultés suis-je prêt à rencontrer pour prévenir ces conséquences ?

    Il faut effectuer l’analyse des risques pour répondre à cette question. Tout le monde n’a pas les mêmes priorités ni ne perçoit les menaces de la même façon.

    Par exemple, un avocat qui représente un client dans un cas de sécurité nationale sera probablement prêt à aller beaucoup plus loin pour protéger les communications concernant ce cas, comme chiffrer les courriels, qu’une mère qui envoie fréquemment des vidéos amusantes de chats à sa fille.

    Notez les options qui s’offrent à vous pour vous aider à atténuer vos menaces particulières. Notez aussi si vous avez des contraintes financières, techniques ou sociales.

    La modélisation des menaces comme pratique habituelle

    N’oubliez pas que votre modèle de menace peut évoluer en fonction de votre situation. C’est pourquoi il est de bonne pratique d’effectuer des évaluations fréquentes du modèle de menaces.

    Créez votre propre modèle de menaces en fonction de votre situation particulière. Inscrivez ensuite un rappel futur dans votre agenda, rappel qui vous invitera à revoir votre modèle de menaces et à évaluer si votre liste d’actifs est toujours pertinente à votre situation.

     

    Dernière actualisation: 
    2017-09-07
  • Choisir Vos Outils

    Tous les outils digitaux, qu’il s’agisse de matériel informatique ou de logiciels, devraient être sécurisés. C’est-à-dire, ils devraient vous protéger contre la surveillance et empêcher que votre dispositif ne soit contrôlé par les autres. Malheureusement, ce n’est pas le cas actuellement. Dans le cadre de nombreuses activités digitales, vous pouvez finir par avoir besoin de programmes spécialisés ou d’équipements conçus afin de fournir des caractéristiques spécifiques de sécurité. Les exemples que nous utilisons dans ce guide comprennent le logiciel qui vous permet de chiffrer vos messages ou fichiers, comme PGP.

    Mais étant donné le grand nombre de compagnies et de sites Web qui offrent des programmes ou du matériel informatique sécurisé, comment choisir celui qui satisfasse vos besoins ?

    La Sécurité est un Processus et non une Acquisition

    La première chose à prendre en compte avant de remplacer le logiciel que vous utilisez ou d’acquérir de nouveaux outils est qu’aucun outil ne vous protègera totalement contre la surveillance en toute circonstance. Utiliser un logiciel de chiffrement rendra plus difficile aux autres de lire vos communications ou de fureter dans les fichiers de votre ordinateur. Mais les attaques contre votre sécurité digitale chercheront toujours l’élément le plus faible dans vos pratiques de sécurité. Lorsque vous utilisez un nouvel outil sécurisé, vous devez penser que la manière d’en faire usage peut affecter d’autres façons de vous cibler. Par exemple, si vous décidez d’utiliser un programme de texte sécurisé afin de parler à un contact car vous savez que votre téléphone peut être sur écoute, le fait d’utiliser ce programme peut servir d’indice à votre adversaire et lui laisser penser que vous échangez des informations privées

    Deuxièmement, souvenez-vous de votre modèle de menace. Vous n’avez pas besoin d’acquérir un système téléphonique chiffré qui soit coûteux et prétende “être à l’épreuve de la NSA” si votre plus grande menace est la surveillance physique exercée par un enquêteur privé sans accès aux outils de surveillance d’Internet. Alternativement, si vous devez faire face à un gouvernement qui met fréquemment les dissidents en prison parce qu’ilsutilisent des outils de chiffrement, il est logique d’utiliser des trucs plus simples—comme un ensemble de codes pré arrangés—plutôt que de risquer qu’il puisse être démontré que vous utilisez un logiciel de chiffrement sur votre ordinateur portable.

    En conséquence, voici des questions que vous pouvez-vous poser avant de télécharger, acquérir ou utiliser un outil.

    Quel est son Niveau de transparence ?

    Même si la sécurité digitale semble exclusivement consister en garder des secrets, il existe une forte croyance entre les chercheurs en matière de sécurité selon laquelle la politique d’ouverture et la transparence conduisent à des outils plus sécurisés.

    La plupart du logiciel utilisé et recommandé par la communauté relative à la sécurité digitale est gratuit et libre, ce qui veut dire que le code qui définit son fonctionnement est publiquement disponible afin que d’autres personnes puissent l’examiner, le modifier et le partager. En étant transparent eu égard au fonctionnement de leurs programmes, les créateurs de ces outils invitent les autres à rechercher l’existence de défauts de sécurité et ainsi les aider à améliorer les programmes.

    Les logiciels libres fournissent l’opportunité d’une meilleure sécurité, sans toutefois la garantir. L’avantage d’être un logiciel libre repose en partie sur une communauté de techniciens qui vérifie réellement le code, ce qui peut être difficile à mener à bien en matière de petits projets (et même de projets complexes et célèbres). Lorsque vous envisagez d’utiliser un outil, vérifiez que son code source est disponible et si le code dispose d’un audit de sécurité indépendant afin de confirmer la qualité de cette sécurité. Les logiciels et le matériel informatique doivent au moins disposer d’une explication technique détaillée de leur fonctionnement, afin d’autres experts puissent l’examiner.

    Que Pensent ses Créateurs à Propos de ses Avantages et ses Inconvénients ?

    Aucun logiciel ni aucun matériel informatique est totalement sûr. Les créateurs ou vendeurs qui soient honnêtes à propos des limitations de leur produit vous donneront une bien meilleure idée de l’application appropriée à vos besoins.

    Ne faîtes pas confiance aux déclarations globales affirmant que le code est de “niveau militaire” ou à “l’épreuve de la NSA” ; ceci ne veut rien dire et vous avertit du fait que les créateurs sont trop confiants ou peu disposés à envisager les défauts potentiels de leur produit.

    Les attaquants sont toujours à la recherche de nouvelles façons de cracker la sécurité des outils, des logiciels et du matériel informatique ayant souvent besoin d’être actualisé afin de prévenir de nouvelles vulnérabilités. Le problème peut être grave si les créateurs d’un outil sont réticents, soit parce qu’ils craignent une mauvaise publicité, ou parce qu’ils n’ont pas construit l’infrastructure nécessaire à résoudre les problèmes.

    Vous ne pouvez pas prédire l’avenir, mais l’activité passée constitue un bon indicateur de la manière dont les créateurs d’outils se conduiront à l’avenir. Si le site Web de l’outil rubrique des problèmes précédent et fait le lien vers des actualisations et informations régulières—tout particulièrement comme le délai écoulé depuis sa dernière actualisation—vous pouvez être sûr qu’ils continueront de prêter ce service à l’avenir.

    Que se Passe-t-il si les Créateurs sont Compromis ?

    Lorsque les créateurs d’outils construisent des logiciels et du matériel informatique, ils (tout comme vous) doivent posséder un modèle de menace qui soit clair. Les meilleurs créateurs décriront de manière explicite dans leur documentation de quelle sorte d’attaquants ils peuvent vous protéger dans leur documentation.

    Mais il existe un attaquant auquel les fabricants ne veulent pas penser : que se passe-t-il si eux-mêmes sont compromis ou décident d’attaquer leurs utilisateurs ? Par exemple, un tribunal ou un gouvernement peut forcer une compagnie de fournir des données personnelles ou de créer une “porte dérobée” qui éliminera toutes les protections offertes par leurs outils. Vous devez envisager le (s) ressort (s) où les créateurs ont leur domicile. Si votre menace provient du gouvernement d’Iran, par exemple, une société ayant son domicile aux États-Unis pourra éluder les ordres d’un tribunal iranien, même si elle doit respecter les ordres provenant des États-Unis.

    Même si un créateur peut résister à la pression exercée par un gouvernement, un attaquant peut arriver au même résultat en faisant cracker les propres systèmes du créateur d’outils afin d’attaquer ses clients.

    Les outils les plus résistants sont ceux qui envisagent cette attaque comme potentielle et sont conçus afin de s’en défendre. Cherchez les termes qui affirment qu’un créateur ne peut pas avoir accès aux données privées, plutôt que ceux qui promettent qu’un créateur n’y aura pas accès. Cherchez les institutions réputées pour faire face aux ordres d’un tribunal en matière de données privées.

    Consultez les Mémoires et la Critique En Ligne

    Bien sûr, les compagnies vendeuses de produits et les enthousiastes faisant la publicité de leur dernier logiciel en date peuvent être fourvoyés, peuvent induire en erreur ou catégoriquement mentir. Un produit sécurisé à l’origine peut présenter de terribles défauts à l’avenir. Assurez-vous de demeurer bien informé des dernières nouveautés concernant les outils que vous utilisez.

    Connaissez-Vous d’Autres Personnes qui Utilisent le Même Outil ?

    Être à jour des dernières nouveautés relatives à un outil représente beaucoup de travail pour une seule personne. Si vous avez des collègues qui utilisent un produit ou service particulier, travaillez avec eux afin de demeurer au courant.

    Produits Mentionnés dans ce Guide

    Nous tâchons de garantir que les logiciels et le matériel informatique auxquels nous faisons référence dans ce guide sont conformes aux critères rubriqués ci-dessus : nous nous sommes réellement efforcés de ne rubriquer que les produits dont les bases soient solides, dans le cadre de nos connaissances actuelles en matière de sécurité digitale, et qui soient généralement transparents quant à leur fonctionnement (et leurs pannes), qui puissent se défendre contre la possibilité que les créateurs eux-mêmes soient compromis, et qui existent toujours, avec une base d’utilisateurs techniquement connaissable. Nous imaginons qu’ils possèdent, au moment d’écrire ce guide, le regard d’un public qui en examine les défauts, et feraient rapidement part de leur inquiétude au monde. Veuillez comprendre que nous ne disposons pas des ressources afin d’examiner et de faire des promesses indépendantes quant à leur sécurité, nous n’avalisons pas ces produits et ne pouvons pas en garantir la pleine sécurité.

    Quel Téléphone Dois-Je Acquérir ? Quel Ordinateur ?

    L’une des questions les plus fréquemment posées par les formateurs en sécurité est “Dois-je acquérir Android ou un iPhone ?” ou “Dois-je utiliser un PC ou un Mac ?” ou “Quel système d’exploitation dois-je utiliser ?” Les réponses à ces questions ne sont pas simples. La sécurité relative des logiciels et des dispositifs change constamment, au fur et à mesure de la découverte de nouveaux défauts et réparation d’anciens bogues. Les compagnies peuvent se faire la concurrence afin de vous fournir une meilleure sécurité, ou elles peuvent toutes se trouver sous la pression des gouvernements qui affaiblissent cette sécurité.

    Certains conseils sont en général avisés. Lorsque vous achetez un dispositif ou un système d’exploitation, soyez à jour quant aux actualisations du logiciel. Les actualisations résoudront souvent les problèmes de sécurité dans les codes plus vieux que les attaques peuvent exploiter. Les téléphones et systèmes d’exploitation plus anciens ne sont plus admis, même en matière d’actualisations de sécurité. En particulier, Microsoft a clairement affirmé que Windows XP et les versions antérieures de Windows ne recevront aucune assistance en cas de souffrir de problèmes de sécurité, aussi graves soient-ils. Si vous utilisez XP, ne vous attendez pas à ce qu’il soit sécurisé contre les attaquants (de même pour OS X dont la version soit antérieure à 10.7.5 ou "Lion").

    Dernière actualisation: 
    2018-04-19
  • Vérification des Codes

    Lorsque le chiffrement est correctement utilisé, vos communications ou informations ne devraient être lisibles que par la personne avec qui vous communiquez et vous-même. Le chiffrement global protège vos données contre la surveillance menée par les tiers, mais si vous n’êtes pas certain de l’identité de la personne avec qui vous parlez, son utilité est limitée. La vérification des codes doit intervenir à cet instant. En vérifiant les codes publics, la personne avec qui vous communiquez et vous-même ajoutez une autre couche de protection à votre conversation en confirmant l’identité l’une de l’autre, vous permettant ainsi d’être sûr que vous parlez à la personne adéquate.

    La vérification des codes est une caractéristique commune aux protocoles utilisant le chiffrement global, tels que PGP et OTR. Sur Signal, ils sont appelés «security numbers». Afin de vérifier les codes sans risque d’interférences, il est recommandé d’avoir recours à une méthode secondaire de communication, différente de celle que vous allez chiffrer, cette méthode se dénomme la vérification par le biais d’un autre réseau. Par exemple, si vous vérifiez vos empreintes digitales OTR, vous êtes susceptible de vous envoyer vos empreintes mutuellement et par e-mail. Dans cet exemple, l’e-mail constituerait ce réseau secondaire de communication.

    Vérifier les codes par le biais d’un autre réseau

    Il existe plusieurs manières de procéder. Si vous pouvez mener cette vérification à bien en toute sécurité et commodité, il est alors idéal de vérifier les codes face à face. Ceci se fait souvent lors de soirées de signature de codes ou entre collègues.

    Si vous ne pouvez pas vous rencontrer face à face, vous pouvez contacter votre correspondant grâce à d’autres moyens de communication. Par exemple, si vous tâchez de vérifier les codes PGP, vous pouvez y procéder par téléphone ou moyennant chat OTR.

    Indépendamment du programme que vous utilisiez, vous serez toujours à même de localiser à la fois votre code et celui de la personne avec qui vous communiquez.

    Bien que la méthode de localisation de vos codes varie en fonction du programme, celle de la vérification des codes demeure la même. Vous pouvez lire les empreintes digitales de vos codes à haute voix (si vous êtes face à face ou au moyen du téléphone), ou vous pouvez les copier-coller dans un programme de communication, mais quelle que soit celle que vous choisissiez, il est impératif de vérifier chaque lettre et chaque chiffre.

    Conseil utile : essayez de vérifier les codes avec l’un de vos amis. Afin de savoir comment vérifier les codes grâce à un programme spécifique, visitez celui-ci.

    Dernière actualisation: 
    2017-01-13
  • Présentation de la cryptographie à clé publique et de PGP

    PGP signifie Pretty Good Privacy (Confidentialité Plutôt Bonne). Il s’agit vraiment d’une  très bonne confidentialité. S’il est correctement utilisé, il peut protéger le contenu de vos messages, textes, voire fichiers, d’être compris même par les programmes de surveillance étatique bien financés. Lorsqu’Edward Snowden déclare que le “chiffrement fonctionne,” il parle de PGP et de son logiciel associé. Il n’est pas exceptionnel que les gouvernements volent les codes privés des ordinateurs de certaines personnes (en emportant l’ordinateur, ou en y infiltrant un logiciel malveillant par accès physique, ou en l’attaquant par le biais du hameçonnage), ce qui détruit la protection et permet même de lire des courriers anciens. Il serait comparable de dire que votre porte dispose d’un cadenas indéverrouillable mais que quiconque peut vous soustraire votre code dans la rue, puis le copier et le glisser de nouveau dans votre poche—et ainsi entrer chez vous sans même déverrouiller le cadenas.

    Malheureusement, PGP n’est pas facile à comprendre ou à utiliser. Le fort chiffrement utilisé par PGP—chiffrement à code public—est ingénieux mais difficile saisir. Le logiciel de PGP lui-même existe depuis 1991, ce qui le rend vintage, comme les premières versions de Microsoft Windows, et son apparence n’a pas beaucoup changé depuis lors.

    La bonne nouvelle réside dans le fait qu’il existe de nos jours de nombreux programmes disponibles, capables de dissimuler le design vieilli de PGP et de le rendre plus facile à utiliser, tout particulièrement en matière de chiffrement et d’authentification du courrier—l’utilisation principale de PGP. Nous avons inclus des guides afin d’installer et de faire fonctionner ce logiciel autre part.

    Avant de faire vos expériences avec PGP ou d’autres programmes l’utilisant, il vaut la peine de perdre quelques minutes afin de comprendre les fondements du chiffrement à code public : ce qu’il peut faire pour vous, ce qu’il ne peut pas faire et quand devez-vous l’utiliser.

    Une Histoire de Deux Codes

    Lorsque nous utilisons le chiffrement afin de combattre la surveillance, voici ce que nous tâchons de faire :

    Nous prenons un message clairement lisible, comme “bonjour maman. Nous le chiffrons dans un message codé incompréhensible pour celui que le lira (“OhsieW5ge+osh1aehah6,” dit-il). Nous envoyons ce message chiffré sur Internet où il peut être lu par beaucoup de personnes mais, heureusement, impossible à comprendre. Puis, il arrive à destination, notre destinataire désigné, et seulement lui dispose de la manière de le déchiffrer et lui rendre son sens d’origine.

    Pourquoi notre destinataire sait-il déchiffrer le message alors que personne d’autre ne le sait ? Parce qu’il connaît des informations complémentaires que personne ne connaît. Appelons-les le code de décodage, car il déverrouille le message à l’intérieur du code.

    Pourquoi le destinataire connaît-il ce code ? Parce que l’expéditeur le lui a préalablement indiqué, que ce soit en “en maintenant le message face à un miroir” ou en “prenant chaque lettre et la transformant en la prochaine lettre de l’alphabet.” Il existe cependant un problème avec cette stratégie. Si vous vous souciez d’être épié lorsque vous envoyez votre message code, comment envoyez-vous le code au destinataire sans que quelqu’un épie également cette conversation ? Il n’est pas logique d’envoyer un message ingénieusement chiffré si votre attaquant connaît d’ores-et-déjà le code afin de le déchiffrer. Et si vous disposez d’une manière secrète d’envoyer des codes de décodage, pourquoi ne l’utilisez-vous pas pour tous vos messages secrets ?

    La cryptographie à clé publique possède une solution élégante à ce problème. Chaque personne, au cours d’une conversation, possède une manière de créer deux codes. L’un d’eux est un code privé qu’elle garde secrètement et ne divulgue à personne. L’autre code est public et elle le met à la disposition de quiconque souhaitant communiquer avec elle. Peu importe qui peut voir ce code public. Vous pouvez l’afficher en ligne où tout le monde puisse le voir.

    Les “codes” eux-mêmes sont, fondamentalement, des chiffres très longs avec certaines propriétés mathématiques. Le code public et le code privé sont reliés. Si vous chiffrez quelque chose en utilisant le code public, quelqu’un d’autre peut le décoder en utilisant son code privé correspondant.

    Voyons son fonctionnement. Vous souhaitez envoyer un message secret à Aarav. Aarav possède le code privé, mais comme tout bon utilisateur du chiffrement à code public, il a affiché son code public associé sur sa page Web. Vous téléchargez le code public, chiffrez le message en utilisant ce dernier et le lui envoyez. Il peut le décoder car il possède le code privé correspondant– mais il n’y a que lui qui puisse le faire.

    Signature des temps actuels

    La cryptographie à clé publique se débarrasse également du problème de la contrebande de codes de déchiffrage vis-à-vis de la personne à laquelle vous souhaitez envoyer un message, car cette personne possède déjàle code. Vous devez juste disposer du code de chiffrement public correspondant que le destinataire peut mettre à disposition de tous, même des espions. Il est seulement utile au moment de chiffrer un message, il est inutile pour celui qui tâche de le déchiffrer.

    Il y a plus ! Si vous chiffrez un message avec un certain code public, il ne peut être déchiffré que grâce au code privé correspondant. Mais l’inverse est aussi vraie. Si vous chiffrez un message avec un certain code privé, il ne peut être déchiffré que grâce au code public correspondant.

    Pourquoi est-ce utile ? Au premier abord, il ne semble y avoir aucun avantage à créer un message secret avec votre code privé que tout le monde (ou tout du moins, ceux qui possèdent votre code public) peut cracker. Mais supposez que j’ai écrit un message disant “J’ai promis de payer 100$ à Aazul” puis que l’ai transformé en message secret grâce à mon code privé. N’importe qui peut déchiffrer ce message—mais une seule personne pet l’avoir écrit : la personne qui possède mon code privé. Si j’ai fait un bon travail en gardant mon code privé en lieu sûr, je suis le seul concerné. En effet, en le chiffrant avec mon code privé, j’ai garanti qu’il ne puisse provenir que de moi. En d’autres mots, j’ai fait la même chose avec ce message digital que nous faisons lorsque nous signonsun message dans le monde réel.

    Signer rend également le message infalsifiable. Si quelqu’un essaie de modifier “J’ai promis de payer 100$ à Aazul” par “J’ai promis de payer 100$ à Bob,” il ne pourra pas le re-signer en utilisant mon code privé. Un message signé garantit son origine, ainsi que le fait de na pas être tripatouillé en transit.

    Donc, la cryptographie à clé publique vous permet de chiffrer et d’envoyer des messages en toute sécurité à tous ceux dont vous connaissez le code public. Si d’autres personnes connaissent votre code public, ils peuvent vous envoyer des messages que vous seul pouvez déchiffrer. Et si les autres connaissent votre code public, vous pouvez signer les messages afin qu’ils sachent qu’ils viennent de vous. Et si vous connaissez le code public de quelqu’un d’autre, vous pouvez déchiffrer le message que cette personne a signé et savoir qu’il ne pouvait venir que d’elle.

    Il doit maintenant être clair que la cryptographie à clé publique devient utile quand bon nombre de personnes connaissent votre code public. Il doit également être évident que vous devez garder votre code privé en lieu sûr. Si quelqu’un d’autre obtient une copie de votre code privé, il peut se faire passer pour vous et signer des messages en prétendant que vous les avez écrits. PGP dispose d’une caractéristique vous permettant de “révoquer” un code privé et d’avertir les autres qu’il n’est plus digne de confiance, mais la solution n’est pas géniale. Le plus important lorsque vous utilisez le système de cryptographie à clé publique est de garder votre code privé en lieu très sûr.

    Fonctionnement de PGP

    Pretty Good Privacy se centre sur les menus détails de la création et de l’utilisation des codes public et privé. Vous pouvez créer une paire de codes public/privé grâce à lui, protéger le code privé avec un mot de passe et l’utiliser, ainsi que votre code public, afin de signer et de chiffrer des textes. Il vous permettra également de télécharger les codes publics d’autres personnes, ainsi que les vôtres sur des “serveurs de codes publics”, qui consistent en des référentiels où les autres peuvent trouver votre code. Consultez nos guides afin d’installer le logiciel compatible avec PGP sur votre logiciel de courrier.

    Si vous ne deviez retenir qu’une seule chose du présent aperçu, ce serait la suivante : vous devez garder votre code privé en lieu sûr et protégé moyennant un long mot de passe. Vous pouvez mettre votre code public à disposition de quiconque afin de communiquer ou de faire savoir que le message provient bien de vous.

    PGP Avancé : Le Web de Confiance

    Vous avez sans doute remarqué un défaut potentiel de fonctionnement de la cryptographie à clé publique. Supposez que je distribue un code public que je sais appartenir à Barack Obama. Si les autres me croient, ils commenceront sans doute à envoyer des messages secrets à Barack, en les chiffrant au moyen du code. Soit ils peuvent croire que tout ce qui a été signé grâce à ce code est une déclaration assermentée de Barack. Ceci est tout à fait particulier, est survenu à certaines personnes dans la vie réelle, y compris certains auteurs du présent document—certaines personnes leur ont écrit pour leur faire savoir qu’elles avaient été dupées ! (Nous ne sommes pas tout à fait sûrs, dans ces cas, si certains de ceux qui créent les faux codes peuvent réellement intercepter les messages en transit et les lire, ou s’il s’agit de l’équivalent d’un canular afin que ce soit moins pratique de maintenir des conversations sécurisées).

    Une autre attaque sournoise consiste en ce que l’attaquant se trouve entre deux personnes parlant en ligne, épiant ainsi toute leur conversation, et en y introduisant à l’occasion des messages trompeurs. Grâce à la conception d’Internet en tant que système de transport de messages via divers ordinateurs et parties privées, cette attaque est tout à fait possible. Dans cette circonstance (dénommée “attaque de l’homme du milieu”), échanger les codes sans accord préalable peut devenir extrêmement risqué. “Voici mon code”, annonce une personne qui semble être Barack Obama et vous envoie un fichier contenant un code public. Mais quid si quelqu’un a brouillé la transmission du code d’Obama et introduit son propre code ?

    Comment pouvons-nous prouver qu’un certain code appartient réellement à une certaine personne ? Une manière de procéder est d’en obtenir directement le code, mais elle ne vaut pas mieux que notre idée originale d’obtenir un code secret sans que personne ne nous épie. Pourtant, les personnes continuent d’échanger leurs codes publics lorsqu’elles se rencontrent, de en privé ou lors de soirées cryptographiques publiques.

    PGP dispose d’une solution légèrement meilleure, dénommée le “Web de confiance.” Sur le Web de confiance, si je crois qu’un code appartient à une certaine personne, je peux signer ce code puis le télécharger (ainsi que la signature) sur le serveur de codes publics. Ces serveurs de codes fourniront ensuite les codes publics signés à quiconque en faisant la demande.

    Grossièrement parlant, plus je croirais que les personnes ont signé le code et plus il est probable que je croie réellement que le code appartient à celui qui le réclame. PGP vous permet de signer les codes des autres personnes et d’avoir confiance en les autres signataires, s’ils signent un code, votre logiciel croira automatiquement que ce code est valide.

    Le Web de confiance possède ses propres défis et les organisations comme la Fondation Frontières Électroniques examinent actuellement de meilleures solutions. Mais pour l’instant, si vous souhaitez disposer d'une alternative à la fourniture des codes en personne, utiliser le Web de confiance et le réseau du serveur de codes publics demeure la meilleure option.

    Métadonnées : Ce Que PGP Ne Peut Pas Faire

    PGP consiste en garantir la confidentialité, l’authenticité et l’absence de falsification du contenu d’un message. Mais ce souci de confidentialité peut ne pas être le seul. Nous avons vu que les informations concernantvos messages peuvent être aussi révélatrices que leur contenu (Cf. “métadonnées”). Si vous échangez des messages PGP avec un dissident bien connu de votre pays, vous pouvez être en danger du seul fait de cette communication, et bien que ces messages ne soient pas déchiffrés. Effectivement, dans certains pays, vous pouvez risquer la prison simplement pour avoir refusé de décoder des messages chiffrés.

    PGP ne peut rien faire afin de déguiser la personne avec qui vous communiquez, ou que vous utilisiez PGP pour ce faire. Effectivement, si vous téléchargez votre code public sur les serveurs de codes, ou signez les codes d’autres personnes, vous faîtes savoir au monde entier quel code vous appartient et qui vous connaissez.

    Vous n’avez pas besoin d’en arriver là. Vous pouvez garder votre code public à l’abri et ne le mettre à la disposition que des personnes en qui vous avez confiance, ainsi que de leur interdire de le télécharger sur des serveurs de codes publics. Vous n’avez pas besoin de joindre votre nom à un code.

    Camoufler que vous communiquez avec une personne en particulier est plus difficile. Une manière de procéder consiste en ce que vous utilisiez tous les deux des comptes e-mail anonymes et ayez accès à eux en utilisant Tor. Ce faisant, PGP sera toujours d’utilité, à la fois afin de maintenir la confidentialité de vos messages et de prouver que ces derniers n’ont pas été falsifiés.

    Dernière actualisation: 
    2014-11-07
  • Guide d'utilisation d'OTR pour Mac

    Adium est un client de messagerie instantanée pour OS X, gratuit et libre, qui vous permet de chatter avec d’autres personnes sur de multiples protocoles de chat, y compris Google Hangouts, Yahoo! Messenger, Windows Live Messenger, AIM, ICQ, et XMPP.

    OTR (Confidentiel) est un protocole qui permet aux personnes de maintenir des conversations confidentielles en utilisant des outils de messagerie avec lesquels elles sont déjà familiarisées. Il ne doit pas être confondu avec le “Confidentiel” de Google qui désactive simplement la connexion au chat et ne dispose d’aucune capacité de chiffrement ou vérification. Pour les utilisateurs de Mac, OTR est fourni avec le client Adium incorporé.

    OTR utilise un chiffrement global. Vous pouvez l’utiliser afin de maintenir des conversations sur des services comme Google Hangouts ou Facebook sans que ces compagnies ne puissent jamais avoir accès au contenu des conversations. Cependant, le fait que vous avez une conversation est visible au fournisseur.

    Pourquoi dois-je utiliser Adium + OTR ?

    Lorsque vous maintenez une conversation via chat en utilisant Google Hangouts sur le site Web de Google, ce chat est chiffré moyennant HTTPS, donc le contenu de votre chat est protégé contre les pirates informatiques et autres tiers lorsqu’il est en cours. Il n’est cependant pas protégé contre Google, qui disposent des codes correspondant à votre conversation et peuvent les remettre aux autorités et peuvent les remettre aux autorités ou les utiliser pour la commercialisation.

    Après avoir installé Adium, vous pouvez vous inscrire en utilisant de multiples comptes à la fois. Par exemple, vous pouvez utiliser Google Hangouts et XMPP de manière simultanée. Adium vous permet également de chater en utilisant ces outils sans OTR. Étant donné qu’OTR ne fonctionne que si les deux personnes l’utilisent, ce qui signifie que même si l’autre personne ne l’a pas installé, vous pouvez toujours chater avec elle en utilisant Adium.

    Adium vous permet également d’effectuer des vérifications hors réseau afin de vous assurer que vous parlez à la personne à laquelle vous croyez parler et que vous ne faites l’objet d’une attaque MITM (de l’homme du milieu). Au cours de chaque conversation, il existe une option qui affichera les empreintes digitales codées à votre disposition et celle de la personne avec qui vous chatez. Une empreinte digitale codée" consiste en une chaîne de caractères telle que "342e 2309 bd20 0912 ff10 6c63 2192 1928,” utilisée afin de vérifier un code public plus long. Échangez vos empreintes digitales sur un autre réseau de communication comme Twitter DM, ou par e-mail, afin de vous assurer que personne n’interfère avec votre conversation. Si les clés ne correspondent pas, vous ne pouvez pas être sûr que vous parlez à la bonne personne. Souvent, les gens utilisent plusieurs de clés, ou les perdent et d'avoir à recréer de nouvelles clés, donc ne soyez pas surpris si vous devez re-vérifier vos clés avec vos amis.

    Limitations : Quand ne dois-je pas utiliser Adium + OTR ?

    Les techniciens emploient un terme afin de décrire qu’un programme ou une technologie peut être vulnérable aux attaques externes : ils disent qu’il dispose d’une grande “surface d’attaque.” Adium dispose d’une grande surface d’attaque. Il s’agit d’un programme complexe, qui n’a pas été écrit en faisant de la sécurité une priorité maximale. Il est sans doute envahi par les bogues, certains d’entre eux pouvant être utilisés par les gouvernements, voire les grandes compagnies, afin de cracker les ordinateurs qui l’utilisent. Utiliser Adium afin de chiffrer vos conversations constitue une grande défense contre le type de surveillance en rafle non ciblée utilisé afin d’épier les conversations de tous sur Internet, mais si vous croyez être personnellement ciblé par un attaquant pourvu de bonnes ressources (comme un état-nation), vous devez envisager des précautions plus fortes, comme le courrier chiffré PGP.

    Installer Adium + OTR Sur Votre Mac

    Étape 1 : Installer le programme

    Tout d’abord, rendez-vous sur https://adium.im/dans votre navigateur. Sélectionnez “Télécharger Adium 1.5.9.” Le fichier se téléchargera en tant que a .dmg, ou image de disque, et sera probablement sauvegardé dans votre dossier “téléchargements”.

    Double cliquez sur le fichier ; ce qui fera émerger une fenêtre dont l’apparence sera celle qui suit :

    Déplacez l’icône Adium dans le dossier “Applications” afin d’installer le programme. Une fois le programme installé, cherchez-la dans votre dossier Applications et double cliquez afin de l’ouvrir.

    Étape 2 : Configurez votre (vos) compte (s)

    Tout d’abord, vous devrez décider quels outils ou protocoles de chat vous souhaitez utiliser avec Adium. Le processus de configuration est similaire, mais pas identique, pour chaque type d’outils. Vous devrez connaître le nom de compte de chaque outil ou protocole, ainsi que votre mot de passe pour chaque compte.

    Afin de configure un compte, rendez-vous sur le menu d’Adium tout en haut de votre écran et cliquez sur “Adium”, puis “Préférences.” Ceci ouvrira une fenêtre avec un autre menu tout en haut. Sélectionnez “Comptes”, puis cliquez sur le signe “+” tout en bas de la fenêtre. Vous visualiserez un menu qui ressemble à ce qui suit :

    Sélectionnez le programme que vous souhaitez souscrire. Puis, il vous sera demandé de demandé de saisir votre nom d’utilisateur et mot de passé, ou d’utiliser l’outil d’autorisation d’Adium afin de signer votre compte. Suivez les instructions d’Adium avec soin.

    Comment Démarrer un Chat avec OTR ?

    Une fois que vous avez souscrit un ou plusieurs comptes, vous pouvez commencer à utiliser OTR.

    Souvenez-vous : afin de maintenir une conversation en utilisant OTR, les deux personnes doivent utiliser un programme de chat qui admette OTR.

    Étape 1 : Démarrer un chat avec OTR

    Tout d’abord, identifies quelqu’un qui utilise OTR et initiez une conversation avec lui sur Adium en double cliquant sur son nom. Une fois que vous avez ouvert la fenêtre du chat, vous visualiserez un petit verrou d’ouverture en haut à gauche de la fenêtre du chat. Cliquez sur le verrou et sélectionnez “Initier Chat OTR Chiffré”.

    Étape 2 : Vérifiez votre connexion

    Une fois que vous avez initié le chat et que l’autre personne a accepté votre invitation, vous visualiserez l’icône du verrou se fermer ; ainsi, vous savez que votre chat est désormais chiffré (toutes nos félicitations !) – Mais attendez, il existe encore une autre étape !

    Arrivé à ce point, vous avez initié un chat non vérifié et chiffré. Ceci signifie que même si vos communications sont chiffrées, vous n’avez pas encore déterminé ni vérifié l’identité de la personne avec qui vous chatez. Sous réserve de vous trouver dans la même pièce et de pouvoir visualiser les écrans de l’autre, il est important de vérifier vos identités. Pour en savoir plus, lisez le module relatif à la Vérification du Code.

    Afin de vérifier l’identité d’un autre utilisateur d’Adium, cliquez de nouveau sur le verrou et sélectionnez “Vérifier.” Vous visualiserez une fenêtre affichant à la fois votre code et celui de l’autre utilisateur. Certaines versions d’Adium admettent exclusivement une vérification manuelle des empreintes digitales. Ceci signifie que qu’en utilisant la même méthode, la personne avec vous chatez et vous-mêmes devrez vérifier que les codes affichés par Adium coïncident exactement.

    La manière la plus facile d’y procéder est de les lire à haute voix, l’un à l’autre en personne, ce qui n’est pas toujours possible. Il existe différentes manières d’y arriver, avec différents niveaux de fiabilité. Par exemple, vous pouvez lire vos codes à haute voix l’un à l’autre par téléphone si vous reconnaissez vos voix respectives ou les envoyer en utilisant une autre méthode de communication vérifiée telle que PGP. Certaines personnes publient leurs codes sur leur site Web, compte Twitter ou carte de visite.

    Le plus important est de vérifier que chaque lettre et chaque chiffre coïncide parfaitement.

    Étape 3 : Désactiver la connexion

    Maintenant que vous avez initié un chat chiffré et vérifié l’identité de votre partenaire de chat, il existe encore une chose que vous devez faire. Malheureusement, Adium connecte vos chats OTR chiffrés par défaut, les sauvegardant dans votre disque dur. Ceci signifie que, malgré le fait qu’ils soient chiffrés, ils sont sauvegardés en texte brut sur votre disque dur.

    Afin de désactiver la connexion, cliquez sur “Adium” dans le menu tout en haut de votre écran, puis sur “Préférences.” Dans la nouvelle fenêtre, sélectionnez “Général” puis désactiver “Messages de Connexion” et “Connexion aux chats sécurisés OTR”. Rappelez-vous que vous n'avez pas de contrôle sur la personne avec qui vous parlez, elle pourrait enregistrer vos chats OTR chiffrés ou prendre des captures d'écran de votre conversation, même si vous vous avez désactivé la connexion.

    Vos paramètres doivent maintenant ressembler à ce qui suit :

    De même, lorsqu’Adium affiche les notifications de nouveaux messages, le contenu de ces derniers peut être connecté par le Centre de Notification d’OS X. Ce qui signifie qu’Adium ne laisse aucune trace de vos communications sur votre propre ordinateur ou celui de votre correspondant, votre version informatique d’OS X ou celle de votre correspondant peut conserver un enregistrement. Afin de prévenir cette situation, vous pouvez désactiver les notifications.

    Afin d’y procéder, sélectionnez "Évènements" dans la fenêtre des Préférences et cherchez l’entrée "Afficher une notification." À chaque entrée, agrandissez en cliquant sur le triangle gris puis sur la ligne "Afficher une notification," puis cliquez sur l’icône moins ("-") en bas à gauche afin d’effacer cette ligne. Si les enregistrements demeurant sur votre ordinateur vous préoccupent, vous devez également chiffrer le disque dans son intégralité, ce qui aidera à protéger ces données contre les tiers souhaitant les obtenir sans votre mot de passe.

    Dernière actualisation: 
    2017-01-19
Next:
JavaScript license information