Surveillance
Self-Defense

Vétéran de la sécurité en ligne ?

  • Vétéran de la sécurité en ligne ?

    Guides avancés afin d'améliorer vos compétences en matière d'Autodéfense contre la surveillance

    Toutes nos félicitations ! Vous avez déjà pris les mesures afin d'améliorer la sécurité de vos communications en ligne. Maintenant, vous souhaitez passer au niveau suivant et, grâce à cette liste de lecture, vous pouvez. Vous apprendrez à comprendre les menaces, à vérifier l'identité de la personne avec qui vous communiquez et ajouter quelques nouveaux outils à votre répertoire.

  • Votre plan de sécurité

    Tenter de protéger toutes vos données, de tout le monde, en tout temps est irréaliste et épuisant. Mais n’ayez crainte ! La sécurité est un processus, et une planification réfléchie vous permettra d’établir un plan qui vous convient. La sécurité ne se réduit pas aux outils que vous utilisez ou aux logiciels que vous téléchargez. Elle commence par une compréhension des menaces particulières auxquelles vous êtes exposé et de la façon de vous en prémunir.

    En sécurité informatique, une menace est un événement potentiel qui pourrait compromettre vos efforts pour défendre vos données. Vous pouvez faire obstacle aux menaces auxquelles vous êtes exposé en déterminant ce que vous devez protéger, et contre qui. C’est le processus de planification de la sécurité, souvent appellé « modélisation des menaces ».

    Ce guide vous apprendra à établir un plan de sécurité pour vos renseignements numériques et à déterminer les solutions qui vous conviennent le mieux.

    À quoi pourrait ressembler un plan de sécurité ? Disons que vous souhaitez assurer la sécurité de votre maison et de vos possessions. Voici quelques questions que vous pourriez vous poser :

    Qu’est-ce qui vaut la peine d’être protégé dans ma maison ?

    • Les biens pourraient inclure : des bijoux, des appareils électroniques, des documents financiers, des passeports ou des photos

    Contre qui les protéger ?

    • Les adversaires pourraient être : des cambrioleurs, des colocataires ou des invités

    Dans quelle mesure ai-je besoin de les protéger ?

    • Des cambriolages ont-ils déjà eu lieu dans mon quartier ? Mes colocataires ou invités sont-ils dignes de confiance ? Que pourraient faire mes adversaires ? Quels risques devrais-je prendre en considération ?

    Quelle est l’ampleur des conséquences si j’échoue ?

    • Ai-je quoi que ce soit qui ne peut pas être remplacé dans ma maison ? Ai-je le temps ou l’argent pour remplacer ces choses ? Mon assurance couvre-t-elle les biens volés dans ma maison ?

    Quelles difficultés suis-je prêt à rencontrer pour prévenir ces conséquences ?

    • Suis-je prêt à acheter un coffre pour les documents de nature délicate ? Puis-je me permettre d’acheter une serrure de haute qualité ? Ai-je le temps de louer un coffret de sécurité à ma banque locale et d’y conserver mes biens de valeur ?

    Une fois que vous vous êtes posé ces questions, vous êtes à même d’évaluer les mesures à prendre. Si vous possédez des biens de valeur, mais que la probabilité d’un cambriolage est moindre, vous ne voudrez alors peut-être pas investir trop d’argent dans une serrure. Mais si la probabilité est élevée, vous achèterez la meilleure serrure sur le marché ou envisagerez d’acheter un système de sécurité.

    Établir un plan de sécurité vous aidera à comprendre les menaces particulières auxquelles vous êtes exposé, mais aussi à évaluer vos actifs, vos adversaires et leurs possibilités d’action, tout en diminuant les risques possibles.

    Comment puis-je établir mon propre plan de sécurité ? Par où commencer ?

    La planification de la sécurité vous aide à cerner ce qui pourrait arriver aux choses auxquelles vous tenez et à déterminer contre qui vous devez les protéger. Répondez à ces cinq questions quand vous établissez un plan de sécurité :

    1. Que veux-je protéger ?
    2. Contre qui ?
    3. Quelle est l’ampleur des conséquences si j’échoue ?
    4. Dans quelle mesure ai-je besoin de le protéger ?
    5. Quelles difficultés suis-je prêt à rencontrer pour tenter de prévenir des conséquences potentielles ?

    Regardons chacune de ces questions de plus près.

    Que veux-je protéger ?

    Un bien est quelque chose auquel vous tenez et que vous souhaitez protéger. Dans le contexte de la sécurité numérique, on parlera plutôt d’« actifs » qui seront habituellement des informations. Par exemple, vos courriels, vos listes de contacts, vos messages instantanés, votre position géographique et vos fichiers sont tous des actifs possibles.

    Rédigez une liste de vos actifs : les données que vous conservez, où elles se trouvent, qui y ont accès, et enfin ce qui empêche les autres d’y accéder.

    Contre qui le protéger ?

    Pour répondre à cette question, il est important de déterminer qui pourrait vouloir prendre vos renseignements ou vous pour cible. Une personne ou entité qui présente une menace pour vos biens est un « adversaire ». Votre patron, votre ancien associé, votre concurrent commercial, votre gouvernement ou un pirate sur un réseau public sont des exemples d’adversaires possibles.

    Rédigez une liste de vos adversaires et de ceux qui pourraient vouloir s’emparer de vos actifs. Votre liste peut comprendre des personnes, un organisme gouvernemental ou des entreprises.

    En fonction de l’identité de vos adversaires, dans certaines conditions, vous voudrez peut-être détruire cette liste après avoir planifié la sécurité.

    Quelle est l’ampleur des conséquences si j’échoue?

    Un adversaire pourrait accéder à vos données de différentes façons. Par exemple, un adversaire peut lire vos communications personnelles alors qu’elles transitent par le réseau, ou il peut supprimer ou corrompre vos données.

    Les intentions des adversaires diffèrent considérablement, tout comme leurs tactiques. Un gouvernement qui tente d’empêcher la propagation d’une vidéo de violence policière pourrait se contenter de supprimer cette vidéo ou d’y réduire l’accès. Par contre, un adversaire politique souhaitera peut-être avoir accès à un document secret afin de le publier sans que vous le sachiez.

    La planification de la sécurité implique aussi de comprendre la gravité des conséquences si un adversaire réussissait à accéder à l’un de vos actifs. Pour ce faire, vous devriez tenir compte de la possibilité d’action de votre adversaire. Par exemple, votre fournisseur de télécommunications mobiles peut accéder à tous les relevés de votre téléphone. Sur un réseau Wi-Fi ouvert, un pirate peut accéder à vos communications non chiffrées. La possibilité d’action de votre gouvernement pourrait être encore plus étendue.

    Notez ce que votre adversaire pourrait vouloir faire de vos données personnelles.

    Dans quelle mesure ai-je besoin de le protéger ?

    Le risque est la probabilité qu’une certaine menace, contre un actif particulier, se réalise effectivement. Il va de pair avec la possibilité d’action. Bien que votre fournisseur de télécommunications mobiles puisse accéder à toutes vos données, le risque qu’il publie en ligne vos données personnelles pour nuire à votre réputation est faible.

    Il est important de faire une distinction entre ce qui pourrait arriver et la probabilité que cela arrive. Par exemple, il y a menace que votre bâtiment s’effondre, mais le risque que cela arrive est bien plus grand à San Francisco (où les tremblements de terre sont fréquents) qu’à Stockholm (où ce n’est pas le cas).

    Évaluer les risques est à la fois un processus personnel et subjectif. Nombreux sont ceux qui trouvent certaines menaces inacceptables, quelle que soit la probabilité qu’elles se concrétisent, car la seule présence de menace, probable ou non, ne vaut pas le coût. Dans d’autres cas, les gens ignorent des risques élevés, car ils ne considèrent pas la menace comme un problème.

    Notez les menaces que vous allez prendre au sérieux et celles qui sont trop rares ou trop anodines (ou encore trop difficiles à combattre) pour vous en soucier.

    Quelles difficultés suis-je prêt à rencontrer pour prévenir ces conséquences ?

    Il n’y a pas d’option parfaite en matière de sécurité. Tout le monde n’a pas les mêmes priorités, les mêmes inquiétudes, ni le même accès à des ressources. Votre évaluation du risque vous permettra de planifier la stratégie de sécurité qui vous convient, en assurant un équilibre entre commodité, coût et confidentialité.

    Par exemple, un avocat qui représente un client dans un cas de sécurité nationale pourrait aller beaucoup plus loin pour protéger les communications concernant ce cas, comme chiffrer les courriels, qu’une mère qui envoie fréquemment des vidéos amusantes de chats à sa fille.

    Notez les options qui s’offrent à vous pour vous aider à atténuer vos menaces particulières. Notez aussi si vous avez des contraintes financières, techniques ou sociales.

    La planification de la sécurité comme pratique habituelle

    N’oubliez pas que votre plan de sécurité peut évoluer en fonction de votre situation. C’est pourquoi il est de bonne pratique de revoir votre plan de sécurité fréquemment.

    Créez votre propre plan de sécurité en fonction de votre situation particulière. Inscrivez ensuite un rappel futur dans votre agenda, rappel qui vous invitera à revoir votre plan et à évaluer s’il s’applique toujours à votre situation.

    Dernière révision : 
    10-01-2019
  • Choisir vos outils

    Alors que tant d’entreprises et sites Web offrent des outils dont le but est d’aider les utilisateurs à améliorer leur propre sécurité numérique, comment choisissez-vous les outils qui vous conviennent ?

    Nous n’avons pas de liste infaillible d’outils qui peuvent vous défendre (bien que vous pouvez trouver des choix courants dans nos Guides sur les outils). Mais si vous avez une idée précise de ce que vous essayez de protéger et contre qui, ce guide peut vous aider à choisir les outils appropriés en suivant quelques recommandations élémentaires.

    Souvenez-vous, la sécurité ne se limite pas aux outils que vous utilisez ni aux logiciels que vous téléchargez. Elle commence par une compréhension des menaces uniques que vous confrontez et de la façon dont vous pouvez contrecarrer ces menaces. Plus de renseignements se trouvent dans notre guide Évaluer votre degré de risques.

    La sécurité est un processus, pas un achat

    La première chose à vous rappeler avant de changer les logiciels que vous utilisez ou d’acheter de nouveaux outils est qu’aucun outil ou logiciel ne vous donnera en toutes circonstances une protection absolue contre la surveillance. Il est par conséquent important de considérer vos pratiques de sécurité numérique de façon holistique. Par exemple, si vous utilisez des outils sécurisés sur votre téléphone, mais que vous n’avez pas de mot de passe sur votre ordinateur, les outils sur votre téléphone ne vous aideront pas beaucoup. Si quelqu’un veut se procurer des renseignements sur vous, il choisira la manière la plus simple de les obtenir, pas la plus difficile.

    De plus, il est impossible de se protéger contre toutes sortes de mauvais tours ou d’assaillants, et vous devriez vous concentrer sur les personnes qui pourrait vouloir vos données, ce qu’elles pourraient en tirer et comment elles pourraient les obtenir. Si votre plus grande menace est la surveillance physique d’un détective privé sans accès aux outils de surveillance par Internet, il est inutile d’acheter quelque système téléphonique chiffré coûteux qui prétend être à l’épreuve des organismes de renseignement. Par ailleurs, si vous faites face à un gouvernement qui emprisonne habituellement les dissidents parce qu’ils utilisent des outils de chiffrement, il pourrait être logique d’utiliser des tactiques plus simples, comme mettre en place des codes préétablis à l’apparence anodine pour transmettre des messages, plutôt que de courir le risque de laisser des preuves que vous utilisez des logiciels de chiffrement sur votre ordinateur portable. On appelle modélisation des menaces la détermination d’un ensemble d’attaques possibles contre lesquelles vous prévoyez de vous protéger.

    Compte tenu de tout cela, voici quelques questions que vous pouvez poser au sujet d’un outil avant de le télécharger, de l’acheter ou de l’utiliser.

    Est-il transparent ?

    Nombreux sont les chercheurs en matière de sécurité qui estiment que la transparence se traduit par des outils plus sécurisés.

    Une grande partie des logiciels que la communauté de la sécurité numérique utilise et recommande sont à code source ouvert. Cela signifie que le code qui définit le fonctionnement de ces logiciels est accessible au public afin de pouvoir être examiné, modifié et partagé par d’autres. En faisant preuve de transparence sur le fonctionnement de leur programme, les créateurs de ces outils invitent autrui à découvrir des vulnérabilités informatiques et à contribuer à améliorer le programme.

    Les logiciels à code source ouvert offrent la possibilité d’une sécurité accrue sans toutefois la garantir. L’avantage du code source ouvert s’appuie en partie sur une communauté de technologues qui examinent le code, ce qui pour les petits projets (et même pour les projets populaires et complexes) pourrait s’avérer difficile à faire.

    Lorsque vous envisagez d’utiliser un outil, vérifiez si son code source est accessible et s’il propose un audit de sécurité indépendant pour confirmer la qualité de sa sécurité. À tout le moins, les logiciels et le matériel devraient inclure une explication technique détaillée de leur fonctionnement pour qu’elle soit examinée par d’autres experts.

     

    Ses créateurs présentent-ils clairement ses avantages et ses inconvénients ?

    Aucun logiciel ni matériel n’est complètement sécurisé. Cherchez des outils dont les créateurs ou les vendeurs sont honnêtes quant aux limites de leur produit.

    Les énoncés trompeurs qui prétendent que le code est de « calibre militaire » ou « à l’épreuve des organismes de renseignement » sont des indicateurs. Ces déclarations indiquent que les créateurs sont présomptueux ou qu’ils ne veulent pas envisager les défaillances possibles de leur produit.

    Dans la mesure où les assaillants tentent toujours de découvrir de nouvelles atteintes à la sécurité des outils, les logiciels et le matériel doivent être mis à jour pour corriger les vulnérabilités. Cela pourrait constituer un grave problème si les créateurs ne sont pas disposés à le faire, soit parce qu’ils craignent une mauvaise publicité, soit parce qu’ils n’ont pas conçu l’infrastructure pour le faire. Cherchez des créateurs qui sont prêts à effectuer ces mises à jour et qui sont parfaitement honnêtes sur leurs raisons de le faire.

    Les activités passées sont un bon indicateur du comportement futur des créateurs d’outils. Si le site Web d’un outil liste les problèmes antérieurs en donnant des liens vers des mises à jour et des informations régulières (comme plus particulièrement la date de la dernière mise à jour du logiciel), vous pouvez avoir une meilleure assurance qu’ils continueront à offrir ce service à l’avenir.

    Qu’arrive-t-il si les créateurs sont compromis ?

    Quand les créateurs d’outils de sécurité conçoivent des logiciels et du matériel, ils doivent (comme vous) avoir un modèle de menaces précis. Les meilleurs créateurs décriront clairement dans leur documentation contre quelle sorte d’adversaires ils peuvent vous protéger.

    Mais il existe un assaillant auquel de nombreux fabricants ne veulent pas penser : eux-mêmes ! Que se passe-t-il s’ils sont compromis ou décident d’attaquer leurs propres utilisateurs ? Par exemple, un tribunal ou un gouvernement pourrait obliger une entreprise à remettre des données personnelles ou à créer une « porte dérobée » qui supprimerait toutes les protections que leur outil offre. Prenez donc en considération le ou les pays où les créateurs se trouvent. Si vous pensez devoir vous protéger contre le gouvernement de l’Iran, par exemple, une compagnie située aux É.-U. pourra résister aux ordonnances des tribunaux iraniens, même si elle doit se conformer aux ordonnances étasuniennes.

    Même si un créateur peut résister à la pression gouvernementale, un assaillant pourrait tenter de s’introduire dans les systèmes du créateur d’outils afin d’attaquer ses clients.

    Les outils les plus résilients sont ceux qui prennent ce genre d’attaque en considération et sont conçus pour s’en défendre. Cherchez des renseignements qui affirment qu’un créateur ne peut pas accéder aux renseignements personnels et non des promesses qu’il ne le fera pas. Cherchez des organisations ayant la réputation de se battre contre les ordonnances de remise des données personnelles (page en anglais).

    A-t-il fait l’objet d’un rappel ou a-t-il été critiqué en ligne ?

    Les entreprises qui vendent des produits et les passionnés qui font la promotion de leur dernier logiciel peuvent être induits en erreur, trompeurs ou même mentir de façon éhontée. Un produit qui était sécuritaire à l’origine pourrait comporter des vulnérabilités importantes dans le futur. Assurez-vous d’être au courant des dernières nouvelles concernant les outils que vous utilisez.

    Se tenir au courant des dernières nouvelles au sujet d’un outil est une tâche importante pour une seule personne. Si vos collègues utilisent un produit ou un service particulier, collaborer avec eux pour rester informés.

     

    Quel téléphone devrais-je acheter ? Quel ordinateur ?

    L’on demande souvent aux formateurs en matière de sécurité : « Devrais-je acheter un téléphone Android ou un iPhone ? » ou « Devrais-je acheter un PC ou un Mac ? » ou « Quel système d’exploitation devrais-je utiliser ? ». Il n’y a pas de réponses simples à ces questions. La sécurité relative des logiciels et des appareils change constamment alors que de nouvelles vulnérabilités sont découvertes et que des bogues anciens sont corrigés. Les entreprises peuvent se faire concurrence pour vous offrir une meilleure sécurité ou elles peuvent toutes subir la pression des gouvernements pour affaiblir cette sécurité.

    Cependant, un conseil d’ordre général s’avère presque toujours. Quand vous achetez un appareil ou un système d’exploitation, assurez-vous de le garder à jour grâce aux mises à jour logicielles. Les mises à jour corrigeront souvent des problèmes de sécurité présents dans du code plus ancien que les attaques peuvent exploiter. Veuillez noter que certains téléphones et systèmes d’exploitation plus anciens pourraient ne plus recevoir de soutien, même pour les mises à jour de sécurité. Notamment, Microsoft a indiqué clairement que les versions de Windows Vista, XP et antérieures ne recevront plus de correctifs, même pour les problèmes graves de sécurité. Cela signifie que si vous les utilisez, vous ne pouvez pas vous attendre à ce qu’il soit à l’abri des assaillants. Il en est de même pour OS X avant 10.11 ou El Capitan.

    Maintenant que vous avez pris en considération les menaces auxquelles vous faites face et savez quoi chercher dans un outil de sécurité numérique, vous pouvez choisir avec plus de confiance les outils les plus appropriés à votre situation particulière.

    Les produits mentionnés dans Autodéfense contre la surveillance

    Nous essayons de faire en sorte que les logiciels et le matériel mentionnés dans ACS satisfassent aux critères indiqués ci-dessus. Nous nous sommes employés, en toute bonne foi, à ne lister que les produits qui :

    • possèdent une excellente connaissance de ce que nous savons actuellement en matière de sécurité numérique,
    • font généralement preuve de transparence en ce qui concerne leur fonctionnement (et leurs défauts),
    • offrent des mécanismes de défense contre la possibilité que les créateurs mêmes puissent être compromis et
    • sont actuellement maintenus, avec un vaste parc d’utilisateurs disposant de bonnes connaissances techniques.

    Au moment de la rédaction, nous pensons qu’ils touchent un grand nombre d’utilisateurs qui examinent les vulnérabilités qu’ils pourraient comporter et soulèveraient publiquement leurs préoccupations. Comprenez cependant que nous ne disposons pas de ressources pour examiner leur sécurité ni la garantir. Nous n’avalisons pas ces produits et ne pouvons garantir une sécurité absolue.

    Dernière révision : 
    29-10-2018
  • Vérification des clés

    Quand le chiffrement est utilisé adéquatement, vos communications ou informations ne devraient être lisibles que par vous et les personnes avec qui vous communiquez. Le chiffrement de bout en bout protège vos données contre la surveillance par des tiers, mais si vous n’êtes pas certain de l’identité de la personne avec qui vous communiquez, son utilité est restreinte. C’est là que la vérification des clés est importante. En vérifiant vos clés publiques, vous et la personne avec qui vous communiquez ajoutez une couche supplémentaire de protection à vos conversations en confirmant réciproquement vos identités, vous permettant ainsi d’être encore plus sûr que vous parlez à la bonne personne.

    La vérification des clés est une caractéristique courante des protocoles qui utilisent le chiffrement de bout en bout, tels que PGP et OTR. Dans Signal, ils sont appelés « numéros de sécurité ». Pour vérifier les clés sans risque d’interférence, il est conseillé d’utiliser un moyen de communication autre que celui que vous allez chiffrer ; c’est ce que l’on appelle la vérification hors bande. Par exemple, si vous vérifiez vos empreintes OTR, le courriel serait le second moyen de communication.

    Vérification hors bande des clés

    Il existe plusieurs façons de la mener à bien. Si elle peut être organisée en toute sécurité et que cela est pratique, une rencontre en personne est idéale pour vérifier des clés. Une telle vérification a souvent lieu lors de rencontres de signature de clés ou entre collègues,

    Si vous ne pouvez pas vous rencontrer en personne, vous pouvez contacter votre correspondant par un moyen de communication autre que celui pour lequel vous essayez de vérifier les clés. Par exemple, si vous essayez de vérifier des clés PGP auprès de quelqu’un, vous pourriez le faire au téléphone ou avec une application de dialogue en ligne qui utilise le protocole OTR.

    Quel que soit le programme que vous utilisez, vous pourrez toujours trouver à la fois votre clé et la clé de votre partenaire de communication.

    Bien que la manière de trouver votre clé varie d’un programme à l’autre, la méthode de vérification des clés reste à peu près la même. Vous pouvez soit lire à haute voix l’empreinte de votre clé (que ce soit en personne ou au téléphone), soit la copier et la coller dans un programme de communication. D’une façon ou d’une autre, il est impératif que vous vérifiiez chaque lettre et chaque chiffre.

    Conseil : essayez de vérifier des clés auprès de l’un de vos amis. Pour apprendre à vérifier des clés avec un programme particulier, consultez le guide pratique de ce programme.

    Dernière révision : 
    13-01-2017
  • Les notions essentielles du chiffrement

    Dans certaines circonstances, le chiffrement peut être relativement automatique et simple. Mais des embûches peuvent parfois survenir avec le chiffrement. Plus vous le comprendrez, plus vous serez à l’abri de telles situations. Nous vous recommandons de lire le guide « Que devrais-je savoir au sujet du chiffrement ? » en premier si ce n’est pas déjà fait.

    Dans ce guide, nous examinerons cinq idées principales. Elles présentent des concepts importants pour comprendre le chiffrement en transit :

    • Un chiffre, une clé
    • Le chiffrement symétrique et asymétrique
    • Les clés privées et publiques
    • La vérification de l’identité pour les personnes (empreintes de clés publiques)
    • La vérification de l’identité pour les sites Web (certificats de sécurité)

    Un chiffre, une clé

    Vous avez probablement déjà vu quelque chose qui était incompréhensible pour vous de prime abord. Cela ressemblait peut-être à une autre langue ou à du charabia. Il existait une sorte de barrière qui vous empêchait de le lire et de le comprendre. Cela ne veut pas nécessairement dire que c’est chiffré.

    Quelle est la différence entre quelque chose qui est incompréhensible et quelque chose qui est chiffré ?

    Le chiffrement est un processus mathématique qui est utilisé pour chiffrer une information afin qu’elle ne puisse être déchiffrée qu’avec une connaissance particulière.

    Un chiffre est un ensemble de règles (un algorithme) pour chiffrer et déchiffrer. Ce sont des étapes bien définies qui peuvent être suivies comme une formule.

    Une clé est un élément d’information qui indique au chiffre la façon de chiffrer et de déchiffrer. Les clés sont un des concepts les plus importants pour comprendre le chiffrement.

    Une ou plusieurs clés ?

    Dans le chiffrement symétrique, il n’y a qu’une seule clé pour chiffrer et déchiffrer l’information.

    Les anciennes sortes de chiffrement étaient symétriques. Pour le « chiffre de César » utilisé par Jules César, la clé pour chiffrer et déchiffrer un message était un décalage de trois. Par exemple, « A » serait « D ». Le message « LE CHIFFREMENT C’EST BIEN » serait chiffré en « OHFKL IIUHP HQWFH VWELH Q » en utilisant une clé de trois. La même clé serait utilisée pour le déchiffrer et obtenir le message original.

    Le chiffrement symétrique est encore utilisé à notre époque. On le trouve souvent sous la forme de « chiffres continus » et de « chiffres en blocs » qui reposent sur des procédés mathématiques complexes pour rendre leur chiffrement difficile à pénétrer. De nos jours, le chiffrement comprend plusieurs étapes de brouillage des données pour rendre le contenu original difficile à découvrir sans la clé valide. Les algorithmes de chiffrement symétrique modernes tels que l’algorithme de la norme de chiffrement évolué (Advanced Encryption Standard [AES]) sont robustes et rapides. Le chiffrement symétrique est largement utilisé par les ordinateurs pour diverses tâches : chiffrement de fichiers, chiffrement de partitions sur un ordinateur, chiffrement intégral d’appareils et d’ordinateurs grâce au chiffrement du disque entier, et chiffrement de base de données telles que celles de gestionnaires de mot de passe. Pour déchiffrer ces informations chiffrées symétriquement, un mot de passe vous sera souvent demandé. C’est pourquoi nous recommandons d’utiliser des mots de passe robustes et que nous offrons des tutoriels sur la création de mots de passe robustes pour protéger ces informations chiffrées.

    Il peut être particulièrement intéressant de n’avoir qu’une seule clé si vous êtes la seule personne qui doit accéder à ces informations. Mais n’avoir qu’une seule clé pose un problème : que faire si vous souhaitez partager avec un ami lointain des informations chiffrées ? Que faire si vous ne pouviez pas rencontrer votre ami en personne pour partager la clé privée ? Comment pourriez-vous partager la clé avec votre ami par une connexion Internet ouverte ?

    Le chiffrement asymétrique, aussi appelé chiffrement par clé publique, règle ces problèmes. Le chiffrement asymétrique implique deux clés : une clé privée (pour le déchiffrement) et une clé publique (pour le chiffrement).

    Chiffrement symétrique

    Chiffrement asymétrique

    • Rapide
    • Lent
    • Exige peu de puissance de traitement
    • Exige beaucoup de puissance de traitement
    • Utile pour chiffrer des messages courts et longs
    • Utile pour chiffrer des messages courts
    • Exige de partager la clé pour le chiffrement et le déchiffrement
    • La clé de déchiffrement n’a pas à être partagée, seule la « clé publique » est partagée pour le chiffrement
    • Ne peut pas être utilisé pour vérifier des identités (authentification)
    • Peut être utilisé pour vérifier des identités (authentification)

    Le chiffrement symétrique et le chiffrement asymétrique sont souvent utilisés de concert pour chiffrer des données en transit.

    Le chiffrement asymétrique : des clés privées et publiques

    Les clés privées et publiques viennent par paires appariées, car la clé privée et la clé publique sont reliées entre elles mathématiquement. Pensez à une pierre divisée en deux. Tenues ensemble, les deux moitiés forment le tout. Aucune autre moitié de pierre ne fera l’affaire. Il en est de même pour les fichiers de la clé publique et de la clé privée. Ils sont en fin de compte composés de représentation de très grands nombres assimilables par des ordinateurs.

     

    Bien qu’elle soit appelée « clé publique », se représenter la clé publique comme une clé réelle pour ouvrir des choses peut porter à confusion. Telle n’est pas vraiment sa fonction. Pour des renseignements approfondis sur les clés publiques et privées, consultez la présentation approfondie du chiffrement de bout en bout d’ACS.

    Une clé publique est un fichier que vous pouvez donner à n’importe qui ou publier publiquement. Si quelqu’un veut vous envoyer un message chiffré de bout en bout, cette personne aura besoin de votre clé publique pour le faire.

    Votre clé privée vous permet de déchiffrer ce message chiffré. Dans la mesure où votre clé privée vous permet de lire des messages chiffrés, il devient très important de la protéger. De plus, votre clé privée peut être utilisée pour signer des documents afin que les autres puissent confirmer qu’ils proviennent bien de vous.

    Comment votre clé privée est en fait un fichier sur un appareil qui a besoin de protection, nous vous encourageons à protéger par mot de passe l’appareil où la clé privée est stockée et à le chiffrer. Dans Autodéfense contre la surveillance, nous offrons des guides sur les mots de passe robustes et le chiffrement des appareils.

    Clé publique

    Clé privée

    • Un fichier qui peut être largement partagé (peut être partagé facilement par Internet)
    • Un fichier qui doit être conservé en lieu sûr et protégé
    • L’expéditeur a besoin de la clé publique pour chiffrer les informations pour le destinataire
    • Utilisée pour déchiffrer les messages chiffrés destinés à la clé publique correspondante
    • Représentée par une « empreinte de clé publique » qui est utilisée pour vérifier les identités (authentification)
    • Utilisée pour les signatures numériques. Elle offre une manière de vérifier l’identité d’un expéditeur (authentification)
    • Peut être publiée facultativement dans des bases de données permanentes et accessibles publiquement telles que les « serveurs de clés » (les serveurs de clés sont essentiels pour les courriels chiffrés avec PGP)
     

    À certains égards, vous pouvez comparer l’envoi d’informations en transit à l’envoi d’une carte postale. Dans l’illustration de carte postale située à gauche (ci-dessous), un expéditeur écrit : « Salut ! :-) » L’expéditeur l’adresse au destinataire du message. Ce message n’est pas chiffré et toute personne qui acheminera le message pourra le lire.

    Sur la droite se trouve la même carte postale, avec le message chiffré entre l’expéditeur et le destinataire. Le message communique encore « Salut ! :-) », mais il ressemble maintenant à un bloc de charabia chiffré aux yeux des autres.

    Comment cela fonctionne-t-il ? L’expéditeur a trouvé la clé publique du destinataire. L’expéditeur adresse le message à la clé publique du destinataire, ce qui chiffre le message. L’expéditeur a aussi inclus sa signature pour prouver que le message chiffré provient bien de lui.

    Remarquez que les métadonnées (qui expédie et qui reçoit le message), ainsi que des renseignements supplémentaires comme l’heure d’envoi et de réception, sa route, etc., sont encore visibles. Nous pouvons voir que l’expéditeur et le destinataire utilise le chiffrement, nous pouvons déterminer qu’ils communiquent, mais nous ne pouvons pas lire le contenu de leur message.

    Pour qui chiffrez vous ? La personne est-elle vraiment celle qu’elle prétend être ?

    Maintenant, vous pourriez vous demander : « Je comprends que ma clé publique permet à quelqu’un de m’envoyer un message chiffré et que ma clé privée me permet de lire ce message chiffré. Que se passerait-il si quelqu’un se faisait passer pour moi ? Et si cette personne créait une nouvelle clé publique et une nouvelle clé privée et usurpait mon identité ? »

    C’est là que le chiffrement par clé publique est particulièrement utile : il vous permet de vérifier votre identité et celle de votre destinataire. Examinons de plus près les atouts de la clé publique.

     

    En plus de vous permettre de lire des messages chiffrés qui sont envoyés à votre clé publique, votre clé privée vous permet de poser des signatures numériques infalsifiables sur les messages que vous envoyez aux autres, comme pour dire « Oui, c’est bien moi qui ai rédigé ceci ».

    Votre destinataire verra votre signature numérique avec votre message et pourra la comparer aux renseignements provenant de votre clé publique.

    Examinons comment cela fonctionne concrètement.

    La vérification de l’identité pour les personnes : les empreintes de clés publiques

    Quand nous envoyons n’importe quelle sorte de message, nous nous fions à la bonne foi des personnes qui participent. C’est comme dans la réalité : par exemple, nous ne nous attendons pas à ce que la personne qui livre le courrier en regarde le contenu. Nous ne nous attendons pas à ce que quelqu’un intercepte la lettre qu’un ami nous envoie, l’ouvre et la modifie pour nous l’envoyer ensuite comme si rien n’avait été changé. Mais le risque que cela puisse arriver existe.

    Les messages chiffrés sont exposés au même risque d’être modifiés. Cependant, la cryptographie par clé publique nous offre une manière de revérifier si les informations ont été altérées en comparant l’identité numérique de quelqu’un à son identité réelle.

    La clé publique est un très grand bloc de texte dans un fichier. Elle est aussi représentée sous la forme d’un résumé interprétable par l’utilisateur, appelé empreinte de clé.

    Le mot « empreinte » couvre bien des acceptions différentes dans le domaine de la sécurité informatique.

    Une de ces acceptions est l’« empreinte de clé », une chaîne de caractères, par exemple « 65834 02604 86283 29728 37069 98932 73120 14774 81777 73663 16574 23234 », qui devrait vous permettre de vérifier de façon unique et sûre que quelqu’un, sur Internet, utilise la bonne clé privée.

    Dans certaines applis, cette information peut être représentée sous la forme d’un code QR que vous et votre ami balayez de vos appareils respectifs.

    Vous pouvez revérifier que l’identité numérique de quelqu’un correspond à l’identité prétendue de la personne grâce à une « vérification d’empreinte ».

    Il est préférable d’effectuer une vérification d’empreintes lors d’une rencontre physique. S’il vous est possible de rencontrer votre ami en personne, ayez l’empreinte de votre clé publique avec vous et laissez votre ami revérifier que chaque caractère de l’empreinte de votre clé publique correspond à l’empreinte de clé publique qu’il a pour vous. Vérifier une longue chaîne de caractères telle que « 342e 2309 bd20 0912 ff10 6c63 2192 1928 » est fastidieux, mais cela en vaut la peine. S’il vous est impossible de vous rencontrer en personne, vous pouvez transmettre votre empreinte par une autre voie de communication sûre. Cela peut être un autre système de messagerie ou un dialogue en ligne, tous deux chiffrés de bout en bout, ou en la publiant sur un site HTTPS.

    La vérification de l’empreinte de clé de quelqu’un vous donne davantage de certitude quant à son identité réelle. Mais ce n’est pas la solution parfaite. Si les clés privées sont copiées ou volées (disons qu’un programme malveillant se trouve sur votre appareil ou que quelqu’un a accédé physiquement à votre appareil et a copié le fichier), quelqu’un d’autre pourrait utiliser la même empreinte. Pour cette raison, si une clé privée est volée, il vous faudra générer une nouvelle biclé publique et privée, et donnez ensuite votre nouvelle empreinte de clé publique à vos amis.

    Résumé : Les atouts du chiffrement par clé publique

    En règle générale, l’utilisation du chiffrement par clé publique peut apporter aux utilisateurs :

    Confidentialité : un message chiffré par cryptographie par clé publique permet à l’expéditeur de créer un message secret afin que seul le destinataire prévu puisse le lire.

    Authenticité : le destinataire d’un message signé par cryptographie par clé publique peut vérifier que le message a bien été rédigé par l’expéditeur s’il possède la clé publique de l’expéditeur.

    Intégrité : Un message signé ou chiffré par cryptographie par clé publique ne peut en général pas être altéré. S’il l’était, le message ne serait pas déchiffré ou sa vérification échouerait. Cela signifie que même la perturbation involontaire d’un message (p. ex. en raison d’un problème réseau temporaire) sera détectable.

    La vérification de l’identité pour les sites Web et les services : les certificats de sécurité

    Vous pourriez vous demander : « Je peux vérifier les empreintes de clés publiques, mais quel est l’équivalent pour le Web ? Comment puis-je vérifier que j’utilise un service qui est vraiment le service qu’il prétend être ? Comment puis-je être certain que personne n’interfère avec ma connexion au service ? »

    Quelqu’un qui utilise le chiffrement de bout en bout partage largement sa clé publique afin qu’autrui puisse vérifier qu’il est bien la personne qu’il prétend être. De même, si le chiffrement de la couche de transport est utilisé, votre ordinateur effectue une vérification pour confirmer si la clé publique d’un service est celle qu’elle prétend être, et qu’elle chiffre pour le service prévu. C’est ce qu’on appelle un certificat de sécurité.

    Ci-dessous se trouve un exemple du certificat de sécurité pour ACS (ssd.eff.org), affiché dans un navigateur Web générique. On peut généralement accéder à ces renseignements en cliquant sur le verrou HTTPS dans votre navigateur Web et en affichant les renseignements détaillés du certificat.

    Someone using end-to-end encryption shares their public key widely so others can verify that they are who they say they are. Similarly, when using transport-layer encryption, your computer automatically checks to confirm whether a public key for a service is who it really says it is, and that it is encrypting to the intended service: this is called a security certificate.

    Below, you can see an example of the security certificate for SSD from a generic Web browser. This information is often accessible by clicking the HTTPS lock in your Web browser and pulling up the certificate details.

    Le navigateur Web de votre ordinateur peut établir des connexions chiffrées vers des sites qui utilisent HTTPS. Les sites Web utilisent souvent des certificats de sécurité pour prouver à votre navigateur que vous avez une connexion sûre vers un site authentique, et non vers quelque système qui manipule frauduleusement votre connexion. Les navigateurs Web examinent les certificats pour vérifier les clés publiques des noms de domaine (tels que www.google.com, www.amazon.com ou ssd.eff.org). Les certificats sont un moyen de tenter de déterminer si vous connaissez la bonne clé publique pour une personne ou un site Web, afin de communiquer avec eux en toute sécurité. Mais comment votre ordinateur connaît-il la bonne clé publique des sites que vous visitez ?

    Les navigateurs et les systèmes d’exploitation modernes incluent une liste d’autorités de certification de confiance (AC). Les clés publiques de ces AC sont intégrées quand vous téléchargez le navigateur ou achetez un ordinateur. Les autorités de certification signent les clés publiques de sites Web après avoir vérifié qu’ils exploitent un domaine (tel que www.exemple.com) en toute légitimité. Quand votre navigateur visite un site HTTPS, il vérifie que le certificat retourné par le site a bien été signé par une AC en laquelle il a confiance. Cela signifie qu’un tiers de confiance a vérifié que le site est effectivement ce qu’il prétend être.

    Le seul fait que le certificat de sécurité d’un site a bien été signé par une autorité de certification ne signifie pas nécessairement que le site est sûr. Il y a des limites à ce qu’une AC peut vérifier ; elle ne peut pas vérifier qu’un site Web est honnête et digne de confiance. Par exemple, un site Web pourrait être sécurisé en utilisant HTTPS, mais quand même héberger des fraudes et des programmes malveillants. Soyez vigilant et apprenez-en davantage en lisant notre guide sur les programmes malveillants et l’hameçonnage.

    De temps en temps, vous verrez sur le Web des messages d’erreur concernant les certificats. Le plus couramment, ils sont causés par le réseau d’un hôtel ou d’un café qui essaie d’intercepter votre connexion à un site Web afin de vous rediriger vers son portail de connexion avant d’accéder au Web. Il peut aussi s’agir d’une erreur administrative dans le système de certificats. Mais occasionnellement, cela peut-être causé par un pirate, un voleur, la police ou un service de renseignements qui pénètre la connexion chiffrée. Malheureusement, il est extrêmement difficile de différencier ces différents cas.

    Cela signifie que vous ne devriez pas ignorer un avertissement de certificat s’il est relatif à un site où vous détenez un compte ou si vous lisez des informations de nature délicate.

    Combiner le tout : les clés symétriques, les clés asymétriques et les empreintes de clés publiques.

    L’exemple d’établissements de liaison qui utilisent la sécurité de la couche de transport

    Quand le chiffrement de la couche de transport est utilisé, le navigateur de votre ordinateur et l’ordinateur du site Web que vous visitez utilisent tous les deux à la fois des algorithmes symétriques et asymétriques.

    Examinons un exemple concret de combinaison de ces idées : qu’arrive-t-il quand vous vous connectez à ce site Web HTTPS (https://ssd.eff.org/) ?

    Si un site Web utilise HTTPS, un ensemble d’interactions rapides a lieu entre votre navigateur et le serveur du site Web, ce que l’on appelle l’« établissement d’une liaison ». Votre navigateur, Chrome de Google, Firefox de Mozilla, le Navigateur Tor, etc. parle au serveur (un ordinateur) qui héberge notre site Web https://ssd.eff.org.

    Lors de l’établissement de la liaison, le navigateur et le serveur s’échangent d’abord des informations qui leur permettent de savoir s’ils ont des préférences communes quant aux algorithmes de chiffrement (aussi appelés « suites de chiffres »). Vous pouvez vous imaginer que votre navigateur et notre serveur ssd.eff.org conversent brièvement : ils s’interrogent mutuellement sur les méthodes de chiffrement qu’ils connaissent et devraient utiliser pour communiquer, mais aussi sur les méthodes de chiffrement qu’ils préfèrent. (« Savons-nous tous les deux utiliser un algorithme asymétrique tel que RSA, combiné à un algorithme symétrique tel qu’AES ? Oui, très bien. Si nous ne pouvons pas utiliser cette combinaison d’algorithmes de chiffrement, quels autres algorithmes de chiffrement connaissons-nous tous les deux »).

    Votre navigateur utilise ensuite un chiffrement asymétrique : il envoie un certificat de clé publique à ssd.eff.org pour prouver que vous êtes la personne que vous prétendez être. Le serveur du site compare ce certificat de clé publique à votre clé publique, afin de prévenir l’interception de votre connexion par un ordinateur malveillant.

    Une fois que votre identité est confirmée, le serveur du site utilise un chiffrement symétrique : il génère un nouveau fichier clé secret symétrique. Ensuite, il chiffre asymétriquement la clé publique de votre navigateur et l’envoie à votre navigateur. Votre navigateur utilise sa clé privée pour déchiffrer ce fichier.

    Si cette clé symétrique fonctionne, votre navigateur et le serveur du site Web l’utilisent pour chiffrer le reste de leurs communications. (Cet ensemble d’interactions est l’établissement d’une liaison avec sécurité de la couche de transport [TLS].) Ainsi, si l’établissement d’une liaison s’effectue sans problème (page en anglais), votre connexion à ssd.eff.org apparaît comme sécurisée, avec https à côté de ssd.eff.org.

    Nous vous suggérons de lire ensuite notre guide ACS sur le chiffrement par clé publique où vous trouverez une présentation approfondie sur les clés publiques et privées, ainsi que sur la vérification.

    Dernière révision : 
    26-11-2018
  • Une présentation approfondie du chiffrement de bout en bout : comment les systèmes de chiffrement à clé publique fonctionnent-ils ?

    Utilisé correctement, le chiffrement de bout en bout peut aider à protéger le contenu de vos messages, de vos textes et même de vos fichiers les rendant incompréhensibles par quiconque autre que les destinataires prévus. Il peut aussi être utilisé pour prouver qu’un message provient d’une personne précise et qu’il n’a pas été altéré.

    Au cours des dernières années, les outils de chiffrement de bout en bout sont devenus plus utilisables. Les outils de messagerie sécurisés (page en anglais) tels que Signal (iOS ou Android) pour les appels voix, les appels vidéo, les dialogues en ligne et le partage de fichiers sont de bons exemples d’applis qui utilisent le chiffrement de bout en bout pour chiffrer les messages entre l’expéditeur et le destinataire prévu. Ces outils rendent les messages illisibles aux yeux indiscrets du réseau, mais aussi pour les fournisseurs de services mêmes.

    Cela dit, certaines mises en application du chiffrement de bout en bout peuvent être difficiles à comprendre et à utiliser. Avant que vous commenciez à utiliser des outils de chiffrement de bout en bout, nous vous recommandons fortement de prendre le temps de comprendre les bases de la cryptographie par clé publique.

    Le type de chiffrement dont nous parlons dans ce guide, et sur lequel les outils de chiffrement de bout en bout reposent, est appelé cryptographie par clé publique, ou chiffrement par clé publique. Pour en apprendre davantage sur les autres types de chiffrement, consultez notre guide Que devrais-je savoir au sujet du chiffrement ?

    Comprendre les principes sous-jacents de la cryptographie par clé publique vous aidera à utiliser ces outils avec succès. La cryptographie par clé publique peut accomplir certaines choses et d’autres non, et il est important de comprendre quand et comment vous pourriez l’utiliser.

    Que fait le chiffrement ?

    Voici comment le chiffrement fonctionne lors de l’envoi d’un message secret :

    1.   Un message clairement lisible (« bonjour Maman ») est chiffré en un message brouillé qui est incompréhensible pour quiconque le voit (« OhsieW5ge+osh1aehah6 »).

    2.   Le message chiffré est envoyé par Internet où d’autres voient le message brouillé « OhsieW5ge+osh1aehah6 »

    3.   Quand il arrive à destination, le destinataire prévu, et seulement le destinataire prévu, possède une façon de le déchiffrer sous sa forme originale (« bonjour Maman »).

     

    Le chiffrement symétrique : passer des notes secrètes avec une seule clé

    Julie veut envoyer une note « Rencontre-moi dans le jardin » à son ami César, mais elle ne veut pas que ses compagnons de classe la lisent.

     

    La note de Julie passe par plusieurs compagnons de classe intermédiaires avant d’atteindre César. Bien que neutres, les intermédiaires sont curieux et peuvent facilement jeter un coup d’œil au message avant de le passer. Ils font aussi des copies du message avant de le passer et notent l’heure à laquelle Julie a envoyé le message à César.

    Julie décide de chiffrer son message avec une clé de 3, décalant de trois en aval les lettres de l’alphabet. Donc A serait D, B serait E, etc. Si Julie et César utilisent une simple clé de 3 pour chiffrer et une clé de 3 pour déchiffrer, alors le charabia de leur message chiffré est facile à craquer. Quelqu’un pourrait utiliser la « force brute » pour découvrir la clé en essayant toutes les combinaisons possibles. En d’autres mots, cette personne peut continuer à deviner jusqu’à ce qu’elle obtienne la réponse pour déchiffrer le message.

    La méthode qui consiste à décaler l’alphabet de 3 caractères est un exemple historique de chiffrement utilisé par Jules César : le chiffre de César. Quand il existe une clé pour chiffrer et déchiffrer, comme dans cet exemple où la clé est simplement un 3, nous avons affaire à la cryptographie symétrique.

    Le chiffre de César est une forme faible de cryptographie symétrique. Heureusement, le chiffrement a bien évolué depuis le chiffre de César. Grâce à des mathématiques incroyables et à l’aide d’ordinateurs, une clé beaucoup, beaucoup plus grande peut être générée, clé qui est beaucoup, beaucoup plus difficile à deviner. La cryptographie symétrique a bien évolué et ses applications pratiques sont nombreuses.

    Cependant, la cryptographie symétrique ne règle pas la situation suivante : que se passerait-il si quelqu’un pouvait simplement écouter indiscrètement et attendre que Julie et César partagent la clé pour la volée afin de déchiffrer leurs messages? Que se passerait-il si cette personne attendait que Julie et César se disent le secret pour déchiffrer leurs messages, 3? Et si Julie et César se trouvaient dans régions différentes du globe et n’avaient pas prévu de se rencontrer en personne ?

    Comment César et Julie peuvent-ils contourner ce problème ?

    Disons que Julie et César se sont informés sur la cryptographie par clé publique. Une personne indiscrète ne pourrait vraisemblablement pas attraper Julie et César en train de partager la clé de déchiffrement, car ils n’ont pas besoin de la partager. Dans le cas de la cryptographie par clé publique, les clés de chiffrement et de déchiffrement sont différentes.

    Le chiffrement par clé publique : l’histoire de deux clés

    Examinons le problème de plus près : comment l’expéditeur envoie-t-il la clé de chiffrement symétrique au destinataire sans que quelqu’un espionne aussi cette conversation ? Plus précisément, que se passe-t-il si l’expéditeur et le destinataire sont physiquement éloignés l’un de l’autre, mais souhaitent converser à l’abri des regards indiscrets?

    La cryptographie par clé publique (aussi appelée cryptographie asymétrique) offre une solution intéressante pour résoudre ce problème. Elle permet à chaque personne dans une conversation de créer deux clés, une clé publique et une clé privée. Les deux clés sont liées l’une à l’autre. Ce sont en fait de très grands nombres qui possèdent certaines propriétés mathématiques. Si vous encodez un message en utilisant la clé publique d’une personne, elle peut le décoder en utilisant sa clé privée correspondante.

    Julie et César utilisent maintenant deux ordinateurs pour s’envoyer des messages chiffrés grâce à la cryptographie par clé publique, au lieu de se passer des notes. Leurs compagnons de classe sont maintenant remplacés par des ordinateurs. Il existe des intermédiaires entre Julie et César : les points d’accès Wi-Fi, les fournisseurs d’accès à Internet et les serveurs de courriel respectifs de Julie et César. En réalité, il pourrait y avoir des centaines d’ordinateurs entre Julie et César pour faciliter cette conversation. Ces intermédiaires effectuent et enregistrent des copies des messages de Julie et César chaque fois qu’ils les acheminent.

    Peu leur importe que ces intermédiaires puissent voir qu’ils communiquent, mais ils veulent que le contenu de leurs messages reste confidentiel.

    Julie a d’abord besoin de la clé publique de César. César envoie sa clé publique (un fichier) par une voie non sécurisée, par exemple un courriel non chiffré. Il lui importe peu que les intermédiaires puissent y accéder, car la clé publique est quelque chose qu’il peut partager librement. Remarquez que la métaphore de la clé s’arrête à peu près ici ; il n’est pas tout à fait juste de penser à une clé publique comme à une vraie clé. César envoie la clé publique par plusieurs voies, afin que les intermédiaires ne puissent pas plutôt envoyer une de leurs clés publiques à Julie.

    Julie reçoit le fichier de clé publique de César. Julie peut maintenant lui chiffrer un message ! Elle rédige son message : « Rencontre-moi dans le jardin ».

    Elle envoie le message chiffré. Seul César pourra le déchiffrer.

    Julie et César peuvent tous deux comprendre le message, mais il ressemble à du charabia à quiconque essaie de le lire. Les intermédiaires peuvent voir les métadonnées telles que la ligne d’objet, les dates, l’expéditeur et le destinataire.

    Dans la mesure où le message est chiffré pour la clé publique de césar, seuls César et l’expéditeur (Julie) peuvent lire le message.

    César peut lire le message grâce à sa clé privée.

    Récapitulons :

    • La cryptographie par clé publique permet à quelqu’un d’envoyer sa clé publique ouvertement, par une voie non sécurisée.
    • Avoir la clé publique d’un ami vous permet de chiffrer des messages à son intention.
    • Votre clé privée est utilisée pour déchiffrer les messages chiffrés à votre intention.
    • Les intermédiaires tels que les fournisseurs de services de courriel, les fournisseurs d’accès à Internet et ceux qui se trouvent sur leurs réseaux peuvent voir les métadonnées pendant tout ce temps : qui envoie quoi à qui, quand, l’heure de réception, la ligne d’objet, si le message est chiffré, etc.

    Un autre problème : quand est-il de l’usurpation d’identité ?

    Dans l’exemple de Julie et césar, les intermédiaires peuvent voir les métadonnées pendant tout ce temps.

    Disons que l’un des intermédiaires est malveillant. Par malveillant, nous faisons référence à quelqu’un qui à l’intention de vous causer du tort en essayant de voler vos informations ou de les compromettre. Pour quelque raison, cette personne malveillante veut espionner le message de Julie à César.

    Disons que cette personne malveillante amène, par la ruse, Julie à obtenir le mauvais fichier de clé publique pour César. Julie ne remarque pas que cette clé publique n’est en fait pas celle de César. La personne malveillante reçoit le message de Julie, y jette un coup d’œil et l’achemine à César.

     

    La personne malveillante pourrait même décider de changer le contenu du fichier avant de le passer à César.

    La plupart du temps, la personne malveillante décide de ne pas modifier le contenu. La personne malveillante achemine donc le message de Julie à César comme si de rien n’était, César sait qu’il doit rencontrer Julie dans le jardin et, à leur grande surprise, la personne malveillante s’y trouve aussi.

    C’est ce qu’on appelle une attaque de l’intercepteur.

    Heureusement, la cryptographie par clé publique propose une méthode pour prévenir les attaques de l’intercepteur.

    La cryptographie par clé publique vous permet de comparer l’identité numérique de quelqu’un avec son identité réelle grâce au procédé appelé « vérification d’empreinte ». Il est préférable de l’effectuer en personne s’il vous est possible de rencontrer votre ami. Vous auriez l’empreinte de votre clé publique avec vous et votre ami revérifierait que chaque caractère de l’empreinte de votre clé publique correspond à ceux de l’empreinte de votre clé publique qu’il a de son côté. C’est un peu fastidieux, mais cela en vaut la peine.

    D’autres applis chiffrées de bout en bout proposent aussi une manière de vérifier les empreintes, bien que cette vérification puisse être appelée et mise en application différemment. Dans certains cas, vous devrez lire très précisément chaque caractère de l’empreinte et vous assurer qu’il correspond à ce que vous voyez sur votre écran, comparé à ce que votre ami voit sur son écran. Dans d’autres cas, vous devrez balayer un code QR sur le téléphone d’une autre personne afin de « vérifier » son appareil. Dans l’exemple ci-dessous, Julie et César peuvent se rencontrer en personne pour vérifier les empreintes de leur téléphone en balayant mutuellement leur code QR avec l’appareil photo de leur téléphone.

    S’il vous est impossible de vous rencontrer en personne, vous pouvez communiquer votre empreinte par une autre voie sécurisée telle qu’une autre appli de messagerie ou un système de dialogue en ligne, tous deux chiffrés de bout en bout, ou encore sur un site HTTPS.

    Dans l’exemple ci-dessous, César envoie l’empreinte de sa clé publique à Julie en utilisant une appli chiffrée de bout en bout différente sur son téléphone intelligent.

    Résumons :

    • Il y attaque de l’intercepteur quand quelqu’un intercepte votre message à quelqu’un d’autre. L’assaillant peut altérer le message et le passer ou simplement choisir de le lire.
    • La cryptographie par clé publique vous permet de régler la question des attaques de l’intercepteur en vous proposant des façons de vérifier les identités de l’expéditeur et du destinataire. Ce processus est appelé « vérification de l’empreinte ».
    • En plus d’être utilisée pour chiffrer un message à votre ami, la clé publique de votre ami comprend aussi quelque chose appelé « empreinte de clé publique ». Vous pouvez utiliser l’empreinte pour vérifier l’identité de votre ami.
    • La clé privée est utilisée pour chiffrer les messages et pour signer numériquement les messages comme provenant de vous.

    Signe des temps

    La cryptographie par clé publique fait en sorte que vous n’avez pas à passer en cachette la clé de déchiffrement au destinataire de votre message secret, car cette personne a déjà la clé de déchiffrement. La clé de déchiffrement est la clé privée de cette personne. Par conséquent, tout ce dont vous avez besoin pour envoyer un message est la clé de chiffrement publique correspondante de votre destinataire. Et vous pouvez l’obtenir facilement, car votre destinataire peut partager sa clé publique avec tout le monde, dans la mesure où les clés publiques ne sont utilisées que pour chiffrer les messages et non pour les déchiffrer.

    Mais plus encore ! Nous savons que si vous chiffrez un message avec une clé publique précise, il ne peut être déchiffré que par la clé privée correspondante. Mais le contraire est vrai aussi. Si vous chiffrez un message avec une certaine clé privée, il ne peut être déchiffré que par sa clé publique correspondante.

    Pourquoi cela pourrait-il être utile ? À première vue, il ne semble pas y avoir davantage à envoyer un message secret avec votre clé privée, message qui pourrait être déchiffré par tous ceux qui posséderaient votre clé publique. Mais supposons que vous avez écrit un message qui disait « J’ai promis de payer 100 $ à Aazul » et que vous ayez ensuite rendu ce message secret en utilisant votre clé privée. N’importe qui pourrait déchiffrer ce message, mais seule une personne pourrait l’avoir écrit : la personne qui possède votre clé privée. Et si vous avez réussi à conserver votre clé privée en lieu sûr, cela signifie que vous et vous seul avez pu l’écrire. En fait, en chiffrant le message avec votre clé privée, vous avez garanti qu’il ne pouvait provenir que de vous. En d’autres mots, vous avez fait la même chose avec ce message numérique que nous faisons quand nous signons un message dans le monde réel.

    La signature rend aussi les messages inviolables. Si quelqu’un essayait de changer votre message « J’ai promis de payer 100 $ à Aazul » en « J’ai promis de payer 100 $ à Ming », cette personne ne pourrait pas le resigner en utilisant votre clé privée. Donc, un message signé garantit qu’il provient d’une certaine source et qu’il n’a pas été altéré en transit.

    En résumé : utiliser la cryptographie par clé publique

    Résumons. La cryptographie par clé publique vous permet de chiffrer et d’envoyer des messages en toute sécurité à toute personne dont vous connaissez la clé publique.

    Si d’autres personnes connaissent votre clé publique :

    • elles peuvent vous envoyer des messages secrets que vous seul pouvez décoder en utilisant votre clé privée correspondante et
    • vous pouvez signer vos messages avec votre clé privée afin que les destinataires sachent que les messages ne peuvent provenir que de vous.

    Et si vous connaissez la clé publique de quelqu’un d’autre :

    • Vous pouvez décoder un message signé par cette personne et savoir qu’il provient d’elle.

    Il devrait maintenant être clair que la cryptographie par clé publique s’avère plus utile quand plus de gens connaissent votre clé publique. La clé publique est partageable, dans le sens que c’est un fichier que vous pouvez traiter comme une adresse dans un annuaire : elle est publique, les gens savent qu’ils peuvent vous y trouver, vous pouvez largement la partager et les gens savent qu’en chiffrant des messages pour cette clé publique ils les chiffrent pour vous.

    La clé publique est accompagnée d’un fichier appelé une clé privée. Vous pouvez considérer la clé privée comme une clé réelle que vous devez protéger et conserver en lieu sûr. Votre clé privée est utilisée pour chiffrer et pour déchiffrer des messages.

    Il devrait être aussi évident que vous devez assurer la sécurité totale de votre clé privée. Si votre clé privée est accidentellement supprimée de votre appareil, vous ne pourrez plus déchiffrer vos messages chiffrés. Si quelqu’un copiait votre clé privée (soit en accédant physiquement à votre ordinateur, soit par le biais d’un programme malveillant sur votre appareil, soit si vous publiez ou partagiez accidentellement votre clé privée), d’autres pourraient alors lire vos messages chiffrés. Ils pourraient se faire passer pour vous et signer des messages en prétendant que vous les avez écrits.

    Il n’est pas rare que des gouvernements volent des clés privées sur les ordinateurs de certaines personnes (en saisissant les ordinateurs ou en y introduisant des programmes malveillants, que ce fut par un accès physique ou grâce à des attaques par hameçonnage). Cela annule la protection que la cryptographie par clé privée offre. C’est un peu comme dire que vous pourriez avoir un verrou incrochetable sur votre porte, mais qu’un voleur à la tire pourrait quand même dérober la clé dans votre poche, la copier et l’y remettre à votre insu. Il pourrait alors rentrer chez vous sans même crocheter le verrou.

    Cela nous ramène au modèle de menaces : déterminer la nature des risques auxquels vous êtes exposé et y remédier adéquatement. Si vous estimez que quelqu’un pourrait déployer de grands efforts pour essayer d’obtenir votre clé privée, vous ne voudrez peut-être pas utiliser une solution de chiffrement de bout en bout dans le navigateur. Vous préférerez peut-être juste stocker votre clé privée sur votre ordinateur ou sur votre téléphone au lieu de l’ordinateur de quelqu’un d’autre (comme dans le nuage ou sur un serveur).

    Résumé de la cartographie par clé publique et un exemple précis : PGP.

    Nous avons donc passé en revue le chiffrement symétrique et le chiffrement par clé publique dans des explications séparées. Nous devrions cependant remarquer que le chiffrement par clé publique utilise aussi le chiffrement symétrique ! Le chiffrement par clé publique ne fait que chiffrer une clé symétrique qui est ensuite utilisée pour déchiffrer le message même.

    PGP est un exemple de protocole qui utilise à la fois la cryptographie symétrique et la cryptographie par clé publique (asymétrique). D’un point de vue fonctionnel, l’utilisation d’outils de chiffrement de bout en bout tel que PGP vous permettra de bien comprendre les pratiques de la cryptographie par clé publique.

    Que sont les clés exactement ? Et comment sont-elles reliées l’une à l’autre ?

    La cryptographie par clé publique repose sur la prémisse qu’il y a deux clés : une clé pour le chiffrement et une clé pour le déchiffrement. Voici comment cela fonctionne : vous pouvez envoyer une clé par une voie non sécurisée telle qu’Internet. Cette clé est appelée la clé publique. Vous pouvez publier cette clé publique n’importe où, dans tous les lieux publics, sans compromettre la sécurité de vos messages chiffrés.

    Cette clé partageable est la clé publique : un fichier que vous pouvez traiter comme une adresse dans un annuaire : elle est publique, les gens savent qu’ils peuvent vous y trouver, vous pouvez largement la partager et les gens savent qu’en chiffrant des messages pour cette clé publique ils les chiffrent pour vous.

    La clé publique est accompagnée d’un fichier appelé la clé privée. Vous pouvez considérer la clé privée comme une clé réelle que vous devez protéger et conserver en lieu sûr. Votre clé privée est utilisée pour chiffrer et déchiffrer des messages.

    Nous allons examiner la génération de clés dans le cas d’un algorithme de cryptographie par clé publique utilisé couramment et appelé (Rivest–Shamir–Adleman). RSA est souvent utilisé pour générer des paires de clé (biclé) pour le courriel chiffré avec PGP.

    La clé publique et la clé privée sont générées ensemble et reliées l’une à l’autre. Toutes deux reposent sur les mêmes très grands nombres premiers secrets. La clé privée est une représentation de deux très grands nombres premiers secrets. Métaphoriquement, la clé publique est le nombre produit : elle est composée des deux même très grands nombres premiers utilisés pour générer la clé publique. Ce qui est incroyable, c’est qu’il est très difficile de déterminer quels très grands nombres premiers ont créé la clé publique.

    Ce problème est appelé factorisation de nombres premiers et certaines mises en application de la cryptographie par clé publique exploitent cette difficulté qu’éprouvent les ordinateurs à calculer les nombres premiers qui la composent. La cryptographie moderne nous permet d’utiliser des nombres premiers aléatoires ridiculement gigantesques qu’humains et ordinateurs ont du mal à deviner.

    Et l’atout de la cryptographie par clé publique réside dans le fait que les utilisateurs peuvent partager leur clé publique par des voies non sécurisées pour se permettre de chiffrer les uns à l’intention des autres ! Ce faisant, ils ne divulguent jamais leur clé privée (leurs nombres premiers secrets), car ils ne sont jamais tenus d’envoyer leur clé privée pour déchiffrer les messages.

    Souvenez-vous : pour que la cryptographie par clé publique fonctionne, l’expéditeur et le destinataire doivent connaître la clé publique de l’autre.

    Voici une autre manière de se la représenter : la clé publique et la clé privée sont générées ensemble, comme un symbole du yin et du yang. Elles sont interconnectées.

    Il est possible de chercher la clé publique et de la partager. Vous pouvez la distribuer à n’importe qui. Vous pouvez la publier sur vos réseaux sociaux si vous ne voyez pas d’objection à ce qu’elle divulgue l’existence de votre adresse courriel. Vous pouvez la mettre sur votre site Web personnel. Vous pouvez la distribuer.

    La clé privée doit être conservée en lieu sûr et à portée de main. Vous n’en avez qu’une. Vous ne souhaitez ni la perdre, ni la partager, ni en faire des copies qui se promènent, car il deviendrait plus difficile d’assurer le caractère confidentiel de vos messages privés.

    Comment PGP fonctionne-t-il?

    Examinons comment la cryptographie par clé publique pourrait fonctionner, toujours en utilisant l’exemple de PGP. Disons que vous souhaitez envoyer un message secret à Aarav :

    1. Aarav possède une clé privée et comme tout bon utilisateur du chiffrement par clé publique, il a mis sa clé publique connexe sur son site Web HTTPS.
    2. Vous téléchargez sa clé publique.
    3. Vous chiffrez votre message secret en utilisant la clé publique d’Aarav et lui envoyez.
    4. Seul Aarav peut décoder votre message secret, car lui seul possède la clé secrète correspondante.

    « Pretty Good Privacy » (PGP) s’occupe principalement des tâches de création et d’utilisation des clés privées. Vous pouvez l’utiliser pour créer une biclé publique/privée, pour protéger la clé privée par mot de passe, et pour l’utiliser combinée à votre clé publique pour signer et chiffrer des textes.

    Si vous ne deviez retenir qu’une chose de cette présentation, ce serait : conservez votre clé privée en lieu sûr et protégez-la par une longue phrase de passe.

    Les métadonnées : ce que le chiffrement par clé publique ne peut pas faire

    La raison d’être du chiffrement par clé publique est de garantir que le contenu d’un message est secret, authentique et inaltéré. Mais ce n’est peut-être pas la seule préoccupation que vous pourriez avoir au sujet de la protection de l’information. Comme nous l’avons noté, les renseignements concernant vos messages peuvent être aussi révélateurs que leur contenu (voir les métadonnées).

    Si vous échangez des messages chiffrés avec un dissident connu dans votre pays, le simple fait de communiquer avec cette personne pourrait vous mettre en danger, même si ces messages ne sont pas décodés. Dans certains pays, vous pouvez faire face à une peine d’emprisonnement simplement pour avoir refusé de décoder des messages chiffrés.

    Il est plus difficile de dissimuler que vous communiquez avec une personne précise. Dans l’exemple de PGP, une façon de le faire est d’utiliser tous les deux des comptes anonymes de courriel et d’y accéder avec Tor. Si vous le faites, PGP sera quand même utile à la fois pour assurer la confidentialité des courriels et pour vous prouver mutuellement que les courriels n’ont pas été altérés.

    Maintenant que vous vous êtes familiarisé avec la cryptographie par clé publique, essayez d’utiliser des outils de chiffrement de bout en bout tels que Signal pour iOS ou Signal pour Android.

    Dernière révision : 
    29-11-2018
  • Guide pratique : utiliser le protocole OTR sous macOS

    Adium est un client de messagerie instantanée pour OS X, gratuit et libre, qui vous permet de chatter avec d’autres personnes sur de multiples protocoles de chat, y compris Google Hangouts, Yahoo! Messenger, Windows Live Messenger, AIM, ICQ, et XMPP.

    OTR (Confidentiel) est un protocole qui permet aux personnes de maintenir des conversations confidentielles en utilisant des outils de messagerie avec lesquels elles sont déjà familiarisées. Il ne doit pas être confondu avec le “Confidentiel” de Google qui désactive simplement la connexion au chat et ne dispose d’aucune capacité de chiffrement ou vérification. Pour les utilisateurs de Mac, OTR est fourni avec le client Adium incorporé.

    OTR utilise un chiffrement global. Vous pouvez l’utiliser afin de maintenir des conversations sur des services comme Google Hangouts ou Facebook sans que ces compagnies ne puissent jamais avoir accès au contenu des conversations. Cependant, le fait que vous avez une conversation est visible au fournisseur.

    Pourquoi dois-je utiliser Adium + OTR ?

    Lorsque vous maintenez une conversation via chat en utilisant Google Hangouts sur le site Web de Google, ce chat est chiffré moyennant HTTPS, donc le contenu de votre chat est protégé contre les pirates informatiques et autres tiers lorsqu’il est en cours. Il n’est cependant pas protégé contre Google, qui disposent des codes correspondant à votre conversation et peuvent les remettre aux autorités et peuvent les remettre aux autorités ou les utiliser pour la commercialisation.

    Après avoir installé Adium, vous pouvez vous inscrire en utilisant de multiples comptes à la fois. Par exemple, vous pouvez utiliser Google Hangouts et XMPP de manière simultanée. Adium vous permet également de chater en utilisant ces outils sans OTR. Étant donné qu’OTR ne fonctionne que si les deux personnes l’utilisent, ce qui signifie que même si l’autre personne ne l’a pas installé, vous pouvez toujours chater avec elle en utilisant Adium.

    Adium vous permet également d’effectuer des vérifications hors réseau afin de vous assurer que vous parlez à la personne à laquelle vous croyez parler et que vous ne faites l’objet d’une attaque MITM (de l’homme du milieu). Au cours de chaque conversation, il existe une option qui affichera les empreintes digitales codées à votre disposition et celle de la personne avec qui vous chatez. Une empreinte digitale codée" consiste en une chaîne de caractères telle que "342e 2309 bd20 0912 ff10 6c63 2192 1928,” utilisée afin de vérifier un code public plus long. Échangez vos empreintes digitales sur un autre réseau de communication comme Twitter DM, ou par e-mail, afin de vous assurer que personne n’interfère avec votre conversation. Si les clés ne correspondent pas, vous ne pouvez pas être sûr que vous parlez à la bonne personne. Souvent, les gens utilisent plusieurs de clés, ou les perdent et d'avoir à recréer de nouvelles clés, donc ne soyez pas surpris si vous devez re-vérifier vos clés avec vos amis.

    Limitations : Quand ne dois-je pas utiliser Adium + OTR ?

    Les techniciens emploient un terme afin de décrire qu’un programme ou une technologie peut être vulnérable aux attaques externes : ils disent qu’il dispose d’une grande “surface d’attaque.” Adium dispose d’une grande surface d’attaque. Il s’agit d’un programme complexe, qui n’a pas été écrit en faisant de la sécurité une priorité maximale. Il est sans doute envahi par les bogues, certains d’entre eux pouvant être utilisés par les gouvernements, voire les grandes compagnies, afin de cracker les ordinateurs qui l’utilisent. Utiliser Adium afin de chiffrer vos conversations constitue une grande défense contre le type de surveillance en rafle non ciblée utilisé afin d’épier les conversations de tous sur Internet, mais si vous croyez être personnellement ciblé par un attaquant pourvu de bonnes ressources (comme un état-nation), vous devez envisager des précautions plus fortes, comme le courrier chiffré PGP.

    Installer Adium + OTR Sur Votre Mac

    Étape 1 : Installer le programme

    Tout d’abord, rendez-vous sur https://adium.im/dans votre navigateur. Sélectionnez “Télécharger Adium 1.5.9.” Le fichier se téléchargera en tant que a .dmg, ou image de disque, et sera probablement sauvegardé dans votre dossier “téléchargements”.

    Double cliquez sur le fichier ; ce qui fera émerger une fenêtre dont l’apparence sera celle qui suit :

    Déplacez l’icône Adium dans le dossier “Applications” afin d’installer le programme. Une fois le programme installé, cherchez-la dans votre dossier Applications et double cliquez afin de l’ouvrir.

    Étape 2 : Configurez votre (vos) compte (s)

    Tout d’abord, vous devrez décider quels outils ou protocoles de chat vous souhaitez utiliser avec Adium. Le processus de configuration est similaire, mais pas identique, pour chaque type d’outils. Vous devrez connaître le nom de compte de chaque outil ou protocole, ainsi que votre mot de passe pour chaque compte.

    Afin de configure un compte, rendez-vous sur le menu d’Adium tout en haut de votre écran et cliquez sur “Adium”, puis “Préférences.” Ceci ouvrira une fenêtre avec un autre menu tout en haut. Sélectionnez “Comptes”, puis cliquez sur le signe “+” tout en bas de la fenêtre. Vous visualiserez un menu qui ressemble à ce qui suit :

    Sélectionnez le programme que vous souhaitez souscrire. Puis, il vous sera demandé de demandé de saisir votre nom d’utilisateur et mot de passé, ou d’utiliser l’outil d’autorisation d’Adium afin de signer votre compte. Suivez les instructions d’Adium avec soin.

    Comment Démarrer un Chat avec OTR ?

    Une fois que vous avez souscrit un ou plusieurs comptes, vous pouvez commencer à utiliser OTR.

    Souvenez-vous : afin de maintenir une conversation en utilisant OTR, les deux personnes doivent utiliser un programme de chat qui admette OTR.

    Étape 1 : Démarrer un chat avec OTR

    Tout d’abord, identifies quelqu’un qui utilise OTR et initiez une conversation avec lui sur Adium en double cliquant sur son nom. Une fois que vous avez ouvert la fenêtre du chat, vous visualiserez un petit verrou d’ouverture en haut à gauche de la fenêtre du chat. Cliquez sur le verrou et sélectionnez “Initier Chat OTR Chiffré”.

    Étape 2 : Vérifiez votre connexion

    Une fois que vous avez initié le chat et que l’autre personne a accepté votre invitation, vous visualiserez l’icône du verrou se fermer ; ainsi, vous savez que votre chat est désormais chiffré (toutes nos félicitations !) – Mais attendez, il existe encore une autre étape !

    Arrivé à ce point, vous avez initié un chat non vérifié et chiffré. Ceci signifie que même si vos communications sont chiffrées, vous n’avez pas encore déterminé ni vérifié l’identité de la personne avec qui vous chatez. Sous réserve de vous trouver dans la même pièce et de pouvoir visualiser les écrans de l’autre, il est important de vérifier vos identités. Pour en savoir plus, lisez le module relatif à la Vérification du Code.

    Afin de vérifier l’identité d’un autre utilisateur d’Adium, cliquez de nouveau sur le verrou et sélectionnez “Vérifier.” Vous visualiserez une fenêtre affichant à la fois votre code et celui de l’autre utilisateur. Certaines versions d’Adium admettent exclusivement une vérification manuelle des empreintes digitales. Ceci signifie que qu’en utilisant la même méthode, la personne avec vous chatez et vous-mêmes devrez vérifier que les codes affichés par Adium coïncident exactement.

    La manière la plus facile d’y procéder est de les lire à haute voix, l’un à l’autre en personne, ce qui n’est pas toujours possible. Il existe différentes manières d’y arriver, avec différents niveaux de fiabilité. Par exemple, vous pouvez lire vos codes à haute voix l’un à l’autre par téléphone si vous reconnaissez vos voix respectives ou les envoyer en utilisant une autre méthode de communication vérifiée telle que PGP. Certaines personnes publient leurs codes sur leur site Web, compte Twitter ou carte de visite.

    Le plus important est de vérifier que chaque lettre et chaque chiffre coïncide parfaitement.

    Étape 3 : Désactiver la connexion

    Maintenant que vous avez initié un chat chiffré et vérifié l’identité de votre partenaire de chat, il existe encore une chose que vous devez faire. Malheureusement, Adium connecte vos chats OTR chiffrés par défaut, les sauvegardant dans votre disque dur. Ceci signifie que, malgré le fait qu’ils soient chiffrés, ils sont sauvegardés en texte brut sur votre disque dur.

    Afin de désactiver la connexion, cliquez sur “Adium” dans le menu tout en haut de votre écran, puis sur “Préférences.” Dans la nouvelle fenêtre, sélectionnez “Général” puis désactiver “Messages de Connexion” et “Connexion aux chats sécurisés OTR”. Rappelez-vous que vous n'avez pas de contrôle sur la personne avec qui vous parlez, elle pourrait enregistrer vos chats OTR chiffrés ou prendre des captures d'écran de votre conversation, même si vous vous avez désactivé la connexion.

    Vos paramètres doivent maintenant ressembler à ce qui suit :

    De même, lorsqu’Adium affiche les notifications de nouveaux messages, le contenu de ces derniers peut être connecté par le Centre de Notification d’OS X. Ce qui signifie qu’Adium ne laisse aucune trace de vos communications sur votre propre ordinateur ou celui de votre correspondant, votre version informatique d’OS X ou celle de votre correspondant peut conserver un enregistrement. Afin de prévenir cette situation, vous pouvez désactiver les notifications.

    Afin d’y procéder, sélectionnez "Évènements" dans la fenêtre des Préférences et cherchez l’entrée "Afficher une notification." À chaque entrée, agrandissez en cliquant sur le triangle gris puis sur la ligne "Afficher une notification," puis cliquez sur l’icône moins ("-") en bas à gauche afin d’effacer cette ligne. Si les enregistrements demeurant sur votre ordinateur vous préoccupent, vous devez également chiffrer le disque dans son intégralité, ce qui aidera à protéger ces données contre les tiers souhaitant les obtenir sans votre mot de passe.

    Dernière révision : 
    19-01-2017
Next:
JavaScript license information