Playlist
  • Vétéran de la sécurité en ligne ?

    Guides avancés afin d'améliorer vos compétences en matière d'autoprotection contre la surveillance.

    Toutes nos félicitations ! Vous avez déjà pris les mesures afin d'améliorer la sécurité de vos communications en ligne. Maintenant, vous souhaitez passer au niveau suivant et, grâce à cette liste de lecture, vous pouvez. Vous apprendrez à comprendre les menaces, à vérifier l'identité de la personne avec qui vous communiquez et ajouter quelques nouveaux outils à votre répertoire.

  • Une Introduction au Modèle de Menace

    Il n’existe pas de solution unique afin de demeurer sécurisé en ligne. La sécurité digitale ne traite pas des outils que vous utilisez, il s’agit plutôt de comprendre les menaces auxquelles vous devez faire face et comment y faire face. Afin d’être plus sécurisé, vous devez déterminer ce que vous devez protéger et contre qui vous devez le protéger. Les menaces varient en fonction de votre emplacement, de vos activités et des personnes avec lesquelles vous travaillez. En conséquence, afin de déterminer les solutions qui s’adapteront le mieux à vos besoins, vous devez effectuer une évaluation de votre modèle de menace.

    Voici les cinq questions à vous poser pour évaluer votre modèle de menace Anchor link

    1. Que souhaitez-vous protéger ?
    2. Contre qui souhaitez-vous le protéger ?
    3. Quelle est la probabilité que vous ayez besoin de le protéger ?
    4. Quelles seraient les conséquences si vous échouiez ?
    5. Quels désagréments êtes-vous disposé à affronter afin de vous en prémunir ?

    En ce qui concerne la première question, nous faisons souvent référence aux actifs ou aux choses que vous tâchez de protéger. Un actif est quelques chose à quoi vous attachez de la valeur et souhaitez protéger. Lorsque nous parlons de sécurité digitale, les actifs en question consistent normalement en des informations. Par exemple, vos e-mails, vos listes de contacts, vos messages instantanés et vos fichiers, tous sont considérés comme des actifs. Vos dispositifs sont également des actifs.

    Écrivez une liste de données que vous rangez, où vous la rangez, qui y a accès et les mécanismes qui évitent que les autres y aient accès.

    Afin de répondre à la deuxième question, “Contre qui souhaitez-vous le protéger,” il est important de comprendre qui est susceptible de vous avoir ciblé ou ciblé vos informations, ou qui est votre adversaire. Un adversaire est toute personne ou entité qui représente une menace pour votre actif ou vos actifs. Exemples d’adversaires potentiels : votre chef, votre gouvernement ou un pirate informatique sur un réseau public.

    Faîtes une liste de ceux qui seraient susceptibles de souhaiter s’approprier de vos données ou communications. Il peut s’agir d’une personne, une agence du gouvernement ou une corporation.

    Une menace est une catastrophe pouvant être subie par un actif. Il existe de nombreuses manières pour un adversaire de menacer vos données. Par exemple, un adversaire peut lire vos communications privées tandis qu’elles sont transmises sur le réseau, ou effacer ou corrompre vos données. Un adversaire peut également désactiver votre accès à vos propres données.

    Les motifs des adversaires diffèrent largement, ainsi que leurs attaques. Un gouvernement tâchant de prévenir la propagation d’une vidéo montrant la violence policière peut tout simplement souhaiter effacer ou restreindre la disponibilité de cette vidéo, tandis qu’un opposant politique peut souhaiter avoir accès à un contenu secret et le publier sans que vous en ayez connaissance.

    Écrivez ce que votre adversaire est susceptible de vouloir faire avec vos données privées.

    La capacité de votre attaquant est également une chose importante à prendre en compte. Par exemple, votre prestataire de téléphonie portable a accès à tous les enregistrements de votre téléphone donc, dispose de la capacité d’utiliser ces données contre vous. Un pirate informatique sur un réseau Wi-Fi libre peut avoir accès à vos communications non chiffrées. Votre gouvernement peut posséder des capacités encore plus importantes.

    La dernière chose à envisage est le risque. Le risque consiste en la probabilité qu’une certaine menace contre un actif en particulier ne survienne, ce qui va de pair avec la capacité. Votre prestataire de téléphonie mobile dispose de la capacité d’avoir accès à toutes vos données, mais le risque de publier vos données privées en ligne afin de porter atteinte à votre réputation est faible.

    Il est important de distinguer entre les menaces et les risques. La menace est une catastrophe qui peut survenir, tandis que le risque est la probabilité que la menace survienne. Par exemple, votre immeuble est menacé de s’effondrer, mais le risque de cette survenance est beaucoup plus important à San Francisco (où les tremblements de terre sont habituels) qu’à Stockholm (où ils ne le sont pas).

    Effectuer une analyse de risque est un processus à la fois personnel et subjectif, tout le monde n’a pas les mêmes priorités ni ne visualise les menaces de la même manière. De nombreuses personnes trouvent certaines menaces inacceptables peu importe le risque, car la seule présence de la menace, quelle que soit sa probabilité, n’en vaut pas la chandelle. Dans d’autres cas, les personnes ignorent les risques importants car ils ne visualisent pas la menace comme un problème.

    Dans un contexte militaire, par exemple, il peut être préférable pour un actif d’être détruit plutôt que de tomber entre les mains ennemies. Au contraire, dans de nombreux contextes civils, il est plus important pour un actif tel qu’un service e-mail d’être disponible et non confidentiel.

    Maintenant, exerçons le modèle de menace. Anchor link

    Si vous souhaitez maintenir votre maison et vos possessions à l’abri, voici quelques questions que vous devez vous poser :

    • Dois-je verrouiller ma porte ?
    • Dans quelle sorte de verrou ou verrous dois-je investir ?
    • Ai-je besoin d’un système de sécurité plus avancé ?
    • Quels sont les actifs dans ce scénario ?
      • L’intimité de ma maison
      • Les éléments à l’intérieur de ma maison
    • Quelle est la menace ?
      • Quelqu’un peut entrer par effraction.
    • Quel est le risque réel de voir quelqu’un entrer par effraction ? Est-il probable ?

    Une fois que vous vous êtes posé ces questions, vous êtes en situation d’évaluer les mesures à prendre. Si vos possessions sont de valeur mais le risque d’effraction est faible, vous n’investirez pas dans un verrou coûteux. Au contraire, si le risque est élevé, vous souhaiterez vous munir des meilleurs verrous existant sur le marché et, peut-être, ajouter un système de sécurité.

    Dernière actualisation: 
    2017-09-07
    This page was translated from English. The English version may be more up-to-date.
  • Choisir Vos Outils

    Tous les outils digitaux, qu’il s’agisse de matériel informatique ou de logiciels, devraient être sécurisés. C’est-à-dire, ils devraient vous protéger contre la surveillance et empêcher que votre dispositif ne soit contrôlé par les autres. Malheureusement, ce n’est pas le cas actuellement. Dans le cadre de nombreuses activités digitales, vous pouvez finir par avoir besoin de programmes spécialisés ou d’équipements conçus afin de fournir des caractéristiques spécifiques de sécurité. Les exemples que nous utilisons dans ce guide comprennent le logiciel qui vous permet de chiffrer vos messages ou fichiers, comme PGP.

    Mais étant donné le grand nombre de compagnies et de sites Web qui offrent des programmes ou du matériel informatique sécurisé, comment choisir celui qui satisfasse vos besoins ?

    La Sécurité est un Processus et non une Acquisition Anchor link

    La première chose à prendre en compte avant de remplacer le logiciel que vous utilisez ou d’acquérir de nouveaux outils est qu’aucun outil ne vous protègera totalement contre la surveillance en toute circonstance. Utiliser un logiciel de chiffrement rendra plus difficile aux autres de lire vos communications ou de fureter dans les fichiers de votre ordinateur. Mais les attaques contre votre sécurité digitale chercheront toujours l’élément le plus faible dans vos pratiques de sécurité. Lorsque vous utilisez un nouvel outil sécurisé, vous devez penser que la manière d’en faire usage peut affecter d’autres façons de vous cibler. Par exemple, si vous décidez d’utiliser un programme de texte sécurisé afin de parler à un contact car vous savez que votre téléphone peut être sur écoute, le fait d’utiliser ce programme peut servir d’indice à votre adversaire et lui laisser penser que vous échangez des informations privées

    Deuxièmement, souvenez-vous de votre modèle de menace. Vous n’avez pas besoin d’acquérir un système téléphonique chiffré qui soit coûteux et prétende “être à l’épreuve de la NSA” si votre plus grande menace est la surveillance physique exercée par un enquêteur privé sans accès aux outils de surveillance d’Internet. Alternativement, si vous devez faire face à un gouvernement qui met fréquemment les dissidents en prison parce qu’ilsutilisent des outils de chiffrement, il est logique d’utiliser des trucs plus simples—comme un ensemble de codes pré arrangés—plutôt que de risquer qu’il puisse être démontré que vous utilisez un logiciel de chiffrement sur votre ordinateur portable.

    En conséquence, voici des questions que vous pouvez-vous poser avant de télécharger, acquérir ou utiliser un outil.

    Quel est son Niveau de transparence ? Anchor link

    Même si la sécurité digitale semble exclusivement consister en garder des secrets, il existe une forte croyance entre les chercheurs en matière de sécurité selon laquelle la politique d’ouverture et la transparence conduisent à des outils plus sécurisés.

    La plupart du logiciel utilisé et recommandé par la communauté relative à la sécurité digitale est gratuit et libre, ce qui veut dire que le code qui définit son fonctionnement est publiquement disponible afin que d’autres personnes puissent l’examiner, le modifier et le partager. En étant transparent eu égard au fonctionnement de leurs programmes, les créateurs de ces outils invitent les autres à rechercher l’existence de défauts de sécurité et ainsi les aider à améliorer les programmes.

    Les logiciels libres fournissent l’opportunité d’une meilleure sécurité, sans toutefois la garantir. L’avantage d’être un logiciel libre repose en partie sur une communauté de techniciens qui vérifie réellement le code, ce qui peut être difficile à mener à bien en matière de petits projets (et même de projets complexes et célèbres). Lorsque vous envisagez d’utiliser un outil, vérifiez que son code source est disponible et si le code dispose d’un audit de sécurité indépendant afin de confirmer la qualité de cette sécurité. Les logiciels et le matériel informatique doivent au moins disposer d’une explication technique détaillée de leur fonctionnement, afin d’autres experts puissent l’examiner.

    Que Pensent ses Créateurs à Propos de ses Avantages et ses Inconvénients ? Anchor link

    Aucun logiciel ni aucun matériel informatique est totalement sûr. Les créateurs ou vendeurs qui soient honnêtes à propos des limitations de leur produit vous donneront une bien meilleure idée de l’application appropriée à vos besoins.

    Ne faîtes pas confiance aux déclarations globales affirmant que le code est de “niveau militaire” ou à “l’épreuve de la NSA” ; ceci ne veut rien dire et vous avertit du fait que les créateurs sont trop confiants ou peu disposés à envisager les défauts potentiels de leur produit.

    Les attaquants sont toujours à la recherche de nouvelles façons de cracker la sécurité des outils, des logiciels et du matériel informatique ayant souvent besoin d’être actualisé afin de prévenir de nouvelles vulnérabilités. Le problème peut être grave si les créateurs d’un outil sont réticents, soit parce qu’ils craignent une mauvaise publicité, ou parce qu’ils n’ont pas construit l’infrastructure nécessaire à résoudre les problèmes.

    Vous ne pouvez pas prédire l’avenir, mais l’activité passée constitue un bon indicateur de la manière dont les créateurs d’outils se conduiront à l’avenir. Si le site Web de l’outil rubrique des problèmes précédent et fait le lien vers des actualisations et informations régulières—tout particulièrement comme le délai écoulé depuis sa dernière actualisation—vous pouvez être sûr qu’ils continueront de prêter ce service à l’avenir.

    Que se Passe-t-il si les Créateurs sont Compromis ? Anchor link

    Lorsque les créateurs d’outils construisent des logiciels et du matériel informatique, ils (tout comme vous) doivent posséder un modèle de menace qui soit clair. Les meilleurs créateurs décriront de manière explicite dans leur documentation de quelle sorte d’attaquants ils peuvent vous protéger dans leur documentation.

    Mais il existe un attaquant auquel les fabricants ne veulent pas penser : que se passe-t-il si eux-mêmes sont compromis ou décident d’attaquer leurs utilisateurs ? Par exemple, un tribunal ou un gouvernement peut forcer une compagnie de fournir des données personnelles ou de créer une “porte dérobée” qui éliminera toutes les protections offertes par leurs outils. Vous devez envisager le (s) ressort (s) où les créateurs ont leur domicile. Si votre menace provient du gouvernement d’Iran, par exemple, une société ayant son domicile aux États-Unis pourra éluder les ordres d’un tribunal iranien, même si elle doit respecter les ordres provenant des États-Unis.

    Même si un créateur peut résister à la pression exercée par un gouvernement, un attaquant peut arriver au même résultat en faisant cracker les propres systèmes du créateur d’outils afin d’attaquer ses clients.

    Les outils les plus résistants sont ceux qui envisagent cette attaque comme potentielle et sont conçus afin de s’en défendre. Cherchez les termes qui affirment qu’un créateur ne peut pas avoir accès aux données privées, plutôt que ceux qui promettent qu’un créateur n’y aura pas accès. Cherchez les institutions réputées pour faire face aux ordres d’un tribunal en matière de données privées.

    Consultez les Mémoires et la Critique En Ligne Anchor link

    Bien sûr, les compagnies vendeuses de produits et les enthousiastes faisant la publicité de leur dernier logiciel en date peuvent être fourvoyés, peuvent induire en erreur ou catégoriquement mentir. Un produit sécurisé à l’origine peut présenter de terribles défauts à l’avenir. Assurez-vous de demeurer bien informé des dernières nouveautés concernant les outils que vous utilisez.

    Connaissez-Vous d’Autres Personnes qui Utilisent le Même Outil ? Anchor link

    Être à jour des dernières nouveautés relatives à un outil représente beaucoup de travail pour une seule personne. Si vous avez des collègues qui utilisent un produit ou service particulier, travaillez avec eux afin de demeurer au courant.

    Produits Mentionnés dans ce Guide Anchor link

    Nous tâchons de garantir que les logiciels et le matériel informatique auxquels nous faisons référence dans ce guide sont conformes aux critères rubriqués ci-dessus : nous nous sommes réellement efforcés de ne rubriquer que les produits dont les bases soient solides, dans le cadre de nos connaissances actuelles en matière de sécurité digitale, et qui soient généralement transparents quant à leur fonctionnement (et leurs pannes), qui puissent se défendre contre la possibilité que les créateurs eux-mêmes soient compromis, et qui existent toujours, avec une base d’utilisateurs techniquement connaissable. Nous imaginons qu’ils possèdent, au moment d’écrire ce guide, le regard d’un public qui en examine les défauts, et feraient rapidement part de leur inquiétude au monde. Veuillez comprendre que nous ne disposons pas des ressources afin d’examiner et de faire des promesses indépendantes quant à leur sécurité, nous n’avalisons pas ces produits et ne pouvons pas en garantir la pleine sécurité.

    Quel Téléphone Dois-Je Acquérir ? Quel Ordinateur ? Anchor link

    L’une des questions les plus fréquemment posées par les formateurs en sécurité est “Dois-je acquérir Android ou un iPhone ?” ou “Dois-je utiliser un PC ou un Mac ?” ou “Quel système d’exploitation dois-je utiliser ?” Les réponses à ces questions ne sont pas simples. La sécurité relative des logiciels et des dispositifs change constamment, au fur et à mesure de la découverte de nouveaux défauts et réparation d’anciens bogues. Les compagnies peuvent se faire la concurrence afin de vous fournir une meilleure sécurité, ou elles peuvent toutes se trouver sous la pression des gouvernements qui affaiblissent cette sécurité.

    Certains conseils sont en général avisés. Lorsque vous achetez un dispositif ou un système d’exploitation, soyez à jour quant aux actualisations du logiciel. Les actualisations résoudront souvent les problèmes de sécurité dans les codes plus vieux que les attaques peuvent exploiter. Les téléphones et systèmes d’exploitation plus anciens ne sont plus admis, même en matière d’actualisations de sécurité. En particulier, Microsoft a clairement affirmé que Windows XP et les versions antérieures de Windows ne recevront aucune assistance en cas de souffrir de problèmes de sécurité, aussi graves soient-ils. Si vous utilisez XP, ne vous attendez pas à ce qu’il soit sécurisé contre les attaquants (de même pour OS X dont la version soit antérieure à 10.7.5 ou "Lion").

    Dernière actualisation: 
    2014-11-04
    Cette page a été traduite de l’anglais. La version anglaise peut contenir des informations plus récentes.
  • Vérification des Codes

    Lorsque le chiffrement est correctement utilisé, vos communications ou informations ne devraient être lisibles que par la personne avec qui vous communiquez et vous-même. Le chiffrement global protège vos données contre la surveillance menée par les tiers, mais si vous n’êtes pas certain de l’identité de la personne avec qui vous parlez, son utilité est limitée. La vérification des codes doit intervenir à cet instant. En vérifiant les codes publics, la personne avec qui vous communiquez et vous-même ajoutez une autre couche de protection à votre conversation en confirmant l’identité l’une de l’autre, vous permettant ainsi d’être sûr que vous parlez à la personne adéquate.

    La vérification des codes est une caractéristique commune aux protocoles utilisant le chiffrement global, tels que PGP et OTR. Sur Signal, ils sont appelés «security numbers». Afin de vérifier les codes sans risque d’interférences, il est recommandé d’avoir recours à une méthode secondaire de communication, différente de celle que vous allez chiffrer, cette méthode se dénomme la vérification par le biais d’un autre réseau. Par exemple, si vous vérifiez vos empreintes digitales OTR, vous êtes susceptible de vous envoyer vos empreintes mutuellement et par e-mail. Dans cet exemple, l’e-mail constituerait ce réseau secondaire de communication.

    Vérifier les codes par le biais d’un autre réseau Anchor link

    Il existe plusieurs manières de procéder. Si vous pouvez mener cette vérification à bien en toute sécurité et commodité, il est alors idéal de vérifier les codes face à face. Ceci se fait souvent lors de soirées de signature de codes ou entre collègues.

    Si vous ne pouvez pas vous rencontrer face à face, vous pouvez contacter votre correspondant grâce à d’autres moyens de communication. Par exemple, si vous tâchez de vérifier les codes PGP, vous pouvez y procéder par téléphone ou moyennant chat OTR.

    Indépendamment du programme que vous utilisiez, vous serez toujours à même de localiser à la fois votre code et celui de la personne avec qui vous communiquez.

    Bien que la méthode de localisation de vos codes varie en fonction du programme, celle de la vérification des codes demeure la même. Vous pouvez lire les empreintes digitales de vos codes à haute voix (si vous êtes face à face ou au moyen du téléphone), ou vous pouvez les copier-coller dans un programme de communication, mais quelle que soit celle que vous choisissiez, il est impératif de vérifier chaque lettre et chaque chiffre.

    Conseil utile : essayez de vérifier les codes avec l’un de vos amis. Afin de savoir comment vérifier les codes grâce à un programme spécifique, visitez celui-ci.

    Dernière actualisation: 
    2017-01-13
    Cette page a été traduite de l’anglais. La version anglaise peut contenir des informations plus récentes.
  • Introduction à la Cryptographie à Clé Publique et PGP

    PGP signifie Pretty Good Privacy (Confidentialité Plutôt Bonne). Il s’agit vraiment d’une  très&nbsp bonne confidentialité. S’il est correctement utilisé, il peut protéger le contenu de vos messages, textes, voire fichiers, d’être compris même par les programmes de surveillance étatique bien financés. Lorsqu’Edward Snowden déclare que le “chiffrement fonctionne,” il parle de PGP et de son logiciel associé. Il n’est pas exceptionnel que les gouvernements volent les codes privés des ordinateurs de certaines personnes (en emportant l’ordinateur, ou en y infiltrant un logiciel malveillant par accès physique, ou en l’attaquant par le biais du hameçonnage), ce qui détruit la protection et permet même de lire des courriers anciens. Il serait comparable de dire que votre porte dispose d’un cadenas indéverrouillable mais que quiconque peut vous soustraire votre code dans la rue, puis le copier et le glisser de nouveau dans votre poche—et ainsi entrer chez vous sans même déverrouiller le cadenas.

    Malheureusement, PGP n’est pas facile à comprendre ou à utiliser. Le fort chiffrement utilisé par PGP—chiffrement à code public—est ingénieux mais difficile saisir. Le logiciel de PGP lui-même existe depuis 1991, ce qui le rend vintage, comme les premières versions de Microsoft Windows, et son apparence n’a pas beaucoup changé depuis lors.

    La bonne nouvelle réside dans le fait qu’il existe de nos jours de nombreux programmes disponibles, capables de dissimuler le design vieilli de PGP et de le rendre plus facile à utiliser, tout particulièrement en matière de chiffrement et d’authentification du courrier—l’utilisation principale de PGP. Nous avons inclus des guides afin d’installer et de faire fonctionner ce logiciel autre part.

    Avant de faire vos expériences avec PGP ou d’autres programmes l’utilisant, il vaut la peine de perdre quelques minutes afin de comprendre les fondements du chiffrement à code public : ce qu’il peut faire pour vous, ce qu’il ne peut pas faire et quand devez-vous l’utiliser.

    Une Histoire de Deux Codes Anchor link

    Lorsque nous utilisons le chiffrement afin de combattre la surveillance, voici ce que nous tâchons de faire :

    Nous prenons un message clairement lisible, comme “bonjour maman. Nous le chiffrons dans un message codé incompréhensible pour celui que le lira (“OhsieW5ge+osh1aehah6,” dit-il). Nous envoyons ce message chiffré sur Internet où il peut être lu par beaucoup de personnes mais, heureusement, impossible à comprendre. Puis, il arrive à destination, notre destinataire désigné, et seulement lui dispose de la manière de le déchiffrer et lui rendre son sens d’origine.

    Pourquoi notre destinataire sait-il déchiffrer le message alors que personne d’autre ne le sait ? Parce qu’il connaît des informations complémentaires que personne ne connaît. Appelons-les le code de décodage, car il déverrouille le message à l’intérieur du code.

    Pourquoi le destinataire connaît-il ce code ? Parce que l’expéditeur le lui a préalablement indiqué, que ce soit en “en maintenant le message face à un miroir” ou en “prenant chaque lettre et la transformant en la prochaine lettre de l’alphabet.” Il existe cependant un problème avec cette stratégie. Si vous vous souciez d’être épié lorsque vous envoyez votre message code, comment envoyez-vous le code au destinataire sans que quelqu’un épie également cette conversation ? Il n’est pas logique d’envoyer un message ingénieusement chiffré si votre attaquant connaît d’ores-et-déjà le code afin de le déchiffrer. Et si vous disposez d’une manière secrète d’envoyer des codes de décodage, pourquoi ne l’utilisez-vous pas pour tous vos messages secrets ?

    La cryptographie à clé publique possède une solution élégante à ce problème. Chaque personne, au cours d’une conversation, possède une manière de créer deux codes. L’un d’eux est un code privé qu’elle garde secrètement et ne divulgue à personne. L’autre code est public et elle le met à la disposition de quiconque souhaitant communiquer avec elle. Peu importe qui peut voir ce code public. Vous pouvez l’afficher en ligne où tout le monde puisse le voir.

    Les “codes” eux-mêmes sont, fondamentalement, des chiffres très longs avec certaines propriétés mathématiques. Le code public et le code privé sont reliés. Si vous chiffrez quelque chose en utilisant le code public, quelqu’un d’autre peut le décoder en utilisant son code privé correspondant.

    Voyons son fonctionnement. Vous souhaitez envoyer un message secret à Aarav. Aarav possède le code privé, mais comme tout bon utilisateur du chiffrement à code public, il a affiché son code public associé sur sa page Web. Vous téléchargez le code public, chiffrez le message en utilisant ce dernier et le lui envoyez. Il peut le décoder car il possède le code privé correspondant– mais il n’y a que lui qui puisse le faire.

    Signature des temps actuels Anchor link

    La cryptographie à clé publique se débarrasse également du problème de la contrebande de codes de déchiffrage vis-à-vis de la personne à laquelle vous souhaitez envoyer un message, car cette personne possède déjàle code. Vous devez juste disposer du code de chiffrement public correspondant que le destinataire peut mettre à disposition de tous, même des espions. Il est seulement utile au moment de chiffrer un message, il est inutile pour celui qui tâche de le déchiffrer.

    Il y a plus ! Si vous chiffrez un message avec un certain code public, il ne peut être déchiffré que grâce au code privé correspondant. Mais l’inverse est aussi vraie. Si vous chiffrez un message avec un certain code privé, il ne peut être déchiffré que grâce au code public correspondant.

    Pourquoi est-ce utile ? Au premier abord, il ne semble y avoir aucun avantage à créer un message secret avec votre code privé que tout le monde (ou tout du moins, ceux qui possèdent votre code public) peut cracker. Mais supposez que j’ai écrit un message disant “J’ai promis de payer 100$ à Aazul” puis que l’ai transformé en message secret grâce à mon code privé. N’importe qui peut déchiffrer ce message—mais une seule personne pet l’avoir écrit : la personne qui possède mon code privé. Si j’ai fait un bon travail en gardant mon code privé en lieu sûr, je suis le seul concerné. En effet, en le chiffrant avec mon code privé, j’ai garanti qu’il ne puisse provenir que de moi. En d’autres mots, j’ai fait la même chose avec ce message digital que nous faisons lorsque nous signonsun message dans le monde réel.

    Signer rend également le message infalsifiable. Si quelqu’un essaie de modifier “J’ai promis de payer 100$ à Aazul” par “J’ai promis de payer 100$ à Bob,” il ne pourra pas le re-signer en utilisant mon code privé. Un message signé garantit son origine, ainsi que le fait de na pas être tripatouillé en transit.

    Donc, la cryptographie à clé publique vous permet de chiffrer et d’envoyer des messages en toute sécurité à tous ceux dont vous connaissez le code public. Si d’autres personnes connaissent votre code public, ils peuvent vous envoyer des messages que vous seul pouvez déchiffrer. Et si les autres connaissent votre code public, vous pouvez signer les messages afin qu’ils sachent qu’ils viennent de vous. Et si vous connaissez le code public de quelqu’un d’autre, vous pouvez déchiffrer le message que cette personne a signé et savoir qu’il ne pouvait venir que d’elle.

    Il doit maintenant être clair que la cryptographie à clé publique devient utile quand bon nombre de personnes connaissent votre code public. Il doit également être évident que vous devez garder votre code privé en lieu sûr. Si quelqu’un d’autre obtient une copie de votre code privé, il peut se faire passer pour vous et signer des messages en prétendant que vous les avez écrits. PGP dispose d’une caractéristique vous permettant de “révoquer” un code privé et d’avertir les autres qu’il n’est plus digne de confiance, mais la solution n’est pas géniale. Le plus important lorsque vous utilisez le système de cryptographie à clé publique est de garder votre code privé en lieu très sûr.

    Fonctionnement de PGP Anchor link

    Pretty Good Privacy se centre sur les menus détails de la création et de l’utilisation des codes public et privé. Vous pouvez créer une paire de codes public/privé grâce à lui, protéger le code privé avec un mot de passe et l’utiliser, ainsi que votre code public, afin de signer et de chiffrer des textes. Il vous permettra également de télécharger les codes publics d’autres personnes, ainsi que les vôtres sur des “serveurs de codes publics”, qui consistent en des référentiels où les autres peuvent trouver votre code. Consultez nos guides afin d’installer le logiciel compatible avec PGP sur votre logiciel de courrier.

    Si vous ne deviez retenir qu’une seule chose du présent aperçu, ce serait la suivante : vous devez garder votre code privé en lieu sûr et protégé moyennant un long mot de passe. Vous pouvez mettre votre code public à disposition de quiconque afin de communiquer ou de faire savoir que le message provient bien de vous.

    PGP Avancé : Le Web de Confiance Anchor link

    Vous avez sans doute remarqué un défaut potentiel de fonctionnement de la cryptographie à clé publique. Supposez que je distribue un code public que je sais appartenir à Barack Obama. Si les autres me croient, ils commenceront sans doute à envoyer des messages secrets à Barack, en les chiffrant au moyen du code. Soit ils peuvent croire que tout ce qui a été signé grâce à ce code est une déclaration assermentée de Barack. Ceci est tout à fait particulier, est survenu à certaines personnes dans la vie réelle, y compris certains auteurs du présent document—certaines personnes leur ont écrit pour leur faire savoir qu’elles avaient été dupées ! (Nous ne sommes pas tout à fait sûrs, dans ces cas, si certains de ceux qui créent les faux codes peuvent réellement intercepter les messages en transit et les lire, ou s’il s’agit de l’équivalent d’un canular afin que ce soit moins pratique de maintenir des conversations sécurisées).

    Une autre attaque sournoise consiste en ce que l’attaquant se trouve entre deux personnes parlant en ligne, épiant ainsi toute leur conversation, et en y introduisant à l’occasion des messages trompeurs. Grâce à la conception d’Internet en tant que système de transport de messages via divers ordinateurs et parties privées, cette attaque est tout à fait possible. Dans cette circonstance (dénommée “attaque de l’homme du milieu”), échanger les codes sans accord préalable peut devenir extrêmement risqué. “Voici mon code”, annonce une personne qui semble être Barack Obama et vous envoie un fichier contenant un code public. Mais quid si quelqu’un a brouillé la transmission du code d’Obama et introduit son propre code ?

    Comment pouvons-nous prouver qu’un certain code appartient réellement à une certaine personne ? Une manière de procéder est d’en obtenir directement le code, mais elle ne vaut pas mieux que notre idée originale d’obtenir un code secret sans que personne ne nous épie. Pourtant, les personnes continuent d’échanger leurs codes publics lorsqu’elles se rencontrent, de en privé ou lors de soirées cryptographiques publiques.

    PGP dispose d’une solution légèrement meilleure, dénommée le “Web de confiance.” Sur le Web de confiance, si je crois qu’un code appartient à une certaine personne, je peux signer ce code puis le télécharger (ainsi que la signature) sur le serveur de codes publics. Ces serveurs de codes fourniront ensuite les codes publics signés à quiconque en faisant la demande.

    Grossièrement parlant, plus je croirais que les personnes ont signé le code et plus il est probable que je croie réellement que le code appartient à celui qui le réclame. PGP vous permet de signer les codes des autres personnes et d’avoir confiance en les autres signataires, s’ils signent un code, votre logiciel croira automatiquement que ce code est valide.

    Le Web de confiance possède ses propres défis et les organisations comme la Fondation Frontières Électroniques examinent actuellement de meilleures solutions. Mais pour l’instant, si vous souhaitez disposer d'une alternative à la fourniture des codes en personne, utiliser le Web de confiance et le réseau du serveur de codes publics demeure la meilleure option.

    Métadonnées : Ce Que PGP Ne Peut Pas Faire Anchor link

    PGP consiste en garantir la confidentialité, l’authenticité et l’absence de falsification du contenu d’un message. Mais ce souci de confidentialité peut ne pas être le seul. Nous avons vu que les informations concernantvos messages peuvent être aussi révélatrices que leur contenu (Cf. “métadonnées”). Si vous échangez des messages PGP avec un dissident bien connu de votre pays, vous pouvez être en danger du seul fait de cette communication, et bien que ces messages ne soient pas déchiffrés. Effectivement, dans certains pays, vous pouvez risquer la prison simplement pour avoir refusé de décoder des messages chiffrés.

    PGP ne peut rien faire afin de déguiser la personne avec qui vous communiquez, ou que vous utilisiez PGP pour ce faire. Effectivement, si vous téléchargez votre code public sur les serveurs de codes, ou signez les codes d’autres personnes, vous faîtes savoir au monde entier quel code vous appartient et qui vous connaissez.

    Vous n’avez pas besoin d’en arriver là. Vous pouvez garder votre code public à l’abri et ne le mettre à la disposition que des personnes en qui vous avez confiance, ainsi que de leur interdire de le télécharger sur des serveurs de codes publics. Vous n’avez pas besoin de joindre votre nom à un code.

    Camoufler que vous communiquez avec une personne en particulier est plus difficile. Une manière de procéder consiste en ce que vous utilisiez tous les deux des comptes e-mail anonymes et ayez accès à eux en utilisant Tor. Ce faisant, PGP sera toujours d’utilité, à la fois afin de maintenir la confidentialité de vos messages et de prouver que ces derniers n’ont pas été falsifiés.

    Dernière actualisation: 
    2014-11-07
    Cette page a été traduite de l’anglais. La version anglaise peut contenir des informations plus récentes.
  • Guide d'utilisation d'OTR pour Mac

    Adium est un client de messagerie instantanée pour OS X, gratuit et libre, qui vous permet de chatter avec d’autres personnes sur de multiples protocoles de chat, y compris Google Hangouts, Yahoo! Messenger, Windows Live Messenger, AIM, ICQ, et XMPP.

    OTR (Confidentiel) est un protocole qui permet aux personnes de maintenir des conversations confidentielles en utilisant des outils de messagerie avec lesquels elles sont déjà familiarisées. Il ne doit pas être confondu avec le “Confidentiel” de Google qui désactive simplement la connexion au chat et ne dispose d’aucune capacité de chiffrement ou vérification. Pour les utilisateurs de Mac, OTR est fourni avec le client Adium incorporé.

    OTR utilise un chiffrement global. Vous pouvez l’utiliser afin de maintenir des conversations sur des services comme Google Hangouts ou Facebook sans que ces compagnies ne puissent jamais avoir accès au contenu des conversations. Cependant, le fait que vous avez une conversation est visible au fournisseur.

    Pourquoi dois-je utiliser Adium + OTR ? Anchor link

    Lorsque vous maintenez une conversation via chat en utilisant Google Hangouts sur le site Web de Google, ce chat est chiffré moyennant HTTPS, donc le contenu de votre chat est protégé contre les pirates informatiques et autres tiers lorsqu’il est en cours. Il n’est cependant pas protégé contre Google, qui disposent des codes correspondant à votre conversation et peuvent les remettre aux autorités et peuvent les remettre aux autorités ou les utiliser pour la commercialisation.

    Après avoir installé Adium, vous pouvez vous inscrire en utilisant de multiples comptes à la fois. Par exemple, vous pouvez utiliser Google Hangouts et XMPP de manière simultanée. Adium vous permet également de chater en utilisant ces outils sans OTR. Étant donné qu’OTR ne fonctionne que si les deux personnes l’utilisent, ce qui signifie que même si l’autre personne ne l’a pas installé, vous pouvez toujours chater avec elle en utilisant Adium.

    Adium vous permet également d’effectuer des vérifications hors réseau afin de vous assurer que vous parlez à la personne à laquelle vous croyez parler et que vous ne faites l’objet d’une attaque MITM (de l’homme du milieu). Au cours de chaque conversation, il existe une option qui affichera les empreintes digitales codées à votre disposition et celle de la personne avec qui vous chatez. Une empreinte digitale codée" consiste en une chaîne de caractères telle que "342e 2309 bd20 0912 ff10 6c63 2192 1928,” utilisée afin de vérifier un code public plus long. Échangez vos empreintes digitales sur un autre réseau de communication comme Twitter DM, ou par e-mail, afin de vous assurer que personne n’interfère avec votre conversation. Si les clés ne correspondent pas, vous ne pouvez pas être sûr que vous parlez à la bonne personne. Souvent, les gens utilisent plusieurs de clés, ou les perdent et d'avoir à recréer de nouvelles clés, donc ne soyez pas surpris si vous devez re-vérifier vos clés avec vos amis.

    Limitations : Quand ne dois-je pas utiliser Adium + OTR ? Anchor link

    Les techniciens emploient un terme afin de décrire qu’un programme ou une technologie peut être vulnérable aux attaques externes : ils disent qu’il dispose d’une grande “surface d’attaque.” Adium dispose d’une grande surface d’attaque. Il s’agit d’un programme complexe, qui n’a pas été écrit en faisant de la sécurité une priorité maximale. Il est sans doute envahi par les bogues, certains d’entre eux pouvant être utilisés par les gouvernements, voire les grandes compagnies, afin de cracker les ordinateurs qui l’utilisent. Utiliser Adium afin de chiffrer vos conversations constitue une grande défense contre le type de surveillance en rafle non ciblée utilisé afin d’épier les conversations de tous sur Internet, mais si vous croyez être personnellement ciblé par un attaquant pourvu de bonnes ressources (comme un état-nation), vous devez envisager des précautions plus fortes, comme le courrier chiffré PGP.

    Installer Adium + OTR Sur Votre Mac Anchor link

    Étape 1 : Installer le programme

    Tout d’abord, rendez-vous sur https://adium.im/dans votre navigateur. Sélectionnez “Télécharger Adium 1.5.9.” Le fichier se téléchargera en tant que a .dmg, ou image de disque, et sera probablement sauvegardé dans votre dossier “téléchargements”.

    Double cliquez sur le fichier ; ce qui fera émerger une fenêtre dont l’apparence sera celle qui suit :

    Déplacez l’icône Adium dans le dossier “Applications” afin d’installer le programme. Une fois le programme installé, cherchez-la dans votre dossier Applications et double cliquez afin de l’ouvrir.

    Étape 2 : Configurez votre (vos) compte (s)

    Tout d’abord, vous devrez décider quels outils ou protocoles de chat vous souhaitez utiliser avec Adium. Le processus de configuration est similaire, mais pas identique, pour chaque type d’outils. Vous devrez connaître le nom de compte de chaque outil ou protocole, ainsi que votre mot de passe pour chaque compte.

    Afin de configure un compte, rendez-vous sur le menu d’Adium tout en haut de votre écran et cliquez sur “Adium”, puis “Préférences.” Ceci ouvrira une fenêtre avec un autre menu tout en haut. Sélectionnez “Comptes”, puis cliquez sur le signe “+” tout en bas de la fenêtre. Vous visualiserez un menu qui ressemble à ce qui suit :

    Sélectionnez le programme que vous souhaitez souscrire. Puis, il vous sera demandé de demandé de saisir votre nom d’utilisateur et mot de passé, ou d’utiliser l’outil d’autorisation d’Adium afin de signer votre compte. Suivez les instructions d’Adium avec soin.

    Comment Démarrer un Chat avec OTR ? Anchor link

    Une fois que vous avez souscrit un ou plusieurs comptes, vous pouvez commencer à utiliser OTR.

    Souvenez-vous : afin de maintenir une conversation en utilisant OTR, les deux personnes doivent utiliser un programme de chat qui admette OTR.

    Étape 1 : Démarrer un chat avec OTR

    Tout d’abord, identifies quelqu’un qui utilise OTR et initiez une conversation avec lui sur Adium en double cliquant sur son nom. Une fois que vous avez ouvert la fenêtre du chat, vous visualiserez un petit verrou d’ouverture en haut à gauche de la fenêtre du chat. Cliquez sur le verrou et sélectionnez “Initier Chat OTR Chiffré”.

    Étape 2 : Vérifiez votre connexion

    Une fois que vous avez initié le chat et que l’autre personne a accepté votre invitation, vous visualiserez l’icône du verrou se fermer ; ainsi, vous savez que votre chat est désormais chiffré (toutes nos félicitations !) – Mais attendez, il existe encore une autre étape !

    Arrivé à ce point, vous avez initié un chat non vérifié et chiffré. Ceci signifie que même si vos communications sont chiffrées, vous n’avez pas encore déterminé ni vérifié l’identité de la personne avec qui vous chatez. Sous réserve de vous trouver dans la même pièce et de pouvoir visualiser les écrans de l’autre, il est important de vérifier vos identités. Pour en savoir plus, lisez le module relatif à la Vérification du Code.

    Afin de vérifier l’identité d’un autre utilisateur d’Adium, cliquez de nouveau sur le verrou et sélectionnez “Vérifier.” Vous visualiserez une fenêtre affichant à la fois votre code et celui de l’autre utilisateur. Certaines versions d’Adium admettent exclusivement une vérification manuelle des empreintes digitales. Ceci signifie que qu’en utilisant la même méthode, la personne avec vous chatez et vous-mêmes devrez vérifier que les codes affichés par Adium coïncident exactement.

    La manière la plus facile d’y procéder est de les lire à haute voix, l’un à l’autre en personne, ce qui n’est pas toujours possible. Il existe différentes manières d’y arriver, avec différents niveaux de fiabilité. Par exemple, vous pouvez lire vos codes à haute voix l’un à l’autre par téléphone si vous reconnaissez vos voix respectives ou les envoyer en utilisant une autre méthode de communication vérifiée telle que PGP. Certaines personnes publient leurs codes sur leur site Web, compte Twitter ou carte de visite.

    Le plus important est de vérifier que chaque lettre et chaque chiffre coïncide parfaitement.

    Étape 3 : Désactiver la connexion

    Maintenant que vous avez initié un chat chiffré et vérifié l’identité de votre partenaire de chat, il existe encore une chose que vous devez faire. Malheureusement, Adium connecte vos chats OTR chiffrés par défaut, les sauvegardant dans votre disque dur. Ceci signifie que, malgré le fait qu’ils soient chiffrés, ils sont sauvegardés en texte brut sur votre disque dur.

    Afin de désactiver la connexion, cliquez sur “Adium” dans le menu tout en haut de votre écran, puis sur “Préférences.” Dans la nouvelle fenêtre, sélectionnez “Général” puis désactiver “Messages de Connexion” et “Connexion aux chats sécurisés OTR”. Rappelez-vous que vous n'avez pas de contrôle sur la personne avec qui vous parlez, elle pourrait enregistrer vos chats OTR chiffrés ou prendre des captures d'écran de votre conversation, même si vous vous avez désactivé la connexion.

    Vos paramètres doivent maintenant ressembler à ce qui suit :

    De même, lorsqu’Adium affiche les notifications de nouveaux messages, le contenu de ces derniers peut être connecté par le Centre de Notification d’OS X. Ce qui signifie qu’Adium ne laisse aucune trace de vos communications sur votre propre ordinateur ou celui de votre correspondant, votre version informatique d’OS X ou celle de votre correspondant peut conserver un enregistrement. Afin de prévenir cette situation, vous pouvez désactiver les notifications.

    Afin d’y procéder, sélectionnez "Évènements" dans la fenêtre des Préférences et cherchez l’entrée "Afficher une notification." À chaque entrée, agrandissez en cliquant sur le triangle gris puis sur la ligne "Afficher une notification," puis cliquez sur l’icône moins ("-") en bas à gauche afin d’effacer cette ligne. Si les enregistrements demeurant sur votre ordinateur vous préoccupent, vous devez également chiffrer le disque dans son intégralité, ce qui aidera à protéger ces données contre les tiers souhaitant les obtenir sans votre mot de passe.

    Dernière actualisation: 
    2017-01-19
    Cette page a été traduite de l’anglais. La version anglaise peut contenir des informations plus récentes.
  • Guide d'utilisation de OTR pour Windows

    OTR (Confidentiel) est un protocole qui permet aux utilisateurs de messagerie instantanée ou outils de chat de maintenir des conversations confidentielles. Grâce à ce guide, vous apprendrez à utiliser OTR avec Pidgin, client de messagerie instantanée gratuit et libre pour Windows PC.

    Qu'est OTR ? Anchor link

    OTR (Confidentiel) est un protocole permettant aux personnes de maintenir des conversations confidentielles en utilisant les outils de message avec lesquels ils sont déjà familiarisés. OTR fournit cette sécurité en :

    • chiffrant vos chats
    • vous fournissant la manière de garantir que la personne avec qui vous chattez est réellement celle qu'elle affirme être
    • empêchant le serveur de se connecter ou d'avoir accès à vos conversations

    OTR ne doit pas être confondu avec le "Confidentiel" de Google, qui se limite à désactiver la connexion au chat et ne possède aucune capacité de chiffrement ou de vérification. Il existe diverses manières d'utiliser OTR sur Microsoft Windows, mais nous avons découvert que le client chat Pidgin (avec son module pidgin-otr) est l'outil de plus cohérent et le plus facile à utiliser.

    Le client de la messagerie instantanée pour Windows PC, Pidgin, connecte automatiquement les conversations par défaut, néanmoins, vous disposez de la possibilité de désactiver cette caractéristique. Ceci dit, vous ne possédez aucun contrôle sur la personne avec qui vous chattez—elle peut se connecter ou capturer l'écran de votre conversation, même si vous avez désactivé la connexion.

    Pourquoi dois-je utiliser Pidgin + OTR ? Anchor link

    Lorsque vous chattez en utilisant Google Hangouts ou le chat de Facebook sur les sites Web de Google ou Facebook, ce chat est chiffré moyennant HTTPS, ce qui signifie que le contenu de votre chat est protégé des pirates informatiques et autres tiers en transit. Il n'est, cependant pas protégé face à Google ou Facebook, qui disposent des codes de vos conversations et peuvent les remettre aux autorités ou les utiliser pour la commercialisation.

    Après avoir installé Pidgin, vous pouvez vous inscrire en utilisant de multiples comptes à la fois. Par exemple, vous pouvez utiliser Google Hangouts, Facebook et XMPP de manière simultanée. Pidgin vous permet également de chatter en utilisant ces outils, sans OTR. Étant donné qu'OTR ne fonctionne que si les deux personnes l'utilisent, même si l'autre personne ne l'a pas installé, vous pouvez chatter avec elle en utilisant Pidgin.

    Pidgin vous permet également de vérifier au moyen d'un réseau de communication indépendant que vous parlez bien à la personne à laquelle vous croyez parler et que vous ne faîtes pas l'objet d'une attaque HDM. Au cours de chaque conversation, il existe une option qui affichera les empreintes digitales à clé correspondant à la personne avec qui vous chattez et à vous-même. Une "empreinte digitale à clé" est une chaîne de caractères telle que "342e 2309 bd20 0912 ff10 6c63 2192 1928,” utilisée afin de vérifier une clé publique plus longue. Échangez vos empreintes digitales par le biais d'autres réseaux de communication, comme Twitter DM ou par e-mail, afin de garantir que personne n'interfère dans votre conversation.

    Limitations : Cas dans lesquels je ne dois pas utiliser Pidgin + OTR ? Anchor link

    Les technologistes disposent d'un terme afin de décrire un programme ou une technologie susceptible d'être vulnérable aux attaques externes : ils en parlent comme possédant une vaste "surface d'attaque".” Pidgin possède une vaste surface d'attaque. Il s'agit d'un programme complexe, dont la sécurité n'était pas la priorité maximale lorsqu'il a été écrit. Il contient certainement des bogues, certains d'entre eux pouvant être utilisés par les gouvernements, voire les grandes compagnies, afin d'entrer par effraction dans les ordinateurs qui l'utilisent. Utiliser Pidgin afin de chiffrer vos conversations est une défense fantastique face au type de surveillance en rafle et non ciblée, utilisée afin d'espionner les conversations sur Internet, mais si vous croyez être la cible personnelle d'un attaquant bien pourvu en ressources (un état-nation, par exemple), vous devez envisager des précautions plus solides, tel que l'e-mail chiffré PGP.

    Obtenir Pidgin Anchor link

    Vous pouvez obtenir Pidgin pour Windows en téléchargeant le programme d'installation sur la Page de téléchargement de Pidgin.

    Cliquez sur l'onglet pourpre TÉLÉCHARGER. Évitez de cliquer sur le bouton vert Télécharger Dès Maintenant car vous allez choisir un fichier d'installation différent. Vous serez redirigé sur la page de téléchargement.

    Évitez de cliquer sur le bouton vert Télécharger Dès Maintenant car vous allez choisir un fichier d'installation différent. Le programme d'installation par défaut de Pidgin est petit car il ne contient pas toutes les informations et télécharge les fichiers pour vous. Cette opération peut parfois échouer, votre expérience sera meilleure avec le "programme d'installation hors ligne” qui contient tout le matériel nécessaire à l'installation. Cliquez sur le lien du “programme d'installation hors ligne". Vous serez redirigé vers une nouvelle page intitulée “Sourceforge” puis, après quelques secondes, une petite animation vous demandera si vous souhaitez sauvegarder un fichier.

    Tenez compte du fait que la page de téléchargement de Pidgin utilise "HTTPS" et, en conséquence, est relativement sécurisée contre la falsification, le site Web qui vous dirige vers la version téléchargeable de Pidgin pour Windows est en réalité Sourceforge, qui utilise "HTTP" non chiffré, donc n'offre aucune protection. Le logiciel peut être falsifié avant que nous le téléchargiez.

    Le risque provient principalement d'une autre personne ayant accès à l'infrastructure locale d'Internet et dont l'intention est de vous surveiller personnellement (par exemple, un fournisseur de point Wi-Fi malicieux), ou d'un état ou d'un gouvernement dont l'intention est de distribuer des logiciels compromis à plusieurs utilisateurs. L'extension HTTPS Everywhere peut transformer les URLs de téléchargement de Sourceforge en HTTPS, nous vous recommandons donc d'installer HTTPS Everywhere avant de télécharger un autre logiciel. En outre, d'après notre expérience, Sourceforge dispose souvent de pubs déroutantes en pleine page sus ses pages de téléchargement qui peuvent inciter les personnes à installer quelque chose de non désiré.  Vous pouvez installer un bloqueur de pub préalablement à tout autre logiciel afin d'éviter ces pubs déroutantes. Souvenez-vous de votre modèle de menace avant de télécharger des fichiers de sites Web non protégés.

    La plupart des navigateurs vous demandera de confirmer si vous souhaitez télécharger ce fichier. Internet Explorer 11affiche une barre au bas de la fenêtre du navigateur avec un bord orange.

    Quel que soit le navigateur, il vaut mieux sauvegarder le fichier avant de poursuivre, cliquez donc sur le bouton “Sauvegarder”. Par défaut, la plupart des navigateurs sauvegarde les fichiers téléchargés dans le dossier Téléchargements.

    Obtenir OTR Anchor link

    Vous pouvez obtenir pidgin-otr, le module OTR pour Pidgin, en téléchargeant le programme d'installation sur la page de téléchargement d'OTR.

    Cliquez sur l'onglet “Téléchargements” afin d'être redirigé vers la section “Téléchargements" de la page. Cliquez sur le lien “Programme d'installation Win32 pour pidgin”.

    La plupart des navigateurs vous demandera de confirmer si vous souhaitez télécharger ce fichier. Internet Explorer 11affiche une barre au bas de la fenêtre du navigateur avec un bord orange.

    Quel que soit le navigateur, il vaut mieux sauvegarder le fichier avant de poursuivre, cliquez donc sur le bouton “Sauvegarder”. Par défaut, la plupart des navigateurs sauvegarde les fichiers téléchargés dans le dossier Téléchargements.

    Après avoir téléchargé Pidgin et pidgin-otr, vous devriez disposer de deux nouveaux fichiers dans votre dossier Téléchargements :

    Installer Pidgin Anchor link

    Ne fermez pas la fenêtre de Windows Explorer et double-cliquez sur pidgin-2.10.9-offline.exe. (Le nom de fichier utilisé dans ce module peut ne pas correspondre nécessairement ce que vous voyez sur votre propre ordinateur.) Il vous sera demandé si vous souhaitez permettre l'installation de ce programme. Cliquez sur le bouton "Oui".

    Une petite fenêtre s'ouvrira et vous demandera de sélectionner une langue. Cliquez sur le bouton “OK”.

    Une fenêtre s'ouvrira et vous donnera un bref aperçu du processus d'installation. Cliquez sur le bouton “Suivant”.

    Maintenant, vous visualisez un aperçu de la licence. Cliquez sur le bouton “Suivant”.

    Maintenant, vous pouvez visualiser les différentes composantes installées. Ne modifiez pas les configurations. Cliquez sur le bouton “Suivant”.

    Maintenant, vous pouvez visualiser l'endroit où Pidgin sera installé. Ne modifiez pas ces informations. Cliquez sur le bouton “Suivant”.

    Maintenant, vous visualiserez une fenêtre avec un texte déroulant s'achevant par “Installation Finalisée.” Cliquez sur le bouton “Suivant”.

    Finalement, vous visualiserez la dernière fenêtre du programme d'installation de Pidgin. Cliquez sur le bouton “Finir”.

    Installer pidgin-otr Anchor link

    Retournez sur la fenêtre de Windows Explorer, ouvrez-la et double-cliquez sur pidgin-otr-4.0.0-1.exe. Il vous sera demandé si vous souhaitez permettre l'installation de ce programme. Cliquez sur le bouton “Oui”.

    Une fenêtre s'ouvrira et vous donnera un bref aperçu du processus d'installation. Cliquez sur le bouton “Suivant”.

    Maintenant, vous visualisez un aperçu de la licence. Cliquez sur le bouton “J'accepte”.

    Vous visualiserez l'endroit où pidgin-otr sera installé. Ne modifiez pas cette information. Cliquez sur le bouton “Installer”.

    Finalement, vous visualiserez la dernière fenêtre du programme d'installation de pidgin-otr. Cliquez sur le bouton “Finir”.

    Configurer Pidgin Anchor link

    Allez sur le menu de Démarrage, cliquez sur l'icône de Windows et sélectionnez Pidgin du menu.

    Ajouter un compte Anchor link

    Lorsque Pidgin est lancé pour la première fois, vous visualiserez la fenêtre d'accueil vous offrant l'option d'ajouter un compte. Étant donné que vous n'avez pas encore configuré de compte, cliquez sur le bouton “Ajouter”.

    Maintenant, vous visualiserez la fenêtre “Ajouter Compte”. Pidgin peut fonctionner avec plusieurs systèmes de chat, mais nous nous centrerons sur XMPP, connu auparavant comme Jabber.

    En entrant sur le Protocole, sélectionnez l'option “XMPP”.

    En entrant sur le Nom d'Utilisateur, introduisez votre nom d'utilisateur XMPP.

    En entrant sur le Domaine, introduisez le domaine de votre compte XMPP.

    En entrant sur le Mot de Passe, introduisez le mot de passe XMPP.

    Si vous cochez la boîte de texte sur l'entrée “Rappeler mot de passe”, vous aurez accès à votre compte plus facilement. Tenez compte du fait qu'en cliquant sur “Rappeler mot de passe,” votre mot de passe sera sauvegardé sur l'ordinateur et accessible à quiconque ayant accès à votre ordinateur. Si cela vous préoccupe, ne cochez pas cette boîte de texte. Il vous sera ensuite requis d'introduire le mot de passe de votre compte XMPP chaque fois que vous démarrez Pidgin.

    Ajouter un Copain Anchor link

    Maintenant, vous souhaitez ajouter quelqu'un pour chatter. Cliquez sur le menu “Copains” et sélectionnez “Ajouter Copain.” Une fenêtre “Ajouter Copain” s'ouvrira.

    Sur la “Fenêtre Ajouter,” vous pouvez introduire le nom d'utilisateur de la personne avec laquelle vous souhaitez chatter. Cet autre utilisateur n'a pas besoin d'appartenir au même serveur, mais doit utiliser le même protocole, tel que XMPP.

    En entrant sur “Nom d'Utilisateur du Copain”, introduisez le nom d'utilisateur de votre copain, ainsi que le nom du domaine. L'apparence sera celle d'une adresse e-mail.

    En entrant sur l' “Alias (Facultatif)”, vous pouvez introduire le nom de votre choix pour votre copain. Ceci est totalement facultatif, mais peut vous aider si le compte XMPP de la personne avec qui vous chattez est difficile à mémoriser.

    Cliquez sur le bouton “Ajouter”.

    Une fois que vous avez cliqué sur le bouton “Ajouter", Boris recevra un message lui demandant s'il donne son autorisation afin que vous puissiez l'ajouter. Une fois que Boris a donné son autorisation, il ajoute votre compte et vous recevrez la même demande. Cliquez sur le bouton “Autoriser”.

    Configurer le module OTR Anchor link

    Maintenant, vous allez configurer le module OTR afin de chatter en toute sécurité. Cliquez sur le menu “Outils” et sélectionner l'option “Modules”.

    Faîtes défiler jusqu'à l'option “Messagerie Confidentielle” et cochez la boîte de texte. Cliquez sur l'entrée “Messagerie Confidentielle”, puis sur le bouton “Configurer Module”.

    Maintenant, vous visualiserez la fenêtre de configuration de la “Messagerie Confidentielle”. Tenez compte du fait qu'elle affiche “Absence de code”. Cliquez sur le bouton “Générer”.

    Maintenant, une petite fenêtre s'ouvrira et génèrera un code. Puis, cliquez sur le bouton “OK”.

    Vous visualiserez de nouvelles informations : une chaîne de 40 caractères de texte, ventilée en 5 groupes de huit caractères. Il s'agit de votre empreinte digitale OTR. Cliquez sur le bouton “Fermer”.

    Maintenant, cliquez sur le bouton “Fermer”, sur la fenêtre des Modules.

    Chatter en toute sécurité Anchor link

    Maintenant, vous pouvez chatter avec Boris. Vous pouvez vous envoyer des messages l'un à l'autre. Cependant, nous ne chattons pas encore en toute sécurité. Même si vous êtes connecté à un serveur XMPP, il est possible que la connexion entre Boris et vous ne soit pas protégée contre les fouineurs. Regardez la fenêtre du chat, tenez compte du fait qu'elle affiche “Non privé” en rouge, en bas et à droite. Cliquez sur le bouton “Non privé”.

    Un menu s'ouvrira, sélectionnez “Authentifier Copain.”

    Une fenêtre s'ouvrira. Il vous sera demandé : “Comment souhaitez-vous authentifier votre copain ?”

    Le menu déroulant se compose de trois options :

    Secret partagé Anchor link

    Un secret partagé est une ligne de texte que la personne avec qui vous souhaitez chatter et vous-même avez convenu d'utiliser à l'avance. Vous devez avoir partagé ce secret en personne et ne l'avoir jamais échangé au moyen de réseaux non sécurisés tels que l'e-mail ou Skype.

    Votre copain et vous-même devez introduire ce texte ensemble. Cliquez sur le bouton “Authentifier”.

    La vérification du secret partagé est utile si votre copain et vous-même vous êtes déjà organisés afin de chatter à l'avenir, mais n'avez pas encore créé d'empreintes digitales OTR sur l'ordinateur que vous utilisez. Cela ne fonctionnera pas, sauf si vous deux utilisez Pidgin.

    Vérification manuelle de l'empreinte digitale Anchor link

    La vérification manuelle de l'empreinte digitale est utile si votre copain vous a déjà remis son empreinte digitale et que vous vous connectez moyennant Pidgin. Elle ne sera pas utile si votre copain a modifié les ordinateurs ou a créé de nouvelles empreintes digitales.

    Si l'empreinte digitale qui vous a été donnée et celle s'affichant sur l'écran coïncident, sélectionnez “J'ai” et cliquez sur le bouton “Authentifiez”.

    Question et réponse Anchor link

    La vérification de la question et de la réponse est utile si vous connaissez votre copain mais n'avez pas encore choisi de secret partagé ni avez eu la possibilité de partager vos empreintes digitales. Cette méthode est utile afin d'établir une vérification fondée sur quelque chose que vous connaissez tous les deux, comme un évènement ou un souvenir commun. Cela ne fonctionnera pas, sauf si vous deux utilisez Pidgin.

    Introduisez la question que vous souhaitez poser. Cette dernière ne doit pas être simple, personne ne doit pouvoir la deviner aisément, mais ne la rendez pas impossible. Un exemple de bonne question serait “Où sommes-nous allés dîner à Minneapolis ?” Et un exemple de mauvaise question serait “Pouvons-nous acheter des pommes à Tokyo?”

    Les réponses doivent parfaitement coïncider ; tenez-en compte lorsque vous choisirez une réponse à votre question. Les majuscules sont importantes, vous devriez envisager une note entre parenthèses comme (par exemple : utiliser des majuscules, une minuscule).

    Introduisez la question et la réponse, puis cliquez sur le bouton “Authentifier”.

    La fenêtre de votre copain sera ouverte et la question affichée sollicitant la réponse. Il devra répondre et cliquer sur le bouton “Authentifier”. Il recevra alors un message lui indiquant que l'authentification a été couronnée de succès.

    Une fois que votre copain a achevé la procédure d'authentification, vous recevrez une fenêtre vous indiquant que l'authentification a été couronnée de succès.

    Votre copain doit également vérifier votre compte afin que vous soyez tous les deux assurés que la communication est sécurisée. Voici un exemple entre Akiko et Boris. Tenez compte des icônes verts “Privé” en bas et à droite de la fenêtre du chat.

    Fonctionnement avec un autre logiciel Anchor link

    Les mécanismes afin de vérifier l'authenticité doivent fonctionner sur les différents logiciels de chat tels que Jitsi, Pidgin, Adium et Kopete. Vous n'êtes pas obligé d'utiliser le même logiciel de chat afin de chatter sur XMPP et OTR, mais le logiciel contient parfois des erreurs. Adium, un logiciel de chat pour OS X, génère une erreur lorsqu'il reçoit la vérification de la Question et de la Réponse. Si vous échouez au moment d'utiliser la vérification par le biais de la Question et la Réponse, vérifiez si l'autre personne utilise Adium et voyez si vous pouvez utiliser une autre méthode de vérification.

    Dernière actualisation: 
    2015-02-10
    Cette page a été traduite de l’anglais. La version anglaise peut contenir des informations plus récentes.
JavaScript license information