Comment contourner les systèmes de traçabilité ? est un article de Jean-Marc Manach, journaliste à InternetActu.net et LeMonde.fr, animateur du blog bugbrother consacré à la défense de la vie privée face au contrôle social informatique.

Cet article a été une première fois publié dans Hermès n°53, 2009 (« Traçabilité et réseaux »), publiée par le CNRS. C’est un excellent survol de la problématique dont nous ne pouvons que conseiller la lecture.

Lire l’article en .pdf

Dossier(s): Archives Sécurité IT

Ce mardi, Google a lancé un nouveau site internet de statistiques. Celui-ci révèle, pays par pays, le nombres de demandes de censures et d’informations sur les internautes effectuées par les agences gouvernementales. Les services concernés par ces requêtes vont de la messagerie électronique Gmail aux sites internet en passant par YouTube, propriété de Google. La censure des Etats sur le web augmente de plus en plus, et consiste en des demandes de blocage total de sites, de leur filtrage, ainsi qu’en des décisions judiciaires limitant l’accès à l’information et aux législations obligeant l’auto-censure. Les agences gouvernementales font également appel à la société américaine pour qu’elle leur fournisse des informations sur ses utilisateurs.

Selon la chargée de communication de Google, l’augmentation de la censure des gouvernements sur internet est la conséquence du nombre record de personnes disposant d’un accès à internet et du fait qu’ils créent plus de contenu que jamais. Pour elle, cette situation est devenu un véritable défi pour des gouvernements habitués à contrôler les médias écrits et télédiffusés.

Le Brésil récolte la première place des pays demandant des retraits de données (291 demandes entre juillet et décembre 2009), suivi par l’Allemagne, l’Inde et les Etats-Unis. En ce qui concerne les demandes d’informations personnelles, c’est à nouveau le Brésil qui est en tête (3663 requêtes), talonné par les Etats-Unis et la Grande-Bretagne. Google précise que les données publiée sur le site www.google.com/governmentrequests/ ne sont ni complètes, ni précises à 100%, mais promet des améliorations et sa mise à jour tous les six mois. Notons enfin que cette nouveauté apparaît alors que les autorités de protection des données personnelles de dix pays ont écrit à la société américaine cette semaine pour l’exhorter à respecter les lois relatives à la protection de la vie privée.

En mai 2008, des policiers du monde entier, dont des Français, sont invités par Microsoft, pour découvrir, dans les locaux de Microsoft, à Redmond, COFEE (Computer Online Forensic Evidence Extractor), un outil permettant d’aider les forces de l’ordre a mettre à mal les sécurités installées dans Windows Vista. Un stage de luxe qui regroupe le FBI, Interpol, l’armée. Parmi les ‘cours’, comment récupérer des preuves sous Hotmail ou sous Windows. Parmi les possibilités, le programme COFEE.

Le matériel est simple, une clé USB et un programme capable de trouver différentes données cachées sur un disque dur. Un programme aux 150 commandes qui permet de retrouver toutes données liées à une affaire en un temps record. Décryptage des mots de passe, analyse des activités sur la toile, et cela par un policier qui n’a plus besoin d’être un expert. Bref, rien de révolutionnaire, ce type d’outil existait depuis longtemps mais Microsoft semble avoir réuni tout ce petit monde sous le même programme. Des milliers de clés de ce type sont déjà en action dans 15 polices de par le monde. Microsoft les offre. ‘Nous investissons beaucoup de temps et d’argent dans la mise au point de ces nouveaux outils, mais notre but n’est pas d’en tirer des profits en argent. Nous le faisons afin de nous assurer qu’Internet demeure un endroit sécurisé‘ confiait Brad Smith, de chez Microsoft. A noter que cette clé permet de passer outre le chiffrement ‘Bitlocker’ mis en place par Microsoft dans Windows Vista. Il suffit aux enquêteurs de brancher la clé sur la machine allumée du suspect pour utiliser l’un des 150 outils mis à disposition avec COFEE. En moins de 30 minutes, la clé enregistre les données dites ‘sensibles’ pour les enquêteurs.

Début novembre, un fichier archive circulait sur le net avec, à l’intérieur, une image de COFEE. Colmatée depuis, la fuite finit de se répandre sur Internet. Mais le mal est fait. Si la diffusion de l’utilitaire a été bloquée, des pirates en ont profité pour développer une contre-application qui permettait de se débarrasser des ‘trous’ exploités par COFEE et qu’ils ont nommée DECAF (Detect and Eliminate Computer Assisted Forensics). Téléchargeable sur leur site decafme.org, cette application s’adressait à des utilisateurs avancés. Yahoo en avait parlé. Mais le 18 décembre, un petit message intitulé Gamer Over sur le site de DECAF, nous apprend que le but était simplement d’attirer l’attention du public sur la sécurité et que les versions téléchargées sont désormais inopérantes…

Logo de DECAF

Logo de DECAF

Lors de l’arrestation des membres du Secours Rouge le 5 juin dernier, les médias ont fait grand cas des communications cryptées entre la section belge du SRI et le secrétariat international de Zurich, et interceptées par la police. Un an et demi plus tard, les services spécialisés de la police fédérale ne sont toujours pas parvenu à décrypter ces mails…

Le cryptage des mails ne fait pas partie de la culture militante en Belgique, alors qu’il est extrêmement répandu en Allemagne ou en Suisse, et alors qu’en Belgique même, il est courant dans le domaine commercial et bancaire. Il est important de généraliser les techniques de cryptage. Crypter toutes les communications politiques, même les plus banales, est essentiel pour tous ceux qui veulent éviter de nourrir les fichiers policiers.

Le logiciel utilisé par le Secours Rouge International est le classique PGP (Pretty Good Privacy). Philip Zimmermann, son développeur, a mis PGP en libre téléchargement en 1991. Le gouvernement a ouvert une enquête contre lui pour violation des lois limitant l’exportation pour les produits cryptographiques aux seuls clients validés par le gouvernement US. Zimmermann a développé PGP dans un souci de droit à la vie privée et de progrès démocratique: ‘PGP donne aux gens le pouvoir de prendre en main leur intimité. Il y a un besoin social croissant pour cela. C’est pourquoi je l’ai créé. (…) Si l’intimité est mise hors la loi, seuls les hors-la-loi auront une intimité. Les agences de renseignement ont accès à une bonne technologie cryptographique. De même les trafiquants d’armes et de drogue. Mais les gens ordinaires et les organisations politiques de base n’avaient pour la plupart pas eu accès à ces technologies cryptographiques de ‘qualité militaire’ abordable. Jusqu’à présent.

PGP est un logiciel de chiffrement et de signature de données utilisant la cryptographie asymétrique mais également la cryptographie symétrique. Il est d’une extrême facilité d’emploi. Il est basé sur un processus appelé ‘public-key’ (‘clé publique’). Tout utilisateur dispose d’une clé privée (une série de caractère, idéalement plus de 20, choisis par lui) et d’une clé publique produite par le programme et liée à la première par un algorithme complexe. La clé publique peut être transmise sous forme de ‘pièce jointe’, dans le corps d’un mail, par clé USB, disque, ou n’importe quel support de données. Elle peut être interceptée et connue sans nuire à la qualité du cryptage.

L’utilisateur communique donc sa clé publique à tous ceux qui doivent lui envoyer un message crypté. Ceux-ci cryptent leur mail ou leur document (traitement de texte, image, tableur) qu’ils lui destinent avec sa clé publique (ce qui se fait en deux ‘clics’). Pour décrypter, l’utilisateur tape dans le logiciel sa ‘clé privée’, connue de lui seul. A l’inverse, pour envoyer un message crypté, l’utilisateur doit disposer de la clé publique de son correspondant. Une fois qu’il a crypté le message, seul le correspondant pourra le décrypter avec sa ‘clé privée’. Même le crypteur n’est pas en mesure de décrypter son message.

Dans le cadre du week-end d’étude anti-répression co-organisé av ec le CLEA, le COI et le CAS, le Secours Rouge organise une formation à l’utilisation de PGP. Si vous apportez votre ordinateur portable, vous pourrez vous faire installer PGP et faire des essais de cryptage jusqu’à ce que vous en maîtrisiez la technique (dix minutes suffisent…). Si vous apportez une clé USB, vous pourrez avoir une copie du programme pour l’installer chez vous (version Linux, PC ou Apple).

Dimanche 10h-12h, Espace Morichar, 29-33 Place Morichar 1060 St Gilles, entrée gratuite.

Attention : guide pour Windows ! (Mac est ici)

Mise à jour 4 avril 2022 : Attention, depuis 2019 Thunderbird intègre nativement OpenPGP et le développement de l’extension Enigmail a été interrompu. Le procédé est largement simplifié. Nous vous renvoyons donc vers le site de Mozilla pour un guide à jour. Nous laissons ce guide en ligne pour les explications qu’il contient sur le fonctionnement.

Chapitre 1 : Le cryptage de communications

Crypter ses e-mails c’est important : et spécialement si on a ‘rien à se reprocher’.

Crypter ses communications par e-mail c’est :
– Empêcher qu’on lise ses e-mails et protéger sa vie privée, même si on a rien à se reprocher,
– être solidaire de ceux qui l’utilisent quotidiennement en créant une zone de flou,
– Empêcher la lecture de ses e-mails par la répression avec une technique déjà éprouvée par de nombreux militants, dont ceux du Secours Rouge.
Si le cryptage d’e-mails avec GPG/OpenPGP semble être difficile, ce n’est comme bien souvent qu’une impression.

Les logiciels dont nous aurons besoin :
– Le pack de logiciels GPG pour Windows « GPG4WIN » sur http://www.gpg4win.org/
– Le logiciel de messagerie par e-mail Thunderbird : https://www.mozilla.org/fr/thunderbird/
– L’extension Enigmail pour Thunderbird.
– Une adresse e-mail compatible IMAP. À peu près toutes les adresses sauf les adresses hotmail, outlook et live (toutes les adresses fournies par Microsoft)

Nous pourrions choisir une adresse e-mail chez un fournisseur militant comme Riseup.net. Mais cela ne changera rien : une fois que les e-mails sont cryptés ils sont autant illisibles par Google, Yahoo ou Riseup.

Dans notre exemple, nous prendrons une adresse Gmail, car celles-ci sont largement répandues et simples à paramétrer. Même si Google a des politiques de confidentialité parfois douteuses, cela ne nous concerne pas puisqu’il ne pourra pas même lire nos messages.

1. Installer GPG4Win et Thunderbird

Commençons par télécharger GPG4WIN sur le site officiel. On clique sur l’immanquable bouton « Download GPG4WIN » en haut à gauche de la page et on sélectionne la dernière version stable du logiciel. Attention, on ne va pas télécharger la version Beta qui pourrait contenir des failles de sécurité.
Une fois le fichier téléchargé, double-cliquons dessus pour lancer la procédure d’installation. On clique deux fois sur suivant avant d’arriver à une série de cases à cocher. Faites comme sur l’image.

Installer GPG4Win et Thunderbird

Installer GPG4Win et Thunderbird

On va ensuite continuer l’installation en lisant ce qu’on nous dit, en cochant la case pour avoir des icônes sur le bureau et en suivant les instructions à l’écran, pour finir par redémarrer l’ordinateur.

Une fois l’ordinateur redémarré, deux nouvelles icônes ont fait leur apparition sur le bureau de notre ordinateur. On ne va pas y toucher pour l’instant, car on va d’abord installer Thunderbird. Rendons-nous donc sur le site officiel de la Fondation Mozilla (inscrit plus haut) pour le télécharger.

A nouveau, suivons les instructions pour finalement démarrer Thunderbird qui nous propose de créer une nouvelle adresse e-mail. Proposition que nous allons décliner pour rentrer notre propre adresse e-mail. Cliquons donc sur ‘Passer cette étape et utiliser mon adresse existente’.

On rentre ensuite nos informations : un nom (ce que vous voulez), l’adresse e-mail que l’on veut utiliser et le mot de passe que l’on utilise pour se connecter à ce compte.

Vous avez à choisir si vous voulez cocher la case « Retenir le mot de passe ». Ne pas la cocher compliquera les choses, mais ce mot de passe est très facile à voler si quelqu’un s’empare de votre ordinateur. Dans notre exemple, on décochera la case, mais sachez que si vos e-mails sont cryptés : même en ayant le mot de passe de la boite mail on ne peut pas lire les courriers cryptés.

On clique donc sur suivant, et Thunderbird se chargera de remplir les cases à l’étape suivante.

Il nous propose alors de choisir entre ‘IMAP’ et ‘POP3’. Et c’est le moment d’expliquer pourquoi nous n’avons pas pris d’adresse Microsoft pour cette manœuvre.

Un compte IMAP permet de conserver simultanément ses e-mails dans sa boite à mail en ligne ET sur son ordinateur, dans Thunderbird.

Au contraire, un compte POP3 récupérera tous les e-mails sur l’ordinateur que vous utiliser. Ce qui veut dire que si vous voulez utiliser cette adresse sur plusieurs ordinateurs, ou changer d’ordinateur tout en conservant vos e-mails : la tâche est rendue beaucoup plus complexe, voir impossible.
On laisse donc la case IMAP cochée et on clique sur ‘Terminé’.

Maintenant que GPG et Thunderbird sont installés, allons au vif du sujet en créant notre paire de clé GPG.

2. Créer une paire de clés GPG

Mais qu’est-ce-que c’est qu’une paire de clés GPG ?

Le chiffrement par GPG est appellé « chiffrement assymétrique », mais un dessin valant mieux que des paragraphes d’explication, voici une petite infographie qui expliquera mieux ce qu’est une paire de clés.

Explication du dessin :

Paul veut envoyer un e-mail à Georgette, pour se faire, nos deux protagonistes installent GPG sur leurs ordinateurs, et chacun d’eux crée une paire de clé. Une clé publique et une clé privée chacun.
Paul et Georgette s’échangent auparavant leurs clés publiques qui, elles, peuvent voyager sans être cryptées (mais nous verrons plus tard que ce n’est pas toujours vrai).

Créer une paire de clés GPG

Créer une paire de clés GPG

Nous apprenons donc plusieurs choses :

– Les clés publiques servent à crypter,
– Les clés privées servent à décrypter.
– Le cryptage et le décryptage se font sur l’ordinateur même et ne dépendent pas d’internet.

D’autres part, sachez que les clés sont en fait deux petits fichiers texte (se terminant par l’extension ‘.asc’)

Pour générer notre paire de clés, démarrons GPA qui se trouve sur notre bureau. Celui-ci nous propose d’emblée de créer une clé privée, acceptons la proposition en cliquant sur ‘Créer la clé maintenant’.

Etape suivante, on tape un nom et un prénom (qui peuvent être n’importe quoi), et on clique sur suivant pour ensuite taper notre adresse e-mail. A l’étape suivante, on coche la case ‘créer une copie de sauvegarde’, ce qui nous sera utile si on veut installer GPG sur un autre ordinateur, pour arriver au choix du mot de passe.

Nous avons déjà vu comment créer un mot de passe au début, mais pour rappel :

– Votre mot de passe doit compter au moins 20 caractères, et contenir lettres minuscules et majuscules, des chiffres et des caractères spéciaux (comme $*^ par exemple). Ce mot de passe ne doit pas contenir de mots existants, de prénoms ou de noms, de dates, etc…
– Dans les cas de Truecrypt et de PGP (comme on le verra au chapitre « Crypter ses e-mails ») il est particulièrement important de bien choisir un mot de passe qui ne sert qu’à ça.

Et voici le mot de passe que nous utiliserons dans l’exemple : V_52b;ZbzEv2B-#@J3m7

On enregistre à présent notre clé secrète à un endroit où on la retrouvera plus tard. On peut envisager de cacher cette clé dans un conteneur Truecrypt (Voir Chapitre 2).

Si GPA s’est fermé, on le redémarre. On voit à présent qu’une nouvelle clé figure dans la liste, cliquons dessus et ensuite, cliquons sur ‘exporter’ pour disposer de notre clé publique. Appellez cette clé comme vous voulez, pourvu que son son se termine par ‘.asc’.

Créer une paire de clés GPG

Créer une paire de clés GPG

Nous avons à présent nos deux clés, il ne nous reste plus qu’à installer Enigmail pour lier nos clés GPG et notre adresse e-mail.

Note : Puisque nous avons demandé à Thunderbird de ne pas retenir le mot de passe de notre boite mail, celui-ci nous le demande à chaque ouverture. Pour la suite, faisons attention à bien taper le mot de passe de notre boite mail dans la fenêtre « Saisissez votre mot de passe »

Créer une paire de clés GPG

Créer une paire de clés GPG

Créer une paire de clés GPG

Créer une paire de clés GPG

3. Installons Enigmail et règlons les derniers paramètres

Enigmail est un module complémentaire de Thunderbird, nous allons donc démarrer Thunderbird pour rechercher Enigmail dans le magasin d’applications de ce dernier.

Installer Enigmail

Installer Enigmail

Ensuite, on tape Enigmail dans le champ de recherche, et on installe le module complémentaire ‘Enigmail’.

Installer Enigmail

Installer Enigmail

Pour finir, on redémarre Thunderbird. Un nouvel onglet à fait son apparition dans Thunderbird, ‘OpenPGP’. Passons notre souris dessus pour ensuite cliquer sur ‘Gestionnaire de clé’.

Installer Enigmail

Installer Enigmail

Lorsque l’on coche la case ‘Afficher toutes les clés’, on voit notre clé. Ce qui veut dire que nos clés sont bien synchronisées avec Thunderbird
Retour dans les paramètres de Thunderbird pour choisir cette fois ‘Options…’, puis ‘Paramètres des comptes’.

Installer Enigmail

Installer Enigmail

Ici, on va se rendre dans l’onglet OpenPGP,

– cocher la case ‘Activer le support OpenPGP pour cette identité’.
– cocher la case ‘Utiliser l’adresse électronique de cette identité pour identifier la clé OpenPGP’.
– cocher la case ‘Chiffrer les messages par défaut’

Installer Enigmail

Installer Enigmail

Tant qu’on y est, désactivons l’utilisation de HTML lors de la rédaction de nos e-mails. Celui-ci peut provoquer des erreurs. On désactive celui-ci dans ‘Rédaction et adressage.

Installer Enigmail

Installer Enigmail

PGP est à présent activé. Notons que si nous avons coché la case ‘Chiffrer les messages par défaut’, c’est pour éviter les erreurs humaines, puisqu’à partir de maintenant, envoyer des messages sera tellement simple que nous en oublierons presque qu’il se fait.

A présent, nous allons voir comment utiliser la clé GPG d’un ami. Dans notre exemple, nous utiliserons celle du Secours Rouge, téléchargeable sur le site https://secoursrouge.org/

Une fois le fichier ZIP décompressé. Nous avons un fichier ‘sr.asc’. Nous devons importer cette clé dans notre trousseau pour pouvoir lui envoyer un e-mail. Pour cela, ré-ouvrons GPA et cliquons sur le bouton ‘Importer’ avant de sélectionner le fichier ‘sr.asc’ là où celui-ci a été décompressé.

4. Envoyer un e-mail crypté

A présent, nous allons envoyer notre premier e-mail crypté ! Dans Thunderbird, on clique sur ‘Ecrire’.

Ecrire un mail crypté

Ecrire un mail crypté

On remplit les champs ‘Pour’, ‘Sujet’ (Celui-ci n’est jamais crypté, attention!), le corps du message.

Si on clique sur ‘OpenPGP’, on verra que la case ‘Chiffrer le message’ est déjà cochée, puisqu’on a demandé à Thunderbird de crypter les messages par défaut.

On envoie ensuite le message. L’adresse e-mail du correspondant est automatiquement associée avec sa clé GPG si celle-ci a été importée. Si elle n’a pas été importée, Thunderbird nous préviendra. On nous demande alors de taper un mot de passe. C’est celui de notre boite mail.

Ceci est le message pour taper le mot de passe de sa boite mail.

Ecrire un mail crypté

Ecrire un mail crypté

Au contraire, ceci est le message que l’on doit taper pour décrypter un message.

Ecrire un mail crypté

Ecrire un mail crypté

On devra peut-être le taper lorsque Thunderbird nous proposera de crypter le message avant qu’on l’ait envoyer.

Ecrire un mail crypté

Ecrire un mail crypté

On notera que le message est crypté également dans le dossier ‘Envoyés’. Cette copie n’est pas cryptée avec la clé publique du correspondant, mais avec la nôtre (sinon, on ne pourrait pas la décrypter).

Attention : nous n’avons pas envoyé notre clé publique dans notre e-mail ! Notre correspondant ne pourra donc pas nous répondre un message crypté.

Lorsque l’on rajoute une pièce-jointe à un message crypté, cochons cette case.

Ecrire un mail crypté

Ecrire un mail crypté

5. Décrypter un message reçu et une pièce-jointe

Quelques heures plus tard, on va vérifier notre boîte mail, et nous avons reçu une réponse cryptée.

Décrypter un mail

Décrypter un mail

On double-clique sur le message pour l’ouvrir, et on tape notre mot de passe GPG. Une pièce-jointe apparaît. ‘piece-jointe.txt.pgp’. Clic-droit sur celle-ci (en bas de la fenêtre de l’e-mail), “déchiffrer et enregistrer sous”.

Chapitre 2 : Le cryptage de données

Dans ce chapitre nous ne présenterons qu’un seul logiciel. Celui-ci a fait ses preuves, fonctionne sur Windows, Mac et Linux et est relativement simple d’utilisation. Ce logiciel est Truecrypt. Allons donc le télécharger sur https://truecrypt.ch/downloads/ et sélectionnons la version du programme compatible avec Windows.

ATTENTION : Ne téléchargez pas Truecrypt sur http://www.truecrypt.org qui était le site originel. Le projet Truecrypt a été abandonné par ses créateurs et a été reprit par l’équipe suisse de TCNext : téléchargez la dernière version de Truecrypt (7.1a) sur le site https://truecrypt.ch/downloads/

Lançons le fichier que nous venons de télécharger et poursuivons l’installation en acceptant les ’License terms’ puis ’Next’, cocher la case ’Install’ et ’Next’, décochons ensuite la case « Create System Restore Point » et enfin ’Install’ et ’Finish’.

Truecrypt est capable de faire plusieurs choses : – Créer un ’Conteneur’ crypté dans votre ordinateur. Ceci créera un fichier crypté dont vous déciderez la taille, etc… – Cryptez une clé USB ou un disque dur portable ou tout autre support amovible. – Cryptez la totalité de votre disque dur (pour les utilisateurs avancés et amoureux du risque, nous ne détaillerons pas la procédure dans cette édition du guide mais vous trouverez facilement des tutoriels en ligne).

Dans ce tutoriel, nous verrons la pratique la plus courante et la plus pratique pour chacun : c’est à dire le cryptage d’un support amovible. Un support amovible est un support que vous pouvez connecter et déconnecter de votre ordinateur, par exemple : une clé usb, un disque dur portable, une carte SD ou micro-SD, etc…

Pour le choix du support, voyez en fonction de vos besoins. Un disque dur portable peut contenir une très grande quantité de données, une clé USB ou une carte SD peut en contenir une grande quantité, tandis qu’une carte micro-SD a ceci de pratique qu’elle est très petite mais plus chère.

Le tutoriel se pratique de la même façon pour chacun de ses supports. Nous parlerons plus loin de « la clé usb » pour simplifier, mais vous pouvez utiliser n’importe quel support pour ce tutoriel.

1. Préparer le support La clé usb doit être vide. Si elle ne l’est pas, tout ce qui se trouve dessus sera effacé.

2. Démarrer Truecrypt Double-cliquons sur l’icône de Truecrypt pour le démarrer, et cliquons sur « Create Volume » pour commencer la procédure de création de notre volume crypté.

Cochons ensuite la seconde case : « Encrypt a non-system partition/drive » puis ’Next’. On va ensuite laissé « Standard Truecrypt Volume » et ’Next’ à nouveau.

A l’étape suivante, nous devons sélectionner le volume à crypter. Ca se corse, puisqu’il ne faut pas faire d’erreur ici (au risque de perdre des données ou de rendre l’ordinateur inutilisable !) On va donc bien faire attention à voir quelle lettre est attribuée à notre clé USB. Prenons par exemple que cette lettre soit F :/ nous cliquerions alors sur Select Device et ensuite on cliquera sur la ligne correspondant à la lettre F :/. Pour déterminer quelle lettre correspond à votre clé, rendez-vous dans le Poste de Travail où vous verrez tous les disques et clés connectés à votre ordinateur.

3. Cryptons ! A cette étape, on choisira « Create encrypted volume and format it ». Ce qui est le plus efficace et le plus rapide pour une clé vide. A l’étape suivante il nous sera proposé de choisir un algorythme de cryptage et un algorythme de hash. Nous voilà dans le vif du sujet et quelques explications s’imposent.

Qu’est-ce-qu’un algorythme de cryptage ? Un algorythme de cryptage, en gros, c’est la méthode mathématique que votre ordinateur utilisera pour crypter l’information. Par exemple, un algorythme utilisable pour un humain serait de remplacer chaque lettre par celle qui la suit dans l’alphabet pour écrire ’BONJOUR’ on écrira plutôt ’CPOKPVS’. Evidemment, l’ordinateur crypte des quantités beaucoup plus grandes que de simples mots et avec des méthodes mathématiques inutilisables par un cerveau humain. Un algorythme est donc un langage codé utilisé par un ordinateur.

Truecrypt nous propose trois algorythmes : AES, Twofish et Serpent. Il nous propose également des « cascades » d’algorythmes. C’est à dire qu’après avoir crypté en AES, il crypte à nouveau en Twofish, etc…

Quelle est la différence entre AES, Twofish et Serpent ? Lorsque le gouvernement américain a mis à jour ses méthodes de sécurité informatique en 1997, il a organisé un concours visant à trouver un algorythme de cryptage puissant, capable de protéger les secrets gouvernementaux. Les trois finalistes étaient AES, Twofish et Serpent, trois algorythmes remarquablement complexes. C’est AES qui a gagné le concours. Mais apparement, Twofish était tout aussi puissant et a perdu à cause de sa vitesse plus lente, et Serpent a perdu car il aurait été impossible à décrypter au besoin.

Moralité de cette petite histoire (imprégnée de légendes urbaines ?) Ces trois algorythmes sont tous les trois extrêmement performant, et vous opterez sans doute pour une cascade des trois. Pas d’inquiétude donc et sélectionner « votre préféré ».

Note : Le cryptage est un enjeu extrêmement important tant au niveau gouvernemental et répressif qu’au niveau technologique (la plupart des appareils informatiques utilisent le cryptage) qu’au niveau antirépressif. Certaines personnes travaillent quotidiennement à rechercher des failles de sécurité permettant de casser ces algorythmes et de les rendre obsolètes. Si ces méthodes semblent aujourd’hui incassables, celles qui les précédaient l’ont pourtant étées (alors qu’elles étaient elles aussi réputées incassables). C’est pourquoi il peut-être intéressant de s’informer si jamais un de ces algorythmes venait à être brisé. L’algorythme AES étant l’un des plus utilisé au monde, s’il venait à être cassé, de nombreux gouvernements devraient le remplacer par un autre (probablement Twofish ou Serpent). Il faut garder en mémoire que si ces méthodes sont sûres aujourd’hui elles ne le seront pas éternellement.

Dans notre exemple, nous choisirons donc un algorythme en cascade : AES-TWOFISH-SERPENT. Et un Hash Algorythm SHA-512.

Précisons que si le cryptage est légal en Belgique il ne l’est pas partout. En France par exemple, il est illégal de crypter un document ou une communication avec un algorythme impossible à décrypter par les autorités !

Cliquons sur Next deux fois pour arriver à l’étape du choix du mot de passe.

4. Le choix du mot de passe Nous avons déjà vu comment créer un mot de passe au début, mais pour rappel :
– Votre mot de passe doit compter au moins 20 caractères, et contenir lettres minuscules et majuscules, des chiffres et des caractères spéciaux (comme $*^ par exemple). Ce mot de passe ne doit pas contenir de mots existants, de prénoms ou de noms, de dates, etc…
– Dans les cas de Truecrypt et de PGP (comme on le verra au chapitre « Crypter ses e-mails ») il est particulièrement important de bien choisir un mot de passe qui ne sert qu’à ça.

Et voici notre mot de passe : 6tN82_9=w5^J_qXnEdA(

On écrit donc notre mot de passe dans les champs adéquats. On ne cochera pas la case « use keyfiles » cette fois, mais sachez que cette fonction permet de créer un petit fichier clé que l’on stockera sur une autre clé usb et qui serait nécéssaire à l’ouverture de notre clé usb.

A l’étape suivante, on répond Yes ou No à la question « Souhaitez vous stockez des fichiers de plus de 4GB dans votre clé. Répondez selon votre cas (d’aussi gros fichiers sont rares), nous répondrons dans notre exemple ’No’.

A l’étape suivante, on devra secouer la souris au-dessus de la fenêtre Truecrypt. Pourquoi ? Simplement parce qu’un ordinateur étant une machine ’logique’ il lui est à peu près impossible de générer de l’aléatoire. Il utilisera donc « l’entropie » (le désordre) générée par notre main humaine pour rendre l’algorythme encore plus complexe.

Après avoir laissé les cases ’Fat’ et ’Default’ si on veut stocker des fichiers de moins de 4Gb, et ’NTFS’ et ’Default’ dans l’autre cas, on clique sur ’Format’. Cette action effacera les éventuels fichiers que vous auriez laissé sur votre clé USB.

Voilà, l’odinateur est en train de crypter notre clé. Il ne nous reste plus qu’à patienter le temps que l’opération se termine.

Fin de la procédure : Truecrypt nous prévient que l’on ne peut pas utiliser la même lettre pour ensuite « monter le volume ». On clique OK, OK puis EXIT.

5. Ouverture de notre clé cryptée

Une fois notre clé cryptée. Nous allons voire comment ouvrir celle-ci pour y déposer les fichiers que l’on veut protéger.

Losque la clé usb est insérée dans l’ordinateur, on démarre Truecrypt et on clique sur « Auto-Mount Devices » pour ensuite taper notre mot de passe. Laissons les trois cases décochées pour plus de sécurité, et on clique sur OK.

Voilà c’est tout. Vous constaterez l’apparition dans votre Poste de Travail d’un nouveau disque « Disque local … » de la même taille que votre clé. Vous y déplacerez vos documents sensibles.

Lorsque vous n’avez plus besoin de votre clé. Retournez à la fenêtre Truecrypt et cliquez sur ’Dismount All’. Vous pouvez ensuite retirer la clé de votre ordinateur.

Chapitre 1: Le cryptage de données

Ce guide est pour Mac (Pour Windows, cliquez ici)

Dans ce chapitre nous ne présenterons qu’un seul logiciel. Celui-ci a fait ses preuves, fonctionne sur Windows, Mac et Linux et est relativement simple d’utilisation. Ce logiciel est Truecrypt. Allons donc le télécharger sur https://truecrypt.ch/downloads/ et sélectionnons la version du programme compatible avec Mac OS X.

ATTENTION : Ne téléchargez pas Truecrypt sur http://www.truecrypt.org qui était le site originel. Le projet Truecrypt a été abandonné par ses créateurs et a été reprit par l’équipe suisse de TCNext : téléchargez la dernière version de Truecrypt (7.1a) sur le site https://truecrypt.ch/downloads/

Double-cliquons sur le fichier fraichement téléchargé et cliquons sur accepter. Dans la nouvelle fenêtre qui s’ouvre, cliquons sur Truecrypt 7.1a.mpkg. Continuer, Installer, Mot de passe, Fermer.

Truecrypt est à présent installé, on peut fermer les diverses fenêtres et glisser le “disque dur” Truecrypt qui est sur le bureau, dans la corbeille.

Ensuite, on ouvre une fenêtre Finder, dans la colonne de gauche on clique sur Applications et on clique sur Truecrypt dans la liste des applications.

Truecrypt est capable de faire plusieurs choses:

– Créer un ‘Conteneur’ crypté dans votre ordinateur. Ceci créera un fichier crypté dont
vous déciderez la taille, etc…

– Crypter une clé USB ou un disque dur portable ou tout autre support amovible.

– Crypter la totalité de votre disque dur (pour les utilisateurs avancés et amoureux du risque, nous ne détaillerons pas la procédure dans cette édition du guide mais vous trouverez facilement des tutoriels en ligne).

Dans ce tutoriel, nous verrons la pratique la plus courante et la plus pratique pour chacun : c’est à dire le cryptage d’un support amovible. Un support amovible est un support que vous pouvez connecter et déconnecter de votre ordinateur, par exemple : une clé usb, un disque dur portable, une carte SD ou micro-SD, etc…

Le tutoriel se pratique de la même façon pour chacun de ses supports. Nous parlerons plus loin de « la clé usb » pour simplifier, mais vous pouvez utiliser n’importe quel support pour ce tutoriel.

1. Préparer le support

La clé usb doit être vide. Si elle ne l’est pas, tout ce qui se trouve dessus sera effacé.

2. Démarrer Truecrypt

Double-cliquons sur l’icône de Truecrypt (dossier applications) pour le démarrer, et cliquons sur « Create Volume » pour commencer la procédure de création de notre volume crypté. Cochons la case Create a volume within a partition/drive, puis “Standard Truecrypt Volume”. On sélectionne enfin le volume (attention à choisir le bon !). Enfin, on laisse coché “Never save history” puis “Next” et “Yes”.

Démarrer Truecrypt

Démarrer Truecrypt

A l’étape suivante il nous sera proposé de choisir un algorythme de cryptage et un algorythme de hash. Nous voilà dans le vif du sujet et quelques explications s’imposent.

3. Qu’est-ce-qu’un algorythme de cryptage ?

Un algorythme de cryptage, en gros, c’est la méthode mathématique que votre ordinateur utilisera pour crypter l’information. Par exemple, un algorythme utilisable pour un humain serait de remplacer chaque lettre par celle qui la suit dans l’alphabet pour écrire ‘BONJOUR’ on écrira plutôt ‘CPOKPVS’. Evidemment, l’ordinateur crypte des quantités beaucoup plus grandes que de simples mots et avec des méthodes mathématiques inutilisables par un cerveau humain. Un algorythme est donc un langage codé utilisé par un ordinateur. Truecrypt nous propose trois algorythmes : AES, Twofish et Serpent. Il nous propose également des « cascades » d’algorythmes. C’est à dire qu’après avoir crypté en AES, il crypte à nouveau en Twofish, etc…

Quelle est la différence entre AES (aussi appellé RSA), Twofish et Serpent ? Lorsque le gouvernement américain a mis à jour ses méthodes de sécurité informatique en 1997, il a organisé un concours visant à trouver un algorythme de cryptage puissant, capable de protéger les secrets gouvernementaux, le gagnant allait devenir le AES (Advanced Encryption Standard). Les trois finalistes étaient RSA, Twofish et Serpent, trois algorythmes remarquablement complexes. C’est RSA qui a gagné le concours. Mais apparement, Twofish était tout aussi puissant et a perdu à cause de sa vitesse plus lente, et Serpent a perdu car il aurait été impossible à décrypter au besoin. Moralité de cette petite histoire (imprégnée de légendes urbaines?) Ces trois algorythmes sont tous les trois extrêmement performants, et vous opterez sans doute pour une cascade des trois. Pas d’inquiétude donc et sélectionnez « votre préféré ».

Note : Le cryptage est un enjeu extrêmement important tant au niveau gouvernemental et répressif qu’au niveau technologique (la plupart des appareils informatiques utilisent le cryptage) qu’au niveau antirépressif. Certaines personnes travaillent quotidiennement à rechercher des failles de sécurité permettant de casser ces algorythmes et de les rendre obsolètes. Si ces méthodes semblent aujourd’hui incassables, celles qui les précédaient l’ont pourtant étées (alors qu’elles étaient elles aussi réputées incassables). C’est pourquoi il peut-être intéressant de s’informer si jamais un de ces algorythmes venait à être brisé. L’algorythme AES étant l’un des plus utilisé au monde, s’il venait à être cassé, de nombreux gouvernements devraient le remplacer par un autre (probablement Twofish ou Serpent). Il faut garder en mémoire que si ces méthodes sont sûres aujourd’hui elles ne le seront pas éternellement.

Dans notre exemple, nous choisirons donc un algorythme en cascade : AES-TWOFISH-SERPENT. Et un Hash Algorythm SHA-512. Précisons que si le cryptage est légal en Belgique il ne l’est pas partout. En France par exemple, il est illégal de crypter un document ou une communication avec un algorythme impossible à décrypter par les autorités !

Cliquons sur Next deux fois pour arriver à l’étape du choix du mot de passe.

4. Le choix du mot de passe

Nous avons déjà vu comment créer un mot de passe au début, mais pour rappel :

– Votre mot de passe doit compter au moins 20 caractères, et contenir lettres minuscules et majuscules, des chiffres et des caractères spéciaux (comme $*^ par exemple). Ce mot de passe ne doit pas contenir de mots existants, de prénoms ou de noms, de dates, etc…

– Dans les cas de Truecrypt et de PGP (comme on le verra au chapitre « Crypter ses e-mails ») il est particulièrement important de bien choisir un mot de passe qui ne sert qu’à ça.

Et voici notre mot de passe : 6tN82_9=w5^J_qXnEdA(

On écrit donc notre mot de passe dans les champs adéquats.
On ne cochera pas la case « use keyfiles » cette fois, mais sachez que cette fonction permet de créer un petit fichier clé que l’on stockera sur une autre clé usb et qui serait nécessaire à l’ouverture de notre clé usb.
A l’étape suivante, on choisira dans la case “Filesystem type” la réponse “FAT”. Puis “Next” à nouveau. Vous pouvez cocher la case “Quick Format” si votre clé USB est neuve, puisque le formatage rapide permettrait une récupération des fichiers auparavant sur la clé USB.

A l’étape suivante, on devra secouer la souris au-dessus de la fenêtre Truecrypt. Pourquoi ? Simplement parce qu’un ordinateur étant une machine ‘logique’ il lui est à peu près impossible de générer de l’aléatoire. Il utilisera donc « l’entropie » (le désordre) générée par notre main humaine pour rendre l’algorythme encore plus complexe.

Après avoir laissé les cases ‘Fat’ et ‘Default’ si on veut stocker des fichiers de moins de 4Gb, et ‘NTFS’ et ‘Default’ dans l’autre cas, on clique sur ‘Format’. Cette action effacera les éventuels fichiers que vous auriez laissé sur votre clé USB.

Voilà, l’odinateur est en train de crypter notre clé. Il ne nous reste plus qu’à patienter le temps que l’opération se termine.

Fin de la procédure.

5. Ouverture de notre clé cryptée

Une fois notre clé cryptée, nous allons voire comment ouvrir celle-ci pour y déposer les fichiers que l’on veut protéger.

Losque la clé usb est insérée dans l’ordinateur, on démarre Truecrypt et on clique sur « Mount all devices » pour ensuite taper notre mot de passe. Laissons les trois cases décochées pour plus de sécurité, et on clique sur OK.
Lorsqu’une fenêtre s’ouvre “Le disque que vous avez inséré n’est pas lisible par cet ordinateur”, cliquez sur “Ignorer”. Puis double-cliquer le le nouveau disque “No Name” qui est disponible sur le bureau. Vous pouvez glisser et déposer vos fichiers dedans (ou dehors).

Ouverture de la clé cryptée

Ouverture de la clé cryptée

Lorsque vous n’avez plus besoin de votre clé. Retournez à la fenêtre Truecrypt et cliquez sur ‘Dismount All’. Vous pouvez ensuite retirer la clé de votre ordinateur.

Chapitre 2: Crypter ses e-mails

Mise à jour 4 avril 2022 : Attention, depuis 2019 Thunderbird intègre nativement OpenPGP et le développement de l’extension Enigmail a été interrompu. Le procédé est largement simplifié. Nous vous renvoyons donc vers le site de Mozilla pour un guide à jour. Nous laissons ce guide en ligne pour les explications qu’il contient sur le fonctionnement.

Nous voici à un des plus importants chapitres, le cryptage des e-mails. Crypter ses e-mails c’est important : et spécialement si on a ‘rien à se reprocher’.

Crypter ses communications par e-mail c’est :

– Empêcher qu’on lise ses e-mails et protéger sa vie privée, même si on a rien à se reprocher,
– Être solidaire de ceux qui l’utilisent quotidiennement en créant une zone de flou,
– Empécher la lecture de ses e-mails par la répression avec une technique déjà éprouvée par de nombreux militants, dont ceux du Secours Rouge.

Si le cryptage d’e-mails avec GPG/OpenPGP semble être difficile, ce n’est comme bien souvent qu’une impression.

Les logiciels dont nous aurons besoin :
– GPGSuite sur http://www.gpgtools.org/
– Thunderbird : https://www.mozilla.org/fr/thunderbird/
– L’extension Enigmail (mais ne la télécharger pas tout de suite).

Nous pourrions choisir une adresse e-mail chez un fournisseur militant comme Riseup.net. Mais cela ne changera rien : une fois que les e-mails sont cryptés ils sont autant illisibles par Google, Yahoo ou Riseup.

1. Installer GPGSuite

Rendez-vous sur http://www.gpgtools.org/

GPG Suite

GPG Suite

On double-clique sur le fichier téléchargé et on procède à l’installation. Lorsqu’une fenêtre vous demande si “Keychain Access peut accéder à vos contacts”, sachez que ce ne sera utilisé que pour mieux automatiser les procédures de cryptage. Mais accepter ou refuser ne changera pas grand chose. Dans notre exemple, nous acceptons. Et GPG Keychain Access s’ouvre et nous propose tout de suite de créer une paire de clés.

Mais qu’est-ce-que c’est qu’une paire de clé GPG ?

Le chiffrement par GPG est appellé « chiffrement assymétrique », mais un dessin valant mieux que des paragraphes d’explication, voici une petite infographie qui expliquera mieux ce qu’est une paire de clé.

Explication du dessin :

Paul veut envoyer un e-mail à Georgette, pour se faire, nos deux protagonistes installent GPG sur leurs ordinateurs, et chacun d’eux crée une paire de clé. Une clé publique et une clé privée chacun.
Paul et Georgette s’échangent auparavant leurs clés publiques qui, elles, peuvent voyager sans être cryptées (mais nous verrons plus tard que ce n’est pas toujours vrai).

Créer une paire de clés GPG

Créer une paire de clés GPG

Nous apprenons donc plusieurs choses :

– Les clés publiques servent à crypter,

– Les clés privées servent à décrypter.

– Le cryptage et le décryptage se font sur l’ordinateur même et ne dépendent pas d’internet.

D’autres part, sachez que les clés sont en fait deux petits fichiers texte (se terminant par l’extension ‘.asc’)

Procédons : On rentre un nom (qui peut-être fictif) et l’adresse e-mail que l’on veut utiliser. Laissons la case “Upload key after generation” décochée pour l’instant. Dans le panneau “Advanced” on changera la longueur de clé à “4096” pour rendre la clé encore plus forte.

GPG Keychain Access

GPG Keychain Access

On rentre ensuite un mot de passe super compliqué (comme expliqué au début du guide). Pendant que la clé est générée, faites plein d’autres choses sur votre ordinateur (ouvrez photoshop, allez sur youtube, écrivez un roman,… Ce que vous voulez !) cela rendra la clé ENCORE plus forte puisque les ordinateurs ne peuvent pas créer de choses aléatoires sans l’aide d’actions humaines.

Une fois ceci terminé, fermez GPG Keychain Access.

2. Installer Thunderbird

Telecharger Thunderbird depuis www.mozilla.org/fr/thunderbird/ double-cliquez sur le fichier téléchargé et glissez-déposez le logo de Thunderbird sur le dossier “Applications”.

Ceci fait, fermez la petite fenêtre et glissez-déposez le “disque-dur” Thunderbird qui est sur le bureau dans la corbeille. Puis ouvrez Thunderbird qui est dans votre dossier “Applications”. Définissez Thunderbird comme application par défaut pour les e-mails (sauf si vous utilisez d’abord l’application “Mail” de Mac”). A l’ouverture de Thunderbird, cliquez sur “Passer cette étape et utiliser mon adresse existante.

On rentre ensuite nos informations : un nom (ce que vous voulez), l’adresse e-mail que l’on veut utiliser et le mot de passe que l’on utilise pour se connecter à ce compte.

Vous avez à choisir si vous voulez cocher la case « Retenir le mot de passe ». Ne pas la cocher compliquera les choses, mais ce mot de passe est très facile à voler si quelqu’un s’empare de votre ordinateur. Dans notre exemple, on cochera la case, mais sachez que si vos e-mails sont cryptés : même en ayant le mot de passe de la boîte mail on ne peut pas lire les courriers cryptés.

On clique donc sur suivant, et Thunderbird se chargera de remplir les cases à l’étape suivante, si vous utilisez un service plus ou moins mainstream. Sinon, cherchez sur google quels sont les paramètres IMAP de votre fournisseur e-mail.

Il nous propose alors de choisir entre ‘IMAP’ et ‘POP3’.

Un compte IMAP permet de conserver simultanément ses e-mails dans sa boite à mail en ligne ET sur son ordinateur, dans Thunderbird.

Au contraire, un compte POP3 récupérera tous les e-mails sur l’ordinateur que vous utilisez. Ce qui veut dire que si vous voulez utiliser cette adresse sur plusieurs ordinateurs, ou changer d’ordinateur tout en conservant vos e-mails : la tâche est rendue beaucoup plus complexe, voir impossible.

On laisse donc la case IMAP cochée et on clique sur ‘Terminer’.

3. InstallerEnigmail

Se rendre dans le menu “Outils” puis “Modules complémentaires”, rechercher Enigmail, “installer” et “redémarrer maintenant”.

4. Derniers paramètres

Enfin, cliquons sur “Outils”, “Paramètre des comptes” puis dans la colonne de gauche “OpenPGP”. On coche la case “Activer le support OpenPGP (Enigmail) pour cette identité. On coche la case “Chiffrer les e-mails par défaut”.

Toujours dans le même menu, on se rend dans l’onglet “Rédaction et adressage” dans la colonne de gauche” et on décoche la case “Rédiger les messages en HTML”.

Cliquez enfin sur OK.

5. Partager les clés publiques

Comme nous l’avons dit auparavant, nos contacts ont besoin de notre clé publique et nous avons besoin des leurs pour communiquer en GPG. Pour obtenir votre clé publique, ouvrez à nouveau “GPG Keychain Access” (via la recherche du finder). Séléctionnez votre clé dans la liste et cliquez sur “Exporter” en lui donnant le nom que vous souhaiter et en l’enregistrant dans un dossier facile à retrouver. Par exemple “Bureau”. Une fois ce fichier obtenu, on peut l’envoyer par e-mail à un ami, la donner via une clé usb, l’héberger sur son site web, etc…

Partage de clés publiques

Partage de clés publiques

6. Importer une clé publique

Lorsque l’on reçoit une clé publique d’un ami. On enregistre le fichier (sur le bureau par exemple). Puis on ouvre GPG Keychain Access, on clique sur importer, on sélectionne le fichier, et voilà !

Importer une clé publique

Importer une clé publique

7. Premier e-mail

Retour à Thunderbird, cliquons sur écrire (en haut à gauche). Tout d’abord, comme nous avons activé le chiffrement automatique de nos e-mails, si on veut envoyer un e-mail pas chiffré, on devra désactiver le chiffrement comme ceci :

Ecrire un mail crypté

Ecrire un mail crypté

Ensuite, lorsque l’on veut envoyer un e-mail chiffré cette fois, tout est automatique !

Ecrire un mail crypté

Ecrire un mail crypté

8. Pièces-jointes cryptées

Lorsque l’on veut enregistrer une pièce-jointe cryptée, on double-clique (ou ctrl + click) sur la pièce-jointe et “Déchiffrer et enregistrer-sous”.

Crypter une pièce jointe

Crypter une pièce jointe

1. Téléphones fixes

1. 1. Téléphones fixes

Le risque des téléphones fixes est largement connu. Lorsqu’on téléphone, on peut toujours supposer que les forces de la répression puissent écouter. Qu’il s’agisse d’un raccordement analogique traditionnel ou de l’ISDN. D’ailleurs, il est possible d’espionner une pièce par un microphone qui peut être placé dans le téléphone.

1. 2. Fax

Le fax est aussi facilement espionnable.

1. 3. Modem analogique ou ISDN

Il y a eu des essais d’écouter une pièce par le moyen d’un microphone dans un modem. Ces essais ont partiellement eu du succès. Même si le téléphone fixe est débranché, une possibilité d’écoute subsiste.

2. Téléphones mobiles

2. 1. L’écoute des communications

Un téléphone portable peut être intercepté tout comme les téléphones fixes traditionnels. Il en est de même pour les SMS et les MMS. Ces informations passent par la société téléphonique et peuvent y être observées ou enregistrées aisément.

2. 2. L’écoute d’ambiance

L’écoute d’un portable en veille ou même éteint est possible. Exactement par le même chemin qu’emprunte les SMS ou les configurations Internet pour les mobiles. L’ordre (« ouvre ton micro mais sans déclencher la sonnerie ou allumer l’écran ») arrive à la carte SIM qui l’exécute. Il faut que la carte SIM et le téléphone aient été prévus pour, ce qui n’est pas toujours le cas. Il y a ainsi un logiciel sous Symbian (l’OS des smartphones de Nokia), qui permet effectivement de transformer le téléphone en micro d’ambiance. Mais encore faut-il que ce logiciel soit installé sur le mobile, et il n’est possible de le faire que si un policier a pu avoir le téléphone en main quelques instants.
Car il y a bien une seconde méthode pour transformer de nombreux téléphones en espion. Elle consiste à pirater le logiciel du téléphone lui-même. Chaque appel de l’utilisateur déclenche un appel vers un autre utilisateur, en simultané. Il faut pour cela également avoir le gsm le téléphone en main pour le modifier (cela prend trois à quatre minutes dans les cas les plus simples).
Notons que ces logiciels sont en vente (avec comme argument de vente: « transformez votre téléphone en micro espion ») sur des sites comme celui-ci ou celui-ci.

2. 2. Profil de mouvement

Il est possible de surveiller la localisation d’un GSM. Dans les endroits avec de nombreuses cellules, par exemple dans les villes, les mouvements d’un GSM peuvent être observés de manière assez exacte.

2. 3. Saut de cellules

Une cellule est une ou plusieurs antennes qui transmettent les informations du téléphone portable, par exemple lors d’une communication, vers la société téléphonique. Par là, la société téléphonique peut voir quel GSM se trouve dans une certaine cellule. Dès qu’une communication s’établit, que ce soit par appel ou par SMS, le téléphone portable se raccorde à l’antenne assurant la meilleure réception. Si nous sommes en mouvement, nous laissons donc une trace et permettons de voir dans quelle direction nous nous dirigeons. Pour cette raison, il est inutile de nous diriger vers une réunion clandestine et d’éteindre notre GSM une fois que nous sommes arrivés. Si votre téléphone portable est surveillé, dès que vous écrivez un SMS, que vous appelez quelqu’un ou que vous recevez un SMS ping (on y reviendra), on peut voir où vous vous trouvez. Même s’il n’est pas possible d’écouter un GSM qui est éteint et qui se trouve à une réunion, il est important de savoir que, si des GSM surveillés se rencontrent dans un même endroit à une même heure, cet endroit ne doit plus être choisi comme lieu de rencontre après.

2. 4. SMS ping

Le SMS ping est une technique qui est utilisée pour localiser un GSM. La société téléphonique envoie un signal au téléphone, assez similaire à un SMS. Par là, une communication est établie qui permet à nouveau d’observer dans quelle cellule se trouve le GSM. Après ce bref moment, la communication est terminée. Le SMS ping est donc un moyen par lequel une communication est établie avec le téléphone portable sans que cela puisse se voir sur l’écran du téléphone.

2. 5. N° IMSI etc.

Un téléphone portable communique par différents numéros avec le service téléphonique et les cellules. Nous connaissons les numéros d’appel. Cependant, à côté de ce numéro, chaque téléphone a un numéro. Ce numéro est appelé n°IMSI. Grâce à ce numéro, le téléphone est toujours identifiable, même dans le cas du changement de la carte SIM.

2. 6. IMSI Catcher

Le IMSI Catcher est un outil que les policiers peuvent installer dans le coffre de leurs voitures. Il simule la cellule d’une société téléphonique, mais avec un peu plus de puissance. Par ce fait, les téléphones portables ne se connectent pas à la cellule officielle mais à ce IMSI Catcher. Par ce moyen, les policiers peuvent découvrir avec quel GSM on téléphone et prendre connaissance des numéros IMSI et IMEI. Dans ce cas, l’utilisation du GSM de quelqu’un d’autre ou d’un GSM réservé à la militance est inutile.

De plus, par le moyen du IMSI Catcher il est possible d’intercepter directement la communication à partir de la voiture. Les dernières versions connues de cet engin n’ont permis que la communication à partir du téléphone et pas les appels vers le téléphone. Ceci va probablement changer rapidement.

Le désavantage le plus grand pour les policiers est que, s’ils utilisent cet outil, ils doivent mener une filature. Ils doivent donc rester proche du GSM ciblé pour ne pas perdre le contact. Mais comme toutes les autres, cet outil va aller en se miniaturisant.

imsi catcher

imsi catcher


imsi-catcher2.gif

2. 7. Pour être certain…

Pour être certain qu’un téléphone portable n’émet plus de signaux, il est conseillé de retirer la batterie du téléphone. En faisant ceci, on peut être rassuré que le GSM soit éteint et en plus, les changements techniques qui ont peut-être été introduits ne peuvent pas fonctionner sans électricité. Cependant il faut être vigilant. Certains fabricants ont annoncé vouloir mettre sur le marché des GSM qui peuvent fonctionner pendant un certain temps grâce à une deuxième batterie intégrée (pour effectuer des appels d’urgence etc.). Si possible il vaut donc mieux déposer le GSM quelque part et le reprendre après la réunion. Enlever sa batterie sans éteindre le téléphone au préalable peut-être une opération plus discrète car, sauf si il y a une tentative de connexion, l’opérateur (et donc la police) ne recevra pas le signal « coupure du téléphone ». On a vu des dossiers d’instructions dans lesquels le fait d’avoir coupé au même moment son téléphone était un indice fort de complicité.

3. Écoutes directes

3.1. Micros cachés

La pose de micros dans les appartements, voitures ou même lieux publics est une vieille pratique policière. Les policiers ont des scénarios bien rodés pour s’assurer des complicités (pour que les serveurs d’un restaurant posent eux-même un micro sous une table où discutaient des révolutionnaires italiens, les policiers ont affirmé qu’ils enquêtaient sur un réseau pédophile). Les photos ci-dessous montrent un micro avec un émetteur à ondes courtes de 300 mhz retrouvé dans un squat milanais, à l’intérieur d’un compteur électrique fermé et scellé.

micropanetteria-25b09.jpg

3.2. Micros directionnels

Des micros directionnels amplificateurs permettent d’écouter à distance les conversations. Leur efficacité varie énormément selon les modèles et selon les ambiances. Certains modèles sont particulièrement discrets.

microdirectionnel.jpg

3.3. Caméras cachées

Ce qui est vrai des micros est aussi vrai des caméras. Voici une caméra cachée par la police chez des activistes à Bruxelles:

camera-medium-2.jpg

3.4. Vidéosurveillance

Certains réseaux de vidéosurveillance peuvent servir en direct à des filatures. C’est le cas du réseau de caméra de la SNCB qui est, avec plus de trois mille caméras, le plus grand système de vidéosurveillance du pays. Le Security Operation Center de la SNCB travaille 24h sur 24, et un poste de travail y est en permanence réservé à des policiers chargés de ’filer’ des suspects de caméra en caméra.

4. Autres techniques de filature IT

4.1. Surveillance par GPS

De la même manière qu’ils peuvent placer un micro dans une voiture, les policiers peuvent placer une balise GPS dans une voiture. Une simple balise GPS, dotée de sa propre batterie, peut-être cachée en quelques secondes sous la voiture, derrière un pare-choc, etc. Quand il est doublé d’un micro, le dispositif GPS est souvent relié à l’alimentation électrique via les fils de la lumière de l’habitacle intérieur (quand ce n’est pas directement aux fusibles). Le dispositif retrouvé par des militants en Italie était composé d’un téléphone portable modifié, d’une antenne, d’un GPS et d’un micro. L’ensemble était placé entre la carrosserie et le revêtement intérieur, et fixé à l’aide de deux aimants.

lecco1-6235f.jpg
lecco3-305cd.jpg
lecco2-d98ea.jpg

La surveillance des personnes par balise GPS est plus problématique. Des gadget pour VIP existent bien (ceintures contenant une balise GPS invisible) mais placer un tel dispositif à l’insu d’une personne est problématique.

4.2. Surveillance par marqueur RFID

La technologie RFID (radio frequency identification) permet de mémoriser et récupérer des données à distance en utilisant des marqueurs. Ces marqueurs sont des étiquettes ou des capsules, qui peuvent être collés ou incorporés dans des objets ou des organismes. Ils comprennent une antenne associée à une puce électronique qui leur permet de recevoir et de répondre aux requêtes radio émises depuis l’émetteur-récepteur.

C’est ainsi que la carte MOBIB ou le passeport biométrique sont « lus » par les bornes ad-hoc. Les puces RFID ont cet avantage de n’avoir besoin d’aucune alimentation. Cette médaille a aussi son revers: il est besoin d’un lecteur proche capable de communiquer avec la puce. Cela en limite l’usage policier. Ce qui n’empêche pas cette technique d’être utilisées par les « services ». Le département de la Défense US a découvert à plusieurs reprises chez des entrepreneurs du secteurs de la défense des pièces de monnaie dans lesquelles étaient insérées des traceurs RFID.

rfid-large.jpg

4.3. Surveillance par drones

Dernier moyen de surveillance hi-tech: le drone. Plusieurs polices européennes (France, grande-Bretagne…) ont fait des essais de drones comme substitut économique aux hélicoptères (notamment pour le contrôle des manifestations et la surveillance du trafic), et les seuls problèmes rencontrés sont les tourbillons d’air générés par les grandes villes et les risques de collision avec les immeuble qui en résultent. L’usage policier du drone reste cependant, en Europe, exceptionnel ou expérimental.

droneuk.jpg

Il est cependant appelé à se développer, les drones devenant de plus en plus fiables. Les forces spéciales israéliennes emploient déjà de manière opérationnelle un petit drone silencieux capable de mener une filature de jour comme de nuit en milieu semi-urbain. Le « Ghost » est un drone silencieux d’environ 4 kg, ayant une portée de 4 km, 30 mn d’autonomie, une vitesse d’environ 60 km à l’heure. Il mesure 1m47 de long et le rotor 75 cm, est capable de pénétrer à l’intérieur de bâtiments par les fenêtres.

Chapitre 1 : La suppression de données

Dans ce premier chapitre, nous allons voir comment supprimer de façon sécurisée les données.
Attention : guide pour Windows ! (Mac et Linux à venir)

Les logiciels dont nous aurons besoin pour ce tutoriel :
– Bleachbit : http://bleachbit.sourceforge.net/
– CCleaner : https://www.piriform.com/ccleaner
– Eraser : http://eraser.heidi.ie/

Tous les logiciels que nous utilisons au quotidien laissent des traces sur l’ordinateur. Même après avoir effacé l’historique de navigation, beaucoup de fichiers restent présents sur l’ordinateur. Nous allons découvrir deux utilitaires qui permettent d’effacer ces ‘résidus’.

Etape 1 : Bleachbit

Bleachbit est un programme qui permet de supprimer de grandes quantités de données résiduelles.
Téléchargeons d’abord ce logiciel sur le site indiqué ci-dessous, et installons-le grâce à une petite procédure rapide où nous prendrons soin de lire ce qu’on nous dit et de cocher la case où l’on nous propose de mettre une icône sur le bureau.

Une fois ceci fait, clic-droit sur la nouvelle icône du bureau « Bleachbit » et nous cliquons sur « Exécuter en tant qu’administrateur ».

A partir d’ici, nous devons faire attention pour ne pas effacer les données que l’on veut effacer par erreur !

Effacer avec Bleachbit

Effacer avec Bleachbit

Nous voici dans l’interface austère mais efficace de Bleachbit. Dans la colonne de gauche, vous verrez une liste de logiciels installés sur votre ordinateur. En cliquant sur le nom d’un logiciel on peut trouver le détail de chaque case à cocher.

Dans la plupart des logiciels, nous voyons une case « Cache ». Ce cache, ce sont des données récoltées par les logiciels pour fonctionner plus rapidement. Par exemple, Mozilla Firefox ou Google Chrome, votre navigateur internet récolte ce ‘cache’ pour ne pas avoir à re-télécharger les pages web que vous visitez, et ainsi fonctionner plus rapidement. Ici, tout l’enjeu est de supprimer ces données pour qu’elles ne soient plus sur notre disque dur. Vérifiez bien chaque case pour ne pas supprimer des données que vous souhaitez gardez. Même si le logiciel est malheureusement en anglais. Cela étant dit, les seules données importantes que vous pourriez perdre sont :
– des mots de passe sauvegardés par Firefox, Chrome, Thunderbird, …
– Veillez à décocher les cases ‘Passwords’. Si vous utilisez ‘Filezilla’, décochez la case pour ne pas perdre vos identifiants de connexion.

Il convient d’être prudent pour ne pas perdre de données que l’on ne veut pas perdre. Si vous ne comprenez pas l’anglais, voici certaines cases courantes :

– ‘Most recently used’ : récemment utilisés.
– ‘Thumbnails’ : ‘Vignettes’, ce sont de petites photos générées automatiquement sur bases de vos images.
– ‘Debug logs’ ou ‘Logs’ : ce sont des journaux de débogages. Si vous ne savez pas ce que c’est, cochez la case.

Veillez à décocher la case ‘Free disk space’ de ‘System’. Nous reviendrons à ce point particulier plus tard dans le tutoriel (à l’étape Eraser).

Une fois que vous avez fait votre choix, cliquer sur « Preview », en haut à gauche de votre écran. Et le programme listera tout ce qu’il va supprimer. Si c’est la première fois que vous utilisez ce logiciel, il ne sera pas étonnant que le programme liste un volume de plusieurs gigaoctets de données à effacer !

Effacer avec Bleachbit 2

Effacer avec Bleachbit 2

Une fois cet aperçu devant vous, vous pouvez parcourir la liste des fichiers à effacer, mais pour terminer la procédure, cliquez en haut à gauche sur le bouton ‘Clear’. Vous effacerez ainsi les données cochées !

Étape 2 : CCleaner

De la même façon que vous l’avez fait dans l’étape précédente, téléchargez et installez CCleaner.

Vous pouvez ensuite simplement démarrer le programme qui ne requiert pas d’être exécuté en tant qu’administrateur cette fois-ci.

Ce programme est en français et fonctionne à peu près de la même façon que Bleachbit, excepté qu’il est destiné à un plus grand public, et donc plus agréable à utiliser. Comme vous l’avez fait avec Bleachbit, cochez les cases, analysez puis nettoyez vos traces.

Étape 3 : Effacer vos données « pour du vrai ».

Attention, ce chapitre est un peu compliqué.

Pour commencer, nous allons expliquer pour quoi vos données ne sont pas effacées lorsque vous « videz la corbeille ». En gros, lorsque vous ouvrez un fichier, votre ordinateur sait où il se trouve sur votre disque dur et peut donc l’ouvrir. Lorsque vous videz la corbeille, votre ordinateur va ‘oublier’ l’endroit où se trouve votre fichier et retenir cet endroit comme étant ‘vide’. Ce qui veut dire deux choses :
– les endroits où se trouvent les données vidées de la corbeille sont des endroits qui attendent de recevoir de nouvelles données.
– en attendant, si aucune donnée ne vient les remplacer, elles restent là.

Pour bien comprendre ce que nous venons de dire, passons par cette métaphore. Vous avez un immense jardin, et plusieurs cabanes dans celui-ci. Dans une cabane, on range les outils de jardinage, dans une autre les vélos, dans une autre les affaires que l’on prend lorsqu’on part en vacance.

Dans notre métaphore : les cabanes sont les espaces au sein du disque dur, et ce qui est dedans représente nos données.

Un jour, on décide de vider l’une de ces cabanes. Mais comme on est un peu paresseux, on se dit « j’amènerais ces vieux vélos rouillés à la décharge le jour où j’aurais besoin de mettre autre chose à l’intérieur ». Et donc, on nettoie le petit sentier qui menait à cette cabane pour ne pas y retourner plus tard, on oublie plutôt que de jeter.
L’ordinateur fait la même chose : sachant qu’il n’a pas besoin de cette place, il oublie qu’il y a quelque chose qui s’y trouve. Et lorsque votre ordinateur placera de nouvelles données à cet endroit précis, il écrasera ce qui se trouve sur place pour placer de nouvelles choses.

Nous allons donc voir comment nettoyer ce grand jardin qu’est notre disque dur. Nous allons donc ‘nettoyer l’espace libre’ et écrire du vide (des suites de ‘0’ en fait) sur le disque dur. A chaque fois que l’espace libre du disque dur est remplit de ‘0’, cela s’appelle « une passe ». Les techniques d’effacement vont de 1 à 35 passes. La méthode des 35 passes est appelée « Méthode Gutmann ».

Pour ré-écrire : l’ordinateur va enfin utiliser des ‘algorithmes’. Qui sont des ‘façons’ de procéder. Dans notre métaphore, ce serait par exemple la façon dont on se déplacera dans notre jardin pour ne pas laisser de crasses derrière nous et être plus rapide.

Mais attention, les choses ne sont pas simples, et nous devons garder plusieurs éléments en mémoire :
– La meilleure serrure incassable et inviolable posée sur une porte n’empêchera pas un cambrioleur de passer par la fenêtre.
– Il y a énormément de légendes urbaines concernant l’effacement de fichiers.
– C’est un domaine extrêmement aléatoire, un fichier peut-être détruit totalement sans-même qu’on l’ait voulu.

Nous ne pratiquerons pas dans ce guide d’effacement à 35 passes. Et pour causes, Peter Gutmann (inventeur de l’effacement à 35 passes) a lui-même déclaré que c’était une méthode qui n’était pas plus sûre que les autres. Toutefois, si vous souhaitez faire 35 passes, vous pouvez tout de même suivre ce tutoriel.

Vu le flou et le débat qui entourent le sujet de l’effacement sécurisé, nous choisirons un « entre-deux » avec 3 à 7 passes dans la plupart des cas.

Note : Si vous utilisez un disque dur nouvelle génération « SSD », notez que les activités intensives telles que l’effacement sécurisé régulier peuvent diminuer la durée de vie de votre disque dur. Vous pourrez selon le cas et la situation choisir de ne faire que 2 ou 3 passes et/ou de faire la procédure moins régulièrement qu’avec un disque dur HDD classique.

Nous allons décrire ici comment a) détruire la totalité de l’espace libre (Wipe Free Space) ou bien b) détruire des fichiers et des dossiers spécifiques (File Shredding). Cette seconde technique étant beaucoup plus rapide et visant les données que vous n’avez pas supprimé de votre corbeille. Ces deux techniques seront expliquées pour 3 logiciels, bien qu’il en existe beaucoup d’autres.

1.1. Bleachbit

Wipe Free Space : Pour Bleachbit, démarrons le logiciel (pas besoin de le lancer en tant qu’administrateur cette fois).
En haut à gauche de la fenètre, nous cliquons sur ‘File’ puis sur ‘Wipe Free Space’, pour ensuite sélectionner le disque dur à effacer (le plus souvent, ce sera le disque C:/, celui qui contient Windows et tous les programmes installés). Et voilà, c’est tout ! Vous constaterez que l’on ne vous a pas demandé le nombre de passes à effectuer. C’est parce que l’équipe de Bleachbit a choisi de ne faire que de l’effacement à 1 passe. Si vous souhaitez savoir pourquoi, vous pouvez lire leur expliquation (en anglais) sur leur site :
http://bleachbit.sourceforge.net/documentation/shred-files-wipe-disk

File Shredding : Démarrer Bleachbit, cliquons sur ‘File’ puis sur ‘Shred Files’ (si on veut détruire un ou plusieurs fichiers) ou sur ‘Shred Folders’ pour détruire directement des dossiers entiers.

Effacer avec Bleachbit 3

Effacer avec Bleachbit 3

1.2. CCleaner

On démarre Ccleaner, on séléctionne dans la colonne de gauche ‘Outils’ (sous l’icône en forme de boite à outils). Puis « Effaceur de disques ». On choisit dans le menu : ici nous allons appliquer 7 passes au Disque C:/. On effacera évidemment que l’espace libre.

CCleaner ne dispose pas d’option de File Shredding.

Effacer avec CCleaner

Effacer avec CCleaner

1.3. Eraser

Eraser est utilitaire complet dédié entièrement à la suppression d’espaces libres, de fichiers et de dossiers. Il peut fonctionner discrètement en tâche de fond et en permanence.

Eraser est par défaut en anglais mais existe aussi en néerlandais, en italien et en polonais. Si vous parlez une de ces 3 langues mais pas l’anglais, vous pouvez sélectionner l’option « Custom » et la langue de votre choix lors de l’installation. Sinon, sélectionner l’option « Typical ».

Une fois installé, une nouvelle icône apparaît sur le bureau. Clic-droit sur celle-ci et « Exécuter en tant qu’administrateur ».

Dans ce tutoriel, nous allons laisser les options par défaut. C’est à dire un effacement à 7 passes. Pour changer celle-ci, rendez-vous sur le bouton ‘Settings’ en haut de la fenêtre et sélectionner l’option appropriée aux points « Default file erasure method » et « Default unused space erasure method ».

a) Wipe Free Space

Nous allons créer une nouvelle tâche de travail dans Eraser, pour ce faire, cliquons sur la petite flèche à droite de ‘Erase Schedule’ puis sur ‘New Task’.

Effacer avec Eraser

Effacer avec Eraser

Pour notre exemple, nous allons créer une tâche qui effacera l’espace libre une fois par mois avec 3 passes. Le 1er du mois, à 14h. Si l’ordinateur est éteint à ce moment, elle sera exécutée automatiquement au démarrage suivant de l’ordinateur.

Dans le champ ‘Task Name’, on écrira « Nettoyage mensuel de C:/ » (Mais vous pouvez écrire ce qu’il vous plait). A ‘Task Type’ on cochera la case ‘Recurring’. Cliquez ensuite sur ‘Add’.

A ‘Erasure Method’, sélectionner le nombre de passes souhaitées. Dans notre exemple, nous sélectionnons l’option ‘US Army AR380-19 (3 passes)’

On coche la case ‘Unused disk space’ pour sélectionner le disque C:/ et on laisse cochée la case ‘Erase Cluster Tips’. Cliquez ensuite sur OK. Puis rendez-vous dans l’onglet ‘Schedule’ pour définir à quel moment sera lancée l’opération. Dans notre exemple, on coche la case Monthly « On day 1 of every 1 month(s) ». Ce qui veut dire « Chaque 1er jour de chaque mois ».

Voilà qui est fait. Vous pouvez fermer la fenêtre, Eraser exécutera l’opération à la date décidée.

b) File Shredding

Ouvrez votre navigateur de fichiers, allez dans le dossier où vous souhaitez supprimer un fichier. Clique droit sur ce fichier, puis ‘Eraser’ et ‘Erase’.

Effacer avec Eraser 2

Effacer avec Eraser 2

Conclusion

Vous voilà capable d’effacer vos données ! A présent, il vous faut être capable de trouver les données que vous aurez à effacer. Le problème en la matière étant qu’il existe des données dont nous ne soupçonnons même pas l’existence sur notre ordinateur.

Aller plus loin (utilisateurs avancés) :
– Vous pourriez télécharger un logiciel comme TreeSize Free, qui permet de déterminer où se trouve de grosses quantités de données dont on ne soupçonne pas l’existence.
– Vous pourriez également envisager de crypter l’intégralité de votre ordinateur pour que la destruction de données ne soit plus nécessaire (voir Chapitre 2), de travailler sans disque dur (Voir Chapitre 7, rubrique ‘TAILS’) ou d’atomiser un disque dur entier (Voir Chapitre 7, rubrique « DBAN).
– Vous pouvez télécharger un logiciel de récupération de données comme Recuva ou Undelete 360 qui permet de récupérer des fichiers et donc de tester si votre effacement a bien fonctionné.

Chapitre 2 : Rendre des photos anonymes

Les photos prises par les appareils numériques ne contiennent pas uniquement les données constituant l’image. Elles contiennent aussi des métadonnées sous format exif (EXchangeable Image File Format). Ces exif sont incorporées au fichier image (JPEG, TIFF, …), et contiennent des informations sur la date et l’heure de la prise de vue, la marque et le modèle de l’appareil (parfois même son numéro de série), les caractéristiques de la prise de vue (orientation, l’ouverture, vitesse d’obturation, longueur de focale, sensibilité) et la géolocalisation (lorsque l’appareil est équipé d’un système GPS).

Autrefois, pour « nettoyer » une photo de ses exif, il suffisait d’utiliser un programme de traitement de l’image dans un cyber-café et de changer de format, mais les programmes récents de traitement d’images (Photoshop, etc.) conservent les données exif lors de la modification du fichier. Si vous voulez mettre en circulation des photos qui préserve « l’anonymat » de votre appareil photo (et donc votre anonymat si vous avez ou vous comptez mettre une photo non nettoyée sur le net), il faut désormais utiliser des logiciels spécialement conçus pour supprimer les données exif.

Parmi ceux-ci, nous pouvons conseiller le programme jstrip 3.3, qui enlève tout ce qui est block inconnu dans le fichier, il ne garde que l’image. Il y a juste un zip à télécharger et vous aurez un petit installeur :

http://davidcrowell.com/jstrip

il suffit ensuite de mettre les photos à « nettoyer » dans un dossier, de faire un clic droit sur ce dossier, de cliquer sur JSTRIP et de laisser faire. Une fenêtre vous informera du nettoyage en cours.

fenêtre jstrip

fenêtre jstrip

Chapitre 3: Naviguer sur internet

Nous allons utiliser un logiciel qui a fait ses preuves : TOR. D’ailleurs, s’il vous arrive de regarder des séries télévisées policières ou d’espionnage américaines, vous constaterez que les méchants utilisent souvent le logiciel TOR pour communiquer au nez et à la barbe de pauvres agents du FBI déjà surchargés de travail.

TOR (pour The Onion Router) est un logiciel qui fait en sorte de rediriger des connexions internet dans un réseaux de ‘nœuds’, de telles sortes que, depuis un site on ne peut pas déterminer qui vous êtes. Pour bien comprendre, voici une belle infographie qui explique comment vos données voyagent sur le réseau.

Infographie TOR

Infographie TOR

En gros, les connexions voyagent à travers plusieurs ordinateurs. Elles ressortent toutes par des ordinateurs bien particuliers que l’on appelle les « nœuds sortants ». Ces nœuds sortants sont des ordinateurs mis à disposition par des volontaires à travers le monde.

Trêve de bavardage et passons directement à la pratique pour mieux comprendre.

Rendons-nous sur le site officiel du projet TOR pour y télécharger le ‘TOR Browser Bundle’ – https://www.torproject.org/

Une fois le ‘Tor Browser Bundle’ vous constaterez que nous n’avons parlé que de TOR et que vous avez téléchargé autre chose. Nous allons donc expliquer ce qu’est le ‘Browser Bundle’. Browser Bundle veut dire ‘Navigateur tout-en-un’. Pourquoi télécharger tout un navigateur alors que l’on a déjà Firefox ou Chrome installé sur son ordinateur ? C’est simple : le navigateur que l’on utilise tous les jours contient -malgré tous les nettoyages quotidiens que l’on lui appliquera- des informations sur nous. D’autre part, un navigateur fonctionne d’une façon qui permet les petites intrusions dans notre vie privée. Et tous ces petits comportements sont paramétrés différemment dans le Browser Bundle.

Par exemple, vous constaterez que Youtube ne fonctionne pas par défaut lors de l’utilisation de TOR. C’est parce que le programme qui charge la vidéo dans un navigateur est intrusif. D’autres part, vous constaterez que le moteur de recherche de Google est également inutilisable. La raison est que notre connexion est redirigée par plusieurs machines (et pas par des humains), et que Google fonctionne de façon a empécher les ‘robots’ de naviguer sur internet. Les robots sont des programmes qui parcourent le net pour (par exemple) envoyer des spams, scanner des sites à la recherche d’informations confidentielles, etc… Puisque nous ne pourrons pas utiliser Google, il faudra utiliser d’autres moteurs de recherches plus permissifs et axés sur la vie privée.

Une fois le fichier télécharger, nous allons le lancer. Et surprise : lorsque l’on double-clique sur le fichier téléchargé, celui-ci crée un nouveau dossier ! TOR Browser Bundle est un logiciel portable, c’est-à-dire qu’il ne s’installe pas dans l’ordinateur, il s’exécute directement.

Une fois ce nouveau dossier créé, on va aller voir à l’intérieur, et double-cliquer sur ‘Start Tor Browser.exe’. TOR démarre et nous allons devoir faire preuve de patience à partir de maintenant puisque TOR s’éxécute leeentement. Le temps d’expliquer les différents composants qui s’affichent à l’écran.

– Vidalia Control Panel : le panneau de contrôle ‘Vidalia’. Depuis cette fenêtre, vous pourrez changez la provenance de votre connexion, voir où votre connexion ressort, forcer TOR à faire ressortir votre connexion par un pays spécifié. Pratique si on veut utiliser un service internet interdit dans notre pays. On ne se servira pas de ce panneau dans ce tutoriel, mais vous devez le laisser ouvert pour que TOR fonctionne !

– Le navigateur TOR : il ressemble à une fenêtre Firefox, et pour cause c’est une copie conforme de ce logiciel à la différence prês que certaines extensions y ont été installées et que les paramètres de confidentialité y ont été modifiés.

Navigateur TOR

Navigateur TOR

Pour commencer à tester TOR, nous allons voir de quel pays Internet pense que nous venons. Et pour faire ça, on va aller sur un site internet censé géo-localiser notre connexion. Rendons-nous donc sur le site internet http://www.whatismyipaddress.com/.

Et vous pouvez constatez que nous écrivons depuis la côte suédoise, à Skane Lan, où il fait un peu frais aujourd’hui.

Vous voici donc anonyme. Mais comme toujours, il ne faut jamais prendre ces mesures comme des mesures 100 % efficaces. Il y a des failles dans TOR, certaines n’ont pas encore été découvertes. Et il faut éviter de ne pas se reposer entièrement sur ce logiciel. Le meilleur anonymat restant le cyber-café.

Quelques règles de bases sur TOR :
– Ne pas modifier les paramètres par défaut du navigateur.
– Si TOR nous prévient que l’on prend un risque, agir comme il nous le conseille.
– Ne pas se connecter à un compte e-mail ou autre depuis TOR, puisque l’on ne serait
plusdu toutanonyme.
– Ne pas utiliser TOR sur un wi-fi ouvert, non-sécurisé ou sécurisé par un code WEP

Autre règle, tenter de garder en permanence une connexion HTTPS. Mais qu’est-ce-que c’est que ça ? C’est ce que nous allons voir.
Une connexion HTTPS veut dire « protocole de transfert hypertexte sécurisé ». C’est une couche de cryptage qui enveloppe le protocole de connexion entre votre routeur internet et le site que vous voulez visitez. Imaginez donc que vous croisiez un ami dans la rue et que vous alliez lui dire bonjour et discuter 5 minutes avec lui. Comme vous êtes dans la rue, tout le monde entend ce que vous lui dites. Pour ne pas que d’autres gens sachent ce que vous dites à votre ami, il faudrait coder la façon dont vous lui parler. Dans notre métaphore, votre ami est le site que vous voulez visiter.

De plus, en utilisant TOR, c’est un peu comme si, au lieu d’aller directement dire bonjour à votre ami, vous le disiez à une chaine de volontaires se mettant entre vous et lui. Vous dites bonjour au premier, qui le répète au second, etc… Les transferts entre les nœuds TOR sont cryptés par défaut, sauf la connexion entre le nœud sortant et le site internet ! Un peu comme si toute la chaîne codait ce que vous voulez dire à votre ami, sauf la dernière qui lui dit ‘Bonjour’ en français, ruinant tout l’effort collectif. Le cryptage HTTPS permet que le nœud sortant code lui aussi ce qu’il transmet au site.
Dans le TOR Browser Bundle, une extension nommée ‘HTTPS Everywhere’ (que vous pouvez par ailleurs installer sur votre navigateur Firefox ou Chrome habituel) se charge de crypter automatiquement ce genre d’informations. Mais parfois, le site que vous souhaitez voir n’est simplement pas compatible avec HTTPS. Il vaut mieux à ce moment passer son chemin et utiliser un autre site.

Pour finir ce point sur HTTPS, nous vérifierons toujours comme dans l’image qui précède:

– 1. Qu’il est écrit HTTPS devant l’adresse que l’on visite.
– 2. Que HTTPS Everywhere est bel et bien activé et fonctionne.

Vous voilà prêt à utiliser TOR !

Chapitre 4: Quelques trucs

Nous voilà capables d’effacer et de crypter des données. Mais pour pouvoir réellement protéger ses données, il faut savoir quelles données effacer, quelles données sont présentes sur notre ordinateur,…

Attention: les points suivants sont réservés à des utilisateurs avertis. Nous allons désactiver certains éléments importants de Windows, il s’agit là de bien comprendre ce que l’on fait et de se rendre compte des conséquences!

1. Désactiver la mise en veille prolongée
Une mauvaise habitude à perdre est celle de la mise en veille prolongée. Beaucoup de gens ont l’habitude de mettre en veille leur ordinateur sans même s’en rendre compte. Le résultat est que l’ordinateur stocke en permanence l’état de la machine (quels programmes sont ouverts, ce qui est tapé dans les champs de textes, etc…) pour pouvoir le restaurer lors de l’ouverture. Si vous laisser votre navigateur ouvert en ‘éteignant’ votre ordinateur et que celui-ci est toujours ouvert lorsque vous le rallumez : c’était une mise en veille. Nous devons prendre l’habitude d’éteindre correctement l’ordinateur. Et nous allons voir comment désactiver complètement la fontion de mise en veille de l’ordinateur.

Pourquoi le désactiver ? Parce que ce fichier n’est pas crypté, et qu’il peut donc être copié, piraté, etc…

Autres avantages : cette manœuvre vous fera gagner plusieurs Giga-octets sur votre disque dur, et allongera la durée de vie de celui-ci si vous utilisez un disque dur de nouvelle génération (SSD).

Nous allons donc utiliser un outil un peu austère mais efficace : l’invite de commande sous Windows. Son nom est « cmd.exe »

Pour lancer cette utilitaire sous Windows XP, Windows Seven ou Windows Vista : cliquez sur le bouton démarrer et dans le champs de recherche, tapez ‘cmd’ pour ensuite faire un clic-droit sur ‘cmd.exe’ (ou ‘invite de commande’) et « exécuter en tant qu’administrateur ».

Sous Windows 8 : tapez la touche Windows (le logo de Windows) de votre clavier et tapez ‘cmd’. Clic-droit sur invite de commande et « executer en tant qu’administrateur » en bas de la page.

Invite de commande sous Windows

Invite de commande sous Windows

Invite de commande sous Windows

Dans le terminal qui s’ouvre, on tape l’expression suivante : powercfg -h off

powercfg -h off dans le terminal

powercfg -h off dans le terminal

Puis, on appuie sur la touche ‘Enter’ du clavier. Et c’est tout!

2. Désactiver le fichier d’échange

Vous savez peut-être que votre ordinateur utilise de la « mémoire vive », que l’on appelle aussi ‘RAM’. Vous savez peut-être aussi que vous avez 2GB, 4GB ou encore 8GB de RAM sur votre ordinateur.

La RAM est à l’ordinateur ce que l’attention est au cerveau humain. Ce sont les choses qu’il retient immédiatement, ce qu’il est en train de faire. De la même façon qu’un cerveau humain retient qu’il est en train de regarder un match de foot à la télé en coupant des légumes dans sa cuisine. S’il ne le faisait pas, il oublierait ce qu’il est en train de faire et arrêterait de le faire.
La mémoire vive, c’est la même chose dans l’ordinateur : il sait qu’un navigateur est ouvert, ce qui est inscrit dedans, il sait qu’un conteneur Truecrypt est ouvert, etc…

Comme la Mémoire vive RAM est parfois insuffisante pour retenir tout ça, le disque dur crée une fausse RAM à l’intérieur de votre disque dur. Un peu comme quelqu’un qui souffre de problèmes de concentration et qui doit utiliser sa mémoire pour retenir ce qu’il est en train de faire.
Cette fausse RAM dans le disque dur est appellé « Fichier d’échange ». Ce sont plusieurs Giga-octets de votre disque dur qui sont réservés pour les éventuels problèmes de concentration de votre ordinateur. Si vous disposez de 4GB ou plus de RAM (et que vous ne jouez pas à de gros jeux-vidéo qui nécessitent énormément de RAM) : nous allons désactiver (ou au moins fortement réduire) ce fichier.

Si vous ne disposez pas d’autant de RAM, il vaut mieux ne pas toucher à ce paramètre !

Pourquoi le désactiver ? Parce que ce fichier n’est pas crypté, et qu’il peut donc être copié, piraté, etc…

Pour Windows XP : Rendez-vous dans Poste de Travail. Clic-droit sur le fond de la page et clic sur ‘Propriétés’. Dans la nouvelle fenêtre qui s’ouvre, vous pourrez lire plusieurs informations sur votre système. Dans la rubrique ‘Système’ vous pourrez par exemple lire le nombre de Giga-octets de RAM dont vous disposez. On se rend dans l’onglet ‘Avancé’, puis dans la section ‘Performances’ on clique sur ‘Paramètres’. Et enfin, dans l’onglet ‘Avancé’, on clique sur ‘Modifier’. Et enfin, on coche la case ‘Aucun fichier d’échange’ et OK.

Pour Windows Vista, Seven ou Windows 8 : Rendez-vous dans Ordinateur, Clic-droit sur le fond de la page et clic sur ‘Propriétés’. Dans la nouvelle fenêtre qui s’ouvre, vous pourrez lire plusieurs informations sur votre système. Dans la rubrique ‘Système’ vous pourrez par exemple lire le nombre de Giga-octets de RAM dont vous disposez. On clique sur ‘Modifier les paramètres.

Désactiver le fichier d'échange

Désactiver le fichier d’échange

Puis dans l’onglet ‘Paramètres système avancés’. Et enfin, dans la rubrique performances, on clique sur ‘Paramètres’. Dans la nouvelle fenêtre qui s’ouvre, cliquons sur ‘Avancé’ puis dans la rubrique ‘Mémoire virtuelle’ sur ‘Modifier’. On coche enfin la case ‘aucun fichier d’échange’ et OK.

3. Supprimer les points de restauration système

Pour pallier à des fausses manœuvres, votre ordinateur sauvegarde l’état de votre ordinateur à certains moments, au cas où une erreur critique arrivait, il pourrait donc restaurer votre ordinateur à un état où il fonctionnait.

Seulement, comme toutes les sauvegardes, il conserve des données : et nous on veut les effacer.

Évidemment, le risque de cette manœuvre est que, si une erreur critique survient, nous serons incapable de restaurer l’ordinateur à un état antérieur où celui-ci fonctionnait ! C’est donc à vous de savoir estimer si oui ou non, il est nécessaire de procéder à l’effacement des points de restauration.

Si vous en êtes toujours, lancez votre poste de travail (XP ou Vista) ou le dossier Ordinateur (Seven ou 8). Clic-droit sur propriété.

Pour Windows XP : on se rend dans l’onglet avancé, et pour Vista, Seven ou 8 on clique sur Modifier les paramètres. Tout comme nous l’avons fait dans le point « 2. Désactiver le fichier d’échange ».

Pour Windows XP : On clique ensuite sur ‘Propriétés’, ‘Restauration du Système’ et on coche la case ‘Désactiver la restauration du système’.
Pour Windows Vista, Seven et 8 : Rendez-vous dans l’onglet ‘Protection du système’, puis cochez la case « Désactivez la protection du système ».

4. Utilitaire de nettoyage du disque dur

Windows est livré avec un utilitaire de nettoyage.

Sous Windows XP, Vista, Seven : Cliquez sur Démarrer, Tous les programmes, Accessoires, Outils Système, et ‘Nettoyage de disque’.

Sous Windows 8 : Touche Windows de votre clavier et tapez ‘Nettoyage’. Puis dans la rubrique paramètres (sur la droite) sélectionnez l’option « Libérez de l’espace disque en supprimant les fichiers inutiles. Cliquez ensuite sur le bouton « Nettoyez les fichiers système ». Après avoir lu le détail des cases, cochez les et cliquez sur ‘OK’.

Quelques principes élémentaires de sécurité informatique

Il y a des virus sur Mac ! Jusqu’à récemment, les utilisateurs de Mac pouvaient se vanter d’utiliser un système où “il n’existe pas de virus”. C’est partiellement vrai, mais ça l’est beaucoup moins à l’heure actuelle. En effet, la popularité grandissante de ce système a poussé les pirates à trouver des failles de sécurité dans ce système. En outre, il existe quantités de malware (programmes malveillants) sur Mac. Des keyloggers par exemple (programmes qui enregistrent les frappes clavier et les envoient au pirate).

Gardez vos logiciels à jour ! Lorsque des logiciels sont publiés, les développeurs font des erreurs. Et la plupart des virus utilisent ces erreurs pour faire leur travail. Il est donc important d’avoir un système d’exploitation mis à jour, et que les programmes installés sur votre ordinateur soient également mis-à-jour. Aujourd’hui, les manœuvres de mises à jour sont toutefois largement automatisées, et cela ne devrait pas poser de problème.

Vous devez toujours télécharger vos logiciels soit sur les sites officiels de leurs éditeurs. Par exemple, le logiciel de messagerie ‘Thunderbird’ ou le navigateur internet ‘Firefox’ sur le site de la société Mozilla qui publie ce logiciel. Si vous ne le faites pas, vous pourriez télécharger une version infectée de ces logiciels, et compromettre la sécurité de votre ordinateur. Vous pouvez également télécharger vos logiciels directement sur l’App Store.

Vous devez diversifier vos mots de passe. Certaines sociétés collaborent très volontiers avec la police, d’autres préfèrent défendre la liberté du net. Vous devez garder en mémoire que si vos mots de passe sont identiques, une société comme Microsoft qui collabore avec la police avec plaisir pourrait transmettre votre mot de passe de messagerie Hotmail. Et que si ce mot de passe est identique à celui de votre clé PGP : la répression n’aura besoin ni de mandat, ni de virus pour vous espionner. Autre point sur les mots de passe : pour qu’un mot de passe soit incassable, celui-ci doit faire 20 caractères (ou plus), et ne contenir qu’une combinaison aléatoire de lettres minuscules, majuscules, de chiffres et de caractères spéciaux (&#[]=* entres autres). Un bon mot de passe pourrait être par exemple : !DM\cxV(KG84″-t=7R. Cela semble impossible à retenir, et pourtant. S’il est utilisé régulièrement, il sera rapidement mémorisé. Vous pouvez également trouver des procédés mémotechniques vous permettant de retrouver votre mot de passe. Par exemple vous pourriez trouver une suite de mots dont vous changez les lettres par des caractères spéciaux et par des chiffres. Mais ceci n’est qu’un exemple. Votre mot de passe ne doit jamais contenir de mots pouvant se trouver dans un dictionnaire (quelle qu’en soit la langue). Des logiciels classiques et simples peuvent tester plusieurs dizaines ou centaines de mots de passe à la seconde en testant de tels mots. Vos mots de passe ne doivent pas contenir de dates connues (ou d’anniversaire), de noms ou de prénoms. Du pur aléatoire reste le mieux! Ne l’écrivez nulle-part, il pourrait être saisit lors d’une perquisition ou noté lors d’une “visite” sans que vous ne le sachiez.

Si vous utilisez une connexion internet sans-fil, veillez à ce que le wi-fi soit crypté par un code ‘WPA2’. Si votre wi-fi n’est pas crypté par ce code ou qu’il est crypté par un code ‘WEP’, la police pourra sans problèmes se connecter à votre borne wi-fi et récupérer toutes les données qui y transitent. Si vous n’utilisez pas le wi-fi, désactivez-le. Pour paramètrer le wi-fi, ouvrez un navigateur internet et visitez l’adresse http://192.168.1.1

1. Paramétrer le ‘coupe-feu’ de OSX

Nous allons commencer par activer le ‘coupe-feu’ de notre système. Rendons-nous donc dans ‘Préférences Systèmes’ puis dans ‘sécurité et confidentialité’.

Paramétrer le 'coupe-feu'

Paramétrer le ‘coupe-feu’

Cliquez sur l’onglet ‘Coupe-feu’. Si le cadenas en bas à gauche de la fenêtre est verrouillé, cliquez dessus et tapez votre mot de passe. (Sinon, poursuivez) Cliquez sur activer le coupe-feu, puis sur ‘Options du coupe-feu’.

Paramétrer le 'coupe-feu'

Paramétrer le ‘coupe-feu’

Paramétrer le 'coupe-feu'

Paramétrer le ‘coupe-feu’

Dans les options du coupe-feu, cochez les cases suivantes et cliquez sur OK.

Coupe-feu, c’est fait ! Mais au fait, pourquoi est ce qu’un élément aussi critique d’un ordinateur est-il désactivé par défaut ? Très simple, Apple a bénéficié ces dernières années de plusieurs qualificatifs, ‘Sûr’ (et nous avons vu que ce n’était plus vrai), et ‘Simple’. En activant le coupe-feu par défaut, Apple reconnaîtrait que c’est un besoin. En outre, des fenêtres peuvent s’afficher pour vous demander des autorisations. Ce qui rendrait le système ‘moins simple’. La sécurité de OSX est donc mal assurée pour des raisons de marketing.

2. Les options de confidentialité

Toujours dans le menu ‘Sécurité’, allons dans l’onglet ‘Confidentialité’. Ou pour chaque colonne on tentera de désactiver l’option. Notez qu’en désactivant la localisation, vous ne pourrez pas utiliser l’outil d’Apple en cas de perte ou de vol ! A double tranchant donc.

Enfin, une fois tout cela fait, on re-clique sur le petit cadenas en bas à gauche de la fenêtre de façon à protéger ces options par mot de passe!

Chapitre 1 : La suppression de données

Tous les logiciels que nous utilisons au quotidien laissent des traces sur l’ordinateur. Même après avoir effacé l’historique de navigation, beaucoup de fichiers restent présents sur l’ordinateur. Nous allons découvrir un utilitaire qui permettent d’effacer ces ‘résidus’.

Les logiciels que nous allons utiliser : CCleaner http://www.piriform.com

1. CCleaner

Démarrer l’application et cochez simplement les éléments à effacer.

2. Effacer vos données « pour du vrai ».

Attention, ce chapitre est un peu compliqué. Pour commencer, nous allons expliquer pourquoi vos données ne sont pas effacées lorsque vous « videz la corbeille ». En gros, lorsque vous ouvrez un fichier, votre ordinateur sait où il se trouve sur votre disque dur et peut donc l’ouvrir. Lorsque vous videz la corbeille, votre ordinateur va ‘oublier’ l’endroit où se trouve votre fichier et retenir cet endroit comme étant ‘vide’. Ce qui veut dire deux choses:

– les endroits où se trouvent les données vidées de la corbeille sont des endroits qui attendent de recevoir de nouvelles données.

– en attendant, si aucune nouvelle donnée ne vient les remplacer, elles restent là.

Sachant qu’il n’a pas besoin de cette place, l’ordinateur oublie qu’il y a quelque chose qui s’y trouve. Et lorsque votre ordinateur placera de nouvelles données à cet endroit précis, il écrasera ce qui se trouve sur place pour placer de nouvelles choses. Nous allons donc ‘nettoyer l’espace libre’ et écrire du vide (des suites de ‘0’ en fait) sur le disque dur. A chaque fois que l’espace libre du disque dur est remplit de ‘0’, cela s’appelle « une passe ». Les techniques d’effacement vont de 1 à 35 passes. La méthode des 35 passes est appelée « Méthode Gutmann ».

Pour ré-écrire : l’ordinateur va enfin utiliser des ‘algorithmes’. Qui sont des ‘façons’ de procéder. Mais attention, les choses ne sont pas simples, et nous devons garder plusieurs éléments en mémoire:

– La meilleure serrure incassable et inviolable posée sur une porte n’empêchera pas un cambrioleur de passer par la fenêtre.

– Il y a énormément de légendes urbaines concernant l’effacement de fichiers.

– C’est un domaine extrêmement aléatoire, un fichier peut-être détruit totalement sans même qu’on l’ait voulu.

Nous ne pratiquerons pas dans ce guide d’effacement à 35 passes. Et pour cause, Peter Gutmann (inventeur de l’effacement à 35 passes) a lui-même déclaré que c’était une méthode qui n’était pas plus sûre que les autres. Toutefois, si vous souhaitez faire 35 passes, vous pouvez tout de même suivre ce tutoriel.

Vu le flou et le débat qui entourent le sujet de l’effacement sécurisé, nous choisirons un «entre-deux» avec 3 à 7 passes dans la plupart des cas.

Note : Si vous utilisez un disque dur nouvelle génération « SSD », notez que les activités intensives telles que l’effacement sécurisé régulier peuvent diminuer la durée de vie de votre disque dur. Vous pourrez selon le cas et la situation choisir de ne faire que 2 ou 3 passes et/ou de faire la procédure moins régulièrement qu’avec un disque dur HDD classique.

Nous allons décrire ici comment détruire la totalité de l’espace libre (Wipe Free Space).

A. Effacer pour du vrai avec CCleaner

Wipe free space: Ré-ouvrons CCleaner et allons cette fois-ci dans le menu ‘Outils’ puis dans le sous-menu ‘Effacer l’espace libre’. Si vous avez plusieurs disques durs, sélectionnez le bon. Sélectionner le niveau de sécurité (1, 7 ou 35 passes) et cliquez enfin sur ‘Effacer l’espace libre’.

Effacer avec CCleaner

Effacer avec CCleaner

Il n’y a pas d’option de File Shredding, mais notons qu’il existe une option pour que Ccleaner déchiquette directement ce qu’il efface lors de son usage normal. Pour faire cela : Options, Paramètres, Effacement sécurisé.

Effacer avec CCleaner

Effacer avec CCleaner

Chapitre 2: Naviguer sur internet avec TOR

Nous allons utiliser un logiciel qui a fait ses preuves : TOR. D’ailleurs, s’il vous arrive de regarder des séries télévisées policières ou d’espionnage américaines, vous constaterez que les méchants utilisent souvent le logiciel TOR pour communiquer au nez et à la barbe de pauvres agents du FBI déjà surchargés de travail. TOR (pour The Onion Router) est un logiciel qui fait en sorte de rediriger des connexions internet dans un réseaux de ‘noeuds’, de telles sortes que, depuis un site on ne peut pas déterminer qui vous êtes. Pour bien comprendre, voici une belle infographie qui explique comment vos données voyagent sur le réseau.

En gros, les connexions voyagent à travers plusieurs ordinateurs. Elles ressortent toutes par des ordinateurs bien particuliers que l’on appelle les « noeuds sortants ». Ces noeuds sortants sont des ordinateurs mis à disposition par des volontaires à travers le monde. Trêve de bavardage et passons directement à la pratique pour mieux comprendre. Rendons-nous sur le site officiel du projet TOR pour y télécharger le ‘TOR Browser Bundle’.
https://www.torproject.org/

Une fois le ‘Tor Browser Bundle’ vous constaterez que nous n’avons parlé que de TOR et que vous avez téléchargé autre chose. Nous allons donc expliquer ce qu’est le ‘Browser Bundle’. Browser Bundle veut dire ‘Navigateur tout-en-un’.

Pourquoi télécharger tout un navigateur alors que l’on a déjà Firefox ou Safari installé sur son ordinateur ? C’est simple : le navigateur que l’on utilise tous les jours contient -malgré tous les nettoyages quotidiens que l’on lui appliquera- des informations sur nous. D’autre part, un navigateur fonctionne d’une façon qui permet les petites intrusions dans notre vie privée. Et tous ces petits comportements sont paramétrés différemment dans le Browser Bundle.

Par exemple, vous constaterez que Youtube ne fonctionne pas par défaut lors de l’utilisation de TOR. C’est parce que le programme qui charge la vidéo dans un navigateur est intrusif. D’autres parts, vous constaterez que le moteur de recherches de Google est également inutilisable. La raison est que notre connexion est redirigée par plusieurs machines (et pas par des humains), et que Google fonctionne de façon a empécher les ‘robots’ de naviguer sur internet. Les robots sont des programmes qui parcourent le net pour (par exemple) envoyer des spams, scanner des sites à la recherche d’informations confidentielles, etc… Puisque nous ne pourrons pas utiliser Google, il faudra utiliser d’autres moteurs de recherches plus permissifs et axés sur la vie privée.

Une fois le fichier télécharger, nous allons le lancer. TOR Browser Bundle est un logiciel portable, c’est-à-dire qu’il ne s’installe pas dans l’ordinateur, il s’exécute directement.

Infographie TOR

Infographie TOR

TOR démarre et nous allons devoir faire preuve de patience à partir de maintenant puisque TOR s’éxécute leeentement. Le temps d’expliquer les différents composants qui s’affichent à l’écran.

– Vidalia Control Panel : le panneau de contrôle ‘Vidalia’. Depuis cette fenêtre, vous pourrez changer la provenance de votre connexion, voir où votre connexion ressort, forcer TOR à faire ressortir votre connexion par un pays spécifié. Pratique si on veut utiliser un service internet interdit dans notre pays. On ne se servira pas de ce panneau dans ce tutoriel, mais vous devez le laisser ouvert pour que TOR fonctionne !

– Le navigateur TOR : il ressemble à une fenêtre Firefox, et pour cause c’est une copie conforme de ce logiciel à la différence prêt que certaines extensions y ont été installées et que les paramètres de confidentialité y ont été modifiés. Pour commencer à tester TOR, nous allons voir de quel pays Internet pense que nous venons. Et pour faire ça, on va aller sur un site internet censé géo-localiser notre connexion. Rendons-nous donc sur le site internet http://www.whatismyipadress.com

Comme vous pouvez le constater, ce n’est pas du tout l’endroit où vous êtes qui est marqué sur la carte ! Vous voici donc anonyme. Mais comme toujours, il ne faut jamais prendre ces mesures comme des mesures 100 % efficaces. Il y a des failles dans TOR, certaines n’ont pas encore été découvertes. Et il faut éviter de se reposer entièrement sur ce logiciel. Le meilleur anonymat restant le cybercafé.

[fond rouge]Mise à jour: Comme prévu au début de l’écriture de ce guide “Certaines failles n’ont pas encore été découvertes”. L’une de ces failles a en effet été découverte puisque l’une des révélations de Edward Snowden indiquent que les noeuds TOR non mis à jour peuvent être écoutés par la NSA. Comme nous l’avons déjà dit : mettre à jour et ne pas s’en remettre totalement à la technologie sont donc des règles d’or ![/fond rouge]

Quelques règles de bases sur TOR :

– Ne pas modifier les paramètres par défaut du navigateur.

– Si TOR nous prévient que l’on prend un risque, agir comme il nous le conseille.

– Ne pas se connecter à un compte e-mail ou autre depuis TOR, puisque l’on ne serait plus du tout anonyme.

– Ne pas utiliser TOR sur un wi-fi ouvert, non-sécurisé ou sécurisé par un code WEP

Autre règle, tenter de garder en permanence une connexion HTTPS. Une connexion HTTPS veut dire « protocole de transfert hypertexte sécurisé ». C’est une couche de cryptage qui enveloppe le protocole de connexion entre votre routeur internet et le site que vous voulez visitez. Imaginez donc que vous croisiez un ami dans la rue et que vous alliez lui dire bonjour et discuter 5 minutes avec lui. Comme vous êtes dans la rue, tout le monde entend ce que vous lui dites. Pour ne pas que d’autres gens sachent ce que vous dites à votre ami, il faudrait coder la façon dont vous lui parler. Dans notre métaphore, votre ami est le site que vous voulez visiter. De plus, en utilisant TOR, c’est un peu comme si, au lieu d’aller directement dire bonjour à votre ami, vous le disiez à une chaine de volontaires se mettant entre vous et lui. Vous dites bonjour au premier, qui le répete au second, etc… Les transferts entre les noeuds TOR sont cryptés par défaut, sauf la connexion entre le noeud sortant et le site internet ! Un peu comme si toute la chaîne codait ce que vous voulez dire à votre ami, sauf la dernière qui lui dit ‘Bonjour’ en français, ruinant tout l’effort collectif. Le cryptage HTTPS permet que le noeud sortant code lui aussi ce qu’il transmet au site.

Dans le TOR Browser Bundle, une extension nommée ‘HTTPS Everywhere’ (que vous pouvez par ailleurs installer sur votre navigateur Firefox ou Chrome habituel) se charge de crypter automatiquement ce genre d’informations. Mais parfois, le site que vous souhaiter voir n’est simplement pas compatible avec HTTPS. Il vaut mieux à ce moment passer son chemin et utiliser un autre site. (Snowden a cependant révélé que le HTTPS n’est pas toujours sur !)

Vous voilà prêt à utiliser TOR !

1. Introduction

L’activité militante a été transformée considérablement par les technologies de l’information (IT). Des dates de réunions sont convenues par mail ou par SMS, des informations sont recherchées ou postées sur internet etc. Qu’il s’agisse de l’informatique, de l’internet ou de la téléphonie mobile, chaque outil a des possibilités qui facilitent ou augmentent l’efficacité du travail politique.

Toutefois, ces outils offrent des prises à l’espionnage policier. Les fournisseurs d’accès Internet gardent soigneusement les traces de vos connexions dans des fichiers appelés “logs”. C’est depuis peu une obligation légale pour les fournisseurs d’accès, sous peine d’être sanctionnés au cas où ils ne pourraient pas fournir ces données dans le cadre d’une enquête policière. Il en va de même pour la téléphonie où les traces des communications sont archivées.

Mais le progrès technologique joue pour les deux camps. Et si les instances de la répression ont l’avantage de leurs immenses budgets, de leurs milliers de spécialistes payés à plein temps, les forces de la résistance et de la révolution peuvent se donner les moyens de la réactivité, de la souplesse, de l’imagination, de la capacité à rapidement identifier et exploiter les possibilités d’attaques et de défenses.

2. Proportionnalité

Le risque « zéro » n’existe pas. Des super-ordinateurs peuvent déchiffrer des cryptages très puissants, des satellites peuvent intercepter des e-mails et se faire passer pour le receveur du mail, faisant échec à toute tentative de cryptage, un virus ou une puce peut enregistrer toutes les frappes de clavier d’un ordinateur rendant un mot de passe inefficace, un laboratoire peut trouver les traces d’un fichier (très) bien effacé avant que celui-ci n’ait été transféré sur un disque-dur crypté, des chiffrements très évolués deviennent obsolètes du jour au lendemain.

Dans l’utilisation d’ordinateurs, de téléphones portables etc., les moyens d’espionnages de hautes-technologies ont des capacités infinies. Mais si la CIA peut disposer d’un satellite lisant votre journal par dessus votre épaule, il est évident que l’usage de ce matériel est réservé à des opérations d’une importance cruciale pour les Etats-Unis. Le prise en compte des capacités techniques des forces de répression n’est qu’un premier stade de l’analyse de risque. Il faut encore apprécier les limites à l’utilisation efficiente de ces technologies.

On ne sollicitera pas les moyens de la CIA pour un tag, une vitre brisée ou une poubelle brulée, mais suivre une personne géographiquement avec son gsm (sans que celui-ci ne soit équipé d’un gps) est une pratique courante : les données sont d’ailleurs conservées quelques temps par les opérateurs. C’est pourquoi il s’agit de trouver un chemin qui se situe entre la sécurité absolue et notre liberté d’action.

La complexité des situations des différents groupes et des différents pays ne permet pas d’établir de directives générales. Chaque groupe doit donc analyser correctement les risques, sans sous-estimer le danger, ce qui rendrait vulnérable à la répression, ni le sur-estimer, ce qui amènerait à renoncer à des outils efficaces, où à développer des contre-mesures ou des procédure de protection épuisantes et paralysantes.

3. L’analyse de risque

L’analyse de risque porte sur une situation objective. Il ne doit pas y avoir de place pour les angoisses technophobes ou les enthousiasmes technophiles. L’analyse de risque doit être faite par des spécialistes, tout en incluant des non-spécialistes. Nous entendons le terme “spécialistes” non pas dans le sens de techniciens hautement qualifiés, mais bien dans le sens de camarades qui peuvent objectivement juger la situation en ayant recours à des spécialistes de l’informatique, de l’Internet ou de la téléphonie.

Les paramètres de l’analyse de risque pour l’activité militante sont :

-1. Les moyens des instances de la répression (en qualité et en quantité, techniques et humains) et le type d’usage qu’ils en font (se contentent-t-elles provisoirement d’accumuler les informations? ou au contraire les utilisent-t-elles directement dès que possible dans des poursuites judiciaires?);
-2. La menace que nous représentons pour les instances de la répression et aux yeux de celles-ci. En effet c’est la façon dont la répression nous perçoit qui détermine son action contre nous : la répression ne va pas surveiller ce que nous faisons, mais ce qu’elle pense que nous faisons (c’est parfois plus ou parfois moins, mais cela ne coïncide jamais parfaitement).
-3. Nos pratiques habituelles et nos besoins (utilisation d’internet, de téléphonie mobile, etc.)
-4. Les degré de compétence de nos « spécialistes » (par exemple: choix et installation d’un logiciel de cryptage suffisant)
-5. Le degré de compétence de tous nos camarades (par exemple: capacité d’utilisation du logiciel de cryptage) et aussi leur fiabilité quand au respect des procédures de sécurité.

Cette énumération est largement incomplète, mais elle montre dans quelle direction peut aller une telle analyse. Cette analyse doit être menée même si l’on n’a pas les réponses précises à chacune des questions. Une analyse insuffisante vaut mieux que pas d’analyse du tout. L’analyse des réponses à ces questions donne une image de la situation de menace par rapport à notre activité et par là, des possibilités de protection de l’activité.

4. Champ du domaine à protéger

Dans le domaine de l’IT, il y a plusieurs éléments à protéger :

1. Le contenu des communications (nous entendons par ’communications’ tout ce qui transite par le réseau internet à l’exception des données sauvegardées et stockées en ligne: les e-mails, communiqués postés sur des sites d’infos comme Indymedia, les sites fréquentés, etc…).

2. Les liens que révèlent les communications (même si le message est correctement crypté, le fait que X a envoyé un message à Y, la fréquence à laquelle X et Y communiquent, etc., sont déjà utiles à la répression). Comme le cryptage des mails est entré dans les moeurs dans plusieurs pays, les forces de répression ont appris à tirer des informations des flux de mails plutôt que de leur contenu. Les métadonnées recueillies par les services de renseignements permettent de dessiner d’immenses graphes de liaisons entre personnes à partir de leur activité numérique (appels gsm, sms, mails). Voilà à quoi ressemble un graphe de liaisons:

immersionmailune-a0fc3.png
La taille des cercles est fonctions du nombre des communications, les couleurs révèlent des groupes (famille, travail, militance, …). Appliqué aux recherches policières, cette technique permet d’identifier des équipes et leur leader. En outre, de gros cercles sans liens vers les autres points révèlent des relations qu’on pourrait vouloir cacher. Le fait que ces points importants n’interagissent avec personne d’autre paraîtra forcément louche, et ce sont ces connections qui, tout chose égale ailleurs, feront en premier lieu l’objet d’enquête, de filature.

3. Les données. Nous entendons par ‘données’ tout ce qui est ‘stocké’ sur votre ordinateur ou sur un site de stockage en ligne (cloud), mais également tout ce qui ‘transite’ par votre ordinateur. Un document téléchargé, non-enregistré, effacé, ouvert depuis une clé-usb, laisse des traces sur votre ordinateur.

4. Les informations que révèlent l’activité IT (identification de votre ordinateur, carte SIM, téléphone, géo-localisation, etc.),

5. Risque humain

Comme le dit la déjà vieille plaisanterie: en informatique, le principal risque est entre le fauteuil et le clavier. La plupart du temps, la répression n’a pas besoin de virus ou de puce électronique pour surveiller quelqu’un et elle n’a pas besoin d’utiliser des techniques avancées pour analyser du matériel saisi. Elle n’en a pas besoin, parce que des erreurs humaines sont faites, par ignorance ou par négligence. Un mot de passe trop simple est très rapidement cassable, un document simplement effacé de la corbeille est récupérable en quelques secondes, le mot de passe d’un ordinateur ne protège rien, un indicateur peut vous demander votre mot de passe en se faisant passer pour un ami, un ordinateur dont le disque dur est entièrement crypté peut avoir été laissé ouvert et allumé lors d’une perquisition, etc.

6. Risque matériel

Le second plus grand risque, c’est le risque matériel : le clavier d’un ordinateur non-connecté à internet peut-être mis sur écoute à l’aide d’un appareil, un ordinateur ou une clé USB peuvent être saisis et servir de preuve à un futur procès.

7. Risque logiciel

Le troisième risque est celui des attaques informatiques effectuées à l’aide de logiciels espions. Protéger des données qui pourraient être saisies est primordial. Les moyens de se protéger existent.

8. Les mots de passe

Le choix du mot de passe est très crucial. En effet, des mots de passe trop simples sont identifiés rapidement, tandis qu’il n’est pas facile de retenir un mot de passe compliqué. Il ne sert à rien de choisir un mot de passe compliqué que l’on doit ensuite noter quelque part pour ne pas l’oublier. Par ailleurs, des mots de passe qui sont des citations de livres etc. doivent aussi être considérés comme des mots de passe simples. En principe, les mots de passe doivent comporter 25 signes au minimum, doivent comporter des caractères majuscules et minuscules, ainsi que des chiffres et des caractères spéciaux. Pour retenir le mot de passe, un moyen mnémotechnique peut aider.
Exemple : “consciEnce_dE_la_sociEté!6e”
Ici, nous devons par exemple retenir que le texte comporte 6 e, dont les premiers de chaque mot en majuscule.

9. Formation

La formation produit la sécurité. Beaucoup de camarades ne sont pas conscients des dangers mais aussi des possibilités des nouvelles techniques. De ce fait, certaines formations sont indispensables. L’ignorance peut nuire à la sécurité d’un groupe, tout comme elle peut paralyser les activités d’un groupe. Un groupe doit décider ce qu’il exige de ses membres pour assurer la sécurité collective. Plusieurs niveaux peuvent co-exister dans un même groupe. Les exigences sont donc à définir clairement.
Le choix des thèmes à apprendre dépend de l’analyse de risque. Néanmoins il y a des connaissances de base que tous devraient avoir :
-1. Comment chiffrer les informations sur un disque dur
-2. Comment chiffrer les mails
-3. Comment supprimer correctement des documents
-4. Comment anomymiser correctement des documents, des photos…
-5. Comment anonymiser les visites sur Internet
-6. Quels sont les risques de la téléphonie mobile

Les dossiers que nous présentons ci-dessous représentent la formation de base du Secours Rouge. Nous pouvons envoyer co-organiser une formation publique ou privée avec tous les collectifs militants qui le souhaite. il peut s’agit d’une simple formation théorique ou une formation assortie d’ateliers pratiques (installation de logiciel, démonstration d’emploi, etc.).