27 mars 2015 - 16ème JDLL de LYON @wagabow L'histoire d'un message sur Internet
Qui suis-je ?
Un curieuxUn inquiet !
@wagabow (twitter, diaspora, entre autre)
Padawan en vie privéeCherche à quitter le côté obscur
Jedi : Genma, Aeris (mais pas que!)
Introduction
11 septembre 2001 → Patriot Act6 juin 2013 : Révélation Snowden
13 novembre 2014 : Loi Anti terroristeJanvier 2015 : Attentat Charlie Hebdo / Hyper
Cacher → PJL Renseignement
Introduction
Tout ce que vous faîtes est tracké, surveillé- A des fins commerciales : Google et ses
publicités ciblées- A des fins de « sécurité nationale » : La NSA,
PJL Renseignement ...
Introduction
Par où passe un « message » envoyé sur Internet ? Comment est-on surveillé et quelles
sont les contre-mesures ?
Sommaire
● La source : le poste « client »● La communication : email, surf (non, nous ne sommes pas
en vacances!)● Les destinataires : les services (site, stockage, le
« cloud » ...)
La source : le poste « client »Hygiène numérique
● Du libre, du libre et du libre
● Maîtrise de son poste : Penser aux mises à jour régulière de votre système
● Gestion des mots de passe : complexe, pas le même partout , changement régulier
=> Keepass (X ou 2)
La source : le poste « client »Hygiène numérique
● Ne jamais laisser traîner son ordinateur … ni son téléphone portable
● Penser à verrouiller sa session ● A noter : Sur la durée → Veille/hibernation● Éteindre son ordinateur (désolé pour les concours d'uptime)
● Une clé usb inconnue qui traîne →=> NE JAMAIS LA BRANCHER
La source : le poste « client »Chiffrer ses données
● TrueCrypt (sûr, pas sûr?) → CypherShed / VeraCrypt
● Cryptsetup/LUKS : de base sous GNU/Linux
● TextSecure SMSSecure→ pour les SMS (stockage et envoie chiffré)
La communicationDNS - Vulgarisation
● Une machine connecté à Internet possède une adresse IP (123.456.789.012)
● Pour communiquer, elle envoie des messages vers une autre adresse IP (plus facile dans le domaine informatique)
La communicationDNS - Vulgarisation
Que se passe-t-il quand vous accédez à un site web ?
● Vous tapez une url lié à un nom de domaine. Le site web est hébergé par serveur possédant une adresse IP.● Des serveurs DNS servent comme annuaire de
correspondance entre les noms de domaine et les adresses IP
La communicationDNS - Vulgarisation
Par exemple :● Lorsque vous taper http://www.jdll.org/, votre
ordinateur va demander à un serveur DNS l'adresse IP du serveur hébergeant ce site● Une fois cette adresse IP connue, l'ordinateur peut envoyer ces messages au serveur cible et
lui demander d'afficher la page demandée
La communicationDNS - Vulgarisation
Pourquoi le DNS ?● Faut bien avouer qu'il est plus facile de
mémoriser des noms de domaine que des adresses IP.
● Mais à la base le DNS a été créé pour stabiliser l'utilisation d'Internet
→ Les adresses IP d'un serveur (par extension d'un site Internet) peuvent changer. Un nom de domaine non ! En comparaison, votre adresse postale peut changer, votre patronyme non !
La communicationDNS – La censure
Cependant, le DNS est, dans certain cas, utilisé pour « bloquer » certains sites
La communicationDNS Menteur
● Ce blocage est aussi appelé DNS Menteur
● Les raisons sont pléthores :● Commerciales● Sur demande administrative : Loi terrorisme
« blocage » du site Islamic-News→● Censure
La communicationDNS Menteur - Contournement
● Connaître l'adresse IP du site bloqué c'est →vrai que nous connaissons tous les adresses IP de nos sites préférés
● Changer de serveur DNS● Par défaut, nous utilisons le serveur DNS de
notre FAI● Utiliser ceux de Google (!) 8.8.8.8 et 8.8.4.4● Dans ce cas, Google en connaîtra encore +
La communicationDNS Menteur - Solution
● Mettre en place son serveur DNS
● ATTENTION : Mal configuré, Tor ne vous couvre pas de ce type de menace. Utiliser TBB
● Activer le DNSSec :● DNSSEC est basé sur un modèle de
cryptographie à clé publique● Sécurise et signe les données envoyées par
le DNS
La communicationLa messagerie
● Lorsque vous envoyez un mail/un message, imaginez que vous envoyez une carte postale, (sans enveloppe)
● Lors du transport par la poste, tout le monde peut la lire, idem pour un mail/message →espionnage (NSA)
● De plus, en utilisant un service tel que Google, les mails (ainsi que les messages via gtalk/hangout) sont stockés en clair → publicité
La communicationLa messagerie - Solution
●Chiffrer ces communications avec un protocole End to End
Cryptographie à clé publique :● On signe avec notre clé privée, le destinataire
nous authentifie avec notre clé publique● On chiffre avec sa clé publique, il déchiffre avec
sa clé privée
La communicationLa messagerie - Solution
● GPG pour les mails (Thunderbird + Enigmail/seahorse pour la gestion des clés)
● OTR pour la messagerie instantanée (cryptocat, pidgin)
La communicationLa messagerie - Solution
Problématique :● Pas assez de monde utilise ces principes→Comme pas assez de monde, peu de
personne se mettent à utiliser ces principes● L'envoi de message en masse
● La distribution des clés Key Signing Party →
La communicationLe surf
Je vous assure, on ne change pas de sujet
● Lors d'un accès à un site web, plusieurs mécanismes permettent de vous « tracker » souvent à des fins commerciales
● Les cookies● Les « mouchards » (Google Analytics, Le « Like » de
Facebook)
La communicationLe surf – Comparaison
● Lorsque vous lisez un journal papier, j'imagine que vous n'aimez pas qu'une personne lise par dessus votre épaule, pourtant c'est ce qui arrive lorsque vous allez sur « L'Equipe » par exemple
La communicationLe surf – Fausse bonne idée
● Navigation privée : Illusion d'une fausse protection Historique / mot de passe / →cookies / fichiers temporaires non enregistrés
● Le Do Not Track Solution de contournement →pour les trackers (Google : poursuivi pour violation de la vie privée en Angleterre)
Mais mieux que rien :-)
La communicationLe surf – Extension Firefox
● AdBloc Edge Bloque les publicités→● Ghostery (non open source) / Disconnect (résultat moins pertinent) →
Bloque les mouchards● NoScript Bloque les scripts de trackers→● HTTPS Everywhere Force le passage en HTTPS →
quand celui-ci est possible● Certificate Patrol Permet de valider les →
certificats d'un site
La communicationLe surf – Changer vos habitudes
● Moteur de recherches alternatifs à Google :● DuckDuckGo / StartPage / IxQuick
La communicationLe surf – L'anonymisation
● Comme déjà indiqué : vous êtes à poil sur Internet
● Vous pouvez ne pas vouloir qu'on vous identifie (lanceur d'alerte, journaliste, personne sensibilisée à cette problématique)
● Dans ces conditions, une solution → TOR (à ne pas
confondre avec Thor, l'un est un oignon, l'autre bosse avec un marteau)
La communicationLe surf – L'anonymisation Tor
Tor permet :● D'échapper au tracking● Publier des informations sous pseudo● Surfer en laissant peu de traces● Passer outre les systèmes de filtrage (Au
boulot, à la fac, dans des pays totalitaires …)● … et tout plein de choses
La communicationLe surf – L'anonymisation Tor
● Techniquement, Tor c'est quoi ?● Permet de se connecter à des machines
distantes via des relais● Sans être identifié et localisé● Comme le dit Genma le grand sage : « Plus
nous sommes nombreux à utiliser le réseau Tor, plus un utilisateur Tor se fond dans la masse, meilleur est l'anonymat ».
La communicationLe surf – L'anonymisation Tor
● A l'initiation d'une connexion, choix aléatoire des nœuds Tor
● Principe de chiffrement en oignon
● Chaque nœud ne connaît que ses copains voisins
● Chiffré de votre poste au nœud de sortie. Cependant Exit Node Destinataire : → En clair
● D'où la nécessité de HTTPS
La communicationLe surf – L'anonymisation Tor
● Comment utiliser Tor ? Avec le Tor Browser (ordinateur), Orbot, Orweb (Mobile)
● Projet : http://torproject.org/● Association française :
https://www.nos-oignons.net/
La communicationLe surf – Pour aller plus loin ?
Utiliser Tails● Distribution Live basée sur Debian● Utilise de base le réseau Tor● Permet de ne garder aucune trace
Les servicesLe cloud
La sécurité de ces services :Qui ? Où ? Comment ?
Comment faire confiance à un service dont on ne sait pas grand chose ?
● Fuite de données : Snapchat, CelebGate● CGU : Facebook (Vous autorisez la publication
de vos données)
Les servicesLe cloud – Alternatives
Le projet Framasoft « La dégooglisation d'Internet » :http://degooglisons-internet.org/
http://www.framasoft.net/
Liste non exhaustive des services qu'ils proposentRéseau Social : https://framasphere.org
Réducteur d'URL : https://frama.link/Stockage de document : Framadrive (en cours de dev)
Se renseigner sur le projet HADOLY (à venir ;))
Les servicesLe cloud – Des solutions
L'auto-hébergement :Besoin de peu de ressources :
● Vieil ordinateur qui traîne dans un coin (pas non plus une antiquité hein!)
● Nécessite un peu de temps et quelques connaissances
● C'est extrêmement formateur
● Pensez à un proche, voir monter des petits groupes
Les servicesLe cloud – Des solutions
Ce que l'on peut auto-héberger :● Site perso, blog, forum● Messagerie instantanée● Stockage, partage (Owncloud , CozyCloud)● Mail● Réseau social (diaspora)● …
Les risques : la sécurité !
Remerciements● Les G.O. des JDLL :-)● ALDIL● Au collectif Café Vie Privée (99 % de la présentation, je
leur dois)
(https://café-vie-privée.fr/) avec (entre autre) :● Genma :
● https://twitter.com/genma● https://github.com/genma/● http://genma.free.fr/
● Aeris :● https://twitter.com/aeris22● https://blog.imirhil.fr