Fermer

L'aventure touche à sa fin.

Nous vous remercions chaleureusement pour votre fidélité et votre confiance.

Découvrez Ulyces,
une plateforme d'édition dédiée
au journalisme narratif.

Ulyces
Découvrez Ulyces

Sécurité informatique : guide complet pour les journalistes et les citoyens soucieux

Publié le 23 août 2013 à 14:01 par Alexandre Vial-Boukobza | 3

English version Lire la version allégée

Bradley Manning vient d’être condamné à trente-cinq ans de prison pour avoir donné l’alerte sur les pratiques de l’armée américaine en révélant des centaines de documents classifiés. Il y a quelques jours, les journalistes du Guardian ont vu leurs disques durs détruits par la police anglaise, apparemment sous l’ordre du Premier ministre qui cherchait à effacer tout dossier en rapport avec Snowden, l’informaticien ayant révélé le programme de surveillance PRISM. À l’heure où les démocraties tentent de museler la presse, des précautions s’imposent. « 99% des journalistes sont des passoires » en matière de sécurité informatique, nous confiait Amaelle Guiton lors d’un entretien : tâchons de donner les clefs pour rendre imperméables la profession et les particuliers sensibles à leur vie privée.

Vous avez installé Norton SuperProtect Deluxe Edition Limited Gold et vous pensez être paré contre virus, trojans, hackers et autres Patriot Act ? Chers journalistes, entrepreneurs et citoyens soucieux, vos précieux informateurs et vos informations sacrées ont du souci à se faire.

« Deux axes sont complémentaires lorsqu’il s’agit de sécuriser une information : son stockage et sa transmission à des tiers. Il ne sert à rien d’utiliser un triple cryptage AES-Twofish-Serpent avec une super Master Key si c’est pour balancer votre fichier en clair sur Dropbox après. »

Les premières questions à se poser avant de parler de sécurité sont fort simples : « Que veux-t-on protéger ? » et surtout « De qui veut-on se protéger ? ». Il est peu probable que vos photos de vacances soient un jour la cible d’une agence gouvernementale, à moins que vous ayez passé celles-ci dans un camp d’entrainement en Afghanistan. De plus, aucun système n’est infaillible : tout est une question de moyens et de temps, il faut donc adapter ses choix en fonction de ces deux critères. Alors sans parler de fibrer intégralement votre installation afin d’éviter l’écoute par rayonnement des câbles métalliques, certaines méthodes devraient vous permettre de dormir tranquille.

Commençons par la base. Deux axes sont complémentaires lorsqu’il s’agit de sécuriser une information : son stockage et sa transmission à des tiers. Il ne sert à rien d’utiliser un triple cryptage AES-Twofish-Serpent avec une super Master Key si c’est pour balancer votre fichier en clair sur Dropbox après… Pour peu que vous ayez rajouté « Confidentiel » dans le titre du fichier, vous êtes bon pour revendre votre ordinateur et repasser à la machine à écrire. Évitons cela à vos doigts sans céder à la paranoïa.

B.a.-ba de la sécurité informatique : le chiffrement des données

Ça y est ! Vous travaillez sur un article polémique visant à renverser un gouvernement corrompu parce que vous croyez en la démocratie, la liberté, la République et votre source est un haut-fonctionnaire aux affaires étrangères. Demandez-vous donc d’abord qui pourrait bien vouloir accéder à cette information. Un particulier ? Une entreprise ? Un organisme d’état ? Une réponse universelle simple : le cryptage. En matière de solution, plusieurs choix s’offrent à vous, mais tous ne se valent pas.

BitLocker et SED

Heureux possesseurs de Windows, les éditions professionnelles incluent BitLocker et EFS depuis Windows Vista. Capables d’encrypter respectivement des volumes et des fichiers en utilisant des algorithmes relativement robustes, ils ont le mérite de plutôt bien s’intégrer à votre environnement. Une telle solution simple devrait en rebuter plus d’un et vous garantir un niveau de sécurité acceptable concernant vos données stockées. Elle présente néanmoins quelques inconvénients et le plus évident est l’interopérabilité.

Oui, BitLocker tourne sous Windows… Et seulement sous Windows ! Et non, votre clé USB cryptée quatre fois inutilement ne sera pas lisible par un Mac… Suivant l’environnement, cela peut donc s’avérer être un problème. Mais là n’est pas le plus gênant. En effet, cette solution étant propriétaire, il n’y a donc aucune possibilité de s’assurer que l’implémentation de l’algorithme dans l’outil est sans faille ; pire, que l’éditeur n’ait pas placé une backdoor, ou porte dérobée dans la langue de Molière, permettant à des tiers, notamment gouvernementaux, de décrypter plus facilement une partition chiffrée.

Qu’est-ce que le BIOS ?

BIOS, pour Basic Input / Output System, qui pourrait se traduire par système liminaire des entrées/sorties, est un petit logiciel installé sur chaque ordinateur, quel que soit le système d’exploitation. Et pour cause, c’est lui qui s’occupe, avant que le système d’exploitation soit lancé, de réveiller et de faire travailler ensemble les composants matériels.

En pratique, vous y accédez en appuyant sur DEL, Échap ou une touche de fonction au démarrage de votre ordinateur : vous devez réagir vite, avant que le système d’exploitation ne se lance. Traditionnellement, la navigation se fera avec les flèches du clavier sur un écran à 3 ou 4 couleurs pas franchement joli. Petit à petit, l’UEFI, pour Unified Extensible Firmware Interface, est en train de remplacer le BIOS. Cette interface a les mêmes fonctionnalités, mais est bien plus ergonomique.

Que vous ayez l’une ou l’autre des alternatives, c’est ici que vous pourrez directement régler certaines caractéristiques du matériel que vous embarquez dans votre ordinateur, de la fréquence de la mémoire vive à l’ordre de lancement des disques durs. Et bien entendu, c’est ici aussi que vous pourrez configurer un mot de passe pour un cryptage matériel si votre disque dur le permet.

Une autre solution, ultra-performante, se nomme le SED pour Self Encryption Drive. C’est une solution de cryptage matériel supportée par certains disques, comme le Samsung SSD 840 Pro. Dans ce scénario, aucun logiciel à installer, il faut simplement activer la protection du disque par mot de passe au niveau du BIOS/UEFI (voir encadré) et le tour est joué ! L’avantage indéniable de cette solution est que l’opération est totalement transparente et sans perte au niveau des performances, car l’encryptage est effectué via des composants matériels du disque lui-même. Le chiffrement utilisé étant de l’AES avec une clé de 256 bits (traduction : c’est beaucoup), vous pouvez moderniser l’expression « maudire son prochain sur plusieurs générations » puisque c’est justement le temps qu’il lui faudra pour arriver à accéder à vos données.

Cette solution semble parfaite en théorie. Oui, en théorie seulement, car le principal inconvénient du SED est que la clé ne peut être modifiée. En effet, elle est définie par le constructeur au moment de l’assemblage du disque et il y a fort à parier que celui-ci dispose d’une base de données contenant celles de tous les disques, en fonction des numéros de séries. Autant dire qu’une agence gouvernementale devra se munir du nec plus ultra de la technologie pour accéder à vos données, à savoir… un téléphone. Et c’est là que les deux questions fondamentales posées plus haut commencent à résonner. Cette solution s’avère pourtant extrêmement fiable et facile à mettre en œuvre pour un niveau de cryptage digne de celui du département de la Défense américain, à condition que ce ne soit pas justement lui qui veuille accéder à vos données.

Disons que vous êtes convaincus et que vous vous êtes dotés d’un de ces disques disposant de la technologie SED, votre stockage est donc raisonnablement protégé des regards indiscrets de particuliers, entreprises et de tout autre organisme à l’influence limitée. Cela dit, les récents événements de Londres, par exemple, ont montré qu’un gouvernement avec suffisamment d’influence ou de mauvaises raisons était capable de détruire, confisquer ou infiltrer les travaux des rédactions. Les moyens de pression, par l’influence ou l’argent, sont tellement illimités aujourd’hui que votre système de sécurité matériel risque fort d’être insuffisant, si ce n’est… humoristique.

TrueCrypt : votre garde du corps gratuit et open source

Pourquoi alors ne pas ajouter une dose de cryptage logiciel pour les données les plus sensibles ?

BitLocker, propriétaire, ne répond clairement pas au besoin pour les mêmes raisons qui font que le SED est limité. Il y a aussi pléthore de solutions, toutes plus chères les unes que les autres pour peu que vous n’ayez pas vraiment envie de protéger vos contacts et que vous ayez pas mal d’argent à dépenser. Qui dit payant, dit propriétaire, et donc retour à la case départ, après avoir payé 20 000 €. Tout cela, ce serait sans compter l’excellent TrueCrypt sur lequel nous allons nous attarder.

TrueCryptTrueCrypt est un logiciel dit open source de cryptage robuste et reconnu dans le monde de la sécurité. Demandez donc au FBI qui s’y est cassé les dents pendant plus d’un an. Comme pour tout logiciel dont le code source est disponible et qui dispose d’une communauté importante, les failles sont potentiellement trouvées et corrigées très rapidement. Pour les mêmes raisons, il est extrêmement peu probable qu’une backdoor y ait été insérée sans que cela passe inaperçu.

En termes de fonctionnalités, ce ne sont pas les choix qui manquent ! Il vous est possible de créer des volumes chiffrés à partir d’un disque, d’une partition, y compris la partition système (celle contenant votre système d’exploitation) ou d’un fichier. Niveau cryptage, trois des cinq finalistes au concours AES (Advanced Encryption Standard) sont disponibles, à savoir Serpent, Twofish et Rijndael. Ce dernier ayant remporté la compétition, il est désormais plus connu sous le nom du concours lui-même, à savoir AES, et est utilisé en standard par toutes les agences gouvernementales américaines. Là encore, le choix de l’algorithme doit se faire en fonction du scénario et notamment en fonction de la quantité de données à protéger. AES s’avère être un excellent choix car il est le plus performant des trois et assure un excellent niveau de sécurité. De plus, si vous avez la chance de disposer d’un processeur Intel de type Core i de moins de deux ans, celui-ci a de grandes chances d’être doté d’un jeu d’instructions, les AES-NI, permettant de gérer le cryptage AES au niveau matériel et donc d’avoir des performances d’accès aux volumes TrueCrypt proches de celles d’un volume non crypté, ce qui n’est pas sans rappeler le disque dur SED évoqué plus haut. Amis paranoïaques, les développeurs de TrueCrypt ont aussi pensé à vous en vous permettant de combiner les trois algorithmes !

Définitions

  • Backdoor : porte dérobée, accès secret à un logiciel ou une fonctionnalité d’un logiciel, installé le plus souvent par le développeur ou le constructeur d’un produit.
  • Brute force : méthode de recherche qui consiste à essayer toutes les combinaisons possibles pour trouver une clef. Adaptée quand il n’y a que 3 chiffres (donc 27 possibilités), inefficace quand la clef à décoder comporte des caractères spéciaux, chiffres et lettres.
  • AES Advanced Encryption Standard, ou standard de chiffrement avancé. Algorithme de chiffrement populaire et robuste, utilisé notamment par les gouvernements.
  • AES-NI : jeu d’instructions ajouté à certains processeurs comme les Core i d’Intel ou les derniers AMD pour accélérer l’accès à un fichier crypté dont l’utilisateur possède la clef.
  • SSD  : Solid-State Disk, disque dur de dernière génération utilisant de la mémoire flash (comme sur une clef USB) pour stocker l’information.
  • SED : méthode de chiffrement matériel proposé par certains constructeurs de SSD.
  • RSA : algorithme de chiffrement asymétrique, permettant à l’expéditeur de crypter un fichier avec une clef différente de celle que le récepteur utilise pour décrypter le fichier.
  • GPG : version ouverte du standard PGP (Pretty Good Privacy), qui permet d’envoyer et de recevoir des e-mails chiffrés et signés. Essentiel à tout journaliste en train d’enquêter.
  • SSL-TLS : protocole permettant de sécuriser le transfert des données et la navigation sur internet.

N’oublions pas néanmoins que la sécurité est une affaire de personnes avant d’être celle des machines : vous pouvez avoir mis en place le système le plus sécurisé qui soit pour vos données sensibles, si quelqu’un décide de vous faire cracher votre mot de passe gentiment en vous braquant un fusil à pompe sur la tempe, histoire d’être sûr de ne pas vous rater avec une seule balle, croyez-moi, vous prierez pour que votre ordinateur ne plante pas au moment où elle le testera. Mais vous n’êtes pas né de la dernière pluie ! Vos volumes cryptés sont bien évidement des leurres et vos données réellement confidentielles sont sécurisées dans des partitions cachées, car vous aviez anticipé cela, n’est-ce pas ? Sans arriver jusqu’à ces situations extrêmes, et vu encore les derniers événements mettant en scène la police anglaise dans les locaux du Guardian, cacher les choses est peut-être plus efficace en ce moment que les crypter.

Qu’est-ce qu’un volume caché ? Il s’agit tout simplement d’un volume exploitant l’espace libre d’un volume crypté existant et qui est accessible en tapant une clé de cryptage alternative à celle du volume TrueCrypt dans lequel il est encapsulé. Il n’y a aucun moyen de savoir qu’un tel volume se trouve dans un autre : l’outil ne laisse aucune signature permettant de l’indiquer. Très pratique donc dans l’hypothèse où quelqu’un tente de vous soutirer votre mot de passe puisque vous pouvez lui concéder celui servant à chiffrer les données dites visibles qui serait, cette fois-ci, sans intérêt.

Mais voilà, encore faut-il que votre mot de passe ne soit pas votre date de naissance ou le nom de votre chat. Et c’est le dernier point important sur le stockage : utilisez de vrais mots de passe ! Pour les documents de la plus haute importance, 20 caractères minimum avec des majuscules, minuscules, chiffres, caractères spéciaux et s’ils ne se trouvent pas sur le clavier, c’est encore mieux. De plus, TrueCrypt vous permet d’utiliser des fichiers en remplacement ou en superposition de votre clé, alors pourquoi s’en priver ? Évitez juste les fichiers systèmes qui peuvent changer à chaque mise à jour sinon vous risquerez d’avoir des données si bien cryptées que plus personne, vous y compris, ne pourrait y accéder. Quelques photos de vacances prises au hasard dans un album peuvent s’avérer être un excellent choix. Vu qu’il s’agit de la clé servant à crypter ce que nous appelons la Master Key, elle-même utilisée pour le cryptage de votre volume, il s’agit du premier rempart à une attaque de type force brute qui consiste à laisser un ordinateur tester toutes les combinaisons possibles. À noter également que TrueCrypt stocke votre Master Key en mémoire vive lorsqu’un volume est décrypté, pensez donc à fermer le volume avant de mettre votre ordinateur en veille ! En effet, le processus de mise en veille décharge la mémoire vive sur le disque dur et donc rend votre clé potentiellement vulnérable.

Pour ceux qui connaissent le TPM, sachez que TrueCrypt, contrairement à BitLocker par exemple, n’est pas prévu pour s’appuyer dessus et pour cause : c’est un merveilleux simulacre de sécurité au même titre que les pseudo-authentifications biométriques qui vous valent d’avoir votre mot de passe stocké dans une zone mémoire plus ou moins (surtout moins) sécurisée et au mieux cryptée de manière réversible. En bref, à bannir.

Attention, enfin, à la suppression de fichiers. En effet, un fichier marqué comme supprimé ne disparait pas de votre disque dur ! L’US Air Force, par exemple, utilise en standard des outils permettant de réécrire trois fois des données aléatoires sur la totalité d’un disque avant de considérer que les données ne sont effectivement plus présentes. Un autre bon point pour les SSD : la fonction d’optimisation (ou trim pour les techniciens) permet d’effacer définitivement tous les fichiers marqués comme supprimés et ce, en quelques secondes. Bien évidemment, cela concerne les données présentes sur un volume non chiffré.

Toutes ces belles précautions ne servent à rien si la moitié de votre entourage connait vos mots de passe ou que ceux-ci sont écrits sur un post-it collé sur l’écran de votre ordinateur. On vous aura prévenu : l’erreur est souvent humaine avant d’être mécanique.

Sécuriser l’échange des données

Grâce à la première partie, vous savez comment chiffrer les informations sensibles en votre possession. Maintenant, si l’idée de balancer tous les fichiers en clair par e-mail à votre rédacteur en chef ou votre supérieur direct continue de vous sembler pertinente, lisez attentivement ce qui suit. Bien évidemment, le cryptage des données stockées n’a de sens que si leur échange est tout aussi sécurisé !

Commençons par la base. Vous avez créé un volume TrueCrypt stocké dans un fichier et souhaitez le partager. Deux solutions s’offrent à vous : soit vous avez suffisamment confiance en le destinataire pour lui avoir donné préalablement (donc pas dans l’email contenant le fichier ni dans un autre) le mot de passe permettant d’accéder à l’information et vous pouvez la lui envoyer ; soit ce n’est pas le cas et c’est beaucoup mieux comme ça. Il y a en effet des méthodes bien plus adaptées à ce type de situation.

Protéger les sources : cryptage asymétrique

AES est un cryptage dit symétrique. Autrement dit, la même clé sert à crypter et à décrypter une information. Cette méthode est donc plutôt utilisée dans le cas où aucun tiers n’est impliqué, comme dans les exemples vus plus haut. Elle présente donc d’importantes limites lorsqu’il s’agit d’échanger des informations avec le monde extérieur. Alors comment faire pour échanger des informations cryptées sans fournir la clé à votre correspondant ?

Pour se former

C’est du côté des algorithmes asymétriques qu’il faut se pencher et en particulier RSA, probablement le plus célèbre d’entre eux. Quelques précisions s’imposent.

Là où AES n’utilise qu’une clé, RSA en utilise deux ! L’une ne permet que de crypter, il s’agit de la clé publique. L’autre, la clé privée, sert à déchiffrer. Pourquoi publique, privée ? Tout simplement parce que la première peut être diffusée au monde entier permettant ainsi à qui le souhaite de vous envoyer des données qui ne seront lisibles que par vous et vous seul, grâce à votre clé privée gardée précieusement. En pratique, vous donnez une clef publique à vos informateurs, sources et autres whistleblowers qui protégera leurs informations. Informations que vous seul pourrez décrypter.

En termes d’outils, la solution n’est autre que le célèbre GPG, pour GNU Privacy Guard. Avec cette suite, tout y passe ! Fichiers et même e-mails, à condition d’avoir un client compatible, faute de quoi il faudra gérer le processus d’encryptage à la main ou alors se contenter de crypter les pièces jointes. Vous avez également la possibilité de signer un document permettant ainsi de garantir que vous en êtes bien l’expéditeur et que celui-ci n’a donc pas été altéré en route. Au même titre que TrueCrypt, GPG est open source et utilise des standards reconnus.

Tor : The Onion Router, perdre l’ennemi dans un labyrinthe

Coté navigation, notez bien que, par défaut, tout ce qui transite sur internet est en clair. C’est vrai pour les pages web, les e-mails, vos recherches sur Google et même vos discussions coquines. Il est vrai que voir un chat sauter dans un bocal d’endives n’a rien de très confidentiel si ce n’est fournir une indication sur votre taux d’occupation professionnelle à votre patron. Certains sites, et fort heureusement de plus en plus, proposent voire obligent l’utilisation du chiffrement de la connexion. Celui-ci peut se constater par le biais de l’URL, du lien qui est précédé de https au lieu du classique http dans votre navigateur préféré. Sans entrer dans les détails, cette mécanique utilise la couche SSL ou TLS et se base également sur le chiffrement RSA (voir encadré). Dans ce cas, la clé publique est en fait un certificat servant non seulement à crypter l’échange mais aussi à authentifier le site distant voire, dans le cadre de transactions financières avec des sites marchands par exemple, à en assurer les montants en cas de fraude. Concernant ces deux derniers points, il vous est surement arrivé, au moment d’accéder à un site web, que votre barre de navigateur devienne rouge, signe que, bien que le cryptage fonctionne, l’authentification du site distant n’a pu être effectuée. Bien évidemment, le cryptage des communications doit systématiquement être privilégié et même rendu obligatoire lorsque l’on parle de données sensibles.

« Alors comment tromper BigBrowser ? Réponse simple : on ne peut pas. Il est simplement possible de gagner un peu de temps pour lui compliquer la tâche. »

Bien que toutes ces méthodes permettent de sécuriser le contenu transmis, elles ne protègent en rien l’expéditeur ou le destinataire. BigBrowser sait sur quel site vous êtes allé (crypté ou non), à qui vous avez envoyé des e-mails et ce que vous avez mangé la veille pour peu que vous l’ayez publié sur Facebook. Alors comment tromper BigBrowser ? Réponse simple : on ne peut pas. Il est simplement possible de gagner un peu de temps pour lui compliquer la tâche, un peu allant de quelques minutes à… quelques années, dans le meilleur des cas et suivant les précautions prises.

Le but de la manœuvre est donc de faire en sorte que ceux cherchant à mettre la main sur les informations que vous tentez de protéger ne soient pas en mesure de le faire avant que vous n’ayez décidé de les rendre publiques. Il va sans dire que si vous êtes dans leur collimateur, les choses vont, tout de suite, être beaucoup plus compliquées. Une utilisation abusive des moyens suivants n’a rien de discrète et doit donc être employée avec parcimonie. De plus, adopter un profil bas sur la toile et y contrôler sa communication sont des pratiques essentielles pour maximiser les chances de ne pas se faire remarquer et donc, de gagner du temps.

ipredator

IPREDATOR, le VPN de Pirate Bay

Sachant que chaque connexion à internet se voit attribuer une ou plusieurs adresses IP, votre fournisseur d’accès à internet est en mesure de communiquer votre identité sur demande des autorités compétentes ou de toute personne à l’influence suffisante. L’objectif ici n’étant pas de décrire en détail le fonctionnement des protocoles réseaux utilisés sur internet, nous nous contenterons de considérer que l’adresse IP est une sorte de numéro de téléphone changeant, ou non, à chaque connexion. Comment donc cacher cette adresse IP ? Ce procédé s’appelle l’anonymisation et plusieurs méthodes existent.

Une des plus simples mais non moins performantes est l’utilisation de services VPN (Virtual Private Network) qui consiste à se connecter à un tunnel crypté duquel on ressort ailleurs sur internet avec l’identité du serveur VPN lui-même. Cette pratique est très répandue dans les pays à démocratie, disons, relative. Ils sont généralement payants mais toute rédaction ou entreprise devrait faire entrer ce coût dans le budget sécurité.

Les proxies peuvent également être utilisés à ces fins, certains sont même disponibles gratuitement mais le niveau de sécurité de ces derniers reste généralement à désirer, sauf si le but est simplement de se moquer de l’Hadopi, en quel cas c’est amplement suffisant.

Mais loin de ces considérations matérielles, c’est de sécurité dont nous parlons et un service payant peut laisser des traces, notamment sur votre compte bancaire. Si vous voulez jouer l’anonymat à fond, la dernière alternative, et non des moindres, est un réseau nommé Tor que nous allons détailler un peu plus.

fonctionnement-tor

Illustration par XMCO.fr

Paradoxalement, ce projet a initialement été imaginé afin d’améliorer la sécurité des communications de l’US Navy. Le principe est le suivant : vous prenez un métro en allant d’une station A à une station B en passant par plusieurs lignes. Vous avez deux possibilités : prendre le chemin le plus court ou un chemin totalement alambiqué en faisant beaucoup de changements. Le réseau Tor étant composé de nœuds-relais appelés « onions », nous les comparerons, dans notre exemple, aux stations de métro. Au même titre que chaque station ne permet à un observateur de ne déterminer que votre ligne de provenance et la suivante, un « onion » ne connait que celui qui le précède et celui auquel il doit transmettre votre requête. Ajoutez à cela une bonne dose de chiffrage des communications et vous obtenez Tor, « le Routeur en Oignon ». Votre adresse IP correspond donc à celle du dernier maillon de la chaîne appelé  « onion de sortie ». Une fonctionnalité intéressante étant que vous pouvez demander à changer de point de sortie en un clic et donc de modifier votre identité virtuelle à la volée. Au même titre que les VPN, ce réseau est très utilisé dans les pays appliquant la censure sur internet. C’est d’ailleurs, aujourd’hui, sa principale raison d’être, avec la protection de la vie privée.

Mais voilà, les choses ne sont malheureusement pas si simples. Il y a un traitre dans vos rangs : votre navigateur ! Quel bavard celui-là ! Notez que cela part d’un bon sentiment : pour vous simplifier la vie, ce dernier dialogue et anticipe un certain nombre de choses pour améliorer votre expérience de navigation. Ce mode de fonctionnement, bien que très utile, est à déconseiller en cas de navigation anonyme. Il faut donc lui demander poliment de la fermer le temps de cette session et de ne laisser aucune trace de celle-ci sur votre machine. Cela s’appelle le mode de « Navigation privée » ou « Porn Mode » comme le nomment en interne nos amis de chez Microsoft. En termes de choix de navigateur, libre à vous d’utiliser celui qui vous convient le mieux de manière générale.

« Mozilla Firefox est néanmoins à privilégier pour les sessions où l’on souhaite anonymiser sa connexion via Tor : c’est d’ailleurs une version de Firefox dénuée de toute extension qui est fournie avec Tor par défaut. »

Mozilla Firefox est néanmoins à privilégier pour les sessions où l’on souhaite anonymiser sa connexion via Tor : c’est d’ailleurs une version de Firefox dénuée de toute extension qui est fournie avec Tor par défaut. Bien évidemment, tout ceci devient risible si vous allez consulter votre boite Gmail personnelle avec cette connexion puisqu’il devient désormais facile de savoir qui se cache derrière cette connexion anonyme. De manière générale, évitez d’utiliser tout service auquel tout élément associé peut permettre de remonter jusqu’à vous, limitez-vous simplement au strict nécessaire lorsque vous passez par Tor. Sans monter votre propre serveur de messagerie au milieu de la Patagonie, l’utilisation d’une boite mail anonyme peut également être nécessaire pour communiquer vos données sensibles.

Remarques conclusives

Nous avons désormais couvert toutes les étapes de la vie d’une donnée de son stockage à sa transmission de manière sécurisée en passant par l’anonymisation des échanges. Nous avons pu également voir que comme souvent en informatique, l’outil idéal n’existe pas. Faire des choix et des combinaisons est la clé de voûte d’une solution de sécurité robuste. Concluons par quelques remarques, pour que tout cela ne serve pas à rien.

La conception d’une architecture sécurisée et sa continuité repose avant tout sur des hommes. Quand on sait que la grande majorité des attaques utilisent à un moment donné le social engineering (pour ingénierie sociale) afin, par exemple, d’obtenir des informations en se faisant passer pour un tiers, on comprend que les outils de cryptographie ne font pas tout ! L’Homme est bien au cœur du système de sécurité et pas l’inverse. C’est tout aussi valable pour les antivirus. Bien qu’en avoir un est indispensable et vous permettra de vous protéger d’un certain nombre de virus et plus particulièrement dans notre cas de vers, troyens et autres enregistreurs de frappe, cela ne dispense nullement l’utilisateur de prendre d’extrêmes précautions quant aux sites visités et aux téléchargements effectués. Sachez qu’il est extrêmement facile de rendre un virus ou tout logiciel espion indétectable aux yeux d’un antivirus. Vous voilà prévenu !

Boîte noire

Mots-clés : , , , , , , , , , , , , , , , , , , , , , , , , , , ,


À propos de l'auteur

Alexandre Vial-Boukobza

Alexandre Vial-BoukobzaConsultant & Architecte en Informatique spécialisé en Business Intelligence et Gouvernance des Systèmes d'Information. 100% Autodidacte, pratique régulièrement le tweet inutile, le verre plein, le tacle acéré voire les trois en même temps.



3 réponses à Sécurité informatique : guide complet pour les journalistes et les citoyens soucieux

  1. lootr

    Il serait dangereux de penser que le système de volume caché de TrueCrypt garantisse un déni plausible suffisamment crédible. Plus la quantité de donnée cachée est importante par rapport au volume total, moins il semble possible de nier son existence, puisqu’il qu’une quantité non négligeable d’espace libre semblerait illégitimement occupé.
    Merci pour cet article qui mérite à être connu !

  2. antoine.de.picardie

    Je vais faire mon “Benjamin Bayard”, mais je ne savais pas que “crypter” avait un sens en français, hormis le fait de faire des trucs dans une crypte. Ce serait plutôt “chiffrer” qu’il faudrait utiliser. Cela remontrait le niveau de crédibilité de l’article. Car parler de “cryptage” dans un article dit de sécurité informatique, moi cela me fait rire sur le sérieux des techniques des méthodes développé.
    TrueCrypt c’est bien, mais c’est bien trop mainstream, de nos jours il y a plein d’outils pour en détecter son utilisation sur les disques ou une partie de ceux-ci. Mais c’est vrai que c’est mieux que rien, car cela ralentit un peu la collecte des documents.

  3. thierry bruno

    “dans la langue de Molière”. Un court passage d’humour dans un article dix fois trop long qui tourne autour du pot. Pourquoi de l’humour ? Parce que l’auteur, comme la plupart des gens qui travaillent en informatique, écrit dans un jargon ridicule et avec une syntaxe qui est un crime contre la langue française.
    De fait, à parler de cryptage, d’encryptage, de chiffrement – c’est le bon mot en français -, nous sommes noyés dans un fatras de notions et de pratiques qui ne semble pas devoir faire beaucoup avancer le béotien en sécurité informatique.
    Ce monsieur est peut-être très compétent techniquement mais pour la pédagogie, il y a du boulot. Or, en sécurité informatique, l’essentiel est ce que fait l’utilisateur et si ce dernier ne comprend pas très bien ce qu’il doit faire, l’affaire est mal engagée.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Retournez en haut ↑

Ragemag