Café vie-privée jdll2015-présentation

27 mars 2015 - 16ème JDLL de LYON @wagabow

L'histoire d'un message sur Internet

Qui suis-je ?

Un curieuxUn inquiet !

@wagabow (twitter, diaspora, entre autre)

Padawan en vie privéeCherche à quitter le côté obscur

Jedi : Genma, Aeris (mais pas que!)

Introduction

11 septembre 2001 → Patriot Act6 juin 2013 : Révélation Snowden

13 novembre 2014 : Loi Anti terroristeJanvier 2015 : Attentat Charlie Hebdo / Hyper

Cacher → PJL Renseignement

Introduction

Tout ce que vous faîtes est tracké, surveillé- A des fins commerciales : Google et ses

publicités ciblées- A des fins de « sécurité nationale » : La NSA,

PJL Renseignement ...

Introduction

Par où passe un « message » envoyé sur Internet ? Comment est-on surveillé et quelles

sont les contre-mesures ?

Sommaire

● La source : le poste « client »● La communication : email, surf (non, nous ne sommes pas

en vacances!)● Les destinataires : les services (site, stockage, le

« cloud » ...)

Rappel : Internet c'est quoi ?C'est ça ?

Rappel : Internet c'est ça

La source : le poste « client »Hygiène numérique

● Du libre, du libre et du libre

● Maîtrise de son poste : Penser aux mises à jour régulière de votre système

● Gestion des mots de passe : complexe, pas le même partout , changement régulier

=> Keepass (X ou 2)

La source : le poste « client »Hygiène numérique

● Ne jamais laisser traîner son ordinateur … ni son téléphone portable

● Penser à verrouiller sa session ● A noter : Sur la durée → Veille/hibernation● Éteindre son ordinateur (désolé pour les concours d'uptime)

● Une clé usb inconnue qui traîne →=> NE JAMAIS LA BRANCHER

La source : le poste « client »Chiffrer ses données

● TrueCrypt (sûr, pas sûr?) → CypherShed / VeraCrypt

● Cryptsetup/LUKS : de base sous GNU/Linux

● TextSecure SMSSecure→ pour les SMS (stockage et envoie chiffré)

La communication

La communicationDNS - Vulgarisation

● Une machine connecté à Internet possède une adresse IP (123.456.789.012)

● Pour communiquer, elle envoie des messages vers une autre adresse IP (plus facile dans le domaine informatique)


Que se passe-t-il quand vous accédez à un site web ?

● Vous tapez une url lié à un nom de domaine. Le site web est hébergé par serveur possédant une adresse IP.● Des serveurs DNS servent comme annuaire de

correspondance entre les noms de domaine et les adresses IP


Par exemple :● Lorsque vous taper http://www.jdll.org/, votre

ordinateur va demander à un serveur DNS l'adresse IP du serveur hébergeant ce site● Une fois cette adresse IP connue, l'ordinateur peut envoyer ces messages au serveur cible et

lui demander d'afficher la page demandée


Pourquoi le DNS ?● Faut bien avouer qu'il est plus facile de

mémoriser des noms de domaine que des adresses IP.

● Mais à la base le DNS a été créé pour stabiliser l'utilisation d'Internet

→ Les adresses IP d'un serveur (par extension d'un site Internet) peuvent changer. Un nom de domaine non ! En comparaison, votre adresse postale peut changer, votre patronyme non !

La communicationDNS – La censure

Cependant, le DNS est, dans certain cas, utilisé pour « bloquer » certains sites

La communicationDNS Menteur

● Ce blocage est aussi appelé DNS Menteur

● Les raisons sont pléthores :● Commerciales● Sur demande administrative : Loi terrorisme

« blocage » du site Islamic-News→● Censure

La communicationDNS Menteur - Contournement

● Connaître l'adresse IP du site bloqué c'est →vrai que nous connaissons tous les adresses IP de nos sites préférés

● Changer de serveur DNS● Par défaut, nous utilisons le serveur DNS de

notre FAI● Utiliser ceux de Google (!) 8.8.8.8 et 8.8.4.4● Dans ce cas, Google en connaîtra encore +

La communicationDNS Menteur - Solution

● Mettre en place son serveur DNS

● ATTENTION : Mal configuré, Tor ne vous couvre pas de ce type de menace. Utiliser TBB

● Activer le DNSSec :● DNSSEC est basé sur un modèle de

cryptographie à clé publique● Sécurise et signe les données envoyées par

le DNS

La communicationLa messagerie

● Différents types de messageries● IM : Pidgin

● Email : Thunderbird

La communicationLa messagerie

● Lorsque vous envoyez un mail/un message, imaginez que vous envoyez une carte postale, (sans enveloppe)

● Lors du transport par la poste, tout le monde peut la lire, idem pour un mail/message →espionnage (NSA)

● De plus, en utilisant un service tel que Google, les mails (ainsi que les messages via gtalk/hangout) sont stockés en clair → publicité

La communicationLa messagerie - Solution

●Chiffrer ces communications avec un protocole End to End

Cryptographie à clé publique :● On signe avec notre clé privée, le destinataire

nous authentifie avec notre clé publique● On chiffre avec sa clé publique, il déchiffre avec

sa clé privée


● GPG pour les mails (Thunderbird + Enigmail/seahorse pour la gestion des clés)

● OTR pour la messagerie instantanée (cryptocat, pidgin)


Problématique :● Pas assez de monde utilise ces principes→Comme pas assez de monde, peu de

personne se mettent à utiliser ces principes● L'envoi de message en masse

● La distribution des clés Key Signing Party →

La communicationLe surf

Je vous assure, on ne change pas de sujet

● Lors d'un accès à un site web, plusieurs mécanismes permettent de vous « tracker » souvent à des fins commerciales

● Les cookies● Les « mouchards » (Google Analytics, Le « Like » de

Facebook)

La communicationLe surf – Comparaison

● Lorsque vous lisez un journal papier, j'imagine que vous n'aimez pas qu'une personne lise par dessus votre épaule, pourtant c'est ce qui arrive lorsque vous allez sur « L'Equipe » par exemple

La communicationLe surf - Lightbeam

La communicationLe surf – Fausse bonne idée

● Navigation privée : Illusion d'une fausse protection Historique / mot de passe / →cookies / fichiers temporaires non enregistrés

● Le Do Not Track Solution de contournement →pour les trackers (Google : poursuivi pour violation de la vie privée en Angleterre)

Mais mieux que rien :-)

La communicationLe surf – Extension Firefox

● AdBloc Edge Bloque les publicités→● Ghostery (non open source) / Disconnect (résultat moins pertinent) →

Bloque les mouchards● NoScript Bloque les scripts de trackers→● HTTPS Everywhere Force le passage en HTTPS →

quand celui-ci est possible● Certificate Patrol Permet de valider les →

certificats d'un site

La communicationLe surf – Changer vos habitudes

● Moteur de recherches alternatifs à Google :● DuckDuckGo / StartPage / IxQuick

La communicationLe surf – L'anonymisation

● Comme déjà indiqué : vous êtes à poil sur Internet

● Vous pouvez ne pas vouloir qu'on vous identifie (lanceur d'alerte, journaliste, personne sensibilisée à cette problématique)

● Dans ces conditions, une solution → TOR (à ne pas

confondre avec Thor, l'un est un oignon, l'autre bosse avec un marteau)

La communicationLe surf – L'anonymisation Tor

Tor permet :● D'échapper au tracking● Publier des informations sous pseudo● Surfer en laissant peu de traces● Passer outre les systèmes de filtrage (Au

boulot, à la fac, dans des pays totalitaires …)● … et tout plein de choses


● Techniquement, Tor c'est quoi ?● Permet de se connecter à des machines

distantes via des relais● Sans être identifié et localisé● Comme le dit Genma le grand sage : « Plus

nous sommes nombreux à utiliser le réseau Tor, plus un utilisateur Tor se fond dans la masse, meilleur est l'anonymat ».


● A l'initiation d'une connexion, choix aléatoire des nœuds Tor

● Principe de chiffrement en oignon

● Chaque nœud ne connaît que ses copains voisins

● Chiffré de votre poste au nœud de sortie. Cependant Exit Node Destinataire : → En clair

● D'où la nécessité de HTTPS


● Comment utiliser Tor ? Avec le Tor Browser (ordinateur), Orbot, Orweb (Mobile)

● Projet : http://torproject.org/● Association française :

https://www.nos-oignons.net/

http://torproject.org/

La communicationLe surf – Pour aller plus loin ?

Utiliser Tails● Distribution Live basée sur Debian● Utilise de base le réseau Tor● Permet de ne garder aucune trace

Les servicesLe cloud

La sécurité de ces services :Qui ? Où ? Comment ?

Comment faire confiance à un service dont on ne sait pas grand chose ?

● Fuite de données : Snapchat, CelebGate● CGU : Facebook (Vous autorisez la publication

de vos données)

Les servicesLe cloud – Alternatives

Le projet Framasoft « La dégooglisation d'Internet » :http://degooglisons-internet.org/

http://www.framasoft.net/

Liste non exhaustive des services qu'ils proposentRéseau Social : https://framasphere.org

Réducteur d'URL : https://frama.link/Stockage de document : Framadrive (en cours de dev)

Se renseigner sur le projet HADOLY (à venir ;))

http://degooglisons-internet.org/

http://www.framasoft.net/

https://frama.link/

Les servicesLe cloud – Des solutions

L'auto-hébergement :Besoin de peu de ressources :

● Vieil ordinateur qui traîne dans un coin (pas non plus une antiquité hein!)

● Nécessite un peu de temps et quelques connaissances

● C'est extrêmement formateur

● Pensez à un proche, voir monter des petits groupes

Les servicesLe cloud – Des solutions

Ce que l'on peut auto-héberger :● Site perso, blog, forum● Messagerie instantanée● Stockage, partage (Owncloud , CozyCloud)● Mail● Réseau social (diaspora)● …

Les risques : la sécurité !

...et les petits messages sur Internet vécurent longtemps et eurent beaucoup d'enfant ...

FIN

Remerciements● Les G.O. des JDLL :-)● ALDIL● Au collectif Café Vie Privée (99 % de la présentation, je

leur dois)

(https://café-vie-privée.fr/) avec (entre autre) :● Genma :

● https://twitter.com/genma● https://github.com/genma/● http://genma.free.fr/

● Aeris :● https://twitter.com/aeris22● https://blog.imirhil.fr

https://twitter.com/genma

https://github.com/genma/

http://genma.free.fr/

https://twitter.com/aeris22

https://blog.imirhil.fr/

Café vie-privée jdll2015-présentation

Internet

Transcript of Café vie-privée jdll2015-présentation