Vie du site Rebellyon

Comment sécuriser ses conversations éléctroniques !

Publié le 4 décembre 2014 | Mise à jour le 6 janvier 2015

13269 visites

Tutoriels Sécurité Informatique 3 compléments

S’il y a encore quelque années, parler de sécuriser ses conversations informatiques nous faisait passer pour des geek paranos, avec les multiples scandales de ces dernières années (« Infrastructure de mutualisation » la surveillance façon PRISM à la française, Le projet de loi « antiterroriste » passera à l’Assemblée le 17 septembre Police secrète, secrets de la police , Informatique ou liberté ? ) il est devenu plus que nécessaire que tout le monde s’y mette, car avec la vulgarisation des systèmes de communication, chaqu’unE devient mouchard à son insu.

Voici donc pour vous en exclusivité un méga tutoriel intitulé V1 car remis à jour au fur et à mesure des commentaires que vous y ajouterez !!

Si bon nombre de personnes ont pris conscience de la dangerosité des portables et les laissent chez eux lors de réunions ou d’actions prévues, pouvoir communiquer à distance rapidement s’avère néanmoins très pratique, et concilier sécurité et rapidité de transmission d’informations se trouve bien souvent être un cruel dilemme.

Pour vous aider un peu, nous vous proposons de vulgariser pour le commun des mortels (et pour les immortels aussi bien sur, big up à Highlander) l’utilisation du chiffrement de ces « conversations texte rapide », en gros le « chat » !

(Remarque : Il existe des solutions encore plus simples comme textSecure qui chiffre directement vos SMS. Le problème est que cette solution, séduisante de prime abord, ne résout en rien la question des « fadettes ». En effet, si une écoute ne donnera rien puisque les messages sont chiffrés, le listing des numéros contactés reste visible par votre opérateur ; or c’est bien souvent uniquement par ce moyen que les juges arrivent à prouver qu’un réseau de personnes se rencontre régulièrement)

L’utilisation de plus en plus grande et les coûts de plus en plus bas des smartphones (aux dépens de la maltraitance d’employés chinois,ne l’oublions pas ...) permettant de chatter de la même manière que sur PC, nous vous proposons ici un tutoriel à la fois pour smartphone (pour remplacer les SMS trop bavards) et sur PC.

Avant de commencer, un rappel : Tout système, aussi sécurisé soit-il, comporte une faille énorme : l’HUMAIN. Si vous envoyez un message ultra sécurisé à quelqu’unE qui balance aux flics, ou qui laisse traîner ses affaires et ses mots de passe n’importe où, ça ne sert à rien. De même, envoyer un message sous une caméra de surveillance n’est pas une bonne idée, et dans les manifs, gaffe aux flics en civil !

D’autre part, le chiffrage des conversations ne retire pas le problème de la localisation de votre téléphone. Votre opérateur saura ou vous vous trouvez, mais pas ce que vous faites de votre téléphone.

Ces quelques précautions d’usage faites, entrons dans le vif du sujet :

Vous ne le savez peut être pas, mais votre fournisseur de mail préféré (riseup.net, autistici.org ...) propose un service de « chat » !!

En fait, il ne propose pas un « chat » clé en main, mais il permet la connexion à des serveurs qui offrent des solutions de messagerie instantanée en utilisant le protocole de chat appelé XMPP (plus d’info ici) que l’on peut ensuite utiliser avec différents logiciels.

Seulement voilà, ce « chat » n’est absolument pas sécurisé, tout ce qui transfère par ce biais est en « clair ».

Il faut alors lui ajouter un protocole de chiffrement (en langage commun on entend beaucoup « cryptage », mais le terme correct est bien « chiffrement ») pour sécuriser nos conversations.

Nous allons pour cela utiliser un autre protocole appelé : OTR (lien).

Explication rapide de son fonctionnement : C’est un protocole qui assure l’authenticité (savoir avec qui on parle), deniabilité (après la discussion personne ne peut prouver qui de deux personnes a envoyé les messages) et Perfect forward secrecy (si tu perds ta clé, les discussions du passe ne sont pas compromises). (Si vous n’avez pas tous compris, ce n’est pas très grave, en gros sa fonctionne, mais n’hésite pas à demander à vos copainE geekE de vous expliqué plus en détail)

Et magie, OTR est aussi fourni par les logiciels qu’on vous propose sur le smartphone et sur le PC !

Il ne reste donc plus qu’à configurer les logiciels (ou appli pour les smartphones) pour leur faire comprendre que l’on veut utiliser ces 2 protocoles (chat et chiffrement)

Et le plus beau, c’est qu’il n’y a aucun compte à créer, vous l’avez déjà : votre compte mail !

Allons-y donc pour l’installation et la configuration : (Pas de panique, on a promis que ce serait simple.)

Remarque : on peut aussi utiliser d’autres programmes que ceux que l’on va vous présenter, mais nous avons choisi dans ce tutoriel d’utiliser les applications les plus simples possible à configurer et les plus faciles d’accès en utilisation quotidienne

Sur Smartphone :

Nous avons choisi de vous proposer l’utilisation de ChatSecure, développé par une équipe de développeurs bénévoles qui proposent pas mal d’applications liées à la sécurité sur smartphone : https://guardianproject.info/. Cette application est libre et gratuite.

- Installation :

Sur Android : rendez vous sur le google play, ou téléchargez directement le fichier apk

Sur Iphone rendez-vous ici

(Remarque au fan de la Pomme, désolé, mais les captures d’écran viennent d’Android, mais c’est globalement la même chose)

Une fois installée (comme n’importe quelle application lambda tel le coussin péteur), ouvrez l’application.

Là, on (l’application, pas nous) vous propose si vous le voulez de définir un mot de passe qui servira à ouvrir l’application (comme ça, si vous laisser votre tel sur la table 5minutes personne ne peut ouvrir l’application), si vous avez la flemme, l’appli vous propose de ne pas le faire (mais si vous avez la flemme à ce point-là, vous pouvez aussi arrêter de lire ce tuto)

Vous confirmez le mot de passe, et là on arrive sur un écran comme ceci :

Pas de panique, on ne va pas créer de compte google et même si on (vous) en avez un, on ne compte pas trop sur eux pour tout ce qui est question de sécurité et vie privée (pour rappel, sur simple réquisition d’un juge google donnera tous vos mails à la justice ...) Donc, on fait glisser sont doigt vers la droite et on arrive à ce qui nous intéresse à savoir l’utilisation d’un compte XMPP (jabber).

On rentre donc son adresse mail et son mot de passe :

(En prenant soin pas comme dans l’exemple de ne pas cocher : « mémoriser mon mot de passe »)
On clique sur l’énorme bouton : « Se connecter » et ...... on est connecté au chat avec le protocole XMPP (donc pas encore sécurisé si vous avez bien suivi)

Avec le bouton « + » on n’a plus qu’à ajouter l’adresse mail de ses potes (ou de ses ennemiEs pour les insulter) et on peut chatter !

Une fois l’invitation envoyée et acceptée, on peut commencer dans une fenêtre comme celle-ci :

On sélectionne le petit cadenas en haut à droite, et on choisit : « Chiffrer »

Une fois que les 2 personnes ont accepté la conversation chiffrée, le cadenas se ferme et la conversation est enfin sécurisée :

Bon en faite, il reste un dernier détail, sur le cadenas, une fois que c’est sécurisé on clique sur Empreinte

C’est sur cette étape que l’authenticité de OTR est basée. Afin d’assurer que la personne à l’autre bout de la conversation est bien celle que l’on pense être, il faut vérifier les empreintes par un moyen sécurisé. Ceci peut être coup de fil pour lui dicter les empreintes ou un mail, un bout de papier ou ce qu’on veut ...

Un autre moyen simple pour s’assurer de qui est qui, c’est de définir auparavant une question qu’on va poser a la personne, la bonne réponse nous assurant que c’est bien sont copainE à l’autre bout du (sans) fil !!

Une fois qu’on a vérifié les empreintes ou la question, on peut cliquer sur le bouton pour valider cette personne.

(Si lors d’une tentative de sécuriser vos messages dans une conversation, ChatSecure vous redemande de refaire cette procédure cela veut dire qu’il/elle a changé de réseau et/ou de logiciel et donc il faudra révérifier les empreintes.)

Remarque :

Dans les paramètres, dans « Chat Encryption », choisir l’option « Tenter automatiquement » pour que le chiffrement se lance automatiquement

Sur PC / Pidgin :

Dans ce tuto on vous propose Pidgin, car c’est celui que l’on trouve le plus simple et qui fonctionne de la même manière avec GNU/Linux, Windows ou OSX (mac).

Windows : Rendez-vous sur ce lien pour télécharger Pidgin ,puis installé le de manière classique. Il faut ensuite télécharger le plugin OTR lien qui n’est pas de base.

Pour GNU/Linux, installer juste pidgin, OTR en fait déjà partit (debian/ubuntu : sudo apt-get install pidgin) .

La suite du tutoriel est valable pour Windows et pour GNU/Linux..

Après l’installation on lance le logiciel et on se retrouve sur l’interface graphique pour ajouter un compte !

Comme on la dit, votre identifiant ; vous l’avez déjà, c’est votre compte mail Riseup, Autistici. Il vous sert comme identifiant dans le champ « utilisateur » et « mot de passe » en choisissant bien comme protocole « XMPP ».

On clique sur ajouter et puis on se retrouve dans l’interface principale de pidgin.

Ensuite il faut activer le plugin OTR pour pouvoir chiffrer les conversations. Pour effectuer ceci, on clique sur « Outils » et on choisit : « Plugins ».

Puis on cherche dans la liste « Messagerie Confidentielle Off-The-Record » et on l’active en cochant la casse. Ensuite on le sélectionne et on clique sur le bouton pour configurer et on s’assure d’avoir croche les options pour avoir des conversations privées, d’initialiser automatiquement des conversations privées et de ne pas garder l’historique.

Pour ajouter un contact il faut cliquer sur « Contact » puis « Ajouter contact », et puis on y ajoute l’adresse email de nos potos.

On y est !! Il reste plus qu’a vérifier quelques paramètres pour rendre le logiciel encore plus sécurisé !

En choisissant « Options » puis « préférences » on arrive aux paramètres et dans l’onglet historique il vaut mieux tout décocher, pour ne pas avoir de l’historique.

Maintenant on peut commencer une discussion en double cliquant sur un contact. Et on retrouve l’interface :

Dans la capture d’écran, vous pouvez voir une discussion non chiffrée. Pour reconnaître celle-ci, il suffit de voir l’état de la discussion en bas à droite ! Si l’on clique sur le bouton, on initialise la conversation chiffrée (si on a mis chiffrement par défaut on aura pas besoin de faire ceci).

On attend que l’autre clique aussi et là on a des messages pour authentifier cette personne. Ceci veut dire qu’on doit s’assurer que la personne avec qui on parle ne prétend pas d’être un autre.

On clique en bas à gauche sur authentifier la personne et là on a la possibilité de choisir 3 options :

Par exemple l’empreinte, il suffit d’appeler la personne avec qui on parle pour lui dicter les empreintes qui sont apparues ou bien trouver un autre moyen, ou définir auparavant une question/réponse pour s’assurer l’authenticité.

Cette démarche d’authentification doit être refaite, dans les cas où :

La personne a changé sa clé privée
La personne a changé de logiciel
La personne a changé de réseau internet

Dans tous les cas, il ne faut absolument pas cliquer bêtement sur l’authenticité sans vérifier l’empreinte ou la question/réponse. Ceci risque de mettre en danger tout le protocole et rendre votre discussion non sécurisée.

Les limites de OTR

Bien que le protocole OTR est un très bon principe pour sécuriser une conversation avec une autre personne, il ne peut pas sécuriser une discussion avec un groupe des contacts. Si votre but est de parler a plusieurs (>2) ce tuto finalement ne vous sert a rien mise à part le fait que vous sachiez comment utiliser Pidgin et ChatSecure !

Toute la sécurité de OTR se base sur le pouvoir qu’on peut s’assurer, avec un moyen sécurisé, vérifier l’identité de la personne avec laquelle on discute. C’est pour cela qu’il est super important de se mettre en accord avec une méthode de vérification (empreinte ou question/réponse) et de ne pas utiliser des endroits publics (comme un irc public) pour s’échanger les empreintes.

Votre opérateur internet peut savoir si vous utilisez cet outil puisque vous êtes connectés sur le serveur XMPP, mais il ne peut pas savoir avec qui vous parlez. Il faut être conscient que OTR n’offre pas de l’anonymat.

Encore plus de sécurité

Comme on vient de préciser que OTR n’offre pas d’anonymat, vous trouverez par la suite quelques éléments pour sécuriser encore plus vos discussions.

XMPP avec TOR

Riseup offre aussi une possibilité de se connecter sur leur serveur XMPP avec TOR par l’intermédiaire de cette adresse 4cjw6cwpeaeppfqz.onion sur les ports 3478, 3479, 5190, 5222, 5223, 5269, 7777. Cette adresse risque de changer entre temps (et en plus vous ne devez pas nous faire si confiance !) alors vous pouvez à tout moment la récupérer ici. Pour configurer Pidgin, vous pouvez consulter ce guide.

XMPP avec VPN

Rien à configurer spécialement. Il faut trouver un VPN de confiance. Encore une fois Autistici ou Riseup en offre. Gardez en mémoire que ces services sont assez coûteux donc ne les utilisez pas pour télécharger vos films et pensez a offrir de l’argent quand vous le pouvez. https://help.riseup.net/fr/about-us/donate http://www.autistici.org/fr/donate.html

Orbot

Sur Android vous pouvez avoir TOR par l’application Orbot

Une liste complète avec tous les logiciels qui ont par défaut OTR ou bien on peut l’installer via des plugins se trouve sur ce lien

The_Invisible_Wire_Squad

P.-S.

*V1 : Ce tutoriel est intitulé V1 car il sera mis à jour au fur et à mesure de vos retours d’expérience ! N’hésitez pas à publiez des commentaires !

Groupes associés à l'article

The_Invisible_Wire_Squad

the_invisible_wire_squad@autistici.org

Compléments d'info à l'article

Proposer un complément d'info

Le 7 décembre 2014 à 10:07, par klorydrk #

Info légèrement incomplète sur Textsecure, qui propose un format de SMS data, évitant donc le problème des « fadettes ».
Le 6 décembre 2014 à 11:18, par #

Trop de boites mail (y compris des trés sensibles) n’ont pas de clé publique PGP sur les annuaires de clés.
Le 5 décembre 2014 à 15:25, par Volte #

L’EFF, une association américaine qui défend le droit à la vie privée, a récemment publiée une page des principaux outils de communications censés être sécurisés et ce qu’il en est vraiment. C’est en anglais mais, rassurez-vous, c’est sous forme de tableau et pas bien compliqué à comprendre. Lien ici : https://www.eff.org/secure-messaging-scorecard

J’ajoute, en ce qui concerne riseup, que même si je trouve l’initiative excellente, le fait qu’ils soient hébergé aux Etats-Unis et donc soumis à la législation sur place peut poser problème quant à la charte qu’ils entendent faire respecter... Il faut savoir que d’autres solutions existent, à vous de chercher :)

Enfin, si vous souhaitez réellement sécuriser les données qui sortent de votre Iphone il faudrait d’abord commencer par changer de téléphone. C’est un peu la même chose pour android mais en moins pire car le root (et donc le contrôle partiel des données envoyées) est plus facilement faisable. Sachez enfin que Firefox a sorti un OS pour téléphones plus respecteux de la vie privée que ses principaux concurrents, il n’y a pas encore d’applications de simulations de prouts et de rots m’enfin, faut savoir ce qu’on veut dans la vie ;)

Publiez !

Comment publier sur Rebellyon.info?

Rebellyon.info n’est pas un collectif de rédaction, c’est un outil qui permet la publication d’articles que vous proposez. La proposition d’article se fait à travers l’interface privée du site. Quelques infos rapides pour comprendre comment être publié !
Si vous rencontrez le moindre problème, n’hésitez pas à nous le faire savoir
via le mail contact [at] rebellyon.info

Derniers articles du groupe « The_Invisible_Wire_Squad » :

>Flouter directement ses photos avec Signal Messenger

La quasi généralisation du port de masques dans les manifestations permet d’améliorer la sécurité de tout le monde face aux caméras. Pour autant, le matraquage permanent des smartphones rend la micro seconde d’inattention à enlever son masque extrêmement dangereuse. Pour parer (un peu) à cela,...

>Comment s’organiser en ligne ? Une brochure pour lutter !

En peu de temps, le virus Covid-19 a complètement changé l’organisation de nos luttes. L’incertitude est grande, personne ne sait ce qui nous attend ensuite. Une chose est sûre, les plus précaires sont toujours plus exploité·es et l’étau sécuritaire se ressert encore plus. Face à cela,...

>Comment taper facilement le point médian pour féminiser ses textes

Féminiser ses textes c’est top, et y’a plein de manières de faire. Après le « -e » ou le « E » majuscule, de plus en plus de personnes utilisent un signe spécifique, le point médian « ·e ». Une solution intéressante mais pas évidente sur tous les claviers. Quelques explications.

› Tous les articles "The_Invisible_Wire_Squad"

Derniers articles de la thématique « Tutoriels Sécurité Informatique » :

>Jeudi 26 Octobre : vie privée vs « technopolice »

Des rendez-vous pour échanger et se former aux bonnes pratiques numériques pour protéger sa vie privée contre le capitalisme de surveillance et la criminalisation de l’activisme.

>Samedi 14 Octobre : Découvrir les logiciels libres

Nous sommes encore trop nombreux à avoir des pratiques numériques en conflit avec nos valeurs. Bien qu’il n’existe peut être pas de numérique « responsable » ou « sobre », il y a au moins un numérique qui préserve nos libertés et notre indépendance vis à vis des géants du numérique (Big Tech ou...

>TECHXPLOITATION, Pour un usage critique des technologies, du 14 au 17 sept à l’Amicale

Un grand week-end de projections, discussions, présentation d’ouvrage, concerts et performances sur les enjeux technologiques à l’Amicale du Futur pour bien démarrer la rentrée.

› Tous les articles "Tutoriels Sécurité Informatique"

Prochains rendez-vous

mercredi 17
[Bure] Rencontres printanières anti-autoritaires contre...
Toute la journée
mercredi 17
Programme des rencontres antinucléaire à Bure
[En cours.... ]
vendredi 19
Viens préparer la Fête de toutes les mères et toutes les...
18h00
vendredi 19
Présentation du livre « Problèmes de localisation »
18h30
samedi 20
Rencontre à la librairie La Virevolte avec Bertille Darragon
10h30
samedi 20
RASSEMBLEMENT Pour Gaza, pour la Palestine Samedi 20...
15h00

Afficher tout l'agenda

Fil d'infos

Migrations / Sans-papiers

Contre le business de l’enfermement et les centres de rétention, en mai, fais ce qu’il te plaît !

Contres les frontières et l’enfermement, nous appelons à un mois d’actions décentralisées et autonomes contre le business des Centres de rétentions administrative (CRA). Nous invitons toustes celleux qui se reconnaissent dans cet appel à attaquer à leur manière les cibles de leur choix !

Publié le 19 avril

Analyse et réflexion Médias

Livre Noir – Quand une enquête inédite fait l'effet d'un pétard mouillé

Article initialement publié par le média « Cerveaux non disponibles »

Publié le 19 avril

Partage des savoirs

Causerie du lundi : La ville avec les habitant.e.s, autour de la pensée de Jane Jacobs

Causerie au bar fédératif Les Clameurs,
Lundi 22 avril, 19h

Publié le 19 avril

Lyon 7^e |

Résistances et solidarités internationales

Rassemblement pour Gaza, pour la Palestine Samedi 20 avril - 15h Place des Terreaux - Lyon

Ce gouvernement criminel parce qu’il subit des pressions internationales (trop souvent verbales) a bombardé le 1^er avril l’ambassade d’Iran à Damas, prenant délibérément le risque d’une extension du conflit, en espérant détourner l’attention de ses crimes génocidaires en Palestine.

Publié le 18 avril

Capitalisme / Consumérisme

Présentation du livre « Problèmes de localisation »

Présentation et discussion autour du livre « Problèmes de localisation » (éditions Même pas l’hiver) de Élise Legal à l’Amicale du futur (31 rue Sébastien Gryphe, 69007 Lyon) // Ouvertures des portes 18h30 - Début de la présentation 19h - Cantine

Publié le 18 avril

Résistances et solidarités internationales

Cinoche Cantoche « L'Amour et la Révolution », le 21 avril à 18h à l'Annexe de l'ECG

C’est le retour du Cinoche Cantoche à l’Annexe !

Publié le 18 avril

Genres / Sexualités

Pour une contre-offensive trans à la Plume Noire le 20 avril

L’UCL Lyon et l’OST vous invitent à une discussion sur l’urgence de la contre-offensive trans le samedi 20 avril à 17 h à la Plume Noire. Nous commencerons par un arpentage du texte de l’UCL, avant de discuter avec l’Organisation de Solidarité Trans de l’offensive transphobe en cours, et des perspectives de lutte pour ne pas la laisser faire.

Publié le 17 avril

Capitalisme / Consumérisme

Un BINGO contre les JO !

Devant le culte omniprésent de la compétition sportive qui s’annonce, on a eu une petite idée. On vous propose donc un BINGO contre les JOP !
Le principe est simple : tous-tes celle-ux qui souhaitent envoyer valser le monde qu’incarnent les JO jouent dans la même équipe.

Publié le 16 avril

Santé / Soins

Barge : écoute collective d'un récit sur les bouffés délirantes et les luttes psy.

Le samedi 8 juin, à 11h à La Friche Lamartine, viens écouter une adaptation sonore du livre « Barge » écrit par Héloïse K ! À la fin, il y a un temps pour partager les émotions et les pensées qui nous ont traversé pendant l’écoute. Puis une cantine à prix libre. Tout ça, dans le cadre d’une journée contre l’isolement et la contention en milieu hospitalier.

Publié le 16 avril

Migrations / Sans-papiers

Réfugiés et climat : Soirée Lyon Info Migrations sur les migrations environnementales

Le changement climatique et environnemental est là, il s’accentue et fait sentir ses effets sur tous les territoires du globe.
En certains points, les conditions de vie deviennent impossibles et les habitant.e.s sont forcé.e.s de se déplacer. Sachant que le nombre de zones qui deviennent inhabitables est amené à s’amplifier...
Comment les êtres humains s’adaptent-ils, comment les sociétés se préparent-elles ?
avec Alternatiba et Thameur Debouba, enseignant

Publié le 15 avril

Écologie / Anti-productivisme

Conférence Stop barrage Rhonergia mardi 16 avril

📣 Viens rencontrer le Collectif STOP Barrage Rhônergia lors d’une conférence pour s’informer et échanger autour du projet de barrage sur le dernier tronçon encore sauvage du Rhône en aval de la centrale nucléaire du Bugey.

Publié le 15 avril

Militarisme / Armements

Semaine mondiale d'action Stop arming Israel du 15 au 21 avril

Arrêtons d’armer Israël
Semaine Mondiale d’Action du 15 au 21 avril 2024

Publié le 15 avril

A lire sur d’autres sites Migrations / Sans-papiers

Harcèlement policier au CRA de Lyon : témoignage de A., prisonnier dans un des CRA de Lyon-Saint-Exupéry

Témoignage d’un prisonnier d’un des deux centres de rétention administrative de Lyon recueilli le 9 avril 2024. A. y parle entre autres du harcèlement policier et des violences qu’il a subies, et des conditions de vie au sein du CRA.

Publié le 15 avril

Mémoire

Histoire de l'anarchisme - projection de Navigators de Noah Teichner

Navigators est un documentaire sur un épisode historique méconnu : la déportation des anarchistes étatsunien·es vers l’URSS en 1919.
Projection gratuite au théâtre Kantor (ENS de Lyon), le 18/04 à 20h.

Publié le 15 avril

Lyon 7^e |

Mémoire

Une réunion au Café Orcière/La Révolte des Canuts, le samedi 27 avril

Spectacle sur les Mutuellistes lyonnais du XIXè siècle

Publié le 15 avril

Afficher d'articles