Site collaboratif d’infos alternatives

Comment sécuriser ses conversations éléctroniques !

Tutoriels Sécurité Informatique 3 compléments

S’il y a encore quelque années, parler de sécuriser ses conversations informatiques nous faisait passer pour des geek paranos, avec les multiples scandales de ces dernières années ("Infrastructure de mutualisation" la surveillance façon PRISM à la française, Le projet de loi "antiterroriste" passera à l’Assemblée le 17 septembre Police secrète, secrets de la police , Informatique ou liberté ? ) il est devenu plus que nécessaire que tout le monde s’y mette, car avec la vulgarisation des systèmes de communication, chaqu’unE devient mouchard à son insu.

Si bon nombre de personnes ont pris conscience de la dangerosité des portables et les laissent chez eux lors de réunions ou d’actions prévues, pouvoir communiquer à distance rapidement s’avère néanmoins très pratique, et concilier sécurité et rapidité de transmission d’informations se trouve bien souvent être un cruel dilemme.

Pour vous aider un peu, nous vous proposons de vulgariser pour le commun des mortels (et pour les immortels aussi bien sur, big up à Highlander) l’utilisation du chiffrement de ces "conversations texte rapide", en gros le "chat"  !

(Remarque : Il existe des solutions encore plus simples comme textSecure qui chiffre directement vos SMS. Le problème est que cette solution, séduisante de prime abord, ne résout en rien la question des "fadettes". En effet, si une écoute ne donnera rien puisque les messages sont chiffrés, le listing des numéros contactés reste visible par votre opérateur ; or c’est bien souvent uniquement par ce moyen que les juges arrivent à prouver qu’un réseau de personnes se rencontre régulièrement)

L’utilisation de plus en plus grande et les coûts de plus en plus bas des smartphones (aux dépens de la maltraitance d’employés chinois,ne l’oublions pas ...) permettant de chatter de la même manière que sur PC, nous vous proposons ici un tutoriel à la fois pour smartphone (pour remplacer les SMS trop bavards) et sur PC.

Avant de commencer, un rappel : Tout système, aussi sécurisé soit-il, comporte une faille énorme : l’HUMAIN. Si vous envoyez un message ultra sécurisé à quelqu’unE qui balance aux flics, ou qui laisse traîner ses affaires et ses mots de passe n’importe où, ça ne sert à rien. De même, envoyer un message sous une caméra de surveillance n’est pas une bonne idée, et dans les manifs, gaffe aux flics en civil !

D’autre part, le chiffrage des conversations ne retire pas le problème de la localisation de votre téléphone. Votre opérateur saura ou vous vous trouvez, mais pas ce que vous faites de votre téléphone.

Ces quelques précautions d’usage faites, entrons dans le vif du sujet :

Vous ne le savez peut être pas, mais votre fournisseur de mail préféré (riseup.net, autistici.org ...) propose un service de "chat" !!

En fait, il ne propose pas un "chat" clé en main, mais il permet la connexion à des serveurs qui offrent des solutions de messagerie instantanée en utilisant le protocole de chat appelé XMPP (plus d’info ici) que l’on peut ensuite utiliser avec différents logiciels.

Seulement voilà, ce "chat" n’est absolument pas sécurisé, tout ce qui transfère par ce biais est en "clair".

Il faut alors lui ajouter un protocole de chiffrement (en langage commun on entend beaucoup "cryptage", mais le terme correct est bien "chiffrement") pour sécuriser nos conversations.

Nous allons pour cela utiliser un autre protocole appelé : OTR (lien).

Explication rapide de son fonctionnement : C’est un protocole qui assure l’authenticité (savoir avec qui on parle), deniabilité (après la discussion personne ne peut prouver qui de deux personnes a envoyé les messages) et Perfect forward secrecy (si tu perds ta clé, les discussions du passe ne sont pas compromises). (Si vous n’avez pas tous compris, ce n’est pas très grave, en gros sa fonctionne, mais n’hésite pas à demander à vos copainE geekE de vous expliqué plus en détail)

Et magie, OTR est aussi fourni par les logiciels qu’on vous propose sur le smartphone et sur le PC !

Il ne reste donc plus qu’à configurer les logiciels (ou appli pour les smartphones) pour leur faire comprendre que l’on veut utiliser ces 2 protocoles (chat et chiffrement)

Et le plus beau, c’est qu’il n’y a aucun compte à créer, vous l’avez déjà : votre compte mail !

Allons-y donc pour l’installation et la configuration : (Pas de panique, on a promis que ce serait simple.)

Remarque : on peut aussi utiliser d’autres programmes que ceux que l’on va vous présenter, mais nous avons choisi dans ce tutoriel d’utiliser les applications les plus simples possible à configurer et les plus faciles d’accès en utilisation quotidienne

Sur Smartphone :

PNG - 18.3 ko

Nous avons choisi de vous proposer l’utilisation de ChatSecure, développé par une équipe de développeurs bénévoles qui proposent pas mal d’applications liées à la sécurité sur smartphone : https://guardianproject.info/. Cette application est libre et gratuite.

- Installation :

Sur Android : rendez vous sur le google play, ou téléchargez directement le fichier apk

PNG - 227.2 ko

Sur Iphone rendez-vous ici

(Remarque au fan de la Pomme, désolé, mais les captures d’écran viennent d’Android, mais c’est globalement la même chose)

Une fois installée (comme n’importe quelle application lambda tel le coussin péteur), ouvrez l’application.

Là, on (l’application, pas nous) vous propose si vous le voulez de définir un mot de passe qui servira à ouvrir l’application (comme ça, si vous laisser votre tel sur la table 5minutes personne ne peut ouvrir l’application), si vous avez la flemme, l’appli vous propose de ne pas le faire (mais si vous avez la flemme à ce point-là, vous pouvez aussi arrêter de lire ce tuto)

PNG - 284.4 ko

Vous confirmez le mot de passe, et là on arrive sur un écran comme ceci :

PNG - 76.3 ko

Pas de panique, on ne va pas créer de compte google et même si on (vous) en avez un, on ne compte pas trop sur eux pour tout ce qui est question de sécurité et vie privée (pour rappel, sur simple réquisition d’un juge google donnera tous vos mails à la justice ...) Donc, on fait glisser sont doigt vers la droite et on arrive à ce qui nous intéresse à savoir l’utilisation d’un compte XMPP (jabber).

PNG - 62.5 ko

On rentre donc son adresse mail et son mot de passe :

PNG - 80.7 ko

(En prenant soin pas comme dans l’exemple de ne pas cocher : "mémoriser mon mot de passe")
On clique sur l’énorme bouton : "Se connecter" et ...... on est connecté au chat avec le protocole XMPP (donc pas encore sécurisé si vous avez bien suivi)

PNG - 47.6 ko

Avec le bouton "+" on n’a plus qu’à ajouter l’adresse mail de ses potes (ou de ses ennemiEs pour les insulter) et on peut chatter !

Une fois l’invitation envoyée et acceptée, on peut commencer dans une fenêtre comme celle-ci :

PNG - 58.1 ko

On sélectionne le petit cadenas en haut à droite, et on choisit : "Chiffrer"

PNG - 63.8 ko
PNG - 72.3 ko

Une fois que les 2 personnes ont accepté la conversation chiffrée, le cadenas se ferme et la conversation est enfin sécurisée :

PNG - 69.5 ko

Bon en faite, il reste un dernier détail, sur le cadenas, une fois que c’est sécurisé on clique sur Empreinte

PNG - 91 ko

C’est sur cette étape que l’authenticité de OTR est basée. Afin d’assurer que la personne à l’autre bout de la conversation est bien celle que l’on pense être, il faut vérifier les empreintes par un moyen sécurisé. Ceci peut être coup de fil pour lui dicter les empreintes ou un mail, un bout de papier ou ce qu’on veut ...

Un autre moyen simple pour s’assurer de qui est qui, c’est de définir auparavant une question qu’on va poser a la personne, la bonne réponse nous assurant que c’est bien sont copainE à l’autre bout du (sans) fil !!

Une fois qu’on a vérifié les empreintes ou la question, on peut cliquer sur le bouton pour valider cette personne.

(Si lors d’une tentative de sécuriser vos messages dans une conversation, ChatSecure vous redemande de refaire cette procédure cela veut dire qu’il/elle a changé de réseau et/ou de logiciel et donc il faudra révérifier les empreintes.)

Remarque :

Dans les paramètres, dans "Chat Encryption", choisir l’option "Tenter automatiquement" pour que le chiffrement se lance automatiquement

PNG - 98.5 ko

Sur PC / Pidgin :

PNG - 41.9 ko

Dans ce tuto on vous propose Pidgin, car c’est celui que l’on trouve le plus simple et qui fonctionne de la même manière avec GNU/Linux, Windows ou OSX (mac).

Windows : Rendez-vous sur ce lien pour télécharger Pidgin ,puis installé le de manière classique. Il faut ensuite télécharger le plugin OTR lien qui n’est pas de base.

Pour GNU/Linux, installer juste pidgin, OTR en fait déjà partit (debian/ubuntu : sudo apt-get install pidgin) .

La suite du tutoriel est valable pour Windows et pour GNU/Linux..

Après l’installation on lance le logiciel et on se retrouve sur l’interface graphique pour ajouter un compte !

PNG - 38.4 ko

Comme on la dit, votre identifiant ; vous l’avez déjà, c’est votre compte mail Riseup, Autistici. Il vous sert comme identifiant dans le champ "utilisateur" et "mot de passe" en choisissant bien comme protocole "XMPP".

PNG - 48.8 ko

On clique sur ajouter et puis on se retrouve dans l’interface principale de pidgin.

PNG - 32.7 ko

Ensuite il faut activer le plugin OTR pour pouvoir chiffrer les conversations. Pour effectuer ceci, on clique sur "Outils" et on choisit : "Plugins".

PNG - 52.9 ko

Puis on cherche dans la liste "Messagerie Confidentielle Off-The-Record" et on l’active en cochant la casse. Ensuite on le sélectionne et on clique sur le bouton pour configurer et on s’assure d’avoir croche les options pour avoir des conversations privées, d’initialiser automatiquement des conversations privées et de ne pas garder l’historique.

PNG - 77.4 ko
PNG - 60.3 ko

Pour ajouter un contact il faut cliquer sur "Contact" puis "Ajouter contact", et puis on y ajoute l’adresse email de nos potos.

PNG - 32.5 ko
PNG - 45.7 ko

On y est !! Il reste plus qu’a vérifier quelques paramètres pour rendre le logiciel encore plus sécurisé !

En choisissant "Options" puis "préférences" on arrive aux paramètres et dans l’onglet historique il vaut mieux tout décocher, pour ne pas avoir de l’historique.

Maintenant on peut commencer une discussion en double cliquant sur un contact. Et on retrouve l’interface :

PNG - 43.3 ko

Dans la capture d’écran, vous pouvez voir une discussion non chiffrée. Pour reconnaître celle-ci, il suffit de voir l’état de la discussion en bas à droite ! Si l’on clique sur le bouton, on initialise la conversation chiffrée (si on a mis chiffrement par défaut on aura pas besoin de faire ceci).

On attend que l’autre clique aussi et là on a des messages pour authentifier cette personne. Ceci veut dire qu’on doit s’assurer que la personne avec qui on parle ne prétend pas d’être un autre.

On clique en bas à gauche sur authentifier la personne et là on a la possibilité de choisir 3 options :

- Par exemple l’empreinte, il suffit d’appeler la personne avec qui on parle pour lui dicter les empreintes qui sont apparues ou bien trouver un autre moyen, ou définir auparavant une question/réponse pour s’assurer l’authenticité.

PNG - 54.2 ko
PNG - 46.9 ko
PNG - 42.2 ko

Cette démarche d’authentification doit être refaite, dans les cas où :

  • La personne a changé sa clé privée
  • La personne a changé de logiciel
  • La personne a changé de réseau internet

Dans tous les cas, il ne faut absolument pas cliquer bêtement sur l’authenticité sans vérifier l’empreinte ou la question/réponse. Ceci risque de mettre en danger tout le protocole et rendre votre discussion non sécurisée.

Les limites de OTR

Bien que le protocole OTR est un très bon principe pour sécuriser une conversation avec une autre personne, il ne peut pas sécuriser une discussion avec un groupe des contacts. Si votre but est de parler a plusieurs (>2) ce tuto finalement ne vous sert a rien mise à part le fait que vous sachiez comment utiliser Pidgin et ChatSecure !

Toute la sécurité de OTR se base sur le pouvoir qu’on peut s’assurer, avec un moyen sécurisé, vérifier l’identité de la personne avec laquelle on discute. C’est pour cela qu’il est super important de se mettre en accord avec une méthode de vérification (empreinte ou question/réponse) et de ne pas utiliser des endroits publics (comme un irc public) pour s’échanger les empreintes.

Votre opérateur internet peut savoir si vous utilisez cet outil puisque vous êtes connectés sur le serveur XMPP, mais il ne peut pas savoir avec qui vous parlez. Il faut être conscient que OTR n’offre pas de l’anonymat.

Encore plus de sécurité

Comme on vient de préciser que OTR n’offre pas d’anonymat, vous trouverez par la suite quelques éléments pour sécuriser encore plus vos discussions.

XMPP avec TOR

Riseup offre aussi une possibilité de se connecter sur leur serveur XMPP avec TOR par l’intermédiaire de cette adresse 4cjw6cwpeaeppfqz.onion sur les ports 3478, 3479, 5190, 5222, 5223, 5269, 7777. Cette adresse risque de changer entre temps (et en plus vous ne devez pas nous faire si confiance !) alors vous pouvez à tout moment la récupérer ici. Pour configurer Pidgin, vous pouvez consulter ce guide.

XMPP avec VPN

Rien à configurer spécialement. Il faut trouver un VPN de confiance. Encore une fois Autistici ou Riseup en offre. Gardez en mémoire que ces services sont assez coûteux donc ne les utilisez pas pour télécharger vos films et pensez a offrir de l’argent quand vous le pouvez. https://help.riseup.net/fr/about-us/donate http://www.autistici.org/fr/donate.html

Orbot

Sur Android vous pouvez avoir TOR par l’application Orbot

Une liste complète avec tous les logiciels qui ont par défaut OTR ou bien on peut l’installer via des plugins se trouve sur ce lien

The_Invisible_Wire_Squad

P.-S.

*V1 : Ce tutoriel est intitulé V1 car il sera mis à jour au fur et à mesure de vos retours d’expérience ! N’hésitez pas à publiez des commentaires !

Proposer un complément d'info

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message
  • Pour créer des paragraphes, laissez simplement des lignes vides.

  • Le 7 décembre 2014 à 10:07, par klorydrk

    Info légèrement incomplète sur Textsecure, qui propose un format de SMS data, évitant donc le problème des "fadettes".

  • Le 6 décembre 2014 à 11:18, par

    Trop de boites mail (y compris des trés sensibles) n’ont pas de clé publique PGP sur les annuaires de clés.

  • Le 5 décembre 2014 à 15:25, par Volte

    L’EFF, une association américaine qui défend le droit à la vie privée, a récemment publiée une page des principaux outils de communications censés être sécurisés et ce qu’il en est vraiment. C’est en anglais mais, rassurez-vous, c’est sous forme de tableau et pas bien compliqué à comprendre. Lien ici : https://www.eff.org/secure-messaging-scorecard

    J’ajoute, en ce qui concerne riseup, que même si je trouve l’initiative excellente, le fait qu’ils soient hébergé aux Etats-Unis et donc soumis à la législation sur place peut poser problème quant à la charte qu’ils entendent faire respecter... Il faut savoir que d’autres solutions existent, à vous de chercher :)

    Enfin, si vous souhaitez réellement sécuriser les données qui sortent de votre Iphone il faudrait d’abord commencer par changer de téléphone. C’est un peu la même chose pour android mais en moins pire car le root (et donc le contrôle partiel des données envoyées) est plus facilement faisable. Sachez enfin que Firefox a sorti un OS pour téléphones plus respecteux de la vie privée que ses principaux concurrents, il n’y a pas encore d’applications de simulations de prouts et de rots m’enfin, faut savoir ce qu’on veut dans la vie ;)

Publiez !

Comment publier sur Rebellyon.info?

Rebellyon.info n’est pas un collectif de rédaction, c’est un outil qui permet la publication d’articles que vous proposez. La proposition d’article se fait à travers l’interface privée du site. Quelques infos rapides pour comprendre comment être publié !
Si vous rencontrez le moindre problème, n’hésitez pas à nous le faire savoir
via le mail contact [at] rebellyon.info

Derniers articles de la thématique « Informatique - Sécurité » :

> Tous les articles "Informatique - Sécurité"