Petit kit de sécurité numérique : sécuriser le matériel

Alors que nous nous enfonçons chaque jour un peu plus dans le tout-répressif et que nous sommes surveillés et tracés comme jamais, petit kit d’outils, si possible libres et gratuits, pour éviter de donner le bâton pour se faire battre. Troisième partie : sécuriser le matériel.

« Dire que l’on se moque
du droit à la vie privée
parce qu’on n’a rien à cacher,
ça revient à dire que l’on se fiche
de la liberté d’expression
parce qu’on n’a rien à dire.
 »

E. Snowden


Avec l’état d’urgence, les services de police ont toute latitude pour saisir tout matériel qu’ils estiment susceptible de contenir des données relatives à une menace pour la sécurité et l’ordre publics. Et ne pas le rendre le temps de la procédure.

Avec les nouvelles dispositions prévues par notre nouveau gouvernement, bientôt une personne ciblée pourrait être obligée de « déclarer ses identifiants de tout moyen de communication électronique dont elle dispose ou qu’elle utilise ». D’où l’importance de faire en sorte que les supports à travers lesquels nous militons ne soient pas accessibles.


Les enjeux du matériel
Sécuriser le matériel
Le paramétrage
Le chiffrement des disques
La maintenance
Vers une machine sécurisée ?
Tableau récapitulatif des outils
Pour aller plus loin


Les enjeux du matériel


Pour prendre l’exemple de votre téléphone, quand celui-ci est allumé, il envoie en continu des informations aux tours relais avoisinantes : numéros IMEI, TMSI et IMSI, la cellule réseau et sa position géographique. A ce moment-là, votre téléphone peut être aussi utilisé comme un moyen d’écoute pour ceux qui ont accès aux infos des opérateurs téléphoniques. Cela comprend : sms, mms, données transmises. Pour faire simple, il est préférable de ne pas utiliser de téléphones portables pour communiquer des informations sensibles (il est aussi recommandé d’éteindre son téléphone ou de ne pas le prendre quand une réunion importante s’organise).

Mais le téléphone, comme l’ordinateur, sont des outils utiles aux militants pour construire réseaux et mouvements de lutte : communications, navigations, apprentissages, développement...

Il faut dire que l’ordinateur et le téléphone sont devenus des supports de l’Internet, et comme le rappelle le sociologue Dominique Cardon :

Internet a vivifié une forme culturelle et politique ancienne qui était déjà présente dans le mouvement social, notamment dans la tradition anarchiste. C’est un lieu d’expression qui tolère la diversité, sans représentant fixe, sans délégation de pouvoir, avec des décisions prises au consensus. (...) On assiste ainsi à un effacement ostentatoire des signes de leadership. Les membres du collectif Anonymous portent un masque dont la fonction politique essentielle est d’indiquer que personne, parmi eux, n’a plus de pouvoir que les autres et que tous valent pour tous. Ils disent toujours : « Nous sommes légion. » Avec Occupy, on observe une même mise en scène de l’effacement des leaders.

Puisque les outils numériques sont appelés à se démultiplier dans le réel, dans tout ce qui fait notre quotidien, c’est donc là, comme le dit Damasio, que « la guérilla libertaire et le totalitarisme gestionnaire vont maintenant s’affronter ». Et c’est parce que l’outil informatique peut nous servir dans nos luttes qu’il faut sécuriser cet outil. Or, la première défense est de faire en sorte que vos outils soient inaccessibles aux autres.

Sécuriser votre matériel

Face à l’un des plus grands défis du moment, à savoir sécuriser l’ensemble des très nombreuses données, y compris des informations personnelles, que nous transportons (clefs, smartphones, ordinateurs...) alors même qu’il est de plus en plus facile de les dérober (téléphone ou ordinateur peuvent être volés ou copiés en quelques minutes) ; plusieurs outils sont là pour nous aider.

En effet, tout comme vous pouvez sécuriser vos communications grâce au chiffrement, vous pouvez également compliquer la vie de ceux qui se consacrent à physiquement voler les données afin d’en révéler les secrets.

Un bon paramétrage de l’outil

Pour votre ordinateur

Pour commencer, assurez-vous que le démarrage de votre ordinateur soit protégé par un mot de passe. Si ce n’est pas le cas, vous pouvez activer cette fonction dans Windows, comme dans Linux ou Mac. Prenez un mot de passe fort : il est généralement recommandé d’utiliser 21 caractères avec lettres, signes et numéros [1]. Notons cependant qu’un dernier rapport du NIST, en juin, préconise désormais l’utilisation de longues phrases, faciles à retenir, au détriment des mots de passe à chiffres et caractères spéciaux.

Il existe également quelques paramètres dans le BIOS de votre ordinateur qui concernent la sécurité physique. Premièrement, vous devriez configurer votre ordinateur pour qu’il ne soit pas possible de l’amorcer à partir du périphérique USB ou des lecteurs CD-ROM ou DVD. Ensuite, vous devriez définir un mot de passe pour le BIOS lui-même, de telle sorte qu’un intrus éventuel ne soit pas en mesure de modifier les paramètres. Là encore, assurez-vous d’employer un mot de passe sûr.

Pour votre téléphone

Si votre téléphone vous le permet, verrouillez votre téléphone avec un mot de passe. Toute carte SIM dispose d’un code PIN par défaut. Changez-le et verrouillez votre carte SIM avec ce code PIN. Il vous sera demandé à chaque fois que vous utiliserez votre téléphone. Pour info, il y a peu, le FBI n’a pas réussi à pénétrer cette première défense d’Android.

Désactivez les fonctions de géolocalisation de vos applications à moins que vous n’utilisiez cette fonction à des fins militantes en taggant certains médias lors d’un événement. Si vous utilisez votre téléphone portable pour diffuser de la vidéo en streaming live, désactivez les fonctions de GPS et de géolocalisation.

N’utilisez pas les vrais noms de vos contacts dans vos répertoires téléphoniques. Attribuez-leur des numéros ou des pseudonymes. De cette manière, si jamais les forces de sécurité saisissent votre téléphone ou votre carte SIM, elles ne disposeront pas de l’ensemble de votre réseau.

Si vous pensez qu’une manifestation va se terminer par une forte répression des forces de sécurité, activez le mode avion de votre téléphone. Vous ne serez plus en mesure d’émettre ou de recevoir des appels mais vous pourrez toujours prendre des photos ou des vidéos. En cas d’arrestation imminente : éteignez votre cellulaire.

Le chiffrement des disques

Première chose, que ce soit votre ordinateur, votre clef USB, votre téléphone ou votre carte SD : chiffrez-les intégralement [2]. Cela signifie que toutes vos données seront rendues illisibles pour qui n’aura pas la clef de sécurité. En somme, vous seul pourrez avoir accès aux informations contenus dans votre téléphone et/ou ordinateur.

Pour vos smartphones, il est possible de les chiffrer directement via Android comme via IOS. De la même manière, il existe quelques applications qui permettent de chiffrer vos fichiers quand votre portable est allumé : Picture Safe et KeepSafe, permettent par exemple de verrouiller les albums photos. ES explorer, quant à lui, propose en plus la possibilité de chiffrer des dossiers. SmartAppLock, Serrure et LEO Privacy Guard permettent, quant à elles, de verrouiller les applications installées avec un mot de passe, et de verrouiller l’accès à certains documents par mot de passe.

Pour vos ordinateurs, Filevault le fait nativement sur MacOSX (tuto disponible à cette adresse), Linux intègre en standard les outils nécessaires pour (Cryptsetup, LUKS/dm-crypt etc.) mais il est possible de passer aussi par LVM si vous voulez chiffrer l’ensemble du système. Pour windows, Diskcryptor est un logiciel libre qui fait le boulot.

Le plus intuitif et peut-être le plus simple, parce que multi-plateformes, reste sans doute VeraCrypt. Ce fork (nouveau logiciel créé à partir du code source d’un ancien logiciel) de TrueCrypt permet de stocker des données dans des dossiers chiffrés et sécurisés. Il est aussi possible de chiffrer un disque dur externe ou une clef ; et donc aussi l’intégralité d’un disque principal.

Tuto, basé sur TrueCrypt, pour chiffrer un dossier : ici.

La maintenance

Les mises à jour du système et des programmes en général ont également pour but de corriger les failles de sécurité. En quelques mots, une faille de sécurité est un bug ou une erreur dans l’implémentation d’un logiciel qui permet à un attaquant de prendre avantage de cette faille pour mener à bien des attaques. Faites-le.

Il existe plusieurs moyens de prendre le contrôle de votre ordinateur, voire détruire, endommager ou infecter les données qui se trouvent dessus, y compris les données qui sont stockées sur vos disques durs externes. Il est donc recommandé d’avoir un antivirus à jour.

Sur Windows, il y a avast ; facile à utiliser, régulièrement actualisé et très respecté par les spécialistes. Vous devez vous enregistrer tous les 14 mois, mais l’enregistrement, les mises à jour et le programme lui-même sont gratuits. A savoir qu’il existe aussi une version Android d’Avast.

Sur mac il y a Sophos. D’ordinaire il n’est pas utile d’avoir un antivirus sur Linux mais cela peut se discuter, dans le doute vous pouvez lire ce document qui recense tout ce qui existe à ce niveau. AVG serveur semble un bon compromis pour les serveurs Linux.

De la même manière, il existe des mouchards conçus pour surveiller les tâches que vous effectuez sur votre ordinateur et sur Internet, et pour transmettre ensuite ces renseignements à un tiers qui n’y aurait pas normalement accès. Il est donc aussi utile d’avoir un anti-spyware/malware, lui-aussi à jour, en particulier sur Windows.

Des outils comme Spybot ou Malwarebytes Anti-Malware sont très utiles à cet usage. De la même manière Anti Mouchard peut se révéler efficace sur Android.

Il est toujours possible d’utiliser en plus un Firewall : sur Linux, il y a Gufw et Comodo pour Windows. Mac dispose d’un pare-feu intégré à OSX (que certains recommandent d’activer), il existe autrement Murus qui propose une version Lite gratuite et efficace, mais surtout Ice Floor qui est en open source.

Il pourrait être malgré tout plus intéressant d’utiliser les payants mais très utiles : Little Snitch ou Hands Off !, logiciels qui permettent sur Mac de contrôler toutes les connexions entrantes et sortantes de votre ordinateur (le logiciel Private Eyes, gratuit, ne permettant que de visualiser toutes les connexions entrantes et sortantes). Sur Linux, OpenSnitch, basé sur le même principe, permet la même chose... mais en gratuit et libre. Windows a lui-aussi un logiciel gratuit et payant, GlassWire, qui promet la même chose et peut s’installer aussi sur Android.

Sur smartphone, l’excellent outil Androïd IMSI Catcher !, disponible ici, permet de détecter les systèmes d’espionnage mobiles qui captent toutes les données des téléphones alentour. Rebellyon avait sorti un article à ce sujet l’année dernière.

Concernant vos fichiers sensibles, contrairement à ce que peut laisser penser votre corbeille, ceux-ci ne sont pas réellement effacés même après une suppression à l’intérieur de celle-ci. Il vous faut réaliser plusieurs manips pour que votre fichier soit réellement supprimé : sur windows, sur Linux et sur Mac.

Vers une machine sécurisée ?

En définitive, si vous souhaitez fonctionner de manière sécurisée, le plus simple est sans doute d’avoir un second ordinateur, occasionnel celui-ci, sur lequel verrouiller les données de valeur et les communications. Ordinateur que vous pourrez stocker dans un endroit physiquement sécurisé.

Le mieux, c’est de se procurer une machine vide. Sans rien. Et installer le disque dur, la carte mère et le reste des composants soi-même. Cela évite les espions potentiellement installés dans les machines pré-faites dans le commerce.

Si possible, l’ordinateur doit fonctionner avec une authentification forte, de préférence à l’aide d’un token. Il s’agit de coupler au mot de passe principal une authentification supplémentaire, pour prouver que le client est bien celui qu’il prétend être. L’avantage, c’est que cette seconde clef peut être stockée sur une clef USB chiffrée. Il est donc possible de l’avoir toujours sur soi et de s’en débarrasser rapidement si besoin.

Cet ordinateur sécurisé ne devra jamais se connecter à un réseau local ou Wi-Fi, les copies de fichiers ne se feront qu’en utilisant exclusivement des moyens physiques tels que les clefs USB (clefs elles-mêmes chiffrées et sécurisées). C’est ce qu’on appelle un "entrefer", ou air-gap, c’est-à-dire l’isolement physique d’un ordinateur d’avec le reste du monde.

Le site ssd-eff.org rajoute :

Une des variations de l’idée de la machine sécurisée est de disposer d’une machine non sécurisée : un dispositif que vous utilisez exclusivement lorsque vous vous rendez dans des endroits dangereux ou devez mener à bien une opération risquée. De nombreux journalistes et activistes, par exemple, emportent seulement un netbook lorsqu’ils voyagent. Cet ordinateur de poche ne contient aucun de leurs documents, contacts habituels ou informations relatives aux e-mails, donc ne constituera qu’une simple perte s’il est confisqué ou scanné. Vous pouvez appliquer la même stratégie aux téléphones portables. Si vous utilisez habituellement un Smartphone, envisagez d’acquérir un téléphone jetable bon marché lorsque vous voyagez ou pour maintenir certaines conversations.

Récapitulatif des différents outils proposés


Mac OSX Windows Linux Android iOS
Chiffrement disques Filevault, VeraCrypt VeraCrypt Luks, VeraCrypt Option Android, SmartAppLock, KeepSafe Option iOS
Protéger les dossiers VeraCrypt ES Explorer
Protéger les fichiers VeraCrypt, PeaZip, 7Zip ES Explorer, PictureSafe, KeepSafe
Protéger les programmes SmartAppLock, Serrure, LEO Privacy Guard
Contrôler connexions entrantes et sortantes Little Snitch, Hands Off !, Private Eyes GlassWire OpenSnitch SmartAppLock, Serrure, LEO Privacy Guard, GlassWire
Antivirus et mal/spy-wares Sophos, IceFloor, Murus Avast, Spybot, Comodo, Malewarebytes AVG Avast
Contrôler connexions entrantes et sortantes Little Snitch, PrivateEyes Androïd IMSI Catcher !


Pour aller plus loin


Il est possible de trouver sur le net des informations liées au chiffrement de vos disques, comme cette brochure de la CNIL qui explique comment faire. Il est possible aussi de lire cette page qui propose une antisèche très complète sur ce qu’est le chiffrement et comment ça marche. Il est même possible de lire le Référentiel général de sécurité de l’Agence nationale de la sécurité des systèmes d’information et son annexe B3 sur l’authentification (les annexes B1 et B2 fournissant les règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques).

Il existe également sur GitHub un guide pour sécuriser votre Mac.

Nous rappelons, en outre, que les guides ci-après proposent une réflexion très complète sur notre sécurité numérique et digitale :

Guide d’autodéfense numérique, tome 1, Hors connexion
Guide d’autodéfense numérique, tome 2, En ligne
L’informatique : se défendre et attaquer version 3.0
Digital Security & Privacy for Human Rights Defenders

P.-S.

Notez que ces infos ont été récoltées par des militants non-experts de la chose qui participent à des médias alternatifs et souhaitent juste que leurs collectifs et camarades se protègent un peu plus (ce qui assurera en retour leur sécurité). Ces conseils ne sont en aucun cas exhaustifs, mais destinés à des utilisations relativement courantes.

Notes

[1Selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), il existe pour cela deux méthodes : la méthode phonétique, pour laquelle « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am ; et la méthode des premières lettres, pour laquelle la citation « Un tien vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A.

[2A noter, malgré tout, que le chiffrement a des limites.