BROCHURES

Guide d’autodéfense numérique

Guide d’autodéfense numérique

anonymes (première parution : mai 2010)

Mis en ligne le 25 juin 2010

Thèmes : Guides pratiques (42 brochures)
Sciences et technologies (55 brochures)

Formats : (HTML) (PDF,3.6 Mo) (PDF,7.8 Mo)

Version papier disponible chez : Infokiosque fantôme (partout)

NB : La version complète et à jour du guide est disponible sur guide.boum.org.


Préface

Les revers de la mémoire numérique

De nos jours, les ordinateurs, Internet et le téléphone portable tendent à prendre de plus en plus de place dans nos vies. Le numérique semble souvent très pratique : c’est rapide, on peut parler avec plein de gens très loin, on peut avoir toute son histoire en photos, on peut écrire facilement des textes bien mis en page… mais ça n’a pas que des avantages ; ou en tout cas, ça n’en a pas seulement pour nous, mais aussi pour d’autres personnes qu’on n’a pas forcément envie d’aider.

Il est en effet bien plus facile d’écouter discrètement des conversations par le biais des téléphones portables que dans une rue bruyante, ou de trouver les informations que l’on veut sur un disque dur, plutôt que dans une étagère débordante de papiers.

De plus, énormément de nos informations personnelles finissent par se retrouver publiées quelque part, que ce soit par nous-mêmes ou par d’autres personnes, que ce soit parce qu’on nous y incite — c’est un peu le fond de commerce du web 2.0, parce que les technologies laissent des traces, ou simplement parce qu’on ne fait pas attention.

Rien à cacher ?

« Mais faut pas être parano : je n’ai rien à cacher ! » pourrait-on répondre au constat précédent…

Deux exemples tout bêtes tendent pourtant à montrer le contraire : personne ne souhaite voir ses codes secrets de carte bleue ou de compte eBay tomber entre n’importe quelles mains ; et personne non plus n’aimerait voir quelqu’un qui ne lui veut pas du bien débarquer chez lui parce que son adresse a été publiée sur Internet malgré lui…

Mais au-delà de ces bêtes questions de défense de la propriété privée, la confidentialité des données devrait être en soi un enjeu.

Tout d’abord, parce que ce n’est pas nous qui jugeons de ce qu’il est autorisé ou non de faire avec un ordinateur. Des personnes arrêtées pour des activités numériques qui ne plaisaient pas à leur gouvernement croupissent en prison dans tous les pays du monde — pas seulement en Chine ou en Iran.

De plus, ce qui est autorisé aujourd’hui, comment savoir ce qu’il en sera demain ? Les gouvernements changent, les lois et les situations aussi. Si on n’a pas à cacher aujourd’hui, par exemple, la fréquentation régulière d’un site web militant, comment savoir ce qu’il en sera si celui-ci se trouve lié à un processus de répression ? Les traces auront été laissées sur l’ordinateur… et pourraient être employées comme élément à charge.

Enfin et surtout, à l’époque des sociétés de contrôles de plus en plus paranoïaques, de plus en plus résolues à traquer la subversion et à voir derrière chaque citoyen un terroriste en puissance qu’il faut surveiller en conséquence, se cacher devient en soi un enjeu politique, ne serait-ce que pour mettre des bâtons dans les roues de ceux qui nous voudraient transparents et repérables en permanence.

Quoi qu’il en soit, beaucoup de gens, que ce soient les gouvernants, les employeurs, les publicitaires ou les flics1, ont un intérêt à obtenir l’accès à nos données, surtout au vu de la place qu’a pris l’information dans l’économie et la politique mondiales.

Tout ça peut amener à se dire que nous n’avons pas envie d’être contrôlables par quelque « Big Brother » que ce soit. Qu’il existe déjà ou que l’on anticipe son émergence, le mieux est sans doute de faire en sorte qu’il ne puisse pas utiliser, contre nous, tous ces merveilleux outils que nous offrent — ou que lui offrent — les technologies modernes.

Aussi, ayons tous quelque chose à cacher, ne serait-ce que pour brouiller les pistes !

Comprendre pour pouvoir choisir

Ce guide se veut une tentative de décrire dans des termes compréhensibles l’intimité (ou plutôt son absence) dans le monde numérique ; une mise au point sur certaines idées reçues, afin de mieux comprendre à quoi on s’expose dans tel ou tel usage de tel ou tel outil. Afin, aussi, de pouvoir faire le tri parmi les « solutions », toutes plus ou moins dangereuses si l’on ne se rend pas compte de ce contre quoi elles ne protègent pas.

À la lecture de ces quelques pages, on pourra avoir le sentiment que rien n’est vraiment sûr avec un ordinateur ; et bien, c’est vrai. Et c’est faux. Il y a des outils et des usages appropriés. Et souvent la question n’est finalement pas tant « doit-on utiliser ou pas ces technologies ? », mais plutôt « quand et comment les utiliser (ou pas) ? »

Prendre le temps de comprendre

Des logiciels simples d’utilisation meurent d’envie de se substituer à nos cerveaux… s’ils nous permettent un usage facile de l’informatique, ils nous enlèvent aussi prise sur les bouts de vie qu’on leur confie.

Avec l’accélération des ordinateurs, de nos connexions à Internet, est arrivé le règne de l’instantanéité. Grâce au téléphone portable et au Wi-Fi, faire le geste de décrocher un téléphone ou de brancher un câble réseau à son ordinateur pour communiquer est déjà désuet.

Être patient, prendre le temps d’apprendre ou de réfléchir deviendrait superflu  : on veut tout, tout de suite, on veut la solution. Mais cela implique de confier de nombreuses décisions à de distants experts que l’on croit sur parole. Ce guide a pour but de proposer d’autres solutions, qui nécessitent de prendre le temps de les comprendre et de les appliquer.

Adapter ses pratiques à l’usage qu’on a du monde numérique est donc nécessaire dès lors qu’on veut, ou qu’on doit, apporter une certaine attention à son impact. Mais la traversée n’a que peu de sens en solitaire. Nous vous enjoignons donc à construire autour de vous votre radeau numérique, à sauter joyeusement à bord, sans oublier d’emmener ce guide et quelques fusées de détresse pour envoyer vos remarques à guide@boum.org (avec les précautions nécessaires).

Un « guide »

Ce guide est une tentative de rassembler ce que nous avons pu apprendre au cours de nos années de pratiques, d’erreurs, de réflexions et de discussions pour le partager.

Non seulement les technologies évoluent très vite, mais nous avons pu commettre des erreurs ou écrire des contre-vérités dans ces pages. Nous tenterons donc de tenir ces notes à jour à l’adresse : https://guide.boum.org/

Afin de rendre le tout plus digeste, nous avons divisé tout ce que nous souhaitions raconter en plusieurs tomes. Qu’on se trouve avec uniquement un ordinateur, que ce dernier soit connecté à un réseau ou qu’on soit chez soi ou au téléphone, cela représente des contextes différents, donc des menaces, des envies et des réponses différentes elles aussi.

Préface à la deuxième édition

Voilà un peu plus d’un an, nous écrivions que les technologies évoluaient vite. Force est de constater que c’est toujours le cas, et cela appelait bien une deuxième édition du Guide.

Cette année 2011 a vu la parution d’une étude sérieuse sur la persistence de données recouvertes sur les clés USB, disques durs SSD ou autres mémoires flash. Bilan : chiffrement et recouvrement total semblent être les seules stratégies offrant un minimum de garanties. Plusieurs nouveaux avertissements se sont donc glissés ça et là au fil des prochaines pages.

Sur le plan légal, les lois HADOPI et LOPPSI 2 ont été inscrites dans la loi française. En plus de la surveillance accrue des réseaux qu’elles impliquent, ces lois autorisent, voire rendent obligatoire, l’installation de logiciels qu’on ne peut que considérer comme malveillants sur le plan de la sécurité.

Cela rappelle, s’il était nécessaire, le besoin de prendre au sérieux les menaces permanentes pesant sur l’intimité dans notre monde numérique.

Du côté des outils, février 2011 a vu la sortie de la nouvelle version de Debian, baptisée « Squeeze ». En avril de la même année sortait la version 0.7 du système live Tails, dorénavant basé sur Squeeze. Il a donc fallu revoir les outils pour que les recettes fonctionnent sur ces nouveaux systèmes.

La création de disques chiffrés est grandement simplifiée avec ces nouvelles versions : on peut dorénavant réaliser l’essentiel de l’opération sans avoir besoin d’un terminal. L’installation de VirtualBox est également plus aisée.

Debian Squeeze contient un logiciel permettant de réaliser des sauvegardes en quelques clics ; la section les concernant a donc été étoffée.

Et pour les personnes ayant déjà un système installé avec la version précédente de Debian (Lenny), un nouvel outil de cette deuxième édition explique comment procéder à la mise à jour vers Debian Squeeze.

Grâce à cette révision, nous espérons que les pages suivantes restent un compagnon avisé dans la traversée de la jungle numérique… du moins, jusqu’à la suivante.

Sommaire

- Préface
- Préface à la deuxième édition

- Comprendre

  • Quelques bases sur les ordinateurs
    • Des machines à traiter les données
    • Le matériel
    • Électricité, champs magnétiques et ondes radios
    • Les logiciels
    • Le rangement des données
  • Traces à tous les étages
    • Dans la mémoire vive
    • Dans la mémoire virtuelle
    • Veille et hibernation
    • Les journaux
    • Sauvegardes automatiques et autres listes
    • Les méta-données
  • Malware, mouchards et autres espions
    • Les logiciels malveillants
    • Les keyloggers, ou enregistreurs de frappe au clavier
    • Des problèmes d’impression ?
  • Quelques illusions de sécurité…
    • Logiciels propriétaires, open source, libres
    • Le mot de passe d’un compte ne protège pas ses données
    • À propos de l’« effacement » des fichiers
    • Les logiciels portables : une fausse solution
  • La cryptographie
    • Protéger des données des regards indiscrets
    • S’assurer de l’intégrité de données
    • Symétrique, asymétrique ?

- Choisir des réponses adaptées

  • Évaluation des risques
    • Que veut-on protéger ?
    • Contre qui veut-on se protéger ?
  • Définir une politique de sécurité
    • Une affaire de compromis
    • Comment faire ?
    • Quelques règles
  • Un nouveau départ
    • Contexte
    • Évaluer les risques
    • Définir une politique de sécurité
  • Travailler sur un document sensible
    • Contexte
    • Évaluer les risques
    • Accro à Windows ?
    • Un tour d’horizon des outils disponibles
    • Quelques pistes pour décider
    • Travailler sur un document sensible… sur un système live
    • Travailler sur un document sensible… sur une Debian chiffrée
    • Travailler sur un document sensible… sous Windows
    • Limites communes à ces politiques de sécurité
  • Archiver un projet achevé
    • Contexte
    • Est-ce bien nécessaire ?
    • Évaluer les risques
    • Méthode
    • Quelle phrase de passe ?
    • Un disque dur ? Une clé ? Plusieurs clés ?

- Outils

  • Utiliser un terminal
    • Qu’est-ce qu’un terminal ?
    • À propos des commandes
    • Terminal ? Terminal administrateur ?
    • Encore une mise en garde
    • Un exercice
    • Attention aux traces !
    • Pour aller plus loin
  • Choisir une phrase de passe
  • Démarrer sur un CD ou une clé USB
    • Essayer naïvement
    • Tenter de choisir le périphérique de démarrage
    • Modifier les paramètres du BIOS
  • Utiliser un système live
    • Des systèmes live discrets
    • Télécharger un système live
    • Vérifier l’authenticité du système live
    • Installer le système live sur le support choisi
    • Démarrer sur un système live
  • Installer un système chiffré
    • Limites
    • Télécharger un support d’installation
    • Vérifier l’empreinte du support d’installation
    • Préparer les supports d’installation
    • L’installation proprement dite
    • Quelques pistes pour continuer
    • Un peu de documentation sur Debian et GNU/Linux
  • Choisir, vérifier et installer un logiciel
    • Trouver un logiciel
    • Critères de choix
    • Installer un paquet Debian
    • Comment modifier ses dépôts Debian
  • Effacer des données « pour de vrai »
    • Un peu de théorie
    • Sur d’autres systèmes
    • Allons-y
    • Supprimer des fichiers… et leur contenu
    • Ajouter à Nautilus une commande pour effacer des fichiers et leur contenu
    • Effacer « pour de vrai » tout un disque
    • Effacer tout le contenu d’un disque
    • Effacer le contenu d’une partition chiffrée LUKS
    • Rendre irrécupérables des données déjà supprimées
    • Ajouter à Nautilus une commande pour rendre irrécupérables des données déjà supprimées
  • Partitionner et chiffrer un disque dur
    • Chiffrer un disque dur avec LUKS et dm-crypt
    • D’autres logiciels que l’on déconseille
    • En pratique
    • Préparer un disque à chiffrer
    • Créer une partition non chiffrée
    • Créer une partition chiffrée
    • Utiliser un disque dur chiffré
  • Sauvegarder des données
    • Gestionnaire de fichiers et stockage chiffré
    • En utilisant Déjà Dup
  • Créer un compte « utilisateur »
  • Supprimer un compte « utilisateur »
  • Partager un secret
    • Partager une phrase de passe
    • Reconstituer la phrase de passe
  • Utiliser les sommes de contrôle
    • Obtenir la somme de contrôle d’un fichier
    • Vérifier l’intégrité d’un fichier
    • Permettre à d’autres de vérifier l’intégrité d’un fichier
    • Faire une somme de contrôle en mode graphique
  • Installer et utiliser un système virtualisé
    • Installer VirtualBox
    • Installer un Windows virtualisé
    • Sauvegarder une image de disque virtuel propre
    • Effacer « pour de vrai » une machine virtuelle
    • Créer une nouvelle machine virtuelle à partir d’une image propre
    • Envoyer des fichiers à un système virtualisé
    • Faire sortir des fichiers d’un système virtualisé
  • Garder un système à jour
    • Garder à jour un système live
    • Garder à jour un système chiffré
    • Les mises à jour quotidiennes d’un système chiffré
    • Passage à une nouvelle version stable

- Qui parle ?

Le texte complet est disponible sur le site https://guide.boum.org/tomes/1_hors...

anonymes