Vie du site Rebellyon

Comment sécuriser ses conversations éléctroniques !

Publié le 4 décembre 2014 | Mise à jour le 6 janvier 2015

14028 visites

Tutoriels Sécurité Informatique 3 compléments

S’il y a encore quelque années, parler de sécuriser ses conversations informatiques nous faisait passer pour des geek paranos, avec les multiples scandales de ces dernières années (« Infrastructure de mutualisation » la surveillance façon PRISM à la française, Le projet de loi « antiterroriste » passera à l’Assemblée le 17 septembre Police secrète, secrets de la police , Informatique ou liberté ? ) il est devenu plus que nécessaire que tout le monde s’y mette, car avec la vulgarisation des systèmes de communication, chaqu’unE devient mouchard à son insu.

Voici donc pour vous en exclusivité un méga tutoriel intitulé V1 car remis à jour au fur et à mesure des commentaires que vous y ajouterez !!

Si bon nombre de personnes ont pris conscience de la dangerosité des portables et les laissent chez eux lors de réunions ou d’actions prévues, pouvoir communiquer à distance rapidement s’avère néanmoins très pratique, et concilier sécurité et rapidité de transmission d’informations se trouve bien souvent être un cruel dilemme.

Pour vous aider un peu, nous vous proposons de vulgariser pour le commun des mortels (et pour les immortels aussi bien sur, big up à Highlander) l’utilisation du chiffrement de ces « conversations texte rapide », en gros le « chat » !

(Remarque : Il existe des solutions encore plus simples comme textSecure qui chiffre directement vos SMS. Le problème est que cette solution, séduisante de prime abord, ne résout en rien la question des « fadettes ». En effet, si une écoute ne donnera rien puisque les messages sont chiffrés, le listing des numéros contactés reste visible par votre opérateur ; or c’est bien souvent uniquement par ce moyen que les juges arrivent à prouver qu’un réseau de personnes se rencontre régulièrement)

L’utilisation de plus en plus grande et les coûts de plus en plus bas des smartphones (aux dépens de la maltraitance d’employés chinois,ne l’oublions pas ...) permettant de chatter de la même manière que sur PC, nous vous proposons ici un tutoriel à la fois pour smartphone (pour remplacer les SMS trop bavards) et sur PC.

Avant de commencer, un rappel : Tout système, aussi sécurisé soit-il, comporte une faille énorme : l’HUMAIN. Si vous envoyez un message ultra sécurisé à quelqu’unE qui balance aux flics, ou qui laisse traîner ses affaires et ses mots de passe n’importe où, ça ne sert à rien. De même, envoyer un message sous une caméra de surveillance n’est pas une bonne idée, et dans les manifs, gaffe aux flics en civil !

D’autre part, le chiffrage des conversations ne retire pas le problème de la localisation de votre téléphone. Votre opérateur saura ou vous vous trouvez, mais pas ce que vous faites de votre téléphone.

Ces quelques précautions d’usage faites, entrons dans le vif du sujet :

Vous ne le savez peut être pas, mais votre fournisseur de mail préféré (riseup.net, autistici.org ...) propose un service de « chat » !!

En fait, il ne propose pas un « chat » clé en main, mais il permet la connexion à des serveurs qui offrent des solutions de messagerie instantanée en utilisant le protocole de chat appelé XMPP (plus d’info ici) que l’on peut ensuite utiliser avec différents logiciels.

Seulement voilà, ce « chat » n’est absolument pas sécurisé, tout ce qui transfère par ce biais est en « clair ».

Il faut alors lui ajouter un protocole de chiffrement (en langage commun on entend beaucoup « cryptage », mais le terme correct est bien « chiffrement ») pour sécuriser nos conversations.

Nous allons pour cela utiliser un autre protocole appelé : OTR (lien).

Explication rapide de son fonctionnement : C’est un protocole qui assure l’authenticité (savoir avec qui on parle), deniabilité (après la discussion personne ne peut prouver qui de deux personnes a envoyé les messages) et Perfect forward secrecy (si tu perds ta clé, les discussions du passe ne sont pas compromises). (Si vous n’avez pas tous compris, ce n’est pas très grave, en gros sa fonctionne, mais n’hésite pas à demander à vos copainE geekE de vous expliqué plus en détail)

Et magie, OTR est aussi fourni par les logiciels qu’on vous propose sur le smartphone et sur le PC !

Il ne reste donc plus qu’à configurer les logiciels (ou appli pour les smartphones) pour leur faire comprendre que l’on veut utiliser ces 2 protocoles (chat et chiffrement)

Et le plus beau, c’est qu’il n’y a aucun compte à créer, vous l’avez déjà : votre compte mail !

Allons-y donc pour l’installation et la configuration : (Pas de panique, on a promis que ce serait simple.)

Remarque : on peut aussi utiliser d’autres programmes que ceux que l’on va vous présenter, mais nous avons choisi dans ce tutoriel d’utiliser les applications les plus simples possible à configurer et les plus faciles d’accès en utilisation quotidienne

Sur Smartphone :

Nous avons choisi de vous proposer l’utilisation de ChatSecure, développé par une équipe de développeurs bénévoles qui proposent pas mal d’applications liées à la sécurité sur smartphone : https://guardianproject.info/. Cette application est libre et gratuite.

- Installation :

Sur Android : rendez vous sur le google play, ou téléchargez directement le fichier apk

Sur Iphone rendez-vous ici

(Remarque au fan de la Pomme, désolé, mais les captures d’écran viennent d’Android, mais c’est globalement la même chose)

Une fois installée (comme n’importe quelle application lambda tel le coussin péteur), ouvrez l’application.

Là, on (l’application, pas nous) vous propose si vous le voulez de définir un mot de passe qui servira à ouvrir l’application (comme ça, si vous laisser votre tel sur la table 5minutes personne ne peut ouvrir l’application), si vous avez la flemme, l’appli vous propose de ne pas le faire (mais si vous avez la flemme à ce point-là, vous pouvez aussi arrêter de lire ce tuto)

Vous confirmez le mot de passe, et là on arrive sur un écran comme ceci :

Pas de panique, on ne va pas créer de compte google et même si on (vous) en avez un, on ne compte pas trop sur eux pour tout ce qui est question de sécurité et vie privée (pour rappel, sur simple réquisition d’un juge google donnera tous vos mails à la justice ...) Donc, on fait glisser sont doigt vers la droite et on arrive à ce qui nous intéresse à savoir l’utilisation d’un compte XMPP (jabber).

On rentre donc son adresse mail et son mot de passe :

(En prenant soin pas comme dans l’exemple de ne pas cocher : « mémoriser mon mot de passe »)
On clique sur l’énorme bouton : « Se connecter » et ...... on est connecté au chat avec le protocole XMPP (donc pas encore sécurisé si vous avez bien suivi)

Avec le bouton « + » on n’a plus qu’à ajouter l’adresse mail de ses potes (ou de ses ennemiEs pour les insulter) et on peut chatter !

Une fois l’invitation envoyée et acceptée, on peut commencer dans une fenêtre comme celle-ci :

On sélectionne le petit cadenas en haut à droite, et on choisit : « Chiffrer »

Une fois que les 2 personnes ont accepté la conversation chiffrée, le cadenas se ferme et la conversation est enfin sécurisée :

Bon en faite, il reste un dernier détail, sur le cadenas, une fois que c’est sécurisé on clique sur Empreinte

C’est sur cette étape que l’authenticité de OTR est basée. Afin d’assurer que la personne à l’autre bout de la conversation est bien celle que l’on pense être, il faut vérifier les empreintes par un moyen sécurisé. Ceci peut être coup de fil pour lui dicter les empreintes ou un mail, un bout de papier ou ce qu’on veut ...

Un autre moyen simple pour s’assurer de qui est qui, c’est de définir auparavant une question qu’on va poser a la personne, la bonne réponse nous assurant que c’est bien sont copainE à l’autre bout du (sans) fil !!

Une fois qu’on a vérifié les empreintes ou la question, on peut cliquer sur le bouton pour valider cette personne.

(Si lors d’une tentative de sécuriser vos messages dans une conversation, ChatSecure vous redemande de refaire cette procédure cela veut dire qu’il/elle a changé de réseau et/ou de logiciel et donc il faudra révérifier les empreintes.)

Remarque :

Dans les paramètres, dans « Chat Encryption », choisir l’option « Tenter automatiquement » pour que le chiffrement se lance automatiquement

Sur PC / Pidgin :

Dans ce tuto on vous propose Pidgin, car c’est celui que l’on trouve le plus simple et qui fonctionne de la même manière avec GNU/Linux, Windows ou OSX (mac).

Windows : Rendez-vous sur ce lien pour télécharger Pidgin ,puis installé le de manière classique. Il faut ensuite télécharger le plugin OTR lien qui n’est pas de base.

Pour GNU/Linux, installer juste pidgin, OTR en fait déjà partit (debian/ubuntu : sudo apt-get install pidgin) .

La suite du tutoriel est valable pour Windows et pour GNU/Linux..

Après l’installation on lance le logiciel et on se retrouve sur l’interface graphique pour ajouter un compte !

Comme on la dit, votre identifiant ; vous l’avez déjà, c’est votre compte mail Riseup, Autistici. Il vous sert comme identifiant dans le champ « utilisateur » et « mot de passe » en choisissant bien comme protocole « XMPP ».

On clique sur ajouter et puis on se retrouve dans l’interface principale de pidgin.

Ensuite il faut activer le plugin OTR pour pouvoir chiffrer les conversations. Pour effectuer ceci, on clique sur « Outils » et on choisit : « Plugins ».

Puis on cherche dans la liste « Messagerie Confidentielle Off-The-Record » et on l’active en cochant la casse. Ensuite on le sélectionne et on clique sur le bouton pour configurer et on s’assure d’avoir croche les options pour avoir des conversations privées, d’initialiser automatiquement des conversations privées et de ne pas garder l’historique.

Pour ajouter un contact il faut cliquer sur « Contact » puis « Ajouter contact », et puis on y ajoute l’adresse email de nos potos.

On y est !! Il reste plus qu’a vérifier quelques paramètres pour rendre le logiciel encore plus sécurisé !

En choisissant « Options » puis « préférences » on arrive aux paramètres et dans l’onglet historique il vaut mieux tout décocher, pour ne pas avoir de l’historique.

Maintenant on peut commencer une discussion en double cliquant sur un contact. Et on retrouve l’interface :

Dans la capture d’écran, vous pouvez voir une discussion non chiffrée. Pour reconnaître celle-ci, il suffit de voir l’état de la discussion en bas à droite ! Si l’on clique sur le bouton, on initialise la conversation chiffrée (si on a mis chiffrement par défaut on aura pas besoin de faire ceci).

On attend que l’autre clique aussi et là on a des messages pour authentifier cette personne. Ceci veut dire qu’on doit s’assurer que la personne avec qui on parle ne prétend pas d’être un autre.

On clique en bas à gauche sur authentifier la personne et là on a la possibilité de choisir 3 options :

Par exemple l’empreinte, il suffit d’appeler la personne avec qui on parle pour lui dicter les empreintes qui sont apparues ou bien trouver un autre moyen, ou définir auparavant une question/réponse pour s’assurer l’authenticité.

Cette démarche d’authentification doit être refaite, dans les cas où :

La personne a changé sa clé privée
La personne a changé de logiciel
La personne a changé de réseau internet

Dans tous les cas, il ne faut absolument pas cliquer bêtement sur l’authenticité sans vérifier l’empreinte ou la question/réponse. Ceci risque de mettre en danger tout le protocole et rendre votre discussion non sécurisée.

Les limites de OTR

Bien que le protocole OTR est un très bon principe pour sécuriser une conversation avec une autre personne, il ne peut pas sécuriser une discussion avec un groupe des contacts. Si votre but est de parler a plusieurs (>2) ce tuto finalement ne vous sert a rien mise à part le fait que vous sachiez comment utiliser Pidgin et ChatSecure !

Toute la sécurité de OTR se base sur le pouvoir qu’on peut s’assurer, avec un moyen sécurisé, vérifier l’identité de la personne avec laquelle on discute. C’est pour cela qu’il est super important de se mettre en accord avec une méthode de vérification (empreinte ou question/réponse) et de ne pas utiliser des endroits publics (comme un irc public) pour s’échanger les empreintes.

Votre opérateur internet peut savoir si vous utilisez cet outil puisque vous êtes connectés sur le serveur XMPP, mais il ne peut pas savoir avec qui vous parlez. Il faut être conscient que OTR n’offre pas de l’anonymat.

Encore plus de sécurité

Comme on vient de préciser que OTR n’offre pas d’anonymat, vous trouverez par la suite quelques éléments pour sécuriser encore plus vos discussions.

XMPP avec TOR

Riseup offre aussi une possibilité de se connecter sur leur serveur XMPP avec TOR par l’intermédiaire de cette adresse 4cjw6cwpeaeppfqz.onion sur les ports 3478, 3479, 5190, 5222, 5223, 5269, 7777. Cette adresse risque de changer entre temps (et en plus vous ne devez pas nous faire si confiance !) alors vous pouvez à tout moment la récupérer ici. Pour configurer Pidgin, vous pouvez consulter ce guide.

XMPP avec VPN

Rien à configurer spécialement. Il faut trouver un VPN de confiance. Encore une fois Autistici ou Riseup en offre. Gardez en mémoire que ces services sont assez coûteux donc ne les utilisez pas pour télécharger vos films et pensez a offrir de l’argent quand vous le pouvez. https://help.riseup.net/fr/about-us/donate http://www.autistici.org/fr/donate.html

Orbot

Sur Android vous pouvez avoir TOR par l’application Orbot

Une liste complète avec tous les logiciels qui ont par défaut OTR ou bien on peut l’installer via des plugins se trouve sur ce lien

The_Invisible_Wire_Squad

P.-S.

*V1 : Ce tutoriel est intitulé V1 car il sera mis à jour au fur et à mesure de vos retours d’expérience ! N’hésitez pas à publiez des commentaires !

Groupes associés à l'article

The_Invisible_Wire_Squad

the_invisible_wire_squad@autistici.org

Compléments d'info à l'article

Proposer un complément d'info

Le 7 décembre 2014 à 10:07, par klorydrk #

Info légèrement incomplète sur Textsecure, qui propose un format de SMS data, évitant donc le problème des « fadettes ».
Le 6 décembre 2014 à 11:18, par #

Trop de boites mail (y compris des trés sensibles) n’ont pas de clé publique PGP sur les annuaires de clés.
Le 5 décembre 2014 à 15:25, par Volte #

L’EFF, une association américaine qui défend le droit à la vie privée, a récemment publiée une page des principaux outils de communications censés être sécurisés et ce qu’il en est vraiment. C’est en anglais mais, rassurez-vous, c’est sous forme de tableau et pas bien compliqué à comprendre. Lien ici : https://www.eff.org/secure-messaging-scorecard

J’ajoute, en ce qui concerne riseup, que même si je trouve l’initiative excellente, le fait qu’ils soient hébergé aux Etats-Unis et donc soumis à la législation sur place peut poser problème quant à la charte qu’ils entendent faire respecter... Il faut savoir que d’autres solutions existent, à vous de chercher :)

Enfin, si vous souhaitez réellement sécuriser les données qui sortent de votre Iphone il faudrait d’abord commencer par changer de téléphone. C’est un peu la même chose pour android mais en moins pire car le root (et donc le contrôle partiel des données envoyées) est plus facilement faisable. Sachez enfin que Firefox a sorti un OS pour téléphones plus respecteux de la vie privée que ses principaux concurrents, il n’y a pas encore d’applications de simulations de prouts et de rots m’enfin, faut savoir ce qu’on veut dans la vie ;)

Publiez !

Comment publier sur Rebellyon.info?

Rebellyon.info n’est pas un collectif de rédaction, c’est un outil qui permet la publication d’articles que vous proposez. La proposition d’article se fait à travers l’interface privée du site. Quelques infos rapides pour comprendre comment être publié !
Si vous rencontrez le moindre problème, n’hésitez pas à nous le faire savoir
via le mail contact [at] rebellyon.info

Derniers articles du groupe « The_Invisible_Wire_Squad » :

>Flouter directement ses photos avec Signal Messenger

La quasi généralisation du port de masques dans les manifestations permet d’améliorer la sécurité de tout le monde face aux caméras. Pour autant, le matraquage permanent des smartphones rend la micro seconde d’inattention à enlever son masque extrêmement dangereuse. Pour parer (un peu) à cela,...

>Comment s’organiser en ligne ? Une brochure pour lutter !

En peu de temps, le virus Covid-19 a complètement changé l’organisation de nos luttes. L’incertitude est grande, personne ne sait ce qui nous attend ensuite. Une chose est sûre, les plus précaires sont toujours plus exploité·es et l’étau sécuritaire se ressert encore plus. Face à cela,...

>Comment taper facilement le point médian pour féminiser ses textes

Féminiser ses textes c’est top, et y’a plein de manières de faire. Après le « -e » ou le « E » majuscule, de plus en plus de personnes utilisent un signe spécifique, le point médian « ·e ». Une solution intéressante mais pas évidente sur tous les claviers. Quelques explications.

› Tous les articles "The_Invisible_Wire_Squad"

Derniers articles de la thématique « Tutoriels Sécurité Informatique » :

>Proton Mail et Wire : collabos comme les autres

Ou pourquoi on doit arrêter d’utiliser les services de Proton pour les trucs répréhensibles et préférer des alternatives anarchistes et autogestionnaires.

>Jeudi 26 Octobre : vie privée vs « technopolice »

Des rendez-vous pour échanger et se former aux bonnes pratiques numériques pour protéger sa vie privée contre le capitalisme de surveillance et la criminalisation de l’activisme.

>Samedi 14 Octobre : Découvrir les logiciels libres

Nous sommes encore trop nombreux à avoir des pratiques numériques en conflit avec nos valeurs. Bien qu’il n’existe peut être pas de numérique « responsable » ou « sobre », il y a au moins un numérique qui préserve nos libertés et notre indépendance vis à vis des géants du numérique (Big Tech ou...

› Tous les articles "Tutoriels Sécurité Informatique"

Prochains rendez-vous

jeudi 7
Jeudi 7 novembre : Les rencontres de la presse indé à...
19h00
jeudi 7
Boxe avec l’Amicale du Combat Libre
19h00
vendredi 8
Permanence de l’OST
18h00
samedi 9
Permanences d’accueil du syndicat CNT interco 69
11h00
samedi 9
STOP au génocide en Palestine, STOP à l’agression du...
15h00
samedi 9
CAFÉ-LIBERTAIRE : Quelle stratégie politique pour les...
17h00

Afficher tout l'agenda

Fil d'infos

Analyse et réflexion Handicap/ Validisme

Plutôt mort·es que vivant·es ? & Le livre des choses perdues // Une émission de Minuit Décousu

Dans notre dernière émission, on en découd avec le projet de loi sur le suicide assisté et l’euthanasie en compagnie d’Elisa Rojas pour comprendre la hiérarchie des vies sur laquelle il se fonde et la menace qu’il représente pour les personnes malades ou handicapées ♿

Publié le 7 novembre

Analyse et réflexion Répression policière

« Permis de tuer » : mise en cause devant l’ONU, la France s’enfonce dans le déni

Interrogés par le Comité des droits de l’Homme de l’ONU sur la hausse du nombre de décès consécutifs à l’intervention de la police, les représentants de l’État français sont passés à côté du sujet.

Publié le 7 novembre

A lire sur d’autres sites Résistances et solidarités internationales

L'Actu des Oublié.es • SV • EP 4 • L'Etat colonial en Kanaky

Retour sur le mouvement contre le dégel du corps électoral en Kanaky

Publié le 6 novembre

Résistances et solidarités internationales

STOP au génocide en Palestine, STOP à l'agression du Liban. Rassemblement samedi 9 novembre 15H Place Bellecour à Lyon

Netanyahu et son gouvernement d’extrême droite veulent encore accélérer leur politique d’extermination entreprise à Gaza ; aux bombes, à la famine organisée, aux destructions des hôpitaux et aux meurtres des personnels de santé Israël vient d’ajouter une nouvelle arme.

Publié le 6 novembre

Écologie / Anti-productivisme

Projections du documentaire « Alliances Terrestres » sur la lutte contre l'A69

Des projections du film « Alliances Terrestres » auront lieu en presence de la réalisatrice les 12 et 16 novembre. On y parle de la lutte contre l’A69 et de la réappropriation quotidienne de pratiques collectives, horizontales et en lien direct avec les milieux naturels.

Publié le 6 novembre

Logement / Squat

Menaces d'expulsions suite aux incidents à rillieux-la-pape : non au retour des châtiments collectifs contre les familles locataires HLM

Communiqué de presse - lundi 04/11/2024 du Droit au logement 69

Publié le 5 novembre

Genres / Sexualités

Journée du souvenir Trans 2024

Rassemblement le mercredi 20 novembre place de la comédie (Lyon 1^er) à 19h, suivi d’un temps de soin communautaire au centre LGBTI+

Publié le 5 novembre

Contre-cultures / Fêtes

Lyon Antifa Fest 2024 les 12,13 et 14 décembre

L’annuel festival lyonnais contre les discriminations et en soutien aux luttes antifascistes est de retour cette année sur deux soirées.

Publié le 5 novembre

Genres / Sexualités

Café-libertaire : Quelle stratégie politique pour les LGBTI ?

Café-discussion autour du thème de la lutte lgbti samedi 9 novembre, à 17h, dans notre librairie La Plume Noire, au 8 rue Diderot

Publié le 3 novembre

Partage des savoirs

Normes des communautés - causerie du lundi 4 novembre 2024 à 19h

Quels que soit les groupes auxquels on appartient, ceux-ci véhiculent des normes qu’il nous faut appréhender pour s’y conformer ou pour les refuser. On se propose de parcourir la question des normes dans le cadre de la causerie du lundi 4 novembre, à partir de 18h30 aux Clameurs.

Publié le 3 novembre

Lyon 7^e |

Migrations / Sans-papiers

Parloir sauvage au CRA 1 de St-exupery

Mi-octobre une trentaine de personnes se sont rendues devant le CRA 1 de Lyon (à côté de l’aéroport St-exupéry) pour crier leur solidarité aux prisonnier-es et à leurs luttes contre l’enfermement et les tentatives de l’Etat de les expulser.

Publié le 2 novembre

Écologie / Anti-productivisme

Nature et camarades mutilé-es = engin de NGE brulé

Partage d’un texte de revendication de l’incendie d’un engin de NGE à Villeurbanne dans la nuit du 27 au 28 octobre

Publié le 1er novembre

Écologie / Anti-productivisme

Rencontre-débat autour du livre « Les racines libertaires de l’écologie politique » avec Patrick Chastenet le 6/11/24 à 19h à la librairie La Gryffe

Rencontre débat avec Patrick Chastenet le mercredi 6/11/24 à 19h à la librairie La Gryffe, autour du livre : Les racines libertaires de l’écologie politique.

Publié le 1er novembre

Justice / Enfermements

Témoignage de Mehdi au CRA 1 (25/09)

Publié le 1er novembre

A lire sur d’autres sites Extrême-droites / Réactionnaires

Front populaire par en bas #1 : mobilisations antifascistes populaires et autonomes en ville et en campagne

Dans la panique post dissolution, toute la gauche (et même certain.es anarchistes) a fait la campagne du NFP. Toute ? Non ! Cette série de podcasts raconte des mobilisations antifascistes populaires et autonomes en ville et en campagne qui ont exploré d’autres voies.
Episode 1 : Pour des campagnes ouvertes et solidaires

Publié le 31 octobre

Afficher d'articles