Vie du site Rebellyon

Comment sécuriser ses conversations éléctroniques !

Publié le 4 décembre 2014 | Mise à jour le 6 janvier 2015

14083 visites

Tutoriels Sécurité Informatique 3 compléments

S’il y a encore quelque années, parler de sécuriser ses conversations informatiques nous faisait passer pour des geek paranos, avec les multiples scandales de ces dernières années (« Infrastructure de mutualisation » la surveillance façon PRISM à la française, Le projet de loi « antiterroriste » passera à l’Assemblée le 17 septembre Police secrète, secrets de la police , Informatique ou liberté ? ) il est devenu plus que nécessaire que tout le monde s’y mette, car avec la vulgarisation des systèmes de communication, chaqu’unE devient mouchard à son insu.

Voici donc pour vous en exclusivité un méga tutoriel intitulé V1 car remis à jour au fur et à mesure des commentaires que vous y ajouterez !!

Si bon nombre de personnes ont pris conscience de la dangerosité des portables et les laissent chez eux lors de réunions ou d’actions prévues, pouvoir communiquer à distance rapidement s’avère néanmoins très pratique, et concilier sécurité et rapidité de transmission d’informations se trouve bien souvent être un cruel dilemme.

Pour vous aider un peu, nous vous proposons de vulgariser pour le commun des mortels (et pour les immortels aussi bien sur, big up à Highlander) l’utilisation du chiffrement de ces « conversations texte rapide », en gros le « chat » !

(Remarque : Il existe des solutions encore plus simples comme textSecure qui chiffre directement vos SMS. Le problème est que cette solution, séduisante de prime abord, ne résout en rien la question des « fadettes ». En effet, si une écoute ne donnera rien puisque les messages sont chiffrés, le listing des numéros contactés reste visible par votre opérateur ; or c’est bien souvent uniquement par ce moyen que les juges arrivent à prouver qu’un réseau de personnes se rencontre régulièrement)

L’utilisation de plus en plus grande et les coûts de plus en plus bas des smartphones (aux dépens de la maltraitance d’employés chinois,ne l’oublions pas ...) permettant de chatter de la même manière que sur PC, nous vous proposons ici un tutoriel à la fois pour smartphone (pour remplacer les SMS trop bavards) et sur PC.

Avant de commencer, un rappel : Tout système, aussi sécurisé soit-il, comporte une faille énorme : l’HUMAIN. Si vous envoyez un message ultra sécurisé à quelqu’unE qui balance aux flics, ou qui laisse traîner ses affaires et ses mots de passe n’importe où, ça ne sert à rien. De même, envoyer un message sous une caméra de surveillance n’est pas une bonne idée, et dans les manifs, gaffe aux flics en civil !

D’autre part, le chiffrage des conversations ne retire pas le problème de la localisation de votre téléphone. Votre opérateur saura ou vous vous trouvez, mais pas ce que vous faites de votre téléphone.

Ces quelques précautions d’usage faites, entrons dans le vif du sujet :

Vous ne le savez peut être pas, mais votre fournisseur de mail préféré (riseup.net, autistici.org ...) propose un service de « chat » !!

En fait, il ne propose pas un « chat » clé en main, mais il permet la connexion à des serveurs qui offrent des solutions de messagerie instantanée en utilisant le protocole de chat appelé XMPP (plus d’info ici) que l’on peut ensuite utiliser avec différents logiciels.

Seulement voilà, ce « chat » n’est absolument pas sécurisé, tout ce qui transfère par ce biais est en « clair ».

Il faut alors lui ajouter un protocole de chiffrement (en langage commun on entend beaucoup « cryptage », mais le terme correct est bien « chiffrement ») pour sécuriser nos conversations.

Nous allons pour cela utiliser un autre protocole appelé : OTR (lien).

Explication rapide de son fonctionnement : C’est un protocole qui assure l’authenticité (savoir avec qui on parle), deniabilité (après la discussion personne ne peut prouver qui de deux personnes a envoyé les messages) et Perfect forward secrecy (si tu perds ta clé, les discussions du passe ne sont pas compromises). (Si vous n’avez pas tous compris, ce n’est pas très grave, en gros sa fonctionne, mais n’hésite pas à demander à vos copainE geekE de vous expliqué plus en détail)

Et magie, OTR est aussi fourni par les logiciels qu’on vous propose sur le smartphone et sur le PC !

Il ne reste donc plus qu’à configurer les logiciels (ou appli pour les smartphones) pour leur faire comprendre que l’on veut utiliser ces 2 protocoles (chat et chiffrement)

Et le plus beau, c’est qu’il n’y a aucun compte à créer, vous l’avez déjà : votre compte mail !

Allons-y donc pour l’installation et la configuration : (Pas de panique, on a promis que ce serait simple.)

Remarque : on peut aussi utiliser d’autres programmes que ceux que l’on va vous présenter, mais nous avons choisi dans ce tutoriel d’utiliser les applications les plus simples possible à configurer et les plus faciles d’accès en utilisation quotidienne

Sur Smartphone :

Nous avons choisi de vous proposer l’utilisation de ChatSecure, développé par une équipe de développeurs bénévoles qui proposent pas mal d’applications liées à la sécurité sur smartphone : https://guardianproject.info/. Cette application est libre et gratuite.

- Installation :

Sur Android : rendez vous sur le google play, ou téléchargez directement le fichier apk

Sur Iphone rendez-vous ici

(Remarque au fan de la Pomme, désolé, mais les captures d’écran viennent d’Android, mais c’est globalement la même chose)

Une fois installée (comme n’importe quelle application lambda tel le coussin péteur), ouvrez l’application.

Là, on (l’application, pas nous) vous propose si vous le voulez de définir un mot de passe qui servira à ouvrir l’application (comme ça, si vous laisser votre tel sur la table 5minutes personne ne peut ouvrir l’application), si vous avez la flemme, l’appli vous propose de ne pas le faire (mais si vous avez la flemme à ce point-là, vous pouvez aussi arrêter de lire ce tuto)

Vous confirmez le mot de passe, et là on arrive sur un écran comme ceci :

Pas de panique, on ne va pas créer de compte google et même si on (vous) en avez un, on ne compte pas trop sur eux pour tout ce qui est question de sécurité et vie privée (pour rappel, sur simple réquisition d’un juge google donnera tous vos mails à la justice ...) Donc, on fait glisser sont doigt vers la droite et on arrive à ce qui nous intéresse à savoir l’utilisation d’un compte XMPP (jabber).

On rentre donc son adresse mail et son mot de passe :

(En prenant soin pas comme dans l’exemple de ne pas cocher : « mémoriser mon mot de passe »)
On clique sur l’énorme bouton : « Se connecter » et ...... on est connecté au chat avec le protocole XMPP (donc pas encore sécurisé si vous avez bien suivi)

Avec le bouton « + » on n’a plus qu’à ajouter l’adresse mail de ses potes (ou de ses ennemiEs pour les insulter) et on peut chatter !

Une fois l’invitation envoyée et acceptée, on peut commencer dans une fenêtre comme celle-ci :

On sélectionne le petit cadenas en haut à droite, et on choisit : « Chiffrer »

Une fois que les 2 personnes ont accepté la conversation chiffrée, le cadenas se ferme et la conversation est enfin sécurisée :

Bon en faite, il reste un dernier détail, sur le cadenas, une fois que c’est sécurisé on clique sur Empreinte

C’est sur cette étape que l’authenticité de OTR est basée. Afin d’assurer que la personne à l’autre bout de la conversation est bien celle que l’on pense être, il faut vérifier les empreintes par un moyen sécurisé. Ceci peut être coup de fil pour lui dicter les empreintes ou un mail, un bout de papier ou ce qu’on veut ...

Un autre moyen simple pour s’assurer de qui est qui, c’est de définir auparavant une question qu’on va poser a la personne, la bonne réponse nous assurant que c’est bien sont copainE à l’autre bout du (sans) fil !!

Une fois qu’on a vérifié les empreintes ou la question, on peut cliquer sur le bouton pour valider cette personne.

(Si lors d’une tentative de sécuriser vos messages dans une conversation, ChatSecure vous redemande de refaire cette procédure cela veut dire qu’il/elle a changé de réseau et/ou de logiciel et donc il faudra révérifier les empreintes.)

Remarque :

Dans les paramètres, dans « Chat Encryption », choisir l’option « Tenter automatiquement » pour que le chiffrement se lance automatiquement

Sur PC / Pidgin :

Dans ce tuto on vous propose Pidgin, car c’est celui que l’on trouve le plus simple et qui fonctionne de la même manière avec GNU/Linux, Windows ou OSX (mac).

Windows : Rendez-vous sur ce lien pour télécharger Pidgin ,puis installé le de manière classique. Il faut ensuite télécharger le plugin OTR lien qui n’est pas de base.

Pour GNU/Linux, installer juste pidgin, OTR en fait déjà partit (debian/ubuntu : sudo apt-get install pidgin) .

La suite du tutoriel est valable pour Windows et pour GNU/Linux..

Après l’installation on lance le logiciel et on se retrouve sur l’interface graphique pour ajouter un compte !

Comme on la dit, votre identifiant ; vous l’avez déjà, c’est votre compte mail Riseup, Autistici. Il vous sert comme identifiant dans le champ « utilisateur » et « mot de passe » en choisissant bien comme protocole « XMPP ».

On clique sur ajouter et puis on se retrouve dans l’interface principale de pidgin.

Ensuite il faut activer le plugin OTR pour pouvoir chiffrer les conversations. Pour effectuer ceci, on clique sur « Outils » et on choisit : « Plugins ».

Puis on cherche dans la liste « Messagerie Confidentielle Off-The-Record » et on l’active en cochant la casse. Ensuite on le sélectionne et on clique sur le bouton pour configurer et on s’assure d’avoir croche les options pour avoir des conversations privées, d’initialiser automatiquement des conversations privées et de ne pas garder l’historique.

Pour ajouter un contact il faut cliquer sur « Contact » puis « Ajouter contact », et puis on y ajoute l’adresse email de nos potos.

On y est !! Il reste plus qu’a vérifier quelques paramètres pour rendre le logiciel encore plus sécurisé !

En choisissant « Options » puis « préférences » on arrive aux paramètres et dans l’onglet historique il vaut mieux tout décocher, pour ne pas avoir de l’historique.

Maintenant on peut commencer une discussion en double cliquant sur un contact. Et on retrouve l’interface :

Dans la capture d’écran, vous pouvez voir une discussion non chiffrée. Pour reconnaître celle-ci, il suffit de voir l’état de la discussion en bas à droite ! Si l’on clique sur le bouton, on initialise la conversation chiffrée (si on a mis chiffrement par défaut on aura pas besoin de faire ceci).

On attend que l’autre clique aussi et là on a des messages pour authentifier cette personne. Ceci veut dire qu’on doit s’assurer que la personne avec qui on parle ne prétend pas d’être un autre.

On clique en bas à gauche sur authentifier la personne et là on a la possibilité de choisir 3 options :

Par exemple l’empreinte, il suffit d’appeler la personne avec qui on parle pour lui dicter les empreintes qui sont apparues ou bien trouver un autre moyen, ou définir auparavant une question/réponse pour s’assurer l’authenticité.

Cette démarche d’authentification doit être refaite, dans les cas où :

La personne a changé sa clé privée
La personne a changé de logiciel
La personne a changé de réseau internet

Dans tous les cas, il ne faut absolument pas cliquer bêtement sur l’authenticité sans vérifier l’empreinte ou la question/réponse. Ceci risque de mettre en danger tout le protocole et rendre votre discussion non sécurisée.

Les limites de OTR

Bien que le protocole OTR est un très bon principe pour sécuriser une conversation avec une autre personne, il ne peut pas sécuriser une discussion avec un groupe des contacts. Si votre but est de parler a plusieurs (>2) ce tuto finalement ne vous sert a rien mise à part le fait que vous sachiez comment utiliser Pidgin et ChatSecure !

Toute la sécurité de OTR se base sur le pouvoir qu’on peut s’assurer, avec un moyen sécurisé, vérifier l’identité de la personne avec laquelle on discute. C’est pour cela qu’il est super important de se mettre en accord avec une méthode de vérification (empreinte ou question/réponse) et de ne pas utiliser des endroits publics (comme un irc public) pour s’échanger les empreintes.

Votre opérateur internet peut savoir si vous utilisez cet outil puisque vous êtes connectés sur le serveur XMPP, mais il ne peut pas savoir avec qui vous parlez. Il faut être conscient que OTR n’offre pas de l’anonymat.

Encore plus de sécurité

Comme on vient de préciser que OTR n’offre pas d’anonymat, vous trouverez par la suite quelques éléments pour sécuriser encore plus vos discussions.

XMPP avec TOR

Riseup offre aussi une possibilité de se connecter sur leur serveur XMPP avec TOR par l’intermédiaire de cette adresse 4cjw6cwpeaeppfqz.onion sur les ports 3478, 3479, 5190, 5222, 5223, 5269, 7777. Cette adresse risque de changer entre temps (et en plus vous ne devez pas nous faire si confiance !) alors vous pouvez à tout moment la récupérer ici. Pour configurer Pidgin, vous pouvez consulter ce guide.

XMPP avec VPN

Rien à configurer spécialement. Il faut trouver un VPN de confiance. Encore une fois Autistici ou Riseup en offre. Gardez en mémoire que ces services sont assez coûteux donc ne les utilisez pas pour télécharger vos films et pensez a offrir de l’argent quand vous le pouvez. https://help.riseup.net/fr/about-us/donate http://www.autistici.org/fr/donate.html

Orbot

Sur Android vous pouvez avoir TOR par l’application Orbot

Une liste complète avec tous les logiciels qui ont par défaut OTR ou bien on peut l’installer via des plugins se trouve sur ce lien

The_Invisible_Wire_Squad

P.-S.

*V1 : Ce tutoriel est intitulé V1 car il sera mis à jour au fur et à mesure de vos retours d’expérience ! N’hésitez pas à publiez des commentaires !

Groupes associés à l'article

The_Invisible_Wire_Squad

the_invisible_wire_squad@autistici.org

Compléments d'info à l'article

Proposer un complément d'info

Le 7 décembre 2014 à 10:07, par klorydrk #

Info légèrement incomplète sur Textsecure, qui propose un format de SMS data, évitant donc le problème des « fadettes ».
Le 6 décembre 2014 à 11:18, par #

Trop de boites mail (y compris des trés sensibles) n’ont pas de clé publique PGP sur les annuaires de clés.
Le 5 décembre 2014 à 15:25, par Volte #

L’EFF, une association américaine qui défend le droit à la vie privée, a récemment publiée une page des principaux outils de communications censés être sécurisés et ce qu’il en est vraiment. C’est en anglais mais, rassurez-vous, c’est sous forme de tableau et pas bien compliqué à comprendre. Lien ici : https://www.eff.org/secure-messaging-scorecard

J’ajoute, en ce qui concerne riseup, que même si je trouve l’initiative excellente, le fait qu’ils soient hébergé aux Etats-Unis et donc soumis à la législation sur place peut poser problème quant à la charte qu’ils entendent faire respecter... Il faut savoir que d’autres solutions existent, à vous de chercher :)

Enfin, si vous souhaitez réellement sécuriser les données qui sortent de votre Iphone il faudrait d’abord commencer par changer de téléphone. C’est un peu la même chose pour android mais en moins pire car le root (et donc le contrôle partiel des données envoyées) est plus facilement faisable. Sachez enfin que Firefox a sorti un OS pour téléphones plus respecteux de la vie privée que ses principaux concurrents, il n’y a pas encore d’applications de simulations de prouts et de rots m’enfin, faut savoir ce qu’on veut dans la vie ;)

Publiez !

Comment publier sur Rebellyon.info?

Rebellyon.info n’est pas un collectif de rédaction, c’est un outil qui permet la publication d’articles que vous proposez. La proposition d’article se fait à travers l’interface privée du site. Quelques infos rapides pour comprendre comment être publié !
Si vous rencontrez le moindre problème, n’hésitez pas à nous le faire savoir
via le mail contact [at] rebellyon.info

Derniers articles du groupe « The_Invisible_Wire_Squad » :

>Flouter directement ses photos avec Signal Messenger

La quasi généralisation du port de masques dans les manifestations permet d’améliorer la sécurité de tout le monde face aux caméras. Pour autant, le matraquage permanent des smartphones rend la micro seconde d’inattention à enlever son masque extrêmement dangereuse. Pour parer (un peu) à cela,...

>Comment s’organiser en ligne ? Une brochure pour lutter !

En peu de temps, le virus Covid-19 a complètement changé l’organisation de nos luttes. L’incertitude est grande, personne ne sait ce qui nous attend ensuite. Une chose est sûre, les plus précaires sont toujours plus exploité·es et l’étau sécuritaire se ressert encore plus. Face à cela,...

>Comment taper facilement le point médian pour féminiser ses textes

Féminiser ses textes c’est top, et y’a plein de manières de faire. Après le « -e » ou le « E » majuscule, de plus en plus de personnes utilisent un signe spécifique, le point médian « ·e ». Une solution intéressante mais pas évidente sur tous les claviers. Quelques explications.

› Tous les articles "The_Invisible_Wire_Squad"

Derniers articles de la thématique « Tutoriels Sécurité Informatique » :

>Proton Mail et Wire : collabos comme les autres

Ou pourquoi on doit arrêter d’utiliser les services de Proton pour les trucs répréhensibles et préférer des alternatives anarchistes et autogestionnaires.

>Jeudi 26 Octobre : vie privée vs « technopolice »

Des rendez-vous pour échanger et se former aux bonnes pratiques numériques pour protéger sa vie privée contre le capitalisme de surveillance et la criminalisation de l’activisme.

>Samedi 14 Octobre : Découvrir les logiciels libres

Nous sommes encore trop nombreux à avoir des pratiques numériques en conflit avec nos valeurs. Bien qu’il n’existe peut être pas de numérique « responsable » ou « sobre », il y a au moins un numérique qui préserve nos libertés et notre indépendance vis à vis des géants du numérique (Big Tech ou...

› Tous les articles "Tutoriels Sécurité Informatique"

Prochains rendez-vous

jeudi 21
Féministes contre l’armement et le génocide en Palestine...
19h00
jeudi 21
Boxe avec l’Amicale du Combat Libre
19h00
vendredi 22
Soirée projection-débat, en soutien à la Kanaky et aux...
18h00
vendredi 22
Le Soulèvement du ghetto de Gaza — rencontre avec Adi Callai
18h30
vendredi 22
Projection « Ne vivons plus comme des esclaves » 22...
20h00
samedi 23
Fête à la ZAD du Nichoir (Ardèche)
Toute la journée

Afficher tout l'agenda

Fil d'infos

Brèves Logement / Squat

[Toulouse] Rachetons collectivement La Chapelle, ancien squat toulousain !

Publié le 21 novembre

A lire sur d’autres sites Migrations / Sans-papiers

[Brochure] La bataille de Kenmure Street, ou comment les habitant-e-s de Glasgow ont déjoué les services de l’immigration

Comment les habitant-e-s de Glasgow ont déjoué les services de l’immigration

Publié le 21 novembre

Racismes / Colonialismes

Manifestation ce samedi 23 novembre 2024 à 15h00 place Bellecour

L’ONU a fait du 25 novembre la journée internationale « pour l’élimination de la violence à l’égard des femmes ».
Le Collectif Droits des Femmes 69 organise une manifestation unitaire ce samedi à Lyon « contre les violences sexistes et sexuelles ».
Le Collectif 69 Palestine appelle à rejoindre cette manifestation.

Publié le 20 novembre

Aménagement du territoire / Urbanisme / Transport

Rassemblement No TAV gourmand et sportif sur les quais du Rhône - 24 nov de 14.30 à 17h

Un événement revendicatif pour soutenir une lutte radicale et anti capitaliste qui irrigue notre territoire - tournée de Volley ball avec des lots à gagner - et des bonnes crêpes pour se sustenter.
Avec en invités surprises les syndicalistes locaux ! Berges du Rhône, au niveau de l’université Claude Bernard.

Publié le 20 novembre

Analyse et réflexion Répression policière

« Permis de tuer » : l’ONU rappelle Retailleau à l’ordre

Dans ses observations finales publiées le 7 novembre, le Comité des droits humains de l’ONU s’est dit « gravement préoccupé » par les effets de la loi Cazeneuve de 2017 et demande à la France de « réexaminer » le cadre juridique de l’usage des armes.

Publié le 20 novembre

Aménagement du territoire / Urbanisme / Transport

1re Critical Mass de Lyon - le vendredi 29 novembre

Une coïncidence cycliste arrive à grands coups de pédales à Lyon. Un collectif sans hiérarchie, poussé par l’envie de voir une Critical Mass parcourir les rues de la ville, occupant l’espace public de manière conviviale et festive, vous invite le vendredi 29 novembre à nous rejoindre Antonin Poncet (Bellecour) à 19h00 pour une sortie libre. Cette coïncidence se reproduira chaque dernier vendredi du mois, même lieu, même heure. Apportez vos lumières, casques si vous le souhaitez, et votre moyen de transport décarboné.

Publié le 20 novembre

Migrations / Sans-papiers

Rassemblement pour le respect des droits des mineur-es ce 20 novembre à 17h00

A Lyon, environ 250 mineur-es isolé-es survivent dans la rue ou dans des squats en attendant de voir un juge des enfants pour faire reconnaitre leur minorité. 80 % d’entre elles et eux seront reconnus mineur-es après de longs mois de procédure.

Publié le 19 novembre

Brèves Justice / Enfermements

Appel à soutien aux militantes de Riposte Alimentaire - Procès 19/11 à 13H30 Cour d'appel

Publié le 19 novembre

Analyse et réflexion Surveillances / Fichages

Au mouvement anarchiste international : trois propositions de sécurité

Dans ce texte, on fait trois propositions que le mouvement anarchiste international pourrait prendre en compte dans les prochaines années pour permettre aux anarchistes de continuer à attaquer tout en limitant leurs chances de se faire prendre.

Publié le 19 novembre

A lire sur d’autres sites Capitalisme / Consumérisme

Quelques entreprises responsables de la colonisation française aux Antilles et en Kanaky à trouver en métropole [version Mise à jour]

Publié le 19 novembre

Extrême-droites / Réactionnaires

Appel à un contre rassemblement antifasciste à Romans sur Isère le 30 Novembre

Contre rassemblement antifasciste le 30 novembre 2024 à 14h à Romans sur Isère

Publié le 19 novembre

Résistances et solidarités internationales

Féministes contre l'armement et le génocide en Palestine : appel à coordination ce jeudi 21 novembre à l'Atelier des Canulars

Suite à l’appel initié par l’Assemblée féministe Paris-Banlieue contre l’armement en Israël et pour la fin du genocide en Palestine, des manifestations sont organisées à Paris, Marseille, Nice et Bordeaux tous les 8 du mois pour « rythmer cette lutte et l’inscrire dans la durée ».

Publié le 18 novembre

Logement / Squat

L'île égalité fête ses 4 ans !

Après un procès, quelques inondations, des dizaines de soirées de soutien, des centaines d’heures d’activités gratuites et encore plus de réunions, on est toujours là.
Amixs de l’île, rendez vous le 23 novembre pour une soirée festive !

Publié le 18 novembre

Écologie / Anti-productivisme

Mines de lithium, ni ici, ni ailleurs ! Stop à l’extractivisme et au techno solutionnisme ! Rencontre le 25 novembre

Rencontre avec Stop Mines 03 (Allier) lundi 25 novembre à 19 h à la Maison de l’Écologie dans le cadre de la tournée régionale organisée par la CRAAM

Publié le 18 novembre

Genres / Sexualités

Manif le samedi 23 novembre pour la journée internationale de lutte contre les violences sexistes et sexuelles !

Comme chaque année, le 25 novembre est l’occasion de mettre en avant les violences sexistes et sexuelles en France et ailleurs dans le monde. Cette année, le Collectif Droits des Femmes 69, organise une grande manifestation contre les violences sexistes et sexuelles à partir de 15h au départ de la place Bellecour à Lyon samedi 23 novembre.

Publié le 18 novembre

Afficher d'articles