Diffusée le 26 avril 2015.

Présents : Pierre, Antonin

Vous pourrez réagir en direct

• sur IRC : http://webchat.freenode.net/ canal #chtinux
• au téléphone : 03 20 91 24 00 (pendant les pauses musicales)
• @echodesgnous sur Twitter

• La protection de l'utilisateur sur ordinateurs et appareils mobiles

Protection “matérielle” évidente, car le “matériel” reflète la personnalité de l'utilisateur.

Enregistrement de tous ses effets personnels et confidentiels.

L'utilisateur doit s'assurer de la bonne conformité de son espace personnel (dans son ordinateur, son mobile, sa tablette, etc…), sans que des logiciels tiers ou personnes malveillantes puissent y accéder.

Il ne faut pas oublier que l'utilisateur doit s'assurer d'utiliser des matériaux externes connus comme une clef USB. En effet, l'accès physique a un péripherique permettant très facilement d'en extraire les donnees, meme protégées par des mots de passe…

Combien de logiciels sont lancés sur votre machine avant le premier logiciel que vous ne contrôliez vraiment ?

Pouvez-vous faire confiance à votre carte graphique ? À votre carte réseau ? Où s'arrêtent les logiciels embarqués dans chaque composant ?

Peut-on faire confiance à «l'informatique de confiance» ?

Le système d'exploitation est le premier logiciel lancé après l'amorçage de la machine.

Il permet d'utiliser de façon optimale (normalement…) les capacités de la machine par des logiciels applicatifs.

Mais que fait-il réellement de nos ressources ? Sommes-nous sûr que, par exemple, l'indexation de nos fichiers est bel et bien stocké dans notre disque dur de façon sûr, et non pas transféré sur un serveur quelconque? Sommes-nous sûr que des applications (par défaut) ne surveillent pas l'utilisation de logiciels quelconques, tels que les navigateurs Web, la messagerie, etc… ?

Il est nécessaire de se poser de nombreuses questions sur les logiciels utilisés dans la vie de tous les jours :

• Quel est l'accès de ce logiciel à mes données personnelles ?
• Qu'en fait-il réellement ? (Mine-t-il du Bitcoin malgré nous…?)
• Si ce logiciel vient à disparaître, pourrais-je encore accéder à mes données par la suite ?

Nous ne sommes sûr de rien quant aux logiciels tiers. Ainsi, il est beaucoup plus intéressant de se pencher sur des logiciels libres, ayant les mêmes fonctions que les logiciels tiers.

Parfois, l'utilisation de logiciels de confiance ne suffit pas - aussi, il peut s'avérer qu'un logiciel de confiance à un instant t ne l'est plus à un instant t+1 (ex: Lenovo superfish).

Que se passerait-il si l'on vous vole votre ordinateur personnel, contenant des données confidentielles sur le disque dur? Ou encore votre téléphone, contenant vos mails, messages textes, accès aux comptes d'application tiers, etc…? Pour les anglophones, une vidéo amusante sur le renseignement...

Il est ainsi nécessaire de se protéger contre ce genre de vol de données - par le passage de “portes de sécurité” (mot-de-passe, schéma, etc…) et par la cryptographie.

La cryptographie est présente chaque jour, afin de s'assurer que seulement soi a le droit de consulter ses données. Contrairement aux idées reçues, il n'est pas difficile d'utiliser la cryptographie à bon escient!

De nombreux logiciels font de la bonne cryptographie pour le chiffrement des données, et un système d'exploitation axé grand public (comme Ubuntu) permet maintenant de le faire en cliquant simplement sur un bouton !

L'accès à la cryptographie est aussi disponible sur mobile et tablette via des applications libres permettant de chiffrer ses mails, ses sms, etc…

Il est quotidien de télécharger des applications sur les appareils mobiles.

Mais même s'il s'agit de petits jeux ou de grosses applications, est-il primordial de leur donner un accès privilégié à nos appareils ainsi qu'à nos données?

En effet, il est assez aisé de trouver, par exemple, sur la plateforme de téléchargement Android une application pouvant obtenir un accès incompréhensible sur la carte mémoire, le bluetooth, les SMS, etc. Leur donner un accès privilégié et illimité à notre appareil est dangereux pour la sécurité de celui-ci, et de nos données.

Une petite application 'jeux' peut-elle se permettre d'accéder à notre microphone quant elle veut, alors qu'elle n'utilise pas cette fonctionnalité dans ce jeux même? Pour en faire quoi?

Aussi, une application mal sécurisée partageant des ressources communes avec une autre application peut amenée à laisser filtrer des informations personnelles sans que l'utilisateur s'en aperçoive. Il est habituel de voir cela pour améliorer les produits, mais les données collectées sont-elles anonymes?

Il faudra bien faire attention aussi aux applications demandant de plus en plus de permissions au fur et à mesure des mises-à-jour, et de privilégier les plateformes de téléchargement officielles (PlayStore, AppStore, F-Droid, …) et de vérifier le nom de la compagnie ou de l'auteur.

Un navigateur web permet, pour la plupart des cas, quelques extensions pour le personnaliser. Cette personnalisation devient très intéressante quant il s'agit d'augmenter sa sécurité et sa vie personnelle sur le web.

En effet, de nombreux sites internet essaient de pister ses utilisateurs afin de pouvoir proposer de la publicité ciblée. Ou alors, comment savoir exactement si un site internet est “de confiance”?

La personnalisation de son navigateur passe par des extensions. Il pourra être sympathique de télécharger et installer quelques modules comme WoT (ce site est-il “de confiance”?), un bloqueur de publicité (pour la publicité ciblée et intrusive), Firebug (permettant de regarder le code source du site internet et des scripts JavaScript), NoScript (supprime le déclenchement de tout script JavaScript), HTTPSEverywhere, etc.

Bien entendu, il est nécessaire de vérifier par qui a été développé l'extension, et d'en vérifier le contenu - tout comme les applications mobiles.

Certains sites internet tiers ou certaines plateformes peuvent centraliser toute information.

Aujourd'hui, il est nécessaire d'encourager la décentralisation!

De nombreuses alternatives décentralisées existent pour les sites tiers à grande influence : ownCloud (concurrent de GoogleDrive, SkyDrive, Dropbox), disapora (un réseau social décentralisé, concurrent de Facebook directement), twister (Twitter version P2P), …

D'autres alternatives (Francophones) ici : http://degooglisons-internet.org/.

Et nos mails?

Nous utilisons de plus en plus des plateformes web pour rédiger, modifier, supprimer ou archiver nos mails (ex : Gmail). Mais de nombreuses alternatives existent permettant de mieux gérer son compte Mail : les clients Mail.

Les plus connus sont bien évidemment Thunderbird, Evolution, Mail (MacOS), Outlook (Microsoft Windows), etc.

Il pourra être intéressant de chiffrer ses mails lors de conversations très privées voire confidentielles. Pour cela, de nombreuses applications existent, utilisant des systèmes de chiffrement à clef publique comme GnuPG. Exemple pour Thunderbird : Enigmail.

Afin de s'assurer d'un certain “anonymat” sur Internet, des alternatives (très) connues comme Tor ou encore VPN (avec OpenVPN) existent.

Tor : http://lehollandaisvolant.net/tuto/tor/