Pour la prochaine chiffrofête, j'ai préparé quelques slides. La "protection de sa vie privée et de ses données personnelles" va bien au delà de la compréhension, de l'usage et de la maitrise de logiciels. Je vous propose d'aborder à travers différents thèmes, différentes problématiques, que je soumets à votre réflexion. Et qui vous montreront quelques points à considérer, à approfondir...
Les slides Source LaTEX/Beamer + pdf sont disponibles sur https://github.com/genma/Chiffrofete_Divers_elements_de_reflexions
le pdf peut être téléchargé ici

This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.

Cette page se veut une vulgarisation/explication pédagogique et est donc accessible à tous.

Qu'est ce que le https? Un peu de vulgarisation

Quand on se connecte à un site web de façon sécurisé, on vérifie qu'il y a bien le "cadenas" dans la barre d'adresse, ou un "s" au niveau du httpS. Une extension commerce HTTPS Everywhere permet de ne pas à se préoccuper de la saisie de la bonne adresse, L'extension Certificate Patrol permet de valider quele certificat qui est utilisé pour établir la connexion sécurisé est le bon...

HttpS permet que, lorsque l'on se connecte à un site web, de créer un tuyau crypté chiffré entre notre ordinateur et le site web, et les identifiants et mots de passes ne circulent pas "en clair", ne peuvent être vus par un attaquant ou quelqu'un qui surveille le réseau (principe du chiffrement d'une connexion).

Différentes initiatives permettent d'aller plus moins et de renforcer notre propre sécurité.

Le site ssllabs

Le site ssllabs https://www.ssllabs.com/ssltest/ permet, quand on lui donne l'adresse d'un site, de déterminer la qualité du cadenas/de l'https que fournit ce site quand on utilisera une connexion sécurisée sur ce site. Ce site analyse donc la façon dont le "https" a été implémenté et attribue une note de F à A, en donnant le détail (pour les plus techniciens) sur le pourquoi de cette note. Cela donne par exemple pour un bon site, https://www.imirhil.fr/

Aeris et sa page qui liste

Aeris a pris le temps de tester différents sites allant de serveurs personnels, des Webmails, mais aussi les sites des banques en ligne, des Sites de commerce en ligne, des sites de l'Administration française et a regroupé l'ensemble de ces notes (avec le détail) sur une page https://www.imirhil.fr/ssl.html.

Cette page est très intéressante car on peut y voir, même si on ne comprend pas tout, que beaucoup de banque ont des notes de C, voir F, ce qui montre que le cadenas que ce sites de banque mettent en place est un cadenas de très faible qualité. Ces banques devraient faire le changement rapidement pour la sécurité des connexions de leurs clients. Le cadenas ne suffit pas et ne sert à rien si il est de faible qualité (quand l'attaquant a les connaissances suffisantes)

Le site Jeveuxhttps.fr

Comme la mise en place d'Https pour un site n'est pas forcément quelque chose de simple, qu'il faut avoir des connaissances en administration système, un site a été mis en place pour apporter des tutoriaux et des explications afin de pouvoir mettre en place "une connexion https de qualité sur son site" (les banques qui ont des notes entre C et F devraient demander à leurs équipes informatiques d'aller voir ce site). Ce site c'est https://www.jeveuxhttps.fr/

Ce site a été créé et son contenu initial édité par Benjamin Sonntag et Skhaen, aidés depuis par de nombreux d'autres. Son but est de favoriser et développer l'utilisation de HTTPS pour tous les sites web, en convaincant les webmaster et administrateurs système d'y passer, et en les aidant à le mettre en œuvre. Le but est aussi d'inviter les hébergeurs à mettre à disposition HTTPS de série dans leurs offres.

A consulter pour apprendre des choses, mettre en place https sur son propre site.

Conclusion

J'espère que ce billet vous aura appris des choses, vous aura sensibiliser à d'autres (Le cadenas ne suffit pas pour être en sécurité sur un site, voir la note des sites de banques - on rajoute une couche/on enfonce le clou). Et pour aller plus loin, je vous invite à lire mes différents billet taggués https, et en particulier Man in the middle par l'Entreprise.

Enfin, oui je sais que ce site n'est pas en https. Car ce site est sur les pages persos de Free. Et Free ne propose pas de certificat SSL et ne permet pas de déposer un certificat que l'on aura pu créer soi-même sur le serveur, vu que l'on a aucunement accès à la configuration d'apache. Si l'on veut avoir un accès https à son serveur, on se tournera donc vers des solutions autres, auto-hébergement ou un vrai hébergement et ce n'est pas encore prévu pour l'instant :-(

Rq : Les noms et pseudos ont été changés pour la rédaction du billet.

J'ai reçu un mail et dans mon mon webmail (Zimbra, chez Free.fr) cela s'affichait Expéditeur :"jean dupont" " Au nom de : Lapinou38". Quand je faisais "répondre à l'expéditeur", c'était bien l'adresse mail lapinou38@gmail.com qui était l'adresse du destinataire.

Le pourquoi

J'ai donc contacté Lapinou38 et lui ai demandé s'il saurait m'expliquer le pourquoi du comment, la raison pour laquelle son nom (et son adresse mail associée) était apparu en tant qu'expéditeur d'un mail envoyé via l'adresse mail associée à son pseudonyme.

Sa réponse a été qu'il est possible de collecter plusieurs comptes mail via un seul et même compte gmail. Ensuite, quand on répond à un mail, on choisit "répondre en tant que". Dans son cas, il a "répondu en tant que lapinou38", via sa boîte "jeandupont@gmail.com".

Dans quels autres cas cela peut arriver ?

Sur son smartphone par exemple, ou dans son courrielleur (Thunderbird, Outloook), il est possible de gérer plusieurs comptes mails en même temps. On retrouve également cette possibilité de "répondre en tant que". Il est donc important de se méfier.

Et en quoi cela est-ce un problème ?

J'ai pu apprendre que derrière Lapinou38 se cachait en réalité "Jean Dupont". Dans certains cas, et plus particulièrement dans le cadre d'un pseudonymat, cela peut être une erreur regrettable, vu que la véritable identité de la personne est dévoilée. Est-il nécessaire d'en dire plus.

Pour finir

Je reprendrai le conseil de Lapinou38 normalement pour éviter ce genre de confusion, il préconise l'utilisation de session/utilisateurs simultanés sur un ordinateur sous Linux (donc avec /home spécifiques, profil Firefox et Thunderbird différents, le tout étant donc cloisonné).. A suivre, pour éviter ce genre d'erreurs ;-) (Sachant que l'on en commettra une autre à un moment ou à un autre, comme cela a été évoqué ou sera évoqué dans différents articles.

Souvent quand je fais de la veille technologique, je publie les liens sur les réseaux sociaux (twitter essentiellement). Il peut être intéressant de conserver une trace de ces liens d'où le fait d'avoir mis en place un Shaarli.

Le problème est que je n'ai pas le réflexe de "marquer" tous ces liens qui sont potentiellement intéressant. Je vais essayer de conserver et de tagguer plus régulièrement dans le Shaarli les liens vers des articles que je souhaiterais évoquer quand j'anime des chiffrofêtes/café vie privée/cryptopartie.

Je trouve que cela sera plus pertinant (et c'est aussi plus rapide/pratique pour moi) que de faire un billet listant tous les liens (une sorte de en vrac, à lire, bilan de la semaine ou autre, comme il en existe parfois sur d'autres blogs).

Pensez donc, soit à consulter la page correspondante contenant les articles que je retiens : http://genma.free.fr/shaarli/?searchtags=chiffrofete ou alors abonnez-vous au fil RSS
http://genma.free.fr/shaarli/?do=rss&searchtags=chiffrofete

A noter que Shaarli fournit également un fil RSS non filtré par mot clef disponible ici
http://genma.free.fr/shaarli/?do=rss.

FACIL, pour l'appropriation collective de l'informatique libre (FACIL), a lancé un projet de clef USB proposant différentes distributions Linux en multiboot (http://goteo.org/project/cle-facil/?lang=fr). Parmi les différentes distributions, il y a Tails.

L'équipe de Tails a été informée de ce projet par un des créateurs et
Sajolida sur la mailling-liste de Tails, a écrit un texte exprimant les réserves de l'équipe de Tails quand à ce type d'initiative. Les propos m'ont semblé intéressant à partager, je mets donc le texte original ainsi que sa traduction en français.

Le mail de Sajolida

Unfortunately, it is currently very difficult for a user to be able to verify the authenticity of Tails once installed on a USB stick. As security is meant to be used as a very secure environment, we believe that distributing preinstalled version of Tails is currently pretty much incompatible with our mission.
See https://labs.riseup.net/code/issues/7269.

Plus, be very careful in the way that you boot from the ISO as the set of command line arguments passed to the live system can completely break some of the security built in Tails. So in case of doubt, ask us for a review of your code.

I also understand that people won't be able to create a persistent volume on this USB stick. Which is a very popular feature of Tails, and pretty much needed if you want to do serious stuff with it. See https://tails.boum.org/doc/first_steps/persistence/

All in all, I think that you should make it clear on your product that the version of Tails included should only be used for testing and educational purpose but shouldn't be relied upon for security.

La traduction

Malheureusement, il est actuellement très difficile pour un utilisateur d'être en mesure de vérifier l'authenticité de Tails une fois que celui-ci est installé sur une clé USB. Comme Tails est destiné à être utilisé comme un environnement très sécurisé, nous pensons que la distribution d'une préinstallée de Tails est actuellement incompatible avec notre mission. Voir https://labs.riseup.net/code/issues/7269.

De plus, il faut être très prudent dans la façon dont vous démarrez à partir de la ISO, car l'ensemble des arguments de la ligne de commande passés au système au lancement peut complètement casser une partie de la sécurité intégrée dans Tails. De ce fait, en cas de doute, vous pouvez nous demander une revue de votre code.

Je comprends aussi que les gens ne seront pas en mesure de créer un volume persistant sur cette clé USB. C'est pourtant une fonction très populaire de Tails, et qui est nécessaire si l'on veut en faire un usage sérieux.. Voir https://tails.boum.org/doc/first_steps/persistence/.

Dans l'ensemble, je pense que vous devriez préciser sur votre produit que la version de Tails inclus ne doit être utilisé que pour des tests et dans un but éducatif, mais ne doit pas être utilisé dans un contexte de sécurité.

Pour comprendre, réfléchir et aller plus loin

En quelques lignes et via un mail, on voit que la sécurité, ce n'est pas si simple que ça. Que c'est quelque chose de complexe et qu'il ne suffit pas d'installer et de lancer Tails pour être en parfaite sécurité. Car est-on sûr de la version de Tails que l'on utilise ? A-t-on vérifié son intégrité ? (voir à ce sujet Comment vérifier l'intégrité d'un fichier que l'on télécharge ? ou encore Comment vérifier l'intégrité du TorBrowser quand on le télécharge ?).

Tails n'est pas figé, évolue régulièrement, des failles sont découvertes et corrigées.

Tails n'est qu'une brique dans un ensemble de règles de sécurité. A-t-on confiance dans le matériel qu'on utilise (le clavier peut enregistrer la frappe au niveau matériel, c'est pour cela que Tails propose un clavier virtuel). Quels sites va-t-on consulter ? Se connectera-t-on avec son identifiant qu'on utilise dans d'autres conditions (dans le cas d'un pseudonymat par exemple).

Ce sont toutes ces questions (et bien d'autres encore) qu'il faut se poser. Il faut chercher à comprendre, toujours plus en apprendre, ne rien laisser au hasard. Oui, c'est compliqué. Mais la sécurité est à ce prix. Et on fera forcément une erreur. On en fait toujours. Mais essayons de le les minimiser.