PROJET AUTOBLOG

Le Blog de Genma

source: Le Blog de Genma

⇐ retour index

Comment je suis devenu un animateur de Café vie privée ?

jeudi 1 janvier 1970 à 01:00

La genèse

En juin 2013, les révélations que faisait Edward Snowden au monde était comme une sorte de révélation pour moi.

Cela faisait quelque temps que je m'intéressais aux techniques de chiffrements, j'avais essayé Tor, GPG, j'utilisais TrueCrypt au quotidien, mais pour moi, le chiffrement était quelque chose de réservé aux hacktivistes qui eux, avaient des choses à cacher. Pourtant, depuis des années, j'officiais et je continue d'officier sur Internet sous couvert de pseudonymat, gérant au quotidien ce que j'appelle l'Identité numérique, rédigeant des articles sur le sujet et n'hésitant pas faire des billets de réflexions comme Supprimer l'anonymat des blogueurs ?. J'avais donc bien des choses à cacher, ayant une vie de plus en plus publique sur le web via ce blog et les réseaux sociaux, tout en choisissant ce que je voulais publier diffuser ou garder précieusement pour moi. Mon identité civile était et reste décorrélée de mon identité de Genma, même si je me pose la question duPseudonyme et nom d'usage, à savoir mettre mon pseudonyme sur ma carte d'identité pour le faire reconnaitre.

Les révélations que faisait Edward Snowden donc, me montrait que nous étions tous sur surveillance et que ce n'était pas le scénario d'un mauvais film de science-fiction ou le délire de quelques paranoïaques, mais bel et bien une réalité quotidienne. Et j'en étais indigné, outré, choqué. En septembre 2013, je me lançais dans une série d'interview de différentes personnes dont j'avais vu des conférences à Pas Sage en Seine, avec des questions sur le chiffrement... Tout ce cheminement, mes propres réflexions sur le sujet, ma volonté de partager mes connaissances et celle d'en apprendre plus sur le chiffrement et la sécurité en générale, et la lutte contre la surveillance généralisée, m'ont menée à co-animer des café vie privée...

Génèse des cafés vie privée

En octobre 2013, Amaelle Guiton présentait la naissance des Café vie privée sur son blog, Café vie privée auquel j'allais assisté. Puis en novembre 2013 eu lieu une Ubuntu Party durant laquelle, pendant deux jours, nous avons mené un certain nombre d'ateliers autour de la vie privée, sous la bannière Prism Break.

Et maintenant

J'écris de plus en plus de billet taggué avec le mot clef chiffrement, je mets en ligne tous les supports de conférences et ateliers que je suis susceptible de faire. Et surtout, depuis qu'à eu lieu le premier Café vie privée, avec le petit groupe qui s'est formé, et à force de communiquer, nous avons atteint un rythme de croisière d'au moins une chiffrofête par mois. Et donc, mois après mois, je participe régulièrement à ce que nous avons nommé les chiffrofêtes ou les café vie privée ou les cryptoparties, termes utilisés selon l'humeur du moment et la communication que nous faisons via les réseaux sociaux, Twitter essentiellement (Pour avoir une présentations plus complète des chiffrofêtes / café vie privée, je vous renvoie vers mon articleCafé vie privée, chiffrofêtes, cryptoparties).

D'autres personnes ayant participées à ces évènements veulent en faire à leur tour, se lancent dans leurs organisations et nous sollicitent pour venir donner un coup de main. Le concept de cryptopartie et le terme de chiffrofête sont libres. N'importe qui peut initier/se lancer dans ce genre d'évènement, il suffit d'un lieu, de réunir des personnes et de parler de vie privée et des logiciels associées (Tor, GPG, OTR etc.). Il ne faut pas oublier que la sécurité reste complexe et que plus on voudra quelque chose de fiable, plus ce sera complexe. Et qu'il ne faut pas créer de faux sentiment de sécurité ; et ne pas oublier que celle-ci reste relative. (Sur ce point important, je ferai un billet dédié prochainement je pense).

La multiplication de ce genre d'évènements

Ce que je constate aussi c'est que d'autres groupes se lancement dans le même type d'initiative en France, en Europe et dans le monde. Mais surtout qu'il y en a de plus en plus. Pendant longtemps cela était resté des évènements confidentiels du monde des hacktivistes, quelque chose d'un peu underground. Comme je le disais dans l'introduction, je connaissais le principe des Key signing party, je m'intéressais au sujet, mais plus par curiosité. Je n'avais jamais été à ce genre d'évènement. En devenant un co-animateur, en voulant que cela devienne grand public et en n'hésitant pas à communiquer sur le sujet, je participe à la démocratisation qui a lieu. Certes, ce ne sont que quelques évènements par ci par là, mais ils ont le mérite d'exister.

Il y en a eu en Bretagne, organisé par Breizh-entropy, à Marseille, organisée par @cryptomars sur Toulouse, organisée par @CryptoPartyTls et Dascritch, en Belgique, à Amsterdam au Pays-bas... où l'on appelle ça "les Privacy coffee" (on retrouve bien l'idée de démocratisation de la cryptopartie)....

Le mouvement s'arrêtera-t-il comme il est né ? Ou est-il partie pour durer. Seul l'avenir nous le dira. En tout cas, cette diffusion de connaissances, la réappropriation de l'ordinateur, l'apprentissage de son utilisation, de comment fonctionne Internet... Tout cela contribue à l'élévation de la connaissance générale des gens et rien que pour cela, c'est une excellente chose je pense. Et je continuerai donc.

Clef GPG et le certificat de révocation

jeudi 1 janvier 1970 à 01:00

Qu'est ce qu'un certificat de révocation ?

Si vous oubliez votre mot de passe, ou si votre clé privée est compromise ou perdue, ce certificat de révocation peut être publié pour notifier aux autres que votre clé publique ne doit plus être utilisée. On peut toujours se servir d'une clé publique révoquée pour vérifier des signatures que vous avez faites par le passé, mais on ne peut s'en servir pour chiffrer de nouveaux messages à votre attention. Cela n'affecte pas non plus votre capacité à déchiffrer les messages qui vous ont été adressés précédemment, si vous avez toujours accès à votre clé privée. Source Gnupg.org

Créer un certificat de révocation

Avoir une clef GPG, c'est bien. Avoir créer le certificat de révocation associé à cette clef, c'est mieux.
Cela se fait de façon simple, en ligne de commande. On tape la commande :

gpg --output revoke.asc --gen-revoke mykey

et on suit les instructions.

Au sein de Seahorse, dans l'onglet Détails de la clef, on peut cliquer sur le bouton "Révoquer". Cela est valable pour le moment où on veut révoquer directement la clef, et non pas pour faire le fameux certificat.

Pourquoi et comment l'utiliser ?

Comme il est dit dans la présentation de ce début d'article, dès lors où la clef est compromise (vol du PC ou autre) et même si l'on a une copie de la clef privée sur une autre machine, dès lors qu'il y a une copie de la clef privée qui se ballade dans la nature, il faut révoquer sa clef (et en créer une autre par la suite). Pour celà, on utilise à nouveau gpg en ligne de commande et lui donnant comme fichier le fameux certificat de révocation.

gpg --import revoke.asc
Et ensuite :
export vers le serveur de clef avec la commande suivante :
gpg --keyserver subkeys.pgp.net --send KEYNAME

Et lors de la prochaine synchronisation avec les serveurs de clefs, les personnes qui utilisaient la clef publique seront informées qu'elle n'est plus à utiliser.

Il faut donc penser à régulièrement mettre à jour ses clefs locales par synchronisation avec les serveurs.

GPG, Key signing party et pseudonyme

jeudi 1 janvier 1970 à 01:00

Pour savoir ce que sont en détails que ces Key signing party, je vous invite à lire la page Key signing party sur Wikipedia ainsi que Toile de confiance - Web of Trust.

Signer des clefs GPG d'un pseudonyme

Ce que je voudrais faire ici, c'est parler de la constitution de cette toile de confiance dans le cadre du pseudonymat. En effet, normalement, dans une Key signing party, on présente un papier d'identité pour valider l'identité de la personne. Au delà du fait qu'il faut voir la confiance que l'on accorde aux papiers d'identité (qui peuvent être falsifiés), encore faut-il être un personnage publique sous ses vraies nom et prénom. Beaucoup de hackers, d'hacktivistes ou autre dont moi utilisons des pseudonymes. Et personnellement, je n'ai que faire de leur véritable identité, je les connais sous un pseudo et c'est ainsi que je veux les connaitre. Pour certains, on peut connaitre leur vrai nom, d'autres font tout pour le dissimuler, le cacher. Alors comment faire dans ce cas là ?

Valider l'identité numériques

Au delà de la validation de la clef GPG en elle-même, dans le cas d'un pseudonyme, c'est l'identité numérique qu'il est important de valider. C'est la présence en ligne, sur les différents comptes de réseaux sociaux blog etc. qui importe.

On met alors en place un système de cross-validation. Par exemple, lors d'un échange par un moyen de communication, on convient ensemble d'un mot de passe ou d'une phrase de passe. On échange ensuite ce mot de passe par un autre moyen, en l'occurrence un mail, ou lors de la rencontre IRL. Ou inversement, quand je me présente à des inconnus sous le nom de Genma, en parlant de ce blog, de mon Twitter etc. ceux-ci me demandent de faire quelque chose de particulier sur le blog, de publier un message particulier sur Twitter. Ou de leur renvoyer par mail chiffré avec leur clef publique une information particulière. Ils me répondent et on valide ma clef publique à mon tour.

Ainsi on valide tour à tout les différents comptes de réseaux sociaux, les mails et on s'assure que c'est bien la même personne qui est derrière les différents comptes sous un même pseudonyme. Une réflexion intéressante que l'on m'a faite à ce sujet a été : "qui me dit que vous n'êtes pas plusieurs personnes peuvent être derrière le pseudonyme de Genma".

Dans ce cas, une personne seule "prête son visage" pour les rencontres publiques vu que c'est toujours la même personne qui se présente sous ce pseudonyme lors de différentes interventions (indiquées sur l'agenda de ce blog par ailleurs). De plus, l'analyse de ma façon d'écrire, de parler sur les différents comptes (blog et Twitter essentiellement) conforterait le fait qu'il n'y a qu'une seule et même personne.

Les signatures d'une clef

Pour en revenir à la signature de la clef GPG, sujet de départ de ce texte, le but est de valider la clef publique. On peut récupérer facilement une clef publique GPG mais qu'est ce qui nous garantit qu'elle appartient bien à celui à qui on pense qu'elle appartient. Les signatures permettent de créer un cercle de confiance, de dire "moi, je valide que cette clef est bien celle de celui à qui elle prétend appartenir" et plus il y a de personnes que l'on connait et en qui on a confiance qui ont validées une clef, plus on peut accorder de confiance à cette clef, jusqu'au moment où on pourra soi-même signer la clef à la suite de la rencontre de la personne.

Conclusion

Il faut voir où l'on place la confiance dans la signature des clefs. De même il faut savoir et garder à l'esprit que les signatures de clefs GPG définissent un graphe social. Certains ne veulent pas que les signatures de clefs soient publiées en lignes et donc publiques. GPG est complexe. Il ne faut pas l'oublier. Et chaque mois, j'en apprends un peu plus sur l'étendue de cette complexité (qui va au delà du simple fait d'ajouter une extension dans Thunderbird), la gestion des signatures des clefs étant un des aspects de cette complexité.

Free et les mots de passe

jeudi 1 janvier 1970 à 01:00

Suite à mon article Des mots de passe que l'on utilise au quotidien..., j'ai initié le changement des mot de passe de mon mail FREE, et ayant l'hébergement de ce site sur les pages persos, j'ai également modifié ceux de la base de données, de l'accès FTP, de SPIP, en mettant des mots de passes différents relativement complexe (que je stocke dans Keepass).

Problèmes rencontrés

Une fois les mots de passe changés, le blog ne marchait pas. J'ai eu beau réinitialiser le fichier de connexion de SPIP à la base de données MySQL, au moment de la saisie des informations, j'avais le message "La connexion à la base de données a échoué". Alors que j'étais sûr de la saisie des identifiants/mot de passe.

Limites des mots de passe chez Free

C'est en effectuant une recherche que j'ai trouvé dans l'info dans une mailling-liste de SPIP. La taille des mots de passe de MySQL est limité chez Free. Le mot de passe étant trop grand, ça ne marchait pas. J'ai du le réinitialiser/changer (via l'interface d'administration du compte) et attendre 4 heures pour qu'il soit pris en compte. Et là ça a marché.

Les règles pour les mots de passe chez Free

Les règles pour les mots de passe chez Free sont différentes selon que ce soit l'accès mail, FTP, MySQL, le compte de l'abonnement ADSL... La page http://jc.etiemble.free.fr/abc/index.php?page=pagepersofree indique toutes les règles que je rappelle ici :

ATTENTION : à compter du 21 mars 2012 pour les mots de passe mail et FTP jusqu'à 16 caractères maxi
Le mot de passe doit être composé de caractères parmi a-z, A-Z, 0-9, #$, ;. :*@[]() ?+=-_%
NOTA : éviter le caractère @ pour le SQL (cela peut poser des soucis sur certain serveurs)
- Sauf mot de passe SQL maxi 10 caractères pour le moment.(Si le mot de passe SQL comporte plus de caractères que défini ci-dessus, il faut obligatoirement re-modifier ce mot de passe avec la "bonne longueur".)

Rappel sur la longueur des mots de passe mail+pagesperso Free.fr :
- Messagerie de 8 jusqu'à 16 caractères maxi (actif sous 2 heures)
- Accès console compte de gestion du compte messagerie de 8 jusqu'à 16 caractères maxi (actif de suite)
Le changement du mot de passe est valable pour la Messagerie et pour l'Accès console.
- Personnalisation du mot de passe de connexion FTP de 6 jusqu'à 16 caractères maxi (actif de suite)
- Personnalisation du mot de passe de votre base SQL de 6 jusqu'à 10 caractères maxi (actif sous 4 heures)
Les mots de passe ci-dessus doivent être composé de caractères parmi a-z, A-Z, 0-9, #$, ;. :*@[]() ?+=-_%
NOTA : éviter le caractère @ pour le SQL (cela peut poser des soucis sur certain serveurs)
- Accès console compte ADSL Freebox : entre 8 et 16 caractères et uniquement des caractères alphanumériques parmi a-z, A-Z, 0-9 (actif de suite)
- Message d'erreur console compte ADSL Freebox indiquant entre 8 et 16 caractères et uniquement des caractères alphanumériques en minuscules (mais il est possible de mettre des caractères a-z, A-Z, 0-9)

Conclusion

Comme on le voit, ce n'est pas chez Free que l'on pourra utiliser des passphrase au lieu des mots de passe.

A lire également :
- Keepass et TrueCrypt
- Des mots de passe que l'on utilise au quotidien...
- Https par défaut sur Zimbra.free.fr
- Les phrases de passe
- Free et le https

Canards

jeudi 1 janvier 1970 à 01:00

Les petits canards jaunes vibrants sont bien connus des adultes et il en existent différents modèles, de toutes les tailles, couleurs et formes (certains n'ont pas des formes de canards mais des formes plus équivoques).

Mais parfois certains se laissent aller dans la démesure et doivent avoir les yeux plus gros que le bas-ventre !

Et pour les plus geeks et fans du Docteur, il y a

Voir les autres articles de PinkGenma.