[Analyse] J'ai lu le guide de protection numérique

Tags: Analyse Réflexion Sécurité


Bonjour à tous,

Aujourd’hui, l’article sort de l’ordinaire car je m’essaie à un nouvel exercice. Je vais en effet d’analyser un document sur lequel je suis tombé lors de ma veille informatique.
Ce genre de documents m’a toujours fait tiquer, vous comprendrez pourquoi au fil de l’article ainsi que dans la conclusion.

Il s’agit d’un document nommé Guide de protection numérique rédigé par le collectif Zeka sur le site de Nothing2Hide. Ce guide est publié sous licence Creative Commons CC BY SA. L’article de publication se trouve ici et le document en question est disponible ici.

Disclaimer

Bien que possédant des connaissances dans ce domaine, j’ai évidemment des lacunes et sûrement fait plusieurs erreurs (techniques, d’analyses, de compréhension ou les trois). N’hésitez pas à me le faire savoir que je puisse me corriger, m’améliorer et apprendre. Cet article n’a pas non plus la volonté de nuire au document ou au collectif, je vous laisse lire la conclusion pour comprendre les raisons qui m’ont poussé à le rédiger.

Les numéros de page ne sont pas ceux du PDF mais ceux en bas de page.

Page 2

Utilisez un antivirus ClamXav, ClamTk, Avast, MSE, Mc Afee, Norton (même sur mac).

Sur Windows, Windows Defender fera l’affaire à 100% sans soucis.

Supprimez Java (50%) et Adobe pdf reader (28%) (cf. Karspersky)

Alors sortir ça comme ça, pourquoi pas, mais sans donner les liens ni les raisons, c’est totalement impertinent selon moi.

Page 3

Attention: n’utilisez JAMAIS le navigateur Google Chrome !

Que l’on veuille préférer Firefox, pourquoi pas (je l’utilise également), mais sortir une phrase comme ça (comme pour la page précédente) sans explications ni arguments, ça n’apporte rien.

Les affiches durant la campagne de la Quadrature du Net
Les affiches durant la campagne de la Quadrature du Net

Paragraphe sur les mots de passe

+1 c’est super important d’utiliser des mots de passe longs. En revanche, aucun intérêt (autre que le mot de passe du gestionnaire de mots de passe) de mettre une phrase de passe, un mot de passe de 20 caractères suffit, et c’est le gestionnaire qui le retient.

Page 4

Paragraphe sur la double authentification

C’est bien, mais la protection par 2FA est mieux que par SMS. Notamment si vos SMS peuvent être lus sans déverrouiller votre téléphone (au travail, dans le train …).

Source

Page 5

Paragraphe sur le https

Le HTTPS et le logo vert ne font pas tout. Un exemple récent au Kazakhstan. Le risque de ce genre de propos est que les gens croient que s’ils ont ces 2 artéfacts, ils sont 100% sécurisés.

Page 6

En utilisant un outil légal, le VPN, vous pouvez publier vos contenus sur Internet, consulter vos e-mails, surfer où vous voulez de façon sécurisée, etc.

Euh, alors non, pourquoi ça serait plus sécurisé ? Ça ne sera plus votre FAI qui saura ce que vous faites mais le fournisseur du VPN que vous utilisez.
Si vous ne savez pas ce qu’est un VPN, on a la meilleure définition possible en un seul tweet:

Pour résumer: un VPN sert à chiffrer le trafic pour les personnes sur la ligne entre l’utilisateur et le point de sortie du VPN. Oui, je répète le tweet, mais à cause des NordVPN & co (co étant leurs publicités et partenariat avec Youtubeurs à gogo …), les gens se croient totalement sécurisés en utilisant un VPN …

Page 7

Un VPN gratuit peut par exemple avoir été mis en place avec pour seule finalité d’espionner tranquillement vos communications.

Euh, alors non également. Une entreprise payante peut faire la même chose et gagner de l’argent à la fois sur vos abonnements et sur vos données. Quand on voit toute la publicité faite par NordVPN par exemple, j’ai du mal à croire que c’est pour leur slogan Sécurité renforcée. Internet en toute liberté. Confidentialité absolue. Mais après, je n’en sais pas plus sur cette boîte, ils sont peut-être intègres, mais on en sait rien (espérons seulement que leurs ingénieurs en sécurité et chiffrement soient aussi bon que leurs commerciaux).

Page 9

Il est difficile d’être anonyme sur les réseaux sociaux.

Difficile, c’est un peu exagéré. Si je crée un compte Twitter avec @Tartempion comme nom d’utilisateur depuis un Café, qui pourra remonter jusque moi ? Ça sera par contre bien plus compliqué le jour où la création d’un compte sur les réseaux sociaux nécessitera une pièce d’identité comme le désirent certains politiques.

Page 13

Un très bon navigateur que vous devriez IMPERATIVEMENT installer sur votre téléphone portable: DuckDuckGo Privacy Browser.

(Je vous ai épargné le formatage en gras sur toute la citation). Aie, sortir ça comme ça sans aucun argument. Qu’est-ce que ça fait dans ce genre de documents ? Plus haut dans le document, on me dit (sans argumenter) de ne pas utiliser Google Chrome, là on me dit d’utiliser DuckDuckGo Privacy Browser. Pourtant, le point commun des deux est qu’ils sont gérés par des entreprises dont le but est, par définition, de faire du profit non ? Pourquoi l’un et pas l’autre sans aucun argument ?

Page 15

un petit guide pour apprendre à crypter entièrement son smartphone Android […] utiliser des messages cryptés PGP.

RHAAAAA, pourquoi se faire tant de mal ??? Je ne vais pas refaire un discours, tout est ici. En tout cas, sachez que si vous cryptez votre téléphone, vous ne récupérerez jamais les données, si vous le chiffrez, la clé de déchiffrement vous donnera accès à vos données en quelques secondes.

Page 16

Retenir votre mot de passe !

Si on est cohérent avec le début du fichier, on utilise pas un mot de passe mais une phrase de passe. Et pas besoin de la retenir puisqu’on utilise un gestionnaire de mots de passe. Et globalement, sur le petit tutoriel sur Veracrypt, des captures d’écran auraient été les bienvenues pour ceux ne connaissant pas le logiciel (si ce dernier évolue au fils de mises à jour, ça permettrait de s’y retrouver plus facilement par exemple).

Page 20

L’utilisation d’un volume caché présente quelques inconvénients: […] Vous devez retenir un mot de passe supplémentaire.

Euh même remarque que pour la page 16 (utilisation d’un gestionnaire de mots de passe et ça règle tout).

Page 21

Avant d’apprendre à chiffrer vos mails, la question à se poser est: ai-je vraiment besoin de chiffrer mes e-mails ? N’existe-t-il pas un autre outil de communication chiffrée (signal, wire) qui conviendrait mieux à mes besoins ?

Excellente remarque, les objets, noms et adresses des mails étant en clair, une alternative permet une meilleure protection.

Page 22

Attention: n’utilisez JAMAIS WhatsApp !

Ça y est, on retombe dans la gratuité. Ne faites pas ça, mais je ne vous dis pas pourquoi …
D’autant qu’il faudrait ici me donner la raison. Dans sa propre FAQ, WhatsApp explique justement que le chiffrement de bout en bout est mis en place. De plus, comme le montre cet article, si WhatsApp peut être questionné sur le chiffrement de conversation en groupes, c’est aussi le cas de Signal et des autres …

Page 26 à 28

Comment sécuriser son ordinateur tout en restant discret ? […] L’idée est de n’avoir aucun élément sensible sur son ordinateur, ni contacts ni outils de sécurité qui pourraient éveiller les soupçons.

Je ne comprends pas vraiment l’objet du propos. Si je chiffre mon disque dur, personne ne pourra démarrer (booter) dessus ni lire les données depuis un autre PC ou un lancement via clé USB. À moins qu’il y ait des pays où l’on doive montrer à la frontière les données présentes sur nos appareils électroniques ?

Ce chapitre a été rédigé après une rencontre avec des activistes syriens qui font des allers-retours réguliers entre Londres, Raqqa, Alep et Damas.

OK, donc je n’arrive pas à trouver l’information sur internet, mais c’est peut-être ça. Est-ce que c’est légal ?

Edit: merci pour vos commentaires, je ne savais pas qu’il était légal pour les douanes de demander le déverrouillage des PC et de demander les mots de passe.

Page 31

Prenez une nouvelle carte SD. Achetez une nouvelle carte SD ou utilisez un nouveau téléphone. Vous ne pouvez plus avoir confiance en votre ancienne carte SD.

Euh, pourquoi en acheter une si j’en ai déjà une ? Je peux juste la formater non ?

Conclusion

Ce genre de document est pour moi problématique. Trop simplet pour être destiné à des gens expérimentés, trop incomplet pour des gens inexpérimentés. De plus, il n’approche pas les problèmes du bon côté. Il ne faut pas dire: N’utilisez pas Google Chrome mais plutôt Firefox. En revanche, il faut expliquer les enjeux d’utiliser l’une ou l’autre solution, c’est à la personne de décider en comprenant les enjeux. C’est totalement improductif, selon moi, que des gens se tournent vers Firefox sans savoir pourquoi il est important de le faire.

Idem pour toutes les simplifications faîtes sur les VPN, le HTTPS … Les gens vont croire, à tort, qu’ils sont sur une connexion sécurisée sur un site sécurisé alors qu’un VPN (chinois) est en mesure de lire tout le trafic qui passe, et que le site qu’ils consultent n’est pas celui de leur banque mais un autre (voir les tentatives d’hameçonnages avec les caractères unicodes) …

Je ne pourrai en revanche pas parler des fautes d’orthographes que j’ai pu croiser dans le document, car j’en fais énormément moi-même. Un outil tel que Grammalecte aurait cependant pu corriger la plupart.

Vous allez me dire qu’il faut bien commencer quelque part pour informer les gens des problématiques de protection numérique et vous aurez raison. J’ai simplement beaucoup de mal avec l’approche qui est généralement faite. J’aurai par exemple pu faire l’exercice sur la fiche pratique du gouvernement sur la gestion des mots de passe, j’aurai eu autant de remarques à refaire.

Là où je ne suis pas sans reproche, c’est que ces gens font ça de façon bénévole (j’imagine ?) avec un noble but (pédagogique) et je viens critiquer (sans améliorer) leur travail. Je vais essayer de me renseigner sur comment participer à la rédaction de ce genre de documents à l’avenir.

Encore une fois, si j’ai fait des erreurs, n’hésitez pas à me le faire savoir, je n’ai pas (encore) la science infuse !

Commentaires