Une petite liste de pratiques à connaître pour protéger ses Mails, sa navigation Internet, ses Fichiers, ses discussions collectives sur IRC et ses mots de Passe, quelques outils simples pour des besoins quotidiens et éviter les mauvaises surprises… Voici Mifip, qui s’adresse en particulier aux participant·e·s à des médias alternatifs, mais pas seulement.
Dans nos collectifs, nos assos, autour de nous, tout le monde entend parler de sécurité numérique. Pourtant, nous constatons que les pratiques les plus essentielles ne sont toujours pas maîtrisées par beaucoup de nos proches, alors même qu’elles se sont considérablement simplifiées, et alors qu’elles deviennent fondamentales en cette période de « Loi sur le Renseignement » et autres intrusions administratives ou policières.
Voici donc 5 pratiques de base à maîtriser pour se protéger (ainsi que ses ami·e·s), des flics, des patrons et demain des contrôleurs de la CAF ou de Pôle Emploi. Elles ne sont pas à toute épreuve, ne protègent pas des nouvelles mafias qui existent sur le net, des équipes spéciales de la NSA ou d’enquêtes policières plus approfondies, mais représentent un minimum nécessaire pour se protéger de vol, de perte, de perquisition, de fouille intempestive de son ordinateur par un proche plus ou moins malveillant ou d’espionnage patronal.
Ces 5 pratiques, primordiales pour des militant·e·s participant à médias alternatifs mais aussi importantes pour d’autres, on les a regroupées derrière un acronyme : Mifip, (pour Mails, navigation Internet, Fichiers, Irc, Passwords ou mots de Passe). Elles sont simples (chacune d’entre elles ne demandent que quelques minutes et un peu de concentration) et elles reposent sur des logiciels que chacun·e peut installer seul·e [Ces techniques et ces outils ne dispensent pas de participer à des ateliers dédiés, pendant lesquelles des explications théoriques permettent de mieux évaluer l’ensemble des soucis.]. Si vous trouvez un meilleur moyen mnémotechnique, on est preneurs !
Avant-propos : si elles ont été relues par des personnes « qui s’y connaissent », ces notes ont été écrites par des militants non-experts de la chose qui participent à des médias alternatifs et souhaitent juste que leurs collectifs et camarades se protègent un peu plus (ce qui assurera en retour leur sécurité). Ces conseils ne sont en aucun cas exhaustifs, mais destinés à des utilisations relativement courantes. D’autres ressources citées en fin d’article permettent d’aller beaucoup plus loin. On mettra à jour progressivement les outils et les tutos recensés sur la question en fonction des retours.
M. Chiffrer (ou crypter [Le mot « crypter » n’existe pas en français, on lui préfère le terme de chiffrer. Ce néologisme est néanmoins relativement explicite.]) des mails
Technique fondamentale pour échanger de manière sûre à distance, par exemple tout simplement lorsqu’on ne veut pas envoyer l’équivalent d’une carte postale lisible par le facteur ou la factrice et ses collègues des centres postaux (histoire vécue).
a. avec un logiciel de mail, comme Thunderbird qui propose une extension Enigmail qui ne prend désormais que quelques minutes à configurer. Un tuto qui montre que c’est relativement simple. Attention, en cas d’utilisation d’un logiciel de mail, il est souhaitable de sécuriser le répertoire de votre ordinateur où sont stockés tous les mails pour que ceux qui ne sont pas chiffrés ne soient pas accessibles en cas de perte, vol, ou intrusion sur l’ordinateur (Voir point 3).
b. avec un webmail (ce qui ne pose pas le préalable du chiffrage de dossier ou de disque), plusieurs solutions :
• GPG et le presse-papiers ou les éditeurs de texte ! Sur Windows, GPA, un logiciel compris dans GPG4Win propose un presse-papiers que l’on peut chiffrer à l’attention de son ou sa destinataire et ensuite coller dans son webmail (Cf. la partie 4 de ce tuto). Sur OSX avec GPGServices, un outil méconnu inclus dans la suite GPGTools permet de chiffrer et de déchiffrer des messages dans un éditeur de texte et s’intègre extrêmement bien dans le système d’exploitation [Pour activer GPGServices dans le Finder et dans TextEdit, voir ici ou cette vidéo assez claire. À noter : GPGServices est aussi pratique que peu documenté, en particulier en français.].
• il existe également Mailvelope qui s’intègre directement dans votre navigateur, comme pouvait le faire dans le passé l’extension FireGPG. Il fonctionne notamment avec le webmail de Riseup, RoundCube, ou les multinationales qui fournissent des mails (Google, etc.), mais pas avec No-Log ou d’autres webmails alternatifs. Le fonctionnement de ce type d’extension est critiqué pour son utilisation du javascript, on préférera donc la technique mentionnée au dessus.
I. Naviguer sur Internet anonymement (en camouflant son IP et en chiffrant son trafic)
Le cadre légal d’interception des données de navigation est de plus en plus large. Pour être un peu serein, camoufler son IP et chiffrer en même temps les informations qui transitent sur le net (ce qu’on lit, ce qu’on écrit, etc.), on peut :
• utiliser Tor, par exemple avec TorBrowser (2 minutes d’installation nécessaires, rien à configurer, mais c’est toujours mieux de comprendre de quoi il s’agit). Il permet aussi, comme les autres navigateurs utilisant Tor, d’accéder aux sites en .onion, qui ne peuvent être vus qu’à travers Tor. Par exemple, si vous tenez à utiliser Facebook, pour un collectif par exemple, le réseau social s’est récemment doté d’un site en .onion. Le site Sedna médias libres est également depuis peu accessible en .onion : http://m6rgrem34sednagr.onion. Seul un navigateur fonctionnant avec Tor peut y accéder par cette adresse.
• mettre en place un VPN privé situé dans un autre pays, par exemple celui de Riseup, qui va chiffrer votre trafic Internet et anonymiser votre IP.
Enfin, si le camouflage de votre IP n’est pas la priorité, il reste fondamental d’installer l’extension HTTPS Everywhere, disponible pour Firefox, Chrome et Opéra. Elle permet de chiffrer votre traffic Internet sur beaucoup de sites : elle passe automatiquement les sites consultés en https à chaque fois que c’est possible.
F. Chiffrer (ou crypter) des fichiers sur son ordinateur
Quand on estime que certains de nos fichiers ne devraient être accessibles à personne (en cas de perte de l’ordinateur, de perquisition ou d’intrusion de votre patron en votre absence), il est tout simple de les rendre inaccessibles à d’autres. Deux possibilités :
a. chiffrer tout votre disque dur ou une grande partie :
• sur OSX, FileVault permet de chiffrer l’ensemble de son espace personnel. Ca ne protège pas de la NSA, mais ça devrait tenir la route en cas de perte de l’ordi, vol, ou de personnes malintentionnées qui ont accès à votre ordinateur ;
• sur Linux, Luks permet de chiffrer tout le disque dur.
b. utiliser un conteneur (dossier, clé usb, disque externe, etc.) chiffré :
• VeraCrypt, successeur de TrueCrypt, permet de se doter d’un volume chiffré dans lequel on peut facilement glisser tout ce qu’on souhaite garder pour soi. Un tuto basé sur TrueCrypt, sachant que VeraCrypt fonctionne à l’identique.
• GPG permet également de chiffrer des fichiers ou des dossiers, avec les outils cités au point 1, GP4Win ou GPGServices.
I. Discuter en simultané, à distance et de manière sécurisée (IRC-OTR ou équivalent) :
Pour permettre des discussions à distance dont on ne souhaite pas qu’elles puissent être lues :
• les canaux de discussion IRC, associés à la technologie « Off the record » (OTR). Celle-ci est facilement accessible avec un logiciel comme Pidgin pour lequel un plugin OTR a été conçu. Pour plus d’information sur IRC, cet ancêtre des Jabber etc., voir cet article.
• Cryptocat, un module à intégrer dans Chrome ou Firefox, très simple d’utilisation, mais limité au niveau sécurité absolue, qui permet néanmoins de discuter à plusieurs.
P. Utiliser des mots de passe différents et compliqués
Les mots de passe identiques pour toute votre vie numérique sont l’une des principales failles de sécu. Les occasions qu’ils puissent être trouvés sont multiples. Ils peuvent soit être craqués, soit la base de données d’un site que vous utilisez peut être mal sécurisée, ou un réseau wifi écouté, etc. – pour générer et stocker des mots de passe compliqués, on peut utiliser KeepassX. Une présentation sur le Guide d’autodéfense numérique.
• on peut sinon utiliser des techniques de création et de mémorisation de phrases de passe. Un tuto sur ces questions : Comment choisir un mot de passe.
Pour aller plus loin :
• Le collectif Tactical Tech propose une série de guides pour la sécurité numérique, traduits en français : Security in a box.
• Le Guide d’autodéfense numérique, en 2 tomes, est exhaustif. Si certains passages sont particulièrement ardus, d’autres sont très accessibles. Il est intégralement disponible en ligne.
• Tails est un système d’exploitation hyper sécurisé, livré clé en main avec tous les logiciels nécessaires, à installer sur une clé usb. Leur site est extrêmement documenté et l’installation relativement aisée.
• Enfin pour les personnes qui ont besoin d’acheter quelque chose sur Internet, voir Comment payer de manière anonyme sur le net ?.
Quelques participant·e·s au réseau Mutu – L’Atelier – médias libres, 30 mai 2015