Surveillance généralisée : comment la déjouer...

Publié le par dan29000

 

 

 

 

Journalistes : protégez vos sources !

 

 

C’est fou ce que les ordinateurs et les téléphones portables des journalistes qui enquêtent sur le scandale Woerth-Bettencourt semblent intéresser voleurs, politiques et magistrats, ces derniers temps.


J’avais déjà eu l’occasion de rédiger, à la demande du CNRS, un manuel expliquant comment contourner la cybersurveillance. Puis, m’inspirant de conseils et recommandations fournis par des agences proches des services de renseignement français, un petit manuel de contre-espionnage informatique. Et, enfin, un petit guide expliquant pourquoi, et comment, fabriquer son propre Wikileaks afin de permettre aux internautes de contacter quelqu’un, facilement, de façon sécurisée, et en toute confidentialité (voir Gorge profonde : le mode d’emploi).

Au vu du climat ambiant, permettez-moi donc de remettre le couvert avec ces quelques conseils, pas seulement techniques mais également de bon sens, et qui permettront, je l’espère, aux journalistes (et pas seulement) de protéger leurs sources, et télécommunications.

Après Gérard Davet, le journaliste du Monde qui s’est fait voler, chez lui, son ordinateur portable et son GPS, Hervé Gattegno, rédacteur en chef au Point, qui s’est fait voler son ordinateur, dans son tout nouveau bureau (les cambrioleurs étaient visiblement bien renseignés), on apprend que Mediapart aussi s’est fait voler deux ordinateurs portables, un disque dur externe et deux céderons comprenant les fameux enregistrements réalisés chez Liliane Bettencourt…

S’il n’y avait que les ordinateurs, mais il y a aussi les téléphones portables. Le Canard Enchaîné révélait récemment que les services de renseignement avaient consulté les Fadet (FActure DETaillée comportant le détail des trafics à partir d’un numéro d’appel téléphonique) de Gérard Davet, afin d’identifier sa source au ministère de la Justice. Puis vint le tour du Philippe Courroye, procureur de Nanterre qui accède aux Fadet de Gérard Davet et Jacques Folloroux afin d’y retrouver la trace des SMS qu’ils auraient échangé avec la juge Prévost-Desprez… toujours dans l’affaire Woerth-Bettencourt…

Je ne sais si ces journalistes avaient appris à protéger leurs télécommunications, et donc leurs sources. Un devoir, pour les journalistes, visiblement plutôt malmené, et ce malgré l’adoption d’une loi relative à la protection du secret des sources des journalistes en janvier 2010. Il n’est pourtant pas forcément très compliqué de se protéger.
De Gmail à Globull

Pour protéger ses données, sur un ordinateur, il faut les chiffrer (terme préférable à celui de cryptage) au moyens d’un logiciel de cryptographie.

De nombreuses entreprises privées vendent de tels logiciels. Mais leurs codes sources est “propriétaire“, il est donc impossible de savoir si ne s’y trouve pas une porte dérobée (backdoor, en VO) permettant à l’éditeur du logiciel, ou aux autorités, de pouvoir déchiffrer les messages prétendument sécurisés.

On préférera donc les logiciels libres, dont le code source a été validé par la communauté. Le plus connu de ces logiciels est GPG (pour GnuPG, ou Gnu Privacy Guard, le gardien libre de votre vie privée), qui permet à ceux qui l’utilisent de pouvoir échanger des e-mails en toute confidentialité.

Problème : il faut que les deux correspondants l’aient installé, et aient appris à s’en servir, ce qui n’est pas forcément très compliqué, et ce pour quoi a été lancé privacybox.de qui permet, précisément, de proposer à ses interlocuteurs de vous envoyer un message de manière anonyme, et sécurisée (voir Gorge profonde : le mode d’emploi).

Discuter par email, c’est bien. Causer en messagerie instantanée, c’est pas mal aussi. Ce pour quoi de nombreux clients de messagerie instantanée permettent de communiquer de façon chiffrée, rendant inopérante les tentatives d’écoutes téléphoniques.

Plus simple encore, si vous avez la possibilité de rencontrer physiquement votre interlocuteur : créez-vous une boîte aux lettres Gmail (dont l’accès est sécurisé, le fameux “s” de “https“) dont vous partagez les codes d’accès (d’où l’importance de se rencontrer physiquement, pour ne pas qu’ils transitent en clair sur les réseaux), et écrivez-vous… sans envoyer les messages, mais en les laissant dans le dossier brouillon.

Si GPG permet de chiffrer des documents, il peut s’avérer intéressant, également, de chiffrer l’intégralité d’une partition de son disque dur, ou bien de se doter d’un ou plusieurs coffre-forts électroniques, afin de stocker documents et données que l’on n’aimerait pas voir tomber dans n’importe quelle main.

Les plus connus, et utilisés, des logiciels utilisés pour cela sont TrueCrypt et FreeOTFE. Leur installation et leur utilisation ne sont pas forcément très complexes, mais nécessitent tout de même d’y consacrer un peu de temps, mais aussi et surtout d’avoir une bonne hygiène du mot de passe). La sécurité, ça se mérite, et ça s’apprend.

Ce pour quoi la société Bull a créé Globull (recommandé par les services de renseignement français aux entreprises) : cette petite boîte rouge ressemble plus à un mignonnet lecteur .mp3 qu’à un disque dur de haute sécurité; mais c’est précisément pour cela qu’il est tout rouge et rond, histoire de pouvoir passer plus discrètement à la douane… et pour le coup, il n’est guère complexe à utiliser. Mais il faut l’acheter. Et faire confiance à Bull.
Simple comme un courrier papier

Alors que l’on dénombre bien plus d’utilisateurs de téléphones portables que d’internautes, sécuriser ses communications téléphoniques est paradoxalement plus compliqué, pour la simple et bonne raison que s’il est possible de se créer des adresses emails jetables et anonymes, on n’a généralement pas le choix de son numéro de téléphone portable.

Or, et comme l’expliquait récemment le directeur technique de la DGSE, au sujet des télécommunications qu’interceptent ses “grandes oreilles” :

“Le contenant devient plus intéressant que le contenu. Et toutes ces méta-données, on les stocke, sur des années et des années, et quand on s’intéresse à une adresse IP ou à un n° de tel, on va chercher dans nos bases de données, et on retrouve la liste de ses correspondants, pendant des années, et on arrive à reconstituer tout son réseau”

Dit autrement : au vu de la profusion des données qui transitent sur les réseaux, les services de renseignement, tout comme les policiers, s’intéressent d’abord et avant tout aux “logs“, à savoir qui communique avec qui, quand, pendant combien de temps, d’où…

Et c’est ainsi que la DCRI, pas plus que le procureur Couroye, n’ont pas eu à mettre sur écoute les journalistes du Monde, mais se sont contentés de consulter leurs Fadet, afin d’identifier leurs sources présumées.

Pour s’en protéger, on pourra utiliser le logiciel Skype de téléphonie par IP (internet), qui chiffre les conversations, textes et voix, et que l’on peut utiliser depuis son ordinateur, mais également depuis les téléphones portables “intelligents” (smartphone, en VO). Problème : son code source est propriétaire, et les autorités réclament régulièrement à Skype de leur permettre de pouvoir procéder à des écoutes téléphoniques.

Philip Zimmermann, le fondateur de PGP (revu et corrigé par GPG), a développé Zfone, un logiciel de chiffrement des flux de communication pour la téléphonie par IP, mais il n’est pas encore installé, à ma connaissance, dans des téléphones mobiles grand public.

Le plus simple est donc encore… de ne pas utiliser son téléphone, et de privilégier, en entreprise, celui d’un autre employé (au métier ou à la fonction moins exposée), ou de faire comme certains journalistes d’investigation, qui se servent des cabines téléphoniques publiques, en prenant rendez-vous ou en confiant le n° de téléphone à son interlocuteur via un courriel chiffré ou un message instantané sécurisé.

Toujours en mode “low tech“, les courriers postaux ont l’insigne avantage de ne pas être aussi facile à identifier, et ouvrir, que ne peuvent l’être les télécommunications électroniques : tout comme les communications téléphoniques, les emails transitent en effet “en clair” sur les réseaux. Alors que les enveloppes, elles, sont fermées. Ne dites plus : simple comme un coup de fil, mais simple comme un courrier postal…

Enfin, et si cela ne vous dérange pas de savoir avec qui vous avez conversé, au téléphone, mais que vous voulez protéger le contenu des données échangées, il existe un certain nombre de logiciels permettant de communiquer, de façon sécurisé, depuis son téléphone portable : RedPhone & TextSecure pour parler ou s’échanger des messages textes, CryptoSMS pour chiffrer des SMS, Guardian pour la messagerie instantanée sur Android (qui propose aussi d’installer un système VOIP de téléphonie sécurisé).

Cet article ne prétend aucunement faire le tour complet de la question, juste de proposer certaines pistes, et outils, afin de protéger vos sources, contacts, et télécommunications. N’hésitez pas à proposer, en commentaire, d’autres logiciels, ou modes d’emploi.

Ceux qui voudraient en savoir plus pourront consulter à l’envi le Wiki de l’internet libre, créé par le blogueur Korben pour démocratiser les outils et méthodes de sécurité informatique, ainsi que les ressources (en anglais) de Mobile Active, qui fait le point sur les risques, méthodes et logiciels pour sécuriser l’utilisation des téléphones portables, ou encore le Guide d’autodéfense numérique pour apprendre, pas à pas, comment sécuriser son ordinateur.

A noter, enfin, que l’excellent mode d’emploi (traduit en français) de Security in a Box propose également des guides pratiques logiciels permettant, notamment, d’apprendre à effectuer des sauvegardes sécurisées de ses données (la “base” de toute mesure de sécurité informatique), et qu’il propose aussi un manuel pour installer plusieurs de ces logiciels sur une clef USB afin de pouvoir s’en servir depuis n’importe quel ordinateur.

Voir aussi :
Gorge profonde : le mode d’emploi
Comment contourner la cybersurveillance ?
Petit manuel de contre-espionnage informatique
Internet : quand l’Etat ne nous protège pas
Des milliers d’e-mails piratables sur les sites .gouv.fr
La durée de vie d’un ordinateur non protégé est de… 4 minutes


jean.marc.manach (sur Facebook) & @manhack (sur Twitter)

 

Source : Bug brother 

Publié dans écrans

Commenter cet article