LSQ : sortez couvert !
Le texte qui suit servira de référence à quelques-uns des ateliers orientés
crypto & sécurité informatique de la no-zelig
(http://no-zelig.org).
Petit rappel :
ce vendredi, à partir de 18h, plusieurs ateliers, à la fois
théoriques et pratiques sur la crypto, son utilisation et les
notions de bases de la sécurité informatique. .
ce samedi, suite à l'atelier d'Anne Bremaud (du Syndicat des
Avocats de France) sur la LSQ (de 10 à 12h), une RE:présentation
du texte qui suit. .
ce dimanche, de 11h à 13h, un atelier d'initiation à une
utilisation militante de l'internet et de la crypto.
Le programme complet : http://no-zelig.org/article.php3?id_article=3 Bb) http://www.bugbrother.com
GPG ID: 0x4DAED3AB + BBA-F : www.bigbrotherawards.eu.org
+ .pol : no-zelig.org
& www.LSIjolie.net =============================================================================
LSQ : sortez couvert !
ou Comment passer outre la cybersurveillance et les mesures anti-crypto
de la LSQ...:
http://no-zelig.org/article.php3?id_article=11
On l'a déjà dit, écrit, redit et répété : le volet crypto de la Loi sur
la Sécurité Quotidienne (LSQ) est illogique, inefficace, inappliquable,
inutile, dangereux et mensonger (voir les nombreux articles à ce propos
sur LSIjolie.net
http://www.google.com/custom?q=crypto&sa=Recherche&cof=L%3A
httpwww.lsijolie.net s
Le présent document est librement inspiré d'un texte, "RIP Countermeasures"
(http://www.fipr.org/rip/RIPcountermeasures.htm), co-signé
par Ian Brown (http://www.cs.ucl.ac.uk/staff/I.Brown/), un cryptographe
anglais proche de Privacy International (http://www.privacyinternational.org) -tout comme votre dévoué-
et Brian Gladman (http://www.gladman.uk.net/), ancien "directeur des communications
électroniques stratégiques" du ministère de la Défense britannique et
de l'OTAN. Effrayés de voir le gouvernement anglais voter, l'an passé,
une loi, le Regulation of Investigatory Powers Act, officialisant la mise
sous cybersurveillance des télécommunications, ainsi que l'obligation
de déchiffrement des messages cryptés, ils avaient par ce texte cherché
à rappeler à quel point cette loi était "techniquement inepte et inefficace
à combattre les criminels, mais risquant fort d'aller à l'encontre de
la vie privée, de la sûreté et de la sécurité des honnêtes citoyens, ainsi
que du business." Il ne s'agit donc pas d'un manuel de h4X0r$ ni de pirate
informatique, mais d'un texte cherchant à recenser divers moyens de protéger
sa vie privée. Il ne s'agit bien évidemment pas d'inciter à quelque action
malveillante que ce soit, mais, à mesure que la LSQ, et les divers textes
sécuritaires adoptés en Europe, aux Etats-Unis et dans le monde entier
-dans la foulée, notamment, des attentats aux USA- s'inspirent aussi de
ce RIP Act, il convient d'alerter les citoyens sur les risques de "dommages
collatéraux" que cela peut entraîner, et de les inciter à apprendre à
protéger leur vie privée, la confidentialité de leurs télécommunications
et à s'initier à la sécurité informatique. La résistible ascension des
anti-crypto La cryptographie permet de s'assurer que seuls l'émetteur,
et le destinataire, d'un message, soient à même de pouvoir le consulter.
C'est justempent ce qui fait peur aux forces de l'ordre, et aux services
de renseignements, et ce qui a incité le gouvernement à prévoir certaines
mesures censées contrer l'utilisation de la cryptographie. Mais sans même
utiliser la crypto, tout internaute est désormais placé, par défaut et
par principe, sur écoute électronique : la loi oblige en effet les FAI
à conserver les traces des communications électroniques pendant un an.
Quand on veut tuer un chien, on dit de lui qu'il a la rage : la LSQ passe
ainsi pour être une véritable machine à créer des erreurs judiciaires.
A tout le moins, elle permet de faire condamner un innocent, quelqu'un
qui chercherait benoîtement à protéger sa vie privée. La charge de la
preuve est en effet inversée : ce n'est plus aux forces de l'ordre d'arriver
à prouver la culpabilité d'un quidam, mais à celui-ci d'amener la ou les
preuves de son innocence.
Reste qu'une fois de plus, on associe la crypto au terrorisme et aux criminels,
opération de désinformation grandeur nature censée écarter le grand public
de l'utilisation de la crypto, quand bien même elle est de plus en plus
utilisée en matière de commerce et de signature électroniques, et ne peut
donc que se développer. En attendant, cela n'empêchera ni les défenseurs
de la crypto et de la protection de la vie privée, ni les criminels et
terroristes, de continuer à crypter leurs communications. En toute légalité.
Et sans danger. Les mesures prévues par la LSQ sont en effet toutes aussi
inefficaces les unes que les autres, à mesure que l'on prend les précautions
nécessaires.
Des parades à la cybersurveillance
La LSQ prévoit de placer les internautes sous cybersurveillance en obligeant
les fournisseurs d'accès à l'internet (FAI) à conserver les données de
connexion (logs) pendant un an en vue de pouvoir les mettre à disposition
des forces de l'ordre. Pour passer outre ce genre d'écoute systématique
de nos télécommunications, et plus particulièrement de ses e-mails, il
existe pourtant tout un train de mesures rendant la LSQ inopérante.
Privilégier l'utilisation d'un webmail sécurisé "étranger" au courrier
électronique de son FAI "bien français"...
. tout d'abord, plutôt que d'utiliser un prestataire de service de messagerie
électronique français, rien n'empêche d'aller se créer une adresse e-mail
chez un opérateur situé à l'étranger. De préférence, on choisira un service
qui propose la connexion par webmail sécurisé entre ses serveurs et son
ordinateur (tels que hushmail.com, ou lokmail.net, qui ont, de plus, le
notable avantage d'offrir la possibilité de chiffrer ses messages), de
sorte que les données ne soient pas transmises "en clair", mais cryptées
(le fameux 's' de https://)
et ne puissent donc être lisibles ni interprétables dans les fichiers
logs de son FAI.
. à ce propos, on ne saurait aussi que trop conseiller de n'utiliser d'adresse
e-mail @hotmail, @yahoo, @caramail et autres @aol que pour être noyé dans
la masse, recevoir tout plein de spams et risquer de voir un jour son
e-mail piraté, détruit, revendu dans un package de "données personnelles"
ou intercepté. Par ailleurs, l'utilisation d'un webmail sécurisé (qui
permet la consultation en ligne, via un navigateur, de son courrier),
plutôt que d'un logiciel de courrier électronique (qui télécharge ledit
courrier sur votre PC, et laisse donc des traces de son passage), est
fortement conseillée. Des services comme mail2web.com permettent ainsi
de consulter son courrier électronique en ligne via une connexion chiffrée
et ce, quel que soit le serveur de messagerie utilisé.
...devenir son propre centre serveur, et attendre la prochaine génération
internet...
. il est tout à fait possible, surtout lorsque l'on est sous Linux et
que l'on dispose d'une connexion à haut débit, d'installer son propre
serveur de messagerie sur son ordinateur, rendant ainsi d'autant plus
difficile la traçabilité et la surveillance des communications électroniques.
Cette option, qui requiert quelques connaissances techniques, n'en est
pas moins la meilleure, à mesure, bien évidemment, que l'on est aussi
en mesure de savoir sécuriser son poste de travail.
. il sera aussi possible, à terme, de se protéger au niveau même de sa
connexion à l'internet. Le prochain protocole internet, IPv6, permettra
à deux ordinateurs de communiquer de façon chiffrée et de sorte que l'on
ne puisse connaître le contenu des données échangées. De même, le développement
de l'accès sans fil (ou "wireless") et décentralisé au Net permettra de
se passer des FAI commerciaux, et donc de la cybersurveillance des télécommunications.
La loi deviendra ainsi obsolète, et ce, même pour l'internaute lambda
qui n'aura pas pris la peine de prendre ces quelques précautions.
...en attendant, ne pas hésiter à utiliser les alternatives à l'utilisation
lambda du courrier électronique...
. on peut ainsi opter pour une solution plus archaïque, furtive et ne
nécessitant aucune connaissance en matière de crypto. Les channels IRC,
tout comme les newsgroups peuvent servir aux fins de boîtes aux lettres
"fantômes" permettant de communiquer tels deux anonymes perdus dans une
foule, méthode bien connue des espions de tous bords, des amants honteux
et de toute personne se donnant rendez-vous pour un concert, une manif'
ou place de la Bastille un samedi soir, et aucunement illégale.
. les messageries instantanées de type ICQ sont, quant à elles, généralement
tout sauf sécurisées. Mais il existe des logiciels de communication point
à point (P2P) permettant de communiquer en "direct live" et chiffrant
les messages échangés, tels que atrans (http://www.datarescue.com/atrans2/), Gnuzza (CryptChat -
http://winpt.org/cryptchat/) ou PGPnet (http://www.pgpi.org),
sans oublier les VPN (Virtual Private Network), tous relativement simples
d'utilisation et rendant inefficace toute forme d'interception, mais qui
nécessitent de réunir en temps réel les correspondants.
. la stéganographie est l'art de cacher un fichier dans un autre et permet
ainsi d'échanger des fichiers "anodins" masquant la présence, en leur
sein, d'autres fichiers peuvant par ailleurs être cryptés. Au vu du nombre
d'internautes s'échangeant quotidiennement blagues et documents sous forme
de fichiers images et sons, il est peu probable que l'on remarque que
le votre a été stéganographié. S'il n'échappera pas à la conservation
des données de connexion, il permettra néanmoins de masquer le fait que
vous échangez un fichier crypté. Voir http://www.bugbrother.com/security.tao.ca/stego.html &
http://www.stegoarchive.com.
Cela dit, la conservation des logs par les FAI ne prévoit pas, a priori
(ce serait illégal), de garder trace du contenu des messages, mais seulement
de qui a écrit à qui, et quand. Aussi reste-t'il tout à fait possible
d'échanger des e-mails chiffrés en toute légalité, et sans guère de risque
de les voir intercepter (sauf à être mis sur écoute, mais c'est une autre
histoire, que les cybercafés et autres lieux d'accès public à l'internet,
ainsi que les méthodes ici présentées, devraient permettre de contre-carrer).
Du bon usage de la crypto
Une chose est de se protéger de la cybersurveillance à même le réseau,
une autre est de sécuriser son ordinateur de sorte que même si quelqu'un
venait à y accéder, et cherchait à l'étudier, il ne puisse parvenir à
décrypter les messages chiffrés qu'il pourrait contenir. Le vol d'ordinateur,
ou l'intrusion (à distance via un cheval de Troie, ou sur le lieu même)
sont en effet des "sports" de plus en plus pratiqués. D'autre part, la
loi prévoit la possibilité de mandater un expert, voire des moyens militaires
couverts par le secret défense, afin de chercher à mettre au clair des
données chiffrées.
Sauf que bien utilisée, la cryptographie forte (dont l'utilisation est
légale en France) est incassable. Aussi, le législateur a-t'il décidé
de punir "de trois ans d'emprisonnement et de 45 000 Euro d'amende le
fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement
d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer,
faciliter ou commettre un crime ou un délit, de refuser de remettre ladite
convention aux autorités judiciaires ou de la mettre en oeuvre".
Mais quid de ceux qui ont oublié le mot de passe, cas d'école loin d'être
improbable à mesure que nombre d'utilisateurs de crypto ne le font qu'occasionnellement,
et que les enquêtes mettent souvent des années avant que d'aboutir ? Comment
peut-on prouver que l'on a oublié, ou perdu, la clef permettant de déchiffrer
des données ? La loi introduit ainsi un régime d'exception, celui de la
présomption de culpabilité. Autant dire que tout utilisateur de crypto
est dorénavant un "présumé coupable" qui s'ignore, et qu'il convient donc
de se prémunir de tout risque de "dommage collatéral" en la matière. Ce
qui est loin d'être impossible, en toute légalité.
Prendre soin de bien faire le ménage et de bien ranger ses affaires...
. c'est une évidence qui semble avoir échapper aux législateurs, mais
un message effacé ne peut être déchiffré. Ainsi, a priori, quelqu'un qui
se servirait de la crypto pour fomenter quelque chose de répréhensible
aura probablement le réflexe d'effacer toute trace de telles communications.
Encore faudrait-il qu'il les efface définitivement, ce qui n'est pas le
cas s'il se contente de les "jeter à la corbeille". Mais il existe plusieurs
logiciels d'écrasement sécurisé des données à même de s'en assurer,
tel qu'Eraser (http://www.tolvanen.com/eraser/)
ou Wipe (http://wipe.sourceforge.net/).
. ainsi, on ne saurait que trop conseiller aux utilisateurs lambda de
crypto, soit d'effacer les messages cryptés qu'ils pourraient avoir dans
leurs ordinateurs, soit de ne conserver que leurs versions décryptées
(si tant est qu'elles ne représentent aucun risque pour qui que ce soit),
soit de les masquer avec un programme de stéganographie (bien que ceux-ci
puissent aussi être détectables, voire déchiffrables, cf http://www.outguess.org qui,
outre d'offrir l'un des outils de stéganographie les plus sûrs qui soient,
propose aussi un détecteur de fichiers stéganographiés), soit de les stocker
sur un support amovible (disquette, disque dur, CDRW, etc.) que, idéalement,
l'on prendra soin de chiffrer (il existe plusieurs logiciels de chiffrement
de disques durs et de partitions) et de conserver en-dehors de son logis,
ou encore sur un serveur ftp, ou site internet, situé dans la mesure du
possible à l'étranger (il existe de nombreux sites de stockage, sans même
parler des hébergeurs gratuits).
. le chiffrement de tout ou partie de son disque dur, que permettent très
facilement des logiciels comme Scramdisk, cryptoapi ou SFS (cf http://www.geocities.com/openpgp/crypto.htm) et une arme
à double tranchant. A priori, la création d'un coffre-fort électronique
est non seulement une mesure basique en matière de sécurité informatique,
mais aussi une nécessité, reconnue par ailleurs par l'état, quand bien
même celui-ci n'a pas encore tout saisi des subtilités de la protection
de la vie privée
(http://www.bigbrotherawards.eu.org/2001/nomines/monservicepublic.html).
Cela dit, à mesure qu'il s'agit de données "chiffrées", on peut vous demander
de les déchiffrer. Scramdisk, par exemple, permet de les masquer, à la
manière de la stéganographie, sous forme d'un fichier anodin. Le chiffrement
de tout ou partie d'un disque dur ne peut donc se concevoir réellement
que dans le cadre d'une politique globale de sécurité (voir infra. l'analogie
proposée par Brown et Gladman avec la écurisation d'un chateau fort).
. enfin, et quand bien même cela est pratique, on prendra soin de ne jamais
chiffrer les messages que l'on envoie à ses correspondants de sorte que
l'on puisse soi-même les décrypter. Sous peine de piéger, à son insu,
celui à qui l'on a écrit : la police n'aura qu'à exiger votre clef privée,
même si, et surtout si, vous n'êtes pas accusé (la jurisprudence, tout
comme les traités internationaux, interdisent en effet l'"auto-incrimination"),
pour déchiffrer les messages chiffrés pour le destinataire visé, en réalité
par l'enquête. C'est un effet pervers regrettable de la cryptographie
à clef publique : vous chiffrez avec la clef publique du destinataire...
Nombre d'utilisateurs de crypto ont ainsi pris l'habitude de crypter leurs
messages non seulement à l'intention de leur correspondant, mais aussi
avec leur propre clef, afin qu'ils puissent eux-même, par la suite, les
déchiffrer au besoin. Vous pourriez ainsi être contraint de devoir déchiffrer
un message envoyé à quelqu'un faisant l'objet d'une procédure judiciaire,
et perdre ainsi l'usage de vos clefs, sans parler de ce que vous pourriez
causer d'ennuis à votre correspondant, voire à vous-même. On considère
en effet qu'un déchiffrement policier (ou pirate) invalide d'office la
clef qui a du être révélée, à mesure qu'elle a été compromise.
...ne pas faire confiance aux "tiers de confiance", et privilégier les
logiciels libres aux solutions propriétaires...
. l'obligation de déchiffrer des données cryptées s'appliquent aussi aux
"prestataires de service" de cryptographie. A mesure que les enjeux liés
à la protection de la vie privée, à la sécurité informatique, au commerce
et à la signature électroniques ou encore à la lutte contre l'espionnage
industriel, incitent de plus en plus de gens à se mettre à la crypto,
de plus en plus de prestataires de services cryptographiques investissent
le marché. Ceux-ci ne se risqueront jamais à défier la loi au nom du respect
de leurs clients. De plus, ce genre de prestataires de service utilise
généralement des solutions logicielles "propriétaires" (dont il est impossible
de vérifier l'intégrité, et dont certains se sont révélés dotés de "portes
dérobées", cf Huile de serpent: logiciels de chiffrement à éviter http://michel.arboi.free.fr/cryptFAQ/snakeoil.html), qui
sont *a priori* moins fiables que les logiciels libres (dont on peut vérifier
le code source, et donc l'intégrité).
. ça tombe bien : les meilleurs, et les plus populaires des logiciels
de cryptographie et de sécurité informatique sont "libres", et généralement
gratuits, tels GnuPG (ou GPG), qui remplace dorénavant PGP en matière
de chiffrement des e-mails. On ne compte plus le nombre d'illuminés et
de géotrouvetout qui avancent avoir trouvé LA solution cryptographique
infaillible... mais qui ne publient pas le code source, espérant se faire
du blé de leur invention généralement à 2 balles, ou qui cherchent tout
simplement à piéger -commercialement et/ou policièrement s'entend- leurs
"clients". Pour une présentation des logiciels réputés "sûrs", ainsi que
pour apprendre à bien se servir de GPG (ou PGP), voir OpenPGP en Français
http://www.openpgp.fr.st).
. le choix de son architecture informatique est également fondamental
en matière de sécurité informatique et de protection de la vie privée.
De même qu'on privilégiera toujours un logiciel libre à un logiciel propriétaire,
on ne saurait que trop conseiller de migrer sous Linux plutôt que de rester
sous Windows, ou Mac (encore que ce dernier soit moins truffé de failles
que ne le sont les produits estampillés Microsoft). L'installation d'une
Mandrake 8.1, par exemple, est encore plus simple (et combien moins onéreuse)
que celle de Windows XP. L'interface graphique de Linux s'est par ailleurs
considérablement améliorée, KDE n'ayant ainsi rien à envier aux bureaux
de Windows & Mac, dont on retrouve la majeure partie des fonctionnalités
(et même plus) sous Linux. Migrer sous un OS -"système d'exploitation"
(sic)- "libre" est par ailleurs un geste, et un choix, politique : celui
de ne pas dépendre d'un OS "propriétaire", qui plus est moins sécurisé,
et plus facilement piratable.
. si vous êtes particulièrement exposés (ce qui est le cas des ONG et
de leurs militants, notamment "anti-mondialisation"), il est *impératif*
d'utiliser un UNIX libre, de préférence OpenBSD, l'un des OS les plus
sécurisés qui soient, utilisés, ainsi, depuis des années par Amnesty International
(dont on sait qu'elle a fait l'objet de l'intérêt d'Echelon). Depuis juin
2001, OpenBSD est de plus livré avec KDE 2.2. Seule l'installation d'OpenBSD
est difficile (voire très difficile ;-) mais les openbsdéiens français
et internationaux ne demandent qu'à vous aider... De même que les linuxiens
(cf http://www.geocities.com/openpgp/linux.htm), pour ceux qui
se contenteraient d'une Mandrake, d'une RedHat ou d'une Suse (qui comporte,
dans sa version 7.2 française, un chiffrement fort du disque dur en standard),
les plus simples à installer, sans parler de la Debian (qui plait tout
particulièrement aux hackers) et des diverses BSD. Par ailleurs, les utilisateurs
de Mac, contrairement à la légende, peuvent aussi migrer sous Linux. On
ne saurait en tout cas que trop conseiller de ne pas migrer sous Windows
XP. Jamais.
...apprendre à bien utiliser les softs de crypto, et à gérer les processus
d'une bonne sécurité informatique...
En matière d'utilisation de la cryptographie, l'obligation de déchiffrement
représente un risque majeur en terme de vie privée et de sécurité informatique.
La confiance que l'on peut en effet porter à la crypto réside en effet
dans la certitude que l'on a de l'identité de son correspondant. La crypto
permet en effet de chiffrer ses messages, mais aussi, et surtout, d'authentifier
l'identité de son correspondant. Le couplage d'un identifiant (login)
et d'un mot de passe (signature) est ainsi à la base de l'utilisation
des cartes de crédit, mais aussi des chèques et de toute démarche administrative
ou officielle.
Une des premières causes de cybercriminalité est le "vol d'identité",
la possibilité offerte à quelqu'un d'autre de se faire passer pour vous,
avec tout ce que cela comporte de risque divers et variés. La cryptographie
sert ausi à cela, à certifier votre identité. A mesure que tout un chacun
doit aussi apprendre à se doter d'une signature électronique, il est important
d'apprendre à bien là, ou les, gérer.
D'aucuns ont ainsi fait le choix de se doter de pseudonymes pour mener
à bien certaines activités sur l'internet. Parce qu'ils ne veulent pas
forcément voir les traces de leurs activité "virtuelles" se retourner
contre eux, ce qui est le cas de nombre de défenseurs des droits de l'homme,
ou militants politiques, particulièrement exposés à la cybersurveillance,
privée ou étatique. On ne saurait donc que trop leur conseiller les quelques
mesures suivantes :
. l'utilisation de la cryptographie publique repose sur la création d'une
paire de clef : une clef publique, que l'on rend accessible à son ou ses
correspondants (pour qu'il puisse vous écrire), et une clef privée, protégée
par un mot de passe et que l'on doit précieusement conserver à l'abri
de tout regard indiscret (pour que vous puissiez déchiffrer les données
cryptées qui vous sont envoyées). En d'autres termes (simplifiés), la
clef publique est comme un coffre-fort que l'on laisse ouvert de sorte
qu'un tiers puisse y mettre des données, avant que d'en claquer la porte.
Seul le détenteur de la clef privée peut ouvrir ledit coffre-fort, une
fois fermé. Bien assimiler le processus de création, de conservation et
d'utilisation des clefs est le B.A-BA de la protection de sa vie privée.
Autrement dit : lisez les manuels... (et pour bien commencer, allez sur
OpenPGP en français http://www.openpgp.fr.st)
. changer régulièrement de clef permet de pallier, en partie, au risque
de l'obligation de déchiffrement. Il est en effet possible de donner une
date d'expiration à sa clef, et une clef périmée ne peut plus servir à
déchiffrer les messages qui ont été cryptées pour elle. De même, il est
possible de "révoquer" sa clef, si l'on estime être en danger de devoir
la révéler.
...une chose est de se protéger, une autre est de protéger ses correspondants...
L'obligation de "remettre au clair des données" peut en effet être dictée
à vos correspondants, ce qui n'est pas moins rassurant. De même, vous
pouvez être amené à déchiffrer un message qui vousa été envoyé.
. l'utilisation de clefs à usage unique peut y remédier. Il est en effet
tout à fait possible d'envoyer à son correspondant un e-mail chiffré comprenant
le message à protéger, ainsi qu'une nouvelle clef publique. Ce dernier
n'aura qu'à répondre, et rajouter lui aussi une nouvelle clef publique,
qui vous servira à répondre. Vous n'aurez plus qu'à révoquer, sinon détruire,
la première clef, et répondre avec vos nouvelles clefs. Ainsi de suite.
C'est un peu lourd à gérer, mais vous ne risquez plus de devoir être confronté
à l'obligation de devoir déchiffrer un message, ou de voir votre correspondant
le faire à votre place...
. le pseudonymat "en chaîne" permet aussi, a priori, de se protéger de
toute dénonciation forcée (cybercafé + serveur proxy + webmail situé à
l'étranger, par exemple), de même que l'utilisation de remailers anonymes
permet d'émettre un message (crypté ou non) sans pour autant permettre
de remonter jusqu'à la source du message (mais sans possibilité de répondre,
aussi).
...de l'art de rester informé.
Une loi ne viendra jamais à bout des mathématiques, et la cryptographie
relève de l'informatique, et les cryptographes n'ont de cesse d'inventer
des systèmes permettant de déjouer tous les types d'attaques possible
: il en va de la sécurité informatique (donc du commerce électronique
tout comme de la signature électronique, et donc de nos rapports avec
l'administration), ainsi que des droits de l'homme. Certains protocoles,
ou processus, permettent ainsi de se protéger encore plus avant.
Ainsi de Freenet (http://freenetproject.org), ou de Publius (http://publius.cdt.org/), qui garantissent l'anonymat, ou
encore de m-o-o-t (http://www.m-o-o-t.org/) ou de Rubberhose (http://www.rubberhose.org/), créés tout spécialement pour
déjouer l'obligation de déchiffrement... Et plus ça va, plus il y aura
d'alternatives de la sorte.
Suivre l'actualité de la cryptographie et de la sécurité informatique
est d'autant plus important qu'une faille de sécurité peut compromettre
votre vie privée. Il est ainsi fondamental d'appliquer les "patchs" et
mises à jour résolvant les failles de sécurité, de même qu'on ne peut
faire l'économie de savoir quels sont les nouveaux logiciels à utiliser.
On estime ainsi que, après des années de bons et loyaux services, il convient
aujourd'hui de ne plus utiliser PGP (en tout cas pas les version postérieures
à la 6.5.8), et d'y préférer GnuPG (GPG).
Bruce Schneier, l'une des personnalités les plus respectées des milieux
de la sécurité informatique, n'a de cesse de le répéter : la sécurité
est avant tout un processus. Aucune solution n'est fiable à 100% : rien
ne sert, par exemple, d'installer une porte blindée si on laisse la fenêtre
ouverte. Ainsi, l'utilisation d'un logiciel de cryptographie ne sert à
rien si elle repose sur une mauvaise gestion du mot de passe (pas assez
long, facilement devinable, mal choisi, inscrit sur un bout de papier
"caché" sous le clavier, etc. -voir Hygiène du mot de passe http://www.bugbrother.com/security.tao.ca/pswdhygn.html).
Et si la cryptographie est relativement simple d'utilisation, il existe
de nombreux moyens de la prendre en défaut.
Ainsi, aux Etats-Unis, le FBI a-t'il installé un keylogger (enregistreur
des touches tapées au clavier) sur l'ordinateur d'un mafieux, afin de
récupérer son mot de passe. Dans le cadre des mesures sécuritaires adoptées
suite aux attentats, les services secrets américains ont également décidé
de développer une "lanterne magique", cheval de troie permettant d'obtenir
le même résultat, mais à distance, et sans avoir besoin d'accéder physiquement
à l'ordinateur de la personne surveillée. Enfin, toute opération informatique
laissant des traces, il est possible, pourvu de s'en donner les moyens,
de retrouver un mot de passe, ou encore le contenu d'un message que l'on
a par la suite chiffré, dans les fichiers d'échange (swap) d'un ordinateur.
Autant dire que l'utilisation de la cryptographie ne peut faire l'économie
d'une bonne politique de sécurité informatique : utilisation d'un firewall
(surtout lorsque l'on dispose d'une connexion à haut débit), d'un anti-virus
voire d'anti-troyens... Ian Brown et Brian Gladman expliquent ainsi que
le "concept-clef" d'une bonne sécurité informatique repose sur une défense
"en profondeur" de son architecture informationnelle au moyen de la création
de plusieurs niveaux de sécurité. Les chateaux-forts médiévaux sont une
bonne analogie en la matière : . construits en haut d'une colline pour
réduire la possibilité d'attaques par surprise, . entourés d'une douve
profonde, . protégés par une enceinte extérieure fortifiée (et qui n'est
pas accolée bord à bord à la douve), . munis d'un ou plusieurs donjons
de sorte que, si un attaquant parvient tout de même à franchir les précédentes
défense, il soit confronté à de nouveaux obstacles, tous différents tant
dans leur process de sécurité que dans la ou les options que l'attaquant
devra choisir pour les franchir.
Comme le rappelle l'article 1er de la LSQ : "La sécurité est un droit
fondamental. Elle est une condition de l'exercice des libertés et
de la réduction des inégalités."
I N F O
Z O N E
s a m i z d a t . n e t
ttp://listes.samizdat.net/wws/info/infozone_l
Liberté et confidentialité : prenons le maquis !
Dans une indifférence quasi généralisée, les institutions françaises
en parfaite concordance avec ce qui se passe au niveau européen et international
viennent d'adopter plusieurs textes instaurant des limitations dans
l'utilisation du cryptage (seul moyen réel de garantir un minimum de
confidentialité des échanges sur l'Internet) et la légalisation du contrôle
policier de nos échanges sur les réseaux.
Faut-il rappeler que les fournisseurs de services Internet sont désormais
dans l'obligation légale de garder trace, pendant un an, de tous nos
échanges, correspondances, consultations de sites, etc. Accepterions-nous,
par exemple, que La Poste (ex-service public) garde « trace » de toutes
nos correspondances pendant un an ?
C'est tout simplement la légalisation du contrôle policier sur notre
vie privée et nos relations sociales ; c'est la mise en place d'un système
juridique où la présomption d'innocence cède le pas à la présomption
de culpabilité généralisée. Des pratiques que nous aurions pu croire
« réservées » aux républiques bananières et aux dictatures socialistes
ou islamistes.
Prenant ainsi prétexte des attentats meurtriers du 11 septembre dernier,
la plupart des Etats démocratiques adoptent aujourd'hui clairement des
mesures liberticides. De fait, syndicalistes, activistes associatifs,
organisateurs de « free parties », militants des droits de l'homme ou
finalement simples citoyens anonymes, nous sommes tous suspects de «
terrorisme ». Faut-il rappeler aussi que désormais le simple fait de
stationner dans un hall d'immeuble, ou de prendre le métro sans ticket,
deviennent des délits de « trouble à l'ordre public ».
Dans cette situation d'« état d'urgence » permanent, au nom duquel on
veut nous faire accepter la permanence du contrôle social, nous ne pouvons
qu'affirmer :
1) Qu'au nom du droit imprescriptible de chaque individu à la confidentialité
de sa correspondance nous continuerons à utiliser la cryptographie bien
au-delà des limites imposées par la loi.
2) Que nous utiliserons tous les moyens techniques existants (cryptographie,
firewalls, proxies, anonymizers) à notre disposition pour nous soustraire
à l'obligation d'un contrôle sur les échanges et les relations via les
réseaux de tout un chacun.
3) Que nous appelons l'ensemble des usagers des réseaux et des utilisateurs
de micro-ordinateurs à s'insurger contres ces lois immondes en pratiquant
la désobéissance sociale, en utilisant massivement les instruments de
cryptographie et d'anonymat disponibles, pour montrer aux prélats de
l'Empire que leur pouvoir arbitraire ne saurait s'appliquer aux territoires
de la communication.
L'existence de logiciels libres de cryptographie, de systèmes informatiques
libres et sécurisés (GNU/Linux et *BSD), d'algorithmes libres (c'est-à-dire
dont les sources sont accessibles aux utilisateurs) nous donnent aujourd'hui
les moyens pratiques de nous soustraire à cette loi. Nous ne nous en
priverons pas !
Que les députés et sénateurs incultes qui ont adopté un texte aussi
infâme que la Loi de Sécurité Quotidienne (LSQ) sachent que leur réglementation
imbécile est tout simplement impraticable, car s'il en était autrement
cela signifierait que les plus élémentaires règles de démocratie sont
bafouées dans ce pays.
Qu'ils sache aussi que leurs « décisions » ne valent rien face à la
pratique de la liberté des peuples des réseaux : insoumission, désobéissance,
dissidence vous rappèleront que si « gouverner c'est faire croire »,
comme le disait Nicolas Machiavel, la désobéissance est un devoir lorsque
la consigne est infâme.
24 janvier 2002 samizdat.net
Le collectif samizdat.net participera sur les thèmes de liberté
d'information et de communication aux « 10 jours de l'insoumission et
de la désobéissance sociale » organisées du 22 février au 2 mars prochain
pour protester contre le flicage de nos vies sous toutes ses formes
(http://forum.samizdat.net).
Le collectif samizdat.net sera aussi présent à la rencontre no-zelig
des 25-27/01/2002 à Paris pour participer à la diffusion de la pratique
de la cryptographie dans les milieux activistes et militants (http://www.no-zelig.org).
- Pour s'informer et agir contre la loi LSQ, voir le site LSIjolie (http://www.lsijolie.net) en particulier en s'associant à
la saisine du Conseil Constitutionnel pour faire annuler ce texte.
Pour plus d'informations sur les pratiques d'auto-défence digitale
voir le site bUg<BR>Oth3r (http://www.bugbrother.com) et en particulier la section :
Ordinateur & Sécurité Internet, Vie Privée, Anonymat et coetera
(http://www.bugbrother.com/security.tao.ca). Il est plus que
temps d'armer l'esprit...
- Pour passer de la coupe aux lèvres en matière de cryptographie :
Munitions (http://munitions.vipul.net),
Madchat (http://madchat.org)
ou 5hdumat (http://5hdumat.samizdat.net/crypto),
GNU Privacy Guard (http://www.gnupg.org),
OpenPGP en français (http://www.openpgp.fr.st/)
_____________________________________________
ZPAJOL liste sur les mouvements de sans papiers