06 juin 2013 : Edward Snowden publie des documents relatifs à la surveillance massive de la population par la NSA

07 juin 2013 : Internet se réveille avec la gueule de bois

La NSA a pu surveiller autant de monde aussi facilement uniquement parce que personne n’utilise les outils de chiffrement pourtant à disposition de tous

On va étudier le (long) voyage d’un petit paquet IP
sur le grand réseau Internet
Et regarder comment sécuriser chacune des étapes !

• Sécurité physique / locale
• Sécurité des communications
• Sécurité des services / hébergements
• le bordel problème du web

Internet, ce n’est malheureusement pas ça…

Internet, c’est ça…

• Utiliser du logiciel libre ⇒ GNU/Linux
• Mettre à jour régulièrement son système
  ⇒ Au moins 1× par semaine ⇒ Au mieux 1× par jour !
• Gérer correctement ses mots de passe
  ⇒ Pas le même partout ! ⇒ KeepassX
• Chiffrer ses données
  ⇒ TrueCrypt, , LUKS pour les disques durs
  ⇒ TextSecure , pour les SMS

• Pare-feu efficace
  ⇒ Tout ce qui n’est pas autorisé est interdit
• Ne pas laisser traîner son ordinateur tout seul
  ⇒ Verrouiller sa session
  ⇒ Machine en veille/hibernation
  ⇒ Éteindre complètement la machine
• Ne pas brancher une clef USB inconnue
  ⇒ Salons, conférences, séminaires
  ⇒ Transports
  ⇒ Publicitaires
• Si vraiment machine tierce / environnement critique
  ⇒ Tails

« imirhil.fr » est inconnu d’un point de vue réseau
Besoin de l’adresse IP (5.135.187.37 ou 2001:41d0:8:c425::1) ⇒ DNS Généralement, on utilise le résolveur DNS de son FAI

• but commercial : pub, trafic…
• but « technique » : mise-en-cache, optimisation… (généralement sur mobile)
• sur demande judiciaire : loi terrorisme
• dictature : censure

ARP spoofing, injection de paquet, IP spoofing

Installer son propre résolveur local
Interroge directement les serveurs DNS racine d’Internet
(Ce qui n’est pas très cool pour les chatons 😿)

Vraiment en situation d’urgence : (Merci Google…)

Vraiment en situation d’urgence : (Merci Google…)

Les communications circulent de routeurs en routeurs,

2 modes de protection

• Point-à-point (TLS…)
  
• End-to-End (GPG, OTR…)
  

P₂P repose uniquement sur la bonne coopération des différents acteurs techniques.

E₂E reprend les mêmes techniques que P₂P

Cryptographie à clef publique :

• On signe avec notre clef privée , notre destinataire nous authentifie avec notre clef publique
• On chiffre avec la clef publique de notre destinataire, qui déchiffrera avec sa clef privée

La chaîne de confiance devient :

Mes amis sont mes amis
Point.

Les 2 systèmes E₂E les plus utilisés sont GPG (mail) et OTR (IM)

Supportés nativement (KMail, Clawsmail) ou via extensions (Enigmail, Pidgin)

Les principaux obstacles à un usage plus massif sont :

• l’usage peu massif (œuf, poule, tout ça tout ça…)
• la distribution des clefs

pub   4096R/0xEFB74277ECE4E222 2013-12-23 [expire : 2014-12-31]
 Empreinte de la clef = 6A68 B761 2629 7666 ECF4  8F03 EFB7 4277 ECE4 E222
uid                            Aeris  <aeris@imirhil.fr>
uid                            Nicolas Vinot <nvinot@april.org>
uid                            Aeris <aeris@terrorist.es>
sub   4096R/0x2016AF020A7C3668 2013-12-23 [expire : 2014-12-23]

Le prochain qui me dit qu’on est associal, je le mord

Le serveur connaît l’adresse IP du client (lanceur d’alerte, journaliste, personne battue…)

Problème du « cloud »

• Où sont stockées mes données ?
• Qui y a accès ?
• Quel niveau de sécurité ?

On peut parfaitement s’auto-héberger

• Ça ne coûte pas cher
  • Raspberry Pi : 50€, 5W
  • Shuttle XS35v2 : 150€, 40W
  • Dédié Online : 7€/mois
• Ça ne demande pas forcément beaucoup de temps / compétences
  (Mais un peu quand même)
• C’est très formateur / intéressant
  Et ça ça n’a pas de prix

On peut s’adresser à des association
http://degooglisons-internet.org/

On peut auto-héberger plein de choses

• Jabber (Prosody), GNU/Social, Diaspora*
• Site perso , blog
• partage de documents (Owncloud)
• « Pad », pastebin (ZeroBin)
• Mail (Posfix/Dovecot/Roundcube)
• …