======Atelier Internet sécurité respect de la vie privée et anonymat====== https://frama.link/secupriv ===== Introduction ===== ==== Avertissement ==== Les questions de sécurité informatique et l'efficacité des outils évoqués dans cet atelier sont susceptibles d'évoluer ou de devenir obsolètes, n'hésitez donc pas à croiser les sources d'information pour vous maintenir à jour ==== Charte de l’atelier ==== * norme d'échange : on utilise tous des technos, on est tous expert de notre rapport avec les techs * pas de question bête : on a jamais eu d'espace pour avoir l'info : autodidacte * Jargon wall : si qqu'un utilise jargon, lancer une balle de papier * écoute active importante, distribuer les temps de parole * safe space : ce qui est raconté dans cette salle, reste dans cette salle, friendly and safe environment * si vous pensez qu'il y a qques chose qui manque, dites le moi * le contexte : atelier sur temps court : donner des méthodologies reproductibles plutôt que former à des outils, fournir des ressources pour poursuivre de façon autonome après l'atelier ==== Enjeux ==== **Les enjeux ?** [[Internet_sécurité_et_anonymat#Donn.C3.A9es_et_.C3.A9tats|se référer à la partie "Enjeux" de la page générique]] * Données et états * Données et entreprises * Données et citoyens * Données et art {{ media_03:deadrop2.jpg?500 }} ==== Alors que faire ? ==== * Sécurité holistique * Faire du bruit : chiffrer / crypter / transformer en bouillie ses données pour augmenter le coût de la surveillance et "noyer le poisson" * Infrastructure autonome, utilisation de logiciels libres, chiffrement de bout en bout ===== Icebreaking ===== * qui utilise win / mac / linux * qui ds la salle est journaliste activiste membres d'ong membre des services de renseignement * qui a déjà reçu un virus informatique * qui a déjà reçu un spam, un faux e-mail d’hammoçonage * qui a déjà été victime d’attaques en ligne, de harcèlement en ligne, de troll * qui a déjà perdu des données sensibles * qui connaît edward snowden, julian Assange, * qui donnerait son mot de passe à son/sa petite amie, sa famille, ses amis {{ media_05:kitler8845.jpg }} ===== Cartographie des activités et des risques ===== Pluie d’idée par rapport à la sécurité : évoquer des mots évoquant la sécurité informatique **3 dimensions** : bien être / matériel / informatique > **sécurité holistique** https://holistic-security.tacticaltech.org/ * Intégrité physique de soi même et de ses appareils * Bien être moral, social * Sécurité informatique Il est en effet difficile d'avoir des pratiques sures ou d'apprendre quand on est fatigué ou sous pression {{ media_05:content_holisticsecurityvenn.png?600 }} ===== Dessiner sa journée technologique ===== **Dessiner ses interactions avec des appareils numériques**, quel type de données y sont stockées, transportées, données qu'ils produisent activement et les données reçues d'autres personnes (dans le réseau) * Présentation collective de "sa" journée technologique * > la sécurité est un jeu collectif, /!\ maillon faible dans son réseau * > changer ses mots de passe, utiliser des dispositifs chiffrés, faire des backups * > les basiques de la sécurité digitale : antivirus, back-up, phrase de passe complexe * > se connecter de façon sure, chiffrement des communications, anonymisation //' Questions à se poser par rapport à la sensibilité des données//' * qu'est qui se passerait si données disparaissent ou "ennemie" à accès à ces données * est-ce que ces données contiennent beaucoup de données personnelles (permettant de retrouver la personne dans le monde physique) Il s'agit d'un exercice à répéter dans l’analyse permanente du risque pour réactualiser périodiquement le modèle de menace auquel on s'expose et ainsi les réponses qu'il convient d'y apporter : mettre en place les procédures d'hygiène, changer passwd … ===== Le jeu du modèle de menace ===== Commençons par : > votre analyse des tendances politiques, économiques, sociales et technologiques en cours dans votre contexte > une liste des activités ou des types de travaux que vous effectuez afin d'atteindre vos objectifs > votre carte d'acteurs, en particulier les adversaires > une liste des indicateurs de sécurité que vous avez observés dans vos travaux précédents. Considérez et notez toutes les menaces potentielles pour vous-même, votre organisation et votre travail. Il peut être utile de les catégoriser en commençant par chacune de vos activités ou chacun de vos domaines de travail. Rappelez-vous : une menace est tout événement potentiel qui pourrait vous nuire ou nuire à votre travail. N'oubliez pas de tenir compte des menaces potentielles liée à votre sécurité informatique et des menaces vis à vis de votre bien-être, politique ou autre. {{ media_05:content_threatmatrix.png?direct |}} Ensuite,choisissez quelques cas pratiques : > Les données sur le disque dur réseau de mon association sont perdues > Je me fais dérober mon téléphone > J'échange avec des personnes dans une situation à risque > Je communique au quotidien avec des collègues, partenaires, amis > Je conserve des données sensibles Cinq questions à se poser pour évaluer votre modèle de menace : - Que souhaitez-vous protéger ? - Contre qui souhaitez-vous le protéger ? - Quelle est la probabilité que vous ayez besoin de le protéger ? - Quelles seraient les conséquences si vous échouiez ? - Quels désagréments êtes-vous disposé à affronter afin de vous en prémunir ? Voir : * https://ssd.eff.org/fr/module/une-introduction-au-mod%C3%A8le-de-menace * https://nothing2hide.org/slides/atelier-modele-de-menace.html#/ * Exercices Inventaire des menaces : * https://holistic-security.tacticaltech.org/exercises/explore/threat-brainstorm.html * https://holistic-security.tacticaltech.org/exercises/explore/threat-inventory.html * https://holistic-security.tacticaltech.org/exercises/explore/reflecting-on-perceiving-threats.html {{ media_03:b11sarahconnor.jpg?440 }} ===== L'Ordinateur, principes durables ===== **[[ordinateur_principes_durables|Voir la page dédiée à l'entretien et à la sécurisation de l'ordinateur]]** ===== C'est quoi Internet ? La vie du réseau ===== **[[internet_quoi_la_vie_du_reseau|Voir la page dédiée à l'architecture d'Internet et son fonctionnement]]** ===== Préserver sa vie privée et son anonymat lorsque l'on utilise le web ===== **[[utiliser_le_web_de_facon_plus_sure_et_anonyme|Voir la page dédiée au web et à la préservation de sa vie privée et son anonymat]]** et [[utiliser_le_web_de_facon_plus_sure_et_anonyme#preserver_son_anonymat_contourner_la_censure | utilisation de Tor et Tails]] ===== Utiliser les emails de façon plus sûre ===== **[[utiliser_emails_de_facon_plus_sure|Voir la page dédiée à l'utilisation des mails, aux fournisseurs, au chiffrement]]** ===== Outils de communication et d'échange et réseaux sociaux ===== **[[outils_de_communication_et_echange_reseaux_sociaux|Voir la page dédiée aux outils de communication et à des stratégies d'usage des réseaux sociaux pour préserver sa vie privée]]** ===== Installer, administrer son propre serveur pour garder le contrôle sur ses données ===== **[[administrer_propre_serveur|Voir la page dédiée à l'installation et à l'administration de son propre serveur]]** ===== Téléphone mobile / Smartphone ===== **[[telephone_mobile_smartphone|Voir la page dédiée aux téléphones mobiles / intelligents : applications liées à la communication et la sécurité, OS alternatifs]]** ===== Synthèse des bonnes pratiques ===== **Backup, phrases de passes solides, utilisation de logiciels FLOSS, Infrastructure autonome sympathique (Yunohost, services non commerciaux), sécurité holistique, actualisation de l’évaluation des risques, réseau de confiance, Safe spaces** Qu'est que l'on commence, qu'est que l'on arrête, qu'est-ce que l'on continue de faire ? * Start * Stop * Keep **Évaluation de l’atelier** ===== Les bonnes ressources sur lesquelles s’appuyer ===== **Outils actualisés, révisés par des experts** * **Une très bonne liste d'outils et d'alternatives** aux solutions commerciales avec pas mal d'autres sites ressources en bas de page : **[[https://www.privacyguides.org/fr/basics/why-privacy-matters/|Privacy Guide]]** en français et aussi [[https://www.privacyguides.org/fr/about/privacytools/#pour-en-savoir-plus|pourquoi il ne faut plus utiliser le site privacytools.io]] * le [[https://ssd.eff.org/fr|guide de l'EFF pour l'Autodéfense numérique contre la surveillance]] : astuces outils et guides pratiques * La [[https://www.digitalfirstaid.org/fr/index.html|trousse de premiers soins numériques]] * Le [[https://gendersec.tacticaltech.org/wiki/index.php/Complete_manual|Zen manual]] * Le [[https://guide.boum.org|Guide d’autodéfense numérique]] de Boum * Les [[https://nothing2hide.org/wiki/doku.php?id=protectionnumerique:ressources|ressources de l'association Nothing2Hide]] qui fait le lien entre journalistes et sécurité informatique * [[https://totem-project.org/fr/index.html#about|les cours en ligne Totem]] développés en collaboration avec Greenhost et Free Press Unlimited, une plate-forme en ligne qui aide les journalistes et les activistes à utiliser plus efficacement les outils et les tactiques de sécurité numérique dans leur travail * [[https://securityinabox.org/|Security in a box]] et ses guides thématiques > !!! Plus mis à jour en français !!! * [[https://myshadow.org/|Me and my shadow]] tips for mobile phone and browser et **liste d'applications** https://myshadow.org/resources * Des ressources pour [[http://en.unesco.org/news/unesco-releases-new-publication-protecting-journalism-sources-digital-age|protéger les sources des journalistes]] par l'UNESCO * Formation en sécurité numérique pour activistes et journalistes, [[https://totem-project.org/fr/|les cours en ligne Totem]] * 2 ateliers de hacking offensif (en espagnol) très bien documentés aborder ce qu'est la hacking offensif, pour tester [[https://0xche.org/recursos/fundamentos-seguridad-ofensiva/|la sécurité se son serveur]] et celle d'[[https://0xche.org/recursos/seguridad-apps-moviles/|application Android]] * Quelques [[https://echap.eu.org/ressources/|très bons guides proposés par l'association Echap]] sur l'approche femmes et technologies * Le site réalisé par le Centre Hubertine Auclert à partir des travaux du guide Chayn sur "[[https://www.guide-protection-numerique.com/|Comment protéger sa vie privée en ligne]]" et une partie spécifique sur le cybersexisme ou les cyberviolences. * **Framabook "Libertés numériques" qui traite de ces questions** https://docs.framasoft.org/fr/manueldumo/index.html * Une compilation d'articles et de vidéos "Do not track me" https://donottrack-doc.com/fr/episodes/ * Des ressources et tutoriaux proposés par la CNIL https://www.cnil.fr/fr/maitriser-mes-donnees * Liste de fournisseurs de services sympathiques / alternatifs https://github.com/indiehosters/awesome-librehosters * Ma vie sans google http://lezohtml.eu/2017/01/30/ma-vie-sans-google/ * **Outils pédagogiques pour mieux comprendre les enjeux du pistage via les smartphones** https://reports.exodus-privacy.eu.org/fr/info/understand/ * Une page didactique sur l'importance des transformations actuelles / grosses données https://socialcooling.fr/ * Une liste de ressources sur la sécurité numérique https://www.frontlinedefenders.org/en/digital-security-resources * Guide de la CNIL "Sécurité des données personnelles" https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles * Les fiches pratiques du CECIL https://www.lececil.org/fiches * Refusez les programmes de surveillance des données comme PRISM, XKeyscore et Tempora https://prism-break.org/fr/ * Tester les tin foil hat http://web.archive.org/web/20100708230258/http://people.csail.mit.edu/rahimi/helmet/ * [[https://wiki.pcet.link/accueil|Des recommandations en français pour protéger sa vie privée]], site bien complet {{:TinfoilsuitCRNUZprUEAAeQS4.jpg?900|centré centré}} ===== Quelques vidéos ===== * Vidéo de cables sous-marins par Trevor Plagen http://thecreatorsproject.vice.com/blog/trevor-paglen-landscape-photography-machine-vision * Vidéo à l'intérieur d'une ferme de minage de bitcoin https://www.youtube.com/watch?v=K8kua5B5K3I * Webdoc "Worldbrain" teaser https://vimeo.com/117731172 http://worldbrain.arte.tv/#/ {{tag>bj securite}}