Atelier les outils numériques au service des associations
Introduction
norme d'échange : on utilise tous des technos, on est tous expert de notre rapport avec les techs
pas de question bête : on a jamais eu d'espace pour avoir l'info : autodidacte
Jargon wall : si qqu'un utilise jargon, lancer une balle de papier
écoute active importante, distribuer les temps de parole
safe space : ce qui est raconté dans cette salle, reste dans cette salle, friendly and safe environment
si vous pensez qu'il y a qques chose qui manque, dites le moi
Matin 1
Icebreaking
qui utilise win / mac / linux
qui ds la salle est journaliste activiste membres d'ong membre des services de renseignement
qui a déjà reçu un virus informatique
qui a déjà reçu un spam, un faux e-mail d’hammoçonage
qui a déjà été victime d’attaques en ligne, de harcèlement en ligne, de troll
qui a déjà perdu des données sensibles
qui connaît edward snowden, julian Assange,
qui donnerait son mot de passe à son/sa petite amie, sa famille, ses amis
Dessiner sa "data" journée technologique
Dessiner ses interactions avec des appareils numériques, quel type de données y sont stockées, transportées, données qu'ils produisent activement et les données reçues d'autres personnes (dans le réseau)
Présentation collective de “sa” journée technologique
> Partir du principe que tout est écouté, regardé
> la sécurité est un jeu collectif, /!\ maillon faible dans son réseau
> changer ses mots de passe, utiliser des dispositifs chiffrés, faire des backups
> les basiques de la sécurité digitale : antivirus, back-up, phrase de passe complexe
> se connecter de façon sure, chiffrement des communications, anonymisation
' Questions à se poser par rapport à la sensibilité des données'
qu'est qui se passerait si données disparaissent ou “ennemie” à accès à ces données
est-ce que ces données contiennent beaucoup de données personnelles (permettant de retrouver la personne dans le monde physique)
Il s'agit d'un exercice à répéter dans l’analyse permanente du risque pour réactualiser périodiquement le modèle de menace auquel on s'expose et ainsi les réponses qu'il convient d'y apporter : mettre en place les procédures d'hygiène, changer passwd …
L'Ordinateur, principes durables
Principes
Passer son Ordinateur sous Linux :)
Utiliser des logiciels libres (90 % des serveurs internet tournent sous Linux …)
Faire les mises à jours
Faire des sauvegardes sur des supports externes stockés dans un autre endroit physique
Ne pas installer de logiciels issues de sources douteuses
Ne pas croire que l'on a gagné à la loterie (clic mail)
Ne pas se promener n'importe où sur la toile (virus en ligne)
Protéger son ordinateur contre les logiciels malveillants, les pirates, les grandes oreilles
Phrases de passe
A renouveler périodiquement … login et mot de passe différent par compte en ligne
Mettre un mot de passe principal dans son navigateur Firefox pour conserver ses mots de passe dans un espace chiffré
Données et matériels
Crypter le disque dur de son ordinateur
Se créer un espace de stockage chiffré pour y mettre des fichiers à l'abri
Ce logiciel permet créer un espace de stockage de taille définie portable et offrant une clef qui peut être transportée séparément. C'est idéal pour stockage de mot de passe et autres fichiers sensibles, le logiciel offre également la possibilité d'intégrer la clef à une image via la stéganographie
S'envoyer des fichiers cryptés
Après Midi 1
La vie du réseau
C'est quoi Internet ?
Structure physique
serveur / routeur
FAI / Backbones
Adresse IP
/usr/share/OpenVisualTraceRoute/ovtr.sh
Paquet IP
échange découpé en petits paquets
paquet IP
fonctionnement théorique internet : fonctionnement ordi / cable / serveur, réseau existant, backbones
-
install party couches de protection:
-
Exercice jeu de rôle
exercice : gmail, mail du pays par FAI > FAI, gateway, routeur, serveur : chacun incarne un acteur du réseau, on fait circuler des données de différentes façons 1 contenu et meta-data, lisible 2 on chiffre : on ne voit plus le contenu 3 TOR + riseup : ok mais meta données toujours visibles démo Pidgin + OTR : authetification : question secrète, authentification
Préserver la confidentialité de ses communications sur le web
Le web - Navigateur et plug-ins
Moteurs de recherche alternatifs
Evaluer la traçabilité de sa configuration navigateur + OS
le “fingerprinting” permet de nous identifier à partir de la combinaison : système d'exploitation, navigateur et ses configurations et extensions, taille de l'écran …
Les métadonnées sont des données associées au fichier lui-même, une pĥoto peut par exemple intégrer des données de géolocalisation, le nom de l'auteur, le logiciel utilisé pour la traiter, la définition de l'appareil photo, … voir https://blog.mathiasblanchemanche.ch/2015/10/21/Anonymiser%20les%20m%C3%A9tadonn%C3%A9es%20d'un%20fichier.html
Pour demander au logiciel de remplacer toutes les informations contenues dans les métadonnées par “petit chaton” (remarquez l’originalité) tout en écrasant la donnée originale :
exiftool "-all:all=petit chaton" -overwrite_original *.ogg
Utiliser les emails de façon plus sure
Les mails, les meta-données …
Fournisseurs de courriels sympathiques
Tester son adresse mail vis à vis des filtres anti-spam
Utiliser des mails jetables
Chiffrer ses mails avec PGP
Il convient de combiner un client mail type Thunderbird et le plug-in enigmail :
Chiffrer ses webmails avec PGP
Ressources PGP :
Préserver son anonymat, contourner la censure
En utilisant Tor (The Onion Router, outil pour anonymiser certaines connexions), Tails (Système Linux orienté anonymat), un VPN (connexion chiffrée entre 2 points : soi-même et son founisseur de VPN)
Comprendre la différence entre anonymisation et chiffrement
Questionner la limite de ces outils : qui possède les serveurs ? qui développe les algo de cryptage ? qui a inventé ssh ?
Matin 2
Outils collaboratifs
Mailing list groupe de discussion
Liste de diffusion (pour envoi 1 expéditeur > plein de destinataires)
Des outils libres d'organisation, de communication et d’échange
Édition collaborative
Visioconférence
Messagerie instantanée
Organisation temps / projets / admin
Partage de fichiers
Autohéberger ses services avec Yunohost
Utiliser des réseaux sociaux
Se poser les bonnes questions
'Quel est le modèle économique du site sur lequel je m'inscris ? Qu'est-ce qui lui permet d'exister ?
'
Réglages des paramètres de confidentialité, mots de passe sûrs à changer, utilisation d'https
Bien déterminer quel type d’informations on publie, obtenir l’accord de tiers :
qui peut voir l’information que je mets en ligne
qui est le propriétaire de l’information que je publie sur le site de réseautage social
quels renseignements à mon sujet mes contacts peuvent-ils transférer à d’autres parties
Est-ce que mes contacts sont à l’aide avec le fait que je partage leurs renseignements avec d’autres
Fais-je bien confiance à toutes les personnes avec qui je suis en réseau ?
Même en ne s'inscrivant pas, des plateformes (Facebook, linkdin) créent des “shadow profiles” à notre insu
Gare à la création de comptes sur d’autres plateforme avec son compte facebook, google
Choisir entre 4 types d’identité
ton nom réel : plus facilement identifiable mais génére de la crédibilité et influence
anonymat : permet des expressions d'opinion sur des questions mal vues et sensibles, option la plus difficle à maintenir, peu d'opportunité de générer un réseau de solidarité
identité pseudonymique : risque d'identification dans le monde réel, mais possible
pseudonymat collectif : identité collective anonymous guerilla girl, risque si un membre du collectif fait des bêtises, nourrir les imaginaires et les actions avec cette identité collective
4 stratégies pour altérer son ombre digitale
Les différents niveaux stratégiques : installation de programme et d'appli, génération de contenus et de meta-données (explication de la différence), utilisation de dispositifs matériels (comment on se connecte au net)
fortification : créer des barrières, restreindre l'accès et la visibilité, monitorer qui te suit qui tente de compromettre, creer des comptes ds tous les medias sociaux pour baliser le terrain, antivirus et spyware à jour, quarantaine, chiffrer, cacher ta webcam, migrer vers os plus surs comme gnu/linux
réduction : moins c'est mieux, combiner tactiques pour générer un manque de données sur soi : nettoyer et éliminer comptes et profils non-utilisés, ignorer et bloquer des applications et services digitaux non nécessaires, résister à la publication d'images et d'infos sur soi et son collectif, utiliser des vieux devices
obfuscation ou camouflage : plus de données tu génère, c'est le mieux : dévaluer la valeur de l'info, rompre les routine de navigation (apps et plug in), générer du bruit avec son identité (ouvrir différents comptes avec x identités), se cahcer dans la mutlitude ou ds identité collective (bien lire le zen manual), ne pas contaminer, créer des personnages crédibles (voir fakena ds zen manual pr créa id crédibles
compartimentation : bien compartimenter tes données, tes identités : bien déterminer ses domaines sociaux et bien les compartimenter, maintenir séparés, isoler la surface d'attaque
Après midi 2
Pratiques numériques respectueuses de l'environnement
Ressources
La sécurité holistique
Pluie d’idée par rapport à la sécurité : évoquer des mots évoquant la sécurité informatique
3 dimensions : bien être / matériel / informatique > sécurité holistique https://holistic-security.tacticaltech.org/
Il est en effet difficile d'avoir des pratiques sures ou d'apprendre quand on est fatigué ou sous pression
Le jeu du modèle de menace
> Les données sur le disque dur réseau de mon association sont perdues
> Je me fais dérober mon téléphone
> J'échange avec des personnes dans une situation à risque
> Je communique au quotidien avec des collègues, partenaires, amis
> Je conserve des données sensibles
Cinq questions à se poser pour évaluer votre modèle de menace :
Que souhaitez-vous protéger ?
Contre qui souhaitez-vous le protéger ?
Quelle est la probabilité que vous ayez besoin de le protéger ?
Quelles seraient les conséquences si vous échouiez ?
Quels désagréments êtes-vous disposé à affronter afin de vous en prémunir ?
Voir : https://ssd.eff.org/fr/module/une-introduction-au-mod%C3%A8le-de-menace
Téléphone mobile / intelligent
Fonctionnement de la téléphonie, triangulation, autorisation des applications, metadonnées, OS alternatifs, applications signées, rooting et jailbreaking
Chiffrer son téléphone, mot de passe sur, utiliser des applications libres
Logiciels à recommander pour la communication et l’échange
Logiciels mobiles réputés sures (au 10 2021)
-
-
-
Orbot + Orweb (naviteur type Tor bundle)
keepassDroid
Android Privacy Guard (chiffrement d'emails)
Obscuracam pour occulter les visages
-
Libérer son téléphone
Synthèse des bonnes pratiques
Backup, phrases de passes solides, utilisation de logiciels FLOSS, Infrastructure autonome sympathique (Yunohost, services non commerciaux), sécurité holistique, actualisation de l’évaluation des risques, réseau de confiance, Safe spaces
Qu'est que l'on commence, qu'est que l'on arrête, qu'est-ce que l'on continue de faire ?
Évaluation de l’atelier
Les bonnes ressources sur lesquelles s’appuyer
Outils actualisés, révisés par des experts
-
-
-
-
-
-
-
-
-
Une très bonne liste d'outils et d'alternatives aux solutions commerciales avec pas mal d'autres sites ressources en bas de page
https://www.privacytools.io
-
-
-
-
Quelques vidéos