Le blog de Genma
Vous êtes ici : Accueil » Informatique & Internet » Chiffrement » La sécurité, cauchemar des journalistes par Jujusete

La sécurité, cauchemar des journalistes par Jujusete

D 28 mai 2014     H 14:00     A Genma     C 1 messages   Logo Tipee

TAGS : Chiffrement Tor

Lors du cycle de conférence haxpo, Julie Gommes, aka Jujusete a donnée une conférence intitulée Security Nightmare for journalists One day, we’ll be all SysAdmin - La sécurité, cauchemar des journalistes. Un jour, nous serons tous administrateur système. Cette présentation étant en anglais mais sous licence CC-by-SA, voici donc la traduction du texte des diapositives.

Le support de la conférence est disponible ici : Haxpo-D1-Security-Nightmares-for-Journalists.pdf



licence CC-by-SA

Résumé de la présentation :
De nos jours, si nous voulons faire notre travail de journaliste de façon correcte et en toute sécurité, nous aurions besoin d’au moins deux heures de présentation sur la sécurité et l’administration système :
 Créer sa clef GPG
 Avoir son propre serveur mumble afin de pas utiliser Skype
 Utiliser rsync pour transférer les fichiers sur son propre serveur afin de ne rien avoir avec soi en cas de contrôle à la frontière ou en cours de traversée d’un pays.
 Savoir se connecter en SSH à son serveur auto-hébergé
 Savoir ce qu’est une carte SD avec du contenu aléatoire au sein duquel il y a un conteneur chiffré caché.

L’idée de cette conférence est de parcourir toutes les technologies qu’il est nécessaire de connaître de façon rapide et avec humour. Si vous voulez vraiment faire votre travail de journaliste, cela demande de recourir à l’usage de différents outils liés à la vie privée et au chiffrement, et cela n’est pas (encore) enseigné dans les écoles de journalisme. Sachant qu’en France, il y a « urgence » vu que l’existence d’une nouvelle loi dite « LPM » qui donne le pouvoir à l’armée / aux militaires afin de surveiller le trafic français.

A propos de Julie Gommes

Julie est une journaliste qui développe et communique avec son ordinateur par la ligne de commande. Elle a travaillé dans la presse écrite, pour le web et la radio avant de devenir formatrice à la rédaction d’un journal français au Laos, enseignant le journalisme en Egypte et apprenant l’Infosec pendant les révolutions en Egypte et en Syrie. Maintenant, elle enseigne la sécurité aux journalistes et participe à certains groupes français qui luttent pour la neutralité du Net.
 Son Twitter : @jujusete
 Son blog seteici.ondule.fr/
 Mon interview Interview de Jujusete

TRADUCTION

Voici donc la traduction du texte des différentes diapositives de la présentation Security Nightmare for journalists One day, we’ll be all SysAdmin - La sécurité, cauchemar des journalistes. Un jour, nous serons tous administrateur système

A l’étranger, vous devez...
 Maitriser les outils que vous utilisez
 Vous connectez à un serveur distant pour y mettre vos données
 Savoir comment vous connecter de façon sécurisée (via SSH par exemple) pour pouvoir déposer vos données sur le serveur.

Et c’est là que commence le cauchemar

Maitriser ses outils

 Si vous ne savez pas comment fonctionne votre ordinateur, vous ne saurez pas comment faire pour effacer/supprimer/éliminer toutes traces de vos données et fichiers
 Si vous n’utilisez pas des logiciels libres, comment pouvez-vous savoir ce que font vos appareils ?
 Depuis les révélations de Snowden, on sait que si l’on achète un ordinateur, on ne peut savoir si la NSA n’a pas mis quelque chose à l’intérieur.

Avoir son propre serveur

Hébergé chez soi ou dans un datacenter
 On doit utiliser la ligne de commande pour l’administrer
 On doit savoir le sécuriser

Utiliser le serveur d’un(e) ami(e)
 Il faut qu’il soit correctement paramétré afin qu’il/elle ait accès (ou non) à votre espace
 C’est un bon début pour apprendre

Si n’importe qui peut avoir accès à ce serveur, les données ne sont pas en sécurité.

Ne vous inquiétez pas, ce n’est que le début...

"Je suis trop fatiguée pour que tu me lises une histoire ce soir, papa. Tu n’as qu’à me l’envoyer par mail et je la lirais demain".

Transférer les données sur le serveur

En utilisant Rsync
 En utilisant la ligne de commande-
 Attention à ne pas oublier de nettoyer le fichier .bash_history

Via un classique (s)FTP

Nettoyage des cartes SD

Sur les cartes SD, rien n’est supprimé physiquement tant que de nouvelles données n’y sont pas inscrites.
 Utiliser la commande ’rm’ pour effacées les données ? DANGER !
 Les fichiers sont encore présents et n’importe quel logiciel de récupération des données permettra de les retrouver
 La seule protection efficace : à chaque fois, il faut réécrire la carte SD dans son intégralité, avec des données aléatoires, via la commande dd if=/dev/urandom of=/dev/sdX bs=4M

Transfert de données

Ouvrir les fichiers avant de les avoir transférer est un autre danger :
 Les logiciels utilisés pour ouvrir les documents gardent un historique des fichiers qui ont été ouverts
Les images et les fichiers sons contiennent également des métadonnées : la date de l’enregistrement, la position GPS, le modèle de l’appareil...
 Il faut donc nettoyer tout ça
 https://wiki.archlinux.org/index.php/Secu
rely_wipe_disk

.bash_history

L’usage de la commande rsync utilisée pour le transfert de donnée est mentionnée dans le fichier utilisateur .bash_history.

Il faut donc modifier le fichier .bash_history pour ne pas laisser de trace de l’usage de Rsync.

 http://www.techrepublic.com/article/linux-command-line-tips-history-and-histignore-in-bash/

La sécurité du serveur

 Se connecter en SSH
 Chiffré les dossiers dans un dossier chiffré lui-même sur un disque chiffré...?
 Ne pas conserver d’éléments dont on ne connait pas le niveau de sécurité
 Pensez à vérifier les droits sur les répertoires
 Qui a accès à ce serveur ?

Quand le cauchemar devient rêve....

Ne jamais laisser tomber ses rêves...

Utiliser Tails

 A chaque fois que vous avez besoin de transférer des données
 Ne laisse aucune trace sur le disque dur
 La connexion se fera via TOR
 Rsync est inclus dans Tails

Se connecter en SSH via TOR ?

 Doit-on utiliser une clef privée ou une passphrase ?
 Il faut penser à conserver la clef privée sur un clef USB chiffrée (via Luks)
 On monte la clef USB au sein de la distribution live
 Est-ce plus complexe que de gérer une phrase de passe (complexe) ?

Merci à vous. Questions

Le support de la conférence est disponible ici : Haxpo-D1-Security-Nightmares-for-Journalists.pdf

NOTE DE GENMA : suite à l’annonce de la mise en ligne du support de cette conférence, une discussion a été lancée sur Twitter afin d’apporter des éléments d’amélioration aux conseils données dans cette conférence. Il est par exemple conseiller que l’accès SSH se fasse via hidden service de TOR et uniquement de cette façon, afin de ne pas exposer l’adresse IP de son propre serveur, qui sera visible au noeud de sortie TOR.

Dans la même rubrique

14 février 2020 – KeepassXC - Faire des phrases de passe

7 septembre 2016 – Keepass au quotidien c’est possible

18 août 2016 – Une de mes clef GPG révoquée était une fausse

4 mars 2016 – Tails et Volume persistant

30 juillet 2015 – Calomel SSL Validation

1 Messages

  • Le problème étant toujours les mêmes pour les mordus d’infos, on a toujours l’impression d’avoir à faire à des adolescents. M’enfin, ....étant donné que dans la société de dégénérés d’aujourd’hui on trouve courramement des ados de 60 ans plus rien ne m’étonne.
    Premièrement on ne sait pas qui est cette Julie, et qui est derrière ?
    Ensuite, vous parlez de Tor, le saint graal de la sécurité ? Mouais, seuls les ados peuvent y croire. Ce que vous vous gardez bien de dire c’est le fait que Tor est un projet de l’US Navy donc.... ce prétendu saint graal de la Sécurité, ça craint quand même un peu.
    Je vous invite à jeter un oeil sur cette discussion autour d’un article du magazine developpez :

    http://www.numerama.com/f/119953-t-tor-perd-son-anonymat-le-darknet-tangue.html

    Par ailleurs vous parlez de SSH, de Tor, Windows, les logiciels etc...mouais, et le hardware dans tout ça ? Votre processeur c’est un quoi ? Votre disque dur c’est un quoi ? Vos mémoires c’est du quoi ?
    Pour la petite histoire, c’était du temps lointain où le parlement européen avait encore son mot à dire. Les euro députés avait -je n’arrive plus à retrouver l’article, mais vous feriez mieux de chercher- collé, où si mes souvenirs sont bons carrément voté contre un projet processeur US dans les micro. Jugeant qu’il était bourré de spywares. Donc, déja au niveau de la couche hardware du modele OSI -dont je le repete l’architecture a été pensé par le DOD- la confidentialité craignait déja il y a plus de dix ans, alors que dire des 6 autres couches ? Et en plus aujourd’hui ?

    En fait ce que vous essayez de faire c’est de dire à ces braves gens qui prétendent défendre nos libertés des trucs utiles pour être invisibles de préference à ces gouvernements, que vous appelez "régimes" : Syrie, Iran, Vénézuela, éventuellement Tunisie, et Egypte ça ne mange pas de pain, mais surtout contre Cuba, la Chine et la Russie, seul vrais résistants au NOM. Quid des USA ? Ah oui, peut être un peu la NSA, mais je tiens à vous dire que vous n’inventez pas la poudre. On sait tous que la surveillance commence déja par nos cartes de sécu, quand au reste n’en parlons même pas.

    Quand aux logiciels open source, soit, qui les financent ? Quand vous regardez la plupart de ces logiciels "dit" open source -encore faudrait il s’entendre sur cette définition- ils sont pour beaucoup d’entre eux financé par les multinationales US, dont on sait trés bien leur attachement à la liberté. Alors parler d’open source !

    A vous lire vous me semblez à être des clônes de cette gôche faux-culs, caviar, sans doute des dérivés trotskystes qui marchent main dans la main avec les capitalistes.

    Aujourd’hui, les gens commencent à comprendre l’ampleur de la surveillance, la nature des régimes, et la vraie menace qui pèse sur notre civilisation, quand bien même ces mêmes régimes sont entrain de tout faire pour museler le Web.

    Cordialement.