%BEGINLATEX%

Autodéfense numérique (sur Internet)


Revision: r15 - 04 Nov 2016 - 08:07:08 - MarcSCHAEFER

Lorsque l'on butine sur Internet, on laisse des traces. Cette présentation a pour objectif de sensibiliser à ce problème, puis de donner des pistes pour y remédier.

%STOPLATEX% %STOPPUBLISH%

Start presentation

%STARTPUBLISH%

%STARTLATEX%

Slide 1: Cette présentation

Autodéfense numérique


Marc SCHAEFER
HE-Arc Ingénierie / ISIC

Slide 2: Plan

  • peut-on nous suivre, et si oui comment ?

  • est-ce un véritable problème ?

  • la surveillance étatique ("légale")

  • qu'est-ce qui produit ces traces?

  • comment se positionner ?

  • des solutions

  • des références

Slide 3: Peut-on nous suivre sur Internet ?

savez-vous si vous êtes tracé sur Internet ?

avez-vous des exemples où vous vous sentez tracés ?

Comments

par exemple

  • suivi par cookie (n'importe quel réseau de site coopérant, p.ex. publicitaire)

  • suivi par login (facebook, google, ...)
    • bouton "J'aime" sur un site tiers

  • spam sur vos e-mails (eh oui)

Slide 4: Est-ce un problème ?

contre-arguments
  • je ne suis pas un pirate!
  • qui s'intéresserait à moi?

faux!
  • application
    • existante universelle: publicité contextuelle
    • potentielle: recoupements de bases de données
  • impact fort: une fois une information sur Internet, quasi impossible de l'enlever!

existe déjà dans le monde "réel"
  • base de données des mauvais payeurs (on y entre aussi par erreur)
  • listes noires de divers types

Slide 5: La surveillance étatique en Suisse

  • ... mais simultanément donne le droit, sur demande judiciaire, à toute écoute électronique

en plus
  • les fournisseurs doivent conserver les logs des transactions (pas du contenu) 6 mois
  • certains fournisseurs conservent une partie du contenu

et mondialement ?
  • PRISM est en fait, une bonne nouvelle

Comments

PRISM est une bonne nouvelle

  • la NSA (et tous les services de renseignement) nous écoutent (on le savait ...)

  • la bonne nouvelle
    • la NSA semble avoir besoin de requêtes judiciaires (nombreuses) et de placer des boîtier d'écoute dans la partie non-chiffrée des fournisseurs de contenu (Google, Facebook, Microsoft, Apple, etc)
    • donc ils ne savent pas décrypter en masse!

  • le problème est le délai de rétention
    • Europe: à limiter
    • USA: pas de droit à l'oubli envisagé, et du stockage en masse par la NSA (décryptable dans le futur!)

Slide 6: Qu'est-ce qui produit ces traces ?

Discussion

Comments

Naviguer, butiner, browser, cliquer, consulter ses e-mails, c'est:

  • échanger des datagrammes IP, donc au minimum donner son adresse IP

  • résoudre des noms: produire des requêtes DNS (et les entrées de cache correspondantes)

  • créer des sessions sur des serveurs (référencées par des cookies, des super-cookies voire des Flash cookies)

ainsi que:

  • être loggué sur des systèmes d'identification distribués (Google, Microsoft, Facebook, ...)

  • éventuellement accéder des ressources qui donneront des informations à des attaquants spécifiques

  • souvent en plus tout se passe en clair
    • particulièrement grave p.ex. sur un wifi mal sécurisé (WEP ou WPA2 Personal avec une seule passphrase partagée)

  • utiliser des logiciels
    • non authentifiés (sans signature électronique valable), sans commentaires positifs
    • fermés (dont les principes d'action sont secrets)
    • financés par la publicité (vous êtes le produit)

Slide 7: Comment se positionner ?

  • analyse risque/mitigations

  • cette analyse dépend de chaque personne

exemple:
  • Mme Martin, employée de la multinationale de l'agroalimentaire Standard SA, poste régulièrement des commentaires privés sur des blogs (en particulier sur les OGM). Elle envoie aussi des documents bancaires scannés à son fils en Australie par e-mail
  • recommandations
    • séparer strictement vie privée de vie professionnelle
    • en particulier ne jamais aller sur un blog au travail
    • si sur le même ordinateur, séparer en deux sessions "travail" et "privé" (ou au minimum utiliser la navigation privée), dont aucune n'est administrateur
    • avantage à poster sous un pseudonyme, créer une adresse e-mail pour le privé
    • chiffrer de bout en bout les e-mails contenant les documents bancaires scannés (ou tous!) avec p.ex. Enigmail pour Thunderbird, effacer les documents dès qu'envoyés, si ces documents sont très importants, travailler sur une 3e session

Comments

plus en détail:

  1. définir mes risques particuliers
    • ce que je veux garder pour moi
    • ce que je veux partager, mais dans quelles limites
  2. définir mon (ou mes) profil(s) d'utilisation des outils informatiques
    • besoin d'immédiateté, de connectivité permanente ?
  3. faire l'inventaire des "agents" (logiciels) et services utilisés et de leur configuration
  4. définir les risques encourus
    • dépendances aux services Internet hébergés hors du territoire suisse ? (lois étrangères sur la rétention d'information)
  5. mitiger (limiter) ces risques
    • confiner
    • rationnaliser l'utilisation des outils et services, "opt out"
    • installer des logiciels anti-tracking (mais attention!)

Slide 8: Des solutions (1)

utilisateur
  • accéder toujours les versions chiffrées/authentifiées des services (HTTPS) et se délogguer
  • mode "surfer sans trace" (navigation privée), mais!
  • séparer les activités (une session "travail", une session "butinage"), évt. avec des e-mails jetables
  • utiliser un moteur de recherche en SSL avec des garanties de privacité .. ou confiner les recherches (p.ex. dans Wikipedia)
  • chiffrer les données de bout en bout (p.ex. avec GPG pour l'e-mail, VPN) plutôt que seulement du client au serveur
  • éviter d'activer le flash en permanence (Firefox: Flashblock)
  • filtrer les publicités (Firefox: Adblock), gérer les cookies et le Javascript spécifiquement
  • mettre à jour les logiciels, faire des sauvegardes et autres recommandations classiques insuffisantes (anti-virus, anti-spyware, firewall, ...)

Slide 9: Des solutions (2)

administrateurs (d'une entreprise p.ex.)
  • préinstaller des logiciels sûrs, produisant le moins de traces possibles
  • proposer un proxy qui anonymise les traces, tout en rendant possible l'identification judiciaire par ses propres journaux (p.ex. privoxy), voire en plus un anonymiseur d'adresse IP (tor) dans des cas extrêmes

Slide 10: Des solutions (3)

développeurs
  • assurer que les journaux ne sont pas publiquement accessibles et une politique d'archivage-effacement.
  • permettre de se délogguer facilement
  • informer de quelles informations sont traitées
  • assurer la sécurité des applications Web

la loi

s'assurer!

Slide 11: Un exemple extrême: tor (the onion router)

but: anonymisation de l'adresse IP (et du contenu en partie)

principes
  • les navigateurs et autres programmes Internet doivent tous passer par un proxy (local)
  • le proxy se connecte à un noeud tor d'entrée
  • les données circulent dans le réseau tor (entre les noeuds) dans un circuit virtuel établi de manière aléatoire
  • les données sortent du réseau tor par un noeud de sortie
  • les données sont chiffrées, déchiffrées et rechiffrées par couche (comme un oignon)
  • aucun des noeuds tor ne connaît toutes les informations (adresse IP client, adresse IP serveur, contenu) simultanément; seul le noeud de sortie connaît le contenu.

problèmes
  • si le trafic est en clair, l'interception reste possible, en particulier si l'attaquant annonce de nombreux noeuds de sortie tor, ou si les noeuds sont vulnérables à des attaques de sécurité, ou si le client donne trop d'informations (p.ex. entêtes HTTP)
  • pas de filtrage des informations du navigateur: il faut combiner à un proxy anonymiseur (privoxy) et du SSL (HTTPS)
  • vulnérabilités en cas de requêtes DNS ne passant pas par le tunnel (ou en cas d'applications spécifiques, p.ex. Flash)

dangers
  • accès au Deep Web
  • facile à utiliser de manière incorrecte
  • performance faible

Tor-onion-network.png (Source: Wikipedia)

Slide 12: Autres dangers électroniques

  • droit à l'image, sphère privée, protection de la personnalité

  • usurpation d'identité

  • surveillance comportementale
    • p.ex. IP tracking pour les comportements d'achats
    • traçage de la présence physique

  • objets qui ne se comportent pas dans votre intérêt
    • lecteur et DVD Blueray qui révoquent a posteriori des droits d'accès au contenu
    • Amazon qui efface des livres achetés sur votre Kindle
    • logiciel (agent) qui vous espionne ou effectue des opérations à votre insu

Slide 13: Références

  • Anonymat sur Internet, Martin Untersinger, Eyrolles, ISBN 978-221-213-500-8

Slide 14: Vos questions

Vos questions ?

Slide 15: Licence

  • licence GFDL, invariants: 1ère page
%ENDLATEX%

Slide 16: Références en vrac

Slide 17: Administratif

  • Set LATEXSCALEFACTOR = 1.0

-- MarcSCHAEFER - 28 Feb 2012

I Attachment Action Size Date Who Comment
Tor-onion-network.pngpng Tor-onion-network.png manage 27 K 28 Feb 2012 - 10:18 MarcSCHAEFER  
autodefense-numerique-impression.pdfpdf autodefense-numerique-impression.pdf manage 101 K 19 Nov 2013 - 15:33 MarcSCHAEFER Autodéfense numérique (impression, PDF)
Topic revision: r15 - 04 Nov 2016, MarcSCHAEFER
This site is powered by FoswikiCopyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding Foswiki? Send feedback