L’ordinateur d’un hyper-prudent

commentaire(s)

Slate vient de publier un article « Voici à quoi ressemble l’Internet d’un hyper prudent » qui je pense va plaire à plus d’un ici.

Un parisien de 30 ans, ingénieur, surnommé Aeris pour l’article, explique comment il utilise son ordinateur & internet… beaucoup de bonnes idées & conseils pour éviter toute forme de « tracking », en 8 parties :
1 – Ordinateur et système d’exploitation maison (PC vide, Linux)
2 – Trois codes, dont un faux pour tout détruire (Token)
3 – Internet c’est lui (Résolveur DNS et serveur perso)
4 – Brouiller les pistes (Tor)
5 – Tenir les espions à distance (uBlog, No script, Request policy, Monster Cookies)
6 – Hygiène de base (Mise à jour et historique)
7 – Conversations vraiment privées (GPG, Kontact, réponse automatique)
8 – Téléphone pour téléphoner (SMS Secure, appli IMSI Catcher)

Bonne lecture !

14 Comments

  1. Galaad

    6 juin 2015 at 19:11

    Faudrait préciser que le gazier à un certain niveau de secret défense et que l’outil et l’objet de son travail est son ordi et le développement de soft. Il a donc accès à de la doc sensible.

    Si on est un pro et qu’on a accès à ce genre de données, généralement on est formé et au jus. Comme un banquier est au courant de comment il se sert d’un coffre fort.

    Et encore une fois le risque, c’est plus de l’espionnage industriel et du renseignement stratégique que du vol de données personnelles.

    Bref c’est instructif, mais à moins d’avoir des choses à cacher c’est assez lourd et intrusif comme « protection ».

    • Guillaume [admin]

      6 juin 2015 at 23:24

      Absolument, ya du niveau et heureusement on n’a pas (pour la plupart) besoin de tant de sécurité… toujours une histoire d’équilibre personnel à chacun. Moi je suis très très loin d’un tel dispositif, mais c’est intéressant et certains outils mentionnés peuvent être utilisés ponctuellement

  2. chris

    7 juin 2015 at 9:55

    Bjr,
    la loi à venir de surveillance de masse obligera ceux qui veulent que leur vie privée reste privée à + d’hygiène informatique.
    Je trouve ça très bien que les internautes s’impliquent dans leur propre sécurité sur Internet.
    Pour mettre en place son propre serveur DNS:
    http://korben.info/installer-serveur-dns-unbound.html
    @+

  3. Blue

    7 juin 2015 at 17:26

    Bonjour,il n’utilise pas de VPN pour aller sur le web ?
    Il n’utilise pas non plus de destructeur de donnée pour effacer ces traces sur le pc (login, mot de passe, historiques web/pc etc..) j’imagine que si mais ce n’est pas marquer, et pour ma part j’utilise PrivaZer.

    Perso le faux codes pour tout détruire sa m’intéresse, ou est-qu’on peut se procurer un tel logiciel ?

    Sinon merci pour cet article très instructif comme toujours 🙂

    • Blue

      7 juin 2015 at 18:25

      Je m’auto réponds car je n’étais pas allé lire l’article de slate,honte à moi >_<

      Désolé j'ai du posé des question qui ont surement été vue dans l'article.

  4. Aeris

    10 juin 2015 at 0:21

    @Galaad : tout faux 😛

    « Faudrait préciser que le gazier à un certain niveau de secret défense et que l’outil et l’objet de son travail est son ordi et le développement de soft. Il a donc accès à de la doc sensible. »
    Non, je fais ça personnellement, parce que c’est fun/formateur/possible.
    Et aussi parce que je traîne dans des trucs pas forcément très safe (NSA Observer, projet Tor…), et pour autant me protéger moi-même que toute personne que je vais être amené à fréquenter. Professionnellement ou personnellement.

    « Si on est un pro et qu’on a accès à ce genre de données, généralement on est formé et au jus. Comme un banquier est au courant de comment il se sert d’un coffre fort »
    Euh… Comment dire… Non ? 😀
    Ni pour l’habilitation (je compte les PC chiffrés au taff sur les doigts d’une phalange et j’ai déjà vu des trucs plus que what-the-fuck sur des docs ultra sensibles…), ni pour les banquiers (la sécu, c’est plus ou moins leur dernier problème, cf https://imirhil.fr/tls/#Banques%20en%20ligne).

    « Et encore une fois le risque, c’est plus de l’espionnage industriel et du renseignement stratégique que du vol de données personnelles. »
    Non. Mon modèle de menace, c’est le vol de mes données personnelles par les GAFAM, bien avant une menace NSA-esque ou d’espionnage industriel.
    Par exemple ce blog pointe vers du Google, du Amazon, du Flickr, du Gravatar, du « exitintent » (???)…
    Mes PC persos sont du même niveau que mes PC pro.

    @Guillaume : faux aussi.
    Cf ci-dessus, c’est essentiellement ma vie perso qui est en jeu, et donc plus ou moins tout le monde est soumis aux mêmes risques et menaces que moi.
    De retrouver ses données là où il n’a pas envie qu’elle arrive, voire même ne même pas être au courant d’où elles sont. De voir sa vie (privée et publique) passée au crible d’un truc aussi omni-présent que Google. De voir tous ses comptes troués les uns après les autres parce que son mot de passe était trop faible/partout le même (en particulier celui de la boîte mail, à partir de celui-là j’ai accès à quasi tout le reste via les rappels de mot de passe).
    Y’a PLEIN de trucs cités dans l’article que tout le monde devrait avoir : chiffrement de disque, gestion des mots de passe, filtrage des appels externes web, VPN/Tor (cause loi Renseignement…)…

  5. Galaad

    10 juin 2015 at 20:22

    Mon analogie pour la banque concernait le coffre-fort physique.

    Pour la perception du risque :

    Tu penses qu’il y a plus de risque (proba de réalisation et pondération des conséquences si réalisation) sur le vol de données perso que sur de la doc pro sensible? Perso je suis conscient du risque de voir des entités avoir accès à mes données, mais je ne vois ce qu’ils auront à exploiter à part mes données bancaires (mais là oui j’essaye d’être carré).

    Tu penses sincèrement que pour M. Toutlemonde ça vaut le coup de passer du temps à se documenter et mettre en oeuvre les mêmes mesures de protections informatiques que toi?

    Et pour finir est-ce que tu fais du red teaming et de l’exploitation de faille? Si c’est le cas tu pourrais en faire un article sur protegor parce qu’il n’y a pas beaucoup de sources francophones sur le sujet.

  6. Aeris

    10 juin 2015 at 21:36

    Quand je dis vol, je devrais plutôt dire collecte.
    Hormis la compromission d’un mot de passe qui donnerait accès à des données privées qui là s’apparente effectivement à du vol, je parlais plutôt de la collecte de données par des différents prestataires du réseau, les GAFAM en 1er.
    99% des business model du moment (pour ne pas dire le seul : le modèle du « gratuit ») repose uniquement sur la collecte de données privées pour constitution d’un modèle de consommation et la revente de ces données à des entités tierces pouvant les exploiter. Boîtes de com’ ou de pub, retargeting, ou plus méchant, banques et assurances, c’est eux qui achètent *nos* données pour améliorer leur chiffre d’affaire, ou augmenter/diminuer ta police d’assurance parce que leur algorithme te classe comme « à risque » ou non fonction de ton profil, y compris numérique.

    En poussant un peu, on n’est plus très loin d’un truc comme
    https://liesidotorg.wordpress.com/2012/01/15/voila-a-quoi-pourrait-ressembler-la-commande-dune-pizza-en-2015/

    Quand tu vois qu’un truc comme Lemonde.fr, c’est plus de *500* pages externes au site qui sont appelées à chaque page, dont au moins une 10aine pour de la pub et autant pour du tracking, ça fait clairement réfléchir.
    Quand tu vois que Google se rachète des boîtes de génétique, de banques ou d’assurance et est présent sur quasiment la totalité des sites que tu visites, tu flippes (http://www.challenges.fr/services/choisir-ma-banque/20140430.CHA3333/facebook-google-apple-amazon-vos-futures-banques-en-ligne.html).
    Quand tu sais que Amazon a *déjà* estimé que tu allais acheter l’article dès ton arrivée sur le site et te l’a déjà envoyé avant même que tu commandes, tu reflippes (http://www.itespresso.fr/lvraison-predictive-amazon-preparer-commande-avant-acte-achat-71771.html).
    Quand tu sais que Youporn est capable de prédire si tu es en couple ou non juste avec tes stats de fréquentation (voire si tu vas bientôt te mettre en couple avant même que tu ne le saches toi-même), ou encore Über d’avec qui tu passes la nuit… Là tu paranoïaquises…
    Ça va être encore pire avec les nouveaux objets connectés, orientés médical en plus… Apple a même déjà prévu un truc « vie sexuelle », Samsung a aussi trouver qu’ils pouvaient détecter si t’étais en train de niquer (et avec qui…) juste par les capteurs physiologiques de leur montre (http://www.numerama.com/magazine/31782-qui-d-apple-ou-google-saura-quand-vous-faites-l-amour.html)…

    Quand tu sais aussi où (Ou pas d’ailleurs, c’est bien le problème…) et comment (Sécurité ? Ça coûte des sous ça, non ? On peut s’en passer, non ?) sont stockées tes données persos, là tu frises l’arrêt cardiaque immédiatement.

    Oui, les gens devraient se mettre à s’informer de ce qu’engendre réellement leur surf sur le net et la propension actuelle des gens à s’étaler à poil en 4×3 sur le net…
    NoScript, RequestPolicy, CookieMonster, Disconnect, µBlock & Tor, ça devrait juste être en standard sur l’ensemble de toutes les machines du monde.
    Mais oui, ça ferait TRÈS mal à l’économie numérique, qui s’est construite sur une énorme bulle de violation massive de la vie privée, mettant digitalement (c’est le cas de le dire) profond tous leurs utilisateurs : tout leur business model s’écroulerait immédiatement et plus aucune société type Google, Facebook, Amazon, Microsoft ou Apple ne serait viable.

    Welcome (ou pas) dans le XXIème siècle…

  7. David Webb

    21 juin 2015 at 13:10

    Bonjour Aeris, à la suite de cet article j’ai décidé de changez mon utilisation d’internet mais je me heurte à certaines difficultés. J’ai donc quelques questions à te poser qui intéresseront surement les lecteurs de protegor.
    J’aimerais migrer de gmail vers un autre service mail, que penses-tu de gandi qui est celui proposé par thunderbird?
    Tu dis utiliser un vpn, lequel recommandes-tu?
    Les tokens, peux-tu développer leur fonctionnement? Un lien vers un article sur le sujet?
    Je vois que tu utilises truecrypt, j’avais arrêté de l’utiliser quand le projet s’était arrêté. Actuellement il est en cours d’audit et pour l’instant il n’y a que des retours positifs. Mais on ne sait jamais, y a-t-il une autre alternative en logiciel libre?
    Y a t’il un moyen de rendre un smartphone android « sur »?
    Merci d’avance pour tes réponses

  8. Aeris

    22 juin 2015 at 1:02

    Pour le service mail, je préfèrerais plutot ProtonMail ou Mailden, les mails y sont stockés chiffrés coté serveur, à l’inverse de chez Gandi.
    Pour le VPN, j’ai mon propre VPN à moi, mais sinon on peut se tourner vers un des fournisseurs d’accès associatif de la galaxie FFDN (FDN ou LDN, et prochainement Franciliens).
    Pour les tokens, je ne dirais pas mieux que la doc fournie par le fabriquant : https://www.yubico.com/support/documentation/
    Pour TrueCrypt, la version 7.1a est safe et auditée, pas de soucis donc. Il faudra voir ce que donneront ses successeurs une fois qu’ils passeront en version stable (VeraCrypt et CipherShed). En full logiciel libre coté Linux et intégré par défaut, il y a LUKS/CryptSetup.
    Pour Android, non, pas possible. Pour le mobile en général d’ailleurs, en particulier à cause de la puce baseband dont personne ne sait ce qu’elle fait (sinon qu’elle a accès à l’intégralité du téléphone en lecture/écriture) et qui équipe tout téléphone sur cette Terre. En plus de la problématique de cette puce, la plupart des OS des téléphones (Android compris) sont blindés de trucs pas cool dedans (Google, Microsoft ou Apple). Il y a quelques alternatives (CyanogenMod et Replicant) mais avec très peu de matériel compatible (Replicant) et/ou qui dérivent vers du truc franchement dégeu (CyanogenMod).

    • David Webb

      28 juin 2015 at 19:49

      Merci!
      Je suis sur la liste d’attente de proton mail, donc pour l’instant je suis bloqué sur mon gmail:[ . J’hésite à essayer yuno host avec une raspberry pie pour héberger mes mails mais j’avoue n’avoir pas encore compris comment ça marche, comment chiffrer ce qui est stocké sur le serveur.
      Pour les téléphones firefoxOS semble la meilleur alternative aujourd’hui.
      Pendant une des conférences du PSES(pas sage en seine pour ceux qui ne connaissent pas et merci à toi aeris qui me l’a fait découvrir) tu dis avoir encore l’installateur pour truecrypt 7.1a avec la clé signature cryptographique. Il y aurait moyen de récupérer ça?

  9. Aeris

    28 juin 2015 at 21:20

    • David Webb

      28 juin 2015 at 22:17

      Merci, c’est une mine d’or ton site!

  10. Antoine

    2 juillet 2015 at 13:29

    Salut Aeris, merci pour tes précieux conseils, petite question :
    Tu gères comment tes mots de passe?
    J’utilise Keepass, j’ai reçu un Yubikey mais pas encire eux le temps de paramétrer la chose, ta un conseil ?

    Merci d’avance et merci à Protegor pour les articles toujours aussi intéressants et construits

Laisser un commentaire