Mettre une information sur un ordinateur, c'est accepter que cette information puisse nous échapper. On peut limiter la casse, rien de plus.
J'avais acheté le guide de l'autodéfense numérique sur le stand d'une association, dans un événement dédié au numérique et aux libertés. Plus pour aider l'association en question (via un don pas totalement désintéressé) que par nécessité.
Après lecture, je suis impressionné par la quantité de travail abattue par le collectif d'auteur-e-s. :O
Je trouve que les parties « comprendre » des deux tomes sont claires et didactiques.
Ce guide est disponible sous une licence Art Libre, c'est trop rare pour ne pas le souligner. Je félicite cette libre mise à la disposition du plus grand nombre de ces textes d'émancipation citoyenne. Néanmoins, je n'ai pas trouvé les sources (LaTeX, Markdown, autre), ce qui me paraît pas mal pour exercer mon droit de modifier l'œuvre.
Du côté des défauts, je note des cas d'usage très… bizarres du genre "un ordinateur familial est utilisé pour piratage de culture + confection de faux papiers et le fiston se fait prendre pour vente de stups, ce qui entraînera une saisie de l'ordi, comment protéger cette machine ?". :O D'autres cas d'usage sonnent "toute une armada de moyens numériques déployés pour se protéger pour finalement aller faire imprimer notre contenu chez un imprimeur pro". Pas sûr que ça convainc les débutant-e-s. Enfin, la difficulté est inégale : certains chapitres (je pense aux 14 et 15 du premier tomes) sont vraiment abrupts en plus d'être confus genre "tu peux télécharger l'ISO de Debian sous Windows mais il te faudra un GNU/Linux pour vérifier l'empreinte puis tu pourras graver l'ISO sous Windows". Sans compter que, si l'on suit toutes les étapes de ces chapitres, on a affaire à une boucle infinie.
Malgré ces bémols, je recommande vivement la lecture de ce guide. Il est toujours l'heure de réviser ce que l'on (croit) savoir. J'ai appris 1-2 choses et j'ai trouvé 2-3 explications plus simples que les miennes que je pourrais donc redistribuer. \o/
J'ai envoyé un mail au collectif d'auteur-e-s avec des propositions de corrections, des remarques et des suggestions. En gros, mes propositions de correction portent sur : 6 fautes d'orthographe/grammaire, 1 erreur sur un nom, 1 acronyme pas défini, 1 erreur sur une référence bibliographique, 1 approximation juridico-sémantique, 1 point technique faux, 2 approximations techniques dangereuses, etc. Rien de rédhibitoire, rien de dramatique.
Malgré mes 3-4 relectures, ce mail est gorgé de fautes qui piquent bien les yeux. J'ai décidé de ne pas corriger ce mail avant publication ici-même.
C'est trié par tome puis par corrections/remarques/suggestions puis par chapitres.
Mes corrections, remarques et suggestions :
TOME 1
I] Corrections
- 14.5.1-3) « Pour ce faire, on va suivre la documentation officielle de Tails, qui est disponible à partir de n'importe quel clé USB, carte SD ou DVD de Tails, même sans connexion à Internet. ». Je pense que « quel » s'accorde avec le premier terme donc « quelle ».
- 15.4.2), « Lancer la copie brute ») il faut ouvrir un terminal administrateur pour pouvoir cat sur /dev/sdX, pas juste ouvrir un terminal.
- 15.5.4) « Cependant, dans sa configuration par défaut, elle peut permettre à n’importe quel programme lancé dans ce compte, sans que celui-ci nous demande confirmation au préalable, d’effectuer des opérations en disposant des privilèges d’administrateur ; et ce, pendant quinze minutes après la saisie du mot de passe. ». su, comme sudo, fonctionne par tty/pts, il n'y a pas d'autorisation globale. Le seul moyen de parvenir à ce type de situation est de faire un startx en root auquel cas toute la machinerie graphique, les démons et ce qu'on lancera dans les terminaux seront root.
- 17.1) « Pour la plupart des prochaines recettes, nous allons utiliser la suite de logiciels secure-delete. ». Un seul cas sur trois utilise secure-delete. De plus, cette information n'apporte rien au-à-la lecteur-rice car secure-delete sera installé auto par dépendance sur libgsecuredelete. À supprimer ?
II] Ça se discute :
- Fin du 3.1) « prendre au sérieux les avertissements des systèmes d’exploitation récents qui tentent de prévenir les utilisateurs lorsqu’ils utilisent un logiciel peu sûr, ou lorsqu’ils indiquent qu’une mise à jour de sécurité est nécessaire ». Conseil pas très évident à suivre pour un-e débutant-e. Comment fait-on la différence entre un message légitime et les "publicités" malveillantes sur le web genre "scan anti-virus", "optimisez votre système" ? Sans compter que les avertissements sur la dangerosité présumée d'un programme est souvent du flan, notamment sur Windows.
Fin du 5.1.4)
- Maître Eolas fait une tout autre analyse de l'article 434-15-2 du Code Pénal : « Non, 434-15-2 ne vise que les tiers, l’intéressé est protégé par le droit de ne pas s’auto-incriminer. Mes ennuis viendront éventuellement de 132-79, mais seulement si je suis coupable. ». Source : http://www.maitre-eolas.fr/post/2014/03/08/All%C3%B4-oui-j-%C3%A9coute#c173067. Impossible d'avoir un avis plausible puisqu'aucune cour ne s'est penchée dessus puisqu'aucun dossier n'a été constitué sur ce motif.
- Les montants des amendes prévues par 434-15-2 ont été augmentés par la loi de réforme pénale de juin 2016. Mettre à jour le guide ?
- 6.2) : à propos des services de renseignement « Sur ces sujets, il n’y a évidemment aucun moyen d’être sûr de ce que ces entités peuvent faire, mais en même temps leur champ d’intervention est limité, et il y a peu de cas dans lesquels on risque d’être confronté à elles. ». Même en terme de communications chiffrées, on ne sait pas ce que ces services ciblent. Quand on en est à collecter massivement (programme upstream et tempora, par exemple), pourquoi s'interdire de décrypter systématiquement les messages chiffrés avec des algos démodés (de leur point de vue, pas de celui de la société civile, ils peuvent avoir de l'avance) avant stockage ?
- 9.6.2, « Comment faire sortir des fichiers du Windows embastillé ? » : on s'embête à créer une machine virtuelle avec toute la complexité que ça implique pour finalement faire copier notre DVD ou imprimer nos tracts/affiches militants par des pros qui voient donc nos visages, peut-être même nous connaissent (petit village ou habitude), ne se gênent pas pour lire lesdits documents (de mon expérience), etc. ?! Est-ce que cela est sensé ? A minima, il faudrait dire d'aller chez des copistes libre service chez lesquels la présence du personnel n'est pas requise pour imprimer/photocopier et uniquement si cela se justifie techniquement (volume, format, etc.).
- Chapitres 14 et 15 : ces chapitres sont très confus et difficiles à suivre :
- Toute l'introduction nous explique bien lourdement qu'on va travailler hors-ligne mais ensuite on demande de télécharger des ISO et même d'installer Debian par le réseau si possible.
- Pour un-e lecteur-rice venant de Windows, il est malvenu de lui demander de vérifier l'empreinte de l'ISO de sa première Debian avec un système Debian GNU/Linux déjà installé (15.3)… D'une manière générale, si l'on suit scrupuleusement les pointeurs, on se retrouve à faire des manips sous GNU/Linux avant de l'avoir installé. Ajouter une note "utiliser l'ordi d'un-e ami-e" comme dans le tome 2 pour casser cette récursivité ?
- On passe sans arrêt d'explications compatibles Windows à d'autres qui elles, sont incompatibles. Exemple : télécharger l'ISO de tails avec Vuze (Windows) puis vérifier l'authenticité de cette ISO avec… un GNU/Linux puis graver avec InfraRecorder (Windows)…
- 15.4.3, Obtenir les microcodes supplémentaires) Est-ce une bonne chose d'avoir « wheezy » dans l'URL sans aucune précision complémentaire invitant le-a lecteur-rice à changer cela en fonction de sa version de Debian ?
III] Suggestions
- Remplacer NSA et DGSE par services de renseignement extérieurs car le guide s'adresse aux débutant-e-s qui peuvent ne pas savoir ce que ces acronymes signifient même s'ils sont parfois explicités dans des notes de bas de page. De même, si le guide s'adresse à un public résidant en France, il convient de remplacer DGSE par DGSI.
- 5.1.4) Il est conseillé d'éteindre un ordinateur inactif et de démonter les volumes chiffrés. Autre conseil simple qui n'est pas dans le guide : verrouiller sa session utilisateur en cas de courte absence. Dans les universités, LUG et hackerspaces que j'ai fréquentés, c'est courant de voir des sessions ouvertes, parfois même avec un ssh-agent ou un gpg-agent actif. Bon, dans ce contexte, la camaraderie fait qu'il n'y a pas vraiment de risques mais bon…
- 8.1 et 8.2.2) Ce cas d'usage est-il crédible ? Piratage de culture + faux papiers + le fiston qui se fait prendre pour vente de stup'… … … Comment le-a lecteur-rice est censé s'immerger, se reconnaître, dans ce cas d'usage d'accumulation de plusieurs infractions ? Je sais bien que « Shit happens » mais quand même.
- Fin du chapitre 12 : « L'usage d'une même phrase de passe, ou pire d'un même mot de passe, pour une variété de choses différentes, boîtes mail, compte PayPal, banque en ligne etc. peut rapidement s'avérer désastreux si elle est dévoilée. ». Peut-être rappeler ici qu'un site web, qu'un service mail, etc. peut se faire pirater ? Le piratage est évoqué dans le T2 mais une petite allusion ici me semble la bienvenue pour aider le-a lecteur-rice à comprendre qui peut dévoiler sa passphrase et surtout comment.
- 16.2) Les critères présentés sont pertinents mais presque rien n'est dit à propos de la méthodologie pour obtenir les informations correspondantes sauf pour les critères de « maturité » et de « popularité » : où et comment je vérifie le processus de production ? Comment je compare concrètement la sécurité à niveau équivalent de fonctionnalités ?
- 20) Le plus simple, c'est encore que chaque personne tape une passphrase de son choix à tour de rôle pour former une grosse passphrase pour le volume chiffré . Problème : l'intégralité des personnes dans le coup doivent être réunies pour déverrouiller le secret mais ça peut être un usage désiré.
- 22.6 et 22.7) On monte des lecteurs réseaux dans le Windows invité et doooooonc ? On ne dit pas qu'il faut mettre les fichiers dans le dossier partagé. On lâche la main du-de-la lecteur-rice un peu brutalement, non ?
- 23.4)
- Puisque Debian assure temporairement un suivi de la sécurité de la oldstable (c'est même indiqué dans le guide), pourquoi ne pas conseiller aux lecteur-rice-s d'attendre un peu avant de mettre à jour, histoire que des utilisateur-rice-s plus avancé-e-s essuient les plâtres et que de la doc' sur les ennuis possibles soit dispo en ligne ?
- Pourquoi conseiller d'utiliser le terminal pour la mise à jour alors que Synaptic fait, par défaut, un « dist-upgrade » (voir https://help.ubuntu.com/community/SynapticHowto#How_to_keep_your_system_up-to-date.2C_including_the_Kernel) et permet aussi de changer les distributions dans le fichier /etc/apt/sources.list depuis Configuration -> Dépôts ?
TOME 2
I] Corrections
- 1.1) Dans la première note de bas de page, « Benjamin Bayard » = Bayart.
- 1.4.1, « Interconnexion de réseaux ») « C'est grâce à ces interconnexions que nous pouvons communiquer avec les différents ordinateurs formant Internet, indépendamment du SA auquel ils appartiennent. » : l'acronyme SA n'a pas été posé au préalable (ni après), seul l'acronyme anglais « AS » l'a été en 1.4.
- Fin du 4.1) « Certains vont même jusqu'à voir dans cette possibilité d'accéder à ces outils en ligne depuis « n'importe quel ordinateur, dans n'importe quel pays et à n'importe quelle heure », une façon de concilier le travail avec d'éventuelles problémes médicaux, météorologique voir même en cas de pandémie... ». éventuelles -> éventuels, problémes -> problèmes, météorologique -> météorologiques, voir -> voire.
- 4.2) « Ainsi, la plateforme de partage de vidéo YouTube à, pendant de nombreuses années, permis à ses internautes de mettre en ligne et de visionner gratuitement les vidéos de leur choix sans contrepartie visible. ». à permis -> a permis.
- 8.2.2) « Dans ce cas, Alice souhaite se protéger de l'œil indiscret de son fournisseur d'accès à Internet, en l'occurrence son entreprise. ». Non, un lieu de travail, que ce soit une université ou les locaux d'une société commerciale, n'est pas un FAI. L'accès est mis à disposition en tant qu'outil de production / outil pédagogique destiné à produire les biens et services de l'université/société. Ces organismes sont l'utilisateur final de leur accès à Internet en tant que tels, le-a salarié-e/étudiant-e n'est pas l'utilisateur final. C'est cette distinction qui permet aux universités de procéder à des filtrages et autres blocages dans les salles de TP : car c'est leur réseau. Même chose pour les sociétés commerciales. Il m'apparaît important de ne pas embrouiller les lecteur-rice-s car cette notion est importante dès que l'on évoque la neutralité des réseaux, par exemple. Bref, il faudrait reformuler pour parler de l'accès Internet de l'entreprise, tout simplement.
- 10.8.1) « Enveloppes plus ou moins difficiles à ouvrir : en effet, si la connexion entre Alice et son serveur mail est effectivement chiffrée, Alice ne choisit pas de quelle manière elle l'est. ». D'une part le lien est erroné, il pointe sur le chapitre « Infrastructure à clé publique » alors qu'ici on parle plutôt de la robustesse technique du chiffrement en dehors de la phase d'authentification. D'autre part, les logiciels d'Alice choisissent en partie la manière dont la connexion sera chiffrée et peut refuser des algorithmes bidons, par exemple.
- 13) Dans la version PDF, la note de bas de page numéro 2 (portant sur Captcha) n'a pas de lien et une note de bas de page numéro 3 est censée définir Captcha de la note 2. Boucle ?
- 19, note de bas de page numéro 2) « La confidentialité persistante est une propriété en cryptographie qui garantit que la découverte par un adversaire de la clé privée d’un correspondant ne compromet pas la confidentialité d’une communication. ». Je reformulerai en : la confidentialité d'une communication passée qui aurait été interceptée.
II] Ça se discute
- 1.4.2) Le schéma est erroné et il ne correspond pas à la description texte qui le suit : pourquoi la box d'Alice est relié à deux routeurs ? C'est C qui est relié à la box d'Alice et à D. Même si c'est pas faux que chaque FAI dispose de plusieurs LNS pour terminer les connexions des abonné-e-s et de plusieurs routeurs, ce schéma peut porter à confusion un-e débutant-e qui voit uniquement un seul câble (cuivre, optique, etc.) sortir de sa box.
- 3.2.4) « De plus, il est avéré que les flics demandent parfois de telles informations dans un simple courrier électronique, et il est probable que de nombreux fournisseurs de services Internet répondent directement à de telles requêtes officieuses, ce qui implique que n’importe qui peut obtenir de telles informations en se faisant passer pour la police. ». C'est possible mais c'est quand même un petit microcosme qui se connaît, qui peut faire des vérifications rapides par téléphone s'il y'a une virgule d'écart par rapport à d'habitude donc bon, je ne crois pas que n'importe qui puisse se faire passer pour la police. Et si vous pensez vraiment que c'est le cas, alors ce paragraphe a plutôt sa place en 3.4).
- 3.4.1, « Saisie de domaines ») On n'achète jamais un nom de domaine, on ne fait que le louer. De plus, pour que les lecteur-rice-s qui le désire puissent comprendre les acteurs et les mécanismes derrière le DNS, je pense qu'il faut ajouter une note de bas de page qui pointe sur l'excellent guide de l'ANSSI, http://www.ssi.gouv.fr/entreprise/guide/bonnes-pratiques-pour-lacquisition-et-lexploitation-de-noms-de-domaine/ et notamment sur son chapitre 2.
- 3.4.3, « Écoutes ») « Selon un article du Figaro, les flics français n'effectueraient « que » 500 « interceptions sur Internet » par an contre environ 5 500 écoutes téléphoniques ou interceptions de fax... mais ils comptent bien rattraper leur retard dans ce domaine. ». C'est vrai mais dans le même temps, en 2013, il y a eu plus de 300 000 requêtes portant sur des données de connexion et le chiffre est en hausse. Source : le livre « La République sur écoute - Chroniques d'une France sous surveillance » de Mediapart. C'est toute l'hypocrisie du système : on renforce la protection légale des contenus (corps du mail, conversation téléphonique) mais pas le contexte (les métadonnées) qui en dit bien plus et qui est beaucoup plus facile à traiter automatiquement. Ça me semble important d'en parler.
15.1) « Autrement dit, on chiffera bien la communication, mais sans savoir vraiment avec qui – autant dire qu'à part se donner une fausse impression de sécurité, cela ne sert pas à grand-chose. ».
- chiffera -> chiffrera
- Je pense qu'il faut reconnaître que cela protège contre un-e attaquant-e passif-ve et qu'il faut rester cohérent avec la partie « Comprendre » qui explique que cela a un intérêt contre les attaquant-e-s passif-ve-s.
- 18.4.6) « Avant que notre paire de clés expire, ou lorsque des avancées dans le domaine de la cryptographie nous obligent à utiliser des clés plus sûres, il nous faudra créer une nouvelle paire de clés. ». Il n'est pas nécessaire de changer de paire de clés à chaque expiration. Selon moi, l'expiration existe en complément de la révocation : perte du certificat de révocation, lutter contre les galères de la révocation (aka les correspondant-e-s doivent mettre à jour leur trousseau pour que la clé soit révoquée), etc.
III] Suggestions
- 1.4.1) « Reliés entre eux ») Ajouter une note de bas de page vers cette carte bien connue des fibres optiques sous-marines : http://www.submarinecablemap.com/ ? Et/ou vers cet excellent article d'Ars Techina http://arstechnica.com/information-technology/2016/05/how-the-internet-works-submarine-cables-data-centres-last-mile/ ? Et/ou pointer vers le livre « Tubes: A journey to the center of the Internet » d'Andrew Blum ?
- 1.6.1) Peut-être faut-il préciser ici que les serveurs de noms voient tous les noms qui sont demandés même lorsque le chiffrement des communications est activé sans autre précaution particulière (en dehors du Tor Browser, par exemple) ? Même chose sur le fait que ces serveurs sont des hauts lieux de la censure gouvernementale et judiciaire. Peut-être même pointer sur l'excellent et concis RFC 7626 dont une présentation en français est disponible ici : http://www.bortzmeyer.org/7626.html ?
- Fin du 4.3) « Les entreprises à qui l'on confie nos données peuvent aussi supprimer notre compte 125, voire choisir de fermer leurs services sans que l'on y puisse rien - ou simplement faire faillite, ou se faire fermer par décision de justice comme dans le cas de Megaupload. ». Peut-être ajouter une note de bas de page avec quelques exemples de services fermés du jour au lendemain par Google, par exemple : http://www.blogdumoderateur.com/services-fermes-par-google/ ?
- 6.2.2) L'algorithme de chiffrement RSA, par exemple, repose sur la « factorisation de nombres entiers ». Peut-être expliquer qu'il s'agit d'une décomposition en nombres premiers d'un entier, histoire de comprendre juste après pourquoi il est fait mention de nombres premiers ?
- 7.3.3) « Pour se protéger contre de telles attaques, il est nécessaire d'utiliser du chiffrement de bout-à-bout, évoqué dans la partie précédente. ». Ajouter un petit mot sur HTTPS pour illustrer clairement cette partie ?
- 10) Peut-être ajouter quelques critères pour aider à choisir son hébergeur mail / jabber ? Un peu comme le guide le propose pour un hébergeur web ? Les questions ne sont pas tout à fait les mêmes : la publication d'un document est destinée à… rendre public un document alors que des mails et du jabber entrent dans le cadre de la correspondance privée. Association locale ou non ? Supprime-t-il le premier en-tête Received ou pas ? Résistera-t-il à la pression ou pas ? Est-il établi dans un pays à risque comme les USA et leur Patrioct Act et leur Stored Communications Act qui permettent récupération des données et des métadonnées sans juge, dans le secret, etc. ? Penser à vérifier les canary de ses hébergeurs, etc.
- 10-11) La fin du chapitre 11 invite les bidouilleur-euse-s a installé leur serveur jabber. Pourquoi rien de similaire à la fin du chapitre 10 ? Ce n'est pas plus compliqué. Quand on s'y connaît, on fantasme beaucoup sur le spam mais il faut reconnaître qu'une adresse mail perso se gère très bien sans tout une armada antispam.
- 11.3.1) Rappeler ici, en note de bas de page, que Microsoft surveille et censure éventuellement les propos et liens échangés par texte sur Skype ? Copie des notes de bas de page 26 et 27 dde la version HTML (22-23 de la version PDF). De même, je trouve intéressant d'exposer ici que Microsoft/Facebook/Goole (avec hangouts) ont, en plus de nos discussions textes et possiblement voix sur les versions "récentes" de Skype, la liste de nos correspondant-e-s, autant que sur le mail ! Ils peuvent virer des noms, rendre les conversations impossibles (je pense à des dissidents politiques identifiés, par exemple), etc. L'annuaire est détenu par ces grosses sociétés commerciales.
- 18.3) La synchronisation des clés signées par le-a lecteur-rice avec un serveur de clés n'est pas expliqué. Ça enlève tout l'attrait de la toile de confiance.
- 18.4.1) Indiquer de noter, dans un agenda, la date d'expiration de la clé ? Une clé expirée, ce n'est pas dramatique, l'oubli se récupère après-coup mais autant faire les choses bien.
- 18.4.3) Pourquoi ne pas faire ajouter le pool de serveurs HKPS hkps.pool.sks-keyservers.net ? Ça protège contre les oreilles indiscrètes en chemin et ça ne mange pas de pain.
- 18.4.5) Pourquoi faire copier/coller le certificat de révocation aux lecteur-rice-s ? Utiliser l'option « -o » de GnuPG pour envoyer directement le certificat dans un fichier.
- 18.6) À aucun moment (ni dans les explications ni ici), il n'est fait mention que le sujet d'un mail chifffré circule en clair car il n'est pas lui-même chiffré. Ça me semble très important de le signaler.
- 19.7.1) Le guide suppose directement que le-a lecteur-rice a su rejoindre un salon de discussion par ses propres moyens. Peut-être faut-il expliquer rapidement comment on rejoint un tel salon et comment on ajoute un contact ?