“Gmail m’annonce que des attaques menées par des États tenteraient de s’infiltrer dans mon compte ou mon ordinateur.” C’est la mauvaise surprise qu’ont constatée hier Noah Schactman, journaliste pour le blog Danger Room de Wired, et un expert en antiterrorisme Daveed Gartenstein-Ross du think-tank américain Foundation for Defense of Democracies, avant de la partager sur Twitter.

Contacté par Owni, Daveed Gartenstein-Ross indique sur Twitter ne pas en savoir davantage : “Gmail a simplement fait une alerte, ainsi que des suggestions pour protéger son compte.”

Aaaaand I just got Google’s “you may be a victim of a state-sponsored attack” notice. support.google.com/mail/bin/answe… #WhatTookYouSoLong?

— Noah Shachtman (@dangerroom) Octobre 2, 2012

Gmail tells me that state-sponsored attackers may be attempting to compromise my account or computer. Looks like I’ve arrived!

— D. Gartenstein-Ross (@DaveedGR) Octobre 2, 2012

Selon nos informations, plusieurs milliers de personnes seraient concernées par cette alerte pointant vers des tentatives d’intrusions principalement en provenance d’États du Moyen-Orient. Sur ce point, Daveed Gartenstein-Ross nous informe que Google ne lui a donné aucune précision sur l’origine de l’attaque :

Je soupçonne un gouvernement du Moyen-Orient, étant donné que mes recherches couvrent la région. Mais ça peut aussi être la Chine, ou la Russie, ou tout autre gouvernement cherchant à apprendre plus d’info via le hacking.

Mise en place par Google en juin dernier, cette procédure d’alerte prend la forme d’une bannière rouge s’affichant au-dessus de la boîte de réception et consiste à informer les utilisateurs de Gmail de tentatives d’accès à leurs comptes, qui “suggèrent fortement l’implication d’Etats ou de groupes soutenus par des Etats.” Elles prendraient la forme de phishing, de mails demandant des informations à l’utilisateur en se faisant passer pour certains prestataires de service, ou de malware, de messages comportant des logiciels malveillants en lien ou en pièce jointe.

Difficile en revanche d’en savoir davantage sur le mécanisme d’identification mis en œuvre par Google, qui écrivait en juin sur son blog :

Vous vous demandez certainement comment nous parvenons à savoir que cette activité est menée par un État. Nous ne pouvons pas rentrer dans les détails sans donner des informations susceptibles d’être utiles à ces acteurs malveillants, mais notre analyse détaillée -ainsi que les témoignages de victimes- suggère fortement une implication d’États ou de groupes soutenus par des États.

En 2010, suite à une série d’attaques en provenance de la Chine, connue sous le nom “opération Aurora” Google avait entériné un rapprochement avec la NSA, l’agence de surveillance des télécommunications américain, visant à “une meilleure protection du propriétaire du moteur de recherche et de ses utilisateurs”, expliquait alors Le Monde. Une proximité qui pousse certains commentateurs à s’interroger sur la nature des alertes de Google mises en place en juin dernier : oseraient-ils dénoncer des actions américaines ?

De son côté, le géant de Moutain View déclare sur son blog qu’il est de son “devoir d’être pro-actif en avertissant ses utilisateurs en cas d’attaques ou de potentielles attaques afin qu’ils puissent faire le
nécessaire pour protéger leur information.” Il y a 15 jours, il faisait l’acquisition de l’antivirus en ligne Virustotal, afin de renforcer la “sécurité en ligne” de ses utilisateurs.

Contacté, Google France n’a pour le moment pas réagi.

Mise à jour : suite à notre demande, Google nous a fait parvenir le communiqué d’un porte-parole du groupe : “Google travaille dur chaque jour pour aider nos utilisateurs à protéger leurs informations. C’est pourquoi nous avons développé cette alerte pour compléter nos systèmes de sécurité des comptes. Nous espérons que ces messages bien visibles encourageront les utilisateurs concernés de prendre des mesures pour renforcer la sécurité de leurs comptes et leurs ordinateurs.”

Simple comme une clef USB

Le logo de FinFisher ? Un aileron de requin (fin, en anglais). Leader des “techniques offensives de recueil d’information“, FinFisher, qui affirme ne travailler qu’avec des services de renseignement et forces de l’ordre, affiche clairement la couleur. Son portefeuille de produits propose une gamme complète d’outils d’espionnage informatique et de “solutions d’écoute, de contrôle et d‘infection à distance” des ordinateurs à même de “prendre le contrôle (et) d‘infecter à distance les systèmes cibles“, afin de pouvoir espionner les messages reçus ou envoyés, d’accéder à toutes ses données, même et y compris si elles sont chiffrées.

Son portfolio de présentation présente toute la gamme de solutions, qui n’ont rien à envier aux outils utilisés par les pirates informatiques, mais qui donnent la mesure de ce qu’il est possible de faire aujourd’hui. Dans une autre présentation de ses activités, datant de 2007, FinFisher se vantait ainsi d’”utiliser et incorporer les techniques de hacking black hat (du nom donné aux hackers qui oeuvrent du côté obscur de la force, et en toute illégalité, NDLR) afin de permettre aux services de renseignement d’acquérir des informations qu’il serait très difficile d’obtenir légalement.”

Vous avez la possibilité d’accéder physiquement à l’ordinateur de votre cible ? Insérez-y FinUSB, une petite clef USB créée tout spécialement pour extraire d’un ordinateur l’intégralité des identifiants et mots de passe qui s’y trouvent, les derniers fichiers ouverts ou modifiés, l’historique des sites visités, des communications instantanées, le contenu de la poubelle, etc., sans même que son propriétaire ne s’en aperçoive : il suffit en effet d’insérer la clef USB dans l’ordinateur, au prétexte de partager avec lui tel ou tel fichier, pour que le logiciel espion siphonne, de façon subreptice et sans se faire remarquer, l’intégralité des données.

La technique est aussi utilisée par des espions qui, dans des salons professionnels, ou dans les bureaux de ceux qu’ils veulent espionner, laissent traîner une clef USB, espérant que leur cible, curieuse, cherche à la lire… et donc infecte son ordinateur.

Vous n’avez pas d’accès physique à l’ordinateur à espionner ? Pas de problème : “pensé et créé par des spécialistes travaillant depuis plus de 10 ans dans le domaine de l’intrusion” pour casser les mécanismes utilisés pour sécuriser les réseaux sans-fil de type Wi-Fi (WEP ou WPA1 & 2), FinIntrusion Kit, permet de “surveiller à distance webmail (Gmail, Yahoo…) et réseaux sociaux (Facebook, MySpace)” utilisés pas la cible à espionner, ses blogs, forums, etc., et de récupérer ses identifiants et mots de passe, même et y compris si la cible utilise le protocole SSL, protocole de sécurisation des échanges sur Internet.

“Cheval de Troie professionnel” (sic) utilisé, “depuis des années“, pour faciliter le placement sous surveillance des cibles qui se déplacent régulièrement, chiffrent leurs communications ou se connectent de façon anonyme, “et qui résident dans des pays étrangers” (c’est FinFisher qui souligne), FinSpy vise de son côté à prendre le contrôle, à distance et de façon furtive, de tout ordinateur utilisant “les principaux systèmes d’exploitation Windows, Mac et Linux“, et sans qu’aucun des 40 antivirus les plus utilisés ne soit capable de le reconnaitre, et donc de le bloquer.

Une fois installé, FinSpy peut espionner en “live” le ou les utilisateurs de l’ordinateur infecté (en activant, à leur insu, webcam et microphone), mais également le géolocaliser, en extraire toutes les données, intercepter les échanges de mail et autres conversations, et notamment les appels et transferts de fichiers effectués avec Skype (dont l’algorithme de chiffrement, propriétaire mais créé par des développeurs estoniens qui ont connu la Russie soviétique, a été conçu pour sécuriser les communications). Pour plus de furtivité, la connexion, à distance, passe par des proxies anonymiseurs empêchant de remonter jusqu’aux ordinateurs des espions.

FinSpy existe aussi en version mobile, afin d’aider les autorités “qui ne disposent pas de système d’interception téléphonique” à espionner les communications (voix, SMS, MMS, mails) émanant de téléphones portables (BlackBerry, iPhone, Windows ou Android), même et y compris si elles sont chiffrées, et d’accéder aux données (contacts, agendas, photos, fichiers) qui y sont stockées, ou encore de les géolocaliser en temps réel.

Contaminé en consultant un site

FinFly a de son côté été conçu pour installer, de façon subreptice, un cheval de Troie permettant le contrôle à distance de l’ordinateur de ces suspects qui ne cliquent pas sur les pièces jointes qui leur sont envoyées, et savent peu ou prou comment protéger leurs ordinateurs :

Il est quasi-impossible d’infecter les ordinateurs des cibles particulièrement au fait des questions de sécurité informatique, dont le système d’exploitation est régulièrement mis à jour et qui ne comporte donc pas de faille de sécurité facilement exploitable.

FinFlyUSB permet ainsi d’infecter un ordinateur par le simple fait d’y connecter une clef USB. FinFly LAN (pour Local Area Network, ou réseau local) propose de faire de même, mais sans accès physique aux ordinateurs à espionner, en s’infiltrant dans un réseau (câble ou Wi-Fi, et notamment dans ceux des cybercafés ou des hôtels). FinFly ISP (pour Internet Service Provider, ou fournisseur d’accès internet, FAI en français) procède de manière encore plus massive, mais en s’infiltrant au sein même des FAI, afin de pouvoir déployer leurs logiciels espions “à l’échelle d’une nation“.

Dans les deux cas, l’objectif est d’infecter, “à la volée“, les fichiers que des cibles seraient en train de télécharger, d’envoyer de fausses mises à jour de sécurité vérolées, ou encore de “manipuler” les pages web visitées pour y insérer le cheval de Troie, de sorte que la simple consultation d’une page web entraîne la contamination des ordinateurs de ceux qui la visite.

Pour cela, FinFisher a développé FinFly Web, qui permet de créer des pages web piégées dont la simple consultation entraîne l’infection des ordinateurs qui les consultent, et sans qu’ils ne s’en aperçoivent. FinFisher explique ainsi comment des “cibles” ont été espionnées en visitant un sites web créé tout spécialement pour attirer leur attention.

Le portfolio explique également qu’il est possible de faire croire à l’utilisateur à espionner qu’il doit télécharger un fichier (plug-in Flash ou RealPlayer, applet Java, etc.) dûment signé par une société bien connue du marché, “par exemple Microsoft“, laissant entendre, soit que ces compagnies collaborent avec FinFicher, soit qu’il a réussi à pirater leurs certificats de sécurité censés pourtant précisément garantir l’authenticité des fichiers téléchargés…

FinFireWire permet, de son côté, d’accéder au contenu des ordinateurs (Windows, Mac et Linux) dont l’accès est protégé par un mot de passe, sans y laisser de trace. Le portfolio de FinFisher précise même qu’il permet également d’espionner sans contrôle judiciaire, évoquant le cas de policiers entrés dans l’appartement d’un suspect dont l’ordinateur, allumé, est protégé par un mot de passe :

Dans la mesure où ils ne sont pas autorisés, pour des raisons légales, à installer un cheval de Troie dans l’ordinateur (du suspect), ils risquent de perdre toutes les données en éteignant l’ordinateur, si son disque dur est intégralement chiffré. FinFireWire leur a permis de débloquer l’ordinateur du suspect et de copier tous ses fichiers avant de l’éteindre et de le ramener au quartier général.

La “cyberguerre” à portée de clic

FinFisher propose également du “FinTraining” afin d’apprendre à ses clients à, “par exemple” : tracer des emails anonymes, accéder à distance à des comptes webmails, s’initier à l’intrusion sans-fil, “attaquer les infrastructures critiques“, sniffer les identifiants, mots de passe et données circulant sur les réseaux, notamment les hotsposts Wi-Fi des cybercafés et des hôtels, intercepter les communications téléphoniques (VOIP et Dect), craquer les mots de passe… et autres techniques et méthodes de “cyberguerre“.

Gamma Group, la société britannique à l’origine de FinFisher, se présente comme fournisseur de systèmes et technologies d’interception des télécommunications (internet, satellite -Thuraya, Inmarsat-, GSM, GPRS, SMS, etc.) à l’intention des agences gouvernementales et forces de l’ordre, à qui elle peut également vendre micro-espions et micro-caméras cachées de vidéosurveillance, camionnettes d’interception et outils de crochetage permettant d’ouvrir n’importe quelle porte…

Créée en 1990 et présente à Munich, Dubai, Johannesburg, Jakarta et Singapour, Gamma n’évoque nulle part le fait qu’elle se refuserait à vendre ces systèmes à des pays non démocratiques, ou connu faire peu de cas des droits de l’Homme.

En avril dernier, le Wall Street Journal révélait que des documents, découverts au siège de la “division de la pénétration électronique” (sic) de la police secrète égyptienne, démontraient que son logiciel espion avait bel et bien été utilisé pour espionner des militants politiques, les communications de l’un d’entre-eux ayant ainsi été espionnées. Il expliquait notamment l’importance d’utiliser Skype “parce qu’il ne peut être pénétré par aucun dispositif de sécurité“…

Basem Fathi, un activiste égyptien de 26 ans, a ainsi découvert que les services de sécurité égyptiens avaient été jusqu’à ficher sa vie amoureuse, et ses détours à la plage : “je crois qu’ils collectionnaient tous les petits détails dont ils entendaient parler en nous écoutant, avant de l’enregistrer dans des fichiers“.

Un mémo “Top Secret” du ministère de l’Intérieur égyptien en date du 1er janvier 2011, que le WSJ a pu consulter, révèle que les autorités égyptiennes avait payé 388 604€ pour pouvoir tester le logiciel espion pendant cinq mois, et disposer du soutien de quatre employés du revendeur égyptien de Gamma, Modern Communication Systems. Ce qui leur a permis d’espionner de nombreux militants, allant jusqu’à la “pénétration réussie de leurs réunions… quand bien même elles étaient chiffrées par Skype“.

Les Egyptiens n’étaient pas les seuls à être espionnés : les documents ont également révélé que les conversations de Sherif Mansour, représentant de l’ONG américaine Freedom House, venu en Egypte surveiller le bon déroulement des élections, avaient elles aussi été interceptées. Conscient de gêner les autorités, il avait précisément mis en place un “protocole de sécurité consistant notamment à utiliser Skype aussi souvent que possible“, au motif qu’il est plus sécurisé que les emails…

Interrogé par le WSJ, Mr Mansour se dit surpris : “quand ils arrêtaient des blogueurs, ils les torturaient pour obtenir leurs mots de passe. Nous avions donc l’impression qu’ils ne pouvaient pas espionner nos conversations“.

A l’issue de la période d’essai, en décembre 2010, le ministère de l’Intérieur, satisfait, approuva l’achat du logiciel de Gamma. Le printemps arabe et la révolution égyptienne l’en a empêché.

Retrouvez notre dossier sur les Spy Files :

- Mouchard sans frontière

- La carte d’un monde espionné

Retrouvez nos articles sur Amesys.

Retrouvez tous nos articles sur WikiLeaks et La véritable histoire de WikiLeaks, un ebook d’Olivier Tesquet paru chez OWNI Editions.

Vous pouvez également me contacter de façon sécurisée via ma clef GPG/PGP (ce qui, pour les non-initiés, n’est pas très compliqué). A défaut, et pour me contacter, de façon anonyme, et en toute confidentialité, vous pouvez aussi passer par privacybox.de (n’oubliez pas de me laisser une adresse email valide -mais anonyme- pour que je puisse vous répondre).

Pour plus d’explications sur ces questions de confidentialité et donc de sécurité informatique, voir notamment « Gorge profonde: le mode d’emploi » et « Petit manuel de contre-espionnage informatique ».

Retrouvez notre dossier sur le sujet :
Une journée sous surveillance et Des chevaux de Troie dans nos démocraties

Tous les articles OWNI/WikiLeaks sont là

Nombreux sont les médias à s’être penchés sur la question, de façon souvent quelque peu sensationnaliste. Aucun n’a dans le même temps cherché à expliquer comment l’on pouvait s’en protéger.

Le fait est que, et aussi paradoxal que cela puisse être, la CNIL explique bien, par exemple, comment nous sommes tracés sur le Net… mais sans jamais nous expliquer comment s’en protéger. Et si ces techniques d’espionnage existent depuis des années, force est de constater que jamais les autorités n’avaient cherché, jusque-là, à expliquer aux gens comment s’en protéger (voir, à ce titre, “Internet : quand l’Etat ne nous protège pas“).

Or, il se trouve que deux agences, liées aux services de renseignement français, viennent précisément de publier coup sur coup deux guides destinés à nous aider à sécuriser nos ordinateurs et téléphones portables, et garantir la confidentialité de nos télécommunications.

Initialement destinés à tous ceux qui, patrons, chercheurs, cadres supérieurs, négociateurs, peuvent, du fait de l’espionnage industriel, voir leurs communications surveillées, leur lecture s’avère également très instructive pour tous ceux qui chercheraient à se protéger de l’espionnite aïgue de leurs parents, conjoints, employeurs ou collègues.

Une lecture que goûteront également probablement ceux qui, inquiets des projets de surveillance de l’internet prévus par l’Hadopi, la Loppsi, l’ACTA, ou encore par les pouvoirs accrus confiés aux forces de police et services de renseignement, sont aujourd’hui soucieux de protéger leur vie privée, et leurs libertés.

Alors que Reporters Sans Frontières célébrait récemment la journée mondiale contre la cyber-censure (près de cent vingt blogueurs, internautes et cyber-dissidents sont en prison, en Chine, au Viêt-nam ou en Iran notamment), il n’est en effet pas anodin de noter que les démocraties aussi, surveillent, et censurent l’internet…

A lire en complément du mode d’emploi que m’avait commandé, l’an passé, une revue du CNRS : Comment contourner la cybersurveillance…

Vous êtes en état d’interception : toutes vos télécommunications pourront être retenues contre vous

En août 2008, le département de la sécurité intérieure (DHS) américain annonçait que les ordinateurs portables de toute personne passant par les Etats-Unis pourraient désormais être saisis :

La police des frontières américaines pourra désormais saisir le matériel électronique des voyageurs pour “examiner et analyser l’information transportée par un individu qui tente d’entrer, de réentrer, de partir, de passer en transit ou qui réside aux Etats-Unis“, même si aucun soupçon ne pèse sur l’individu ou les informations qu’il transporte.

Les fédéraux américains peuvent ainsi “détenir les documents et les équipements électroniques, pour une période raisonnable afin de pouvoir faire une recherche approfondie” sur place ou en envoyant l’ordinateur à des spécialistes.

Critiqué de toutes parts, le DHS expliqua que cela lui permettait de lutter contre le terrorisme, la pédo-pornographie, mais aussi le vol de propriété intellectuelle, et précisa que la pratique n’avait rien de nouveau, que ses agents le faisaient depuis bien longtemps :

“Depuis la fondation de la République, nous avons eu la capacité de faire des recherches aux frontières afin d’éviter l’entrée dans le pays d’individus et de produits dangereux. Au 21ème siècle, la plus dangereuse des contrebandes est souvent contenue dans les médias électroniques et pas sur du papier. L’ère des dossiers de papiers et des microfiches est révolu.”

Les autorités françaises, elles, y voient quand même un léger petit problème. Sans pointer explicitement du doigt les USA (d’autant que ce genre de fouille approfondie n’est pas l’apanage des Etats-Unis), les deux modes d’emploi, publiés en décembre et janvier 2010, expliquent comment, précisément, réduire les risques, et protéger ses données, dès lors que l’on voyage ou part en mission avec un téléphone mobile, un assistant personnel ou un ordinateur portable.

De fait, la guerre économique, et l’espionnage industriel, sont une réalité souvent mal perçue par ceux qui, pourtant, peuvent en faire les frais. En 2005, les Renseignements Généraux estimaient ainsi qu’”une société sur quatre est ou a été touchée par l’espionnage industriel“.

En 2009, une “note blanche” de la Direction centrale du renseignement intérieur (DCRI) révélait que “près de 3000 firmes françaises ont été victimes de très nombreuses “actions d’ingérences économiques”, destinées à leur voler leurs secrets de fabrication, à déstabiliser leur direction ou à gêner le lancement de nouveaux produits” entre 2006 et 2008.

Evitez, SVP, d’utiliser un ordinateur…

“Seul un ordinateur éteint, enfermé dans un coffre-fort et enterré six pieds sous terre dans un endroit tenu secret peut être considéré comme sécurisé, et encore.“
– Bruce Schneier, expert mondialement réputé pour ce qui est des questions de sécurité informatique.

Dans un Guide pratique de la sécurité publié en décembre 2009, le Haut fonctionnaire de défense et de sécurité (HFDS) du ministère de l’économie, qui “conseille et assiste les ministres pour toutes les questions relatives aux mesures de défense et de sécurité, tout particulièrement dans le domaine de la défense économique“, a une solution toute trouvée : “le PC portable doit être évité dans la mesure du possible“.

Privilégiez les solutions suivantes :

- Emportez vos fichiers sur un, voire deux, à titre de sauvegarde, support amovible que vous gardez avec vous (les médias de sauvegarde sont régulièrement mis à jour et rangés dans deux bagages distincts).
- Préférez la mise à disposition d’un PC de l’entreprise sur place, dans un environnement de confiance. Dans ce cas, emportez vos fichiers sur unsupport amovible, si possible chiffré en fonction de la législation locale relative aux transmissions chiffrées et gardez ce support en permanence avec vous.

Si le PC portable est indispensable :

- Contrôle d’accès au démarrage avec un mot de passe fort et/ou biométrie.
- Données dans la partition chiffrée du disque dur ou sur un support amovible chiffré et sous surveillance permanente.
- Banalisez le transport de l’ordinateur portable (pas de sacoche portant la marque du fabriquant…).
- Ne relâchez jamais la surveillance de votre PC (il voyage en cabine avec vous).
- Rappelez-vous que toutes les liaisons hertziennes (wifi, bluetooth, carte 3G…) à partir d’un PC, PDA ou téléphone portable peuvent être interceptées.

…à défaut, restez vierges

Sous-titré “Partir en mission avec son téléphone mobile, son assistant personnel ou son ordinateur portable“, le Passeport de conseils aux voyageurs, co-signé Patrick Pailloux, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI, rattachée au Secrétaire général de la défense nationale), et Régis Poincelet, vice président du Club des directeurs de sécurité des entreprises (CDSE), rappelle lui aussi que “les cybercafés, les hôtels, les lieux publics et parfois même les bureaux de passage n’offrent pas de garantie de confidentialité. Dans de nombreux pays étrangers, les centres d’affaires et les réseaux téléphoniques sont surveillés. Dans certains, les chambres d’hôtel peuvent être fouillées“.

Le guide commence par rappeler qu’au premier chef, les appareils “ne doivent contenir aucune information autre que celles dont vous avez besoin pour la mission” et que doivent en particulier être proscrites les “photos, vidéos, ou œuvres numériques qui pourraient vous placer en difficulté vis-à-vis de la législation ou des mœurs du pays visité“.

Règle n°1 : ne jamais partir en voyage avec son ordinateur personnel, ni de travail, mais de ne voyager qu’avec un disque dur vierge de toute donnée.
Règle n°2 : prenez connaissance de la législation locale.
Règle n°3 : sauvegardez les données que vous emportez, “vous récupérerez ainsi vos informations à votre retour en cas de perte, de vol ou de saisie de vos équipements“.
Règle n°4 : évitez de partir avec vos données sensibles. “Privilégiez, si possible, la récupération de fichiers chiffrés sur votre lieu de mission en accédant :
- au réseau de votre organisme avec une liaison sécurisée, par exemple avec un client VPN mis en place par votre service informatique.
- sinon à une boîte de messagerie en ligne spécialement créée et dédiée au transfert de données chiffrées (via https) et en supprimant les informations de cette boite après lecture“.
Règle n°5 : emportez un filtre de protection écran pour votre ordinateur si vous comptez profiter des trajets pour travailler vos dossiers, afin dʼéviter que des curieux lisent vos documents par-dessus votre épaule.
Règle n°6 : mettez un signe distinctif sur vos appareils (comme une pastille de couleur), “cela vous permet de pouvoir surveiller votre matériel et de vous assurer qu’il n’y a pas eu d’échange, notamment pendant le transport. Pensez à mettre un signe également sur la housse“.

A noter, en complément de la règle n°4, un petit truc, inspiré de la technique bien connue de la boîte aux lettres morte et qui aurait été utilisé par des terroristes pour échapper à la surveillance étatique : partager une boîte aux lettres électroniques, en n’y écrivant qu’en mode brouillon : les emails ne sont dès lors pas échangés, ils ne circulent pas sur les réseaux, et ne peuvent donc être consultés que par ceux qui se sont connectés (de façon sécurisée, via https) à la boîte aux lettres en question.

Chiffrez l’intégralité de vos données

D’un point de vue plus technique, le passeport recommande de “configurer les appareils de manière défensive“, et donc d’installer sur vos appareils numériques de quoi “résister aux attaques informatiques et éviter le vol de données” :

- Désactivez les liaisons inutilisées (Bluetooth, infrarouge, wifi, …) et les services inutiles ;
- Paramétrez le pare-feu et le navigateur de manière restrictive;
- Utilisez un compte sans droits administrateur;
- Mettez à jour les logiciels (système d’exploitation, navigateur, anti-virus, pare-feu personnel, etc…);
- Désactivez l’exécution automatique des supports amovibles (CDROM, Clés USB);
- Désactivez les services de partage de fichiers et d’imprimantes.

Afin de garantir la confidentialité des données, il convient également d’installer “un logiciel qui assure le chiffrement de l’environnement complet de travail (disque dur, fichiers temporaires, fichier d’échange, mémoire)” pour ce qui est des ordinateurs portables, d’”un logiciel assurant le chiffrement de l’intégralité du répertoire de contacts, de l’agenda et des messages” pour les PDA et les Smartphone (”à défaut, activez la protection d’accès par code PIN“).

On peut également se reporter au manuel de sécurisation des iPhone publié par la National Security Agency américaine (chargée d’espionner les télécommunications du monde entier, mais également de sécuriser celles des Américains), publié en décembre 2009, et dont la plupart des conseils peuvent également s’appliquer aux autres modèles de téléphones portables.

La NSA y rappelle au premier chef de ne jamais se séparer physiquement de son mobile, dès lors qu’il existe des logiciels et outils qui, une fois installés sur les appareils, permettent de les écouter à distance.

De même, et à l’instar des bonnes pratiques recommandées pour ce qui est des ordinateurs, il est vivement conseillé de protéger l’accès aux données par un mot de passe (la plupart des téléphones permettent de paramétrer un écran de veille qui ne peut être désactivé que par un mot de passe), voire de le configurer de sorte que le téléphone efface toutes les données après X tentatives infructueuses d’y accéder.

Dans la mesure du possible, évitez d’utiliser le Wifi (sauf s’il est vraiment sécurisé, de préférence en WPA2), et désactivez bien évidemment le BlueTooth, ainsi que la géolocalisation.

Le n°24 de la revue ActuSécu, paru en janvier 2010, revient en détail sur les problèmes de sécurité des iPhone. Tout comme la NSA, elle déconseille fortement de “jailbreaker” son téléphone.

Cette opération, consistant à passer outre les restrictions imposées par Apple afin d’y installer un autre système d’exploitation, installe en effet par défaut un “serveur” sur le téléphone, serveur qui, ouvert, offre la possibilité à des individus mal intentionnés de s’y connecter, et d’y récupérer l’intégralité des données…

Ceux qui, malgré tout, voudraient jailbreaker leur iPhone prendront le soin de modifier les mots de passe des comptes root et mobile. Par défaut, ces deux comptes ont le même mot de passe : alpine…

Bon voyage

Une fois ces règles bien comprises, et vos appareils et systèmes de communication paramètres de sorte d’être correctement sécurisées, “vous disposez maintenant des bons bagages pour partir en toute sécurité…“, ou presque, comme le rappellent les auteurs du rapport, au chapitre “Pendant la mission” :

1) Gardez vos appareils, support et fichiers avec vous !
Prenez-les en cabine lors de votre voyage. Ne les laissez pas dans un bureau ou dans la chambre d’hôtel (même dans un coffre).
2) Si vous êtes contraint de vous séparer de votre téléphone portable ou de votre PDA, retirez et conservez avec vous la carte SIM ainsi que la batterie.
3) Utilisez un logiciel de chiffrement pendant le voyage.
Ne communiquez pas d’information confidentielle en clair sur votre téléphone mobile ou tout autre moyen de transmission de la voix.
4) Pensez à effacer lʼhistorique de vos appels et de vos navigations (données en mémoire cache, cookies, mot de passe dʼaccès aux sites web et fichiers temporaires).
5) En cas dʼinspection ou de saisie par les autorités, informez votre organisme.
Fournissez les mots de passe et clés de chiffrement, si vous y êtes contraint par les autorités locales.
6) En cas de perte ou de vol d’un équipement ou d’informations, informez immédiatement votre organisme et demandez conseil au consulat avant toute démarche auprès des autorités locales.
7) N’utilisez pas les équipements qui vous sont offerts avant de les avoir fait vérifier par votre service de sécurité. Ils peuvent contenir des logiciels malveillants.
8) Evitez de connecter vos équipements à des postes ou des périphériques informatiques qui ne sont pas de confiance.
Attention aux échanges de documents (par exemple : par clé USB lors de présentations commerciales ou lors de colloques). Emportez une clé destinée à ces échanges et effacez les fichiers, de préférence avec un logiciel d’effacement sécurisé.

La sécurité est un process, pas un produit

Dans un autre accès de clairvoyance, Bruce Schneier avait également déclaré que “Si vous pensez que la technologie peut résoudre vos problèmes de sécurité alors vous n’avez rien compris aux problèmes ni à la technologie“.

Dit autrement, la sécurité est un processus, pas un produit, et rien n’est pire qu’un faux sentiment de sécurité engendré par une accumulation de “trucs” ou parce qu’on a acheté tel ou tel “produit” ou logiciel de sécurité.

Les auteurs du rapport rappellent ainsi qu’”avant votre retour de mission“, un certain nombre d’autres mesures de protection s’avèrent, sinon indispensables, tout du moins fortement conseillées :

1) Transférez vos données

- sur le réseau de votre organisme à l’aide de votre connexion sécurisée ;
- sinon sur une boite de messagerie en ligne dédiée à recevoir vos fichiers chiffrés (qui seront supprimés dès votre retour). Puis effacez les ensuite de votre machine, si possible de façon sécurisée, avec un logiciel prévu à cet effet.

2) Effacez votre historique de vos appels et de vos navigations

Après la mission, tout particulièrement si votre équipement a échappé à votre surveillance :

1) Changez les mots de passe que vous avez utilisés pendant votre voyage.
2) Analysez ou faites analyser vos équipements.
“Ne connectez pas les appareils à votre réseau avant d’avoir fait au minimum un test anti-virus et anti-espiogiciels“.

Ayez une bonne hygiène… du mot de passe

De façon plus générale, il est de toute façon recommandé d’avoir une bonne hygiène du mot de passe, et donc de ne jamais les écrire sur des bouts de papier, de toujours mêler lettres minuscules, majuscules, chiffres et caractères spéciaux, d’en changer régulièrement, et de ne surtout pas utiliser un seul et même mot de passe pour les comptes les plus importants…

L’une des techniques préférées des pirates informatiques, et des espions, est d’installer un “cheval de Troie” sur l’ordinateur de leurs victimes, afin d’en prendre le contrôle ou, via un “keylogger” (enregistreur de touches de clavier) de capturer leurs mots de passe, et donc d’être maître de leurs ordinateurs.

Une technique fort utilisée en matière d’espionnage industriel lorsque la personne à espionner n’a pas d’ordinateur, et que c’est l’espion qui le lui fournit… et que le gouvernement français s’apprête, lui aussi, à autoriser. La Loppsi prévoit en effet de donner la possibilité aux forces de l’ordre d’installer de tels mouchards ou logiciels espions sur les ordinateurs des personnes suspectées de crimes en “bande organisée“, notion fourre-tout melant terrorisme, vols, trafic de drogue, proxénétisme mais également l’aide à l’immigration clandestine, il n’est pas inutile de savoir comment saisir un mot de passe sans risque de le voir intercepté.

A la manière des antivirus, il existe des anti-keyloggers, mais ils sont payants, et ne détectent généralement que les keyloggers connus existants sur le marché. Deux techniques, relativement simples, permettent a priori de se prémunir contre ce genre de mouchards : la première, et plus connue, consiste à utiliser le clavier virtuel de son ordinateur (certaines banques en ligne en propose aussi), et donc de, non pas taper le mot de passe sur le clavier, mais de le cliquer, avec la souris.

L’autre technique, exposée par le blogueur Korben, consiste à taper un grand nombre de caractères, de manière aléatoire, en parallèle à la saisie du mot de passe. Ainsi, et au lieu d’entrer, par exemple, m0T2p4$s3, l’utilisateur averti saisira dans le formulaire m0 puis, à côté, dans le vide, une suite de caractère aléatoire, puis T2, etc. De la sorte, ce qui aura été capté par le keylogger ou le cheval de Troie se présentera sous la forme : m0ezrf45T2sdfv84p4zrtg54$s3zerg48, rendant bien plus difficile la fuite du mot de passe.

La sécurité, ça se mérite, et ça s’apprend

Une chose est d’apprendre à sécuriser son mot de passe, et de chiffrer l’intégralité de son disque dur, et donc les données qui y sont inscrites, une autre est d’éviter qu’elles ne fuitent. Les auteurs du passeport conseillent ainsi d’installer “un logiciel d’effacement sécurisé des fichiers afin de pouvoir éventuellement supprimer toutes les données sensibles lors du déplacement“, mais également de “configurer le serveur et le client de messagerie pour que les transferts de messages soient chiffrés par les protocoles SSL et TLS“.

Tout ceci vous paraît cryptique ? Allons… De même que c’est en pédalant que l’on apprend à faire du vélo, c’est en contre-espionnant que l’on apprend à se protéger. Avec un peu d’entraînement, vous apprendrez à maîtriser les techniques et outils qui correspondent à vos besoins. Avec un peu de pratique, elles deviendront des réflexes. La sécurité, ça se mérite, et ça s’apprend.

Pour certains, la paranoïa est un métier, en tout cas une tournure d’esprit les invitant, en constance, à la prudence. Mais pour la majeure partie des gens, la question est moins de se protéger, en tout temps, que de savoir comment protéger telles ou telles données, de savoir comment ne pas laisser de traces, ou comment les effacer.

L’important est de bien mesurer les risques encourus, les menaces auxquels vous avez à faire face, et d’y répondre par la ou les techniques appropriées, au moment opportun. Comme je le rappelais par ailleurs dans “Comment contourner la cybersurveillance“, aucune solution n’est fiable à 100% et rien ne sert, par exemple, d’installer une porte blindée si on laisse la fenêtre ouverte. Il convient d’autre part de ne jamais oublier qu’en matière informatique en générale, et sur l’internet en particulier, l’anonymat n’existe pas. Il arrive fatalement un moment où l’on se trahit, où l’on commet une erreur, ou, plus simplement, où l’on tombe sur quelqu’un de plus fort que soi.

La sécurité informatique est un métier, elle ne s’improvise pas. Par contre, elle s’apprend. Pour en savoir plus sur les outils et technologies à utiliser, voici quelques liens, sites web et ressources susceptibles, a priori, de répondre à toutes vos questions :

. “Comment contourner la cybersurveillance“, l’article que j’avais rédigé pour le CNRS, et basé sur un article rédigé par l’ancien directeur des communications électroniques de la Défense britannique et de l’OTAN,

. “Security in a box“, mode d’emploi (en français) bien plus pratique et détaillé, réalisé par deux ONG de défense des droits humains à l’ère de l’information,

. le Wiki de l’internet libre de Korben.info, qui regorge d’informations pratiques sur la sécurité informatique,

. le Guide d’autodéfense numérique qui explique, pas à pas, comment configurer son ordinateur (hors connexions internet) de façon sécurisée en fonction des risques encourus,

. les 10 commandements de la sécurité informatique, sur securite-informatique.gouv.fr, et ses modules d’autoformation, notamment ceux consacrés aux Principes essentiels de la sécurité informatique, à la Sécurité du poste de travail et aux mots de passe.

. Ordinateur & Sécurité Internet, Vie Privée, Anonymat et cætera, qui fut un temps considéré comme une menace par le FBI parce qu’expliquant aux internautes comment apprendre à rester anonyme.

. Guide pratique du chef d’entreprise face aux risques numériques (.pdf) rendu public à l’occasion du Forum International sur la Cybercriminalité et rédigé par des gendarmes, policiers, juristes et professionnels de la sécurité informatique,

. les 12 conseils pour protéger votre vie privée en ligne de l’Electronic Frontier Foundation et son manuel d’auto-défense numérique (en anglais), rédigé pour aider les internautes confrontés à des régimes autoritaires, ainsi que, et toujours en anglais :

. Hints and Tips for Whistleblowers

. BlogSafer: Speak Freely and Stay Free

. Digital Security and Privacy for Human Rights Defenders

__

Retrouvez les deux autres articles de ce second volet de notre série sur le Contre-espionnage informatique : Nokia, histoire d’un fail corporate et Comment contourner la cybersurveillance ?

Retrouvez également le premier et dernier volet de cette série sur le contre-espionnage.