.
.

Sécurité sur internet !


La meilleure analogie de l'internet, qui n'est jamais qu'un réseau d'ordinateurs en liaison les uns avec les autres, c'est le réseau téléphonique. Chaque abonné au téléphone possède un numéro téléphonique unique, grâce auquel n'importe quel autre abonné au téléphone peut le joindre. Pour les ordinateurs connectés à l'internet, c'est la même chose : chaque machine possède un numéro unique, dit numéro IP (pour Internet Protocol) de la forme 225.120.10.114 (4 groupes de nombres de 0 à 255).
Sans entrer dans les détails de la numérotation IP, il faut savoir qu'il existe deux types de numéros IP : les IP fixes et les IP dynamiques. Dans le premier cas, votre fournisseur d'accès à l'internet vous donne un numéro IP définitif, qui ne changera pas tant que vous resterez abonné à ce fournisseur. Dans l'autre cas, plus fréquent, le fournisseur d'accès (orange, free, noss etc..) possède plusieurs millions de numéros IP : lorsque vous vous connectez à l'internet, votre fournisseur d'accès vous donne un numéro disponible, que vous serez le seul à posséder le temps de la connexion. Lorsque vous vous déconnectez, le numéro IP qui vous a été attribué redevient disponible pour quelqu'un d'autre.

Pour voir votre numéro IP, tapez dans la barre d'adresse de votre navigateur internet
http://www.showmyip.com/

C'est le numéro IP qui vous identifie : courrier, navigation web, messageries instantanées etc... Le protocole de transmission de l'internet est fait de telle façon que l'échange de données sur l'internet, entre deux ordinateurs, est fait par « paquets » : chaque paquet, d'environ 1500 caractères, comporte le numéro IP de l'expéditeur, le numéro IP du destinataire, le numéro du paquet, une partie du message.
Par exemple, si vous écrivez un courrier électronique de 4500 caractères, celui-ci sera découpé en 3 paquets par votre fournisseur d'accès, paquets qui voyageront sur l'internet de façon indépendante. Les paquets seront réassemblés par le fournisseur d'accès du destinataire.
Imaginez maintenant que vous postiez dans un blog, même de façon « anonyme » (avec un pseudo) un texte délictueux. La police, lisant votre texte, va demander au gestionnaire du blog le numéro IP de l'auteur du texte et va très vite remonter jusqu'à vous : c'est l'affaire de quelque minutes.
Il existe un autre moyen, plus rarement utilisé, de pister les machines connectées à l'internet (ou sur n'importe quel type de réseau) : c'est l'adresse MAC (Media Access Control). C'est un identifiant physique stocké dans une carte réseau ou une interface réseau similaire et utilisé pour attribuer mondialement une adresse unique au niveau matériel. Cette adresse MAC peut servir à protéger sa connexion wifi.
Pour en savoir plus sur cette question, consultez « C'est quoi, TCP/IP ? »
http://sebsauvage.net/comprendre/tcpip/
Pour en savoir plus sur comment vous êtes pisté sur l'internet consultez :
http://www.anonymat.org/
http://www.cnil.fr/
Le courrier électronique:
Pour comprendre son fonctionnement, faisons un parallèle avec la poste. Pour ce qui est du courrier, il existe deux façons d'écrire : la carte postale et la lettre sous enveloppe. Les deux types de courrier voyagent de la même façon, la différence étant que dans le cas de la carte postale, tout le monde peut lire ce que vous avez écrit.
Le courrier électronique est, de ce point de vue, strictement identique à la carte postale : le contenu est accessible aussi bien à votre fourniseur d'accès qu'au fournisseur d'accès du destinataire. Bien plus, certains fournisseurs de comptes de courrier électronique « gratuits » (hotmail, gmail, yahoo) ne se gênent pas pour ajouter leur propre publicité sur vos courriers électroniques, et revendent souvent leurs listings d'adresses mail à des boîtes de pub. Plus grave, ils collaborent avec certains Etats pour transmettre les mails et données personnelles aux forces policières (par exemple, Yahoo en Chine : voir http://www.pcinpact.com/actu/news/26549 ... iation.htm).
Supposons que vous soyez connecté à l'internet avec Orange et vous désirez envoyer un mail à un ami connecté sur Free. Vous écrivez sur votre ordinateur un courrier électronique, mettez soigneusement l'adresse mail de votre ami et vous cliquez sur le bouton « envoyer ».
Ce mail part par paquets sur un serveur chez votre fournisseur d'accès (Orange) : ce type de serveur sur lequel on envoie les courriers est dit un serveur SMTP (Simple Mail Transfer Protocol). La machine SMTP d'Orange va réassembler les paquets, stocker votre courrier et l'expédier par paquets chez Free, fournisseur d'accès du destinataire. Les différents paquets vont de nouveau être réassemblés et le courrier sera stocké sur le serveur de réception de Free. Les serveurs de réception sont généralement des serveurs de type POP (Post Office Protocol). Votre ami, lorsqu'il allumera son ordinateur, se connectera chez Free et relèvera son courrier électronique : il va donc appeler le serveur POP pour télécharger le courrier et récupérer, entre autres, celui que vous lui avez adressé.
Voilà, très grossièrement résumé, le fonctionnement du courrier électronique. Le mail étant divisé en paquets voyageant indépendamment les uns de autres ne peut donc être intercepté durant son acheminement. Mais, étant stocké d'une part chez le fournisseur d'accès de l'expéditeur et le fournisseur d'accès du destinataire, c'est donc à ces 2 endroits qu'il peut être consulté.
Or, tous les pays se sont dotés d'une législation obligeant les fournisseurs d'accès à garder les données au moins pendant un an (parfois 3 ans). Par ailleurs, tous les fournisseurs d'accès se sont dotés de logiciels spécialisés d'analyse des données échangées sur leurs serveurs : essayez d'envoyer un mail annonçant une occupation « musclée »et vous aurez dans les heures qui suivent la visité de la maréchaussée...
Dans ces conditions, comment faire pour conserver un minimum de confidentialité dans le courrier électronique ?
Rappelez-vous : un courrier électronique, c'est une carte postale. Si l'on veut cacher le contenu d'une carte postale, la solution est simple : mettre la carte sous enveloppe. C'est exactement ce qu'on va faire faire pour le courrier électronique.
La solution : crypter ses données
Pour mettre sa carte postale sous enveloppe, il faut et il suffit de crypter (coder) le contenu du courrier, de façon à ce que seul le destinataire puisse déchiffrer le contenu du message.
Ceux qui ont déjà acheté par internet, et payé par carte bancaire, ont utilisé sans forcément le savoir, le cryptage de données : le numéro de carte bancaire qu'on envoie est codé de façon à ce que seul le destinataire puisse le déchiffrer. Comment cela fonctionne-t-il ?
Le codage est aussi vieux que les communications : Jules César utilisait déjà un système de cryptage. Jusqu'à récemment, les systèmes étaient simples : on transformait le message à coder en quelque chose d'incompréhensible, avec une « clé » de codage, la même clé servant au destinataire pour décoder le message. C'est l''inconvénient de ce système : aussi bien l'émetteur que le récepteur doivent posséder la clé.
Depuis, les choses ont évolué : à partir de la théorie des nombres premiers, on sait fabriquer un système de codage à deux clés : la première sert uniquement à coder un message, et la seconde uniquement à le décoder. L'avantage de ce système est qu'on peut rendre publique la clé de codage : tout le monde peut utiliser cette clé « publique » pour chiffrer un message. Seul le détenteur de la clé de décodage pourra déchiffrer le message.
C'est le système utilisé par les sites internet commerciaux : seul le vendeur possède la clé de décodage et envoie sur l'ordinateur du client la clé de codage qui servira à crypter le numéro de carte bancaire.
Evidemment, comme tous les systèmes de codage, celui-ci n'est pas – en théorie – inviolable : on peut « casser » ce système avec des moyens, et du temps. Ainsi, pour décoder un message crypté avec ce système, il faudra essayer plusieurs milliards de milliards de possibilités, ce qui prendra au minimum plusieurs dizaines de siècles aux ordinateurs les plus puissants du moment. Le système est donc très fiable : il est beaucoup plus sûr d'envoyer son numéro de carte bancaire sur un site internet « sécurisé » (protocole https) que de l'envoyer par téléphone, surtout portable...
pour en savoir plus sur ce système de crytage :
voir http://fr.wikipedia.org/wiki/Cryptographie_asymétrique
le logiciel de cryptage des données:
Il s'appelle GPG (GNU Privacy Guard) : c'est une implémentation libre (sous licence GPL) de la suite bien connue PGP (Pretty Good Privacy). Téléchargeable sur http://www.gnupg.org/, on peut l'installer sur tout ordinateur sous Linux, Windows, MacOS.
A l'installation, GPG va générer la paire de clés (privée et publique) et vous demandera une « phrase de passe » (en fait un mot de passe) pour protéger votre clé privée.En effet, la clé privée étant stockée sur votre ordinateur, un autre utilisateur que vous-même pourrait dès lors lire votre courrier crypté.
Envoyez ensuite la clé publique à vos correspondants ou, mieux, envoyez-là sur un « serveur de clés publiques » : vos correspondants pourront télécharger la clé et crypter ainsi les mails qu'ils vous envoient.
Ensuite, votre lecteur de courriers électroniques, dès qu'il recoit un mail crypté avec votre clé publique, vous demandera la pharse de passe pour activer la clé de décodage et décrypter le mail. La procédure, avec par exemple Thunderbird, est totalement automatique.
Le trousseau de clés:
Pour envoyer un mail crypté à vos correspondants, vous devez évidemment récupérer sur votre ordinateur leur clé publique de codage : si vous avez plusieurs correspondants pour lesquels vous communiquez en crypté, vous aurez donc plusieurs clés publiques : une par correspondant.
Toutes les clés publiques sont stockées sur votre ordinateur dans un fichier unique (le trousseu de clés) : lorsque vous envoyez un mail à un ami dont vous avez la clé dans votre trousseau, votre logiciel de courrier ira chercher automatiquement la bonne clé et codera le message.
Quelques conseils pour les comptes de courrier électronique
Ayez plusieurs adresses électroniques : la principale, pour vos amis, une adresse « militante » si vous êtes militant politique ou syndical, une adresse « poubelle » pour passer des commandes sur l'internet.
En effet, lorsque vous commandez par internet sur un site commercial, vous pouvez être raisonnablement certain que cette adresse va servir au site pour vous envoyer ensuite des publicités, voire être revendue à d'autres sites commerciaux.
L'adresse militante devrait être ouverte sur un serveur de courrier plus « sûr » que hotmail, free ou gmail, lesquels ne feront pas beaucoup d'opposition aux perquisitions policières, voire revendront cette adresse à des serveurs commerciaux. Ces serveurs de courrier « sûrs » gardent évidemment les mails sur leurs machines, mais de façon cryptée.
Pour l'instant, l'auteur de ces lignes utilise de façon régulière 3 serveurs « sûrs » : www.no-log.org (création de comptes de courrier pour l'instant désactivée), www.riseup.net (serveur créée par des militants US : pour ouvrir un compte mail chez eux, on vous demandera qui vous êtes et pourquoi vous voulez ouvrir un compte, ou bien vous devrez être parrainé par deux titulaires de compte riseup), et lautre.net (payant, 23 Euros/an, mais qui offre la « panoplie complète » internet : serveur web, listes de diffusion, comptes mails etc..).
Le web:
Fondamentalemnt, le web n'est pas plus sûr que les autres applications de l'internet. Il existe cependant des serveurs webs « sécurisés » - qu'on reconnaît parce que leur adresse commence par « https:// », le « s » signifiant « secure » : tous les échanges entre votre ordinateur et le serveur https sont cryptés. C'est le cas, entre autres, des sites de paiement par carte bancaire. Lorsque vous êtes connecté à ce type de serveur, votre navigateur internet vous l'indique en affichant un petit cadenas. Mais cela ne change rien au fond du problème : sur le web, on l'a vu, vous êtes « pisté » par votre adresse IP.
Comment rester anonyme sur le Web ? Il existe 2 solutions :

- passer par un serveur intermédiaire qui se connectera aux sites web que vous visitez à votre - - place et vous renverra à son tour les pages. Ce serveur est dit mandataire ou proxy.
Installer sur votre ordinateur et utiliser le logiciel de connexion anonyme TOR
le serveur intermédiaire (proxy)

Exemple : http://www.idzap.com/.
L'inconvénient majeur de ce système, c'est qu'il vous faut absolument avoir une pleine confiance dans ce serveur intérmédiaire, et rester conscient du fait que ce type de service internet est très probablement surveillé de près par un certain nombre d'officines...
L'autre inconvénient, c'est une connexion plus lente : au lieu de vous connecter directement sur le site www.solidaires.org, vous passez par www.idzap.com, lequel se connectera sur solidaires.

Le logiciel de connexion anonyme "Tor"

The Onion Router ou Tor (littéralement : le routage en oignon) est un réseau mondial décentralisé de d'ordinateurs, organisés en couches, appelés nœuds de l'oignon, dont la tâche est de transmettre de manière anonyme les paquets de données TCP/IP.
Concrètement,Tor détermine au fur et à mesure un circuit de connexions cryptées à travers les relais du réseau. Le circuit est construit aléatoirement étape par étape, et chaque relais le long du chemin ne connaît que celui qui lui a transmis les données, et celui auquel il va les retransmettre. Aucun relais ne connaît à lui tout seul le chemin complet pris par un paquet de données. Le client négocie indépendamment une paire de clés de chiffrement avec chaque serveur du circuit. On ne peut donc intercepter la connexion au passage.

Pour en savoir plus et télécharger tor : http://www.torproject.org/index.html.fr
L'installation de Tor est très facile, et son utlisation encore plus. Vous devez télécharger le logiciel, et installer dans votre navigateur (Firefox très fortement conseillé) une extension appelée « Torbutton » qui installe dans Firefox un bouton permettant d'activer Tor ou de le désactiver suivant les sites visités.

Tor est probablement le système le plus « sûr » du moment, bien que, il faut le répéter, il ne peut exister de système absolument sûr en matière de sécurité. Ainsi, Tor anonymise l'origine de votre trafic et chiffre tout à l'intérieur du réseau Tor, mais il ne peut pas chiffrer votre trafic entre le dernier noeud Tor et sa destination finale. Si vous envoyez des informations sensibles, vous devriez employer autant de précautions que lorsque vous êtes sur l'internet normal — utilisez SSL ou un chiffrement final similaire.

Quelques conseils pour protéger votre vie privée sur l'internet:

Autant que possible, utilisez des logiciels libres : beaucoup de logiciels non-libres possèdent ce qu'on appelle des « portes dérobées » (backdoors) qui donne un accès secret au logiciel et à l'ordinateur hôte. Par exemple, en 1994, la base de données Interbase avait une porte dérobée, faisant furieusement penser aux efforts déployés à l’époque par les services de renseignements américains, qui cherchaient à placer des "backdoors" dans les produits des plus grands éditeurs de logiciels.
Exemple donné par Richard Stallman (fondateur de la Free Software Foundation) : « quand Windows XP nécessite une mise à jour, la liste de tous les programmes installés dans la machine est envoyée à Microsoft. C'est une autre fonctionnalité de surveillance. Mais peut-être y en a-t-il d'autres que l'on ignore parce que Microsoft ne nous a pas signalé ces fonctionnalités néfastes. Il a fallu effectuer des recherches pour les découvrir et il en reste peut-être encore.La surveillance n'est pas limitée à Windows parce que Windows Media Player le fait aussi en divulguant tout ce que l'utilisateur visionne. Mais il ne faut pas penser que Microsoft soit le seul à faire cela, puisque Real Player fait la même chose. Et je suppose que Real Player l'a fait le premier parce que Microsoft normalement imite »
L'avantage du logiciel libre n'est pas qu'il est plus « sûr » (répétons-le, un logiciel absolument « sûr » est une vue de l'esprit) mais que dès qu'une faille de sécurité est détectée, elle est rapidement corrigée. Cela a été le cas pour Firefox 3, corrigé en 2008 2 fois en 48 heures, suite à la découverte d'une faille.

Pour en savoir plus sur les logiciels libres : http://fr.wikipedia.org/wiki/Logiciel_libre
liste de logiciels libres sousWindows : http://www.journaldunet.com/solutions/0 ... ealx.shtml

Faites attention aux langages de script et aux extensions de plus en plus employés sur le Web : Java, Javascript Flash, ActiveX, RealPlayer, Quicktime, Acrobat Reader, et d'autres peuvent être manipulés pour révéler votre IP. Installez QuickJava, FlashBlock, et NoScript (extensions qui permettent de contrôler finement le comportement de votre navigateur). Par exemple, NoScript (pour Firefox) ne permet l'exécution de scripts (petits morceaux de programmes qui s'exécutent sur votre ordinateur) que pour les sites dans lesquels vous avez confiance, et que vous autorisez à exécuter des scripts. Pensez également à supprimer les extensions qui recherchent des informations à propos des sites web que vous consultez (comme la barre Google), puisqu'elles évitent Tor et/ou diffusent des informations.

Pour en savoir plus et télécharger NoScript : http://noscript.net/

Souvent, vos habitudes de navigation sur le Web sont enregistrées à votre insu dans des cookies. Un cookie est un petit fichier, créé et installé sur le disque dur de votre ordinateur par un site Web pour récupérer des informations sur votre interaction avec le site. A mesure que vous naviguez sur le site, des informations sont stockées dans le cookie. Lors de votre prochaine visite, ces données sont transmises au site. Seul le site qui a créé le cookie peut le lire et il n'a pas accès aux autres fichiers de votre ordinateur. Parfois nécessaires pour se connecter à un site, les cookies peuvent être utiles pour l'enregistrement des mots de passe, vous dispensant de le saisir chaque fois que vous accédez au site. Pour contrôler les cookies enregistrés sur votre ordinateur, installez l'extension CookieCuller pour Firefox

Pour en savoir plus et télécharger CookieCuller : http://cookieculler.mozdev.org/
Note concernant les mots de passe : choisissez des mots de passe compliqués ! Il existe sur le Net des dictionnaires de mots de passe qui permettent de « casser » un mot de passe très rapidement. Ces dictionnaires contiennent tous les noms et dates possibles, tous les mots qui un jour ou l'autre ont été intégrés dans un livre ou un article de presse, tous les mots d'une langue donnée, et même les mots de substitution, type sms (exemple <@+3 pour kate).
Par exemple, prenez les premières lettres d'un poème, d'un chanson ou d'un slogan, espacés à chaque fois d'un chiffre ou caractère spécial.

Il existe plusieurs sites permettant de tester la solidité de vos mots de passe :
http://cs76.free.fr/test-mot-passe.php
http://www.pc-optimise.com/securite/password.php

Protéger son installation wifi:

On parle de wifi pour désigner des réseaux fonctionnant sans fil. Au lieu d'utiliser des cables, on utilise des ondes radio pour transmettre des informations entre deux machines. Mais cette simplicité, qui vous facilite la vie, facilite également la vie de personnes mal intentionnées...

Ci-dessous, un extrait d'une conférence donnée à Léa-Linux (Comment utiliser une connection wifi "en ville", et comment protéger son installation contre un squattage de connection. http://www.lea-linux.org/cached/index/S ... _WIFI.html).

Quelqu'un pourra se brancher sur votre réseau wifi pour surfer sur internet gratuitement. Cela présente des risques pour vous, qui possédez la connection. En effet, si quelqu'un télécharge, avec votre connection, des contenus interdits (pédophiles, nazis, ou autres),, vous serez le seul responsable au regard de la loi.

Une fois votre réseau pénétré il est aisé pour un pirate d'en modifier les paramètres de connection. Il pourra ainsi installer des programmes qui pourront lui servir ensuite par internet. La technique est simple : on fragilise un réseau tout entier en l'attaquant là où il est le plus faible. Vous pourrez dès lors servir de relais à des attaques (vous servirez de bouclier au pirate), votre connection servira pour divers agissements, sans même que vous vous en rendiez compte. Le risque est d'autant plus grand que des machines de votre réseau sont des machines tournant sous Windows.

Il faut savoir que de nombreuses informations circulent en clair sur votre réseau. Ainsi, testez par exemple le logiciel dsniff sur votre réseau local, et vous vous apercevrez que vos mots de passe et identifiants de messagerie circulent en clair, idem pour les outils de messagerie instantanée (aim, icq etc). En clair, votre voisin pourrait s'il le souhaite lire votre courrier, vos conversations, connaître les sites que vous consultez, ou encore usurper votre identité. Le plus grave étant dans certains cas les informations banquaires...
Pour protéger raisonnablement son installation wifi, quelques opérations simples à faire :

Changer le mot de passe utilisateur de votre routeur Wifi (par exemple livebox)
Lors de la première installation d'un point d'accès, celui-ci est configuré avec des valeurs par défaut, y compris en ce qui concerne le mot de passe de l'administrateur. Un grand nombre d'administrateurs en herbe considèrent qu'à partir du moment où le réseau fonctionne il est inutile de modifier la configuration du point d'accès. Toutefois les paramètres par défaut sont tels que la sécurité est minimale. Il est donc impératif de se connecter à l'interface d'administration (généralement via une interface web sur un port spécifique de la borne d'accès - généralement 192.168.1.1) notamment pour changer le mot de passe d'administration.

Définir le nom de votre réseau (SSID)
Tout réseau Wifi a un nom : le SSID (Service Set IDentifier). La seconde étape consiste donc à changer ce nom et à le cacher à la vue des utilisateurs malintentionnés. Dans l'utilitaire de configuration de votre routeur, changez le SSID par défaut en un nom en évitant qu'il soit trop simple.

Désactiver ensuite la diffusion du nom SSID de votre réseau sans fil en cochant la case correspondante, pour qu'il n'apparaisse pas dans la liste des connexions possibles de vos voisins.
Le changement de l'identifiant réseau par défaut est d'autant plus important qu'il peut donner aux pirates des éléments d'information sur la marque ou le modèle du point d'accès utilisé.
Activer le cryptage de votre réseau (clef de sécurité)
Avant d'utiliser votre réseau sans-fils, il sera utile de crypter celui-ci avec une clef numérique afin de ne laisser l'accès qu'aux utilisateurs disposant de celle-ci. Deux types de cryptage de donnée existent actuellement : WEP (Wired Equivalent Privacy) et WPA (Wi-Fi Protected Access).
Dans le cas du WEP, une attaque par force brute (c'est-à-dire en essayant toutes les possibilités de clés) peut très vite amener le pirate à trouver la clé de session. De plus une faille décelée par Fluhrer, Mantin et Shamir concernant la génération de la chaîne pseudo-aléatoire rend possible la découverte de la clé de session en stockant 100 Mo à 1 Go de traffic créés intentionnellement.
Si votre routeur et tous vos adaptateurs sans-fils le supportent, il est impératif d'opter pour un chiffrement WPA
Filtrer les adresses MAC

Tous les appareils connectés à un réseau disposent d'une carte réseau munie d'une adresse physique spécifique : l'adresse MAC (indépendamment de ceci, un ordinateur est défini par son adresse IP). Cette adresse est représentée par 12 chiffres hexadécimaux groupés par paires et séparés par des tirets. (Ex : 5E-FF-56-A2-AF-15). Dans l'utilitaire de configuration de votre routeur, il vous faut activer l'option de filtrage puis saisir les adresses MAC de chacun de vos appareils. Ainsi seuls ces appareils (reconnus sur le réseau par leur adresse MAC) pourront accéder au réseau.
Blogger

Aucun commentaire:

Enregistrer un commentaire