mercredi 1 juin 2011

Tutoriel: sécuriser un compte messagerie sur PC

Que l’on soit activiste, journaliste, militant, ou simple citoyen soucieux de la protection de sa vie privée, nos archives mails sont une source d’informations non négligeable pour les forces de polices. A l’heure où beaucoup d’informations militantes circulent par mail - de façon non chiffrée - et sont stockées sur nos ordinateurs - accessibles également -, un minimum de précautions s’imposent pour assurer la sécurité de nos données.
Ce tutoriel, issu d’une utilisation personnelle, propose une des nombreuses solutions pour protéger à minima nos mails et données. Ou comment chiffrer ses mails, en envoi et en archive, sans être pro de l’informatique (utilisable sous Windows, Mac & Linux).
Précautions de base:
- Une pre­mière mesure de sécu­rité réside dans le choix de son four­nis­seur mail. En l’occur­rence ceux situés en France (en .fr, mais aussi no-log.org par exem­ple) sont soumis à la loi Française. Ils peu­vent donc être per­qui­si­tion­nés par la police et sont sensés garder en archive un grand nombre de don­nées. Certains (hot­mail.fr, gmail) ne pro­po­sent pas à leurs uti­li­sa­teurs un degré de sécu­rité suf­fi­sant. Nous vous inci­tons à aller vers des mails type riseup.net.
- La pre­mière faille d’une adresse mail est tou­jours le mot de passe. Un mot de passe doit, pour four­nir un degré de sécu­rité suf­fi­sant, ne pas uti­li­ser de mots du dic­tion­naire ou noms pro­pres, uti­li­ser majus­cu­les et minus­cu­les, chif­fres et signes de ponc­tua­tion, aux­quels on peut ajou­ter d’autres carac­tè­res ASCII type %£$*... pour aug­men­ter la com­plexité. Un bon mot de passe fait plus de 10 carac­tè­res divers. Cette règle est vala­ble tant pour vos mots de passe mails que pour les phra­ses secrè­tes uti­li­sées ci des­sous.
Entrons main­te­nant dans le vif du sujet en rap­pe­lant ce qu’est le chif­fre­ment
Le chif­fre­ment, par­fois appelé à tort cryp­tage, est en cryp­to­gra­phie le pro­cédé grâce auquel on sou­haite rendre la com­pré­hen­sion d’un docu­ment impos­si­ble à toute per­sonne qui n’a pas la clé de (dé)chif­fre­ment.
C’est ce prin­cipe qui va nous per­met­tre de rendre nos don­nées illi­si­bles par ceux à qui elles ne sont pas des­ti­nées.

TrueCrypt & Framabird : Protéger sa base de données mail à domicile

Lorsque vous uti­li­sez plu­sieurs adres­ses mails, ou que vous êtes ins­crits sur plu­sieurs listes mili­tan­tes et que vous avez besoin de trier et d’archi­ver un flux de mails impor­tant, l’uti­li­sa­tion d’un ges­tion­naire de mail (type Outlook express ou Thunderbird) peut-être pra­ti­que. Malheureusement ce type de logi­ciel archive sur vos dis­ques dur les mails, et les lais­sent donc à portée de qui­conque pren­drait pos­ses­sion, phy­si­que­ment ou infor­ma­ti­que­ment, de votre ordi­na­teur per­son­nel. Notons au pas­sage que sup­pri­mer les fichiers/mes­sa­ges ne suffit pas à les rendre inac­ces­si­bles [1].
Pour éviter cette faille impor­tante tout en conti­nuant d’avoir accès à nos mails et archi­ves, nous allons trans­por­ter le ges­tion­naire de mail dans un volume chif­fré avec TrueCrypt.
TrueCrypt est un logi­ciel très simple d’uti­li­sa­tion qui permet de créer un (ou des) disque(s) vir­tuel(s) dont les don­nées sont cryp­tées dans un fichier conte­neur (extrait d’un tuto­riel Framasoft).
Imaginons que vous vou­liez cacher des docu­ments impor­tants ou votre col­lec­tion de photos coqui­nes aux yeux de votre petit-e ami-e ? Il vous suffit de créer un fichier conte­neur suf­fi­sam­ment grand pour tenir toute votre col­lec­tion, à l’aide de l’assis­tant prévu. Une fois ce fichier monté par TrueCrypt, une nou­velle lettre de lec­teur appa­rait dans Windows. Il suffit de dépla­cer les fichiers à pro­té­ger dans ce lec­teur vir­tuel et ils sont auto­ma­ti­que­ment cryp­tés à la volée. Le lec­teur peut alors être démonté et ne pourra être remonté, donc acces­si­ble, que via TrueCrypt en four­nis­sant le mot de passe ad hoc. Sans le mot de passe, toutes les com­pé­ten­ces infor­ma­ti­ques des mal­fai­teurs ou de votre petit-e ami-e n’y feront rien, le conte­neur ne sera jamais qu’un fichier de don­nées com­plè­te­ment aléa­toi­res.
Suite et fonc­tion­na­li­tés avan­cées : fra­ma­soft/Truecrypt
Nous allons donc créer sur une clé USB un volume chif­fré, illi­si­ble sans la clé, que Truecrypt sera chargé de chif­frer/déchif­frer à la volée. Le contenu du fichier en ques­tion ne sera acces­si­ble que lorsqu’il est « monté » sur Truecrypt avec la clé de l’uti­li­sa­teur. Dans ce volume (fichier) nous allons ins­tal­ler un ges­tion­naire de mail por­ta­ble, en l’occur­rence Framabird. Notons que le sys­tème Truecrypt, uti­lisé ici pour sécu­ri­ser un ges­tion­naire de mail, vous permet aussi de chif­frer d’autres don­nées sen­si­bles. Vous pour­rez « cacher » dans le dos­sier vos mails mais aussi vos photos, textes, etc.
  1. Téléchargement et installation de Truecrypt : versions à télécharger
  2. Création du fichier chiffré (plusieurs Go afin de pouvoir y stocker beaucoup d’information [2]). On y choisira notamment les algorithmes de chiffrement et votre phrase secrète qui servira à chiffrer/déchiffrer le volume. Voir ce tutoriel pour créer le volume (partie 4.1 Créer un dossier chiffré, sur ubuntu-fr)
  1. Dans le logiciel TrueCrypt, ouverture du volume crypté (select files -> Mount) à l’aide de la phrase secrète. Il apparait alors dans votre explorateur comme un nouveau volume/disque. (n’hésitez pas à faire plusieurs tests des étapes 2. et 3. pour vous familiariser avec l’outil).
  2. Installation dans le volume « monté/ouvert » du logiciel Framabird et/ou des données à sécuriser. [3]
  3. Utilisation du logiciel / accès aux données.
  4. Démontage (Dismount) du fichier crypté à chaque fin d’utilisation.            
  
Note : Pour les uti­li­sa­teurs avan­cés, TrueCrypt permet également de cacher un volume crypté (Hidden Volume) dans un autre volume crypté. Utile si, pour une raison X ou Y vous êtes obligé de donner votre phrase secrète : la per­sonne ne se dou­tera pas que les don­nées sen­si­bles sont en réa­lité cachées dans un second volume dont rien ne peut prou­ver l’exis­tence.

OpenPGP : Échanger des mails chiffrés.

Si les don­nées sto­ckées sur votre disque sont doré­na­vant sécu­ri­sées, ce n’est tou­jours pas le cas des mails lors de leur envoi vers le des­ti­na­taire. Ils peu­vent être inter­cep­tés et lus pen­dant le « trajet ». Pour sécu­ri­ser cette phase, il est pos­si­ble de cryp­ter le contenu des mails avec un sys­tème de clé PGP.
Cette clé de chif­fre­ment est en fait une paire de clé : une clé privé et une clé publi­que. On dis­tri­bue sa clé publi­que à ses cor­res­pon­dants, qui s’en ser­vi­ront pour chif­frer les mails qui vous sont des­ti­nés, tandis que la clé privé et la phrase secrète créé en même temps vous per­met­tront de déchif­frer ledit mail.
Les per­son­nes uti­li­sant Framabird auront la bonne sur­prise de trou­ver le plugin OpenPGP/enig­mail inté­gré dans le logi­ciel, per­met­tant ainsi de chif­frer ses mails sans faire appel à des connais­san­ces tech­ni­ques pous­sées. L’ins­tal­la­tion d’OpenPGP sur l’ordi­na­teur est tou­te­fois néces­saire : télé­char­ger ici : GnuPG.
De même pour les uti­li­sa­teurs de Thunderbird, le plugin Enigmail permet aisé­ment de chif­frer ses mails.
La confi­gu­ra­tion et les options sont acces­si­bles via l’onglet OpenPGP (Framabird) / Enigmail (Thunderbird).
Voir le tuto­riel enig­mail.
Un arti­cle sur Rebellyon.info a déjà pré­senté ce prin­cipe de chif­fre­ment de mails, s’y repor­ter pour plus d’infor­ma­tion :
- Comment chif­frer ses mails
 Des liens pour com­pren­dre et sécu­ri­ser:
- Guide D’auto­dé­fense numé­ri­que (énorme mais indis­pen­sa­ble)
- L’ano­ny­mat sur Internet grâce à la tech­ni­que du rou­tage en oignon.

http://rebellyon.info

 source

Notes

[1] Voir La suppression d’un fichier n’en supprime pas le contenu… et Effacer des données « pour de vrai »
[2] évitez de choisir un nombre « rond » dont l’aspect artificiel serait plus visible
[3] Framasoft qui produit Framabird propose également une suite complète de logiciels utilisables depuis une clé USB : FramaKey

Aucun commentaire:

Archives du blog