Un ordinateur sans données
Le meilleur moyen de protéger des données c’est de n’en avoir aucune
Lao Tsé Tung
L’objectif n’est pas ici de se cacher de Google ou de se protéger d’un gouvernement ou de logiciels espion type FinFisher ou DaVinci, mais de se prémunir des menaces standards et de ne rien conserver de sensible sur son ordinateur. Utile pour passer les frontières et les checkpoints.
Le principe
Cette configuration repose sur la compartimentation et le déni plausible. L’idée est de n’avoir aucun élément sensible sur son ordinateur, ni contacts ni outils de sécurité qui pourraient éveiller les soupçons (Tor, VeraCrypt, etc.). L’utilisateur devra faire l’effort d’identifier les informations sensibles qu’il devra placer sur ses comptes et sa messagerie de terroriste de l’internet.
Ce qu’il faut avoir
Ce qu’on peut avoir (et c’est bien)
Ce qu’il ne faut pas avoir
Un carnet d’adresse rempli de contacts sensibles
Un historique web
Des emails en local sur son ordinateur (avec Outlook,
mailx ou Thunderbird)
Tout outil de crypto sauf ceux mentionné ci-dessus (car facile à supprimer et pas du tout identifiés comme “outils de hacktivistes”)
Des clés pgp – oubliez PGP
Des clés ssh - èsse èsse quoi ?
Des fichiers ou containers chiffrés
Ce qu’il faut mémoriser
Le mot de passe de la messagerie et des comptes de réseaux sociaux. Ces mots de passe ne doivent jamais être stockés sur l’ordinateur. Ça ne fait que quelques
phrases de passe à mémoriser.
La pratique
S’il vous faut vraiment stocker des fichiers volumineux,
SPOF ou le risque principal
L’erreur humaine est ici hautement probable :
laisser traîner un mot de passe,
ne pas naviguer en navigation sécurisée et laisser traîner des sites dans votre historique ou pire des mots de passe enregistrés dans le navigateur (ne jamais enregistrer des mdp dans son navigateur),
oublier d’effacer un fichier sensible
Se connecter sans VPN. La plupart des clients VPN peuvent se paramétrer pour se lancer automatiquement.
Divers
Choix du service mail :
Se créer un compte mail éphémère sur gmx.com ou autre et activer la redirection dessus vers son vrai compte mail pro est une solution valable pour que votre “vrai” email ne transit pas sur le réseau du pays ou vous êtes.
Veracrypt est camoufable basiquement sous Windows ou autre en changeant l’icône tout simplement
Les services Google ou Microsoft live sont robustes et sécurisés mais ce n’est peut-être pas la meilleure option si vous êtes un activiste de #occupywallstreet
Fastmail ou protonmail proposent les mêmes fonctions que Google ou Microsoft avec l’énorme avantage de ne pas être hébergé aux EU. Inconvénient : c’est payant
Un email et des services autohébergés (ou hébergé par une connaissance) type yunohost. ATTENTION à l’autohergement et le blacklisting email
Le contexte du lieu est important, se noyer dans la masse reste un point important. Il vaut mieux utiliser une adresse gmail, yahoo, hotmail dans certaines circonstances qu’une adresse
riseup.
Ça va sans dire mais on le dit quand même
Vos comptes compartimentés ne doivent pas contenir d’informations personnelles type nom prénom. Surtout pas de prenom.nom@gmail.com ou prenom75@live.com. On ne devient pas hacktiviste du jour au lendemain et on peut avoir échangé des emails éventuellement compromettant avec son email usuel (identifiable nom.prenom@service.com). Il faut dans ce cas les transférer sur une autre messagerie dédiée (IMAP est très bien pour ça) et les effacer de la précédente messagerie.
Guide rédigé après une rencontre avec des activiste syriens qui font des AR réguliers entre Londres, Raqqa, Alep et Damas.