protectionnumerique:guideactiviste

Ceci est une ancienne révision du document !


Un ordinateur sans données

Comment protéger efficacement ses contacts, son travail, son réseau, sans pour autant devenir expert en sécurité.

Cas pratique : avoir un ordi de tous les jours et pouvoir quand même accéder à ses données sensibles pour par exemple traverser les postes frontières et les check points.

L’objectif n’est pas ici de se cacher de Google ou de se protéger d’un gouvernement ou de logiciels espion type FinFisher ou DaVinci, mais de se prémunir des menaces standards et de ne rien conserver de sensible sur son ordinateur. Utile pour passer les frontières et les checkpoints.

  • Mise en oeuvre : facile
  • Pré-requis : une connexion Internet
  • Ingrédients : un peu de technique et beaucoup de bon sens (“information management” comme disent les anglosaxons)

Cette configuration repose sur la compartimentation et le déni plausible. L’idée est de n’avoir aucun élément sensible sur son ordinateur, ni contacts ni outils de sécurité qui pourraient éveiller les soupçons (Tor, VeraCrypt, etc.). L’utilisateur devra faire l’effort d’identifier les informations sensibles qu’il devra placer sur ses comptes et sa messagerie de terroriste de l’internet.

  • Un carnet d’adresse rempli de contacts sensibles
  • Un historique web
  • Des emails en local sur son ordinateur (avec Outlook, mailx ou Thunderbird)
  • Tout outil de crypto sauf ceux mentionné ci-dessus (car facile à supprimer et pas du tout identifiés comme “outils de hacktivistes”)
  • Des clés pgp – oubliez PGP
  • Des clés ssh - sshquoi ?
  • Des fichiers ou containers chiffrés
  • Le mot de passe de la messagerie et des comptes de réseaux sociaux. Ces mots de passe ne doivent jamais être stockés sur l’ordinateur. Ça ne fait que quelques phrases de passe à mémoriser.
  • Utiliser la navigation privée (pas de traces sur l’ordi) et un VPN (pas de traces en ligne)
  • Effacer de manière sécurisée tous les fichiers sensibles sur l’ordinateur
  • Dans le cloud, sur un compte Google ou live. On y stocke :
    • les fichiers
    • les contacts
    • sans client type Google drive, encore moins Dropbox, sans enregistrer lesdits comptes dans les apps natives de l’OS (puisque tout est stocké sur l’ordi) que ce soit Windows, Mac ou Linux. Tout se fait en ligne. C’est sur ce principe que repose tout le modèle
  • supprimer quand nécessaire les fichiers avec eraser ou l’effacement sécurisé sous mac
  • si besoin de stocker beaucoup de fichiers ou des fichiers volumineux : clés usb externe avec un container vercrypt – le mieux en mode stégano – cf lien container dans vidéo) et le logiciel veracrypt dessus. Pas sur l’ordinateur. Plus facile de détruire une clé qu’un disque dur.
  • Sur la sdcard de votre téléphone
  • Idem pour votre volume veracrypt
  • En fichier txt caché dans l’arborescence d’Android, au format mp3 au milieu de votre /musique… ça reste simple et ludique à faire, juste avoir de l’imagination.

L’erreur humaine est ici hautement probable :

  • laisser traîner un mot de passe,
  • ne pas naviguer en navigation sécurisée et laisser traîner des sites et mots de passe enregistrés dans le navigateur,
  • oublier d’effacer un fichier sensible
  • Choix du service mail :
    • Se créer un compte mail éphémère sur gmx.com ou autre et activer la redirection dessus vers son vrai compte mail pro est une solution valable pour que votre “vrai” email ne transit pas sur le réseau du pays ou vous êtes.
  • Veracrypt est camoufable basiquement sous Windows ou autre en changeant l’icône tout simplement
    • Gmail est sécurisé mais pour les activiste de #occupywallstreet ce n’est pas une bonne idée
    • Live de microsoft, same shit as / même modèle de menace que google
    • Fastmail propose les mêmes fonctions que Google ou Microsoft avec l’énorme avantage de ne pas être hébergé aux EU. Inconénient : c’est payant
    • Un email et des services autohébergés (ou hébergé par une connaissance) type yunohost. ATTENTION à l’autohergement et le blacklisting email
    • Le contexte du lieu est important, se noyer dans la masse reste un point important. Il vaut mieux utiliser une adresse gmail, yahoo, hotmail dans certaines circonstances qu’une adresse riseup.

Les comptes “hacktivistes” ne doivent pas contenir d’informations personnelles type nom prénom. Même si le problème c’est qu’on ne devient pas hacktiviste du jour au lendemain et qu’on peut avoir échangé des emails éventuellement compromettant avec son email usuel. Il faut dans ce cas les transférer sur une autre messagerie dédiée (IMAP est très bien pour ça), et les effacer de la précédente messagerie.

Guide rédigé après une rencontre avec des activiste syriens qui font des AR réguliers entre Londres, Raqqa, Alep et Damas.

Vous pourriez laisser un commentaire si vous étiez connecté.