« Cryptoparty Café vie privée Chiffrement en pleine démocratisation » : différence entre les versions

De April MediaWiki
Aller à la navigationAller à la recherche
Ligne 165 : Ligne 165 :
Est-ce qu'il y a des gens qui seraient intéressés pour en lancer dans leur coin ? Éventuellement, alors on va dire hors Paris est-ce qu'il y a des gens qui sont intéressés pour en lancer ? Je vois une main qui se lève, une deuxième main, etc. Donc ce que vous pouvez faire c'est, si vous avez besoin de support, tutoriaux,etc, vous me contactez et moi je peux voir pour vous donner des tutoriaux déjà tout fait, des slides que j'ai faits, etc. Il y a Aeris aussi qui voudrait parler.
Est-ce qu'il y a des gens qui seraient intéressés pour en lancer dans leur coin ? Éventuellement, alors on va dire hors Paris est-ce qu'il y a des gens qui sont intéressés pour en lancer ? Je vois une main qui se lève, une deuxième main, etc. Donc ce que vous pouvez faire c'est, si vous avez besoin de support, tutoriaux,etc, vous me contactez et moi je peux voir pour vous donner des tutoriaux déjà tout fait, des slides que j'ai faits, etc. Il y a Aeris aussi qui voudrait parler.


'''Aeris :''' Pour ceux qui veulent essaimer, on a fait ça pour Londres récemment. N'hésitez pas à nous contacter on peut vous donner des noms de domaine, vous faire des sous-domaines sur le café vie privée, des sites Internet et compagnie. N'hésitez surtout pas des boîtes mail chiffrées, on peut vous fournir des espèces de clefs, de boîtes à outils clefs en main pour monter des chiffrofêtes dans vos patelins.
'''Aeris :''' Pour ceux qui veulent essaimer, on a fait ça pour Nantes récemment. N'hésitez pas à nous contacter on peut vous donner des noms de domaine, vous faire des sous-domaines sur le café vie privée, des sites Internet et compagnie. N'hésitez surtout pas des boîtes mail chiffrées, on peut vous fournir des espèces de clefs, de boîtes à outils clefs en main pour monter des chiffrofêtes dans vos patelins.


'''Gemna :''' Par exemple là  il y avait des gens qui avaient assisté à ce qu'on fait et ils ont dit « Ah ben nous on aimerait bien ça sur Nantes ! » Je lui fait Nantes c'est un peu loin, il faut que me déplace et tout. Lance-toi. Et donc maintenant il y a Nantes-café-vie-privée. fr. Ils ont leur page, comme ça ils mettent leurs dates à eux, ils ont leur site internet entre guillemets où ils pourront mettre ce qu'ils veulent et ils font le truc dans leur coin.
'''Gemna :''' Par exemple là  il y avait des gens qui avaient assisté à ce qu'on fait et ils ont dit « Ah ben nous on aimerait bien ça sur Nantes ! » Je lui fait Nantes c'est un peu loin, il faut que me déplace et tout. Lance-toi. Et donc maintenant il y a Nantes-café-vie-privée. fr. Ils ont leur page, comme ça ils mettent leurs dates à eux, ils ont leur site internet entre guillemets où ils pourront mettre ce qu'ils veulent et ils font le truc dans leur coin.
Ligne 195 : Ligne 195 :


'''Aeris :''' Enigmail, c'est le mauvais exemple mais pour d'autres raisons, parce que c'est un peu compliqué. En fait Enigmail, le problème d'Enigmail, c'est qu'il n'y a plein de manière de se planter pour faire du chiffrement. C'est super cool, parce que vous pouvez tester, vous pouvez vous planter quand vous n'avez rien à protéger. Mais le jour où vous voulez vraiment faire du chiffrement et pas interceptable, on ne passe pas par Enigmail.
'''Aeris :''' Enigmail, c'est le mauvais exemple mais pour d'autres raisons, parce que c'est un peu compliqué. En fait Enigmail, le problème d'Enigmail, c'est qu'il n'y a plein de manière de se planter pour faire du chiffrement. C'est super cool, parce que vous pouvez tester, vous pouvez vous planter quand vous n'avez rien à protéger. Mais le jour où vous voulez vraiment faire du chiffrement et pas interceptable, on ne passe pas par Enigmail.
A part Enigmail, il y a des logiciels de mail qui embarque GPG en standard, il y a Claws Mail, ou Contact, ou KMail, ou ???pour les plus consoles ??? . Enigmail, il y a beaucoup de moyens de se planter, parce qu'en fait ce n'est qu'un greffon de Thunderbird. Il n'a pas accès à tout et donc il se débrouille comme il peut pour faire son chiffrement mais ce n'est pas comme si c'était natif quoi.
A part Enigmail, il y a des logiciels de mail qui embarque GPG en standard, il y a Claws Mail, ou Kontact, ou KMail, ou Mutt pour les plus consoles compliant. Enigmail, il y a beaucoup de moyens de se planter, parce qu'en fait ce n'est qu'un greffon de Thunderbird. Il n'a pas accès à tout et donc il se débrouille comme il peut pour faire son chiffrement mais ce n'est pas comme si c'était natif quoi.


'''Genma :''' Là, on voit, on tombe typiquement dans la problématique du Threat Model. Moi j'utilise GPG avec Enigmail, parce que bon, OK, même si je me plante, les mails que j'envoie ne sont pas forcément si confidentiels que ça. C'est je veux sensibiliser à ça. C'est communiquer de façon chiffrée et sécurisée parce que c'est intéressant. Mais on voit aussi le côté, si je veux diffuser ces connaissances, je sais que ça dépendra des personnes. Si c'est quelqu’un qui a juste besoin, comme ça pour chiffrer ses mails sans plus par curiosité, ça va être Enigmail. Par contre si c'est quelqu’un vraiment besoin de sécurité derrière ce n'est pas vers moi que je vais l'envoyer, je vais l'envoyer vers Aeris qui lui va aller un peu plus loin techniquement. C'est toujours la sécurité, c'est, plus on veut que ce soit sécurisé, plus ce sera compliqué. Donc là c'est, quel est le niveau, quel est le curseur ? Si c’est juste chiffrer au départ pour apprendre et se familiariser avec ça, Enigmail. Si on veut aller plus loin ça va être une implantation différente
'''Genma :''' Là, on voit, on tombe typiquement dans la problématique du Threat Model. Moi j'utilise GPG avec Enigmail, parce que bon, OK, même si je me plante, les mails que j'envoie ne sont pas forcément si confidentiels que ça. C'est je veux sensibiliser à ça. C'est communiquer de façon chiffrée et sécurisée parce que c'est intéressant. Mais on voit aussi le côté, si je veux diffuser ces connaissances, je sais que ça dépendra des personnes. Si c'est quelqu’un qui a juste besoin, comme ça pour chiffrer ses mails sans plus par curiosité, ça va être Enigmail. Par contre si c'est quelqu’un vraiment besoin de sécurité derrière ce n'est pas vers moi que je vais l'envoyer, je vais l'envoyer vers Aeris qui lui va aller un peu plus loin techniquement. C'est toujours la sécurité, c'est, plus on veut que ce soit sécurisé, plus ce sera compliqué. Donc là c'est, quel est le niveau, quel est le curseur ? Si c’est juste chiffrer au départ pour apprendre et se familiariser avec ça, Enigmail. Si on veut aller plus loin ça va être une implantation différente


'''Aeris :''' Le bon exemple que j'ai sur Enigmail, moi j’utilise GPG tous les jours, et je conversais avec des personnes sur Internet. Et un jour je mes suis dis tiens si j'allais voir le code source de mes mails. Et là j'ai vu qu'en fait les pièces jointes, quand on les envoie avec Enigmail, on a le nom de la pièce jointe qui est en clair. Donc au début, l'exemple que je donne, quand on s’échange des recettes de pizzas ou de macarons c'est super bien. Quand on commence à avoir docsnotdone.pdf, ça peut être un peu plus emmerdant. Et le jour où on se rend compte de ça, le problème c'est que du coup j'ai dû me taper un an et demi de conversations mails chiffrées, pour vérifier qu'est-ce qu'on avait bien pu linker comme données. Et est-ce qu'il fallait faire Quelque chose ? Est-ce qu'on avait vraiment balancé des données qu'on n'aurait pas dû. Donc si vous voulez vous amuser à faire du GPG pour discuter entre amis, il n'y a aucun problème avec Enigmail. Le jour où vous linkez des documents, passez à autre chose.
'''Aeris :''' Le bon exemple que j'ai sur Enigmail, moi j’utilise GPG tous les jours, et je conversais avec des personnes sur Internet. Et un jour je mes suis dis tiens si j'allais voir le code source de mes mails. Et là j'ai vu qu'en fait les pièces jointes, quand on les envoie avec Enigmail, on a le nom de la pièce jointe qui est en clair. Donc au début, l'exemple que je donne, quand on s’échange des recettes de pizzas ou de macarons c'est super bien. Quand on commence à avoir docs-snowden.pdf, ça peut être un peu plus emmerdant. Et le jour où on se rend compte de ça, le problème c'est que du coup j'ai dû me taper un an et demi de conversations mails chiffrées, pour vérifier qu'est-ce qu'on avait bien pu leaker comme données. Et est-ce qu'il fallait faire quelque chose ? Est-ce qu'on avait vraiment balancé des données qu'on n'aurait pas dû. Donc si vous voulez vous amuser à faire du GPG pour discuter entre amis, il n'y a aucun problème avec Enigmail. Le jour où vous leakez des documents, passez à autre chose.


==45' 47 ==
==45' 47 ==

Version du 13 juillet 2014 à 10:35


Titre : Des cryptoparty aux Café vie privée, le chiffrement en pleine démocratisation

Intervenant : Genma

Lieu : Pas Sage En Seine

Date : Juin 2014

Durée : 56 min 27

Lien vers la vidéo : [1] ou [2]

00'transcrit MO

On se donne encore deux minutes avant de commencer, le temps que les gens dans la salle puissent s’asseoir. Je vais peut-être y aller. Je vais commencer.

Bonjour et bienvenue. Le titre de ma conférence, c'est « Des cryptoparty aux café vie privée, le chiffrement en pleine démocratisation ».

Je vais commencer par me présenter. Qui je suis ? Je m'appelle Genma de mon pseudo, ça s'écrit G, E, N, M, A. Sous ce pseudonyme je tiens un blog qui s'appelle le blog de Genma. J'ai un twitter sur lequel je suis assez actif et je communique de façon assez régulière par rapport aux thématiques que je vais aborder dans cette conférence, à savoir, les chiffrofêtes, café vie privée, cryptoparty, je vais expliquer un peu pourquoi ces différentes terminologies-là. Comment j'ai été amené à être ici ? C'est parce que mes centres d’intérêt ce sont au départ la veille technologique et peu à peu je me suis intéressé à tout ce qui était vie privée, chiffrement, etc. J'ai acquis un certain nombre de connaissances que maintenant je rediffuse dans le cadre d’événements de type cryptoparty. Donc je vais expliquer tout ça.

Donc les chiffrofêtes, c'est quoi ? Qu'est-ce qu'une chiffrofête ? Au départ il y avait le terme de cryptoparty, qui est la contraction de crypto, donc chiffrement et party, la fête ; c'est un terme anglais qui est souvent francisé en cryptopartie, ie, mais nous on a, en fait, on a décidé, donc le petit groupe qui fait ces genres d’événements avec moi, d’appeler ça chiffrofête, parce qu'on trouvait ça marrant, c’était un petit côté francisation du terme et montrer qu'on se démarque un petit peu du terme de cryptoparty du départ. Parce que les cryptoparty ont toujours existé, moi je sais que ça fait quelques années que je m'intéresse à ces problématiques-là. J'avais regardé en cherchant sur Internet et je voyais que les cryptoparty c'était dans des milieux, un peu, on va dire, underground, dans des hackerspaces, des endroits un peu de réunion de hackers qui voulaient chiffrer leurs mails et leurs communications. Ça semblait quelque chose d'assez confidentiel, de gens qui s'y connaissent, qui ont un certain bagage technique. J'avais l'impression que le ticket d'entrée pour participer à ce genre d’événement était quand même assez élevé et donc je ne m'y étais pas trop mêlé et, comme on va le voir après, il y a eu en fait ce qui s'appelle les cafés vie privée, qui ont changé un peu la donne, de mon point de vue à moi, et c'est ce dont je vais vous parler là.

Quand ça a commencé en fait, comme je disais, les cryptoparty ça fait depuis un petit moment, mais, c'est en octobre dernier, en 2013, j'ai vu qu'il y avait quelque chose qui s’appelait café vie privée. J'ai regardé, c'était une certaine Amaelle Guiton qui a écrit un livre qui s'appelle « Hackers au cœur de la résistance » qui lançait ça avec Okhin qui est connu je pense, c'est celui qui a fait la conférence ce matin, qui lançait quelque chose qui s’appelait le café vie privée. Et il disait « Bon ! Si vous voulez discuter autour de l’anonymat, de la vie privée, des choses comme ça sur Internet, venez ». Je me suis présenté. J'ai vu un petit peu les ateliers qu'ils proposaient, c’était des thématiques qui me parlaient, et je me suis dit « Eh bien moi aussi j'ai des connaissances dans ce domaine, je commence à en parler sur mon blog. Je vais aider ».

En novembre 2013, on a remis ça en faisant deux jours qu'on a appelés Prism Break, où c’était des différents ateliers autour de différents outils que je vais présenter après très rapidement. Et c'est là que Okhin a dit : « Tiens, cryptoparty pourquoi on n'appellerait pas ça chiffrofête ». Depuis, depuis novembre dernier, tous les mois il y a à peu près un événement qui a lieu, il y en a des fois un peu plus souvent. Maintenant on commence à se faire connaître, entre guillemets. Il y a des gens qui nous demandent : « Est-ce que vous ne pouvez pas venir faire un café vie privée, chiffrofête ou cryptoparty pour notre association ou sur tel type d’événements, etc ? ». On est assez sollicités et on fait tout ça de manière bénévole. Donc l'idée c'est de recruter de gens et de vous inviter à faire, vous, de même. Parce qu'il y a des gens qui ont dit « Ah je suis sur Nantes, c'est sympa le concept, j'aimerais bien faire la même chose ». Ben Ouais, mais Nantes c'est un peu loin. Moi ce qu'essaye de faire à mon échelle, c'est de pas mal communiquer sur Twitter, sur les ??? qui existent, de relayer quand je vois qu'il y a ce genre d’événements qui ont lieu. Je sais que je suis abonné à des twitters de cryptoparty en Suisse, en Belgique, aux Pays-Bas, en France. Donc là il y en a sur Brest, il y a Toulouse où ils sont assez actifs, ils commencent à en faire quelques-unes, nous à Paris, Nantes. On cherche des gens, s'il y a des gens sur Nancy, il y a quelqu'un qui aimerait bien lancer ce genre d’événements là-bas. Je sais qu'il y a crypto à Marseille, il y a Crypto Mars qui en fait. L'idée c'est vraiment de montrer que ce n'est pas si compliqué que ça de diffuser des connaissances. Il faut vous lancer dans votre coin. Plus on sera de monde à le faire, mieux ça sera.

Voilà une petite affiche qui montre qu'on peut utiliser les trois appellations. C'est selon ce qu'on veut : café vie privée, cryptoparty, chiffrofête, il n'y a pas de copyright sur rien du tout, c'est vraiment le terme qui vous plaît. C'est selon les humeurs. Quand je twitte en anglais pour sensibiliser un peu les communautés autour de ça, eh bien c'est cryptoparty en anglais, en France ça va être café vie privée ou chiffrofête.

Le public concerné par ce type d’événements ? Comme je disais au départ, pour moi, je parle en mon nom, de mon point de vue, les cryptoparty c’était très hacker, un milieu de connaisseurs, etc, et le terme de café vie privée, pour ce qu'il représente pour moi, le public concerné par ce type d’événements, c'est un public divers et varié. Ça va être des journalistes et autres professions à risques. Ça veut dire que ce sont des gens qui ont tout intérêt à savoir sécuriser leurs communications, protéger leurs sources, protéger leurs données. Ça peut être quelqu’un qui, tous les jours, transporte son ordinateur portable. Il faut qu'il sache comment sécuriser ses données dessus. Il y a différents types de profils. Ça peut être des scolaires, des lycéens, des étudiants. Là pareil, ça peut être des geeks, des libristes, des technophiles. Du grand public, tous âges confondus. Ça peut être des militants, ça peut être des gens qui sont syndiqués. Vraiment on essaie de s’adresser à qui veut. Nous, on a des connaissances à diffuser. On a aussi des connaissances à apprendre parce qu'il y a des gens qui viennent, qui ont des connaissances nettement supérieures aux miennes, ils m'apprennent des choses. Il n'y a pas celui qui sait et celui qui vient apprendre. On sait, on vient, et puis on discute, on lance éventuellement des ateliers, etc, comme je vais présenter par la suite et l'idée c'est vraiment partager les connaissances.

Le public visé, en résumé d'une façon générale, c'est toute personne qui est concernée par les problématiques de la vie privée, la sécurisation de ses communications, mais ça peut aller jusqu'à des bases de c'est quoi l’hygiène numérique, comment apprendre un peu les règles d'une meilleure hygiène numérique pour s'en sortir un peu mieux avec l'ordinateur.

Comment ça se passe une chiffrofête, un café vie privée typique. Où, qui et quoi ? Il suffit d'un lieu pour se réunir, par exemple ça peut être à Numa, on en a déjà faits. D'animateurs désirant parler de leurs connaissances. Ça va être, nous sur Twitter on dit « Tiens ! Tel jour à tel endroit on a un lieu, qui est-ce qui veut venir ? Qui est-ce qui est dispo ? ». Les gens viennent et puis on se met en rang. On dit voilà, nous on est là, il y a un public qui est venu aussi, Et puis on dit ce qu'on peut faire et on lance éventuellement des ateliers, des discussions et puis c'est parti. Donc en logistique c'est un lieu et puis des gens et de la communication au départ pour qu'il y ait des gens qui viennent.

Atelier, conférence, débat. Donc déroulement type. Ça va être au début, comme je le disais, faire une présentation des différents sujets qui peuvent être abordés. Après, on peut faire soit une mini conférence, un lightning talk ou autre si on a support de présentation déjà fait. Un atelier ça peut être chacun un petit groupe qui a son PC et chacun va manipuler un outil précis pour s'approprier cet outil sur son ordinateur. Ça peut être, comme on l'a fait tout à l’heure, un séance de débat, questions réponses où on parle de sujets divers et variés, on part un peu dans tous les sens, on s'échange nos connaissances et on renvoie vers des sites qu'on connaît, vers des tutoriaux qu'on a pu mettre en ligne, etc.

Ce qu'on a vu, par expérience, c'est que la durée idéale de ce type de chose, c'est deux fois une heure et demie. Donc si on fait un atelier, ou une conférence ou autre, on fait une heure et demie, on fait une pause, une deuxième fois une heure et demie. Si l’atelier nécessite tout un après-midi parce que c'est quelque chose où on va très loin, de façon avancée, il faut quand même faire des pauses. Donc on va faire trois heures avec une pause au milieu, mais ça peut être une heure un lightning talk. C'est variable. Généralement on voit que quand on dit on se donne une heure, et puis le temps de dire on arrête, le temps de finir, etc, ça fait une heure et demie et en après-midi on fait généralement deux groupes ou deux séances et après les animateurs et les participants, ont déjà fait pas mal de choses, il faut souffler, donc on revient à la fois d'après.

09' 50

En terme de logiciels, on essaye d'insister sur le côté logiciel libre. On n'est pas, comment dire, libristes à fond ou « Non t'as un Mac, t'as un Windows, on ne va pas t'apprendre des choses ». Les outils qu'on essaye de présenter, au maximum, sont multiplates-formes, donc compatibles Linux, Windows et Mac. On essaie de connaître aussi les logiciels plus spécifiques à Linux parce qu'il y en a, ou de connaître un peu les alternatives, tout en sensibilisant les gens au fait que, dès que c'est possible, il faut que ça soit du logiciel libre, parce qu'il y a le côté vie privée, sécurité etc. Si on veut faire confiance c'est du logiciel libre qu'il faut utiliser. Mais on peut expliquer, voilà comment installer, configurer le VPN sur son iPhone ou sur son Android, etc. Ça peut faire partie des problématiques qu'on abordera dans ce type d’événement. Après, c'est libre à chacun, par rapport à ses connaissances, ses compétences sur les différents domaines, est-ce qu'il a envie d'expliquer des choses sur Windows ou pas. C'est un peu par rapport à ce que les personnes présentes attendent et ce que l'animateur, qui est bénévole, a envie aussi de présenter. Il y a des gens qui vont être, non, je ne connais rien à Windows, je ne fais pas, des gens qui comme moi ont un double boot, ont un peu plus de connaissances sur les deux domaines, mais peut-être moins avancées, qui vont expliquer des choses sur Windows ou autre.

Comme je disais, le message qu'on fait aussi passer c'est que Apple, Windows, Android, iPhone, etc, ce sont des choses fermées et que selon le niveau de sécurité, de confidentialité, de vie privée qu'on veut avoir, on va se tourner vers d'autres alternatives. Après, quand on a acheté un MacBook, il faut bien faire avec, on ne va pas le jeter du jour au lendemain. Il faut quand même accepter la personne et lui montrer les outils, et qu'elle sache, pour la fois d'après, qu'il ne faudra peut-être pas acheter un MacBook si elle estime que non, finalement, ce n'est pas si bien que ça. On n'est pas là pour juger les gens. Si on leur donne des informations, on transmet un savoir, ils se l'approprient, et après ils font en connaissance de cause. C'est leur donner toutes les clefs pour qu'ils puissent juger.

Comme je disais, le logiciel libre, j'expliquais tout ça. En terme de discussion interne on s'est posé justement la question est-ce que ça vaut le coup de perdre du temps, d'expliquer aux gens comment utiliser sur Windows, etc, parce que… Moi je pense que oui, parce que, comme j’expliquais, un peu d'hygiène numérique, déjà leur expliquer les bases, utiliser le logiciel libre, par exemple Firefox, etc, faire les mises à jour, c'est leur donner des recettes qui marchent un peu sur n’importe quel système. Ne pas cliquer sur n'importe quel lien, etc. Et après s'ils s'approprient déjà ça, naturellement ils passeront peut-être, ou on peut les aider en faisant des install party, etc, mais je ne pense pas forcément que ce soit notre rôle aussi de faire des install party. Il y a des associations qui font ça très bien, il y a des LUGs, etc, qui font des install party. Nous, je dirais, on vient en parallèle ou à côté, où on sensibilise aux problématiques de la vie privée, etc, d'où le logiciel libre. Après on dit voilà, il y a des associations qui sont là pour vous installer un double boot ou un single boot, etc, qui vont vous aider à faire ça, mais ça prend du temps. Il y a des gens qui sont déjà bénévoles dans des associations comme l'April, etc, qui militent pour le logiciel libre, on ne peut pas tout faire en un après-midi dans le cadre des cafés vie privée. Il faut peut-être voir aussi pour être en contact avec ce genre d’association pour faire des choses à côté.

Les ateliers proposés.

Dans un café vie privée, qu'est-ce qu'on peut faire ?

On peut apprendre à comment chiffrer ses mails avec GPG.

On peut voir comment surfer et utiliser Tor. Ça peut être soit le Tor Browser Bundle, soit niveau plus avancé Tails.

Protéger son navigateur, comprendre les certificats de sécurité. Ça va de j'installe http ???, je vérifie qu'il y a le cadenas : Ah, c'est quoi le problème de Heartbleed, c'est comment on vérifie un certificat SSL, etc, comment on crée son certificat SSL. Donc on voit qu'on a différents niveaux.

On peut faire comprendre et comment utiliser un VPN. Dans quel cadre ? Pourquoi faire ? Quelles sont les limites ?

Protéger ses communications, son surf, avec le WiFi, les outils. Je suis ici, qu'est-ce que je vais faire pour surfer en sécurité ? « Eh bien Je vais passer par un VPN qui est chez moi, ou passer par Tor, etc ». Protéger ses informations avec True Crypt. On pourra en discuter dans la partie débat. Avant qu'il n'y ait l'annonce sur True Crypt, on conseillait True Crypt, moi j'estime qu'on peut encore le conseiller, parce que ça rejoint des slide que j'ai faites, alors je vais pas m'attarder là-dessus.

Mot de passe, identification multi-facteur. Donc déjà expliquer aux gens qu'il ne faut pas avoir le même mot de passe partout et aller un peu plus loin avec c'est quoi la double authentification, sensibiliser à c'est quoi qui passe. Donc pareil, s'adapter au niveau du participant et à son besoin et puis après on monte en compétences. Déjà qu'est-ce qu'un mot mot de passe, ne pas mettre le même mot de passe partout et après qui passe, double authentification.

Identifier, savoir gérer ou effacer des métadonnées. Expliquer ce que sont les métadonnées, en quoi c'est important de savoir les gérer, etc.

Le panel de choses qu'on peut proposer est extrêmement large. Donc après c'est un peu selon les envies. On vient, on dit voilà, moi je m'y connais en ça, je peux proposer de parler de ça, est-ce que ça intéresse quelqu’un ? Et puis s'il y a deux trois personnes, on fait un petit groupe et puis on explique et puis on partage des connaissances autour de ça.

Comment on peut organiser des chiffrofêtes ?

Le concept n'est pas nouveau, comme je disais, ce sont des cryptoparty. Il y a un manuel qui s'appelle «The CryptoParty Handbook», qui expliquait un peu, c'est en anglais, il a peut-être été traduit en français, sur comment on organise une cryptoparty dans les règles de l'art. On peut le lire, parce que les chiffrofêtes c'est juste une version grand public. On peut lire ça, s'en inspirer.

Qui peut faire une chiffrofête ?

Pour organiser, c'est toute personne qui a des connaissances minimales et qui souhaite les partager. Ce qui me semble important c'est la notion de partage. C'est je suis là pour diffuser un savoir, pour partager, pour échanger, pour apprendre des choses aussi en retour, puisque la personne en face a des choses à m'apprendre. Et donc n'importe qui peut lancer une chiffrofête. Il n'y a pas de copyright. Allez-y au contraire. Moi je suis là pour vous sensibiliser. Faites-le !

Quels sont les lieux susceptibles d’accueillir une chiffrofête ?

Comme c'est destiné à un public varié, du grand public aux utilisateurs plus avancés, les lieux ça peut être dans un hackerspace, ça peut être dans une médiathèque, ça peut être dans un salon informatique, ça peut être, je ne sais pas moi, à la salle communale dans votre ville, dans une école, dans une entreprise. C'est vraiment n'importe où. Il faut juste trouver un lieu, un créneau, voir s'il y a des gens qui sont motivés pour vous aider et des gens motivés pour apprendre. Et puis on se lance.

En terme de logistique, qu'est-ce qu'on a vu ?

Les éléments suivants ont été identifiés, des trucs tous bêtes. Savoir un peu la capacité d'accueil du lieu et avoir plusieurs contacts. Savoir un petit peu avec la personne, je vais arriver sur place, quel sera mon contact, la capacité du lieu. Savoir s'il y aura des prises électriques, du réseau. Donc une logistique.

On peut éventuellement envisager une inscription en ligne. Donc plus pour savoir un petit peu qui prévoit de venir. C'est plus pour compter, avoir un ordre d'idée, savoir si on est dix animateurs et il n'y a que trois personnes qui viennent c'est peut-être un peu dommage qu'il y ait autant de monde. Pourquoi pas ? Mais bon ! C'est avoir une idée, mais pas forcément quelque chose qui va tracer, on ne va pas faire un Google Docs. On fait un petit script dans un coin, une petite page et puis on dit, ou on essaie de voir en tweets et puis on voit par rapport au nombre de réponses, au feeling aussi, par rapport à la communication qu'on a pu faire.

Je disais prévoir un accès à Internet parce que c'est vachement pratique quand on veut expliquer le tracking sur Internet, etc, d'être sur que la connexion est faisable sur place. Éventuellement avoir un switch ou un routeur WiFi parce que les gens viennent avec leur ordinateur et ils vont pouvoir faire des ateliers. Des fois ils viennent, un peu comme vous, mains dans les poches. Donc là il faut avoir des slides de présentation aussi pour pouvoir faire des petits talks ou lancer comme je disais un débat questions réponses. Voir un peu, vidéo-projecteur, chaises, tables, rallonges. Savoir un petit peu la configuration du lieu, parce que si tout le monde est debout, comme c'est tout un après-midi, ce n'est pas forcément idéal. Donc ça c'est de la logistique banale, ce n'est pas bien compliqué. On a vu ce sont des gens, un lieu et puis on y va.

Ce qui est important aussi c'est de faire de la communication. Comment on peut communiquer ? On a des petits slogans, mais après libre à vous d'en faire. Ça peut être : « Venez apprendre à protéger vos communications en ligne ». Ça reste vague mais ça donne une petite idée. « Chiffrement anonymat », « Reprenez le contrôle de votre vie privée », « Surfez et chattez couverts avec des cypherpunks gentils . Ou encore « Parce que préserver sa vie privée est un droit », « Parce qu'on a tous envie de ne pas être espionnés », « Parce qu'on a tous quelque chose à chose à cacher », « Parce que les outils existent et ne sont pas si compliqués, venez apprendre à vous protéger en ligne ». Après, c'est libre à vous de trouver comment vous voulez communiquer autour de l’événement que vous allez lancer.

Est-ce que j'aurais des conseils à donner ?

Quelques petits conseils pour le déroulement. S'adapter au niveau des participants. Les participants c'est un groupe hétérogène. On va avoir des débutants, des utilisateurs avancés. Il faut être en équilibre entre les deux parties. La personne qui est débutante, si on commence de lui parler SSL, elle va faire « Hein ! » mais si vous dites cadenas, « Ah oui le petit cadenas !», ça lui parle. Donc essayer de s'adapter au niveau. Il ne faut pas délaisser la personne qui s'y connaît, parce qu'elle va se lasser, elle va dire pourquoi je suis venu là je n'apprend rien. Il ne faut pas non plus larguer la personne qui n'a pas les connaissances techniques en la soûlant avec des mots compliqués. En ressortant elle aura appris des choses et la fois d'après elle aura un peu plus de connaissances. Mais, au départ, il faut essayer de vulgariser et vérifier que toutes les personnes ont bien compris ce dont on parle, éventuellement trouver des mots plus simples. C'est de la pédagogie comme n'importe quelle chose qu'on enseigne.

Comme je disais c'est prendre en compte les besoins et attentes du public. On fait un petit tour de table. S'il n'y a pas trop de monde, on dit voila « Vous êtes venus pourquoi ? Qu'est qui vous intéresserait ? » On ne va commencer à expliquer Tor à quelqu'un qui sait à peine faire des mises à jour.

19'49

Public : Si on utilise toute cette technologie de cryptage, etc, est-ce qu'on ne peut pas au contraire s'attirer l'attention de gens qui cherchent des gens à se dissimuler leur travail ?

Genma : Ta question c'est, tu veux dire quoi par « s'attirer » ?

Public : Est-ce qu'on n'aura pas le profil terroriste ?

Genma : Je ne pense pas. En fait, moi j'aime à dire c'est pourquoi j'en suis venu là ? Parce que ça fait dix ans que je suis un panda sur Internet, j'ai une tête de panda, j'ai aussi un pseudonyme et j'estime que j'ai le droit de pouvoir conserver ce pseudonyme. Et on est de plus surveillés. Il y a du tracking publicitaire, du tracking gouvernemental, etc. Et moi ça m'intéresse et donc je suis amené à diffuser, j'ai envie de diffuser ces connaissances-là. Justement, je ne vais pas dire que je ne suis pas un terroriste, parce que tu n'en sais rien, mais moi je sais que je ne le suis pas et j'estime que là, les outils que je peux présenter, OK, ce ne sont pas des trucs de terroristes. Oui ils peuvent être utilisés par des terroristes. Mais une voiture peut être utiliser par un braqueur de banque. Un couteau peut tuer quelqu'un.

Public : Inaudible

Genma : Ah ! Est-ce que tu peux être assimilé après à quelqu’un de… J'ai des stickers sur mon PC, est-ce que ça fait de moi un hacker ? Non ! Oui peut-être que, d'un regard extérieur, les gens vont se dire « Ah oui mais lui il s'intéresse à des trucs bizarres de crypto, etc… » On va peut être finir ça aux questions-réponses, comme ça les gens pourront intervenir. Je vais peut-être avancer comme ça on reprendra en questions réponses, si tu veux bien.

Donc je disais au début on fait une petite séance de questions-réponses, après on lance les ateliers d'un heure et demie. Oui il faut sensibiliser aussi, dire attention, si c'est filmé. Il y a des gens que filmer ou pendre des photos, parce qu'on est dans une thématique vie privée, il y a des intervenants, ils ont des fois une activité, activistes ou autre, ils n'ont pas forcément envie que ça se sache. Par exemple moi demain je n'ai pas envie que mon employeur sache que je fais ce genre d'animation-là. Comme tu disais, ça peut être « Oui, il fait des trucs de crypto machin, c'est un hacker, etc. Et puis, en plus il cache son nom derrière un pseudo bizarre ». Ben oui ! C'est pour ça qu'il faut demander au départ est-ce qu'on a le droit d’être filmé ou pas. Moi je dis oui, la conférence peut être filmée, parce que je veux qu'on diffuse ma conférence.

Surtout ne pas oublier l'objectif premier. On n'est pas SAV pour les virus. Il ne faut pas croire les gens se disent «  Ah ! C'est cool ! Il y des gens qui s'y connaissent en informatique. Mon ordinateur ne marche plus, vous ne pouvez pas me le réinstaller ou nettoyer les virus ? » L'idée ce n'est pas ça. On n'est pas là pour faire du SAV. C'est plus expliquer aux gens voila ce qu'il faut faire pour ne pas attraper de virus, ce qu'il faut faire pour aller plus loin dans tes connaissances en informatique et après c'est à toi de le faire, c'est à toi de t’approprier les connaissances et chercher à apprendre. Donc c'est le message qu'on veut faire passer. On n'est pas des techniciens. On diffuse un savoir et on essaie de sensibiliser les gens à « l'informatique ça s'apprend ». Quand on passe le permis, on apprend un code de la route et puis on apprend à conduire un minimum la voiture, on ne sait pas la réparer. Là c'est un peu pareil, on essaye de faire un peu un code de la route informatique. On leur donne des bases de notions d'informatique. Après on peut aller un peu loin, s'il y a des gens qui veulent bidouiller, aller un peu plus loin, on va leur apprendre. Mais au départ il faut commencer par le code de la route informatique avec un guide d'hygiène numérique et après on va de plus en plus loin selon le public qui est en face.

Pourquoi j'ai fait cette conférence ? C’était vraiment pour vous sensibiliser à « si vous vous lanciez à votre tour ». Comment vous pouvez aider, contribuer, si ça vous intéresse ces problématiques-là. Il y a deux façons de faire. Vous pouvez venir aux événements que nous on organise pour apprendre des choses, mais dès lors que vous, vous savez des choses, si vous n’êtes pas forcément en région parisienne, lancez-vous. Ce n'est pas très compliqué. Vous pouvez contacter une association qui existe déjà, un LUG ou autre, ou la médiathèque du coin, dire « Voilà moi je veux bien faire une petite conférence cet après-midi, sur c'est c'est quoi les extensions de Firefox qui sont bien ». Par exemple Adblock, parce qu'il y a beaucoup de gens qui ne connaissent pas Adblock. Ça en fait sourire certains, ben oui mais il y a des gens qui ne connaissent pas Adblock. Ou pourquoi il faut utiliser Firefox et pas Internet Explorer. Il y en a plein qui vont dire «  Ah ben oui ! » eh bien il y a des gens qui ne savent pas. Et ils ne savent pas pourquoi ? Parce qu'on ne leur a pas expliqué. On commence par là et puis après, on peut, une fois qu'ils savent qu'ils ne faut pas utiliser Internet Explorer, un jour on pourra dire il y a Tor qui existe et c'est quoi Tor ? Il ne faut pas commencer à dire « Ah ! Il y a Tor, c'est trop bien, etc, tu peux utiliser Tails en live CD ! », si la personne en rentrant chez elle, elle utilise Internet Explorer. Il faut être un peu cohérent, il faut élever le niveau de connaissance.

Moi, ce que je constate aussi c'est que les cryptoparties se multiplient. Il y en a à Toronto, Fribourg, Tokyo, en Belgique, à Amsterdam. Il y en a à Toulouse, Nantes, Brest. Et ça c'est bien parce qu'au-delà du côté crypto chiffrement, ça veut dire qu'il y a une volonté de diffusion de connaissances, que les gens se réapproprient l'ordinateur aussi, se réapproprient en fait Internet aussi, avec qu'ils n’aient pas peur de communiquer, c'est un tout. Autour des cafés vie privée, ce n'est pas uniquement le chiffrement, l'anonymat. C'est vraiment de l’hygiène numérique. C'est pourquoi Internet c'est bien. On va essayer. Quand on veut expliquer Tor, il faut expliquer un peu comment marche Internet. Quelque part on va expliquer un peu c'est quoi un routeur, c'est quoi une adresse IP. Ça va amener, peut-être, sur c'est quoi la neutralité du net. Donc on voit qu'on va toucher aussi d’autres thématiques qui sont aussi importantes, que les gens doivent s’approprier.

Personnellement, moi, si je peux aider, je sais que sur mon blog, dont je donnerai l'adresse et puis si vous voulez je vous la redonnerai tout à l'heure, sur le blog de Genma, tout ce que je fais c’est du Creative Commons. Il y a des articles de réflexion, il y a des petits tutoriaux, dès que je trouve quelque chose d'intéressant, j'en parle. Les conférences que je fais, les slides et tout ça, c'est pareil c'est du Creative Commons, donc vous prenez, vous diffusez, vous remaniez, vous en faites ce que vous voulez, vous pouvez utiliser pour vous-mêmes, passer derrière le micro pour expliquer, faire des talks. Il n'y a aucun souci avec ça. Si vous avez besoin de « Tiens j'aimerais bien ton avis là-dessus », etc, vous m’envoyez un petit mail et puis moi je vous dis je connais ou je ne connais pas. Je n'ai aucune prétention de tout connaître. Au contraire, je vais peut-être découvrir des choses et puis ça m'intéresse. Je vais dire « Ah trop cool, j'apprends des choses. Merci ». N'hésitez pas à me contacter, pour qu'on échange, pour qu'on communique, pour que moi j'apprenne des choses, pour que je vous apprenne des choses, c'est très bien.

Maintenant ce qu'il faut retenir aussi. Il y a des points positifs dans les chiffrofêtes, donc dans les cafés vie privée, etc, c'est quoi ? Les point positifs c'est qu’on participe à une réappropriation de l'outil informatique pour le grand public. Donc il y a une sensibilisation aux problématiques de la vie privée, du chiffrement. Montrer que le chiffrement ce n'est pas uniquement quelque chose de technique pour des hackers, ça peut être utile pour un journaliste, mais ça peut être utile pour quelqu’un, dans la vie de tous les jours, tout simplement. Parce que quand on veut se connecter au site de sa banque, on fait attention à ce qu'il y ait le cadenas. Quand on se connecte à son webmail, il faut faire attention aussi à ce que le login et le mot de passe ne circulent pas en clair. Quand je suis dans un cybercafé, je ne sais pas trop, ou j'ai un WiFi public, qu'est-ce que je peux faire, parce que il y a quelqu’un qui peut être à côté, qui sniffe le réseau, qui va récupérer mon mot de passe. Donc on sensibilise à tout ça et puis on élève le niveau de connaissance des gens.

Comme je disais tout à l'heure, il y a l'apprentissage de comment fonctionne Internet. Donc ça c'est bien pour tout ce qui est neutralité du net, etc. Après on peut dire « Ah et puis il y a la Quadrature qui fait ça ». Il y a plein de gens à qui je parle qui vont dire « C'est quoi la Quadrature ? C'est quoi la neutralité du net ?. Ils ne connaissent pas. Et donc, de façon détournée, je partais de l'anonymat sur Internet, j'arrive à expliquer c'est quoi la neutralité, c'est quoi la Quadrature, donc ce n'est pas un truc limité à cryptoparty. C'est pour cela que moi je parle plus de café vie privée où là c'est vraiment, ça englobe un certain nombre de choses. Donc le point positif majeur c'est l’élévation du niveau des connaissances générales. On voit qu'il y a des personnes qui reviennent régulièrement et qui posent des questions un peu plus techniques ou un peu plus pointues, ou ils ont essayé. C'est-à-dire que les gens s'approprient l'ordinateur. Ils ont moins peur. Ils ne se disent pas c'est une boîte magique. Ils comprennent que l'ordinateur fait ce qu'on lui demande et qu'on peut apprendre des choses. Après on apprend au niveau de ce qu'on veut apprendre, c'est-à-dire qu'on ne va pas devenir des admin-sys. Ce n'est pas le but. Mais cest de connaître un petit peu mieux l'ordinateur, d’être moins perdu avec l'outil qu'on peut utiliser, parce que Internet c'est un outil formidable. L'ordinateur il y en a de plus en plus partout. Il y a un livre qui s'appelle « Lire, écrire, compter, coder ». On dit de plus en plus « Code is Law. » Le code c'est la loi, que maintenant, demain si tu ne sais pas coder, tu es perdu. Non ! Ce n'est pas si tu ne sais pas coder ! C'est si tu n'as pas compris comment marchait l'informatique que tu es perdu ! Nous ce qu'on essaye de faire c'est montrer, nous on a un peu de connaissances, on les diffuse pour que les gens s'approprient l'informatique.

28' 27

Il y a des problématiques autour des chiffrofêtes. C'est pareil, c'est vrai qu'en discutant avec des gens qu'on connaît, etc, et puis entre nous on s'aperçoit de quoi ? Est-ce qu'on peut conseiller de chiffrer sur des OS privateurs ? Donc là le terme privateur, ça parlera aux libristes. Il faut présenter tous les outils avec leurs limites et considérer que la personne en face est suffisamment intelligente pour choisir. S'il y a quelqu’un qui a un Windows, est-ce qu'on peut lui dire « Non ! Tu passes à Linux ! Non, ce n'est pas sécurisé » ou pas. C'est à la libre appréciation de chacun. Moi j'estime que la personne a Windows, elle peut quand même chiffrer, parce que comme je vais expliquer après, ça dépend de son modèle de menace. Elle commence par là. On ne va pas tout de suite la mettre sur Linux. Si déjà elle peut utiliser un coffre-fort numérique TrueCrypt, ça la sensibilise déjà à je tape un mot de passe et puis je cloisonne un petit peu mes données confidentielles. C'est une première étape.

Il y a l'ergonomie des logiciels. Certains logiciels si on commençait par des lignes de commande, les gens sont perdus. OK, C'est beaucoup plus puissant, mais c'est moins pratique. Il faut penser à ça aussi. Tails ils font des séances aussi pour travailler l'ergonomie, pour que ça soit plus facile, etc. Mais déjà quand on parle de LiveUSB, il y a plein de gens ont leur dit live, USB. Eh bien oui, c'est quoi ? Tu installes le système sur la clef. Et ça marche comment ? Eh bien il démarre depuis la clef. Il faut expliquer le concept de LiveUSB. Après expliquer c'est quoi une iso, comment on vérifie l'intégrité de l'iso. Il y a plein de notions qui arrivent, qui ne sont pas forcément évidentes, autour de tout ça. Il y a aussi les softs.

Il y en a où il y a plein de paramétrages. Moi, je vois Enigmail, ou TrueCrypt même, quand on crée son conteneur au départ il y a pas mal de choix de l'algo. Je n'en sais rein quel algo choisir et pourtant j'anime des cafés vie privée. Donc je prends un algo qui ne me semble pas trop mal, etc, parce que ça me convient. Mais il y a des gens plus techniques qui vont dire il ne faut pas utiliser celui-là, il ne faut pas utiliser celui-là. Il faut peut-être aussi voir l'ergonomie des logiciels qu'on propose, bien la connaître, pour pouvoir être capable d'expliquer aux gens «  Tu prends cette option là par défaut elle est bien ! Non là, attention, il faudra cocher dans tel paramètre parce sinon ce n'est pas sécurisé ». D'où la création d'un faux sentiment de sécurité aussi. Il y a le problème de, en quelques clics, on peut envoyer de mails chiffrés, on l'a vu ça avec Enigmail. Mais si on dit à a personne tu installes Enigmail, tu crées ta clef, hop tu envoies des mails. La personne : « Ouais c'est cool, je peux envoyer des mails chiffrés ». Le problème c'est qu'on oublie de parler de la problématique de, si on n'active l'option MIME, il me semble, moi-même je ne sais pas, les pièces jointes ne vont pas être chiffrées ou les pièces jointes vont apparaître. On oublie de dire que le sujet du mail est en clair, qu'on sait avec qui on a communiqué et quand, qui sont des informations qui peuvent être pertinentes ou utiles. Si moi je suis un syndicaliste, que je discute avec des militants, on voit que j'ai parlé avec eux. Peut-être que le contenu du mail on s'en fout, c'est juste important de savoir avec qui je parle. Et ça, ça circule en clair. Et si on ne l'a pas expliqué, la personne dit «  Ah c'est bon ! Je chiffre mes mails, je suis en toute sécurité ». Ben non ! On sait à qui tu parles et quand. Il y a tout un tas de problématiques où il faut expliquer des notions de sécurité, des notions d’anonymat, de chiffrement, etc, tout en disant attention, on fait tous des erreurs, on en fera forcément, il ne faut pas se croire invincible. Au contraire, c'est plus on apprend et plus on verra qu'il y a à apprendre.

Il y a aussi la problématique de Threat model, donc c'est le modèle de menace. C'est où est-ce qu'on place le curseur en terme de sécurité. Tout le monde n'est pas espionné par la NSA. Si ! Tout le monde l'est ! Tout le monde n'a pas intérêt à être la cible explicite de la NSA. Si on a une activité terroriste on sera peut-être plus surveillé que si on est quelqu'un de lambda. Moi, mon Threat model c'est, je ne donne pas mon vrai nom, mon vrai prénom, c'est, j'ai un pseudonyme sur Internet et je fais attention à différencier qui je suis, dans la vie de tous les jours, dans la semaine, etc, je gère mon identité numérique. C'est un modèle, le Threat model, c'est mon identité numérique. À côté un activiste aura un modèle de menace qui est un peu plus élevé. Quelqu'un qui va aider des dissidents à communiquer dans une dictature, lui, son Threat model, il est différent du mien. Il faut voir aussi, toujours pareil, avec le public en face comment on fait pour s'adapter et expliquer qu'il y a cette notion là aussi. Il y a de ??? qu'il faut faire.

Il y a plein de problématiques qu'on peut voir éventuellement pendant les questions. Il faut garder ça aussi en tête aussi que ce ne sont pas des outils miracles, que ça ne fait pas tout et que quand on commence à diffuser un savoir il faut se dire que la personne va se dit «  Ah, il sait plein de choses ». Lui dire, attention, je t'apprends des choses, mais toi-même il faut que tu apprennes, il faut que tu comprennes, et attention ce n'est pas garantit 100 % sécurité. C'est, c'est moins pire. Ce n'est pas l'idéal.

Donc la conclusion c'est je vous invite à participer aux chiffrofêtes, cryptoparties, qu'on peut organiser. Tous les jours, en fait ce n'est pas au rez-de–chaussée finalement c'est au 4ème étage il y a une salle où, de temps en temps, entre deux confs, si on n'assiste pas, on se pose, on peut discuter, reparler de tout ça. Moi je peux vous faire un petit cours improvisé où on peut débattre de tout ça. Si vous avez des connaissances vous-même vous pouvez venir partager ces connaissances avec d'autres. N'hésitez pas à lancer des cryptoparties, chiffrofêtes ou cafés vie privée dans votre coin. C'est le plus important. On a un site qui s'appelle cafe-vie-privée.fr. Là on met les dates des événements que nous, on organise sur Paris. Pour l'instant il n'y a pas d’événement prochainement prévu. Mais si vous avez une association ou que vous êtes intéressé pour qu'on intervienne, vous nous contactez. Si vous-même, vous voulez vous lancer sur Paris ou autre et que vous avez de dates vous pouvez les communiquer, nous comme ça on sert de relais aussi pour communiquer autour de l’événement que avez lancé. Merci de votre attention. Je pense qu'on va passer aux questions parce que vous en avez sûrement. Merci.

Est-ce qu'il y a des questions par rapport à tout ça ? Houla ! Personne ?

34'45

Public : Moi le truc, c'est que ce n'est pas une question exactement sur les cryptoparties. Mais comment est-ce qu'on sensibilise quelqu'un sur l'importance de chiffrer ses données ? Est-ce que tu as des exemples, des trucs qui peuvent les motiver parce que moi je t'avoue que je galère un petit peu ?

Genma : En fait ce qu'on expliquer c'est qu'il y a différents types de chiffrement. Tu peux avoir le chiffrement, typiquement, c'est chiffrement des données en local, c'est quoi ? Moi je dis à la personne quand elle vient, déjà l'ordinateur qui est là, je prends je pars avec, j'ai des connaissances suffisantes, pour, avec un système live, accéder à ces données-là. Qu'est-ce je vais trouver ? La personne me regarde « Ah Tu peux faire ça ? » Oui. Qu'est-ce je vais trouver ? Des mots de passe, parce qu'ils sont enregistrés en local ? « Non » Des fiches de paye ? «  Ah oui ». Donc déjà dire à la personne on te vole ton ordinateur, qu'est-ce qu'on trouve dessus ? Tu perds ta clef USB qu'est-ce qu'on trouve dessus ? Donc là, il y a le côté, le chiffrement du disque sur. Ça amène la notion de chiffrement. Chiffrement des mails, c'est réussir à faire comprendre à la personne que le mail c'est une carte postale. Donc après elle va dire « Mais moi je suis chez Gmail, je m'en fous ». Oui, mais bon. C'est un peu réussir à trouver la réponse à « qu'est-ce que tu as à cacher « ? Il faut creuser, creuser et puis la personne dit « Ah ! Je n'ai rien à cacher ». Oui Donne-moi tes mots de passe. Tes mails. Tu veux bien que je les regarde. « Ah non pas toi « ! Mais Gmail les regarde. « Mais Gmail ce n'est pas pareil ! » Mais tu regardes tes mails depuis le boulot. L'admin system du réseau lui il peut regarder les mails. « C’est-à-dire que le gars qui est à la machine tous les jours, il peut voir ce que j’écris ? » Ben oui, il est admin system, il peut voir les mots de passe circuler en clair il n'y a pas de souci. OK.

En fait, c'est en discutant avec la personne il faut réussir à trouver le point d'accroche, par où arriver. Ce n'est pas évident. Généralement les gens qui viennent aux cafés vie privée, ils ont vu le côté vie privée, ils sont sensibilisés à ça. On ne peut pas aller dans la rue et dire aux gens « venez à notre truc ». Les gens qui viennent sont déjà a minima sensibilisés. C'est sûr. Après ça peut être si t'en parles à tes copains ou dans ton club associatif qui n'a rien à voir, ton club de sport, etc et voir si les gens sont réceptifs ou pas. Il y a des gens qui vont dire non, t'es pas du tout réceptif. Et puis il y a des gens, ça va peut-être les intéresser. Ce n'est pas évident. Il faut essayer de trouver. Je ne sais pas s’il y a quelqu’un qui a une réaction par rapport à ça ou des questions là-bas.

Public : Merci. Justement pour la sensibilisation, j'avais fait un truc dans mon école pour sensibiliser les gens. Le truc qui marche bien c'est de leur faire des démos. Typiquement tu récupères un ordi de quelqu'un. Tu le démarres en live. Et le truc qui marche très, très bien c'est que tu récupères le cookie de sessions Facebook. En général les gens se rendent compte de ce que c'est et de ce que ça fait. Et du coup ça fait des réactions des fois. Moi je sais qu'il y en a pas mal qui avaient, après coup, posé de questions pour savoir comment se protéger.

Genma : Le coup du cookie de session Facebook, je note. C'est un bon exemple. Est-ce qu'il y a d'autres questions, d’autres réactions. N'hésitez pas. On est là jusqu'à six heures puisque après il y a une autre conférence qui enchaîne, donc on a encore une petite vingtaine de minutes. Par exemple là, je vous ai présenté un peu les cafés vie privée, etc. Qui serait partant pour venir au prochain café vie privée ? Est-ce que ça vous semble intéressant de venir à ce genre d’événement ou non, c'est bon ? Levez la main juste pour voir comme ça ? Bon voilà, ce n'est pas mal. J'ai sensibilisé des gens et ceux qui n'ont pas levé la main parlent entre eux.

Est-ce qu'il y a des gens qui seraient intéressés pour en lancer dans leur coin ? Éventuellement, alors on va dire hors Paris est-ce qu'il y a des gens qui sont intéressés pour en lancer ? Je vois une main qui se lève, une deuxième main, etc. Donc ce que vous pouvez faire c'est, si vous avez besoin de support, tutoriaux,etc, vous me contactez et moi je peux voir pour vous donner des tutoriaux déjà tout fait, des slides que j'ai faits, etc. Il y a Aeris aussi qui voudrait parler.

Aeris : Pour ceux qui veulent essaimer, on a fait ça pour Nantes récemment. N'hésitez pas à nous contacter on peut vous donner des noms de domaine, vous faire des sous-domaines sur le café vie privée, des sites Internet et compagnie. N'hésitez surtout pas des boîtes mail chiffrées, on peut vous fournir des espèces de clefs, de boîtes à outils clefs en main pour monter des chiffrofêtes dans vos patelins.

Gemna : Par exemple là il y avait des gens qui avaient assisté à ce qu'on fait et ils ont dit « Ah ben nous on aimerait bien ça sur Nantes ! » Je lui fait Nantes c'est un peu loin, il faut que me déplace et tout. Lance-toi. Et donc maintenant il y a Nantes-café-vie-privée. fr. Ils ont leur page, comme ça ils mettent leurs dates à eux, ils ont leur site internet entre guillemets où ils pourront mettre ce qu'ils veulent et ils font le truc dans leur coin.

En Belgique je sais qu'il y en a un qui fait ça. Amsterdam aussi, j'ai pris contact avec eux pour leur dire voilà, je fais une conférence, je leur ai envoyé les slides que j'ai traduits. Ils ont dit « Ah c'est dans le même esprit que ce qu'on fait, est-ce qu'on ne pourrait pas collaborer ? » J'ai dit pourquoi pas, ça peut être intéressant d’échanger nos expériences. Typiquement la question que tu as soulevée, je lui demanderai dans la semaine, par mail »Tiens comment toi tu sensibilises les gens à ça ? » Pour voir comment à un autre endroit, dans un autre pays, une autre culture, comment on sensibilise les gens à ces problématiques-là. Toujours dans la même idée de partage. Une autre question de quelqu’un ? Réaction ?

Tiens par exemple on peut faire des petits sondages, comme ça. Qui chiffre son disque dur ? Juste pour voir. Pas mal ! Qui chiffre ses mails ? Ouais ! Ça va, ça colle ? Qui utilise XMPP et OTR ? Pas trop ! Qui utilise Tor ? Un peu plus de monde déjà aussi. D'accord. Donc par exemple là on tombe dans le cas j'utilise XMPP OTR, mais il n'y a personne en face. Il faut déjà sensibiliser les gens à XMPP au départ, parce que le nombre de personnes qui ne connaissent pas XMPP ! Er là en plus on rajoute un côté chiffrement au-dessus. Donc c'est du boulot. C'est comme tout. C'est comme pour les mails. Quand on veut commencer à chiffrer les mails, il faut sensibiliser, c'est du travail de communication, de vulgarisation, de persuasion aussi. Ce n'est pas évident, mais bon c'est ce qu'on essaye de faire.

Public : XMPPP, OTR, ça résonne, c'est quoi ? C'est différent de Jabber ou c'est la même chose ? C'est la même chose ?

Genma : Voilà. Donc là on tombe typiquement dans, moi je dis que ça la même pour simplifier, un aspect de vulgarisation, et là il y a Aeris qui veut réagir.

Aeris : Ce n'est pas exactement la même chose. En fait OTR ce serait une surcouche. OTR en fait existe en tant que tel à l'extérieur et on peut le mettre sur Jabber, on peut le mettre sur notre Facebook, on peut le mettre sur ce qu'on veut. En fait c'est l'équivalent de GPG pour les mails. On peut faire du mail sans GPG et on peut rajouter du GPG dans le mail. Donc OTR c'est juste un truc de chiffrement point à point qui vient et on passe par Jabber pour s’échanger le paquet. OTR, c'est Of The Record, donc en dehors de l'enregistrement.

Genma : Et en fait la question c’était, XMPP et Jabber c'est quoi la différence ?

Aeris : XMPP et Jabber, c'est pareil.

Genma : D'accord, ce que je disais, XMPP et Jabber c'est la même chose et OTR est une surcouche. Donc j'avais bien raison. En fait on s'est mal compris. D'autres questions, d'autres réactions ? Voilà. XMPP c'est la norme et Jabber… Voilà. OK.

Donc par exemple, je ne sais pas, vous venez à un café vie privée, qu'est-ce que vous attendez ? Quelles sont les thématiques que vous aimeriez aborder, je ne sais pas s'il y a quelqu'un qui veut se prononcer là-dessus ? Demain, vous venez à un café vie privée, à une chiffrofête, quel est le thème de prédilection qui vous intéressera en premier ? Quelle est la première chose que vous voudriez apprendre, par exemple ?

Public : Moi un petit howto, chiffrer ses mails et expliquer à ceux qui vont recevoir le mail comment est-ce qu'ils installent aussi Enigmail, ça peut être bien ça. C'est la base !

Aeris : Enigmail, c'est le mauvais exemple mais pour d'autres raisons, parce que c'est un peu compliqué. En fait Enigmail, le problème d'Enigmail, c'est qu'il n'y a plein de manière de se planter pour faire du chiffrement. C'est super cool, parce que vous pouvez tester, vous pouvez vous planter quand vous n'avez rien à protéger. Mais le jour où vous voulez vraiment faire du chiffrement et pas interceptable, on ne passe pas par Enigmail. A part Enigmail, il y a des logiciels de mail qui embarque GPG en standard, il y a Claws Mail, ou Kontact, ou KMail, ou Mutt pour les plus consoles compliant. Enigmail, il y a beaucoup de moyens de se planter, parce qu'en fait ce n'est qu'un greffon de Thunderbird. Il n'a pas accès à tout et donc il se débrouille comme il peut pour faire son chiffrement mais ce n'est pas comme si c'était natif quoi.

Genma : Là, on voit, on tombe typiquement dans la problématique du Threat Model. Moi j'utilise GPG avec Enigmail, parce que bon, OK, même si je me plante, les mails que j'envoie ne sont pas forcément si confidentiels que ça. C'est je veux sensibiliser à ça. C'est communiquer de façon chiffrée et sécurisée parce que c'est intéressant. Mais on voit aussi le côté, si je veux diffuser ces connaissances, je sais que ça dépendra des personnes. Si c'est quelqu’un qui a juste besoin, comme ça pour chiffrer ses mails sans plus par curiosité, ça va être Enigmail. Par contre si c'est quelqu’un vraiment besoin de sécurité derrière ce n'est pas vers moi que je vais l'envoyer, je vais l'envoyer vers Aeris qui lui va aller un peu plus loin techniquement. C'est toujours la sécurité, c'est, plus on veut que ce soit sécurisé, plus ce sera compliqué. Donc là c'est, quel est le niveau, quel est le curseur ? Si c’est juste chiffrer au départ pour apprendre et se familiariser avec ça, Enigmail. Si on veut aller plus loin ça va être une implantation différente

Aeris : Le bon exemple que j'ai sur Enigmail, moi j’utilise GPG tous les jours, et je conversais avec des personnes sur Internet. Et un jour je mes suis dis tiens si j'allais voir le code source de mes mails. Et là j'ai vu qu'en fait les pièces jointes, quand on les envoie avec Enigmail, on a le nom de la pièce jointe qui est en clair. Donc au début, l'exemple que je donne, quand on s’échange des recettes de pizzas ou de macarons c'est super bien. Quand on commence à avoir docs-snowden.pdf, ça peut être un peu plus emmerdant. Et le jour où on se rend compte de ça, le problème c'est que du coup j'ai dû me taper un an et demi de conversations mails chiffrées, pour vérifier qu'est-ce qu'on avait bien pu leaker comme données. Et est-ce qu'il fallait faire quelque chose ? Est-ce qu'on avait vraiment balancé des données qu'on n'aurait pas dû. Donc si vous voulez vous amuser à faire du GPG pour discuter entre amis, il n'y a aucun problème avec Enigmail. Le jour où vous leakez des documents, passez à autre chose.

45' 47

Genma : Est-ce qu'il y a d'autres questions ?

Aeris : Non, il n'y a pas eu de fuites, on s'en est rendu compte avant. Ah oui, par rapport à la question qui a été posée tout à l'heure en fait sur qu'est-ce que ça impliquait de participer à des chiffrofêtes ou des choses comme ça. Personnellement j'ai eu quelques petits problèmes professionnels. J'ai certaines demandes qui ont été faites pour avoir accès par exemple à du confidentiel défense ou pour travailler dans le nucléaire, ça m'a été refusé. Je ne sais pas pourquoi. J'ai pas mal d'associations, il n'y a pas que des chiffrofêtes. J'ai chiffrofêtes, j'ai de l'April, j'ai du Tor, j'ai du Nos Oignons. C'est peut-être la combo de tout ça qui fait que ça n'est pas passé. Mais aujourd'hui le problème c'est que la chiffro est mal perçue. On est peu vu comme des terroristes, des crypto terroristes quand on fait de la chiffro, donc ça peut être mal perçu en fonction de ce que vous faites. Ce n'est pas anodin de devenir animateur dans une chiffrofête. Mais après viendez quand même ! C'est la DGSI qui dit qu'on est des dangers de la nation. Ce sont les mêmes qui collaborent avec la NSA. Comme mon boss m'a dit le jour où il a reçu le dossier, il a dit « Ah tiens ! Enfin un vrai patriote ! » et ça, j'étais content.

Genma : Moi je parlerais en mon cas personnel en fait. Moi j'estime que, comme je disais au départ, on ne fait pas que des cryptoparties, on n'est pas uniquement chiffrement. C'est, on est dans une partie café vie privée, c'est on sensibilise les gens à différentes choses. Il y a la partie chiffrement qui est purement technique avec le côté, comme tu dis, il s'intéresse à ça, quelles sont les applications ? Mais à côté, je peux aller très bien dans une médiathèque demain, et je l'ai déjà fait, faire un guide d'hygiène numérique et passer deux heures à expliquer aux gens, il faut faire les mises à jour, ne pas cliquer n’importe où, etc, pour moi ça fait partie aussi de la partie animateur de café vie privée. Ou je vais expliquer le tracking des pubs sur Internet ou comment ne pas publier de données confidentielles sur Facebook, faire attention à ça, sensibiliser à ça. Parce que moi je suis sensibilisé du fait j'ai une identité numérique sous pseudonyme. Donc, après on peut très bien dire « Ah mais tu as un pseudonyme, tu as des choses à cacher ! ». Oui, mais c'est un choix. Pour l'instant on ne m'a encore reproché le militantisme que j'ai. Mais, j'ai envie de dire, si on commence à me le reprocher, on me dit « Ouais mais attends », j'ai envie de dire je serais presque content de faire ça parce que ça veut dire que j'ai raison de le faire. Si on me dit « Ouais mais attends tu expliques aux gens comment chiffrer ce n'est pas bien ! » Non ! Pourquoi ? C'est bien ! C'est quelque chose qui m’intéresse. Je ne vois pas où est le mal. J'essaye d'élever le niveau de connaissance dans un domaine que je connais, qui est ce domaine-là, le niveau de connaissance des gens quels qu'ils soient, j'essaye de leur apprendre, de diffuser un savoir et je trouve ça noble.

Aeris : Après les technos, c'est comme tout. Un couteau de cuisine peut servir à couper de la viande, comme ça peut servir à tuer quelqu'un. Ce n'est pas parce que ça peut servir à tuer quelqu’un qu'on ne va pas apprendre à un bébé à utiliser un couteau. La crypto, il faut apprendre à s'en servir. Ça permet d'avoir de la vie privée sur Internet pour ne pas balancer ses données à Google. Ça permet de se protéger pour justement avoir un pseudonyme, un vrai pseudonyme numérique sur Internet. Effectivement, ça permet, aussi, de faire un peu de terrorisme dans son coin ou de tuer des chatons ou de liquider des documents, mais ce n'est pas pour ça qu'il ne faut pas l'apprendre et qu'il ne faut pas montrer aux gens comment ça marche.

Genma : C'est un peu l'exemple que j'ai utilisé tout à l'heure. Voilà. Moi je suis moniteur d'auto-école, je vais apprendre aux gens à conduire. Demain la personne peut très bien, picoler, prendre sa voiture, écraser quelqu’un. Comment je vais savoir ça ? Je ne peux pas. C'est, j'ai appris à conduire et après il fait ce qu'il veut. Donc là c'est un peu pareil. C'est j'apprends aux gens à utiliser des outils pour communiquer de façon sécurisée. Mais c'est quoi ? C'est, je leur apprends, ce qu'est un certificat SSL parce que ça leur permet aussi de ne pas se faire attraper le login, mot de passe. C'est quoi les conséquences. Il est peu plus sensibilisé à la sécurité. Donc il va faire attention. Donc il ne va pas attraper de virus ou son PC ne sera un PC zombie. S'il va au cybercafé du coin, il va avoir quelques notions de sécurité. Il ne va pas répondre à du phishing ou a du spam, etc. Donc on sensibilise à tout ça. Après si ces connaissances il les utilise pour faire de choses, mal. Ouais, mais c'est si la personne fait de choses mal qu'il faut condamner. Le fait que nous on diffuse un savoir ce n'est pas condamnable pour moi.

Aeris : Après nous en plus on de la chance d’être en France, quand même dans une démocratie, enfin jusqu'à preuve du contraire, même s'il y a certains morceaux qui commencent à puer franchement. Mais la crypto, par exemple, ça sauve des gens quand on est en Syrie, quand on est en Libye, quand on est Iran. Quand le gouvernement syrien se met à signer des certificats SSL Facebook, c'est-à-dire que tout dissident qui a l'impression d’être sur un serveur américain est en fait sur un serveur syrien, contrôlé par le gouvernent. On est bien contents qu'ils soient passés par Tor, qu’ils aient appris à détecter un certificat à la con du made in the middle ou à se protéger contre ça. Quand on a des journalistes qui partent là-bas pour couvrir des événements, on est bien contents qu'ils effacent les méta-données des photos, parce que quand les gens sont cagoulés, c'est bien. Quand il y a les coordonnées GPS de là où est prise la photo, c'est un peu plus con, parce que c'est très facile après de programmer le ??? pour aller taper là où a été prise la photo.

En France la crypto ça peut être marrant, on en rigole, ça ne nous change pas notre vie. Mais quand on est dans d'autres pays, ça peut vraiment, vraiment vous sauver la vie. Ça peut changer la donne. Ça permet à Bachar el-Assad de ne pas balancer des bombes au phosphore sur sa population sans que ça ne se sache trop. Ça permet aux Chinois d'avoir accès à des vraies données, en sachant que, ce qui s'est vraiment passé sur Tian'anmen, ça permet à des dissidents de tous bords de contacter le Courrier International ou EFF ou Médecins du Monde ou autre.

En France la crypto ça peut paraître anodin, mais en fait, socialement parlant, ça permet de faire des choses vraiment, vraiment très bien.

Genma : Oui et puis ça permet à journaliste, s'il veut, il pourra communiquer en sécurité pour dénoncer un scandale politique ou des magouilles financières. Ce qui se passe, peut-être que c'est vrai, peut-être que ce n'est pas vrai. Le journaliste envoie un mail sur sa boite Orange. Ou il va dire « Ah tiens, j'ai réussi à attraper les compte-rendus d'un site Internet combien il a été facturé à un parti politique ». Moi je suis un gouvernement un peu, qui surveille un petit peu. Je cherche les mots « politique, site Internet », dans toutes les boites Orange et puis là je tombe sur le mail en question. S'il est en clair, j'ai tout de suite, soit j'efface le mail, soit je fais pression sur le journaliste ou autre. Si le mail est chiffré, on ne pourra jamais rechercher les mots clefs sur ce mail-là. Donc c'est un exemple d'utilisation positive de la crypto. Et le journaliste, pour qu'il puisse l'utiliser, il n'est pas informaticien au départ, il faut qu'il ait été sensibilisé à ça, qu'il ait appris. Et nous ce qu'on fait, on lui donne les moyens de le faire. Après il utilise comme il veut. Mais au moins il a les outils et il a eu les connaissances qui étaient nécessaires. Moi j'estime que c'est nécessaire, que les connaissances que j'ai, de ne pas les garder pour moi.

Cryptoparty, pour moi, c’était les hackers entre eux. Non ! C'est il faut diviser le savoir. C'est je sais chiffrer mes mails, c'est j'apprends à d'autres. Je chiffre plus ou bien, mais j'apprends à d'autres. Si la personne a vraiment besoin de sécurité, elle aura déjà eu le vocabulaire de base pour creuser et aller encore plus loin. Il faut quelquefois, il faut la petite impulsion au départ pour être sensibilisé à ça. Savoir que ça existe, parce que, si on ne sait pas que ça existe, on ne peut pas l'inventer non plus. Nous on dit voilà, il y a ça, ça, ça qui existe et puis après chacun apprend et monte en niveau de compétence selon ses besoins. Mais il faut au départ qu'on nous ait dit que ça existe et on est là pour ça.

Aeris : Il y a aussi un autre gros effet positif aux chiffrofêtes et autres, c'est que justement en France on n'a pas grand-chose à craindre à utiliser ça. Donc utilisez-le. Si vous vous plantez, à la limite ce n'est pas grave, votre vie n'est pas en jeu et en plus ça fait du bruit dans les tuyaux. Quand le gouvernement syrien scanne les mails, quand il en aura marre de déchiffrer 999 mails qui disent « Bonjour Maman » ou « J'ai commandé une pizza quatre fromages », il laissera peut-être tomber le millième mail qui dit « Eh bien tiens les dissidents ils ont rendez-vous là à tel endroit ». Faire du bruit dans le réseau c'est cool. En France on peut se le permettre. En plus on est assez nombreux pour faire beaucoup de bruit, parce que nous, on n'a pas grand-chose à protéger au final. Ça permet d'aider à protéger ceux qui en ont vraiment beaucoup beaucoup et où leurs vies sont en jeu là-dessus.

Genma : Donc là il est six heures, je pense qu'on va arrêter là. Si vous voulez encore discuter de ça, vous allez vers Aeris, il y a moi Genma. On est d’autres. On verra si, quand ils seront là vous repérez un peu les gens qui parlent un peu sur PSES de cryto, etc.

Vous n'hésitez pas à nous solliciter, à venir discuter avec nous si vous voulez approfondir le sujet ou voir différentes choses. Je vous remercie beaucoup de votre attention, en espérant que vous viendrez aux événements qu'on organise ou que vous-même, mieux, vous lancerez vos propres événements. Vous pouvez même les lancer sur Paris, vous pouvez venir aider, Paris, région parisienne, partout en France, il n'y a aucun souci. Au contraire, plus on est, mieux c'est. Et merci.