La sécurité numérique et vous - Pascal Lafourcade

De April MediaWiki
Aller à la navigationAller à la recherche


Titre : La sécurité numérique et vous ?

Intervenant : Pascal Lafourcade

Lieu : Clermont-Ferrand - Clermont'ech

Date : Novembre 2015

Durée : 15 min 20

Visualiser la vidéo

Diaporama support de la présentation

Licence de la transcription : Verbatim

Statut : Transcrit MO

00'

Bonsoir à tous. Je vais vous parler de sécurité et la sécurité et vous plus particulièrement.

Je suis très content d’être ici ce soir et en parlant de sécurité, en fait vous êtes déjà imprégnés de la sécurité. La sécurité est déjà autour de vous. Vous avez tous une carte vitale, puisque vous êtes tous majeurs a priori. Vous avez sûrement tous une carte bleue. Je peux présumer que vous avez tous un téléphone vu que vous avez utilisé la super application qu’il y a sur la gauche. Et peut-être que vous regardez aussi des chaînes payantes et dans tous ces domaines-là, vous êtes obligé d’utiliser la sécurité. Il y a la cryptographie qui est cachée derrière chacune de ces applications.

La sécurité est déjà là et ces objets font partie de votre quotidien et ces objets, vous n’avez pas eu de difficultés à les utiliser. Il y a d’autres domaines où utiliser et faire de la sécurité, c’est plus compliqué. Là, vous l’avez accepté parce que c’est passif. Il y a d’autres domaines où c’est plus important et ça demande d’être actif. Et même quand c’est important ça prend du temps à prendre les bonnes pratiques pour la sécurité. Par exemple porter un casque à moto, attacher sa ceinture de sécurité ; il y a fallu des années au gouvernement pour que vous mettiez ces bonnes pratiques en œuvre dans votre vie. La même chose pour le casque en vélo ou pour l’utilisation du préservatif. Ça prend du temps à prendre les bonnes habitudes et de tout le temps se protéger et avoir une sécurité optimale. Même quand c’est important, parce que dans chacune ces applications, c’est votre vie qui est en jeu, donc c’est beaucoup plus important. Et pourtant il y a encore des gens qui ne les pratiquent pas.

Donc ce que je vais vous proposer ce soir c’est que vous essayiez de devenir acteurs de votre sécurité. Et devenir acteur de cette sécurité numérique ce n’est pas automatique.

Pour ça on va parler de deux choses. Premièrement on va parler des mots de passe et deuxièmement on va parler de vos e-mails et on va voir comment on peut augmenter la sécurité des deux.

En octobre 2014, Gleen Greenwald, ce personnage-là que vous avez peut-être déjà vu a fait un talk à TEDx. TEDx, c’est talk every day, donc c’est une chaîne où il y a plein d’exposés qui sont en ligne pratiquement et qui a fait un exposé sur l’importance de la vie privée. Et dans cet exposé-là il a dit : « La vie privée c’est important », et il a donné un argument qui pour moi est l’argument clef pour expliquer aux gens que vous ne pouvez pas dire que vous n’avez rien à cacher. Vous avez tous quelque chose à cacher. Je vais faire la même chose que ce qu’il a proposé. Si vous n’avez rien à cacher, vous m’envoyez un mail, vous me donnez l’ensemble de vos comptes e-mails avec tous les passwords de tous vos comptes e-mails, professionnels, personnels, tout ce que vous avez vous me l’envoyez et je publierai à discrétion, les informations qui me semblent utiles, sur Internet. De ce jour-là il n’a jamais reçu aucun e-mail, d’aucune personne lui donnant accès à toutes les informations disponibles.

Donc on a tous quelque chose à cacher, que ça doit pour le travail, que ça soit pour vos relations amoureuses, vos relations amicales, votre vie associative.

Donc je partage son avis et je pense qu’on a tous quelque chose à cacher et c’est mieux qu’on puisse tous se protéger vis-à-vis de ça.

Le mot de passe. Ici un écran de login/password, quelque chose dont vous avez tous l’habitude. Et pour moi, si on me demande d’attaquer quelqu’un, c’est la première chose que je vais faire. C’est la porte d’entrée la plus facile. Attaquer un login, un mot de passe c’est quelque chose de très facile. Et vous devez savoir, avoir conscience de quel niveau de sécurité vous voulez. Est-ce que vous voulez une porte blindée ou une porte japonaise pour l’entrée à votre vie privée ? Le login, le password c’est votre entrée chez vous. Les gens ont accès à toute votre vie via ce login/password. Donc à vous de choisir quel niveau de sécurité vous voulez.

J’ai pris les 25 passwords les plus utilisés dans le monde. Ils sont très faciles à retenir, c’est un gros avantage. Voilà. Ça change tous les ans le classement des top 25 passwords. Donc ça c’est celui de 2014. Avec ces 25 passwords, vous avez accès à 70 % des comptes informatiques sur la planète. Donc ce n’est pas très compliqué d’avoir accès. Partant de là je me suis posé la question mais qu’est-ce qu’il faudrait faire pour que les gens arrêtent d’avoir ces mots de passe aussi simples mais aient des bonnes pratiques ?

La première chose c’est que la taille c’est important. OK. Ça c’est un petit tableau qui vous dit, un petit graphique, si vous utilisez que 6 caractères, c’est la courbe ici : un mot de passe de 6 [minuscules], ça met quelques secondes à être cassé. Un mot de passe de 10, ça met plusieurs jours. Ici c’est avec 26 caractères. Et on voit que déjà un mot de passe de six caractères [minuscules, majuscules et chiffres] ça met un jour à être cassé et c’est pour un ordinateur standard. Bien entendu, vous pouvez imaginer que des gens utilisent des ordinateurs bien plus puissants.

Donc il faut faire attention à la taille, à l’espace sur lequel vous choisissez vos mots de passe.

Et il y a plein d’autres petites règles. J’ai essayé de les lister avec Vincent qui est déjà venu parler à Clermont’ech et on est tombés d’accord sur ces sept règles.

  • Un mot de passe, ça ne se prête pas. Vous ne donnez pas à votre voisin le mot de passe.
  • Un mot de passe, ça ne se laisse pas traîner à la vue de tous. Vous me mettez pas un post-it sous le clavier ou vous ne l’écrivez pas sur votre agenda.
  • Un mot de passe ça ne s’utilise qu’une seule fois. Vous n’avez pas le même mot de passe pour tous vos sites web. Vous n’avez pas le même mot de passe pour tous vos comptes e-mail.
  • Si vous avez le moindre doute sur le fait que votre mot de passe a été cassé, il faut que vous en changiez.
  • Règle numéro 5 : le mot de passe, ça se périme, donc il faut en changer régulièrement.
  • Règle numéro 6 : il n’est jamais assez sophistiqué, donc plus vous avez d’originalité dans le mot de passe, plus ça sera difficile pour le casser.
  • Et dernière règle, ce qu’on a vu, la taille compte.

Donc comment se souvenir de ces sept règles ? En fait, ce sont des règles hygiène qui sont exactement les mêmes que pour l’utilisation des préservatifs. Donc pensez à l’usage du préservatif, aux bonnes règles d’hygiène du préservatif, ce sont les mêmes pour l’hygiène de vos mots de passe. J’ai fait ça avec mes étudiants en cours. Sept sur sept, ils ont tous eu les points à l’examen. Donc ça marche. Si vous voulez savoir comment faire un bon de mot de passe, souvenez-vous de comment utiliser un préservatif, c’est la même idée.

Donc une fois que vous avez utilisé les bons mots de passe et qu’ils sont sécurisés, on va passer à vos e-mails

6’ 39

Ça c’est un e-mail. Je ne sais pas si vous en avez conscience, mais envoyer un e-mail c’est la même chose qu’envoyer une carte postale. C’est pareil qu’une carte postale. Le facteur peut lire ce que vous écrivez. Eh bien les e-mails c’est exactement la même chose. Quand vous envoyez un e-mail, toute personne qui écoute le trafic réseau peut écouter. Aucune sécurité. Ce n’est pas un protocole par défaut.

Donc est-ce qu’on peut faire mieux ? Oui. Grâce à Clermont’ech on a eu la chance d’avoir Citizenfour qui nous a été projeté. Un excellent documentaire qui raconte l’histoire de Snowden et voici le générique. Donc sisi c’est un message chiffré. Le message chiffré avec PGP, c’est le générique du film.

Dans le film, ce qui m’a frappé, c’est la première chose qu’on voit tout au début du film. C’est que Edward Snowden refuse de parler avec le journaliste qui l’a contacté, donc celui qui a fait le talk à TEDx dont j’ai parlé précédmment, et il lui dit : « Je ne communique avec vous, je n’échange avec vous, qu’à une seule condition : que nous ayons un moyen de communiquer sécurisé. »

Le journaliste n’a aucune idée de ce que ça veut dire communiquer de manière sécurisée. Et en cinq minutes, il lui fait générer une clef et il lui explique comment envoyer des mails chiffrés. Et tant qu’il n’a pas reçu un mail chiffré du journaliste et que le journaliste n’a pas répondu, il ne lui donne aucune information. Le journaliste n’est pas un expert en sécurité. C’est un journaliste comme un autre et, en fait, il a appris ça en cinq minutes, donc ce n’est vraiment pas très compliqué.

Donc comment ça fonctionne ? Ça utilise un peu de sécurité et un peu de cryptographie.

Première primitive à connaître c’est le chiffrement. Si vous voulez envoyer une information à quelqu’un vous devez le chiffrer donc le mettre dans un coffre. Pour ça il y a des primitives de cryptographie qui existent qui sont des primitives mathématiques et ce qui est intéressant ici c’est qu’on va pouvoir utiliser une primitive à clef publique Ça veut dire que vous allez pouvoir distribuer cette clef publique à tous vos amis, donc à tous les gens de la salle ; vous pourrez accéder à ma clef publique, dans un magasin de clefs publiques, elle est aussi sur mon site web, vous la téléchargez, et grâce à cette clef publique, vous pourrez m’envoyer des messages chiffrés. Et je serai le seul, puisque je suis le seul à posséder la clef secrète, à pouvoir les ouvrir.

Donc c’est cette primitive que Snowden a fait installer au journaliste.

Une autre primitive qui est importante c’est de pouvoir signer, être sûr que c’est moi qui ai bien écrit un message. Donc je vais utiliser ma clef secrète pour signer mes messages que j’envoie, pour que la personne qui les lis soit bien sûre que c’est moi qui les ai envoyés. Parce que je suis sûr que vous savez tous qu’envoyer un mail, ce n’est pas parce que vous recevez un mail que c’est la personne qui l’a envoyé. Le protocole mail vous permet de changer le champ from, Donc comme vous voulez, vous pouvez écrire à la place n’importe qui dans la salle. C’est absolument très facile.

Donc vous pouvez signer et chiffrer.

Comment faire ça ? Donc Phil Zimmermann ici, en 91, a proposé une RFC qui propose de chiffrer des e-mails. Donc c’est ce qu’on appelle PGP, Pretty Good Privacy. Suite à ça de nombreux logiciels ont été proposés. Et j’adore la devise de Phil Zimmermann à cette époque il a dit que si la vie privée était mise hors-là-loi, seuls les hors-la-loi auraient une vie privée. Donc je suis bien d’accord que si seules les personnes qui ont des choses à cacher envoient des e-mails chiffrés, c’est beaucoup plus facile pour les agences gouvernementales de déchiffrer et de se focaliser sur ces trafics-là.

Donc il faudrait que tout le monde utilise des mails chiffrés pour que tout le monde garantisse la sécurité des autres.

Donc je vous encourage à chiffrer vos e-mails. Ce n’est pas si difficile que ça :

  • vous téléchargez un outil GPG, PGP, ce que vous voulez, payant, gratuit, il en existe des dizaines ;
  • vous générez une paire de clefs secrète publique, au minimum de cette taille [4096 bits] pour la clef secrète. Voilà ;
  • vous importez vos clefs dans vos logiciels ;
  • vous téléchargez les clefs de vos amis ;
  • et vous pouvez communiquer de manière sécurisée.

C’est aussi facile que d’installer un logiciel, que d’installer un jeu sur votre ordinateur, sur votre smartphone. Donc c’est vraiment très facile à l’heure actuelle de faire ce genre de chose.

Donc le résumé :

  • choisissez des mots de passe sûrs, parce que quand vous allez installer vos clefs GPG on va vous demander une pass’phrase. Donc vous pouvez vous lâcher, c’est aussi long que vous voulez, aussi compliqué mieux c’est, puisque c’est ça qui va vous permettre de déchiffrer vos e-mails, donc il va falloir que ça soit sûr ;
  • ayez tous une clef PGP ;
  • signez et chiffrez vos e-mails ;
  • et ça permettra à chacun d’avoir la liberté de communiquer de manière sécurisée.

J’espère qu’après cet exposé vous allez tous avoir des clefs, vous allez tous les utiliser. N’hésitez as à m’écrire et à écrire à William et d’autres personnes qui ont des clefs PGP pour tester vos configurations et devenez acteurs de votre sécurité informatique.

Je vous remercie de votre attention. Il y a un livre que j’ai écrit récemment [Architectures PKI et communications sécurisées] qui, entre autres, parle de ces choses-là que vous pouvez acheter dans toutes les bonnes librairies. Merci beaucoup.

[Applaudissements]

11’ 40

Organisateur : Il nous reste trois minutes