Cryptoparty Café vie privée Chiffrement en pleine démocratisation

De April MediaWiki
Aller à la navigationAller à la recherche


Titre : Des cryptoparty aux Café vie privée, le chiffrement en pleine démocratisation

Intervenant : Genma

Lieu : Pas Sage En Seine

Date : Juin 2014

Durée : 56 min 27

Lien vers la vidéo : [1] ou [2]

00'transcrit MO

On se donne encore deux minutes avant de commencer, le temps que les gens dans la salle puissent s’asseoir. Je vais peut-être y aller. Je vais commencer.

Bonjour et bienvenue. Le titre de ma conférence, c'est « Des cryptoparty aux café vie privée, le chiffrement en pleine démocratisation ».

Je vais commencer par me présenter. Qui je suis ? Je m'appelle Genma de mon pseudo, ça s'écrit G, E, N, M, A. Sous ce pseudonyme je tiens un blog qui s'appelle le blog de Genma. J'ai un twitter sur lequel je suis assez actif et je communique de façon assez régulière par rapport aux thématiques que je vais aborder dans cette conférence, à savoir, les chiffrofêtes, café vie privée, cryptoparty, je vais expliquer un peu pourquoi ces différentes terminologies-là. Comment j'ai été amené à être ici ? C'est parce que mes centres d’intérêt ce sont au départ la veille technologique et peu à peu je me suis intéressé à tout ce qui était vie privée, chiffrement, etc. J'ai acquis un certain nombre de connaissances que maintenant je rediffuse dans le cadre d’événements de type cryptoparty. Donc je vais expliquer tout ça.

Donc les chiffrofêtes, c'est quoi ? Qu'est-ce qu'une chiffrofête ? Au départ il y avait le terme de cryptoparty, qui est la contraction de crypto, donc chiffrement et party, la fête ; c'est un terme anglais qui est souvent francisé en cryptopartie, ie, mais nous on a, en fait, on a décidé, donc le petit groupe qui fait ces genres d’événements avec moi, d’appeler ça chiffrofête, parce qu'on trouvait ça marrant, c’était un petit côté francisation du terme et montrer qu'on se démarque un petit peu du terme de cryptoparty du départ. Parce que les cryptoparty ont toujours existé, moi je sais que ça fait quelques années que je m'intéresse à ces problématiques-là. J'avais regardé en cherchant sur Internet et je voyais que les cryptoparty c'était dans des milieux, un peu, on va dire, underground, dans des hackerspaces, des endroits un peu de réunion de hackers qui voulaient chiffrer leurs mails et leurs communications. Ça semblait quelque chose d'assez confidentiel, de gens qui s'y connaissent, qui ont un certain bagage technique. J'avais l'impression que le ticket d'entrée pour participer à ce genre d’événement était quand même assez élevé et donc je ne m'y étais pas trop mêlé et, comme on va le voir après, il y a eu en fait ce qui s'appelle les cafés vie privée, qui ont changé un peu la donne, de mon point de vue à moi, et c'est ce dont je vais vous parler là.

Quand ça a commencé en fait, comme je disais, les cryptoparty ça fait depuis un petit moment, mais, c'est en octobre dernier, en 2013, j'ai vu qu'il y avait quelque chose qui s’appelait café vie privée. J'ai regardé, c'était une certaine Amaelle Guiton qui a écrit un livre qui s'appelle « Hackers au cœur de la résistance » qui lançait ça avec Okhin qui est connu je pense, c'est celui qui a fait la conférence ce matin, qui lançait quelque chose qui s’appelait le café vie privée. Et il disait « Bon ! Si vous voulez discuter autour de l’anonymat, de la vie privée, des choses comme ça sur Internet, venez ». Je me suis présenté. J'ai vu un petit peu les ateliers qu'ils proposaient, c’était des thématiques qui me parlaient, et je me suis dit « Eh bien moi aussi j'ai des connaissances dans ce domaine, je commence à en parler sur mon blog. Je vais aider ».

En novembre 2013, on a remis ça en faisant deux jours qu'on a appelés Prism Break, où c’était des différents ateliers autour de différents outils que je vais présenter après très rapidement. Et c'est là que Okhin a dit : « Tiens, cryptoparty pourquoi on n'appellerait pas ça chiffrofête ». Depuis, depuis novembre dernier, tous les mois il y a à peu près un événement qui a lieu, il y en a des fois un peu plus souvent. Maintenant on commence à se faire connaître, entre guillemets. Il y a des gens qui nous demandent : « Est-ce que vous ne pouvez pas venir faire un café vie privée, chiffrofête ou cryptoparty pour notre association ou sur tel type d’événements, etc ? ». On est assez sollicités et on fait tout ça de manière bénévole. Donc l'idée c'est de recruter de gens et de vous inviter à faire, vous, de même. Parce qu'il y a des gens qui ont dit «  Ah je suis sur Nantes, c'est sympa le concept, j'aimerais bien faire la même chose ». Ben Ouais, mais Nantes c'est un peu loin. Moi ce qu'essaye de faire à mon échelle, c'est de pas mal communiquer sur Twitter, sur les ??? qui existent, de relayer quand je vois qu'il y a ce genre d’événements qui ont lieu. Je sais que je suis abonné à des twitters de cryptoparty en Suisse, en Belgique, aux Pays-Bas, en France. Donc là il y en a sur Brest, il y a Toulouse où ils sont assez actifs, ils commencent à en faire quelques-unes, nous à Paris, Nantes. On cherche des gens, s'il y a des gens sur Nancy, il y a quelqu'un qui aimerait bien lancer ce genre d’événements là-bas. Je sais qu'il y a crypto à Marseille, il y a Crypto Mars qui en fait. L'idée c'est vraiment de montrer que ce n'est pas si compliqué que ça de diffuser des connaissances. Il faut vous lancer dans votre coin. Plus on sera de monde à le faire, mieux ça sera.

Voilà une petite affiche qui montre qu'on peut utiliser les trois appellations. C'est selon ce qu'on veut : café vie privée, cryptoparty, chiffrofête, il n'y a pas de copyright sur rien du tout, c'est vraiment le terme qui vous plaît. C'est selon les humeurs. Quand je twitte en anglais pour sensibiliser un peu les communautés autour de ça, eh bien c'est cryptoparty en anglais, en France ça va être café vie privée ou chiffrofête.

Le public concerné par ce type d’événements ? Comme je disais au départ, pour moi, je parle en mon nom, de mon point de vue, les cryptoparty c’était très hacker, un milieu de connaisseurs, etc, et le terme de café vie privée, pour ce qu'il représente pour moi, le public concerné par ce type d’événements, c'est un public divers et varié. Ça va être des journalistes et autres professions à risques. Ça veut dire que ce sont des gens qui ont tout intérêt à savoir sécuriser leurs communications, protéger leurs sources, protéger leurs données. Ça peut être quelqu’un qui, tous les jours, transporte son ordinateur portable. Il faut qu'il sache comment sécuriser ses données dessus. Il y a différents types de profils. Ça peut être des scolaires, des lycéens, des étudiants. Là pareil, ça peut être des geeks, des libristes, des technophiles. Du grand public, tous âges confondus. Ça peut être des militants, ça peut être des gens qui sont syndiqués. Vraiment on essaie de s’adresser à qui veut. Nous, on a des connaissances à diffuser. On a aussi des connaissances à apprendre parce qu'il y a des gens qui viennent, qui ont des connaissances nettement supérieures aux miennes, ils m'apprennent des choses. Il n'y a pas celui qui sait et celui qui vient apprendre. On sait, on vient, et puis on discute, on lance éventuellement des ateliers, etc, comme je vais présenter par la suite et l'idée c'est vraiment partager les connaissances.

Le public visé, en résumé d'une façon générale, c'est toute personne qui est concernée par les problématiques de la vie privée, la sécurisation de ses communications, mais ça peut aller jusqu'à des bases de c'est quoi l’hygiène numérique, comment apprendre un peu les règles d'une meilleure hygiène numérique pour s'en sortir un peu mieux avec l'ordinateur.

Comment ça se passe une chiffrofête, un café vie privée typique. Où, qui et quoi ? Il suffit d'un lieu pour se réunir, par exemple ça peut être à Numa, on en a déjà faits. D'animateurs désirant parler de leurs connaissances. Ça va être, nous sur Twitter on dit « Tiens ! Tel jour à tel endroit on a un lieu, qui est-ce qui veut venir ? Qui est-ce qui est dispo ? ». Les gens viennent et puis on se met en rang. On dit voilà, nous on est là, il y a un public qui est venu aussi, Et puis on dit ce qu'on peut faire et on lance éventuellement des ateliers, des discussions et puis c'est parti. Donc en logistique c'est un lieu et puis des gens et de la communication au départ pour qu'il y ait des gens qui viennent.

Atelier, conférence, débat. Donc déroulement type. Ça va être au début, comme je le disais, faire une présentation des différents sujets qui peuvent être abordés. Après, on peut faire soit une mini conférence, un lightning talk ou autre si on a support de présentation déjà fait. Un atelier ça peut être chacun un petit groupe qui a son PC et chacun va manipuler un outil précis pour s'approprier cet outil sur son ordinateur. Ça peut être, comme on l'a fait tout à l’heure, un séance de débat, questions réponses où on parle de sujets divers et variés, on part un peu dans tous les sens, on s'échange nos connaissances et on renvoie vers des sites qu'on connaît, vers des tutoriaux qu'on a pu mettre en ligne, etc.

Ce qu'on a vu, par expérience, c'est que la durée idéale de ce type de chose, c'est deux fois une heure et demie. Donc si on fait un atelier, ou une conférence ou autre, on fait une heure et demie, on fait une pause, une deuxième fois une heure et demie. Si l’atelier nécessite tout un après-midi parce que c'est quelque chose où on va très loin, de façon avancée, il faut quand même faire des pauses. Donc on va faire trois heures avec une pause au milieu, mais ça peut être une heure un lightning talk. C'est variable. Généralement on voit que quand on dit on se donne une heure, et puis le temps de dire on arrête, le temps de finir, etc, ça fait une heure et demie et en après-midi on fait généralement deux groupes ou deux séances et après les animateurs et les participants, ont déjà fait pas mal de choses, il faut souffler, donc on revient à la fois d'après.

09' 50

En terme de logiciels, on essaye d'insister sur le côté logiciel libre. On n'est pas, comment dire, libristes à fond ou « Non t'as un Mac, t'as un Windows, on ne va pas t'apprendre des choses ». Les outils qu'on essaye de présenter, au maximum, sont multiplates-formes, donc compatibles Linux, Windows et Mac. On essaie de connaître aussi les logiciels plus spécifiques à Linux parce qu'il y en a, ou de connaître un peu les alternatives, tout en sensibilisant les gens au fait que, dès que c'est possible, il faut que ça soit du logiciel libre, parce qu'il y a le côté vie privée, sécurité etc. Si on veut faire confiance c'est du logiciel libre qu'il faut utiliser. Mais on peut expliquer, voilà comment installer, configurer le VPN sur son iPhone ou sur son Android, etc. Ça peut faire partie des problématiques qu'on abordera dans ce type d’événement. Après, c'est libre à chacun, par rapport à ses connaissances, ses compétences sur les différents domaines, est-ce qu'il a envie d'expliquer des choses sur Windows ou pas. C'est un peu par rapport à ce que les personnes présentes attendent et ce que l'animateur, qui est bénévole, a envie aussi de présenter. Il y a des gens qui vont être, non, je ne connais rien à Windows, je ne fais pas, des gens qui comme moi ont un double boot, ont un peu plus de connaissances sur les deux domaines, mais peut-être moins avancées, qui vont expliquer des choses sur Windows ou autre.

Comme je disais, le message qu'on fait aussi passer c'est que Apple, Windows, Android, iPhone, etc, ce sont des choses fermées et que selon le niveau de sécurité, de confidentialité, de vie privée qu'on veut avoir, on va se tourner vers d'autres alternatives. Après, quand on a acheté un MacBook, il faut bien faire avec, on ne va pas le jeter du jour au lendemain. Il faut quand même accepter la personne et lui montrer les outils, et qu'elle sache, pour la fois d'après, qu'il ne faudra peut-être pas acheter un MacBook si elle estime que non, finalement, ce n'est pas si bien que ça. On n'est pas là pour juger les gens. Si on leur donne des informations, on transmet un savoir, ils se l'approprient, et après ils font en connaissance de cause. C'est leur donner toutes les clefs pour qu'ils puissent juger.

Comme je disais, le logiciel libre, j'expliquais tout ça. En terme de discussion interne on s'est posé justement la question est-ce que ça vaut le coup de perdre du temps, d'expliquer aux gens comment utiliser sur Windows, etc, parce que… Moi je pense que oui, parce que, comme j’expliquais, un peu d'hygiène numérique, déjà leur expliquer les bases, utiliser le logiciel libre, par exemple Firefox, etc, faire les mises à jour, c'est leur donner des recettes qui marchent un peu sur n’importe quel système. Ne pas cliquer sur n'importe quel lien, etc. Et après s'ils s'approprient déjà ça, naturellement ils passeront peut-être, ou on peut les aider en faisant des install party, etc, mais je ne pense pas forcément que ce soit notre rôle aussi de faire des install party. Il y a des associations qui font ça très bien, il y a des LUGs, etc, qui font des install party. Nous, je dirais, on vient en parallèle ou à côté, où on sensibilise aux problématiques de la vie privée, etc, d'où le logiciel libre. Après on dit voilà, il y a des associations qui sont là pour vous installer un double boot ou un single boot, etc, qui vont vous aider à faire ça, mais ça prend du temps. Il y a des gens qui sont déjà bénévoles dans des associations comme l'April, etc, qui militent pour le logiciel libre, on ne peut pas tout faire en un après-midi dans le cadre des cafés vie privée. Il faut peut-être voir aussi pour être en contact avec ce genre d’association pour faire des choses à côté.

Les ateliers proposés.

Dans un café vie privée, qu'est-ce qu'on peut faire ?

On peut apprendre à comment chiffrer ses mails avec GPG.

On peut voir comment surfer et utiliser Tor. Ça peut être soit le Tor Browser Bundle, soit niveau plus avancé Tails.

Protéger son navigateur, comprendre les certificats de sécurité. Ça va de j'installe http ???, je vérifie qu'il y a le cadenas : Ah, c'est quoi le problème de Heartbleed, c'est comment on vérifie un certificat SSL, etc, comment on crée son certificat SSL. Donc on voit qu'on a différents niveaux.

On peut faire comprendre et comment utiliser un VPN. Dans quel cadre ? Pourquoi faire ? Quelles sont les limites ?

Protéger ses communications, son surf, avec le WiFi, les outils. Je suis ici, qu'est-ce que je vais faire pour surfer en sécurité ? « Eh bien Je vais passer par un VPN qui est chez moi, ou passer par Tor, etc ». Protéger ses informations avec True Crypt. On pourra en discuter dans la partie débat. Avant qu'il n'y ait l'annonce sur True Crypt, on conseillait True Crypt, moi j'estime qu'on peut encore le conseiller, parce que ça rejoint des slide que j'ai faites, alors je vais pas m'attarder là-dessus.

Mot de passe, identification multi-facteur. Donc déjà expliquer aux gens qu'il ne faut pas avoir le même mot de passe partout et aller un peu plus loin avec c'est quoi la double authentification, sensibiliser à c'est quoi qui passe. Donc pareil, s'adapter au niveau du participant et à son besoin et puis après on monte en compétences. Déjà qu'est-ce qu'un mot mot de passe, ne pas mettre le même mot de passe partout et après qui passe, double authentification.

Identifier, savoir gérer ou effacer des métadonnées. Expliquer ce que sont les métadonnées, en quoi c'est important de savoir les gérer, etc.

Le panel de choses qu'on peut proposer est extrêmement large. Donc après c'est un peu selon les envies. On vient, on dit voilà, moi je m'y connais en ça, je peux proposer de parler de ça, est-ce que ça intéresse quelqu’un ? Et puis s'il y a deux trois personnes, on fait un petit groupe et puis on explique et puis on partage des connaissances autour de ça.

Comment on peut organiser des chiffrofêtes ?

Le concept n'est pas nouveau, comme je disais, ce sont des cryptoparty. Il y a un manuel qui s'appelle «The CryptoParty Handbook», qui expliquait un peu, c'est en anglais, il a peut-être été traduit en français, sur comment on organise une cryptoparty dans les règles de l'art. On peut le lire, parce que les chiffrofêtes c'est juste une version grand public. On peut lire ça, s'en inspirer.

Qui peut faire une chiffrofête ?

Pour organiser, c'est toute personne qui a des connaissances minimales et qui souhaite les partager. Ce qui me semble important c'est la notion de partage. C'est je suis là pour diffuser un savoir, pour partager, pour échanger, pour apprendre des choses aussi en retour, puisque la personne en face a des choses à m'apprendre. Et donc n'importe qui peut lancer une chiffrofête. Il n'y a pas de copyright. Allez-y au contraire. Moi je suis là pour vous sensibiliser. Faites-le !

Quels sont les lieux susceptibles d’accueillir une chiffrofête ?

Comme c'est destiné à un public varié, du grand public aux utilisateurs plus avancés, les lieux ça peut être dans un hackerspace, ça peut être dans une médiathèque, ça peut être dans un salon informatique, ça peut être, je ne sais pas moi, à la salle communale dans votre ville, dans une école, dans une entreprise. C'est vraiment n'importe où. Il faut juste trouver un lieu, un créneau, voir s'il y a des gens qui sont motivés pour vous aider et des gens motivés pour apprendre. Et puis on se lance.

En terme de logistique, qu'est-ce qu'on a vu ?

Les éléments suivants ont été identifiés, des trucs tous bêtes. Savoir un peu la capacité d'accueil du lieu et avoir plusieurs contacts. Savoir un petit peu avec la personne, je vais arriver sur place, quel sera mon contact, la capacité du lieu. Savoir s'il y aura des prises électriques, du réseau. Donc une logistique.

On peut éventuellement envisager une inscription en ligne. Donc plus pour savoir un petit peu qui prévoit de venir. C'est plus pour compter, avoir un ordre d'idée, savoir si on est dix animateurs et il n'y a que trois personnes qui viennent c'est peut-être un peu dommage qu'il y ait autant de monde. Pourquoi pas ? Mais bon ! C'est avoir une idée, mais pas forcément quelque chose qui va tracer, on ne va pas faire un Google Docs. On fait un petit script dans un coin, une petite page et puis on dit, ou on essaie de voir en tweets et puis on voit par rapport au nombre de réponses, au feeling aussi, par rapport à la communication qu'on a pu faire.

Je disais prévoir un accès à Internet parce que c'est vachement pratique quand on veut expliquer le tracking sur Internet, etc, d'être sur que la connexion est faisable sur place. Éventuellement avoir un switch ou un routeur WiFi parce que les gens viennent avec leur ordinateur et ils vont pouvoir faire des ateliers. Des fois ils viennent, un peu comme vous, mains dans les poches. Donc là il faut avoir des slides de présentation aussi pour pouvoir faire des petits talks ou lancer comme je disais un débat questions réponses. Voir un peu, vidéo-projecteur, chaises, tables, rallonges. Savoir un petit peu la configuration du lieu, parce que si tout le monde est debout, comme c'est tout un après-midi, ce n'est pas forcément idéal. Donc ça c'est de la logistique banale, ce n'est pas bien compliqué. On a vu ce sont des gens, un lieu et puis on y va.

Ce qui est important aussi c'est de faire de la communication. Comment on peut communiquer ? On a des petits slogans, mais après libre à vous d'en faire. Ça peut être : « Venez apprendre à protéger vos communications en ligne ». Ça reste vague mais ça donne une petite idée. « Chiffrement anonymat », « Reprenez le contrôle de votre vie privée », « Surfez et chattez couverts avec des cypherpunks gentils . Ou encore « Parce que préserver sa vie privée est un droit », « Parce qu'on a tous envie de ne pas être espionnés », « Parce qu'on a tous quelque chose à chose à cacher », « Parce que les outils existent et ne sont pas si compliqués, venez apprendre à vous protéger en ligne ». Après, c'est libre à vous de trouver comment vous voulez communiquer autour de l’événement que vous allez lancer.

Est-ce que j'aurais des conseils à donner ?

Quelques petits conseils pour le déroulement. S'adapter au niveau des participants. Les participants c'est un groupe hétérogène. On va avoir des débutants, des utilisateurs avancés. Il faut être en équilibre entre les deux parties. La personne qui est débutante, si on commence de lui parler SSL, elle va faire « Hein ! » mais si vous dites cadenas, « Ah oui le petit cadenas !», ça lui parle. Donc essayer de s'adapter au niveau. Il ne faut pas délaisser la personne qui s'y connaît, parce qu'elle va se lasser, elle va dire pourquoi je suis venu là je n'apprend rien. Il ne faut pas non plus larguer la personne qui n'a pas les connaissances techniques en la soûlant avec des mots compliqués. En ressortant elle aura appris des choses et la fois d'après elle aura un peu plus de connaissances. Mais, au départ, il faut essayer de vulgariser et vérifier que toutes les personnes ont bien compris ce dont on parle, éventuellement trouver des mots plus simples. C'est de la pédagogie comme n'importe quelle chose qu'on enseigne.

Comme je disais c'est prendre en compte les besoins et attentes du public. On fait un petit tour de table. S'il n'y a pas trop de monde, on dit voila « Vous êtes venus pourquoi ? Qu'est qui vous intéresserait ? » On ne va commencer à expliquer Tor à quelqu'un qui sait à peine faire des mises à jour.

19'49

Public : Si on utilise toute cette technologie de cryptage, etc, est-ce qu'on ne peut pas au contraire s'attirer l'attention de gens qui cherchent des gens à se dissimuler leur travail ?

Récupérée de « http://wiki.april.org/index.php?title=Cryptoparty_Café_vie_privée_Chiffrement_en_pleine_démocratisation&oldid=64070 »