Publications


Guide à l'intention des internautes
pour une navigation libre et plus sure

Précautions à prendre – sociales ou techniques | modules complémentaires | censure sur l'Internet |
le réseau Tor | les proxies | Virtual Private Networks/Réseaux Privés Virtuels | autres lectures

Objectif
Les internautes et activistes sont parfois la cible de pirates informatiques, que ceux-ci agissent à titre individuel (pour affirmer leur opposition idéologique) ou pour motif économique, après avoir été (illégalement) missionnés par des organisations (gouvernements, entreprises, partis politiques...etc) qui se sentent menacées par l'action des activistes.

Ce guide a pour objectif de permettre aux intenrnautes et activistes pacifiques (individus et groupes) menant des actions légales de prendre des précautions afin d'éviter ou pouvoir rebondir suite à des attaques sur Internet. Ce qu'on appelle ici une attaque sur Internet peut etre:

  • attaque 1: une prise de contrôle de votre PC ou serveur soit dans le but de vandaliser son contenu, ou alors (pire) de l'utiliser pour des actions illégales ou criminelles, dans le but de vous incriminer par la suite
  • attaque 2: le piratage de votre compte de messagerie, Facebook, Twitter, site web... dans les mêmes buts que précédemment
  • attaque 3: la mise en indisponibilité d'un site Internet suite à une attaque par déni de service distribué (DDoS)
  • attaque 4: l'infection de votre PC par un virus ou un cheval de Troie

Comme les activistes pacifiques font parfois aussi face à la censure sur Internet (ce fut le cas en Tunisie et en Egypte) nous parlerons aussi de moyens légaux de la contourner

Nota: Gardez à l'esprit que dans le domaine de la sécurité (informatique ou autre), aucune mesure ne permet d'obtenir le risque zéro (en fait si, une seule: éteindre votre PC ;-). Pensez à mettre en place les mesures adéquates en fonction de l'intérêt qu'a un pirate à vous attaquer. Si vous possédez des informations à haute valeur, attendez-vous à des attaques sophistiquées, auquel vous devrez respecter l'ensemble des recommandations qui suivent.

Précautions à prendre
On va classer les précautions en deux catégories:
a) les précautions "sociales" (eh oui, vous allez tout-de-suite comprendre pourquoi)
b) les précautions techniques

Ce sont les premières qui sont le plus souvent négligées, et donc exploitées par des attaqueurs, on va alors commencer par elles.

Précautions "sociales"
Entre parenthèses se trouvent les numéros des attaques évitées:

  • (attaques 1 et 2) Ne choisissez JAMAIS des mots-de-passe trop simples à deviner pour quelqu'un qui vous connait et qui connait vos habitudes. Si vous êtes fan des Pokémon ne choisissez pas comme mot-de-passe Pikachu! Si c'est un compte appartenant au mouvement Démocratie Réelle ne choisissez pas comme mot-de-passe ParisEsSol, ou PrisedelaBastille, ou frenchrevolution. Ce sont les premiers qu'un pirate tentera!

  • (attaques 1 et 2) Choisissez TOUJOURS des mots-de-passe qui ne sont pas issus du dictionnaire (sinon ils seraient faciles à craquer), et choisissez une combinaison de chiffres, lettres et caractères spéciaux. C'est évidemment plus difficile de s'en souvenir ainsi, mais c'est plus sécurisé. Par contre, de peur de ne plus vous en souvenir, ne le mettez pas sur un post-it collé sur l'écran, ou sous le bureau, ou sous le sous-main, c'est les premiers endroits où un pirate ayant un accès physique à votre bureau regardera ;-)

  • (attaque 2) Pensez à modifier vos questions secrêtes (pour accéder à vos comptes mails...etc) pour les rendre impossibles à deviner pour quelqu'un qui vous connait ou peux obtenir des informations sur vous. Si votre question secrête est "Quelle est le nom de jeune fille de votre mère?", alors toutes les personnes ayant cette information pourront avoir accès à votre compte

  • (attaque 2) Partager le mots-de-passe d'un compte (type mailing-liste ou "contact" ou autre compte d'une organisation volontairement sans leader) entre plusieurs personnes est la meilleure garantie de voir le compte vandalisé, détourné, spammé, les échanges (y compris confidentiels) publiés sur Internet, les noms des correspondants exposés... il faut un mot-de-passe pour un compte géré par une personne (la personne responsable de la gestion du compte, et qui rendra des comptes en cas de mauvaise utilisation ou piratage). Tout-au-plus, le mot-de-passe sera partagé avec un(e) suppléant(e), mais il faut que ça soit au su et avec l'accord de l'ensemble du groupe, afin que les deux personnes soient responsables en cas de souci, et qu'une enquête soit menée. Lorsqu'une personne de l'équipe quitte ses fonctions il faut modifier les mots-de-passe, sinon elle pourra toujours acéder au compte

  • (attaques 1 et 2) Evitez d'utiliser le même mot-de-passe pour tous vos comptes (mails, FB, Twitter, connexion au PC...). Sinon si un des mot-de-passes est connu vous risquerez de perdre l'ensemble des comptes simultanément

  • (attaque 4) Ne cliquez pas trop vite sur les liens qu'on vous envoie, surtout s'ils proviennent d'un compte que vous ne connaissez pas. Il pourrait s'agir d'un virus, ou d'un site Internet contenant des scripts malsains

  • (attaques 1 et 3) Si vous avez la responsabilité d'un site Internet (en tant que webmaster), pensez à sauvegarder régulièrement ce dernier (sur support amovible du genre clé USB), ainsi si votre site est piraté et le contenu effacé, ou s'il est indisponible car sous attaque DoS, vous pourrez remettre en ligne la dernière sauvegarde (sur le même serveur si vous récupérez l'accès et êtes sûr qu'il est sécurisé, sinon sur un autre serveur)

  • (attaques 1 et 3) Prévoyez à l'avance un ou plusieurs sites de "secours" (des miroirs), en cas d'indisponibilité du site principal (piratage, attaque DoS), ainsi vous pourrez remettre en ligne le site sur d'autres serveurs. Evidemment eux aussi pourraient être attaqués, d'où l'intérêt d'en avoir plusieurs, ce qui rend l'attaque plus difficile à mener. Pensez à communiquer rapidement et largement sur le piratage et l'indisponibilité du site principal (ainsi si des choses illégales y sont publiées les gens sauront que ça ne vient pas de vous) et donnez les adresses des sites miroirs pour que vos communications et votre activité ne soient pas interrompues.
  • Il existe une attaque appelée le phishing qui consiste à vous faire croire que vous êtes sur le site de connexion de votre messagerie (Gmail, Yahoo, Hotmail...) ou de votre page de connexion Facebook dans le but de vous faire taper votre login et votre mot-de-passe et de les récupérer pour pirater votre compte. Le gouvernement tunisien de Ben Ali a fait appel de manière intensive à ce type d'attaque dans le but de fermer les comptes Facebook des citoyens.

    Heureusement le groupe Anonymous a permis aux Tunisiens de contourner cette attaque, grâce à l'ajout de modules complémentaires (voir plus loin).

    Précautions techniques
    Entre parenthèses se trouvent les numéros des attaques évitées ou palliées:

    • (attaques 1, 2 et 4) Gardez votre système d'exploitation et votre navigateur Internet à jour (faites les mises à jour nécessaires régulièrement). Je vous recommande fortement Firefox comme navigateur. Evitez Internet Explorer, il possède plusieurs failles de sécurité, même si vous le mettez à jour. Si vous en avez la possibilité, utilisez GNU/Linux (Debian, Mandriva, Fedora ou autre...) plutot que Windows, car ce dernier est très exposé aux virus et attaques à distance
    • (attaques 1, 2 et 4) Si vous utilisez Windows, alors pensez à installer un anti-virus (AVG et Avira proposent des versions gratuites efficaces - installez seulement un anti-virus, pas deux, sinon vous risquez de bloquer votre PC) et un anti-spyware (par exemple Spybot et Ad-aware - vous pouvez installer les deux)
    • (attaque 2) Préférez une connexion Internet par cable plutôt que le WiFi, qui est moins sécurisé car tout ce que vous envoyez et recevez peut être capté par un pirate à proximité (les données sont cryptées, mais beaucoup d'autres informations ne le sont pas). Si vous n'avez pas d'autre choix que d'utiliser le WiFi, choisissez un chiffrage WPA2 avec une phrase de 20 caractères ou plus. Ne choisissez surtout pas le WEP, il est très facile à craquer
    • (attaque 2) Si vous utiliser la messagerie Gmail, allez dans le menu "Paramètres" et cocher la case "Toujours utiliser SSL". Ainsi vos échanges avec le site Gmail seront systématiquement chiffrés. Vous pouvez aussi faire la même chose avec votre compte Twitter
    • Si vous pensez faire l'objet de tentatives sophistiquées d'attaque, il est sage de gérer les cookies avec prudence, car s'ils ne servent pas directement à vous attaquer ils peuvent informer un pirate de votre comportement (en révélant quels sites vous visitez) et l'aider à préparer une attaque. Cocher alors l'option qui impose à votre navigateur de vous demander à chaque fois si vous accepter le cookie qu'un site voudrait placer sur votre PC. Pensez aussi à nettoyez les cookies déjà installés.

    Si vous utilisez Firefox voici des modules complémentaires (add-ons) utiles (et gratuits) pour surfer sur Internet de manière plus sécurisée. Pour les installer allez dans "Outils" -> "Modules complémentaires". Cela ouvrira un onglet dans Firefox à partir duquel vous effectuerez une recherche en fonction du nom du module à installer:

    HTTPS-Everywhere: très utile, établit automatiquement une connexion chiffrée avec les sites qui la proposent. Pas d'inconvénient à l'installer, donc allez-y franchement ;-) Exceptionnellement, pour le télécharger il faut aller sur ce site.

    BetterPrivacy: ce module empêche le module Adobe Flash d'enregistrer des données sur vos habitudes de navigation que pourraient exploiter Flash aussi bien que des entreprises publicitaires ou des organisations qui voudraient espionner vos habitudes. Le réglage par défaut est bon, mais si vous voulez plus de protection lisez la page d'aide qui s'ouvre automatiquement au premier redémarrage de Firefox après installation du module.
    Attention par contre, il risque d'avoir un impact négatif sur votre confort de navigation.

    NoScript: ce module bloque par défaut les scripts qui s'exécutent sur les pages web, et vous permet de sélectionner quelles sont les pages en lesquelles vous avez confiance et dont les scripts s'exécuteront sans être bloqués. Je vous le recommande seulement si vous craigniez sérieusement de tomber sur des scripts malsains, carl'utilisation de ce module peut être ressentie comme pénible.

    Adblock Plus: comme son nom l'indique il bloque les publicités qui sont parfois envahissantes (pas d'amélioration de la sécurité, mais meilleur confort de navigation). Efficace et pas d'inconvénient. Une fois le module installé choisissez une liste de filtrage, par exemple EasyList.

    TorButton: (voir aussi la section "Contourner la censure sur Internet") ce module, téléchargeable ici, vous permet d'atteindre les sites que vous visitez en passant pas le réseau d'anonymisation Tor. Utilisation très simple (un seul clic pour activer ou désactiver Tor) mais parfois des inconvénients peuvent apparaitre pendant la navigation. Lisez bien la FAQ du site car tout n'est pas anonymisé.

    Contourner la censure sur Internet

    La censure sur Internet ne devrait pas exister car elle est contraire au droit fondamental pour tout citoyen d'informer et de s'informer. Les gouvernements qui encouragent la censure sur Internet avancent souvent l'argument fallacieux de lutte contre la pédophilie, or c'est seulement une coordination internationale de la lutte contre la pédophilie (responsabilité des gouvernements) qui permettra de supprimer le mal à la source, c'est-à-dire en fermant les sites hébergeant du contenu pédophile dans les pays où ils sont hébergés.

    La censure sur Internet peut se révéler de deux manières:

    • soit on vous coupe votre connexion Internet, par exemple sous prétexte que vous téléchargez des oeuvres protégées par le droit d'auteur. La loi Hadopi, passée en 2009, permet au gouvernement de procéder à ce type de censure, même si elle reste très controversée

    • soit les sites que vous visitez sont filtrés ou carrément bloqués, ce qui est déjà le cas en Chine et en Iran, et que l'article 4 de la loi LOPPSI permet désormais au gouvernement français d'effectuer depuis qu'elle a été votée cette année. Quand vous taperez l'adresse d'un site bloqué (qu'il soit pro-démocratique, anti-régime ou simplement d'information) vous tomberez sur une page avec un message vous informant que le site a été bloqué pour telle et telle raison, qui sont toutes pour votre bien ;-)

    Il n'existe malheureusement pas de solution contre la première censure (coupure de votre connexion Internet). Vous serez simplement interdit d'Internet pendant plusieurs mois.

    Contre la seconde il existe plusieurs possibilités, mais qui ont évidemment leurs inconvénients:

    Le réseau Tor
    Ce réseau, gratuit, qui utilise des logiciels libres, est constitué de plusieurs ordinateurs (appelés relais) qui permettent de "noyer" votre adresse IP avant que votre connexion n'atteigne le site que vous visitez.

    Il peut vous servir aussi à atteindre un site censuré en contournant la censure par le réseau Tor. Pour cela, soit vous installez le module complémentaire TorButton (seulement disponible pour Firefox), ou alors, et cette solution est recommandée, vous pouvez télécharger le Paquetage Tor (Tor Bundle), utilisable avec Windows, Mac ou GNU/Linux, qui contient déjà tout ce qu'il vous faut, y compris le navigateur (une version modifiée de Firefox), et que ne nécessite aucune installation. Génial non?

    Si vous mettez ce paquetage sur une clé USB, vous pourrez l'emporter avec vous et l'utilisez sur n'importe-quel ordinateur auquel vous aurez accès.

    Si la censure est très forte, comme c'est le cas en Iran, il est possible que même les relais Tor soient inaccessibles. Auquel cas il suffit de vous connecter aux "ponts" Tor, qui sont des relais cachés. Il suffit d'aller dans l'interface de configuration Vidalia, ensuite "Paramètres" -> et puis cocher "Mon FAI bloque la connexion à Tor", et là vous devrez entrer un ou plusieurs numéros de ponts Tor. Tout est expliqué en détail dans l'aide.

    L'inconvénient de Tor est sa latence (temps de réponse), ce qui est normal car vous vous connectez en passant par plusieurs relais, et parfois le débit limité lorsque le réseau est congestionné.

    Vous pouvez vous aussi participer au réseau de relais Tor en faisant fonctionner le votre. Pour cela démarrez simplement Tor sur votre PC, et si vous n'avez pas changé la configuration il fonctionnera aussi comme relais.

    Tor est légal dans tous les pays du monde (même si les relais sont parfois censurés dans certains pays).

    Les proxies
    Ce sont des serveurs auquel vous pouvez vous connecter et qui s'intercalent entre vous et le site que vous visitez. Si un proxy n'est pas censuré et s'il se trouve hors du périmètre de censure (par exemple dans un autre pays) vous pourrez l'utiliser pour atteindre un site bloqué.

    Par contre, contrairement à Tor qui est un logiciel libre et donc ayant peu de chance d'être surveillé, un proxy ne peut être plus honnête que son propriétaire, et comme vous ne connaissez jamais ce dernier... sachez que l'ensemble de votre traffic passera par le proxy, qui pourra donc lire l'ensemble du traffic non-chiffré. En plus, rien ne vous dit que le propriétaire du proxy ne vous dénoncera pas comme ayant atteint un site bloqué (donc quelque-part interdit) à travers son service.

    Evitez les proxies gratuits pour ces mêmes raisons, sauf si votre navigation n'implique pas d'enjeux (simple test de ce qu'est un proxy par exemple).

    Exemples de proxies: bb.s6n.org (gratuit), arethusa.su (payant), samair.ru/proxy (payant).

    Les Virtual Private Networks (VPN)/Réseaux Privés Virtuels
    Il fonctionnent un peu comme le réseau Tor sauf qu'ils ont moins de temps de latence. Mêmes inconvénients que les proxies: méfiez-vous des versions gratuites qui voient passer votre traffic et savent à quels sites vous vous connectez. Par contre vous pouvez généralement avoir confiance dans les VPN payants, qui offrent en plus des débits élevés par rapport à Tor. Si vous le pouvez, prenez un VPN basé sur OpenVPN, pour plus de sécurité.
    Exemples de VPN: bestfreevpn.com (gratuit), hotspotshield.com (gratuit), anti-hadopi.com (payant), vpnfacile.fr (payant).

    Autres lectures
    Si vous suivez les recommandations ci-dessus vous serez déjà pas mal protégés, mais pour aller plus loin vous pouvez consulter d'autres guides (en anglais) comme:
    - les guides d'Access,
    - le guide Surveillance Self-Defence de l'EFF (surtout applicable dans le contexte US, mais on y apprend quand-même des informations utiles),
    - Get Internet access when your government shuts it down (OpEdNews).

    Conclusion
    J'espère que ce guide vous aura été ausi bien clair qu'utile. Gardez à l'esprit que la sécurité est une course permanente et sans fin entre nouvelles méthodes d'attaques et nouvelles méthodes de protection. Pensez à mettre en place une sécurité proportionnelle à la valeur que verrait un pirate à vous attaquer.

    Si vous avez des commentaires (constructifs ;-) sur ce guide merci de les envoyer: contact@liberte-info.net

    Ce guide est publié sous la licence Creative Commons BY-NC-SA dont les détails peuvent être trouvés en bas de cette même page. Vous pouvez le reprendre, le modifier et l'améliorer à condition de mentionner l'auteur (Association Liberté-info) et de ne pas en faire une utilisation commerciale.

    – Mehdi

    Avez-vous apprécié ce guide? Nous sommes une association constitutée de bénévoles créant du contenu et mettant à jour les news, et nous avons besoin de plus de bénévoles pour promouvoir et défendre les libetés informatiques et les donneurs d'alerte. Aidez-nous à passer à la vitesse supérieure, rejoignez-nous!

    Vous pouvez aussi nous aider en effectuant un don par Paypal ou par bitcoin: 19YdQuudgg5q9E5vBCKiege4HRVZzHsPnL

    Creative Commons License
    This work by Association Liberté-info is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License

    Liberte-info.net Qui sommes-nous Nos campagnes Questions Nous aidez Contactez nous