La sécurité numérique et vous - Pascal Lafourcade

Pascal Lafourcade

Titre : La sécurité numérique et vous ?
Intervenant : Pascal Lafourcade - Maître de conférences
Lieu : Clermont'ech - APIHour #17 - Clermont-Ferrand
Date : Novembre 2015
Durée : 15 min 20
Visualiser la vidéo
Diaporama support de la présentation
Licence de la transcription : Verbatim

Transcription

Bonsoir à tous. Je vais vous parler de sécurité et la sécurité et vous, plus particulièrement.

Je suis très content d’être ici ce soir et, parlant de sécurité, en fait vous êtes déjà imprégnés de la sécurité. La sécurité est déjà autour de vous. Vous avez tous une carte vitale, puisque vous êtes tous majeurs a priori. Vous avez sûrement tous une carte bleue. Je peux présumer que vous avez tous un téléphone vu que vous avez utilisé la super application qu’il y a sur la gauche. Et peut-être que vous regardez aussi des chaînes payantes et, dans tous ces domaines-là, vous êtes obligés d’utiliser la sécurité. Il y a la cryptographie qui est cachée derrière chacune de ces applications.

La sécurité est déjà là et ces objets font partie de votre quotidien et ces objets, vous n’avez pas eu de difficultés à les utiliser. Il y a d’autres domaines où utiliser et faire de la sécurité, c’est plus compliqué. Là, vous l’avez accepté parce que vous étiez passif. Il y a des domaines où c’est plus important et ça demande d’être actif. Et même quand c’est important, ça prend du temps à prendre les bonnes pratiques pour la sécurité. Par exemple porter un casque à moto, attacher sa ceinture de sécurité ; il a fallu des années au gouvernement pour que vous mettiez ces bonnes pratiques en œuvre dans votre vie. La même chose pour le casque en vélo ou pour l’utilisation du préservatif. Ça prend du temps à prendre les bonnes habitudes et de tout le temps se protéger et avoir une sécurité optimale. Même quand c’est important, parce que dans chacune de ces applications, c’est votre vie qui est en jeu, donc c’est beaucoup plus important. Et pourtant, il y a encore des gens qui ne les pratiquent pas.

Donc ce que je vais vous proposer ce soir c’est que vous essayiez de devenir acteurs de votre sécurité numérique. Et devenir acteur de cette sécurité au numérique ce n’est pas automatique.

Pour ça on va parler de deux choses. Premièrement on va parler des mots de passe et deuxièmement on va parler de vos e-mails et on va voir comment on peut augmenter la sécurité des deux.

En octobre 2014, Glenn Greenwald, ce personnage-là que vous avez peut-être déjà vu a fait un talk à TEDx. TEDx, c’est talk every day, donc c’est une chaîne où il y a plein d’exposés qui sont en ligne gratuitement et qui a fait un exposé sur l’importance de la vie privée. Et pendant cet exposé-là il a dit : « La vie privée c’est important », et il a donné un argument qui, pour moi, est l’argument clef pour expliquer aux gens que vous ne pouvez pas dire que vous n’avez rien à cacher. Vous avez tous quelque chose à cacher. Et donc je vais faire la même chose que ce qu’il a proposé. Si vous n’avez rien à cacher, vous m’envoyez un mail, vous me donnez l’ensemble de vos comptes e-mails avec tous les passwords de tous vos comptes e-mails, professionnels, personnels, tout ce que vous avez vous me l’envoyez et je publierai à discrétion, les informations qui me semblent utiles, sur Internet. De ce jour-là il n’a jamais reçu aucun e-mail, d’aucune personne, lui donnant accès à toutes les informations de sa vie privée.

Donc on a donc tous quelque chose à cacher, que ça doit pour le travail, que ça soit pour vos relations amoureuses, vos relations amicales, ou votre vie associative.

Donc je partage son avis et je pense qu’on a tous quelque chose à cacher et c’est mieux qu’on puisse tous se protéger vis-à-vis de ça.

Les mots de passe. Ici un écran de login/password, quelque chose dont vous avez tous l’habitude. Et pour moi, si on me demande d’attaquer quelqu’un, c’est la première chose que je vais faire. C’est la porte d’entrée la plus facile. Attaquer un login, un mot de passe, c’est quelque chose de très très facile. Et vous devez savoir, avoir conscience de quel niveau de sécurité vous voulez. Est-ce que vous voulez une porte blindée ou une porte japonaise pour l’entrée à votre vie privée ? Le login, le password c’est votre entrée chez vous. Les gens ont accès à toute votre vie via ce login/password. Donc à vous de choisir quel niveau de sécurité vous voulez.

J’ai pris les 25 passwords les plus utilisés dans le monde. Ils sont très faciles à retenir, c’est un de leurs gros avantages. Voilà. Ça change tous les ans le classement des top 25 passwords. Donc ça c’est celui de 2014. Avec ces 25 passwords, vous avez accès à 70 % des comptes informatiques sur la Terre. Donc ce n’est pas très compliqué d’avoir accès. Partant de là je me suis posé la question mais qu’est-ce qu’il faudrait faire pour que les gens arrêtent d’avoir ces mots de passe aussi simples mais aient des bonnes pratiques ?

La première chose c’est que la taille c’est important. OK ! Ça c’est un petit tableau qui vous dit, un petit graphique, si vous utilisez que 26 caractères, c’est la courbe ici : un mot de passe de 6 [minuscules], ça met quelques secondes à être cassé. Un mot de passe de 10, ça met plusieurs jours. Ici c’est avec 26 caractères et on voit que déjà un mot de passe de six caractères [minuscules, majuscules et chiffres] ça met un jour à être cassé et c’est pour un ordinateur standard. Bien entendu, vous pouvez imaginer que des gens utilisent des ordinateurs bien plus puissants.

Donc il faut faire attention à la taille, à l’espace sur lequel vous choisissez vos mots de passe.

Et il y a plein d’autres petites règles. J’ai essayé de les lister avec Vincent qui est déjà venu parler à Clermont’ech et on est tombés d’accord sur ces sept règles.

  • Un mot de passe, ça ne se prête pas. Vous ne donnez pas à votre voisin le mot de passe.
  • Un mot de passe, ça ne se laisse pas traîner à la vue de tous. Vous me mettez pas un post-it sous le clavier ou vous ne l’écrivez pas sur votre agenda.
  • Un mot de passe ça ne s’utilise qu’une seule fois. Vous n’avez pas le même mot de passe pour tous vos sites web. Vous n’avez pas le même mot de passe pour tous vos comptes e-mail.
  • Si vous avez le moindre doute sur le fait que votre mot de passe a été cassé, il faut que vous en changiez.
  • Règle numéro 5 : le mot de passe, ça se périme, donc il faut en changer régulièrement.
  • Règle numéro 6 : il n’est jamais assez sophistiqué, donc plus vous avez d’originalité dans le mot de passe, plus ça sera difficile pour le casser.
  • Et dernière règle, ce qu’on a vu, la taille compte.

Donc comment se souvenir de ces sept règles ? En fait, ce sont des règles hygiène qui sont exactement les mêmes que pour l’utilisation des préservatifs. Vous pensez à l’usage du préservatif, aux bonnes règles d’hygiène du préservatif, ce sont les mêmes pour l’hygiène de vos mots de passe. J’ai fait ça avec mes étudiants en cours. Sept sur sept, ils ont tous eu les points à l’examen. Donc ça marche. Si vous voulez savoir comment faire un bon de mot de passe, souvenez-vous de comment utiliser un préservatif, c’est la même idée.

Donc une fois que vous avez utilisé les bons mots de passe et qu’ils sont sécurisés, on va passer à vos e-mails

Ça c’est un e-mail. Je ne sais pas si vous en avez conscience, mais envoyer un e-mail c’est la même chose qu’envoyer une carte postale. C’est pareil qu’une carte postale, le facteur peut lire ce que vous écrivez. Eh bien les e-mails c’est exactement la même chose. Quand vous envoyez un e-mail, toute personne qui écoute le trafic réseau peut écouter. Aucune sécurité. Ce n’est pas un protocole par défaut.

Donc est-ce qu’on peut faire mieux ? Oui. Grâce à Clermont’ech on a eu la chance d’avoir Citizenfour1 qui nous a été projeté. Un excellent documentaire qui raconte l’histoire de Snowden et voici le générique. Donc ici c’est un message chiffré. le message chiffré avec PGP, c’est le générique du film.

Dans le film, ce qui m’a frappé, c’est la première chose qu’on voit tout au début du film. C’est que Edward Snowden refuse de parler avec le journaliste qui l’a contacté, donc celui qui a fait le talk à TEDx dont j’ai parlé précédemment, et il lui dit : « Je ne communique avec vous, je n’échange avec vous, qu’à une seule condition : que nous ayons un moyen de communiquer sécurisé. »

Le journaliste n’a aucune idée de ce que ça veut dire communiquer de manière sécurisée. Et en cinq minutes, il lui fait générer une clef et il lui explique comment envoyer des mails chiffrés. Et tant qu’il n’a pas reçu un mail chiffré du journaliste et que le journaliste n’a pas répondu, il ne lui donne aucune information. Le journaliste n’est pas un expert en sécurité, c’est un journaliste comme un autre et, en fait, il a appris ça en cinq minutes, donc ce n’est vraiment pas très compliqué.

Donc comment ça fonctionne ? Ça utilise un peu de sécurité et un peu de cryptographie.

Première primitive à connaître c’est le chiffrement. Si vous voulez envoyer une information à quelqu’un vous devez le chiffrer donc le mettre dans un coffre. Pour ça, il y a des primitives de cryptographie qui existent qui sont des primitives mathématiques et, ce qui est intéressant ici, c’est qu’on va pouvoir utiliser une primitive à clef publique Ça veut dire que vous allez pouvoir distribuer cette clef publique à tous vos amis, donc à tous les gens de la salle ; vous pourrez accéder à ma clef publique, dans un magasin de clefs publiques, elle est aussi sur mon site web, vous la téléchargez, et grâce à cette clef publique, vous pourrez m’envoyer des messages chiffrés. Et je serai le seul, puisque je suis le seul à posséder la clef secrète, à pouvoir les ouvrir.

Donc c’est cette primitive que Snowden a fait installer au journaliste.

Une autre primitive qui est importante c’est de pouvoir signer, être sûr que c’est moi qui ai bien écrit un message. Donc je vais utiliser ma clef secrète pour signer les messages que j’envoie, pour que la personne qui les lit soit bien sûre que c’est moi qui les ai envoyés. Parce que je suis sûr que vous savez tous qu’envoyer un mail, ce n’est pas parce que vous recevez un mail que c’est la personne qui l’a envoyé. Le protocole mail vous permet de changer le champ from ; donc comme vous voulez, vous pouvez écrire à la place n’importe qui dans la salle. C’est absolument très facile à faire.

Donc vous pouvez signer et chiffrer.

Comment faire ça ? Donc Phil Zimmermann ici, en 91, a proposé une RFC qui propose de chiffrer des e-mails. Donc c’est ce qu’on appelle PGP, Pretty Good Privacy. Suite à ça de nombreux autres logiciels ont été proposés. Et j’adore la devise de Phil Zimmermann, à cette époque-là il a dit que si la vie privée était mise hors-là-loi, seuls les hors-la-loi auraient une vie privée. Donc je suis bien d’accord que si seules les personnes qui ont des choses à cacher envoient des e-mails chiffrés, c’est beaucoup plus facile pour les agences gouvernementales de déchiffrer et de se focaliser sur ces trafics-là. Donc il faudrait que tout le monde utilise des mails chiffrés pour que tout le monde garantisse la sécurité des autres.

Donc je vous encourage à chiffrer vos e-mails. Ce n’est pas si difficile que ça :

  • vous téléchargez un outil GPG, PGP, ce que vous voulez, payant, gratuit, il en existe des dizaines ;
  • vous générez une paire de clefs secrète/publique, au minimum de cette taille [4096 bits] pour la clef secrète. Voilà ;
  • vous importez vos clefs dans vos logiciels ;
  • vous téléchargez les clefs de vos amis ;
  • et vous pouvez communiquer de manière sécurisée.

C’est aussi facile que d’installer un logiciel, que d’installer un jeu sur votre ordinateur, sur votre smartphone. Donc c’est vraiment très facile à l’heure actuelle de faire ce genre de chose.

Donc pour résumer :

  • choisissez des mots de passe sûrs, parce que quand vous allez installer vos clefs GPG on va vous demander une pass’phrase. Donc vous pouvez vous lâcher, c’est aussi long que vous voulez, aussi compliqué mieux c’est, puisque c’est ça qui va vous permettre de déchiffrer vos e-mails, donc il va falloir que ça soit sûr ;
  • ayez tous une clef PGP ;
  • signez et chiffrez vos e-mails ;
  • et ça permettra à chacun d’avoir la liberté de communiquer de manière sécurisée.

J’espère qu’après cet exposé vous allez tous avoir des clefs, vous allez tous les utiliser. N’hésitez pas à m’écrire et à écrire à William et d’autres personnes qui ont des clefs PGP pour tester vos configurations et devenez acteurs de votre sécurité numérique.

Je vous remercie de votre attention. Il y a un livre que j’ai écrit récemment [Architectures PKI et communications sécurisées] qui, entre autres, parle de ces choses-là, que vous pouvez acheter dans toutes les bonnes librairies. Merci beaucoup.

[Applaudissements]

Organisateur : Il nous reste trois minutes pour des questions, on commence par des questions dans la salle.

Public : Une question sur l’échange de mails sécurisés. Moi je discute beaucoup avec Tatie Michelle et Tatie Michelle, quand je lui envoie un mail sécurisé déjà est-ce qu’elle peut facilement l’ouvrir ? Et ensuite, quand elle va me répondre, est-ce que ce sera toujours sécurisé ou est-ce qu’on va perdre en sécurité ? Parce jamais elle n’aura une clef PGP.

Pascal Lafourcade : Les logiciels modernes permettent de les configurer très facilement. Sous Mac, il y a le petit cadenas et si je veux écrire de manière chiffrée, j’ai juste à cliquer sur le cadenas pour envoyer un mail chiffré ; et quand je le reçois juste on me dit : « Ce mail est chiffré », il faut juste que je tape ma pass’phrase. Donc si c’est toi qui installes l’ordinateur chez Tatie Michelle, ça va être facile et après, elle va y arriver. Mais je pense que c’est déjà bien que tous les gens dans la salle, qui ont un minimum d’habilité avec les technologies, puissent d’abord le faire, tous le faire, pour que ça puisse se propager à Tatie Michelle. Commençons par nous avant de…

Public : Merci.

Organisateur : Juste une petite note. La meilleure question recevra cet ouvrage, dédicacé de Pascal. Donc je vous invite à poser des questions.

[Rires]

Public : À l’époque où, par exemple, il y a Windows 10 intégré avec un keylogger2, il y a une écoute permanente. Sur Inet Box One, par exemple, il y a une écoute permanente de ce qui se passe pour pouvoir réagir et donc tout est envoyé à des serveurs. Tout ce qui est tapé sur un ordinateur sous Windows 10 est envoyé en direct à Microsoft. Une clef PGP ça ne sert à rien, quand ce qu’on tape sur l’ordinateur est envoyé directement aux serveurs. Donc comment on fait pour se protéger ?

Pascal Lafourcade : Je ne suis pas sûr que le problème vienne de PGP ou du fait d’utiliser le mail chiffré dans ce cas-là, mais du système d’exploitation utilisé.

Public : Il ne faut pas te sentir obligé. C’est juste la question.

Pascal Lafourcade : On peut imaginer que bientôt on n’aura plus de système d’exploitation, grosso modo. Juste un navigateur suffira pour gérer toutes ses applications. Tout sera dans le cloud. Donc il n’y aura plus ce problème-là.

Organisateur : Il vous reste une minute.

Public : C’est juste un complément de la première question. Parce que je suis assez d’accord que tant que ça ne deviendra pas un usage of limit, le chiffrement des e-mails sera très compliqué. On le voit avec, par exemple, Protonmail3, qui est un mail chiffré suisse, qui en bêta actuellement, qui a tenté de faire version simple et qui est vraiment bien foutue et qui se tape depuis quatre/cinq jours, je ne sais pas où ils en sont, une attaque par déni de service et du coup, qui ne peut plus assurer ce service à ses clients. Pour moi, je pense que ça ne viendra pas, enfin ça ne sera pas beaucoup utilisé tant que ça ne sera pas plus simple. Même si on nous dit que ça reste simple, il y a plein d’articles qui expliquent comment faire, même pour quelqu’un qui s’y connaît un petit peu, c’est quand même un peu galère, et on n'est même pas sûr que la personne au final pourra lire son mail. Est-ce qu’il n’y aurait pas quelque chose à faire là-dessus ?

Pascal Lafourcade : Pour que les choses deviennent simples, il faut que les grands groupes s’y intéressent, il faut qu’il y ait de plus en plus d’utilisateurs. Donc si on devient tous utilisateurs dans la salle, je pense que ça ne peut qu’améliorer les choses.

Organisateur : Je suis désolé. On va s’arrêter là. Il y a plein de questions qui étaient super intéressantes aussi sur Wisembly wall, mais on est obligé de passer au talk suivant. On pourra en discuter pendant l’Happy hour. Merci.

Public : Merci Pascal.