Sécuriser son ordinateur

Les informations à connaître et les bonnes pratiques pour sécuriser son ordinateur.

Créer un espace de stockage sécurisé avec VeraCrypt

Modèle de menace :

La police saisit une clé USB, un disque dur ou une carte SD pendant une perquisition, ou dans un sac à la frontière, ou pendant une action, etc. La clé USB ou assimilé est confiée à des spécialistes qui en extraient les données. Ces données sont utilisées plus tard pour incriminer le propriétaire et/ou d’autres rebelles et/ou compromettre la branche XR. La clé USB peut être rendue au rebelle arrêté sans aucune indication que ce processus a eu lieu.

Ce post est un complément à celui sur la Sécurité de l’ordinateur : saisie par la Police 4 où il est conseillé de chiffrer le disque dur de son ordinateur s’il contient des données sensibles. Le modèle de menace est le même.

➡️ Il ne s’agit pas ici d’apprendre à chiffrer son disque dur système (celui où est installé votre système d’exploitation) mais le logiciel est le même. Je vous conseille d’apprendre d’abord comment fonctionne VeraCrypt, puis à chiffrer quelque chose de léger comme une clé USB.

➡️ Moins risqué pour votre ordinateur mais tout aussi amusant et utile, nous allons jouer ici avec une clé USB.

➡️ Rappel : d’une manière générale, ne centralisez nulle part d’informations sensibles (noms, adresses, numéros de téléphones, tout ce qui peut permettre de casser le pseudonymat d’un.e rebelle et de l’identifer). Si vous le faites, il est conseillé d’avoir dans votre groupe local quelques clés USB sécurisées, achetées en liquide, si vous stockez des fichiers contenant des informations sensibles. N’oubliez pas de formatez les clés lorsque les données ne sont plus utiles.

Bonne lecture,

🩵 & ⚡


Plan

💡 Première partie théorique. Comprendre ce que nous allons apprendre à faire

🛠️ Seconde partie pratique. Créer un espace de stockage sécurisé


 💡 Première partie : comprendre ce que nous allons apprendre à faire

Puisque de petits dessins sur Paint valent mieux que de longues prises de tête, en voici deux qui illustrent ce à quoi va nous servir le logiciel VeraCrypt.

Considérons ces trois espaces, de taille nécessairement décroissantes, qui représentent des volumes de stockage sur une clé USB.


image.png

VeraCrypt va nous permettre de créer dans notre clé USB ce qu’on appelle un conteneur, c’est-à-dire un volume de stockage sécurisé. C’est une fonction de base du logiciel. Après avoir créé votre « conteneur A », vous possédez sur votre clé USB un endroit protégé par un mot de passe que vous avez défini préalablement. Sur votre clé USB, le conteneur apparaît avec l’icône d’un simple fichier. C’est ce fichier qui sert de porte pour entrer dans le conteneur.

Une fonction plus avancée du logiciel permet de cacher un conteneur B dans le conteneur A. Le conteneur B est lui aussi protégé par un mot de passe qui lui est propre et, à la différence du conteneur A, il n’apparaît pas à l’écran. L’espace de stockage qu’il occupe est incorporé à celui du conteneur A, si bien qu’il n’apparaît pas individuellement dans la capacité de stockage (clic droit sur le disque, propriété). Il est invisible, ce qui lui donne un atout de poids : puisqu’il est impossible de prouver que vous cachez quelque chose, il est impossible d’exiger de vous que vous révéliez un mot de passe pour y accéder.

Voici, en image, comment fonctionne le cloisonnement entre les volumes de stockage.

image.png

Le logiciel VeraCrypt, après avoir servi à créer les conteneurs A et B, sert à y accéder. L’explorateur de fichiers ne les voit pas.

L’accès aux conteneurs fonctionne de la même manière que la salle sur demande d’Harry Potter : une seule porte pour plusieurs salles ; un seul fichier pour deux conteneurs. Cela signifie qu’il est impossible d’ouvrir en même temps les deux conteneurs : lorsque vous entrez un mot de passe, vous choisissez le conteneur qui se trouve derrière. Un fois le conteneur A ouvert, le conteneur B est inaccessible ; si le conteneur B est ouvert, le A est inaccessible. L’analogie s’arrête ici.

🛠️ Seconde partie : créer un espace de stockage sécurisé

Tout d’abord, bien sûr, il faut télécharger VeraCrypt 2 et l’installer sur votre ordinateur. Notez qu’une version dite « portable » est disponible : dans ce cas le logiciel sera installé sur une clé USB, ce qui vous permet de l’avoir avec vous sans promener votre ordinateur.

Suivez les instructions pour installer VeraCrypt et, si cela peut vous aider, installez-le en français.

➡️ Nous utilisons ici la version standard, installée sur ordinateur, en français

Plan du didacticiel

    Dans la partie 1️⃣ nous allons d’abord montrer étape par étape comment créer un volume de stockage simple (le conteneur A),

    puis nous verrons dans la partie 2️⃣ comment ouvrir ce conteneur pour l’utiliser.

    Dans la partie 3️⃣ nous suivrons la création d’un volume caché (le conteneur B).

1️⃣ Créer un volume VeraCrypt standard

Cliquer ici pour dérouler

On se munit avant tout d’une simple clé USB (ici « disque amovible (G:) »), comportant quelques fichiers que vous ne craignez pas de perdre. Dans le doute, faites-en une copie avant de commencer la manipulation. Vous pouvez aussi trouver sur internet des générateurs de fichiers aléatoires, très utiles quand on tatônne.

La capacité de la clé utilisée pour le tutoriel est de 1 Gb.

Le fichier texte « _Pédago » nous sert de balise, en marquant que nous sommes à la racine de la clé : c’est l’espace que l’explorateur de fichiers nous permet de voir. J’utiliserai ce système de fichier texte pour bien distinguer les différents volumes de stockage.

Pour les besoin du tutoriel, j’ai enregistré des fichiers aléatoires sur la clé. Celui qui est entouré en rouge « dlN1WUfgf1zc » est celui qui va nous servir de porte d’entrée dans nos conteneurs. On le renommera « VolumeStockageChiffré » par la suite.

image.png

La clé étant en place, j’ouvre VeraCrypt, en double cliquant sur l’icône comme tout logiciel. La boîte suivante apparaît.


image.png

La longue colonne de gauche vous montre tous les disques sur lesquels vous pourrez « monter » vos conteneurs : ce sont, pour ainsi dire, les endroits dans votre ordinateur où vous pourrez poser vos conteneurs pour les voir apparaître à l’écran.

Mais ce qui nous intéresse pour l’instant, c’est le bouton « Créer un volume ». Cliquons.

image.png

L’assistant de création s’ouvre, qui vous propose trois possibilités. Je vous laisse lire les petites lignes : ne cliquez pas au hasard !

Nous nous contentons de la première option : nous allons créer un conteneur (notre conteneur A) qui se trouvera dans un fichier (la porte d’entrée du conteneur).

Cliquons sur « Suivant ».

Il s’agit ensuite de déterminer quel type de volume nous souhaitons créer, c’est-à-dire choisir entre conteneur A et conteneur B (cf. plus haut, première partie théorique du didacticiel).

image.png

Le volume caché (un conteneur B) sera l’objet de la seconde partie pratique. Nous créons ici un volume standard (le conteneur A).

Sans surprise, il s’agit de choisir l’emplacement du fichier-conteneur A sur notre clé USB.

image.png

Et sans surprise je choisis mon fichier « dlN1WUfgf1zc », renommé pour l’occasion « VolumeStockageChiffré ». La pédagogie avant tout.

image.png

Je clique sur « Suivant » et une boîte me préviens que le fichier que je cible existe déjà.

image.png

Je confirme : ce fichier sera la porte d’entrée de mon conteneur chiffré.

⚠️ Attention : on ne vous le dit pas encore mais cela signifie que le contenu du fichier sera écrasé. Choisissez soigneusement votre fichier-conteneur (et ne l’appelez pas « VolumeStockageChiffré »).

Je passe les options de chiffrement : si vous ne comprenez pas ce que vous dit cette boîte de dialogue, souriez-lui par politesse et cliquez sur « Suivant ».


image.png

Vient ensuite un paramétrage essentiel : la taille du volume de stockage que vous allez créer. Vous ne pourrez pas la réajuster ensuite.
Considérez vos besoins de stockage : plus votre conteneur est volumineux, plus l’espace de stockage « normal » de votre clé USB sera faible. Demandez-vous si vous voulez protéger des fichiers textes (qui sont souvent légers) ou des vidéos (qui sont lourdes). L’assistant vous donne clairement l’espace disponible sur votre clé USB (dans mon cas : 675, 09 Mo).

image.png

Je choisis de créer un conteneur de 500 Méga Octets et je passe au paramétrage essentiel suivant : le mot de passe.

image.png

L’assistant ne vous encadrera pas aussi joliement les conseils sur le choix du mot de passe mais lisez-les attentivement quand même. Prenez le temps de réfléchir et d’aller voir notre Foire au Questions spéciale sécurité numérique. On vous propose une méthode pour vous créer un bon mot de passe.

Par sécurité, affichez le mot de passe, juste le temps de le relire, pour être sûr.e.

Et « Suivant ».

Les choses se précisent. Lisez les petites lignes et bougez frénétiquement votre souris.

image.png

Lorsque la barre de chargement est pleine, soufflez et cliquez sur « Formater ».

La boîte suivante apparaît : VeraCrypt vous signifie en majuscule que le fichier qui nous sert de porte pour entrer dans notre conteneur A sera SUPPRIMÉ. Mais comme on suit un tuto, on est sûr : « Oui ».

image.png

image.png

Bravo 🥳

L’assistant est content de nous, on est content, on clique sur « Ok », on quitte l’assistant d’un air entendu et on va voir l’explorateur de fichier pour savoir ce qu’il pense de tout ça.

Le voici.

image.png

Du point de vue de l’interface, rien n’a changé. On est toujours sous (G:), on reconnait la balise « _Pédago », le fichier « VolumeStockageChiffré » est toujours là.

Ce qui a changé, c’est sa taille. Il a grossit, puisqu’on a créé dans ce fichier un conteneur de 500 Mo.

Reste que le fichier paraît corrompu ou cassé quand on essaie de l’ouvrir de manière traditionnelle, en lui cliquant dessus. Il faut utiliser le logiciel VeraCrypt pour ouvrir votre conteneur.

Voyons comment.

2️⃣ Ouvrir un conteneur sous VeraCrypt

Cliquer ici pour dérouler

Retournons à la fenêtre basique de VeraCrypt.

En termes techniques, nous allons monter un volume sur un lecteur. Comme nous l’avons vu plus haut, la colonne alphabétique à gauche vous propose tous les lecteurs disponibles sur votre ordinateur pour accueillir le conteneur que vous voulez ouvrir. Si vous regardez attentivement, vous voyez sur l’image que, par exemple, les lecteurs C: et D: n’apparaîssent pas. Ce sont des lecteurs que mon ordinateur utilisent pour d’autres disques : je ne peux pas y poser mon conteneur. Vous observerez le même phénomène chez vous.

Je décide de choisir le lecteur A:.

image.png

Dans la partie notée « Volume » (deuxième ellipse rouge), je sélectionne le fichier dont je sais qu’il s’agit de la porte vers mon conteneur A. On reconnaît le nom subtil du fichier : « VolumeStockageChiffré », toujours sur ma clé USB qui occupe le lecteur G: (qui, vous l’avez vu, n’est pas dans la liste des lecteurs disponibles. Tout fait sens).

La cible étant acquise, je clique sur le bouton pour « Monter » mon conteneur sur le lecteur A:.

Le logiciel demande bien sûr le mot de passe.

image.png

Lorsque le chargement du conteneur est effectué, la fenêtre VeraCrypt montre que le conteneur a bien été monté sur le lecteur A:. Le volume de stockage est de 499 Mo.

image.png

Remarquez la mention : « Type : Normal ». Elle signifie qu’il s’agit d’un conteneur standard, chiffré mais pas caché. Si je reprends notre typologie maison, cela montre qu’il s’agit d’un conteneur A et non d’un conteneur B. Un conteneur B serait noté « Type : Caché ».

Pour ouvrir votre conteneur et y enregistré vos fichiers secret-défense, faites un clic droit sur la ligne, puis « Ouvrir ».

image.png

Une nouvelle fenêtre apparaît, qui vous montre l’intérieur du conteneur, tel qu’ici :

Comme demandé, le conteneur est bien monté sur le lecteur A:.

Pour la démonstration, j’ai placé un fichier texte, comme sous la racine de la clé USB, qui nous sert de balise pour reconnaître l’espace de stockage de mon conteneur A. Dans la dernière partie du didacticiel, je créerai une balise similaire pour marquer mon volume caché, le conteneur B.

Après avoir enregistré les fichiers souhaités et fermé la fenêtre, je peux laisser mon conteneur monté sur le lecteur A:. Dans ce cas, il reste ouvert et je peux y accéder sans avoir à redonner le mot de passe. Pratique tant que je travaille sur l’ordinateur mais c’est une faille de sécurité absurde si je ne suis pas vissé devant l’écran.

Pour refermer le conteneur, je dois le démonter. Un bouton est prévu à cet effet, joie : les développeurs sont des gens prévoyants.

image.png

Cliquez et attendez que VeraCrypt fasse le travail. Lorsque le volume est démonté, son nom disparait de la fenêtre et il faudra de nouveau le monter sur un lecteur pour y accéder de nouveau.

On prend une pause et on respire

Si vous avez suivi toutes les étapes jusqu’ici, vous êtes sans doute parvenu à créer un conteneur chiffré sur votre clé USB et à y placer des documents confidentiels.

Cela étant, ne perdons pas de vue que vos documents, pour protégés qu’ils soient, ne sont pas cachés. Si, d’une manière ou d’une autre, un opposant peut vous forcer à donner votre mot de passe, vos documents sont compromis. Cela peut arriver en garde à vue, suite à une perquisition etc. La pression que vous pouvez subir ne doit pas être minimisée ni négligée.

Pour s’en protéger, on cache un conteneur B, invisible, dans un coin sombre du conteneur A.

Allez, go.


3️⃣ Créer un volume VeraCrypt caché

Cliquer ici pour dérouler

Dans le modèle de menace qui nous occupe ici, lorsque la Police branche ma clé USB sur un ordinateur, elle voit ceci :

Le contenu à la racine de la clé :

image.png

Et, bien sûr, les propriétés de la clé :

image.png

Au-delà de l’évidence qu’une liste aussi bizarre de fichiers peut être suspecte (je passe sur le nom de mon fichier le plus coupable…), c’est l’espace utilisé par vos fichier sur la clé qui peut trahir la présence d’un conteneur.

Imaginez que mon fichier « VolumeStockageChiffré » s’appelle « Recette tarte aux fraises.txt » : rien de plus suspect qu’un fichier texte aussi anodin qui pèse près de 500 Mo. D’autant que lorsque l’agent de police clique dessus, le fichier est inutilisable.

L’opposant (celui qui veut récupérer les infos sensibles) essaye alors de nous faire craquer. C’est là qu’un conteneur caché est utile. Il vous permet de donner le mot de passe du conteneur A, qui ne doit contenir que des fichiers pseudo-sensibles. Comme on l’a vu dans la partie théorique du didacticiel, une fois révélé le conteneur A, le conteneur B est inaccessible. Et, puisque l’opposant ne peut pas prouver qu’il existe, il ne peut pas vous forcer à en révéler le mot de passe.

Invisible, me direz-vous ? Oui. Vous ne le saviez pas mais les 791 Mo utilisés, qui apparaissent en bleu sur l’image précédente, sont en fait occupés non seulement par notre conteneur A mais aussi par un conteneur B (et oui, je vais plus vite que le tuto). Invisible donc, parce que la porte d’entrée dans le conteneur B est le même fichier que pour le conteneur A : sa présence n’est pas trahit par l’interface.

Reprenons. Créons donc ce conteneur B, à l’intérieur du conteneur A.

image.png

image.png

Les deux étapes précédentes sont les mêmes que pour un conteneur A (volume standard). C’est à la troisième que l’on bifurque.

image.png

Puisque j’ai déjà créé mon conteneur A, je choisis « Volume VeraCrypt caché », puis « Mode direct ».

Si vous n’avez pas déjà créé de conteneur sur votre périphérique de stockage, utilisez le « Mode normal » et suivez les étapes précédentes du didacticiel.

image.png

Je cible le fichier-conteneur qui sert de porte d’entrée au conteneur A, puisque c’est à l’intérieur de celui-ci que je vais construire le B.

image.png

image.png

« Suivant ».

image.png

Même remarque que plus haut : dans le doute, ne touchez à aucun de ces paramètres de chiffrement. « Suivant ».

Vous allez pouvoir choisir la taille du volume de stockage de votre conteneur B. Vous remarquez que, sur ma clé de 1 Go, seuls près de 500 Mo sont disponibles. Si vous avez suivis la partie 1️⃣  sur la création du conteneur A, vous avez que c’est la taille que j’ai alloué à ce conteneur A. Le B, qui se trouve dans le A, est nécessairement plus petit que lui.

image.png

« Suivant ».

Choisissez un mot de passe puissant : inutile de prendre des risques.

image.png

Créez le volume caché, selon la même méthode que le conteneur A.

image.png

image.png

J’ai dorénavant sur ma clé USB deux conteneurs, tels que décrit dans la partie théorique, tout en haut.

Nous allons voir que c’est bien le même fichier « VolumeStockageChiffré » qui sert à y entrer. J’utilise la même manipulation pour ouvrir le conteneur B que celle utilisée pour ouvrir le conteneur A.

Je cible le fichier, pour le monter sur le lecteur A:.

Remarquez que le mot de passe que je rentre ici est plus long que celui que j’ai créé pour le conteneur A. Il s’agit bien du mot de passe qui me donne accès au conteneur B.

On le voit ici :

image.png

Tout paraît identique, sauf que la taille du volume est bien de 299 Mo (pour les 300 demandés) et ce conteneur porte la mention « Type : Caché ». Le conteneur A portait la mention « Type : Normal ».

Je fait un clic droit sur la ligne pour ouvrir le conteneur.

Le même fichier m’a bien amené vers le conteneur B, comme en témoigne le fichier balise que j’y ai posé pour les besoins de la démonstration. C’est le mot de passe entré lors du « montage » du volume sur un lecteur qui détermine quel conteneur je vais ouvrir. Si vous avez créé un volume caché sur votre clé USB, le volume standard (conteneur A) est fait pour être révélé : c’est un leurre qui vous permet de nier l’existence d’un volume caché (conteneur B).

Ça va ?

Post transféré de la base

Sécurité de l’ordinateur 1 : Saisie par la police

Modèle de menace : La police saisit un ordinateur pendant une perquisition ou dans un sac à la frontière ou pendant une action, etc. L'ordinateur est passé à des spécialistes qui extraient les données de l'appareil. Ces données sont utilisées plus tard pour incriminer le propriétaire et/ou d'autres rebelles et/ou compromettre la branche. L'ordinateur peut être rendu au rebelle arrêté sans aucune indication que ce processus a eu lieu.

Tout comme avec les téléphones, il faut nous préparer à la possibilité que quelqu'un accède avec notre ordinateur à son contenu, sans même avoir besoin de connaître nos détails d'identification. Pour ce faire, nous employons une technique appelée Disk Encryption (chiffrement du disque).

:warning: Il est moins efficace de chiffrer le disque dur de votre ordinateur si les forces de l'ordre ont accès au cloud de stockage que vous utilisez pour les sauvegardes. DropBox, Google Drive et One Drive sont toutes des compagnies qui ont l'obligation légale de se soumettre à des mandats de perquisition de manière transparente ou autrement. Envisagez plutôt de chiffrer un disque dur externe pour sauvegarder vos données. S'il contient des informations importantes/sensibles, investissez dans un disque externe, chiffrez-le et laissez-le chez quelqu'un en qui vous avez confiance, de préférence sans relation avec XR, et ne le dites à personne. Lorsque vous rendez visite à cette personne, prenez votre ordinateur et sauvegardez vos données sur ce disque externe.

Chiffrer le contenu de son ordinateur

Les ordinateurs tournent habituellement sur des systèmes comme Windows, OS X ou GNU/Linux (comme Ubuntu), c'est pour cela que nous allons couvrir ces plateformes ici.

A. Windows

Si votre appareil sur les versions Entreprise ou Intégrale de Windows Vista, alors vous pouvez activer Bitlocker, sinon vous pouvez installer et activer Veracrypt.

:closed_lock_with_key: Bitlocker

[details="Cliquez pour dérouler"]

:arrow_forward: : Vous n'utilisez pas encore Bitlocker.

[details="Cliquez pour dérouler"]

[/details]

:arrow_forward: Vous utilisez déjà Bitlocker mais vous stockez votre mot-de-passe de manière non-sécurisée.

[details="Cliquez pour dérouler"]

:warning: Si vous achetez un nouvel ordinateur sous Windows 10 et que vous utilisez un compte Microsoft, votre appareil sera crypté par Windows et la clé de récupération sera enregistrée automatiquement sur OneDrive. Ce n'est pas bien, parce que Microsoft peut être forcé de fournir discrètement ou ouvertement cette clé pour décrypter votre ordi. De plus, votre compte Microsoft pourrait avoir été compromis par un·e attaquant·e, et pour cette raison c'est préférable de refuser d'enregistrer la clé dans OneDrive et de plutôt l'enregistrer dans KeePass, ou le plus récent et plus attirant KeePassXC , sur un autre appareil ou un autre appareil crypté de stockage USB. Vous pourriez par exemple inventer une phrase de passe complètement nouvelle faite de 5 mots, nombres et caractères spéciaux ou plus, et vous en souvenir.

Changer les mots de passe Bitlocker

Faites un clic droit sur le disque crypté de BitLocker dans Windows Explorer et sélectionnez Changer le mot de passe BitLocker (à vérifier) depuis le menu contextuel. image|546x325

Note: Si l'icône de votre disque crypté a un cadenas doré, alors vous ne pouvez pas voir l'option "Changer le mot de passe Bitlocker" dans le menu contextuel, vous devez d'abord déverrouiller le disque Bitlocker. image|564x431 [/details]

[/details]

:closed_lock_with_key: [A FAIRE] Veracrypt

[details="Cliquez pour dérouler"]

https://www.veracrypt.fr/en/Downloads.html [/details]

B. Mac OS X

Tout comme Windows peut être chiffré avec Bitlocker, Filevault est la solution par défaut de chiffement de disque pour les systèmes OS X. A noter que FileVault ne chiffre pas entièrement votre système (en incluant la partition de démarrage), mais uniquement la partition utilisateur (en terme Mac, le "Macintosh HD").

:closed_lock_with_key: Activer et configurer FileVault

[details="Cliquez pour dérouler"]

FileVault 2 est dsiponible sur OS X Lion et suivants. Quand FileVault est activé, votre MAC vous demande de vous connecter à chaque démarrage avec une mot de passe.

  1. Choisir le menu Apple > Préférences systèmes, Ensuite cliquer sur "Securité et Confidentialité".
  2. Cliquer sur l'onglet FileVault.
  3. Cliquez Locked|48x60, Et lorsqu'on vous le demande, renseignez votre compte administrateur et mot de passe.
  4. Finissez en activant FileVault.

s&cf|690x480

Si d'autre utilisateurs ont un compte sur votre MAC, vous devriez voir un message indiquant que chaque utilisateur doit taper son mot de passe pour pouvoir, eux aussi, débloquer le disque. Pour chaque utilisateur, cliquer sur le boutton "Activer l'utilisateur" et entrez le mot de passe utilisateur. Les utilisateurs que vous ajouterez après avoir activé Filevault seront eux automatiquement activés. s&cfu|690x479

Choisissez comment vous voulez être capable de déchifrer votre disque et réinitialiser votre mot de passe au cas ou vous oubliez votre mot de passe :

:warning: Si vous utilisez OS X Yosemite ou suivant, vous pouvez choisir d'utiliser votre compte iCloud pour déchifrre votre disque et ré-initialiser votre mot de passe. Ne faites pas cela. Si vous utilisez OS X Mavericks, vous pouvez choisir de sauvegarder vos clefs de récupération chez Apple en renseignant des questions et leurs réponses (trois questions/réponses) Ne faites pas cela .

s&cfi|690x479

Créer une clef de récupération locale. Sauvegardez les lettres et les chiffres de la clef dans un endroit sûr. Ailleurs que sur votre disque dur chiffré.

[/details]

C. GNU/Linux (Debian, Ubuntu, Arch Linux, etc)

Alors que les systèmes Linux sont en général bien plus sécurisés que les systèmes Windows, et qu'il y a bien moins de chances qu'ils compromettent la vie privée des utilisateurs avec des solutions de stockage externe (comme sous Windows 10 et OS X), il est difficile de chiffrer complètement un portable sous GNU/Linux après l'installation. Vous pouvez cependant créer un nouveau compte Unix sur le système, vous connecter et chiffrer le répertoire personnel de ce nouvel utilisateur à partir d'un autre compte, et enfin y copier les données que vous voulez mettre en sécurité.

:closed_lock_with_key: Chiffrement du système complet

[details="Cliquez pour dérouler"]

La meilleure solution, bien que peu commode, est simplement de copier toutes les données importantes sur par exemple une clé USB de grande capacité ou un disque dur externe (idéalement chiffré) et d'effectuer une réinstallation sur le portable. Il faut alors choisir l'option de chiffrement complet du système. Voici par exemple comment faire sur Ubuntu (en anglais) :

Cliquer sur "Installer maintenant" après avoir sélectionné l'option de chiffrement sur Ubuntu, conduit à une page de configuration, qui permet à l'utilisateur d'entrer la clé de chiffrement pour l'installation :

Entrez la clé de chiffrement. L'efficacité de cette clé sera indiquée à côté de cette fenêtre, donc utilisez cet outil comme un "baromètre" et essayez d'avoir une clé qualifiée de "Mot de passe fort". Une fois choisi, l'entrer à nouveau pour la confirmer puis, surtout, éviter de l'oublier !

Cochez de plus la case "Écraser l'espace disque vide" (c'est optionnel). Sélectionnez "Installer maintenant" lorsque vous avez terminé.

Sélectionnez le fuseau horaire et créez un utilisateur avec un mot de passe fort.

Lors de la création du disque dur chiffré sous Ubuntu, sélectionnez "demander mon mot de passe pour me connecter" et "chiffrer mon répertoire utilisateur" au moment de la création de l'utilisateur. Cela ajoutera une couche de sécurité supplémentaire pour les données. [/details]

:closed_lock_with_key: Chiffrement fort d'un périphérique de stockage externe sous GNU/Linux

[details="Cliquez pour dérouler"] Ce qui suit est un exemple sur une distribution basée sur Debian, comme Ubuntu.

1. Installer cryptsetup

apt-get update apt-get install cryptsetup

2. Connecter le périphérique que vous voulez chiffrer Connecter le périphérique, attendre quelques secondes, et entrer la commande dmesg dans un terminal afin de trouver son emplacement dans le système de fichiers. Si vous n'avez pas activé le montage (mount ...) automatique précédemment, connectez le périphérique que vous voulez chiffrer puis démontez-le (unmount ...)/"éjecter". En général le périphérique sera monté sur /dev/sdb et ses partitions sur /dev/sb1, /dev/sdb2, etc. Vérifier avec fdisk -l et comparer au résultat précédent.

3. Chiffrer le périphérique :warning: Ne pas copier-coller la commande ci-dessous tant que vous n'êtes pas certain⋅e de l'emplacement du périphérique. En supposant que le périphérique est monté sur /dev/sdb, nous allons le chiffrer avec un chiffrement fort AES-XTS et une clé de longueur 512 octets (au lieu de 256, qui est l'option standard et déjà satisfaisante) :

cryptsetup luksFormat -c aes-xts-plain64 --key-size 512 --hash sha512 --use-urandom /dev/sdb

Vous devrez fournir le mot de passe que vous aurez choisi.

4. Libérer le périphérique Nous devons maintenant le libérer/déchiffrer avant de pouvoir faire quoi que ce soit d'autre. Nous devons lui assigner une "étiquette", qui apparaîtra dans le "mapper" du système de fichiers utilisé pour le chiffrement. Ici, nous allons utiliser l'étiquette "encrypted" ; on peut choisir toute autre étiquette.

cryptsetup luksOpen /dev/sdb encrypted

Vous devrez fournir votre mot de passe. Vérifiez que vous avez maintenant un fichier /dev/mapper/encrypted dans votre système de fichiers.

5. Créer un système de fichiers sur le périphérique :warning: À faire une seule fois ! Nous créons maintenant un système de fichiers fiable ext4 sur le périphérique non chiffré, accessible via le "mapper" :

mkfs.ext4 /dev/mapper/encrypted

6. "Monter" le périphérique dans votre système de fichiers Créer un répertoire enc dans votre dossier personnel qui servira de point de montage :

mkdir enc

"Monter" le fichier /dev/mapper/encryted à cet endroit :

mount /dev/mapper/encrypted enc

Vous pouvez maintenant copier les données sur votre périphérique.

7. Fermeture du périphérique chiffré Vous devrez le faire à chaque fois que vous avez copié des données sur votre périphérique. D'abord, "démontez"-le :

umount enc

Puis fermez-le :

cryptsetup luksClose encrypted

[/details]

D. Demande d'accès des forces de l'ordre

:warning: Ayez toujours un mot de passe puissant pour la connexion (login), car si votre mot de passe est découvert, votre contenu est accessible même si votre disque est chiffré.

:information_source: Si vous le pouvez et que vous savez que votre ordinateur risque d'être saisi : éteignez-le avant le contact avec les forces de l'ordre ou les enquêteurs. Eteignez-le toujours avant de passer une frontière par exemple.

Les forces de l'ordre peuvent vous demander de fournir votre mot de passe. Ne leur dites rien de plus que nécessaire. En cas de procès, vous aurez le temps de vous préparer avec des personnes compétentes.

Cet article est toujours en cours de modification.

Références

https://base.organise.earth/t/laptop-security-1-seizure-by-police-and-investigators/600

Post transféré de la base

Tails - Un système d'exploitation pour échapper à la surveillance

Tails

Bonjour tout le monde,

Tails est un outil informatique (ordinateur et clé USB) utile aux activistes, aux journalistes, aux personnes désirant ou ayant besoin d’échapper à la surveillance numérique.

:information_source: « Tails est un système d’exploitation portable qui protège contre la surveillance et la censure. » (site internet de Tails)

Des rebelles du groupe local de Bordeaux ont réalisé un travail important concernant la sécurité numérique que je vous invite à consulter. Il peut être utile à titre individuel autant que pour un groupe local souhaitant se former. Il se trouve dans l’espace de stockage RDV2 7, dont les identifiant et mot de passe sont disponibles ici 6.

La page 21 du fichier « Sécurité militante » 5 traite en particulier de Tails.

En plus de cela, vous pouvez librement consulter le site web de Tails, en français également : Tails - Home 3.

Si besoin, vous pouvez contacter le groupe de support numérique ou le groupe de Sensibilisation et Formation.


Post transféré de la base

Utiliser BigBlueButton avec Tor

La navigation sur le Web via Tor, couplée à d'autres mesures de sécurité, permet de respecter la vie privée de l'utilisateur⋅rice. Toutefois, le navigateur Tor désactive les technologies telles que WebRTC, utilisées par exemple par des applications de visio-conférence comme BigBlueButton (BBB). Il est toutefois possible d'accéder à BBB via Tor, mais en utilisant son navigateur habituel. Le tuto qui suit montre comment faire avec Firefox.

L'idée est d'utiliser Tor comme proxy. Lorsque vous naviguerez sur le Web, toutes vos requêtes transiteront par Tor, mais vous pourrez tout de même accéder à une session BBB avec Firefox. Pour cela :

⚠️ L'utilisation de Tor en proxy (donc en dehors du navigateur Tor) est fortement déconseillée en général, car elle peut dans certains cas révéler l'identité de l'utilisateur, en particulier sous Windows (voir https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxyLeaks, merci à @blop). Il faut donc restreindre cet usage de Tor à quelques cas très particuliers.

Post transféré de la base