# Sécurité militante # Evaluer et limiter la répression Comment penser les menaces et les limiter. Introduction de concepts et d'exemples pour réduire les menaces. # Modéliser la menace de la répression Quand on milite, estimer les menaces est essentiel pour limiter la répression. Modéliser la menace en se posant les bonnes questions permet ensuite de prendre les bonnes décisions. Modéliser la menace consiste à prendre un temps collectif pour se poser les questions : #### Quoi ? Que souhaitez-vous protéger ? Quelles informations critiques ? Exemples: Le lieu de l'action, la date de l'action, les membres de la coordination, votre adresse personnelle, votre travail, les membres de votre famille, les autres militant.es #### De qui ? Qui peut-vous nuire ? Qui peut mettre en péril l’action ? Quels attaquants potentiels ? Exemples: Le gouvernement, les médias, les forces de l'ordre, une entreprise privée, vous-même, les autres membres de la coordination, vos ami.es/partenaires, le public #### Comment peuvent-ils vous menacer ? Quels moyens de surveillance ? quelles techniques utilisées pour attaquer ? Exemples: en vous arrétant sur le lieu de l'action, en déformant votre message, en révélant des informations confidentielles, juridiquement, en surveillant les réseaux sociaux, les caméras de surveillance, le bornage des téléphones, en venant aux réunions du groupe local #### Conséquences ? A quelles conséquences s’attendre si les menaces se réalisent ? Exemples: Echec de l'action, bad buzz, poursuite juridique, arrestation, conflit en interne du mouvement #### Que fait-on ? Quel compromis mettre en place étant donné ces potentiels attaquants ? Quelles pratiques à mettre en place ou ne pas mettre en place ? **=> voir partie suivante** C’est important de se poser ces questions pour adapter le dispositif de manière proportionnée. Il faut éviter : - un dispositif trop léger par rapport aux risques d'une action sensible. - un dispositif inutilement trop lourd pour une action qui n'en a pas besoin. #### Stratégie de la désobéissance civile non violente (DCNV) et de la sécurité : - Il est important d’identifier ce que l’on veut protéger et pourquoi. - Il n’est pas nécessaire de tout protéger. - La stratégie de la DCNV repose sur le mouvement de masse. Il est important d’adapter les dispositifs mis en place au public, à l’information que l’on souhaite protéger. # Comment réduire la menace ? ### Les 6 concepts de sécurisation Ces 6 concepts, une fois la menace modélisée, permettent de la réduire. Les exemples concrets citent certaines des techniques utilisées par des membres d'Extinction Rebellion pour par exemple sécuriser les coordinations d'action. ### 1. Minimisation de la menace **En une phrase : Réduire la surface d’attaque.** - Réduire la surface d’attaque, c’est-à-dire diminuer le nombre d’accès (nombre d'outils, le nombre de personnes au courant) qui pourraient être des points d’entrée compromettant la sécurité. - Collecter QUE ce qui est nécessaire, en effet ce qui n'est pas collecté ne peut pas être récupéré. - Image pour une maison: Ne pas donner les clefs à tout le monde et avoir qu’une seule porte d’entrée. (vs. avoir une maison avec plein de baies vitrées) ##### Exemples concrets : - Rappel “Merci de supprimer ce message après consultation” dans un mail ou message - Utiliser les messages éphémères dans les messageries sécurisées, afin qu'ils soient automatiquement supprimés après un certain temps. - Dans un coordination d'action, communiquer avec l'extérieur avec un seul compte (Mattermost, Protonmail) commun à l'ensemble de la coordination. - Dans un brief d'action, partager seulement les informations utiles aux participant.es. Astuce: Si on souhaite cacher des élements (exemple cible) lire le brief, messages envoyés à quelqu'un.e ne connaissant pas l'action et lui demander de deviner ces informations sensibles - Ne pas partager d'information sur une action aux personnes qui n'en ont pas besoin (famille, ami.e, conjoint.e) - Dans un débrief d'action, rappeler de ne pas partager les pseudos des auteurs d'acte juridiquement répréhensible. - Juste avant et après une action, détruire les documents, données qui ne sont plus nécessaires. - Juste avant et après une action, changer les mots de passe et une seule personne a les nouveaux - Juste avant et après une action, stocker le matériel sensible (ordinateurs, téléphones) en dehors des lieux de résidence des membres de la coordination pour réduire l'impact d'une perquisition. - Formulaire ne collectant que les informations nécessaires, par exemple le prénom / pseudo mais pas la Civilité / Prénom / Nom de famille. - Restreindre les accès aux documents/échanges de la coordination aux membres actifs.ves - Utiliser les messages éphémères dans les messageries sécurisées, afin qu'ils soient automatiquement supprimés après un certain temps. Sur Signal pensez à mettre ce paramètre par défaut ! - Stocker les documents sensibles uniquement sur le cryptpad de l'équipe. - Supprimer et copier à l'identique les documents du cryptpad pour supprimer l'historique et les noms des personnes ayant fait les modifications - Quand on contacte des groupes de supports (GST), faire en sorte d'inclure le moins de gens possibles. - Se passer du numérique pour les sujets plus sensibles. ### 2. Compartimentation (sectorisation) de la menace **En une phrase : Répartir le secret.** - Ne pas donner toutes les informations à tout le monde afin de diminuer les impacts d’une compromission. - Cloisonner la détention d'une information cloisonne le risque de sa compromission → Ex : Avoir un mot de passe différent par compte. La compromission d'un mdp ne compromet pas les autres comptes. - Tracer des frontières et définir les différents périmètres de chaque groupe (cercles de confiance, groupe de travail). → établir un schéma organisationnel → si grand groupe avec beaucoup d’infos : DANGER - Concept du "droit à connaître": si je n'ai pas besoin d'une information sensible, je ne devrais pas la connaître, ni chercher à la connaître. - Image pour une maison: une clé différente pour chaque chambre. ##### Exemples concrets : - Toute les membres de la coordination d'une action n'ont pas forcément besoin de connaître la cible, le mode d'action ou d'avoir accès à la liste des participantes. - La coordination qui a une vue d'ensemble, les référent.e.s de groupe qui ont des informations nécessaires pour gérer leur groupe mais parcellaires, les simples participantes qui ont seulement les informations nécessaires à leur rôle. - Mettre les militant.e.s les plus sûr.e.s sur les rôles clés. - Utiliser des mots de passe différent. ### 3. Confiance **En une phrase : S'assurer de fiabilité d’un outil, entité ou personne. La confiance est contextuelle.** - S’assurer de la fiabilité des outils et des militant·e·s. - Pour les outils ça peut se traduire par la réputation de l’outil ou le fait qu’il soit open-source par exemple. - Pour un·e militant·e, souvent c’est le passé et les relations avec qu'il faut prendre en compte. - Fiabilité des outils, des machines, hébergeurs/entités qu’on utilise. Est-ce que j’accorde la confiance à tel ou telle camarade ? - La confiance est contextuelle, pour un moment précis ou un usage précis. - Transitivité de la confiance, chaîne de confiance => Si A fait confiance à B, que B fait confiance à C alors B peut faire confiance à C. - Confiassurance, confiance qui vient du passé. Les échos du passé font que j’ai une certaine confiance. - La confiance n’exclue pas le contrôle. Boucle de rétroaction pour contrôler que tout se passe bien. - Image pour une maison: Laisser rentrer une amie mais pas un.e inconnu.e ##### Exemples concrets : - Recrutement de participant.e.s par le système de cooptation. - Prendre en compte l'historique d'un.e militant.e pour juger son niveau de confiance: est-ce que cette personne est active dans le mouvement ? A-t-elle participé à des actions dans le passé ? etc... - Se poser la question, ai-je assez confiance en mon ami.e pour parler des mes actions de DNCV ? - Utiliser des logiciels libres réputés dans lesquels on a confiance. ### 4. Confidentialité **En une phrase : S’assurer que l’information n’est accessible qu’aux personnes que l’on souhaite.** - Ne donner certaines informations seulement à des personnes souhaitées. - Obfuscation (cacher des infos dans d’autres infos) - Chiffrement, cryptographie - Image pour une maison: avoir une haie qui cache des regards indiscrets des voisin.es, passant.es. ##### Exemples concrets : - Noms de code pour parler des éléments principaux (lieux) de l’action. - Filtres de confidentialité sur ordinateur/téléphone pour se protéger des regards indiscrets - Utilisation des protocoles numériques sécurisées: HTTPS, VPN, Tor. - Porter une masque, combinaison pour cacher son identité. - Avoir une validation par l'admin pour l'ajout à une boucle Signal par le lien d'invitation. - Avoir ses téléphones et ordinateurs cyptées + mot de passe long et fort + éteints lors moments sensibles - Pseudo temporaire (exemple le jour de l'action) pour réduire l'impact d'une arrestation avec téléphone pas propre. - Utiliser une adresse email protonmail pour communiquer avec rebelles car entre les adresses emails protonmail les emails sont cryptés. - Faire le brief des rôles risqués à de manière discrète. - Ne pas donner les rôles de chacun.e à voix haute à l'ensemble du groupe. ### 5. Intégrité **En une phrase : S’assurer que l’information reçue correspond à l’information envoyée. Vérifier la véracité de l’information.** - Vérifier la véracité des informations, que celles-ci ne soient pas altérées. - Faire une double / triple vérification. - Avoir des sources multiples. - S’assurer que l’information reçue soit bien l’information envoyée. Information interceptée ? Information dégradée lors de la transmission ? - Image pour une maison: vérifier qu’une lettre de sa banque vient bien de sa banque en l'appelant. ##### Exemples concrets : - Est-ce que quelqu’un.e a modifié le CR depuis la réunion ? - Vérifier qu’un repérage via maps soit conforme à la réalité en allant sur place. ### 6. Authentification **En une phrase : Garantir l’origine des informations dans nos échanges.** - S’assurer que la personne est bien celle qu’elle prétend être. - Garantir l’origine des informations (identité, etc.) dans nos échanges / interactions. - Mot de passe (qqch que je sais). - 2FA (qqch que je sais + qqch que j’ai) - 3FA (qqch que je sais + qqch que j’ai + qqch que je suis). - Image pour une maison: être sûr de la personne qu’on a en face. ##### Exemples concrets : - Lors d'un brief d'action physique, vérifier les "identités" des personnes entrant dans la zone de brief grâce à une personne les connaissant. - Lors d'un brief d'action digital, vérifier les "identités" des personnes entrant dans la zone de brief en demandant d'allumer leurs caméras au début. - Authentification à deux facteurs sur les sites sensibles (email) - Lors d'un premier échange par Signal, demander confirmation par Mattermost que la personne est bien celle qu'on croit. # Quelle est l'amplitude actuelle de la répression ? Compilation d'exemples de répression dans les milieux militants. Analyse des moyens de surveillance à disposition des forces de l'ordre. # Etat des lieux de la surveillance des milieux militants et des enquêtes liées ⚠️ Quelques précautions avant de lire le contenu suivant: - Les sujets suivant ne sont pas forcément comparables à répression faites sur un mouvement tel qu'Extinction Rebellion. Se reporter au chapitre [Evaluer et limiter la répression](https://wiki.extinctionrebellion.fr/books/securite-militante/chapter/evaluer-et-limiter-la-repression) pour les mettre dans le context. - Toutes les méthodes d'action ne sont pas non plus forcément en accord avec les principes d'XR dont la non-violence. - Certaines sources sont plus fiables que d'autres. Cependant, les sujets suivants apportant un certain éclairage sur la surveillance et les moyens d'enquête, ils semblent pertinents d'être partagés. ### Enquête policière pour retrouver les activistes des Soulèvements de la Terre ayant désarmé.es une méga-bassine L'enquête préliminaire sur des personnes soupçonnées d'avoir désarmées une mégabassine semble avoir été très poussée avec entre autre: - les données administratives des suspects épluchées: leurs relevés d’imposition, de CAF ou d’assurance maladie disséqués - L'analyse de leurs données téléphoniques: leurs factures téléphoniques, les fadettes (bornages des téléphones) - Enquête sur l'entourage des suspects Sources: [Libération: Mégabassines, comment la justice traque les militants écolos](https://www.liberation.fr/societe/megabassines-comment-la-justice-traque-les-militants-ecolos-20230104_SY2LALXEU5H23IQWTAJNSLOMTQ/) ### Enquête policière contre "Youth for Climate" En 2020, un collectif baptisé L'Arche, au sein duquel on retrouve des membres de Youth for Climate, proteste contre la gentrification du quartier Sainte-Marthe et organisent plusieurs actions dont l'occupation un local d'un restaurant vide depuis des années. Pour les poursuivre en justice, la police a alors créé un dossier de plus de 1000 pages contenant entre autre: - l'analyse du contenu posté sur les réseaux sociaux dont Instagram. Les visages étaient floutés mais l'identification de personnes a tout de même été possible grâce à l'observation des vêtements. - l'analyse du bornage des téléphones à proximité de la zone afin d'identifier les personnes présentes lors de l'action. - l'identification du créateur (par son IP) d'une adresse e-mail Protonmail suite à la saisie de la justice Suisse. Sources: [paris-luttes.info: Récit policier de Saint Marthe, ](https://paris-luttes.info/recit-policier-de-sainte-marthe-15258)[paris-luttes.info : Communiqué sur l'affaire de la place Saint Marthe, ](https://paris-luttes.info/communique-sur-l-affaire-de-la-14578)[secours-rouge.org](https://secoursrouge.org/france-suisse-securite-it-protonmail-a-communique-a-la-police-ladresse-ip-de-militant%C2%B7es-anti-gentrification/), [francetvinfo.fr](https://www.francetvinfo.fr/internet/securite-sur-internet/donnees-personnelles-on-vous-explique-l-affaire-protonmail-qui-scandalise-de-nombreux-militants-pour-le-climat_4764059.html) ### Surveillance massive des militant.e.s antinucléaire à Bure L'article de Reporterre, [Reporterre: La justice a massivement surveillé les militants antinucléaires de Bure](https://reporterre.net/La-justice-a-massivement-surveille-les-militants-antinucleaires-de-Bure?var_ajax_redir=1), démontre une surveillance massive des militant.es antinucléaire à Bure. Quelques éléments pour se rendre compte de l'ampleur de la surveillance: - Des dizaines de personnes placées sur écoute - un millier de discussions retranscrites - plus de 85.000 conversations et messages interceptés - plus de 16 ans de temps cumulé de surveillance téléphonique - 118 personnes fichées dans l'organigramme versé dans le dossier d'instruction ### Mise sur écoute d'une bibliothèque Anarchiste à Paris La mise sur écoute de la bibliothèque Anarchiste *Libertad (*19 rue Burnouf – 75019 Paris) a été documenté dans [cet article de blog](https://sansnom.noblogs.org/archives/11360). On y apprend qu'un système d'écoute a été découvert dans une imprimante en Mars 2022.[![image-1670794832371.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2022-12/scaled-1680-/7s5Q6ftdjFEqp9S6-image-1670794832371.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2022-12/7s5Q6ftdjFEqp9S6-image-1670794832371.png) ### Surveillance sur les réseaux sociaux des critiques de LVMH Selon [une enquête de Politico](https://www.politico.eu/article/operation-lvmh-how-cybersurveillance-firm-monitored-politicians-union-leaders-activists/), les réseaux sociaux des personnes critiquant le PDG du groupe LVMH, Bernard Arnault, dont l'organisation Altermondialiste Attac et des militant.e.s ont été surveillés par une entreprise privée. ### Enquête sur des actions anarchistes Six personnes ont été mises en examen pour divers motifs allant de la détention de fumigènes et de clous crève-pneus en manifestation en passant par la détention de produits pouvant rentrer dans la confection d’explosifs. Le dossier d'instruction de 2008 (à garder en tête les techniques d'enquête ont évoluées) de plus de 6000 pages révèle que la police a: - fait des enquêtes sur les profils des accusés grâce à: des enquêtes de personnalité, des expertises psychologiques et psychiatriques, des interrogatoires des parents - fait des prélèvement d'ADN dans une maison utilisée comme lieu de rassemblement par des militant.e.s anarchistes. - analysé les ordinateurs, disques durs, clés USB et téléphones saisis. - prélevé l'ADN en garde à vue sur les vêtements et gobelets des suspects - rédigé des procès verbaux sur les discours tenus entre les suspects dans leurs cellules durant la garde à vue. - mise sur écoutes plusieurs lignes téléphoniques. - analysé une carte SIM saisie permettant d'obtenir les informations suivantes: - le nom et le pays de l’opérateur ayant délivré la carte - le numéro identifiant de l’abonnement du mobile (IMSI) - le répertoire téléphonique - les messages SMS, effacés ou non, avec leur statut : « reçu et lu », « reçu et à lire », « à envoyer », « envoyé » et les « accusés réceptions » - analysé la messagerie vocal d'un numéro de téléphone et ce même si le message a été supprimé. - analysé les composants chimiques du fumigène - pris de très nombreuses photos lors de rassemblement anarchistes Source: [Infokiosques: Analyse d'un dossier d'instruction contre des anarchistes](https://infokiosques.net/IMG/pdf/analyse_d_un_dossier_d_instruction_antiterroriste.pdf) ### Traçage GPS du véhicule du porte parole de "Bassines - Non Merci" - traçage GPS en temps réel par un petit boîtier noir dissimulé sous l'essieu de son véhicule - surveillance assumée à regret par la préfecture [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-03/scaled-1680-/Wrwddu1XhLhijBLZ-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-03/Wrwddu1XhLhijBLZ-image.png) Source: [Article Dijoncter.info par Les Soulèvements de la Terre](https://dijoncter.info/watergate-du-marais-poitevin-episode-2-4303) ### Vidéosurveillance de lieux autogérés Vidéo surveillance sur plusieurs mois des accès véhicule et piéton et parking de 2 lieux autogérés à Dijon. - boîtiers (voir ci-dessous) attachés au sommet de poteaux électriques - caméra à globe orientable - alimentation raccordée au poteau électrique => autonomie illimitée [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-03/scaled-1680-/yMFIM7s0zYDbeJwo-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-03/yMFIM7s0zYDbeJwo-image.png) Source: [Article Dijoncter.info + photos des champs des caméras](https://dijoncter.info/surveillance-policiere-des-cameras-decouvertes-aux-tanneries-et-aux-lentilleres-4299) # Quels sont les moyens techniques de surveillance numérique à disposition des Forces de l'Ordre ? (Wiki en chantier 🚧) ### Vers où tendent les moyens techniques ? [Les autorités françaises étaient en 2020 dans les dernières étapes de négociations pour l'achat du système de surveillance Pegasus avant d'y renoncer.](https://www.lemonde.fr/pixels/article/2021/11/26/malgre-les-approches-de-nso-group-la-france-a-choisi-a-la-fin-de-2020-de-ne-pas-acheter-le-logiciel-espion-pegasus_6103783_4408996.html) Bien que l'achat ne se soit pas fait, cela montre la volonté des autorités françaises d'obtenir les moyens techniques de surveillance les plus poussés. #### Qu'est-ce que le logiciel espion Pegasus ? Le superviseur européen de la protection des données a publié [un rapport très complet sur Pegasus](https://edps.europa.eu/system/files/2022-02/22-02-15_edps_preliminary_remarks_on_modern_spyware_en_0.pdf). Pour résumer, Pegasus est\* le logiciel espion connu le plus performant et cela pour les raisons suivantes: - il donne un accès total au téléphone espionné. Il a accès à aux caméras, aux micros, aux fichiers, aux applications, etc. - il peut infecter un appareil avec une attaque "Zéro Click" c'est-à-dire sans aucune action de la victime. Donc quelque soit votre vigilance, si vous êtes visé.es vous ne pouvez pas empêcher l'infection de votre téléphone. - il est indétectable par l'utilisateur et seule une analyse technique très poussée a permit d'identifier les téléphones infectés. Ce logiciel espion a notamment été utilisé en Europe contre des citoyen.ne.s européen.nes incluant des journalistes, des politiques, des avocat.es. \*: Suite aux enquêtes, les failles de sécurités utilisés par Pegasus ont été réparées par les entreprises logiciels (Google et Apple). Si vous avez sur votre smartphone la dernière version du système d'exploitation, il est possible que vous soyez protégé.e. Cependant, les fabricants de téléphone (autres que Apple et Google) proposent rarement la dernière version du système d'exploitation. Votre téléphone est donc probablement toujours vulnérable. De plus, d'autres failles non détectées pourraient être utilisées. Il semble donc pertinent de considérer que le logiciel espion Pegasus est encore efficace et utilisé. #### Quelles sont les pratiques et outils de hacking des FDO ? Selon un [rapport de 2017 demandé par le parlement européen](https://www.europarl.europa.eu/thinktank/en/document/IPOL_STU(2017)583137), les enregisteurs de frappe ou Key Logger, c'est-à-dire un système qui enregistre l'utilisation d'un ordinateur ou téléphone [cf: wikipedia](https://fr.wikipedia.org/wiki/Enregistreur_de_frappe), sont les outils les plus utilisés par les Forces De l'Ordre. En 2017, ce rapport concluant que les outils de "hacking" n'étaient pas énormément utilisés. Selon un [autre rapport du Superviseur européen de la protection des données](https://www.europarl.europa.eu/RegData/etudes/etudes/join/2013/493032/IPOL-LIBE_ET(2013)493032_EN.pdf) de 2013, la France a un système de surveillance de masse en collectant directement les données sur les infrastructures. Cependant en 2013, les moyens étaient bien plus faibles que les agences de surveillance américaines et Britanniques. La France était alors considéré comme le 5ième pays collectant le plus de [metadonnées](https://fr.wikipedia.org/wiki/M%C3%A9tadonn%C3%A9e). #### Cadre légal du hacking en France En France, les techniques de piratage informatique sont autorisées par les articles 706-102-1 et 706-102-2 du Code de procédure pénale. Elles permettent entre autre aux forces de l'ordre d'accéder à distance aux ordinateurs et autres appareils. En vertu de l'article 706-102-1, les opérations ne peuvent être autorisées que pour une période maximale d'un mois. Le renouvellement est possible une fois dans les mêmes conditions. En vertu de l'article 706-102-2, les opérations sont autorisées pour une durée plus longue, dans la limite d'une période initiale maximale de quatre mois, renouvelable dans les mêmes conditions dans la limite d'une période totale de quatre mois. La gouvernance diffère selon ces dispositions puisque l'article 706-102-1 concerne les enquêtes menées par le procureur de la République, alors que l'article 706-102-2 concerne les enquêtes menées par le juge d'instruction. Le hacking peut être utilisé par les fdo pour les crimes avec des peines d'au moins 2 ans de prison. Pour rappel, de nombreuses méthodes d'action de DCNV (par exemple [l'entrave à la circulation](https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000006841235)) peuvent théoriquement conduire à des peines de prison de 2 ans ou plus. **Le "hacking" est donc légal pour prévenir des actions de DCNV**. A noter, l'article 163 garantit un inventaire judiciaire des preuves électroniques pouvant être exploitées par des experts techniques. Il précise que les experts qui effectuent des opérations d'exploitation doivent rédiger un rapport qui contient une description des opérations et leurs conclusions. L'inventaire et les rapports sont fournis à la juridiction et enregistrés dans le procès-verbal. Si procès, il peut donc être intéressant de vérifier la présence d'un tel procès-verbal. # Sécuriser son téléphone Les informations à connaître et les bonnes pratiques à suivre pour sécuriser son téléphone. # Sécurité du téléphone: 1 - Comment chiffrer son téléphone ? Contenu transféré depuis la base: [Sécurité du téléphone: 1 - Saisie par la police](https://base.extinctionrebellion.fr/t/securite-du-telephone-1-saisie-par-la-police/48382) Le téléphone est un point critique de sécurité, car il contient de nombreuses informations et il est toujours saisi lors de perquisitions ou d'arrestations. Il est donc important de vous demander si votre téléphone est vraiment nécessaire avant d'aller sur une action. D'une manière générale, plutôt que chacun·e ait des documents sensibles sur son téléphone, il vaut mieux désigner quelques personnes garantes de ces documents, qui sécurisent bien leurs téléphones et qui sont conscientes qu'elles pourraient le perdre au cours de l'action. > **Modèle de menace :** lors d'une arrestation ou d'une perquisition, un téléphone qui contient des informations sur des actions futures ou passées et/ou sur l'identité de rebelles est saisi par la police. ***Note :** en dessous de ce post vous trouverez un message d'Avocatvert donnant quelques indications précises dans le cas d'une demande de déchiffrement du téléphone par les forces de police.* # Chiffrer le contenu d'un téléphone ℹ️ Dans cette première étape, nous allons voir comment chiffrer les données de son téléphone. Le chiffrement (ou cryptage) est une technique qui vise à rendre impossible la compréhension d'un fichier par quelqu'un qui ne possède pas la clef de chiffrement (mot de passe). Les téléphones qui ne peuvent ni prendre de photos ni se connecter à internet ne peuvent pas être chiffrés. Ils stockent les contacts et des fichiers textes, rien de plus. 👉️ Attention : rien sur ces téléphones ne peut être considéré comme sécurisé. > ⚠️ Si vous pensez qu'il y ai le moindre risque que votre téléphone ne tombe dans les mains de la police, assurez-vous de l'éteindre. C'est seulement lorsqu'un téléphone est chiffré **et** éteint qu'il est le plus sécurisé. La plupart des téléphones fonctionnent avec deux systèmes d'exploitation (OS) : Apple (iOS) et Android. Ce sont les deux cas qui sont traités ici. ## Téléphones Apple Les téléphones Apple les plus récents intègrent déjà un chiffrement. Mais ça n'empêche pas d'accéder à vos données. Le chiffrement doit être protégé par un mot de passe, auquel "l'attaquant·e" n'a pas accès, c'est seulement dans ce cas que les données sont sécurisées. *Pour connaitre quelle version fonctionne sur votre téléphone : [Identification de la version du logiciel de votre iPhone, iPad ou iPod - Assistance Apple (FR)](https://support.apple.com/fr-fr/HT201685*) ### Pour les appareils qui tournent sous iOS 4-iOS 7 : 1. Ouvrir le menu 'Général' dans l'application 'Réglages' et choisir 'Code' (ou iTouch et code) 2. Suivre les instructions pour créer un mot de passe. ### Pour les appareils qui tournent sous iOS 8-iOS 11: 1. Ouvrir l'application 'Réglages'. 2. Appuyer sur 'Touch ID et code'. 3. Suivre les instructions pour créer un mot de passe. Si votre appareil est sous iOS 8, désactiver l'option "mot de passe simple" pour créer un code de plus de quatre caractères. Avec la mise à jour sur iOS 9, Apple a mis par défaut un mot de passe à six caractères. ℹ️ Si vous choisissez un mot de passe avec seulement des chiffres, vous aurez un clavier numérique quand vous devrez déverrouiller votre téléphone, ce qui peut être plus simple que de taper une série de lettres et de symboles sur un tout petit clavier. Cependant, même si le logiciel Apple est conçu pour ralentir les outils de 'craquement' de mot de passe, nous vous suggérons de choisir un mot de passe de six caractères ou plus, qui contient des chiffres et des lettres. C'est tout simplement plus compliqué à 'craquer'. Pour modifier votre mot de passe, allez dans Réglages > [votre nom] > Mot de passe et sécurité et sélectionnez 'Modifier le mot de passe'. Vous devrez aussi paramétrer l'option 'Exiger le code' sur 'immédiatement', afin que votre appareil ne soit pas déverrouillé lorsque vous ne l'utilisez pas. Une fois que vous avez paramétré votre mot de passe, faites défiler vers le bas la page des paramètres du mot de passe. Vous devriez voir un message disant 'La protection de données est activée'. Cela signifie que le chiffrement de votre appareil est maintenant relié à votre mot de passe, et que le mot de passe est nécessaire pour accéder à la majeure partie des données de votre téléphone. [![](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2022-11/scaled-1680-/W0aNguQ7vWvyjHjt-image-1668334670951.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2022-11/W0aNguQ7vWvyjHjt-image-1668334670951.png) ### Un point sur les sauvegardes Apple Les propriétaires d'appareils Apple effectuent généralement des sauvegardes sur iCloud ou iTunes. ⚠️ Si vous effectuez des sauvegardes sur l'iCloud, vous devez être conscient·e que toutes ces données peuvent être accessibles à la police d'après la loi. Et quand bien même Apple vous assure que vos données sont cryptées, ils ont les clefs de chiffrement et sont obligés de les donner en cas d'enquête pénale. La police peut donc avoir accès aux données sauvegardées sur l'iCloud. Pour cette raison, nous vous recommandons de ne faire aucune sauvegarde sur ces clouds. Si vous sauvegardez votre appareil Apple sur votre ordinateur en utilisant iTunes, il est important de savoir que, par défaut, le système de sauvegarde de iTunes ne chiffre pas les données. Vous devez donc choisir l'option 'Chiffrer la sauvegarde' afin que toutes les données soient bien stockées de façon chiffrée sur l'ordinateur. Assurez-vous de bien retenir le mot de passe et de [sécuriser votre disque dur entier](https://base.extinctionrebellion.fr/t/securite-de-lordinateur-1-saisie-par-la-police/52523). # Téléphones Android Aujourd'hui, par défaut, la plupart des appareils sont cryptés, en particulier les appareils qui fonctionnent sous les dernières versions d'Android. Si jamais ce n'était pas le cas sur votre appareil, il est possible et simple de l'activer. *Pour connaitre quelle version d'android fonctionne sur votre téléphone : https://www.astuces-aide-informatique.info/4826/identifier-version-android* ## Android 5.0 ou plus Pour les téléphones et tablettes sous Android 5.0 Lollipop ou plus récent, vous pouvez aller directement dans l'onglet 'Sécurité'. Cela dépend un peu des appareils pour y accéder, mais généralement on y arrive via Paramètres > Personnel > Sécurité. [![](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2022-11/scaled-1680-/UbEBYDPvaLvdnAf2-image-1668334706079.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2022-11/UbEBYDPvaLvdnAf2-image-1668334706079.png) Vous trouverez ici une option pour chiffrer votre téléphone. Vous devrez brancher celui-ci sur secteur pour être sûr·e que le processus puisse se faire sans encombre. Si vous ne l'avez jamais fait, il vous sera demandé de choisir un code PIN ou mot de passe dont vous aurez besoin pour déverrouiller votre téléphone. ## Android 4.4 ou moins Si vous avez un téléphone avec Android 4.4 KitKat ou moins, vous devrez configurer un mot de passe ou PIN avant de commencer le processus de cryptage. Allez dans Paramètres > Sécurité > Verrouillage de l'écran. Vous pouvez choisir entre un schéma, des chiffres (PIN) ou un mélange de chiffres et lettres. Ce sera votre mot de passe après le chiffrement alors assurez-vous de le retenir. Une fois que c'est fait, vous pouvez revenir au menu Sécurité et cocher 'Chiffrer le téléphone', ou 'Chiffrer la tablette'. Vous devrez brancher votre téléphone sur secteur et lire les messages d'avertissement, et sûrement confirmer votre mot de passe une dernière fois avant que commence le processus de cryptage. Le cryptage du téléphone peut durer une heure ou plus, en fonction de la puissance de votre appareil et la quantité de données stockées. Une fois le processus terminé vous pouvez déverrouiller votre appareil et commencer à utiliser votre appareil fraîchement chiffré. ℹ️ De retour dans le menu sécurité, vous pourrez aussi chiffrer votre carte microSD. C'est recommandé pour que toutes vos données soient sécurisées. Veuillez noter que dans ce cas, votre carte microSD ne pourra pas être utilisée sur un autre appareil (ordinateur, appareil photo, ...). ℹ️ Il peut être assez difficile de se souvenir d'un mot de passe permettant un niveau de chiffrement élevé, c'est une raison pour laquelle les mots de passe choisis sont souvent moins sécurisés, plus courts. Sur tous les appareils Android, il y a une option schéma qui est excellente car des gestes complexes sont souvent plus faciles à retenir qu'un mot de passe complexe. Assurez-vous que le schéma contienne au moins six lignes, et une grille de 4x4 points ou plus. ## Un point sur les sauvegardes Android Les appareils Android sont synchronisés avec différents types de sauvegardes à distance. Toutes ces sauvegardes doivent être désactivées au profit d'une sauvegarde en local sur un appareil (comme un ordinateur par exemple), qui doit lui-même avoir un disque dur entièrement chiffré (cf. [Sécurité de l'ordinateur: 1 - Saisie par la police](https://base.extinctionrebellion.fr/t/securite-de-lordinateur-1-saisie-par-la-police/52523)). Avant de faire des sauvegardes, les fonctionnalités telles que 'SideSync' doivent être désactivées. ⚠️ Les développeu·r·se·s et passioné·e·s ont souvent des fonctionnalités spéciales pour manipuler leur téléphone en bas niveau, cela peut présenter des risques. Par exemple, activer le 'USB Debugging' présente un risque réel qu'un "attaquant" ayant un accès physique à l'appareil puisse utiliser les outils `adb` d'Android pour accéder à l'appareil. Assurez-vous que le débogage par USB est désactivé avant d'aller sur une action. #### Références [How to encrypt your iphone ?](https://ssd.eff.org/en/module/how-encrypt-your-iphone) [How to encrypt android device ?](https://www.androidauthority.com/how-to-encrypt-android-device-326700/) ▶️ [Suivant : Sécurité du téléphone 2 - Tracage par gsm et wifi](https://wiki.extinctionrebellion.fr/books/securite-numerique/page/securite-du-telephone-2-tracage-par-gsm-et-wifi) # Sécurité du téléphone: 2 - Traçage par GSM et Wifi Contenu transféré depuis la base: [Sécurité du téléphone: 2 - Traçage par GSM et Wifi](https://base.extinctionrebellion.fr/t/securite-du-telephone-2-tracage-par-gsm-et-wifi/48400) # Sécurité du téléphone. Fiche 2 Dans cette fiche, nous allons voir les risques peu connus liés au traçage d'un téléphone mobile. > **Modèle de menace** : la police présente sur une action utilise un **IMSI-catcher** pour repérer tous les téléphones présents dans une zone, enregistrant les numéros [IMSI](https://fr.wikipedia.org/wiki/International_Mobile_Subscriber_Identity) et les numéros de téléphone. Ces numéros permettent d'identifier les propriétaires de téléphones anonymes en analysant leur déplacement sur le réseau de téléphonie mobile. # Menace type 1 : la carte SIM est tracée et le ou la propriétaire est identifiée ## Le suivi par GPS Contrairement à une idée rependue, nous sommes rarement traqués par le GPS de nos mobiles. Les capteurs GPS sur les téléphones sont des **récepteurs**. Des satellites géostationnaires envoient constamment des données qui permettent aux téléphones de déterminer leur position sur le globe. Cette position est calculée **dans le téléphone** en fonction de la distance connue d'au moins 4 satellites. Les satellites n'ont même pas connaissance des récepteurs GPS utilisant leurs données. Le traçage GPS peut se produire via des logiciels malveillants présent sur des téléphones, qui transmettent la position calculée par le téléphone à un serveur via internet. Pour introduire un logiciel malveillant sur le téléphone, l'attaquant doit généralement avoir un **accès physique au téléphone (déverrouillé)**, ou que le/la propriétaire ait été victime d'une attaque de *fishing* pour qu'iel installe lui/elle-même l'application malveillante. Une fois le logiciel malveillant installé, il faut quand même que le GPS et que les données mobiles soient activés pour qu'il puisse vous suivre et transmettre les données. Pour repérer un téléphone géographiquement le plus pratique est d'utiliser le réseau téléphonique. Nos téléphones sont toujours connectés à une ou plusieurs bornes/antennes plus ou moins éloignées (les fameuses buchettes qui représentent la qualité de la connexion au réseau). Cela permet de communiquer sans être coupé à chaque changement d'antenne. C'est également très pratique pour suivre un téléphone car l'on peut voir nos appareils sautiller d'antenne en antenne. Les antennes qui sont généralement arrangées en réseaux le long des routes et au sommet des bâtiments, et que l'on appelle souvent des tours ou antennes relais, sont des points de repères connus. Il suffit alors de faire une "triangulation" pour obtenir le point d’émission de votre téléphone avec une bonne précisions. C'est la méthode employée, par exemple, par les nazis pour repérer les radio clandestines pendant la Seconde Guerre mondiale. [![](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2022-11/scaled-1680-/Rb6SLJOPpb60i1q5-image-1668374964834.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2022-11/Rb6SLJOPpb60i1q5-image-1668374964834.png) ## Identifier le propriétaire d'un téléphone A chaque carte SIM correspond un numéro de téléphone mais également un numéro unique lui servant à s'identifier avec les antennes relais : le IMSI (International Mobile Subscriber Identity). Puisqu'il sert d'identifiant, il est constamment diffusé lors des échanges avec les antennes. Or il est très simple de capter les numéros IMSI des téléphones avoisinants quelques centaines de mètres autour de soi en utilisant [un récepteur SDR à 15€](https://www.rtl-sdr.com/using-an-rtl-sdr-as-a-simple-imsi-catcher/). Cela à des conséquences importantes : 1. Les carte SIM sont souvent achetées via des cartes de crédit (votre abonnement mensuel ou l'achat au tabac du coin). Donc l'association utilisateur = SIM est facile à connaître. 2. Même si vous achetez en liquide une carte pré-payée, utiliser ce téléphone à coté de votre téléphone officiel ou celui d'un copain vous identifie. Par exemple : je suis dans un bar, j'allume mon téléphone pré-payé et je suis avec mon téléphone officiel dans la poche. Les deux téléphones sont 'vus' ensemble donc il y a un lien. De même, si vous éteignez votre téléphone officiel mais allumez votre téléphone pré-payé au domicile, l'adresse est connue. 3. Insérer une sim dans un téléphone utilisé officiellement permet à l'opérateur d'associer l'identification de votre terminal (téléphone) avec la nouvelle sim. (l'IMEI est utilisé avec la SIM X appartenant à Harry mais aussi avec la SIM Y.... donc Y = Harry). Ayez un téléphone dédié et si possible jamais utilisé ou acheté d'occasion. **Conséquence** : vous êtes localisable avec votre téléphone, prépayé ou non. Si quelqu'un a accès à la fois à votre numéro IMSI et l'accès à la base de donnée du fournisseur (ce que les autorité obtiennent facilement), il est possible de remonter à l'identités des individus présent dans le rayon d'une antenne, dont la vôtre. Cela peut être utilisé pour déterminer les identités des individus présents à une manifestation, et peut être utilisé plus tard pour trouver des groupes d'activistes pendant une réunion. Il se pourrait que cette technique ait été utilisée pour découvrir et mettre fin aux *Black Lives Matter* aux USA. Une **autre conséquence** est l'identité du téléphone : le IMEI (*International Mobile Equipment Identity*). C'est comme la plaque d'immatriculation de votre téléphone. L'IMEI est également diffusé par le téléphone à chaque interaction avec une antenne de téléphonie mobile (BTS). L'IMEI couplé à l'IMSI peut ajouter une couche supplémentaire de preuves d'identification en cas de saisie, car même si la carte SIM est retirée, l'appareil est identifié. ## La surveillance des appels Une autre menace existe. Au lieu de récolter seulement le numéro IMSI, les téléphones peuvent être facilement trompés en leur faisant croire qu'ils communiquent avec une vraie antenne téléphonique alors qu'en réalité ils sont traqués. Les appels et SMS envoyés peuvent être surveillés (même si cryptage du téléphone) à l'insu du propriétaire du téléphone. Cela a été largement utilisé par les services de polices aux Etats-Unis et ailleurs grâce au déploiement d'un *IMSI Catcheur*. [![](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2022-11/scaled-1680-/6lhbo9QVNkz2TYGa-image-1668375001966.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2022-11/6lhbo9QVNkz2TYGa-image-1668375001966.png) Les systèmes Stingray sont utilisés à la fois pour traquer les téléphones et surveiller leur transmissions. Ces systèmes sont connus pour avoir été largement utilisés contre les activistes. Les services de police des Etats Unis, du Canada, de l'Irlande, du Royaume-Uni Uni, Arabie Saoudite, UAE et Turquie ont reconnu les avoir utilisé. Ces systèmes appelés IMSI Catcher peuvent aussi être fait maison, avec un budget de 1000€. [![](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2022-11/scaled-1680-/H93e2eunNvBtWQ6N-image-1668375015522.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2022-11/H93e2eunNvBtWQ6N-image-1668375015522.png) ## Se défendre contre les IMSI Catchers ### Utiliser des cartes SIM prépayées Pour éviter l'identification via l'IMEI, l'identité du téléphone, vous devez utiliser des téléphones achetés uniquement avec du liquide. De plus, même si ça peut paraitre irréaliste la plupart du temps, mais pour des action à haut risques, vous devriez acheter un téléphone portable sans abonnement avec une carte SIM prépayée. > ℹ️ On recommande que tous les coordinateur·rice·s, surtout ceux·elles engagé·e·s dans la planification d'actions et la logistique, utilisent des carte SIM prépayées, et idéalement des téléphone sans abonnements. Le groupe infrastructure devrait considérer avoir un stock de cartes SIM prépayées. Ces dépenses de 7-10€ peuvent être faites avant une action puis les cartes SIM recyclées pour les actions suivantes. Dans le pire des cas, cela peut permettre une confusion dans l'effort de la police utilisant un système de capture de IMSI. Les téléphones sans abonnement (prépayés) sont des investissements qui peuvent être considérés pour des actions à hauts risques. ⚠️ Attention à bien prendre en compte la partie sur l'identification au dessus. Avoir une carte pré-payée permet de freiner l'identification mais de nombreuses erreurs telles que la présence de téléphones "fantômes" à côté de téléphones officiels rends caduques l'anonymisation. Pensez à distribuer les téléphones pré-payés uniquement après avoir éteint tout téléphone officiel. ### Installer un détecteur de IMSI Catcher Des applications ont été développées pour détecter et avertir de la présence de catcher IMSI. Elles utilisent une carte des antennes de téléphonie mobile pour détecter la présence d'antennes inconnues qu'elles considèrent alors comme suspectes. Sans être entièrement fiables, certaines applications sont plus complexes que d'autres et détectent les "SMS silencieux" souvent utilisés par les IMSI catchers. Une de ces applications est [Android IMSI catcher detector](https://cellularprivacy.github.io/Android-IMSI-Catcher-Detector/) pour les services Android. En voici une autre [SnoopSnitch](https://play.google.com/store/apps/details?id=de.srlabs.snoopsnitch&hl=en) (**Avertissement :** lien Google Play). ### Est-ce qu'on est detectable quand on est en mode avion ? Pour simplifier un peu grossièrement : Il n'est pas totalement exclu que bluetooth, wifi et réseau mobile fonctionnent et dialoguent avec les différents hubs qu'il y a autour MALGRÉ le mode avion : c'est selon les OS et l'honnêteté des des marques qui les développent. Néanmoins : 1. Sans carte SIM, l'opérateur ne peut pas faire le lien avec nos noms. L'antenne va avoir une adresse IP, mais pas de numéro client, et l'adresse IP change ofc d'une antenne à l'autre, donc pas possible de faire le lien avec une identité. 2. La seule vraie faille est au niveau de l'adresse MAC de nos smartphones (qui est une adresse statique, sauf sur le réseau mobile). Il est théoriquement possible de la retracer via les boxs wifi de particuliers à côté desquelles on passe : Même si on ne s'y connecte pas, nos smartphones crient en permanence leurs adresses MAC à toutes les boxs wifi qu'ils rencontrent. Mais (1) c'est très difficile à faire et ça demande des efforts et un temps considérables pour identifier ne serait-ce qu'un appareil, et (2) si les flics peuvent demander à SFR d'accéder aux données de leurs antennes (ce que suggérais l'article), ils ne peuvent pas demander les données des boxs de tous les particuliers d'une rue (juridiquement et logistiquement : un enfer. Les opérateurs n'ont pas intérêt à leur filer les données de boxs de particuliers) En bref : clairement pas intéressant pour eux de s'attaquer à un si gros défi pour des délits aussi mineurs. 3. Le GPS est hors de propos, nos smartphones ne lui parlent pas. NB : Concernant la prise de photo en revanche, elle peut poser problème, et ce même à postériori parce qu'elles sont souvent liées par défaut à une localisation (ou autres exifs, vous en parliez) et à des comptes personnels sur différents services. Charge à chacun d'aller checker ses réglages si iel veut prendre le risque de photographier des trucs. Sur ce sujet ça dépend des googles & co, pas du fonctionnement des réseaux, du coup ça reste une zone d'ombre. # Menace type 2 : traçage et identification via WiFi Comme sur le réseau de téléphonie mobile, un téléphone diffuse des informations d'identification au réseaux WiFi. La partie WiFi d'un téléphone peut également être utilisée pour suivre un appareil lorsqu'il se déplace en ville. L'équivalent du IMSI ou IMEI est une adresse MAC (Media Access Controller) comme par exemple ```62:7d:34:c1:04:2b```. Même si l'on est connecté à aucun réseaux, le téléphone diffuse quand même des demandes de sonde aux points d'accès WiFi qui constituent une cartographie excellente en ville et donc une traçabilité du téléphone. Les téléphone Apple récents "anonymisent" de telle requête jusqu'à ce que le téléphone soit connecté au réseaux WiFi. Les Androids ne le font pas. Dans tous les cas, il est important de savoir que cela se produit, tout comme le fait que les points d'accès gardent en mémoire une trace du passage de votre téléphone. De telles traces ont été utilisées comme preuve à plusieurs reprises dans les tribunaux. ⚠️ Si vous effectuez des recherches sur le terrain et/ou ailleurs pour aider à une action, réfléchissez à deux fois avant de rejoindre un réseaux public non-fiable et n'activez votre WiFi que lorsque vous en avez besoin. ### Utiliser un réseau WIFI inconnu Lorsque vous utilisez un réseau WiFi inconnu vous ne pouvez garantir la confidentialité des données échangées. De nombreux réseaux ouverts officiels (les hôtels par exemple) utilisent des outils de type portail captif. Ces composants servent à garantir la traçabilité des usages des réseaux. En France, un fournisseur d'accès internet (un hôtel devient fournisseur en proposant son wifi) se doit de garder des traces des accès Internet en cas de demande des services d’état dans le cadre d’enquêtes (cf. https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000801164 Article 6). Tout accès vers internet est enregistré dans des journaux (logs) et souvent les flux chiffrés sont décryptés. C'est facilement repérable sur un pc, un peu moins sur un téléphone. Dans ce cas, lors de l'utilisation du WiFi, vous êtes redirigés vers une page d'authentification qui demande à connaître : * N° de chambre, * Numéro de téléphone pour recevoir un code par SMS. Le pire. Vous êtes automatiquement relié a votre identifiant téléphonique, voir ci-dessus les impacts. * Votre nom * Votre email * Tout autre type d'information. [![](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2022-11/scaled-1680-/CZTXG0OMvD4JagyS-image-1668375037664.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2022-11/CZTXG0OMvD4JagyS-image-1668375037664.png) Dès que vous avez ce type de page vous pouvez être certain que vous n'aurez pas un accès direct à Internet comme avec votre box, mais que tout va être enregistré dans un journal (log). De plus, même si vous naviguez en chiffrant vos communications, cela est très souvent insuffisant. Les Portails ou les routeurs du restaurant, hôtel... peuvent faire de l'inspection SSL. Ils déchiffrent vos communications pour voir l’intérieur des messages. C'est également repérable car vous devez avoir une alerte de sécurité sur votre client de mail, navigateur web etc... Le routeur va se substituer à vous lors de la connexion avec le site internet et vous renvoyer les informations sur votre téléphone avec son propre certificat. [![](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2022-11/scaled-1680-/w8WhxKyD2IKb8w37-image-1668375072589.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2022-11/w8WhxKyD2IKb8w37-image-1668375072589.png) Votre téléphone ne reconnaissant pas le certificat d'origine doit vous alerter. [![](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2022-11/scaled-1680-/kD4x058MEok3grsh-image-1668375115048.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2022-11/kD4x058MEok3grsh-image-1668375115048.png) [![](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2022-11/scaled-1680-/Pwb8GPjIXqfc0ckm-image-1668375125205.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2022-11/Pwb8GPjIXqfc0ckm-image-1668375125205.png) Dans tous les cas, vous devez vous déconnecter et supprimer le réseau de vos paramètres WiFi de votre téléphone sinon il essayera de nouveau de s'y connecter. Références : - (fr) [Wikipedia sur le système IMSI-catcher](https://fr.wikipedia.org/wiki/IMSI-catcher) - (en) [Wikipedia page on the Stingray system](https://en.wikipedia.org/wiki/Stingray_phone_tracker). - (en) [Article in The Intercept on Stingray systems ](https://theintercept.com/2016/09/12/long-secret-stingray-manuals-detail-how-police-can-spy-on-phones/) ▶️ [Suivant : Sécurité du téléphone, fiche 3](https://base.extinctionrebellion.fr/t/securite-du-telephone-3-communication-securisee/48416) # Sécurité du téléphone: 3 - Communication sécurisée Contenu transféré depuis la base: [Sécurité du téléphone: 3 - Communication sécurisée](https://base.extinctionrebellion.fr/t/securite-du-telephone-3-communication-securisee/48416) # Préambule Ce guide est le dernier d'une série de trois. Avant de le lire, assurez-vous d'avoir : - lu le 1 : [protéger son téléphone face aux services de police et de justice](https://wiki.extinctionrebellion.fr/books/securite-militante/page/securite-du-telephone-1-comment-chiffrer-son-telephone) - lu le 2 : [protéger son téléphone du traçage](https://wiki.extinctionrebellion.fr/books/securite-militante/page/securite-du-telephone-2-tracage-par-gsm-et-wifi) > **Menace type :** en amont d'une action, la police, les entreprises adverses... travaillent avec les opérateurs mobiles et les compagnies d'internet pour rassembler des preuves sur les membres de l'équipe et/ou saboter et/ou surveiller l'action. Même si on a chiffré le contenu de nos téléphones, et que l'on s'assure de ne copier aucune donnée vers un cloud comme iCloud ou Dropbox, nous diffusons des informations chaque fois que nous communiquons via notre appareil. Lorsque que nous sommes sur WiFi, nous utilisons un routeur local et les infrastructures du fournisseur d'accès internet (FAI) auxquelles le routeur est connecté. Lorsque nous utilisons le réseau mobile, nous communiquons via une antenne à une tour relais, qui est reliée à un opérateur mobile. Si nous passons un appel, les données transitent sur le réseau vers l'opérateur du destinataire. Sans un chiffrement suffisant, sur les dizaines d'appareils qui composent l'itinéraire, le contenu peut être enregistré à chaque étape. L'appel relie deux cartes SIM qui sont deux points identifiables. Si nous échangeons via un chat, les données vont du réseaux à une plateforme comme Facebook Messenger, Twitter ou Mattermost, sur laquelle les données sont sauvegardées et ensuite téléchargées par le(s) destinataire(s). Dans le cas du chat, les données vont d'un compte à un autre avec des données d'identification pour chaque compte. > :information_source: Les téléphones ont fait leurs preuves sur les actions et sont extrêmement avantageux pour la coordination, la photographie, le témoignage en direct des violences policières... C'est parfaitement normal de vouloir en prendre un. Mais attention : un téléphone non chiffré est extrêmement critique. Les données, facilement accessibles, peuvent être utilisées pour incriminer les personnes de l'équipe présentes dans vos contacts. Assurez-vous d'avoir suivi la procédure pour [protéger son téléphone face au service de police et la justice](https://base.extinctionrebellion.fr/t/securite-du-telephone-1-saisie-par-la-police/48382) si vous voulez bénéficiez des avantages du téléphone en action. On rappelle qu'il n'est pas important que tout le monde ait son téléphone et il est plus sûr de ne désigner que quelques personnes qui en aient. Sur le terrain, il est alors préférable de favoriser la communication via des messagers et des signes. Il faut toujours considérer que le téléphone peut être saisi et que vous pourriez ne pas le revoir. # Sécurisé ou non-sécurisé : savoir où se trouve la frontière La séparation entre vie personnelle et vie militante est souvent floue et elle l'est aussi dans l'utilisation de nos plates-formes, ce qui représente un risque. Pour cette raison, il est bon de développer le réflexe de partitionner complètement les deux. ## La situation : 1. Votre opérateur mobile est légalement obligé de collaborer avec les services de maintien de l'ordre. 2. Votre fournisseur internet est légalement obligé de collaborer avec les services de maintien de l'ordre. 3. Les réseaux sociaux et Google sont obligés de collaborer avec les services de maintien de l'ordre. 4. Le data center qui héberge Organise.Earth est légalement obligé de collaborer avec les services de maintien de l'ordre. Dans les trois premiers cas, les fournisseurs sont contraints de transmettre les données et/ou autoriser leur accès dans le cadre d'une enquête. Dans le quatrième cas, le fournisseur est également obligé, à la différence que le disque dur sur lequel se trouvent les données est fortement chiffré. Des chiffrements de premier ordre, réputés pour ne pas être cassables, sont utilisés à la fois dans les couches de bases et les couches systèmes. On fournit donc une grosse brique hermétique aux autorités. Mais contrairement aux trois autres cas, si Organise.Earth est saisi, les communications s'arrêtent pendant le temps nécessaire à la restauration de sauvegardes antérieures. Cela peut prendre des jours voire une semaine, en fonction des circonstances. ## Règles empirique (qui s'appuie sur l'expérience) : :arrow_right: Utiliser des messages chiffrés de bout en bout pour quoi que ce soit de potentiellement sensible aujourd'hui ou dans le futur (des exemples sont proposés à la fin). Les preuves incluent les noms, les plans, les déclarations d'intentions. :arrow_right: Toujours respecter la vie privée et l'anonymat des personnes avec lesquelles vous êtes engagé·e·s. *Ne pas utiliser les vrais noms, les numéros de téléphones et adresses lorsque vous y faites référence.* Aider les autres rebelles à faire de même. N'envoyez à personne des preuves qu'un⋅e rebelle est impliqué⋅e dans une action. :arrow_right: Toujours éviter de donner les informations personnelles de membres de votre équipe ou de vous-mêmes à des entreprises comme Google ou Facebook, des entreprises qui ont une longue histoire de collaboration avec la police. :arrow_right: Créer un email et une identité pseudonyme pour des évènements XR lorsque c'est possible. Aller changer les comptes existants si besoin et changer l'adresse mail et l'identité associées. :arrow_right: Si vous risquez de vous faire arrêter, assurez-vous que les données de vos appareils sont inaccessibles aux mains des enquêteurs. Ayez connaissance de vos droits au moment de l'arrestation. Et supposez que vous risquez de ne jamais revoir vos appareils et que s'ils vous sont rendus, ils doivent être considérés comme compromis. # Messages et appel chiffré de bout-en-bout Depuis 2013, il existe différentes solutions de chiffrement de bout-en-bout (*end-to-end : E2E*) pour les smartphones. Le chiffrement de bout-en-bout est une méthode *zero-knowledge* qui assure le chiffrement tout le long de la transmission, du transport au stockage, de l'origine à la destination. Ces solutions présentent des niveaux de fonctionnalité et sécurité variés. On présente ici trois applications E2E. WhatsApp, Threema et Telegram ne seront pas présentées car elles présentent toutes des problèmes de sécurité et/ou ont des mauvaises pratiques d'implémentation. ## Signal, de Open Whisper Systems Signal est probablement la plus populaire, en partie parce que le Signal Protocol est largement estimé par les ingénieurs en sécurité informatique et les cryptographes, et parce que Open Whisper System avait six mois d'avance sur la plupart de ses concurrents et a distribué un service avec des fonctionnalités de bases correctes. Sa popularité lui permet de s'étendre encore davantage. Signal est basé aux Etats-Unis, où elle doit composer avec le FBI. Elle ne conserve aucune metadonnée des utilisateurs. Néanmoins, il s'agit toujours d'un service centralisé et donc toujours d'un point de défaillance unique. Bien que le chiffrement de bout en bout soit efficace, vous devez néanmoins donner votre numéro de téléphone mobile comme identifiant pour faciliter l'invitation d'une nouvelle personne sur le réseau. Les numéros de téléphones (comme expliqué précédemment) sont les plaques d'immatriculation de vos téléphones. Gardez cela en tête en utilisant Signal. > :warning: Par précaution, surtout pour vos contacts, assurez-vous que votre téléphone a un mot de passe ou schéma complexe comme vu précédemment. Assurez-vous également de mettre un code spécifique à Signal comme c'est possible via les paramètres. > :information_source: Signal ne fonctionne qu'avec le WiFi ou la 2/3/4/5G. Il ne fonctionnera pas sur le réseau mobile, vous devez donc être connecté·e·s à de la data pour l'utiliser. Signal professionnel : - appel, vidéo, chat chiffré e2e (one-to-one) - facilitation de l'accès au dispositif via l'envoi de sms - estimé très robuste - transfert de fichier - présent sur beaucoup de supports Signal classique : - pas d'appel ou vidéo de groupe - besoin d'un appareil avec une carte SIM pour créer un compte - Les numéros de téléphones sont les identifiants, à gardez en tête en cas de saisie - interface simplifiée et peut être même trop minimaliste - transfert de fichier limité à seulement certains types de fichiers ## Wire [Wire](https://wire.com/en/) s'est lancé environ 6 mois après Signal, il présente aujourd'hui quelques avantages par rapport à Signal. Contrairement à Signal, Wire ne dépend pas d'une carte SIM pour être activé et donc s'il n'est pas plus privé que Signal, il a certainement plus de potentiel pour l'anonymat. Wire utilise une cryptographie très puissante, pour les connaisseur·se·s : - ChaCha20 (stream cipher) - HMAC-SHA256 as MAC - Elliptic curve Difffier Hellman key exchnage (Curve25519) Wire est basé en Suisse et bénéficie des lois suisses très strictes sur la protection des données, avec aussi des serveurs localisés en Allemagne et Irlande. Ils ont même publié un [rapport de tranparence](https://wire-docs.wire.com/download/Wire+Transparency+Report.pdf) des requêtes sur leur utilisation des données (une liste bien vide jusqu'à aujourd'hui). Wire est open source et offre des fonctionnalités de chat, voix, appel vidéo, et partage de fichier. Une fonctionnalité spéciale lui permet de supporter plusieurs comptes. Wire professionnel : - pas de dépendance avec aucun identifiant autre qu'un compte mail - appel de groupe possible - multiples comptes possible - cryptographie élevée - chat de groupe - code ouvert pour les audits de sécurité - transfert de fichier - présent sur beaucoup de supports Wire classique : - maximum de 4 personnes pour un appel vidéo - besoin d'un réseau WiFi ou mobile pour communiquer - pas vraiment populaire ## Briar [Briar ](https://briarproject.org) est le dernier sorti mais présente une offre unique. A l'instar de ses deux concurrents, il ne dépend pas spécifiquement d'une infrastructure réseau traditionnelle. Conçu pour des activistes, il suppose de pouvoir être utilisé dans le cas où l'État a désactivé ou brouillé les réseaux cellulaires ou WiFi à proximité d'un lieu comme cela a été fait entre autres en Turquie, Chine, États-Unis, Ukraine. Pour y parvenir, il exploite la fonctionnalité BlueTooth sur presque tous les smartphones pour envoyer des messages d'un appareil à l'autre, de manière maillée : un avantage significatif dans un effort coordonné pour désactiver l'infrastructure de communication lors d'une action, en supposant que la police n'a pas un accès physique à tous les participants et ne peut pas simplement saisir tous les appareils. Lorsque l'accès à internet est possible, Briar utilise le [réseau anonyme Tor](https://torproject.org/) avec une couche supplémentaire afin qu'il ne puisse pas être prouvé que l'appareil était la source d'une transmission avec quelqu'un d'autre. Avantages de Briar : - chiffrement e2e - ne dépend pas des infrastructure pour transmettre les données - résistant à la censure, pas de recherche de mots clés et de blocage le long du parcours - message stockés sur l'appareil et non sur un serveur externe - offre la possibilité de partager sur des forums - gratuit et totalement open source - un [tuto existe sur la Base](https://base.extinctionrebellion.fr/t/communications-securisees-utiliser-briar/55129?u=lima), en français. Inconvénients de Briar : - relativement non mis à jour, peu de versions et de mises à jour - ne fonctionne que sur Android - l'utilisation de Tor consomme beaucoup de batterie *** Cet article est encore en cours de rédaction, des captures d'écran apparaitront bientôt. Merci de votre lecture # Recommandations sur l’utilisation de Signal [![](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2022-11/scaled-1680-/rXxAnjHStPMsntjV-image-1668901139510.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2022-11/rXxAnjHStPMsntjV-image-1668901139510.png) #### Rappels avant toute action 1. Eviter au maximum de venir avec son téléphone à une action. 2. Supprimer un maximum de données (signal, mattermost, Email, photos & vidéo, données du presse papier, etc). Sur signal, supprimer les conversations et quitter les groupes non indispensables (actions passées, etc). 3. S’assurer que son téléphone est chiffré. 4. Eteindre son téléphone pour activer le chiffrement. En effet, le premier déverrouillage désactive le chiffrement, il faut donc l'éteindre pour le réactiver. #### Pourquoi faut-il supprimer l’application Signal avant une action ou durant l’action avant une possible interpellation ? Le principal intérêt de Signal est de protéger l'interception à distance des contenus des messages. En utilisant Signal, les messages sont chiffrés de bout en bout, c'est-à-dire que même si une personne 'voit' le message, elle ne pourra pas le lire. Cependant, la protection n'est pas garantie si l'attaquant à un accès physique à un téléphone dans un état non chiffré, soit car le chiffrement a été désactivé avec le premier déverrouillage, soit car le téléphone n'est de base pas chiffré. Supprimer l’application Signal supprime toutes les données de l’application. Ainsi si les forces de l'ordre ont accès au téléphone dans un état non chiffré elles ne pourront pas obtenir les données. #### En cas de suppression de l'application, je veux retrouver les données une fois le risque passé, que puis-je faire ? Il est possible de créer une sauvegarde chiffrée des données sur le téléphone ou en dehors. Pour cela aller dans: (en passant par Settings > Chats > Chat backups > Turn on). Il faut bien noter dans un endroit sécurisé la passphrase (non accessible par les Forces de l’Ordre). Ainsi si l’application ou le compte signal a été supprimé, lors de la réinstallation on peut utiliser cette sauvegarde en la décryptant via la passphrase et ainsi retrouver ses données. ##### Les forces de l’ordre ne peuvent-elles pas me demander cette passphrase ? Si elles le peuvent mais encore faudrait-il qu’elles identifient cette sauvegarde. Même si elle est stockée sur le téléphone, ce n’est pas si simple et on peut donc espérer qu’elles ne l’identifient pas. Il est aussi possible de stocker la sauvegarde en dehors du téléphone. De plus, si vous dites (devant un tribunal, en GAV on ne dit rien) ne plus avoir cette passphrase car vous ne l’aviez pas notée ou que vous l’avez perdu, ce sera une position plus crédible juridiquement car c'est plausible. #### Faut-il mieux supprimer l’application ou supprimer son compte signal ? Signal donne la possibilité de supprimer son compte: Settings > Accounts > Delete account. La différence par rapport à supprimer l’application est qu’en cas de suppression du compte le numéro de mobile n'est plus répertorié sur les serveurs de Signal. Ainsi, une personne extérieure ne peut pas soupçonner que tu utilises Signal habituellement (en entrant ton numéro dans Signal un.e utilisateur.rice le verra comme non sécurisé). De plus, supprimer son compte quitte automatiquement tous les groupes. #### Les failles dans l’outil Cellebrite, outil utilisé par les FDO pour analyser les téléphones remettent-elles en question ces recommandations ? Non. ##### Context sur Cellebrite Cellebrite est un outil utilisé par les forces de l’ordre pour extraire et analyser automatiquement les données d’un téléphone. Pour ce faire, il faut avoir brancher physiquement à l'outil le téléphone allumé et dévérouillé. L’utilisation de Cellebrite est donc par exemple possible dans un cas où un.e militant.e serait amené.e en garde à vue et accepterait de donner son mot de passe. ##### Lien avec Signal Signal a publié [cet article](https://www.signal.org/blog/cellebrite-vulnerabilities/) disant qu’iels avaient exploité.e.s des failles dans Cellebrite afin de corrompre la donnée collectée. Cette exploitation peut permettre de rendre la donnée collectée lors une analyse automatique du téléphone moins fiable et donc contestable devant un tribunal. Cependant, selon Signal, cette corruption est très loin d’être systématique et il est possible que Cellebrite a pu réparer la faille ou qu'un autre outil d'analyse soit utilisé par les Forces de l'Ordre. De plus, une analyse humaine (en lisant simplement les messages) peut-toujours être réalisée. Ainsi ces failles ne remettent pas en cause le besoin de supprimer Signal et d’avoir le moins de données possibles sur son téléphone. # Sécurité du téléphone: 1.1 - Bonnes pratiques et faiblesses du chiffrement d'un téléphone ### Résumé du contenu de ce guide - Chiffrer ton téléphone permet grandement d'améliorer la protection des données s'y trouvant. - Cependant, pour que le chiffrement soit effectif le téléphone doit être éteint ou allumé sans jamais avoir été dévérouillé depuis le dernier allumage. En effet, les outils utilisés par les forces de l'ordre permettent d'accéder à la donnée d'un téléphone ayant déjà été dévérouillé depuis le dernier allumage. - Un mot de passe fort (10 charactères composés de lettres, chiffres et charactères spéciaux peut-être considéré comme raisonnable) doit être utilisé pour éviter une attaque du chiffrement. Un téléphone protégé par un mot de passe de 6 chiffres ou par un pattern peut-être déchiffré en moins d'un jour par les outils utilisés par les forces de l'ordre. - Un téléphone étant passé entre les mains des forces de l'ordre, par exemple lors d'une garde-à-vue, est à risque d'être infecté par un enregistreur de saisie (keylogger). La réinitialisation de l'appareil et le changement du mot de passe est alors vivement recommendée. - Le téléphone doit être mis à jour régulièrement car Android et IOS font souvent des mises à jour pour résoudre des vulnérabilités pouvant être explotées. - La protection par chiffrement doit se combiner avec une bonne hygiène numérique dont la réduction des données sensibles (par exemple en utilisant les messages éphèmères dans les messageries cryptés ou en supprimant les messages sur Mattermost). - Ces conseils s'appliquent à tous les téléphones Android et IOS (Iphone). - Toutes ces éléments se basent sur des sources ouvertes sur un domaine confidentiel qui évolue vite. Il est donc possible qu'ils ne soient plus pertinents pour le meilleur comme pour le pire. ### Qu'est ce que le chiffrement d'un téléphone ? Le chiffrement d'un téléphone est une couche de protection supplémentaire pour toutes les données stockées sur le téléphone. Il ne protège pas ledit appareil contre les menaces externes, ni ne rend les communications privées ou illisibles, etc. Ce que le chiffrement de l'appareil fait est de convertir toutes les données du téléphone sous une forme accessible uniquement en entrant d'abord un mot de passe. Ainsi les données du téléphone, telles que les images, les messages des applications Signal ou Mattermost, etc ne sont pas compréhensibles. Bien que cela puisse ressembler à un écran de verrouillage ou un mot de passe normal, la protection qu'il offre est beaucoup plus complète. Le chiffrement et déchiffrement des données se fait grâce à un algorithme de chiffrement et à une clé de chiffrement. La clé de chiffrement est composée de deux éléments: le mot de passe du téléphone (Pattern, PIN, Password) et une clé unique stockée de manière sécurisée directement sur le téléphone. Cette dernière est invisible pour l'utilisateur.ice. Sur les téléphones mobiles récents, il est possible de chiffrer son téléphone qu'il soit un Iphone (tournant avec le système d'exploitation IOS) ou un téléphone tournant sous le système d'exploitation Android (Samsung, Google, Fairphone etc...). Ce reporter à la page du wiki "[Comment chiffrer son téléphone](https://wiki.extinctionrebellion.fr/books/securite-militante/page/securite-du-telephone-1-comment-chiffrer-son-telephone)" pour obtenir plus d'information. ### Impact du chiffrement sur les données en fonction de l'état du téléphone Un téléphone peut être dans 4 états: - Dévérouillé. La donnée est alors accessible que l'option du chiffrement du téléphone soit activée ou non. - Téléphone non-chiffré et étéint. La donnée est accessible. Un téléphone peut être non chiffré même un code est nécéssaire pour y accéder. Voir le chapitre expliquant comment chiffrer son téléphone pour vous assurer que votre téléphone est chiffré. NB: Tous les nouveaux téléphones sont chiffrés par défaut. - Allumé et vérouillé en ayant été dévérouillé au moins une fois depuis le dernier allumage, acronyme **AFU** pour **After First Unlock**. - Etéint ou allumé et vérouillé sans avoir été dévérouillé depuis le dernier allumage, acryonyme **BFU** pour **Before First Unlock**. Dans les deux premiers cas, la donnée est accessible et donc non protégé pour quiconque, incluant les forces de l'ordre. La question que nous chercherons à répondre est: **dans le cas où le téléphone est dans un état AFU ou BFU, la donnée est-elle sécurisée ?** #### Téléphone en état AFU Pour un téléphone AFU, la donnée n'est pas accessible directement. Par exemple, si vous le brancher à un ordinateur, vous n'aurez pas accès à la donnée à moins de rentrer le code. Cependant, des outils tels que Cellibrite ou GrayKey (voir image ci-dessous) sont utilisés par les forces de l'ordre pour accéder à la donnée. **Ces cas sont documentés aux Etats-Unis mais pour l'instant pas en France** même si on sait que les forces de l'ordre française s'équipe de ce genre d'appareil. [![L'appareil GrayKey](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/7BJnw85CUNQ1dt6T-image-1683559143926.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/7BJnw85CUNQ1dt6T-image-1683559143926.png) L'appareil GrayKey [![Condition pour l'utilisation de GrayKey - Image Motherboard](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/crITFSPQNASQv1nQ-image-1683559281228.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/crITFSPQNASQv1nQ-image-1683559281228.png) Condition pour l'utilisation de GrayKey - Image Motherboard ##### Comment ces outils peuvent accéder à la donnée ? Lorsqu'un téléphone en état AFU est dévérouillé (pour la première fois), la clé de chiffrement est générée afin d'accéder à la donnée et de la déchiffrée. Quand le téléphone est verrouillé sans être éteint (et donc qu'il passe en état BFU), la donnée n'est alors pas rechiffrée. De plus, la clé de chiffrement reste accessible dans la mémoire vive du téléphone. Les outils utilisés par les forces de l'ordre arrivent à accéder à cette donnée non chiffrée et aussi à récupérer la clé de chiffrement afin de déchiffrer la donnée qui pourrait encore être dans un état chiffré. Android et IOS tente d'améliorer la sécurité du téléphone dans cet état mais ils restent des vulnérabilités exploitables par les forces de l'ordre. ##### Comment s'en protéger ? Il faut faire en sorte de rechiffrer la donnée et de faire disparaitre la clé de chiffrement. Pour cela, il existe une **méthode toute simple: éteintre son téléphone** ! En éteignant son téléphone, celui passe d'un état AFU à BFU. Mais un téléphone en état BFU est-il protégé ? #### Téléphone en état BFU Lorsqu'un téléphone est en état BFU, la donnée est chiffrée. Les mêmes outils qui permettaient d'accéder à la donnée d'un téléphone en état AFU peuvent être utilisés mais les méthodes pour accéder à la donnée ne sont plus du tout les mêmes. Selon les sources sérieuses disponibles, ces méthodes peuvent être bloquées si on suit certaines règles. En effet, alors que pour un téléphone en état AFU, les outils des forces de l'ordre permettre d'exploiter des vulnérabilités des téléphones pour accéder à la clé de chiffrement, pour un téléphone en état BFU, cette clé n'existe pas, les outils ne peuvent donc y accéder. Ils doivent à la place essayer de la recréer. Pour cela, ils vont essayer un maximum de combinaisons possibles de clé de chiffrement sur la donnée chiffrée. S'ils trouvent la bonne clé, la donnée est alors déchiffrée. C'est ce qu'on appelle une attaque par force brute. Deux types d'attaque par force brute existent. ##### Attaque par force brute hors-line Cette technique consiste à copier toutes les données chiffrées de l'appareil, ici un téléphone, sur un support externe. Une fois la donnée copiée, l'attaque par brute force est lancée. L'avantage de cette méthode est qu'elle permet d'utiliser des ressources informatiques très grandes (des ordinateurs très puissants et très nombreux) si l'attaquant en a les moyens financiers et techniques. Le succès de l'attaque dépend de l'algorithme de chiffrement utilisé et de la complexité du mot de passe qui crée la clé de chiffrement. Si la donnée a été chiffré par une clé de chiffrement créée par le mot de passe "123", la donnée sera déchiffrée en moins d'une seconde. Cependant, cette méthode ne semble pas utilisée pour attaquer des téléphones chiffrés. En effet, d'une part les téléphones sont chiffrés avec des algorithmes de chiffrement robustes pour lesquels il n'existe pas de grandes vulnérabilités et de l'autre la clé de chiffrement ne dépend pas seulement du mot de passe renseigné par l'utilisateur mais aussi de la clé unique stockée de manière sécurisée directement sur le téléphone. En essayant d'accéder à la donnée sans passer directement par le téléphone, cette clé unique n'est plus accessible et doit être aussi trouvée. Cette clé étant très longue, c'est théoriquement impossible, rendant les attaques hors-line sur les téléphones caduques. ##### Attaque force brute directement sur le téléphone Afin d'éviter de devoir trouver cette clé unique qui complexifie la clé de chiffrement, l'attaque peut se faire directement sur l'appareil contenant la clé unique. C'est la méthode d'attaque des outils utilisés par les forces de l'ordre. Ces outils vont donc essayer une multitude de combinaisons possibles de mot de passe. Le succès de cette méthode va donc dépendre de la complexité du mot de passe. Les outils vont d'abord essayer les mots de passe les plus communs (exemple: "password") puis ils vont essayer un maximum de combinaisons possibles. La vitesse d'essai des mots de passe va dépendre des ressources de l'appareil. Contrairement à une attaque hors-line où des millions de combinaisons peuvent être testées par heure si l'attaquant en a les moyens, ici le nombre va être grandement réduit du fait des limites sur la vitesse d'essai du systèmes d'exploitation (Android ou Apple) et des ressources limitées du téléphone. Les estimations varient d'une [centaine d'essais par jour](https://9to5mac.com/2022/04/29/cellebrite-iphone-cracking/) à environ [2 millions par jour](https://www.vice.com/en/article/59jq8a/how-to-make-a-secure-iphone-passcode-6-digits). Pour cette dernière estimation, il faudra 11 heures pour craquer un mot de passe de 6 nombres et 46 jours pour un mot de passe de 8 nombres. A titre de comparaison, sans ces limites liées à l'appareil, sur une attaque de force brute hors-line, il est très simplement possible de brute force à une vitesse de 2 millions de l'appareil PAR SECONDE. Un code a 6 nombres sera alors deviné en moins d'une seconde. ###### **Comment s'en protéger ?** Le nombre de combinaisons dépendant de la taille et de la complexité du mot de passe, il faut définir un mot de passe fort c'est-à-dire long avec des chiffres, des lettres majuscules et miniscules et des caractères spéciaux. Un mot de passe de 10 charactères composés de lettres, chiffres et charactères spéciaux peut-être considéré comme raisonnablement fort. Au contraire, comme explicité plus haut, un mot de passe de 6 nombres est faible car il faudra que quelques heures pour accéder aux données. De manière général, les mots de passe pattern ou les codes numériques sont faibles. Vous pouvez calculer à quel point un mot de passe est fort sur [omnicalculator](https://www.omnicalculator.com/other/password-entropy). Une fonctionnalité optionnelle disponible sur les versions récentes d'IOS ou Android permet d'effacer les données après un certain nombre d'essais de mots de passe en rétablissant la configuration usine de l'appareil. Android et IOS forcent aussi les utilisateurs à atteindre un certain temps après plusieurs mauvais mots de passe. Ces fonctionnalités protègent-t-elles des attaques par force brute ? Cela dépend. Certains outils, tel que GrayKey, semblent réussir à désactiver ces fonctionnalités en exploitant des vulnérabilités Android ou IOS. Il est cependant conseillé d'activer la fonctionnalité pour effacer les données. En effet, il est difficile de savoir les outils utilisés par les forces de l'ordre. Peut-être que dans certains cas, ces fonctionnalités renforcent la protection. De plus, une mise à jour Android ou IOS pourrait résoudre ces vulnérabilités. Enfin, c'est une fonctionnalité qui peut-être utilisée pour effacer les données d'un téléphone sans avoir à le dévérouillé. Il suffit en effet de rentrer des mauvais mot de passe jusqu'à la réinitialisation du téléphone. ##### Attaque par enregistreur de frappes (key-logger) Une dernière méthode existe pour récupérer l'accès aux données, l'utilisation d'un logiciel enregisteur de frappes, pour enregistrer le mot de passe saisie par l'utilisateur. L'outil GrayKey a une telle fonctionnalité appelée "Hide UI". Cette fonctionnalité peut-être installée de manière invisible sur un téléphone. Il n'est pas documenté si c'est en état BFU ou AFU, mais il semble plus logique que ça soit possible dans l'état BFU car d'autres méthodes plus simples permettent d'accéder à la donnée en état AFU. [![](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/9oD4DPr1dgYoxaO0-image-1683560048094.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/9oD4DPr1dgYoxaO0-image-1683560048094.png) Fonctionnalité Hide UI sur IphoneX par GrayKey La prochaine fois, que l'utilisateur saisira son mot de passe, celui-ci sera enregistré. Les forces de l'ordre en récupérant à nouveau le téléphone pourront alors accéder au mot de passe et déchiffrer la donnée. La méthode consiste donc à: 1 - Obtenir un accès physique au téléphone pour y installer le keylogger 2 - Faire en sorte que l'utilisateur saisisse son mot de passe 3 - Récupérer l'appareil afin de déchiffrer la donnée avec le mot de passe subtilisé. On peut par exemple imaginer les forces de l'ordre proposer à la personne en garde-à-vue d'appeler son avocat. Si celle-ci entre son mot de passe puis éteint à nouveau son téléphone, la mot de passe sera enregistré sans qu'elle en ait connaissance. Les forces de l'ordre pourront alors y accéder. On peut aussi imaginer les forces de l'ordre installer ce logiciel durant une garde-à-vue, rendre le téléphone à la sortie de la garde-à-vue puis réinterpeller quelques temps plus tard la personne afin de récupérer le téléphone avec le mot de passe enregistré. ##### **Comment s'en protéger ?** Il est très difficile de savoir si son téléphone contient un keylogger. Si le téléphone est passé entre les mains des forces de l'ordre par exemple lors d'une garde-à-vue, il faut considérer comme possible qu'un keylogger y soit installé. Dans ce cas, il faut réinitialiser son téléphone afin d'effacer le keylogger et changer son mot de passe. #### Sources: [Wired - How Law Enforcement Gets Around Your Smartphone's Encryption - January 2021](https://www.wired.com/story/smartphone-encryption-law-enforcement-tools/) [Motherboard - Instructions Show How Cops Use GrayKey to Brute Force iPhones - Juin 2021](https://www.vice.com/en/article/k7835w/how-to-brute-force-iphones-graykey) [9to5mac - Cellebrite iPhone cracking: Here’s which models the kit can unlock and access, and how to protect your data - Avril 2022](https://9to5mac.com/2022/04/29/cellebrite-iphone-cracking/) [Vice - Stop Using 6-Digit iPhone Passcodes - 2018](https://www.vice.com/en/article/59jq8a/how-to-make-a-secure-iphone-passcode-6-digits) [Page de présentation de GrayKey sur le site de GrayShift, entreprise commercialisant GrayKey](https://www.grayshift.com/graykey/) [Everything you need to know about Android encryption - Mai 2021](https://www.hexnode.com/blogs/everything-you-need-to-know-about-android-encryption/) [Android - documentation sur le chiffrement](https://source.android.com/docs/security/features/encryption) [Redit - Discussion on Cellebrite](https://www.reddit.com/r/computerforensics/comments/a1j43j/possible_alternatives_to_cellebrite/) GrayKey Hide UI, enregisteur de frappe: [NBC News - iPhone spyware lets police log suspects' passcodes when cracking doesn't work 2020](https://www.nbcnews.com/tech/security/iphone-spyware-lets-cops-log-suspects-passcodes-when-cracking-doesn-n1209296) [AppleInsider - New Grayshift spyware lets police surreptitiously snatch iPhone passcodes - Mai 2020](https://appleinsider.com/articles/20/05/18/new-grayshift-spyware-lets-police-surreptitiously-snatch-iphone-passcodes) # Sécuriser son ordinateur Les informations à connaître et les bonnes pratiques pour sécuriser son ordinateur. # Sécurité de l’ordinateur 1 : Saisie par la police > Modèle de menace : *La police saisit un ordinateur pendant une perquisition ou dans un sac à la frontière ou pendant une action, etc. L'ordinateur est passé à des spécialistes qui extraient les données de l'appareil. Ces données sont utilisées plus tard pour incriminer le propriétaire et/ou d'autres rebelles et/ou compromettre la branche. L'ordinateur peut être rendu au rebelle arrêté sans aucune indication que ce processus a eu lieu.* Tout comme avec les [téléphones](https://base.extinctionrebellion.fr/t/securite-du-telephone-1-saisie-par-la-police/48382), il faut nous préparer à la possibilité que quelqu'un accède avec notre ordinateur à son contenu, sans même avoir besoin de connaître nos détails d'identification. Pour ce faire, nous employons une technique appelée *Disk Encryption* (chiffrement du disque). >:warning: Il est moins efficace de chiffrer le disque dur de votre ordinateur si les forces de l'ordre ont accès au cloud de stockage que vous utilisez pour les sauvegardes. DropBox, Google Drive et One Drive sont toutes des compagnies qui ont l'obligation légale de se soumettre à des mandats de perquisition de manière transparente ou autrement. Envisagez plutôt de chiffrer un disque dur externe pour sauvegarder vos données. S'il contient des informations importantes/sensibles, investissez dans un disque externe, chiffrez-le et laissez-le chez quelqu'un en qui vous avez confiance, de préférence sans relation avec XR, et ne le dites à personne. Lorsque vous rendez visite à cette personne, prenez votre ordinateur et sauvegardez vos données sur ce disque externe. # Chiffrer le contenu de son ordinateur Les ordinateurs tournent habituellement sur des systèmes comme Windows, OS X ou GNU/Linux (comme Ubuntu), c'est pour cela que nous allons couvrir ces plateformes ici. # A. Windows Si votre appareil sur les versions Entreprise ou Intégrale de Windows Vista, alors vous pouvez activer Bitlocker, sinon vous pouvez installer et activer Veracrypt. ## :closed_lock_with_key: Bitlocker [details="Cliquez pour dérouler"] ### :arrow_forward: : Vous n'utilisez pas encore Bitlocker. [details="Cliquez pour dérouler"] * **Pour activer le cryptage de l'appareil** :one: Identifiez-vous (sign in) à votre appareil Windows avec un compte administrateur (vous devrez peut-être vous déconnecter et vous reconnecter pour changer de compte). Pour plus d'infos, voir [Créer un compte d’utilisateur ou d’administrateur local dans Windows 10](https://support.microsoft.com/help/4026923). :two: Sélectionnez le bouton **Démarrer**, puis sélectionnez **Paramètres** > **Mise à jour et sécurité** > **Cryptage de l'appareil** ***(à vérifier)***. Si **Cryptage de l'appareil** n'apparaît pas, c'est que l'option n'est pas disponible. Vous devriez pouvoir utiliser le cryptage Bitlocker standard à la place (voir juste après). Ouvrez les paramètres de cryptage de l'appareil. :three: Si le cryptage de l'appareil est désactivé, sélectionnez **Activer**. * **Pour activer le cryptage standard de Bitlocker** :one: Identifiez-vous (sign in) à votre appareil Windows avec un compte administrateur (vous devrez peut-être vous déconnecter et vous reconnecter pour changer de compte). Pour plus d'infos, voir [Créer un compte d’utilisateur ou d’administrateur local dans Windows 10](https://support.microsoft.com/help/4026923). :two: Dans la zone de recherche de la barre des tâches, tapez **Gérer Bitlocker**, puis sélectionnez-le dans la liste des résultats. Ou alors vous pouvez sélectionner le bouton **Démarrer**, puis, dans **Système Windows**, sélectionner **Panneau de configuration**. Dans le panneau de configuration, sélectionnez **Chiffrement de lecteur Bitlocker**. **Note:** Vous verrez cette option seulement si elle est disponible sur votre appareil. Elle n'est pas disponible sur Windows 10 Home. :three: Sélectionnez **Activer BitLocker** puis suivez les instructions : :four: Sauvegardez la clé de récupération dans un endroit sûr : un fichier enregistré dans un endroit sûr, ailleurs que sur le disque dur chiffré (sur une clé USB par exemple). ![Sauvegarde de la clé de récupération|500x400](upload://8iTiCKxVADbfUwVHKO3HddOnheo.jpeg) :five: Chiffrez tout le lecteur. Le contenu supprimé sera ainsi également chiffré. :six: Il est conseillé d'exécuter la vérification système, même si cela prend plus de temps comme l'ordinateur doit redémarrer. ![Exécuter la vérification système|400x300](upload://lF2Mkma4OGzkhWWkOhzKGrNVlHT.png) :seven: : Redémarrez votre ordinateur et c'est parti ! ![Chiffrement en cours|466x277](upload://vREDU1Knb3s1sDKz8vRJfJ1E7VA.png) [/details] ### :arrow_forward: **Vous utilisez déjà Bitlocker mais vous stockez votre mot-de-passe de manière non-sécurisée.** [details="Cliquez pour dérouler"] > :warning: Si vous achetez un nouvel ordinateur sous Windows 10 et que vous utilisez un compte Microsoft, votre appareil sera crypté par Windows et la clé de récupération sera enregistrée automatiquement sur *OneDrive*. Ce n'est pas bien, parce que Microsoft peut être forcé de fournir discrètement ou ouvertement cette clé pour décrypter votre ordi. De plus, votre compte Microsoft pourrait avoir été compromis par un·e attaquant·e, et pour cette raison c'est préférable de refuser d'enregistrer la clé dans OneDrive et de plutôt l'enregistrer dans [KeePass](https://keepass.info/), ou le plus récent et plus attirant [KeePassXC ](https://keepassxc.org/), sur un autre appareil ou un autre appareil crypté de stockage USB. Vous pourriez par exemple inventer une phrase de passe complètement nouvelle faite de 5 mots, nombres et caractères spéciaux ou plus, et vous en souvenir. **Changer les mots de passe Bitlocker** Faites un clic droit sur le disque crypté de BitLocker dans Windows Explorer et sélectionnez **Changer le mot de passe BitLocker** ***(à vérifier)*** depuis le menu contextuel. ![image|546x325](upload://v1COD7jSrTbihkXxIxYsOgK3yIa.png) >**Note:** Si l'icône de votre disque crypté a un cadenas doré, alors vous ne pouvez pas voir l'option "**Changer le mot de passe Bitlocker**" dans le menu contextuel, vous devez d'abord déverrouiller le disque Bitlocker. ![image|564x431](upload://qCLgMlXUY2Ee38HrZdLj9PC8IKs.png) [/details] [/details] ## :closed_lock_with_key: [A FAIRE] Veracrypt [details="Cliquez pour dérouler"] https://www.veracrypt.fr/en/Downloads.html [/details] # B. Mac OS X Tout comme Windows peut être chiffré avec Bitlocker, Filevault est la solution par défaut de chiffement de disque pour les systèmes OS X. A noter que FileVault ne chiffre pas entièrement votre système (en incluant la partition de démarrage), mais uniquement la partition utilisateur (en terme Mac, le "Macintosh HD"). ## :closed_lock_with_key: Activer et configurer FileVault [details="Cliquez pour dérouler"] FileVault 2 est dsiponible sur [OS X Lion et suivants](https://support.apple.com/kb/HT201260). Quand FileVault est activé, votre MAC vous demande de vous connecter à chaque démarrage avec une mot de passe. 1. Choisir le menu Apple > Préférences systèmes, Ensuite cliquer sur "Securité et Confidentialité". 2. Cliquer sur l'onglet FileVault. 3. Cliquez ![Locked|48x60](https://support.apple.com/library/content/dam/edam/applecare/images/en_US/il/elcapitan-lock-inline.png), Et lorsqu'on vous le demande, renseignez votre compte administrateur et mot de passe. 4. Finissez en activant FileVault. ![s&cf|690x480](upload://nFkSo7DjRIP3EZBgysTGN6hw2JY.png) Si d'autre utilisateurs ont un compte sur votre MAC, vous devriez voir un message indiquant que chaque utilisateur doit taper son mot de passe pour pouvoir, eux aussi, débloquer le disque. Pour chaque utilisateur, cliquer sur le boutton "Activer l'utilisateur" et entrez le mot de passe utilisateur. Les utilisateurs que vous ajouterez après avoir activé Filevault seront eux automatiquement activés. ![s&cfu|690x479](upload://x105PmWtGZZXU87xSCm8Y27AxFX.png) Choisissez comment vous voulez être capable de déchifrer votre disque et réinitialiser votre mot de passe au cas ou vous [oubliez votre mot de passe ](https://support.apple.com/fr-fr/HT204837): > :warning: Si vous utilisez OS X Yosemite ou suivant, vous pouvez choisir d'utiliser votre compte iCloud pour déchifrre votre disque et ré-initialiser votre mot de passe. **Ne faites pas cela**. Si vous utilisez OS X Mavericks, vous pouvez choisir de sauvegarder vos clefs de récupération chez Apple en renseignant des questions et leurs réponses (trois questions/réponses) **Ne faites pas cela** . ![s&cfi|690x479](upload://7NrvHm8pROYiDhykKJZxGzcLP3v.png) ### Créer une clef de récupération locale. Sauvegardez les lettres et les chiffres de la clef dans un endroit sûr. Ailleurs que sur votre disque dur chiffré. [/details] # C. GNU/Linux (Debian, Ubuntu, Arch Linux, etc) Alors que les systèmes Linux sont en général bien plus sécurisés que les systèmes Windows, et qu'il y a bien moins de chances qu'ils compromettent la vie privée des utilisateurs avec des solutions de stockage externe (comme sous Windows 10 et OS X), il est difficile de chiffrer complètement un portable sous GNU/Linux *après* l'installation. Vous pouvez cependant créer un nouveau compte Unix sur le système, vous connecter et chiffrer le répertoire personnel de ce nouvel utilisateur à partir d'un autre compte, et enfin y copier les données que vous voulez mettre en sécurité. ## :closed_lock_with_key: **Chiffrement du système complet** [details="Cliquez pour dérouler"] La meilleure solution, bien que peu commode, est simplement de copier toutes les données importantes sur par exemple une clé USB de grande capacité ou un disque dur externe (idéalement chiffré) et d'effectuer une réinstallation sur le portable. Il faut alors choisir l'option de chiffrement complet du système. Voici par exemple comment faire sur Ubuntu (en anglais) : Cliquer sur "Installer maintenant" après avoir sélectionné l'option de chiffrement sur Ubuntu, conduit à une page de configuration, qui permet à l'utilisateur d'entrer la clé de chiffrement pour l'installation : Entrez la clé de chiffrement. L'efficacité de cette clé sera indiquée à côté de cette fenêtre, donc utilisez cet outil comme un "baromètre" et essayez d'avoir une clé qualifiée de "Mot de passe fort". Une fois choisi, l'entrer à nouveau pour la confirmer puis, surtout, éviter de l'oublier ! Cochez de plus la case "Écraser l'espace disque vide" (c'est optionnel). Sélectionnez "Installer maintenant" lorsque vous avez terminé. Sélectionnez le fuseau horaire et créez un utilisateur avec un mot de passe fort. Lors de la création du disque dur chiffré sous Ubuntu, sélectionnez "demander mon mot de passe pour me connecter" et "chiffrer mon répertoire utilisateur" au moment de la création de l'utilisateur. Cela ajoutera une couche de sécurité supplémentaire pour les données. [/details] ## :closed_lock_with_key: **Chiffrement fort d'un périphérique de stockage externe sous GNU/Linux** [details="Cliquez pour dérouler"] Ce qui suit est un exemple sur une distribution basée sur [Debian](https://debian.org/), comme Ubuntu. **1. Installer cryptsetup** > apt-get update > apt-get install cryptsetup **2. Connecter le périphérique que vous voulez chiffrer** Connecter le périphérique, attendre quelques secondes, et entrer la commande `dmesg` dans un terminal afin de trouver son emplacement dans le système de fichiers. Si vous n'avez pas activé le montage (`mount ...`) automatique précédemment, connectez le périphérique que vous voulez chiffrer puis démontez-le (`unmount ...`)/"éjecter". En général le périphérique sera monté sur /dev/sdb et ses partitions sur /dev/sb1, /dev/sdb2, etc. Vérifier avec `fdisk -l` et comparer au résultat précédent. **3. Chiffrer le périphérique** :warning: Ne pas copier-coller la commande ci-dessous tant que vous n'êtes pas certain⋅e de l'emplacement du périphérique. En supposant que le périphérique est monté sur **/dev/sdb**, nous allons le chiffrer avec un chiffrement fort AES-XTS et une clé de longueur 512 octets (au lieu de 256, qui est l'option standard et déjà satisfaisante) : >cryptsetup luksFormat -c aes-xts-plain64 --key-size 512 --hash sha512 --use-urandom /dev/sdb Vous devrez fournir le mot de passe que vous aurez choisi. **4. Libérer le périphérique** Nous devons maintenant le libérer/déchiffrer avant de pouvoir faire quoi que ce soit d'autre. Nous devons lui assigner une "étiquette", qui apparaîtra dans le "mapper" du système de fichiers utilisé pour le chiffrement. Ici, nous allons utiliser l'étiquette "encrypted" ; on peut choisir toute autre étiquette. >cryptsetup luksOpen /dev/sdb encrypted Vous devrez fournir votre mot de passe. Vérifiez que vous avez maintenant un fichier **/dev/mapper/encrypted** dans votre système de fichiers. **5. Créer un système de fichiers sur le périphérique** :warning: À faire une seule fois ! Nous créons maintenant un système de fichiers fiable *ext4* sur le périphérique non chiffré, accessible via le "mapper" : > mkfs.ext4 /dev/mapper/encrypted **6. "Monter" le périphérique dans votre système de fichiers** Créer un répertoire **enc** dans votre dossier personnel qui servira de point de montage : > mkdir enc "Monter" le fichier **/dev/mapper/encryted** à cet endroit : > mount /dev/mapper/encrypted enc Vous pouvez maintenant copier les données sur votre périphérique. **7. Fermeture du périphérique chiffré** Vous devrez le faire à chaque fois que vous avez copié des données sur votre périphérique. D'abord, "démontez"-le : > umount enc Puis fermez-le : > cryptsetup luksClose encrypted [/details] # D. Demande d'accès des forces de l'ordre > :warning: Ayez toujours un mot de passe puissant pour la connexion (login), car si votre mot de passe est découvert, votre contenu est accessible même si votre disque est chiffré. > :information_source: **Si vous le pouvez et que vous savez que votre ordinateur risque d'être saisi : éteignez-le avant le contact avec les forces de l'ordre ou les enquêteurs.** Eteignez-le toujours avant de passer une frontière par exemple. Les forces de l'ordre peuvent vous demander de fournir votre mot de passe. Ne leur dites rien de plus que nécessaire. En cas de procès, vous aurez le temps de vous préparer avec des personnes compétentes. Cet article est toujours en cours de modification. #### Références https://base.organise.earth/t/laptop-security-1-seizure-by-police-and-investigators/600 [Post transféré de la base](https://base.extinctionrebellion.fr/t/securite-de-lordinateur-1-saisie-par-la-police/52523) # Tails - Un système d'exploitation pour échapper à la surveillance # Tails Bonjour tout le monde, Tails est un outil informatique (ordinateur et clé USB) utile aux activistes, aux journalistes, aux personnes désirant ou ayant besoin d’échapper à la surveillance numérique. > ![:information_source:](https://base.extinctionrebellion.fr/images/emoji/twitter/information_source.png?v=12 ":information_source:") « Tails est un système d’exploitation portable qui protège contre la surveillance et la censure. » (site internet de Tails) Des rebelles du groupe local de Bordeaux ont réalisé un travail important concernant la sécurité numérique que je vous invite à consulter. Il peut être utile à titre individuel autant que pour un groupe local souhaitant se former. Il se trouve dans [l’espace de stockage RDV2 7](https://rdv2.extinctionrebellion.fr/index.php/apps/files/?dir=/FICHIERS%20-%20DIVERS/3%20-%20SENSIBILISATION%20%26%20FORMATION/Guides%20Bordeaux/S%C3%A9curit%C3%A9%20militante%20num%C3%A9rique&fileid=398141), dont les identifiant et mot de passe sont disponibles [ici 6](https://base.extinctionrebellion.fr/t/les-outils-dextinction-rebellion-france/11452). > La page 21 du fichier [« Sécurité militante » 5](https://rdv2.extinctionrebellion.fr/index.php/apps/files?dir=/FICHIERS%20-%20DIVERS/3%20-%20SENSIBILISATION%20%26%20FORMATION/Guides%20Bordeaux/S%C3%A9curit%C3%A9%20militante%20num%C3%A9rique&openfile=473354) traite en particulier de Tails. En plus de cela, vous pouvez librement consulter le site web de Tails, en français également : [Tails - Home 3](https://tails.boum.org/index.fr.html). Si besoin, vous pouvez contacter le groupe de support numérique ou le groupe de Sensibilisation et Formation. [Post transféré de la base](https://base.extinctionrebellion.fr/t/tails-des-references/69544) # Créer un espace de stockage sécurisé avec VeraCrypt ## Modèle de menace : > La police saisit une clé USB, un disque dur ou une carte SD pendant une perquisition, ou dans un sac à la frontière, ou pendant une action, etc. La clé USB ou assimilé est confiée à des spécialistes qui en extraient les données. Ces données sont utilisées plus tard pour incriminer le propriétaire et/ou d’autres rebelles et/ou compromettre la branche XR. La clé USB peut être rendue au rebelle arrêté sans aucune indication que ce processus a eu lieu. Ce post est un complément à celui sur la [Sécurité de l’ordinateur : saisie par la Police 4](https://base.extinctionrebellion.fr/t/securite-de-lordinateur-1-saisie-par-la-police/52523) où il est conseillé de chiffrer le disque dur de son ordinateur s’il contient des données sensibles. Le modèle de menace est le même. ➡️ Il ne s’agit pas ici d’apprendre à chiffrer son disque dur système (celui où est installé votre système d’exploitation) mais le logiciel est le même. Je vous conseille d’apprendre d’abord comment fonctionne VeraCrypt, puis à chiffrer quelque chose de léger comme une clé USB. ➡️ Moins risqué pour votre ordinateur mais tout aussi amusant et utile, nous allons jouer ici avec une clé USB. ➡️ Rappel : d’une manière générale, ne centralisez nulle part d’informations sensibles (noms, adresses, numéros de téléphones, tout ce qui peut permettre de casser le pseudonymat d’un.e rebelle et de l’identifer). Si vous le faites, il est conseillé d’avoir dans votre groupe local quelques clés USB sécurisées, achetées en liquide, si vous stockez des fichiers contenant des informations sensibles. N’oubliez pas de formatez les clés lorsque les données ne sont plus utiles. Bonne lecture, 🩵 & ⚡ --- ## Plan 💡 Première partie théorique. Comprendre ce que nous allons apprendre à faire 🛠️ Seconde partie pratique. Créer un espace de stockage sécurisé --- 💡 Première partie : comprendre ce que nous allons apprendre à faire Puisque de petits dessins sur Paint valent mieux que de longues prises de tête, en voici deux qui illustrent ce à quoi va nous servir le logiciel VeraCrypt. Considérons ces trois espaces, de taille nécessairement décroissantes, qui représentent des volumes de stockage sur une clé USB. [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/1med0BtNkNsGbrBQ-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/1med0BtNkNsGbrBQ-image.png) VeraCrypt va nous permettre de créer dans notre clé USB ce qu’on appelle un conteneur, c’est-à-dire un volume de stockage sécurisé. C’est une fonction de base du logiciel. Après avoir créé votre « conteneur A », vous possédez sur votre clé USB un endroit protégé par un mot de passe que vous avez défini préalablement. Sur votre clé USB, le conteneur apparaît avec l’icône d’un simple fichier. C’est ce fichier qui sert de porte pour entrer dans le conteneur. Une fonction plus avancée du logiciel permet de cacher un conteneur B dans le conteneur A. Le conteneur B est lui aussi protégé par un mot de passe qui lui est propre et, à la différence du conteneur A, il n’apparaît pas à l’écran. L’espace de stockage qu’il occupe est incorporé à celui du conteneur A, si bien qu’il n’apparaît pas individuellement dans la capacité de stockage (clic droit sur le disque, propriété). Il est invisible, ce qui lui donne un atout de poids : puisqu’il est impossible de prouver que vous cachez quelque chose, il est impossible d’exiger de vous que vous révéliez un mot de passe pour y accéder. Voici, en image, comment fonctionne le cloisonnement entre les volumes de stockage. [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/OXYeUVux6BR0BEYD-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/OXYeUVux6BR0BEYD-image.png) Le logiciel VeraCrypt, après avoir servi à créer les conteneurs A et B, sert à y accéder. L’explorateur de fichiers ne les voit pas. L’accès aux conteneurs fonctionne de la même manière que la salle sur demande d’Harry Potter : une seule porte pour plusieurs salles ; un seul fichier pour deux conteneurs. Cela signifie qu’il est impossible d’ouvrir en même temps les deux conteneurs : lorsque vous entrez un mot de passe, vous choisissez le conteneur qui se trouve derrière. Un fois le conteneur A ouvert, le conteneur B est inaccessible ; si le conteneur B est ouvert, le A est inaccessible. L’analogie s’arrête ici. # 🛠️ Seconde partie : créer un espace de stockage sécurisé Tout d’abord, bien sûr, il faut [télécharger VeraCrypt 2](https://www.veracrypt.fr/en/Downloads.html) et l’installer sur votre ordinateur. Notez qu’une version dite « portable » est disponible : dans ce cas le logiciel sera installé sur une clé USB, ce qui vous permet de l’avoir avec vous sans promener votre ordinateur. Suivez les instructions pour installer VeraCrypt et, si cela peut vous aider, installez-le en français. ➡️ Nous utilisons ici la version standard, installée sur ordinateur, en français #### Plan du didacticiel Dans la partie 1️⃣ nous allons d’abord montrer étape par étape comment créer un volume de stockage simple (le conteneur A), puis nous verrons dans la partie 2️⃣ comment ouvrir ce conteneur pour l’utiliser. Dans la partie 3️⃣ nous suivrons la création d’un volume caché (le conteneur B). ## 1️⃣ Créer un volume VeraCrypt standard
Cliquer ici pour dérouler On se munit avant tout d’une simple clé USB (ici « disque amovible (G:) »), comportant quelques fichiers que vous ne craignez pas de perdre. Dans le doute, faites-en une copie avant de commencer la manipulation. Vous pouvez aussi trouver sur internet des générateurs de fichiers aléatoires, très utiles quand on tatônne. La capacité de la clé utilisée pour le tutoriel est de 1 Gb. Le fichier texte « \_Pédago » nous sert de balise, en marquant que nous sommes à la racine de la clé : c’est l’espace que l’explorateur de fichiers nous permet de voir. J’utiliserai ce système de fichier texte pour bien distinguer les différents volumes de stockage. Pour les besoin du tutoriel, j’ai enregistré des fichiers aléatoires sur la clé. Celui qui est entouré en rouge « dlN1WUfgf1zc » est celui qui va nous servir de porte d’entrée dans nos conteneurs. On le renommera « VolumeStockageChiffré » par la suite. [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/Ebc0FmAEsVLUHhPu-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/Ebc0FmAEsVLUHhPu-image.png) La clé étant en place, j’ouvre VeraCrypt, en double cliquant sur l’icône comme tout logiciel. La boîte suivante apparaît. [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/BeEFcpfr0fuyg4nf-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/BeEFcpfr0fuyg4nf-image.png) La longue colonne de gauche vous montre tous les disques sur lesquels vous pourrez « monter » vos conteneurs : ce sont, pour ainsi dire, les endroits dans votre ordinateur où vous pourrez poser vos conteneurs pour les voir apparaître à l’écran. Mais ce qui nous intéresse pour l’instant, c’est le bouton « Créer un volume ». Cliquons. [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/pwoeMA9KHnINW1EF-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/pwoeMA9KHnINW1EF-image.png) L’assistant de création s’ouvre, qui vous propose trois possibilités. Je vous laisse lire les petites lignes : ne cliquez pas au hasard ! Nous nous contentons de la première option : nous allons créer un conteneur (notre conteneur A) qui se trouvera dans un fichier (la porte d’entrée du conteneur). Cliquons sur « Suivant ». Il s’agit ensuite de déterminer quel type de volume nous souhaitons créer, c’est-à-dire choisir entre conteneur A et conteneur B (cf. plus haut, première partie théorique du didacticiel). [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/Ns4BgdIidd4ZMJBC-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/Ns4BgdIidd4ZMJBC-image.png) Le volume caché (un conteneur B) sera l’objet de la seconde partie pratique. Nous créons ici un volume standard (le conteneur A). Sans surprise, il s’agit de choisir l’emplacement du fichier-conteneur A sur notre clé USB. [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/BY8Me1snmZKexdK6-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/BY8Me1snmZKexdK6-image.png) Et sans surprise je choisis mon fichier « dlN1WUfgf1zc », renommé pour l’occasion « VolumeStockageChiffré ». La pédagogie avant tout. [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/oLArarOCHB2a6veC-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/oLArarOCHB2a6veC-image.png) Je clique sur « Suivant » et une boîte me préviens que le fichier que je cible existe déjà. [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/yzugU3C7D8QjPzPm-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/yzugU3C7D8QjPzPm-image.png) Je confirme : ce fichier sera la porte d’entrée de mon conteneur chiffré. ⚠️ Attention : on ne vous le dit pas encore mais cela signifie que le contenu du fichier sera écrasé. Choisissez soigneusement votre fichier-conteneur (et ne l’appelez pas « VolumeStockageChiffré »). Je passe les options de chiffrement : si vous ne comprenez pas ce que vous dit cette boîte de dialogue, souriez-lui par politesse et cliquez sur « Suivant ». [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/zyqxaOvSnAVNdBeF-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/zyqxaOvSnAVNdBeF-image.png) Vient ensuite un paramétrage essentiel : la taille du volume de stockage que vous allez créer. Vous ne pourrez pas la réajuster ensuite. Considérez vos besoins de stockage : plus votre conteneur est volumineux, plus l’espace de stockage « normal » de votre clé USB sera faible. Demandez-vous si vous voulez protéger des fichiers textes (qui sont souvent légers) ou des vidéos (qui sont lourdes). L’assistant vous donne clairement l’espace disponible sur votre clé USB (dans mon cas : 675, 09 Mo). [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/US8LANQH18f28EQt-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/US8LANQH18f28EQt-image.png) Je choisis de créer un conteneur de 500 Méga Octets et je passe au paramétrage essentiel suivant : le mot de passe. [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/wsPm4LaA4YclNfF6-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/wsPm4LaA4YclNfF6-image.png) L’assistant ne vous encadrera pas aussi joliement les conseils sur le choix du mot de passe mais lisez-les attentivement quand même. Prenez le temps de réfléchir et d’aller voir notre [Foire au Questions spéciale sécurité numérique](https://base.extinctionrebellion.fr/t/securite-numerique-operationnelle-foire-aux-questions/54864). On vous propose une méthode pour vous créer un bon mot de passe. Par sécurité, affichez le mot de passe, juste le temps de le relire, pour être sûr.e. Et « Suivant ». Les choses se précisent. Lisez les petites lignes et bougez frénétiquement votre souris. [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/UjTmv3sjbuUCSafF-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/UjTmv3sjbuUCSafF-image.png) Lorsque la barre de chargement est pleine, soufflez et cliquez sur « Formater ». La boîte suivante apparaît : VeraCrypt vous signifie en majuscule que le fichier qui nous sert de porte pour entrer dans notre conteneur A sera SUPPRIMÉ. Mais comme on suit un tuto, on est sûr : « Oui ». [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/ceuZW12dhNVic8t5-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/ceuZW12dhNVic8t5-image.png) [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/2CnvkngYmUS1z9Wj-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/2CnvkngYmUS1z9Wj-image.png) ## Bravo 🥳 L’assistant est content de nous, on est content, on clique sur « Ok », on quitte l’assistant d’un air entendu et on va voir l’explorateur de fichier pour savoir ce qu’il pense de tout ça. Le voici. [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/8kAyO51LwtPejsqZ-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/8kAyO51LwtPejsqZ-image.png) Du point de vue de l’interface, rien n’a changé. On est toujours sous (G:), on reconnait la balise « \_Pédago », le fichier « VolumeStockageChiffré » est toujours là. Ce qui a changé, c’est sa taille. Il a grossit, puisqu’on a créé dans ce fichier un conteneur de 500 Mo. Reste que le fichier paraît corrompu ou cassé quand on essaie de l’ouvrir de manière traditionnelle, en lui cliquant dessus. Il faut utiliser le logiciel VeraCrypt pour ouvrir votre conteneur. Voyons comment.
## 2️⃣ Ouvrir un conteneur sous VeraCrypt
Cliquer ici pour dérouler Retournons à la fenêtre basique de VeraCrypt. En termes techniques, nous allons monter un volume sur un lecteur. Comme nous l’avons vu plus haut, la colonne alphabétique à gauche vous propose tous les lecteurs disponibles sur votre ordinateur pour accueillir le conteneur que vous voulez ouvrir. Si vous regardez attentivement, vous voyez sur l’image que, par exemple, les lecteurs C: et D: n’apparaîssent pas. Ce sont des lecteurs que mon ordinateur utilisent pour d’autres disques : je ne peux pas y poser mon conteneur. Vous observerez le même phénomène chez vous. Je décide de choisir le lecteur A:. [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/BsKqGVqCuwWGDKxs-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/BsKqGVqCuwWGDKxs-image.png) Dans la partie notée « Volume » (deuxième ellipse rouge), je sélectionne le fichier dont je sais qu’il s’agit de la porte vers mon conteneur A. On reconnaît le nom subtil du fichier : « VolumeStockageChiffré », toujours sur ma clé USB qui occupe le lecteur G: (qui, vous l’avez vu, n’est pas dans la liste des lecteurs disponibles. Tout fait sens). La cible étant acquise, je clique sur le bouton pour « Monter » mon conteneur sur le lecteur A:. Le logiciel demande bien sûr le mot de passe. [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/DjpJPAUIijGuxdjl-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/DjpJPAUIijGuxdjl-image.png) Lorsque le chargement du conteneur est effectué, la fenêtre VeraCrypt montre que le conteneur a bien été monté sur le lecteur A:. Le volume de stockage est de 499 Mo. [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/zw8uHhIjax8mftki-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/zw8uHhIjax8mftki-image.png) Remarquez la mention : « Type : Normal ». Elle signifie qu’il s’agit d’un conteneur standard, chiffré mais pas caché. Si je reprends notre typologie maison, cela montre qu’il s’agit d’un conteneur A et non d’un conteneur B. Un conteneur B serait noté « Type : Caché ». Pour ouvrir votre conteneur et y enregistré vos fichiers secret-défense, faites un clic droit sur la ligne, puis « Ouvrir ». [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/JRq2qaPcfpoTwTk9-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/JRq2qaPcfpoTwTk9-image.png) Une nouvelle fenêtre apparaît, qui vous montre l’intérieur du conteneur, tel qu’ici : ![](https://base.extinctionrebellion.fr/uploads/default/original/3X/6/3/63f43fdad57b6b44dcdda09b2c31cb751e060d2f.jpeg) Comme demandé, le conteneur est bien monté sur le lecteur A:. Pour la démonstration, j’ai placé un fichier texte, comme sous la racine de la clé USB, qui nous sert de balise pour reconnaître l’espace de stockage de mon conteneur A. Dans la dernière partie du didacticiel, je créerai une balise similaire pour marquer mon volume caché, le conteneur B. Après avoir enregistré les fichiers souhaités et fermé la fenêtre, je peux laisser mon conteneur monté sur le lecteur A:. Dans ce cas, il reste ouvert et je peux y accéder sans avoir à redonner le mot de passe. Pratique tant que je travaille sur l’ordinateur mais c’est une faille de sécurité absurde si je ne suis pas vissé devant l’écran. Pour refermer le conteneur, je dois le démonter. Un bouton est prévu à cet effet, joie : les développeurs sont des gens prévoyants. [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/f4yHsMcWkI8rjrt0-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/f4yHsMcWkI8rjrt0-image.png) Cliquez et attendez que VeraCrypt fasse le travail. Lorsque le volume est démonté, son nom disparait de la fenêtre et il faudra de nouveau le monter sur un lecteur pour y accéder de nouveau. > On prend une pause et on respire Si vous avez suivi toutes les étapes jusqu’ici, vous êtes sans doute parvenu à créer un conteneur chiffré sur votre clé USB et à y placer des documents confidentiels. Cela étant, ne perdons pas de vue que vos documents, pour protégés qu’ils soient, ne sont pas cachés. Si, d’une manière ou d’une autre, un opposant peut vous forcer à donner votre mot de passe, vos documents sont compromis. Cela peut arriver en garde à vue, suite à une perquisition etc. La pression que vous pouvez subir ne doit pas être minimisée ni négligée. Pour s’en protéger, on cache un conteneur B, invisible, dans un coin sombre du conteneur A. Allez, go.
## 3️⃣ Créer un volume VeraCrypt caché
Cliquer ici pour dérouler Dans le modèle de menace qui nous occupe ici, lorsque la Police branche ma clé USB sur un ordinateur, elle voit ceci : Le contenu à la racine de la clé : [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/TnAi4x2HGRzLWA7V-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/TnAi4x2HGRzLWA7V-image.png) Et, bien sûr, les propriétés de la clé : [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/nj571qoMQYmLReCY-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/nj571qoMQYmLReCY-image.png) Au-delà de l’évidence qu’une liste aussi bizarre de fichiers peut être suspecte (je passe sur le nom de mon fichier le plus coupable…), c’est l’espace utilisé par vos fichier sur la clé qui peut trahir la présence d’un conteneur. Imaginez que mon fichier « VolumeStockageChiffré » s’appelle « Recette tarte aux fraises.txt » : rien de plus suspect qu’un fichier texte aussi anodin qui pèse près de 500 Mo. D’autant que lorsque l’agent de police clique dessus, le fichier est inutilisable. L’opposant (celui qui veut récupérer les infos sensibles) essaye alors de nous faire craquer. C’est là qu’un conteneur caché est utile. Il vous permet de donner le mot de passe du conteneur A, qui ne doit contenir que des fichiers pseudo-sensibles. Comme on l’a vu dans la partie théorique du didacticiel, une fois révélé le conteneur A, le conteneur B est inaccessible. Et, puisque l’opposant ne peut pas prouver qu’il existe, il ne peut pas vous forcer à en révéler le mot de passe. Invisible, me direz-vous ? Oui. Vous ne le saviez pas mais les 791 Mo utilisés, qui apparaissent en bleu sur l’image précédente, sont en fait occupés non seulement par notre conteneur A mais aussi par un conteneur B (et oui, je vais plus vite que le tuto). Invisible donc, parce que la porte d’entrée dans le conteneur B est le même fichier que pour le conteneur A : sa présence n’est pas trahit par l’interface. Reprenons. Créons donc ce conteneur B, à l’intérieur du conteneur A. [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/yiWK9zalCwwcQput-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/yiWK9zalCwwcQput-image.png) [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/dCcPzEd4hINLfks1-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/dCcPzEd4hINLfks1-image.png) Les deux étapes précédentes sont les mêmes que pour un conteneur A (volume standard). C’est à la troisième que l’on bifurque. [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/lWEyAQerLzYdTRhe-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/lWEyAQerLzYdTRhe-image.png) Puisque j’ai déjà créé mon conteneur A, je choisis « Volume VeraCrypt caché », puis « Mode direct ». Si vous n’avez pas déjà créé de conteneur sur votre périphérique de stockage, utilisez le « Mode normal » et suivez les étapes précédentes du didacticiel. [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/JVLjaDggKUbI4Fnq-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/JVLjaDggKUbI4Fnq-image.png) Je cible le fichier-conteneur qui sert de porte d’entrée au conteneur A, puisque c’est à l’intérieur de celui-ci que je vais construire le B. [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/8lf6ipuysb0Fixxq-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/8lf6ipuysb0Fixxq-image.png) [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/ynWdsHk2saPSIy0O-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/ynWdsHk2saPSIy0O-image.png) « Suivant ». [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/nIB4NcwLlucK8Bsf-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/nIB4NcwLlucK8Bsf-image.png) Même remarque que plus haut : dans le doute, ne touchez à aucun de ces paramètres de chiffrement. « Suivant ». Vous allez pouvoir choisir la taille du volume de stockage de votre conteneur B. Vous remarquez que, sur ma clé de 1 Go, seuls près de 500 Mo sont disponibles. Si vous avez suivis la partie 1️⃣ sur la création du conteneur A, vous avez que c’est la taille que j’ai alloué à ce conteneur A. Le B, qui se trouve dans le A, est nécessairement plus petit que lui. [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/qM7WJspow4QwON9X-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/qM7WJspow4QwON9X-image.png) « Suivant ». Choisissez un mot de passe puissant : inutile de prendre des risques. [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/ipYeYTxcQaJaCDtz-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/ipYeYTxcQaJaCDtz-image.png) Créez le volume caché, selon la même méthode que le conteneur A. [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/S8Mik4e0JGP4lm9F-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/S8Mik4e0JGP4lm9F-image.png) [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/rVRjXRgnT7EZdLlB-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/rVRjXRgnT7EZdLlB-image.png) J’ai dorénavant sur ma clé USB deux conteneurs, tels que décrit dans la partie théorique, tout en haut. Nous allons voir que c’est bien le même fichier « VolumeStockageChiffré » qui sert à y entrer. J’utilise la même manipulation pour ouvrir le conteneur B que celle utilisée pour ouvrir le conteneur A. ![](https://base.extinctionrebellion.fr/uploads/default/original/3X/4/5/45d4199c5a02478a0e93454472e792a5718dc978.jpeg) Je cible le fichier, pour le monter sur le lecteur A:. Remarquez que le mot de passe que je rentre ici est plus long que celui que j’ai créé pour le conteneur A. Il s’agit bien du mot de passe qui me donne accès au conteneur B. On le voit ici : [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/DHBF0RcTaCTKtINM-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/DHBF0RcTaCTKtINM-image.png) Tout paraît identique, sauf que la taille du volume est bien de 299 Mo (pour les 300 demandés) et ce conteneur porte la mention « Type : Caché ». Le conteneur A portait la mention « Type : Normal ». Je fait un clic droit sur la ligne pour ouvrir le conteneur. ![](https://base.extinctionrebellion.fr/uploads/default/original/3X/8/8/88c98cfd4b61411800e85ac872c85eb2feaebf58.jpeg) Le même fichier m’a bien amené vers le conteneur B, comme en témoigne le fichier balise que j’y ai posé pour les besoins de la démonstration. C’est le mot de passe entré lors du « montage » du volume sur un lecteur qui détermine quel conteneur je vais ouvrir. Si vous avez créé un volume caché sur votre clé USB, le volume standard (conteneur A) est fait pour être révélé : c’est un leurre qui vous permet de nier l’existence d’un volume caché (conteneur B). Ça va ?
[Post transféré de la base](https://base.extinctionrebellion.fr/t/creer-un-espace-de-stockage-securise-avec-veracrypt/60689) # Utiliser BigBlueButton avec Tor La navigation sur le Web via [Tor](https://www.torproject.org/), couplée à d'autres mesures de sécurité, permet de respecter la vie privée de l'utilisateur⋅rice. Toutefois, le navigateur Tor désactive les technologies telles que [WebRTC](https://fr.wikipedia.org/wiki/WebRTC), utilisées par exemple par des applications de visio-conférence comme [BigBlueButton](https://base.extinctionrebellion.fr/t/visioconference-bigbluebutton/51394) (BBB). Il est toutefois possible d'accéder à BBB via Tor, mais en utilisant son navigateur habituel. Le tuto qui suit montre comment faire avec [Firefox](https://www.mozilla.org/fr/firefox/). L'idée est d'utiliser Tor comme [proxy](https://fr.wikipedia.org/wiki/Proxy). Lorsque vous naviguerez sur le Web, toutes vos requêtes transiteront par Tor, mais vous pourrez tout de même accéder à une session BBB avec Firefox. Pour cela : - Téléchargez et installez le [navigateur Tor](https://www.torproject.org/download/) (disponible pour tous les systèmes d'exploitation "classiques") ; - Lancez-le et connectez-vous au réseau Tor ; ne touchez plus à rien de ce côté-là :wink: - Ouvrez maintenant Firefox et sélectionnez `Préférences` dans le menu (les trois barres horizontales en haut à droite) : [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/eMZEDCxmD14PiL3a-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/eMZEDCxmD14PiL3a-image.png) - Dans la fenêtre de recherche, tapez `proxy`, puis cliquez sur `Paramètres` : [![image.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/scaled-1680-/hXVPDapnRqNpHqYr-image.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-05/hXVPDapnRqNpHqYr-image.png) - Une fenêtre s'ouvre sur les `Paramètres de connexion`![](https://base.extinctionrebellion.fr/uploads/default/original/3X/2/3/232fdd09cf9e801b4d2edf7484a08a500e61b10f.png) : Sélectionner `Configuration manuelle du proxy`, entrer `127.0.0.1` dans `Hôte SOCKS`, `9150` dans `Port` et sélectionner `SOCKS v5` en-dessous : ![](https://base.extinctionrebellion.fr/uploads/default/original/3X/b/c/bc99032daf1561105f6d59697e2cf19af871a196.png) - Cliquer sur `OK`, et c'est fini. Vous pouvez d'ailleurs vérifier que votre adresse IP est celle d'un nœud de sortie Tor : ![](https://base.extinctionrebellion.fr/uploads/default/original/3X/a/b/ab0d15a80335106f2a6ea942ea37f0d3a2f66230.png) ⚠️ **L'utilisation de Tor en proxy (donc en dehors du navigateur Tor) est fortement déconseillée en général, car elle peut dans certains cas révéler l'identité de l'utilisateur, en particulier sous Windows (voir [https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxyLeaks](https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxyLeaks), merci à @blop). Il faut donc restreindre cet usage de Tor à quelques cas très particuliers.** [Post transféré de la base](https://base.extinctionrebellion.fr/t/utiliser-bigbluebutton-avec-tor/54807) # Informations pratiques sur les outils Chapitre pour répertorier les informations pratiques sur les différents outils. # Effacer les métadonnées d'une image Lorsque vous prenez une photographie avec un appareil numérique (APN ou téléphone), certaines données relatives à la prise de vue sont stockées dans le fichier image. Si certaines de ces données ne prêtent pas à conséquence et sont même intéressantes d’un point de vue photographique (vitesse, ouverture du diaphragme, sensibilité …), d’autres peuvent être plus problématiques pour la sécurité de l’auteur⋅rice de la prise de vues. Cela concerne par exemple :
- la marque et le modèle de l’appareil ; - la date de prise de vues ; - les coordonnées GPS de l’endroit où la photo a été prise ; - le nom de l’auteur⋅rice de la photo ; - etc.
Aussi, lorsque l’on partage une photo sensible, il peut être plus prudent d’en effacer les métadonnées. Nous allons pour cela utiliser le logiciel de traitement d’images [GIMP 4](https://www.gimp.org/) (the GNU Image Manipulation Program), qui a le bon goût d’être libre et disponible pour de nombreux systèmes d’exploitation (GNU/Linux, Windows, Mac OS X …). Après avoir téléchargé et installé le logiciel, ouvrir la photo concernée (qui dans la suite sera supposée au format JPEG/JPG) à l’aide de celui-ci. Vous pouvez alors visualiser les métadonnées à l’aide du menu `Image` :
On obtient alors quelque chose de ce genre : ![Capture d’écran du 2020-06-12 09-43-34](https://base.extinctionrebellion.fr/uploads/default/original/3X/8/a/8a8ed261438c70e5282f5adf8990fe40e3fb2a01.png) Nous allons simplement enregistrer une copie de cette image (`Fichier -> Exporter sous ...`, mais en en supprimant les métadonnées (vous pouvez d’ailleurs en profiter pour ajuster le taux de compression de l’image afin de réduire son poids):
Vérifier que les cases « Enregistrer les données Exif », « Enregistrer les données XMP » et « Enregistrer les données IPTC » sont décochées :
Enfin, cliquer sur « Exporter », et c’est fini ! En fait, le nouveau fichier obtenu contient encore quelques métadonnées, mais celles-ci sont purement techniques (longueur, largeur de l’image …). Si toutefois vous estimez qu’elles sont trop « parlantes », il vous reste la possibilité de faire une capture d’écran de votre image (et en vérifier les métadonnées …). # Créer un espace de stockage sécurisé avec VeraCrypt \# Créer un espace de stockage sécurisé avec VeraCrypt \## Modèle de menace : >La police saisit une clé USB, un disque dur ou une carte SD pendant une perquisition, ou dans un sac à la frontière, ou pendant une action, etc. La clé USB ou assimilé est confiée à des spécialistes qui en extraient les données. Ces données sont utilisées plus tard pour incriminer le propriétaire et/ou d’autres rebelles et/ou compromettre la branche XR. La clé USB peut être rendue au rebelle arrêté sans aucune indication que ce processus a eu lieu. Ce post est un complément à celui sur la \[Sécurité de l'ordinateur : saisie par la Police\](https://base.extinctionrebellion.fr/t/securite-de-lordinateur-1-saisie-par-la-police/52523) où il est conseillé de chiffrer le disque dur de son ordinateur s'il contient des données sensibles. Le modèle de menace est le même. :arrow\_right: Il ne s'agit pas ici d'apprendre à chiffrer son disque dur système (celui où est installé votre système d'exploitation) mais le logiciel est le même. Je vous conseille d'apprendre d'abord comment fonctionne VeraCrypt, puis à chiffrer quelque chose de léger comme une clé USB. :arrow\_right: Moins risqué pour votre ordinateur mais tout aussi amusant et utile, nous allons jouer ici avec une clé USB. :arrow\_right: Rappel : d'une manière générale, ne centralisez nulle part d'informations sensibles (noms, adresses, numéros de téléphones, tout ce qui peut permettre de casser le pseudonymat d'un.e rebelle et de l'identifer). Si vous le faites, il est conseillé d'avoir dans votre groupe local quelques clés USB sécurisées, achetées en liquide, si vous stockez des fichiers contenant des informations sensibles. N'oubliez pas de formatez les clés lorsque les données ne sont plus utiles. Bonne lecture, :blue\_heart: & :zap: \--- \## Plan :bulb: Première partie théorique. Comprendre ce que nous allons apprendre à faire :hammer\_and\_wrench: Seconde partie pratique. Créer un espace de stockage sécurisé \--- \# :bulb: Première partie : comprendre ce que nous allons apprendre à faire Puisque de petits dessins sur Paint valent mieux que de longues prises de tête, en voici deux qui illustrent ce à quoi va nous servir le logiciel VeraCrypt. Considérons ces trois espaces, de taille nécessairement décroissantes, qui représentent des volumes de stockage sur une clé USB. !\[Schéma\_01|690x380, 75%\](upload://t5WcV9Ea4Q9yw0Pu8vbURsT942m.jpeg) VeraCrypt va nous permettre de créer dans notre clé USB ce qu'on appelle un conteneur, c'est-à-dire un volume de stockage sécurisé. C'est une fonction de base du logiciel. Après avoir créé votre "conteneur A", vous possédez sur votre clé USB un endroit protégé par un mot de passe que vous avez défini préalablement. Sur votre clé USB, le conteneur apparaît avec l'icône d'un simple fichier. C'est ce fichier qui sert de porte pour entrer dans le conteneur. Une fonction plus avancée du logiciel permet de cacher un conteneur B dans le conteneur A. Le conteneur B est lui aussi protégé par un mot de passe qui lui est propre et, à la différence du conteneur A, il n'apparaît pas à l'écran. L'espace de stockage qu'il occupe est incorporé à celui du conteneur A, si bien qu'il n'apparaît pas individuellement dans la capacité de stockage (clic droit sur le disque, propriété). Il est invisible, ce qui lui donne un atout de poids : puisqu'il est impossible de prouver que vous cachez quelque chose, il est impossible d'exiger de vous que vous révéliez un mot de passe pour y accéder. Voici, en image, comment fonctionne le cloisonnement entre les volumes de stockage. !\[Schéma\_02|582x500, 75%\](upload://6CyRtPXqH5NbIL1Hl2H5hEfTObQ.jpeg) Le logiciel VeraCrypt, après avoir servi à créer les conteneurs A et B, sert à y accéder. L'explorateur de fichiers ne les voit pas. L'accès aux conteneurs fonctionne de la même manière que la salle sur demande d'Harry Potter : une seule porte pour plusieurs salles ; un seul fichier pour deux conteneurs. Cela signifie qu'il est impossible d'ouvrir en même temps les deux conteneurs : lorsque vous entrez un mot de passe, vous choisissez le conteneur qui se trouve derrière. Un fois le conteneur A ouvert, le conteneur B est inaccessible ; si le conteneur B est ouvert, le A est inaccessible. L'analogie s'arrête ici. \--- \# :hammer\_and\_wrench: Seconde partie : créer un espace de stockage sécurisé Tout d'abord, bien sûr, il faut \[télécharger VeraCrypt\](https://www.veracrypt.fr/en/Downloads.html) et l'installer sur votre ordinateur. Notez qu'une version dite "portable" est disponible : dans ce cas le logiciel sera installé sur une clé USB, ce qui vous permet de l'avoir avec vous sans promener votre ordinateur. Suivez les instructions pour installer VeraCrypt et, si cela peut vous aider, installez-le en français. :arrow\_right: Nous utilisons ici la version standard, installée sur ordinateur, en français. \## Plan du didacticiel \* Dans la partie :one: nous allons d'abord montrer étape par étape comment créer un volume de stockage simple (le conteneur A), \* puis nous verrons dans la partie :two: comment ouvrir ce conteneur pour l'utiliser. \* Dans la partie :three: nous suivrons la création d'un volume caché (le conteneur B). \## :one: Créer un volume VeraCrypt standard \[details="Cliquez pour dérouler"\] On se munit avant tout d'une simple clé USB (ici "disque amovible (G:)"), comportant quelques fichiers que vous ne craignez pas de perdre. Dans le doute, faites-en une copie avant de commencer la manipulation. Vous pouvez aussi trouver sur internet des générateurs de fichiers aléatoires, très utiles quand on tatônne. La capacité de la clé utilisée pour le tutoriel est de 1 Gb. Le fichier texte "\_Pédago" nous sert de balise, en marquant que nous sommes à la racine de la clé : c'est l'espace que l'explorateur de fichiers nous permet de voir. J'utiliserai ce système de fichier texte pour bien distinguer les différents volumes de stockage. Pour les besoin du tutoriel, j'ai enregistré des fichiers aléatoires sur la clé. Celui qui est entouré en rouge "dlN1WUfgf1zc" est celui qui va nous servir de porte d'entrée dans nos conteneurs. On le renommera "VolumeStockageChiffré" par la suite. !\[1|690x473, 75%\](upload://683WHg3pqEpyFtW7pcHMyhYtttl.jpeg) La clé étant en place, j'ouvre VeraCrypt, en double cliquant sur l'icône comme tout logiciel. La boîte suivante apparaît. !\[2|569x487, 75%\](upload://zgnylQEobgmWhESKHIyh48oeWr.jpeg) La longue colonne de gauche vous montre tous les disques sur lesquels vous pourrez "monter" vos conteneurs : ce sont, pour ainsi dire, les endroits dans votre ordinateur où vous pourrez poser vos conteneurs pour les voir apparaître à l'écran. Mais ce qui nous intéresse pour l'instant, c'est le bouton "Créer un volume". Cliquons. !\[3|679x433, 75%\](upload://pJYKntwTt0IrKMBQeSm9cWMWpFV.jpeg) L'assistant de création s'ouvre, qui vous propose trois possibilités. Je vous laisse lire les petites lignes : ne cliquez pas au hasard ! Nous nous contentons de la première option : nous allons créer un conteneur (notre conteneur A) qui se trouvera dans un fichier (la porte d'entrée du conteneur). Cliquons sur "Suivant". Il s'agit ensuite de déterminer quel type de volume nous souhaitons créer, c'est-à-dire choisir entre conteneur A et conteneur B (cf. plus haut, première partie théorique du didacticiel). !\[4|679x433, 75%\](upload://ilkDFDimsFmlzeACFW6DOUg9Plz.jpeg) Le volume caché (un conteneur B) sera l'objet de la seconde partie pratique. Nous créons ici un volume standard (le conteneur A). Sans surprise, il s'agit de choisir l'emplacement du fichier-conteneur A sur notre clé USB. !\[4\_01|676x431, 75%\](upload://p6pzRaL8oghIv2jmebrJJBcmUYx.jpeg) Et sans surprise je choisis mon fichier "dlN1WUfgf1zc", renommé pour l'occasion "VolumeStockageChiffré". La pédagogie avant tout. !\[4\_02|480x407, 75%\](upload://9aHHA1fgdczAz9AYuADZyCo719M.jpeg) Je clique sur "Suivant" et une boîte me préviens que le fichier que je cible existe déjà. !\[5|367x130\](upload://vvV6qHCwR1egcSIMGxVN8QxTvki.jpeg) Je confirme : ce fichier sera la porte d'entrée de mon conteneur chiffré. :warning: Attention : on ne vous le dit pas encore mais cela signifie que le contenu du fichier sera écrasé. Choisissez soigneusement votre fichier-conteneur (et ne l'appelez pas "VolumeStockageChiffré"). Je passe les options de chiffrement : si vous ne comprenez pas ce que vous dit cette boîte de dialogue, souriez-lui par politesse et cliquez sur "Suivant". !\[6|678x432, 75%\](upload://rBMHUL7VE1eZWNSTea77Bf0k4Cy.jpeg) Vient ensuite un paramétrage essentiel : la taille du volume de stockage que vous allez créer. Vous ne pourrez pas la réajuster ensuite. Considérez vos besoins de stockage : plus votre conteneur est volumineux, plus l'espace de stockage "normal" de votre clé USB sera faible. Demandez-vous si vous voulez protéger des fichiers textes (qui sont souvent légers) ou des vidéos (qui sont lourdes). L'assistant vous donne clairement l'espace disponible sur votre clé USB (dans mon cas : 675, 09 Mo). !\[7|681x432, 75%\](upload://kiq0IfBHDgZhxSnIGicyisnQCqk.jpeg) Je choisis de créer un conteneur de 500 Méga Octets et je passe au paramétrage essentiel suivant : le mot de passe. !\[8|680x433, 75%\](upload://wv5aM3pMooIs7DlXPe2LUTSZw99.jpeg) L'assistant ne vous encadrera pas aussi joliement les conseils sur le choix du mot de passe mais lisez-les attentivement quand même. Prenez le temps de réfléchir et d'aller voir notre \[Foire au Questions spéciale sécurité numérique\](https://base.extinctionrebellion.fr/t/securite-numerique-operationnelle-foire-aux-questions/54864). On vous propose une méthode pour vous créer un bon mot de passe. Par sécurité, affichez le mot de passe, juste le temps de le relire, pour être sûr.e. Et "Suivant". Les choses se précisent. Lisez les petites lignes et bougez frénétiquement votre souris. !\[9|679x432, 75%\](upload://4HlQQHspPXoByq7baeTFcIob8My.jpeg) Lorsque la barre de chargement est pleine, soufflez et cliquez sur "Formater". La boîte suivante apparaît : VeraCrypt vous signifie en majuscule que le fichier qui nous sert de porte pour entrer dans notre conteneur A sera SUPPRIMÉ. Mais comme on suit un tuto, on est sûr : "Oui". !\[10|478x233, 75%\](upload://jcBNZ7cQ90HxppB7iH2saqtArdy.jpeg) !\[11|338x160, 75%\](upload://7fydD1zvCHxkV4bQ5YlUtcPPbY8.jpeg) \## Bravo :tada: L'assistant est content de nous, on est content, on clique sur "Ok", on quitte l'assistant d'un air entendu et on va voir l'explorateur de fichier pour savoir ce qu'il pense de tout ça. Le voici. !\[12|690x342, 75%\](upload://cq8zaGADjYTizvhXTHPpAIujzW7.jpeg) Du point de vue de l'interface, rien n'a changé. On est toujours sous (G:), on reconnait la balise "\_Pédago", le fichier "VolumeStockageChiffré" est toujours là. Ce qui a changé, c'est sa taille. Il a grossit, puisqu'on a créé dans ce fichier un conteneur de 500 Mo. Reste que le fichier paraît corrompu ou cassé quand on essaie de l'ouvrir de manière traditionnelle, en lui cliquant dessus. Il faut utiliser le logiciel VeraCrypt pour ouvrir votre conteneur. Voyons comment. \[/details\] \## :two: Ouvrir un conteneur sous VeraCrypt \[details="Cliquez pour dérouler"\] Retournons à la fenêtre basique de VeraCrypt. En termes techniques, nous allons monter un volume sur un lecteur. Comme nous l'avons vu plus haut, la colonne alphabétique à gauche vous propose tous les lecteurs disponibles sur votre ordinateur pour accueillir le conteneur que vous voulez ouvrir. Si vous regardez attentivement, vous voyez sur l'image que, par exemple, les lecteurs C: et D: n'apparaîssent pas. Ce sont des lecteurs que mon ordinateur utilisent pour d'autres disques : je ne peux pas y poser mon conteneur. Vous observerez le même phénomène chez vous. Je décide de choisir le lecteur A:. !\[14|564x483, 75%\](upload://cjvWhOKvujwBAdHuDLEQoM3SDpG.jpeg) Dans la partie notée "Volume" (deuxième ellipse rouge), je sélectionne le fichier dont je sais qu'il s'agit de la porte vers mon conteneur A. On reconnaît le nom subtil du fichier : "VolumeStockageChiffré", toujours sur ma clé USB qui occupe le lecteur G: (qui, vous l'avez vu, n'est pas dans la liste des lecteurs disponibles. Tout fait sens). La cible étant acquise, je clique sur le bouton pour "Monter" mon conteneur sur le lecteur A:. Le logiciel demande bien sûr le mot de passe. !\[15|499x194, 75%\](upload://bkj82k3uUhT9K57dfUmB1l8LemF.jpeg) Lorsque le chargement du conteneur est effectué, la fenêtre VeraCrypt montre que le conteneur a bien été monté sur le lecteur A:. Le volume de stockage est de 499 Mo. !\[16|564x482, 75%\](upload://6JnJQYDULxPycVOQdl85s9MKrqW.jpeg) Remarquez la mention : "Type : Normal". Elle signifie qu'il s'agit d'un conteneur standard, chiffré mais pas caché. Si je reprends notre typologie maison, cela montre qu'il s'agit d'un conteneur A et non d'un conteneur B. Un conteneur B serait noté "Type : Caché". Pour ouvrir votre conteneur et y enregistré vos fichiers secret-défense, faites un clic droit sur la ligne, puis "Ouvrir". !\[17|568x484, 75%\](upload://1b2053zUiTRJxvCDHGblT9jmx5q.jpeg) Une nouvelle fenêtre apparaît, qui vous montre l'intérieur du conteneur, tel qu'ici : !\[18|532x500, 75%\](upload://egezr7mRNkSpdIbDr2HR2jgSBnp.jpeg) Comme demandé, le conteneur est bien monté sur le lecteur A:. Pour la démonstration, j'ai placé un fichier texte, comme sous la racine de la clé USB, qui nous sert de balise pour reconnaître l'espace de stockage de mon conteneur A. Dans la dernière partie du didacticiel, je créerai une balise similaire pour marquer mon volume caché, le conteneur B. Après avoir enregistré les fichiers souhaités et fermé la fenêtre, je peux laisser mon conteneur monté sur le lecteur A:. Dans ce cas, il reste ouvert et je peux y accéder sans avoir à redonner le mot de passe. Pratique tant que je travaille sur l'ordinateur mais c'est une faille de sécurité absurde si je ne suis pas vissé devant l'écran. Pour refermer le conteneur, je dois le démonter. Un bouton est prévu à cet effet, joie : les développeurs sont des gens prévoyants. !\[19|564x482, 75%\](upload://8TVDKHbfrIcEkBTXUm0wBePLEFT.jpeg) Cliquez et attendez que VeraCrypt fasse le travail. Lorsque le volume est démonté, son nom disparait de la fenêtre et il faudra de nouveau le monter sur un lecteur pour y accéder de nouveau. \--- >On prend une pause et on respire. Si vous avez suivi toutes les étapes jusqu'ici, vous êtes sans doute parvenu à créer un conteneur chiffré sur votre clé USB et à y placer des documents confidentiels. Cela étant, ne perdons pas de vue que vos documents, pour protégés qu'ils soient, ne sont pas cachés. Si, d'une manière ou d'une autre, un opposant peut vous forcer à donner votre mot de passe, vos documents sont compromis. Cela peut arriver en garde à vue, suite à une perquisition etc. La pression que vous pouvez subir ne doit pas être minimisée ni négligée. Pour s'en protéger, on cache un conteneur B, invisible, dans un coin sombre du conteneur A. Allez, go. \[/details\] \## :three: Créer un volume VeraCrypt caché \[details="Cliquez pour dérouler"\] Dans le modèle de menace qui nous occupe ici, lorsque la Police branche ma clé USB sur un ordinateur, elle voit ceci : Le contenu à la racine de la clé : !\[19\_1|594x319, 75%\](upload://mRiEdK5aEItZN2SctCLzUPsBAyc.jpeg) Et, bien sûr, les propriétés de la clé : !\[13|481x485, 75%\](upload://z596A8W2EdlLuRSw8Mhc7ZJQ6v0.jpeg) Au-delà de l'évidence qu'une liste aussi bizarre de fichiers peut être suspecte (je passe sur le nom de mon fichier le plus coupable..), c'est l'espace utilisé par vos fichier sur la clé qui peut trahir la présence d'un conteneur. Imaginez que mon fichier "VolumeStockageChiffré" s'appelle "Recette tarte aux fraises.txt" : rien de plus suspect qu'un fichier texte aussi anodin qui pèse près de 500 Mo. D'autant que lorsque l'agent de police clique dessus, le fichier est inutilisable. L'opposant (celui qui veut récupérer les infos sensibles) essaye alors de nous faire craquer. C'est là qu'un conteneur caché est utile. Il vous permet de donner le mot de passe du conteneur A, qui ne doit contenir que des fichiers pseudo-sensibles. Comme on l'a vu dans la partie théorique du didacticiel, une fois révélé le conteneur A, le conteneur B est inaccessible. Et, puisque l'opposant ne peut pas prouver qu'il existe, il ne peut pas vous forcer à en révéler le mot de passe. Invisible, me direz-vous ? Oui. Vous ne le saviez pas mais les 791 Mo utilisés, qui apparaissent en bleu sur l'image précédente, sont en fait occupés non seulement par notre conteneur A mais aussi par un conteneur B (et oui, je vais plus vite que le tuto). Invisible donc, parce que la porte d'entrée dans le conteneur B est le même fichier que pour le conteneur A : sa présence n'est pas trahit par l'interface. Reprenons. Créons donc ce conteneur B, à l'intérieur du conteneur A. !\[2|569x487, 75%\](upload://zgnylQEobgmWhESKHIyh48oeWr.jpeg) !\[3|679x433, 75%\](upload://pJYKntwTt0IrKMBQeSm9cWMWpFV.jpeg) Les deux étapes précédentes sont les mêmes que pour un conteneur A (volume standard). C'est à la troisième que l'on bifurque. !\[4\_2|678x431, 75%\](upload://16UDnFV0YchsSa27sJdwYb1aR6I.jpeg) Puisque j'ai déjà créé mon conteneur A, je choisis "Volume VeraCrypt caché", puis "Mode direct". Si vous n'avez pas déjà créé de conteneur sur votre périphérique de stockage, utilisez le "Mode normal" et suivez les étapes précédentes du didacticiel. !\[4\_3|676x429, 75%\](upload://uvXJr08qIYMxogYmAQWoyhURqK0.jpeg) Je cible le fichier-conteneur qui sert de porte d'entrée au conteneur A, puisque c'est à l'intérieur de celui-ci que je vais construire le B. !\[4\_4|676x430, 75%\](upload://hYxKyrQFiBXHnyqFENlHIAcgFNk.jpeg) !\[4\_5|677x430, 75%\](upload://ag5TsMBHk1qHUak8Qf2LhB2PkhW.jpeg) "Suivant". !\[4\_6|678x432, 75%\](upload://5s8jbI7caSrQiFwb2cRy4qF6fp2.jpeg) Même remarque que plus haut : dans le doute, ne touchez à aucun de ces paramètres de chiffrement. "Suivant". Vous allez pouvoir choisir la taille du volume de stockage de votre conteneur B. Vous remarquez que, sur ma clé de 1 Go, seuls près de 500 Mo sont disponibles. Si vous avez suivis la partie :one: sur la création du conteneur A, vous avez que c'est la taille que j'ai alloué à ce conteneur A. Le B, qui se trouve dans le A, est nécessairement plus petit que lui. !\[4\_7|674x432, 75%\](upload://v57J9ExepxQJE69vGvfbasi3MVh.jpeg) "Suivant". Choisissez un mot de passe puissant : inutile de prendre des risques. !\[4\_8|675x429, 75%\](upload://Hwe14PR6w2UDgzbHZpOktvakJi.jpeg) Créez le volume caché, selon la même méthode que le conteneur A. !\[4\_9|678x433, 75%\](upload://blxiURJnwzh4TqfeWlnlMAXVaSP.jpeg) Et voilà ! !\[4\_10|678x431, 75%\](upload://28mulfjHFU5XhbFkE6QCnqVwbHp.jpeg) J'ai dorénavant sur ma clé USB deux conteneurs, tels que décrit dans la partie théorique, tout en haut. Nous allons voir que c'est bien le même fichier "VolumeStockageChiffré" qui sert à y entrer. J'utilise la même manipulation pour ouvrir le conteneur B que celle utilisée pour ouvrir le conteneur A. !\[20|690x375, 75%\](upload://9XJmNsr5Qe7sSw12Tr4hXvn2Pgc.jpeg) Je cible le fichier, pour le monter sur le lecteur A:. Remarquez que le mot de passe que je rentre ici est plus long que celui que j'ai créé pour le conteneur A. Il s'agit bien du mot de passe qui me donne accès au conteneur B. On le voit ici : !\[21|564x484, 75%\](upload://akeeZjZuHQG8qfuJQxvZMFfXGGw.jpeg) Tout paraît identique, sauf que la taille du volume est bien de 299 Mo (pour les 300 demandés) et ce conteneur porte la mention "Type : Caché". Le conteneur A portait la mention "Type : Normal". Je fait un clic droit sur la ligne pour ouvrir le conteneur. !\[22|534x499, 75%\](upload://jw4KTNc6Wwx1VzJebDGIF8Y78ec.jpeg) Le même fichier m'a bien amené vers le conteneur B, comme en témoigne le fichier balise que j'y ai posé pour les besoins de la démonstration. C'est le mot de passe entré lors du "montage" du volume sur un lecteur qui détermine quel conteneur je vais ouvrir. Si vous avez créé un volume caché sur votre clé USB, le volume standard (conteneur A) est fait pour être révélé : c'est un leurre qui vous permet de nier l'existence d'un volume caché (conteneur B). Ça va ? \[/details\] \--- # Foire aux Questions sur la sécurité opérationnelle Voir [le post sur la base](https://base.extinctionrebellion.fr/t/securite-numerique-operationnelle-foire-aux-questions/54864). # Autres ressources D'autres ressources (présentation, ressources externes) pour aller plus loin. # Ressources externes de formation à l’hygiène/sécurité numérique *Le post est en mode wiki, n’hésitez pas à le modifier pour rajouter un élément.* Parce qu’on n’est pas les seul.e.s à avoir besoin de propager des conseils de sécurité informatique à des personnes sans bagage technique important, autant s’appuyer sur le travail d’autres collectifs. ## Nothing2hide Un ensemble de ressource lancée par un ancien de Telecomix et un journaliste militant. Les formulations des conseils sont simples tout en restant très pointus et factuels. Les contributions se font sur un dokuwiki, et un pdf est recompilé régulièrement. Tout le contenu est sous license CC-BY-SA 3.0. > **Nous avons tous quelque chose à cacher** . Nothing2hide est une structure associative qui s’est fixée comme objectif d’offrir aux journalistes, avocats, militants des droits humains, “simples” citoyens, les moyens de **protéger leurs informations** . --- - Des **conseils de base** jusqu’au **chiffrement de vos communications** en passant par les précautions à prendre lors de la couverture d’un événement, notre [Guide de protection numérique 8](https://nothing2hide.org/wiki/doku.php?id=protectionnumerique:start) vous aidera à **protéger vos informations** en toutes circonstances. - **Le pdf de "guide de protection numérique** [guide-protection-numerique-2019.pdf](https://base.extinctionrebellion.fr/uploads/short-url/uJfQUK2utCstCK6g6ogVjBp5ru1.pdf) (627,9 Ko), [mis à jour régulièrement 1](https://zeka.noblogs.org/guide-de-protection-numerique/). ![image](https://base.extinctionrebellion.fr/uploads/default/original/2X/a/a4bb8a0b171f3cd7ca333fe4acb6ee4fa64cdd22.png) - Le guide de protection numérique [en format wiki 8](https://nothing2hide.org/wiki/doku.php?id=protectionnumerique:start) - Un cycle de formations à la [sécurité numérique 1](https://nothing2hide.org/fr/catalogue-formations/). Ca va de la navigation sur internet, à de la crypto avancée, en passant pas la définition du modèle de menace. Il n’y a pas de vidéos mais les slides donnant une très bonne structure si on connait le sujet. --- ## « Guide d’autodéfense numérique » - Guide très complet dont la dernière version à été édité en 2017. [https://guide.boum.org 1](https://guide.boum.org) - Tome 1 : « Hors connexion » [version web](https://guide.boum.org/tomes/1_hors_connexions/00_sommaire/) - [pdf 2](https://guide.boum.org/tomes/1_hors_connexions/pdf/guide-tome1-a4-20170910.pdf) de 184 pages - Tome 2 : « En ligne » - [version web](https://guide.boum.org/tomes/2_en_ligne/unepage/) - [pdf 1](https://guide.boum.org/tomes/2_en_ligne/pdf/guide-tome2-a4-20170713.pdf) de 178 pages Édité par des libristes, publié en LAL (Licence Art Libre, similaire à la CC-BY. --- ## MOOC : Protection de la vie privée dans le monde numérique Cours en ligne (MOOC) très intéressant fait par Inria (institut de recherche public en informatique). Le cours n’est accessible qu’en s’enregistrant sur la plateforme FUN du 6 mai au 30 juin. - [lien du MOOC 1](https://www.fun-mooc.fr/courses/course-v1:inria+41015+session03/about) --- ## Guide d’hygiène Informatique par l’ANSSI *L’ANSSI est l’agence gouvernementale responsable de la sécurité des systèmes d’informations. Ils ont en général de très bons conseils, mais sont assez peu écoutés par les administrations.* Un guide qui s’adresse aux administrateurs et gestionnaires des systèmes d’information des grandes entreprises. - [pdf de 72 pages 4](https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/) --- ## Cours en ligne Digital Security training for activists and journalists : - ![:uk:](https://base.extinctionrebellion.fr/images/emoji/twitter/uk.png?v=9 ":uk:") et ![:fr:](https://base.extinctionrebellion.fr/images/emoji/twitter/fr.png?v=9 ":fr:")[https://totem-project.org/ 1](https://totem-project.org/) ![image](https://base.extinctionrebellion.fr/uploads/default/original/2X/f/f080766c5aae3320d44645228222d18d32db004a.png) --- Une mine d’informations sur tous ce dont nous discutons : ### ![:lock:](https://base.extinctionrebellion.fr/images/emoji/twitter/lock.png?v=9 ":lock:")![:computer:](https://base.extinctionrebellion.fr/images/emoji/twitter/computer.png?v=9 ":computer:")![:lock:](https://base.extinctionrebellion.fr/images/emoji/twitter/lock.png?v=9 ":lock:") --- Voici un autre document réalisé par la Fondation Frontière Electronique : AUTODÉFENSE CONTRE LA SURVEILLANCE : ASTUCES, OUTILS ET GUIDES PRATIQUES POUR DES COMMUNICATIONS EN LIGNE PLUS SÉCURISÉES ### [https://groupes.renater.fr/wiki/cryptobib/ ](https://groupes.renater.fr/wiki/cryptobib/) [https://deploy-preview-2022--privacyguides.netlify.app/fr/](https://deploy-preview-2022--privacyguides.netlify.app/fr/) [https://framasoft.org/fr/](https://framasoft.org/fr/) # Présentation sur la sécurité numérique ## Document de sécurité militante numérique créé par le GL de Bordeaux. LE BUT 👉️ Offrir une sécurité numérique (= anonymat) aux militant.es avec des explications simples et concrètes. IL COMPREND 👉️ Le PDF du dossier complet de 21 pages + les sources 👉️ Le PDF du livret qui résume tout avec des dessins, très accessible 👉️ Le PDF avec des conseils et schémas pour pouvoir donner la formation 👉️ Le PDF du livret pour l’imprimer, découper et agrafer facilement + un mini tuto vidéo QUELLE ET LA LÉGITIMITÉ DE CE DOCUMENT ? 👉️ Nous l’avons écrit en collaboration avec plusieurs personnes travaillant dans la sécurité informatique (pour des entreprises ou l’armée) et d’autres passionnés de sécurité numérique. L’ENSEMBLE DES DOCUMENTS SONT TÉLÉCHARGEABLES SUR RDV2 (nom d’utilisateur: rebelles / mot de passe: Ogg?swos9): [Lien vers les fichiers !](https://rdv2.extinctionrebellion.fr/index.php/apps/files/?dir=/FICHIERS%20-%20DIVERS/3%20-%20SENSIBILISATION%20%26%20FORMATION/Sécurité%20militante%20numérique&fileid=398141) # Tutoriels pratiques Dans ce chapitre, seront stockés les tutoriels pratiques, ayant pour but de permettre une bonne sécurité numérique militante au plus grand nombre, y compris à celleux que ne sont pas forcément "expert.e" en informatique # T1 - Naviguer en se protégeant ## Nous laissons des traces ! : [![tutos_navigation_introduction.jpg](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/FX7N9cCSLlxPzwC0-tutos-navigation-introduction.jpg)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/FX7N9cCSLlxPzwC0-tutos-navigation-introduction.jpg) Bonjour, dans ce tutoriel je vais vous montrer différentes manières de faire vos navigations de rebel.le en vous protégeant. Vous n’êtes peut-être pas sans savoir, que lors d’une navigation sur internet, tout un tas de données vous concernant vous et votre navigation traînent un peu partout, et peuvent par exemple, servir à des grosses entreprises pour vous faire de la publicité ciblée, ou pire encore, aux fdos (forces de l’ordre) d’en connaître un peu trop sur vos activités militantes. Parmi ces informations sensibles, il y a la fameuse adresse IP, qui est en quelque sorte votre adresse postale sur internet, cette dernière est accessible directement par les administrateurs des sites sur lesquels vous vous rendez, et peut être potentiellement récupérée par les fdos D’autres données sensibles vous concernant (sites visités, préférences d’achats, etc…), sont quant à elle stockées directement sur votre ordinateur ou votre smartphone lors de votre navigation, c’est ce qu’on appel couramment les « cookies ». Ces cookies peuvent être exploités par d’autres sites ou applications, pour faire de la publicité ciblée, mais aussi par des virus ou autres programmes malveillants, et bien entendue aussi par les fdos, qui se feront un plaisir, s’ils saisissent votre téléphone ou ordinateur, de récupérer des traces d’activité militante à charge contre vous. Dans ce tutoriel, je vais donc vous montrer comment vous protéger de tout ça. ## Différentes solutions : Il existe pour vous protéger différentes solutions techniques, qui ont toutes pour objectif, à la fois de chiffrer et de rendre le plus difficilement traçable possible vos pérégrinations sur internet, mais aussi de ne pas stocker de données relatives à votre navigation sur votre ordinateur/smartphone. Parmi les différentes solutions, je vais me concentrer dans ce tuto sur les 2 suivantes : - Le navigateur Tor - La navigation privée (pas n’importe quel navigateur) + un VPN (pas n’importe lequel) ### Le navigateur Tor : [![tutos_navigation_tor_tor-browser-logo.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/VCUNSwfciu3OxivA-tutos-navigation-tor-tor-browser-logo.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/VCUNSwfciu3OxivA-tutos-navigation-tor-tor-browser-logo.png) Il faut savoir que le navigateur Tor ne fonctionne pas de la même manière en termes de télécommunication que les autres navigateurs. Le logiciel lui-même est basé sur firefox, mais à la différence de ce dernier, en plus de ne jamais stocker de cookies ou autres données relatives à votre navigations, passe par un réseau particulier que l’on appelle le réseau Tor. #### Petite explication technique : Sans trop aller dans les détails techniques, là où un navigateur classique, quand il se connecte à un site web, contacte directement ce dernier (ce qui rend la navigation traçable), Tor quant à lui passe par un certain nombre de point de relais (nœuds Tor), avec pour chaque relais une nouvelle couche de chiffrement supplémentaire, chaque relais étant régulièrement remplacés. Tout ça pour dire qu’une navigation passant par Tor est hautement sécurisée et très difficile à tracer, en plus de cacher votre adresse IP. **Attention**: Bien que les services de renseignement n’aient pas la possibilité de tracer ou de lire une connexion sur le réseau Tor directement, ils ont la possibilité de savoir qui utilise ce réseau Tor, ce qui rend suspect, ils peuvent donc choisir de renforcer la surveillance des utilisateur.ice de Tor. Le fait que des FDOs voient Tor sur votre ordinateur lors d’une éventuelle perquisition, bien que ne prouvant rien en soit, peut aussi vous rendre plus suspect.e, car Tor n’est pas n’importe quel logiciel (sauf si vous suivez notre tuto sur comment effacer ses traces sur son ordinateur). Même si c’est bien entendu mieux que de ne pas avoir de connexion sécurisée tout court. #### Comment installer Tor Browser : [P](https://www.torproject.org/download/)our installer Tor Browser sur Windows, Mac OS, et Linux, vous pouvez accéder au tutoriel sur leur site officiel, ici : [https://tb-manual.torproject.org/fr/installation/](https://tb-manual.torproject.org/fr/installation/) #### Sur Android : - Rendez vous sur le Play Store - Recherchez Tor Browser et installez le ### Comment utiliser Tor Browser Pour utiliser Tor Browser, pour pouvez vous référer au tutoriel de leur site officiel ici : [https://tb-manual.torproject.org/fr/running-tor-browser/](https://tb-manual.torproject.org/fr/running-tor-browser/) ## Navigation privée + VPN Comme vous l’avez déjà vue dans la précédente partie, Tor Browser est très efficace pour fournir une connexion sécurisée, tout en ne gardant pas de traces (cookies) sur l’ordinateur, cependant, les services de renseignement peuvent savoir que vous utilisez Tor, et pourrons potentiellement renforcer leur surveillance à votre égard, car Tor n’est pas n’importe quel logiciel, il est aussi utilisé de manière générale pour effectuer tout en tas d’actions nécessitant de se protéger des autorités, dont certaines parfois moins morales que d’autres, ce qui rend son utilisation « suspecte » de base, et peut donc d’avantage motiver les fdos à vous surveiller, que si vous utilisiez un autre outil. Je vais donc dans cette partie vous montrer une autre manière de naviguer de manière sécurisée, qui consiste à utiliser la navigation privée d’un navigateur + un VPN. ### Un VPN ? L’acronyme « VPN » signifie « Virtual Private Network », cela consiste à mettre en place un canal de communication chiffré (un tunnel VPN) entre vous, et le serveur VPN, ce dit serveur servira lui même de point de relaie entre vous et internet. De la même manière que Tor, il permet de chiffrer la connexion entre vous et le serveur VPN, de sorte à cacher son contenu de votre fournisseur d’accès internet, ou de tout acteur malveillant qui pourrait essayer d’intercepter votre connexion. Il cache également votre adresse IP auprès du ou des sites que vous consultez, mais utilise une autre technologie que Tor. Il existe tout un tas de services VPN, certains gratuits, d’autres payants, certains revendant vos données sans aucun scrupule ou les refilant aux autorités, d’autre respectant leur confidentialité. Chez XR, nous recommandons Proton VPN, qui est disponible à partir du moment où vous avez un compte chez Proton Mail, il a une version gratuite et une version payante, mais la version gratuite est largement suffisante. #### Installer Proton VPN Pour installer Proton VPN, vous pouvez vous rendre sur ce lien : [https://protonvpn.com/fr/download](https://protonvpn.com/fr/download) Normalement, vous vous retrouverez sur la page correspondant au système d’exploitation (Windows, Linux, etc …) que vous utilisez. Vous pouvez également vous rendre sur le type d’installation que vous intéresse à partir de la petite barre en dessous :[![tutos_navigation_protonvpn_barre_os.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/7wVxoYIshEuz0sgi-tutos-navigation-protonvpn-barre-os.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/7wVxoYIshEuz0sgi-tutos-navigation-protonvpn-barre-os.png) Pour chaque version, il y aura les étapes à suivre décrite sur le site. Pour Linux, veillez à bien sélectionner ensuite ce qui correspond à la distribution que vous utilisez (Debian, Fedora, etc …) Notez qu’il est également possible d’installer Proton VPN sous forme d’extension Firefox (ou un dérivés de Firefox comme Librewolf) en cliquant ici : [![tutos_navigation_protonvpn_barre_os_firefox.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/hPMduAdLRuSNfFU7-tutos-navigation-protonvpn-barre-os-firefox.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/hPMduAdLRuSNfFU7-tutos-navigation-protonvpn-barre-os-firefox.png) #### Utiliser Proton VPN Concernant les détails de l’utilisation et du lancement du VPN, vous pouvez, toujours sur la page dont je vous ai partagé le lien plus haut, regarder la section que se trouve en dessous de la barre de sélection du type d’installation : [![tutos_navigation_protonvpn_how_use.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/ISCGgsM1aKkZPENf-tutos-navigation-protonvpn-how-use.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/ISCGgsM1aKkZPENf-tutos-navigation-protonvpn-how-use.png) Vous devrez évidemment rester connecté.e à ce VPN à chaque navigation « sensible ». Attention : Bien que n’étant pas considéré comme « suspect » autant que Tor, nous ne sommes jamais sûre à 100 % que ProtonVPN, NordVPN, Cyber Ghost, ou autre, ne donneront pas les données permettant de vous retrouvez à une autorité qui le demande, bien que Proton VPN ait jusque là été suffisamment clean pour être recommandé dans ce tuto contrairement à d’autres comme Nord VPN. Comme le réseau Tor est totalement décentralisé, les autorités ne peuvent pas juste demander des infos à une entité qui accepterait de les donner pour vous retrouver, contrairement au VPN, cependant le VPN attire moins l’attention des autorités. Chaque outil a ses avantages et inconvénients. #### Mobile, VPN "always" Il est possible sur mobile de paramétrer son téléphone de sorte à rendre la connexion au VPN automatique dés qu'internet est activé, tout en bloquant automatiquement internet quand le VPN est désactivé, cela offre une sécurité supplémentaire, au cas où vous oubliriez de l'activer avant de faire les rebel.les :) ##### Sur android : - Tout d'abord, rendez vous dans les paramètres de votre téléphone [![tutos_navigation_always-vpn-1.jpg](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/BxUSfQe2JpX4TKhc-tutos-navigation-always-vpn-1.jpg)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/ExjkBTxfJoq1ZYRr-tutos-navigation-always-vpn-1.jpg) - Vous pouvez ensuite chercher une section "VPN" [![tutos_navigation_always-vpn-2.jpg](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/SJFvgZAX4RRpAi1m-tutos-navigation-always-vpn-2.jpg)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/FKYaTgHsnegTJiyn-tutos-navigation-always-vpn-2.jpg) - Rendez vous dedans [![tutos_navigation_always-vpn-3.jpg](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/DiS8ht7KnpyyicfM-tutos-navigation-always-vpn-3.jpg)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/GZnt2epoxr0s6aBV-tutos-navigation-always-vpn-3.jpg) - Sélectionner le paramétrage VPN que vous souhaitez utiliser (Dans notre cas, Proton VPN) [![tutos_navigation_always-vpn-4.jpg](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/NYbEpMgTu2NOauNo-tutos-navigation-always-vpn-4.jpg)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/heWThWe7GGtFMBe2-tutos-navigation-always-vpn-4.jpg) - Vous pouvez maintenant cocher les cases "VPN toujours activé" et "Blocage des connexions sans VPN" [![tutos_navigation_always-vpn-5.jpg](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/QFoXWgiWpkKNR1Lt-tutos-navigation-always-vpn-5.jpg)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/QFoXWgiWpkKNR1Lt-tutos-navigation-always-vpn-5.jpg) ##### Sur IOS : Cette partie doit être complêtée ##### ATTENTION : En 2022, le fournisseur de VPN suédois Mullvad a découvert une faille de sécurité dans ce système. Régulièrement, Android envoie des "vérifications de connectivité", ce qui signifie qu'il vérifie qu'il y a bien une connexion internet établie, et ces "vérifications de connectivité" ne passe pas par le VPN, certaines données plus ou moins sensibles concernant votre téléphone sont donc transmises sans chiffrement VPN à ce moment là. Notez que malgré cette faille, il est quand même plus sûre d'avoir cette fonctionnalité plutôt que de ne pas l'avoir, il vaut mieux être "en dehors" du VPN lors des "vérifications de connectivité" que tout le temps. ### La navigation privée [![tutos_navigation_inconito.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/MOa5Vumj0SHMVNTb-tutos-navigation-inconito.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/MOa5Vumj0SHMVNTb-tutos-navigation-inconito.png) La navigation privé est un mode de navigation qui existe sur la plupart des navigateurs WEB, comme Chrome, Firefox, Safari, Edge, Opera, etc. Ce mode de navigation a la particularité de ne stocker aucune donnée relative à votre navigation sur votre ordinateur (cookies, historiques, etc.). En revanche, la connexion en elle n’est pas plus sécurisée pour autant, car votre adresse IP reste visible et traçable, c’est pour ça qu’il faut l’utiliser en même temps qu’un VPN ou autre outil permettant de cacher votre IP et de chiffrer votre connexion. #### Quels navigateurs ? Notez cependant que tout ces navigateurs ne se valent pas forcément en terme d’hygiène numérique. Chrome, Safari, Edge, Opera, et les navigateurs gérés par une grosse entreprise privée de manière générale ne sont pas sûres, car d’avantage opaques dans leur fonctionnement, et envoient tout en tas de données, y compris si vous êtes en navigation privée. Ils peuvent aussi bien entendue transmettre ces données aux autorités Nous vous recommandons donc vivement un navigateur basé sur Mozilla, tel que Firefox, Librewolf, ou encore Tor, mais qui a déjà été présenté dans la précédente partie. Mozilla est initialement une fondation, à but non lucratif, qui ne cherche pas à réutiliser ou revendre vos données à des tiers dans un but mercantile. Notez cependant que certains groupes, ou entreprises, peuvent posséder des parts chez Mozilla, comme Google à l’heure actuelle, ce qui peut remettre en cause sa « sureté », même si les risques restent toujours plus faibles que sur un navigateur comme Chrome #### Nos extensions : [Cliquez ici pour voir comment les installer](#bkmrk-installer-les-extens) Dans le cas de l’utilisation de **Firefox** ou de **Librewolf**, il est idéal d’installer les extensions suivantes : - **µBlock Origin** →Sert à bloquer les publicités (déjà installé sur Librewolf) - **Decentraleyes** → Cette extension permet pour simplifier d’éviter au navigateur d’avoir à récupérer des ressources sur différents serveurs, en plus du site web consulté. Cela a pour effet à la fois de diminuer votre tracabilité, et d’accélérer votre connexion - **NoScript** → Cette extension permet de limiter l’exécution de scripts dans votre navigateur, en dehors de ceux défini dans une liste blanche. Notez cependant que ces scripts sont parfois nécessaire au bon fonctionnement d’une page web, il est donc possible de choisir quand l’on veut les désactiver, ou encore lesquels nous souhaitons désactiver. Vous pouvez par défaut les désactiver sauf les quelques fois où ils sont nécessaires au fonctionnement de la page. - **ClearURLs** → Cette extension « nettoie » automatiquement les urls (adresse située dans la barre de recherche de votre navigateur au dessus quand vous êtes sur un site), de toutes les données pouvant servir à vous tracer/traquer. - **XBrowserSync** → Cette extension permet de synchroniser vos favoris entre vos différents navigateurs, de manières chiffrée et sécurisée **Librewolf** : Ce navigateur est basé sur la dernière version de Firefox, à la différence que l’extension µBlock Origin est installée de base pour bloquer la publicité, et qu’il supprime toutes les collectes de données d’utilisation généralement faites sur les navigateurs classiques. **Librewolf** est donc plus sûre que **Firefox**. #### Installer et utiliser Librewolf [![tutos_navigation_librewolf-logo.jpg](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/G3VKqr9xhZhzseIS-tutos-navigation-librewolf-logo.jpg)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/G3VKqr9xhZhzseIS-tutos-navigation-librewolf-logo.jpg) Je vais vous montrer dans ce tutoriel comment installer **Librewolf**, ainsi que les différentes extensions #### installer Librewolf : Rendez vous sur [https://librewolf.net/installation/](https://librewolf.net/installation/) Vous vous retrouvez maintenant sur cet écran : [![tutos_navigation_librewolf_select-on-site.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/a735O3PFSeZWLmEj-tutos-navigation-librewolf-select-on-site.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/a735O3PFSeZWLmEj-tutos-navigation-librewolf-select-on-site.png) Il ne vous reste plus qu’à sélectionner le système d’exploitation sur lequel vous êtes, et à suivre les instructions données sur le site. #### Installer les extensions : [Cliquer ici pour accéder à notre liste d’extensions recommandées](#bkmrk-nos-extensions%C2%A0%3A) Vous pouvez également vous rendre sur le lien ci-dessous, pour savoir comment installer une extension sur Firefox. Ce tuto est également compatible Librewolf. [https://support.mozilla.org/fr/kb/trouver-installer-modules-firefox#w\_comment-trouver-et-installer-les-modules-complementaires](https://support.mozilla.org/fr/kb/trouver-installer-modules-firefox#w_comment-trouver-et-installer-les-modules-complementaires) #### Utiliser la navigation privée Maintenant que L**ibrewolf** est installé et ouvert avec toutes les extensions, il ne vous reste plus qu’à vous mettre en **navigation privée**, pour cela : 1. Cliquez sur l’icone avec 3 petites barre horizontales tout en haut à droite de la fenêtre de librewolf 2. Cliquez sur « New private Window » [![tutos_navigation_librewolf_open_private_nav.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/G8CCg8Hjr4u0ZP5L-tutos-navigation-librewolf-open-private-nav.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/G8CCg8Hjr4u0ZP5L-tutos-navigation-librewolf-open-private-nav.png) Vous pouvez également utiliser le raccourci clavier « CTRL + Maj + P » pour aller en navigation privée. Vous êtes maintenant paré.e pour vos activités de rebel.les ! # T2 - Effacer/cacher ses traces sur ordinateur Ne soyez pas intimidé.e par la taille du document ! Vous pouvez consulter le sommaire sur la gauche, pour naviguer directement à l’endroit qui vous intéresse Si vous avez des interrogations vis à vis de ce tutoriel, des choses que vous n’avez pas compris, ou par exemple des liens qui ne fonctionnent pas, n’hésitez pas à écrire un commentaire sur ce wiki, pour que nous puissions améliorer la compréhension de ce guide pour toutes et tous ! ## Les traces que nous laissons [![tutos_effacer_traces-intro.jpeg](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/MfMXnKbi8IUR6Iif-tutos-effacer-traces-intro.jpeg)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/MfMXnKbi8IUR6Iif-tutos-effacer-traces-intro.jpeg) Une des choses à faire en tant que rebel.le.s, si vous avez sur votre ordinateur des données potentiellement sensibles, relatives à votre activité de rebel.le, est de veiller à bien effacer les traces et données numérique que vous laissez sur votre ordinateur, ainsi que d’éviter d’en laisser, pour qu’elles ne puissent par être récupérées autrui. En effet, lorsque nous utilisons notre ordinateur, nous laissons tout un tas de données sur ce dernier. Ces données peuvent être de toute nature, il peut s’agir bien entendu de données liées à la navigation sur le web (navigateur, cookies, etc ...), dont nous montrons dans ce [tuto](https://wiki.extinctionrebellion.fr/books/securite-militante/page/t1-naviguer-en-se-protegeant) comment s’en prémunir, mais il peut aussi s’agir d’autres données, comme : - Des logiciels que vous avez installés/utilisés, qui laissent des traces même une fois désinstallés. - Des « Journaux » donnant des informations sur ce qui s’est passé sur l’ordinateur, et potentiellement sur ce que vous avez fait dessus. - De fichiers « supprimés », mais qui peuvent en réalité toujours être récupérés. - Des méta-données de fichiers (je vous expliquerais de quoi il s’agit) - Ou pire encore, directement des traces de données confidentielles liées à votre activité militante, comme des documents de planification d’action, des coordonnées, etc … ## Les guides Pour vous prémunir de tout ces désagréments, ce guide sera divisé en 3 parties : ### Effacer les traces de votre ordinateur : Comment effacer les traces existantes sur votre ordinateur (fichier « supprimé » mais récupérable, logiciels, méta-données) [G](https://wiki.extinctionrebellion.fr/books/securite-militante/page/t2-p1-effacer-nos-traces)[uide ICI](https://wiki.extinctionrebellion.fr/books/securite-militante/page/t2-p1-effacer-nos-traces) ### Chiffrer vos données militantes : Comment chiffrer vos données militantes, tout en les protégeant des autorités. [G](https://wiki.extinctionrebellion.fr/books/securite-militante/page/t2-p2-chiffrer-donnees-avec-veracrypt)[uide ICI](https://wiki.extinctionrebellion.fr/books/securite-militante/page/t2-p2-chiffrer-donnees-avec-veracrypt) ### Utiliser une clé USB bootable : Et pour finir, combiné au deuxième point, la méthode ultime pour ne laisser aucune trace sur votre ordinateur : La clé USB bootable ! [G](https://wiki.extinctionrebellion.fr/books/securite-militante/page/t2-p3-utilisation-cle-usb-bootable)[uide ICI](https://wiki.extinctionrebellion.fr/books/securite-militante/page/t2-p3-utilisation-cle-usb-bootable) # T2 P1 - Effacer nos traces Cette partie du guide pratique sert à vous montrer comment effacer vos traces d’activité militante, en rendant impossible leur récupération ## Nous ne supprimons par réellement nos fichiers Sachez que même lorsque vous pensez avoir réellement effacé des données, ces dernières laissent toujours des traces. Dans le cas d’un ou plusieurs fichiers/dossiers supprimés sur votre PC, même en fois la corbeille vidée, ces derniers restent physiquement présents sur votre disque dur. En effet, lorsque nous supprimons un fichier, ce dernier n’est pas réellement « supprimé », mais marqué comme « à supprimer », il reste cependant physiquement sur le disque dur, jusqu’à ce que d’autres données ne l’écrasent. Il existe, sur les différents systèmes d’exploitation (Windows, Linux, Mac OS) des logiciels ou des commandes, pour vous permettre de réellement supprimer le fichiers/dossiers qui vous intéressent, en écrasant leurs données sur le disque dur, pour qu’on ne puisse pas les récupérer ## Comment « réellement » supprimer vos données ? Je vais vous présenter ici quelques logiciels/commandes qui peuvent vous permettre de réellement supprimer vos données. (Attention, soyez extrêmement vigilant.e sur les fichiers que vous supprimez, il ne pourront pas être récupérés !) Vous n’êtes bien entendue pas obligé.e de le faire pour le moindre fichier personnel, mais je le recommande fortement si ce sont des fichiers sensibles, et que vous ne voulez pas qu’on puisse les récupérer Je vous montrerais également comment effacer toutes traces de fichiers supprimés par le passé sur votre ordinateur. Cela peut être utile si vous voulez vous assurer qu’il ne reste plus aucune traces de fichiers sensibles sur l’espace libre de votre disque dur ### Sur Windows : Nous pouvons trouver sur Windows les 2 logiciels/commandes suivantes pour écraser des fichiers : - Le logiciel **Eraser** - [Télécharger ici](https://eraser.heidi.ie/download/) - [Tutoriel ici](https://lecrabeinfo.net/eraser-supprimer-un-fichier-definitivement-sur-windows.html) Si vous souhaitez télécharger **Eraser**, attention à ne pas vous faire avoir par les faux liens de téléchargement pouvant apparaître sur la page, il s’agit potentiellement de liens frauduleux ou pointant vers des publicités. Vous devez cliquer sur une des versions listées en dessous du paragraphe, de préférence la première (qui est la plus récente) [![tutos_effacer_traces-download_eraser.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-12/scaled-1680-/qXcQdMSWvYTSeZyq-tutos-effacer-traces-download-eraser.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-12/qXcQdMSWvYTSeZyq-tutos-effacer-traces-download-eraser.png) **Attention :** Dans son utilisation, Eraser se base sur une liste de « tasks », correspondants aux fichiers/dossiers que l’on souhaite écraser, et pouvant être lancés manuellement ou automatiquement. Cette liste de « tasks » n’est pas supprimée automatiquement après avoir été lancée, je vous recommande donc de faire clique droit > Delete task après l’avoir lancé si vous ne voulez pas qu’on puisse savoir que vous avez écrasé tel fichier ou dossier - La commande **sdelete** ([Cliquer ici](https://wiki.extinctionrebellion.fr/books/securite-militante/page/ouvrir-et-utiliser-linvite-de-commandes#bkmrk-windows) pour savoir comment ouvrir l’invite de commande) - [Télécharger ici](https://learn.microsoft.com/en-us/sysinternals/downloads/sdelete) - [Tutoriel ici](https://www.it-connect.fr/sdelete-supprimer-des-donnees-definitivement-sous-windows/) #### Purger l’espace libre du disque dur ([Cliquer ici](https://wiki.extinctionrebellion.fr/books/securite-militante/page/ouvrir-et-utiliser-linvite-de-commandes#bkmrk-windows) pour savoir comment ouvrir l’invite de commande) Vous pouvez également vous assurez qu’il ne reste plus aucune trace d’anciennes données supprimées sur votre disque dur, en exécutant des commandes ou des logiciels qui vont automatiquement purger/écraser l’espace libre. La **défragmentation** du disque dur permet de purger les données marquées comme supprimées. [Cliquez ici](https://support.microsoft.com/fr-fr/windows/d%C3%A9fragmenter-votre-ordinateur-windows-10-048aefac-7f1f-4632-d48a-9700c4ec702a) pour savoir comment défragmenter un disque dur sur Windows 10 La commande **sdelete** permet aussi d’écraser l’espace libre de votre disque dur, avec la commande suivante : **sdelete.exe -c C:** Vous pouvez faire la même chose sans avoir à installer **sdelete** avec la commande suivante : **cipher /wC: ** **« cipher »** étant déjà installé de base sur Windows Je vous conseille fortement de fermer un maximum de logiciel sur votre ordinateur avant l’exécution de cette commande Une fois la commande lancée, soyez patient.e, cela va prendre un certain temps ### Sur Mac OS : **Note1 :** De OS 10.4 à 10.10 il existe une fonction de "**vider la corbeille en mode sécurisé** ". Cette fonction ayant pour but d'effacer les documents de manière fiables (information que l'on retrouve sur de nombreux sites) est en réalité limitée. Elle a d'ailleurs été supprimée depuis OS 10.11 car elle n'est pas réellement efficace en fonction du matériel (disque) utilisé. Donc si vous ne maîtrisez pas quel type de matériel votre Mac est équipé, ou ne maîtrisez pas les limitations de cette fonction, **ne la considérez pas comme fiable.** La commande **rm -P** permet d'écraser un fichier en écrivant plusieurs fois. La encore, en fonction du matériel utilisé elle peut avoir des limitations sur son efficacité. Cependant elle reste la fonction native la plus simple installée par défaut. **Point d'attention :** Apple aime bien sécuriser vos données. Ceci implique donc de nombreuses copies réalisées un peu partout. Par exemple dans iCloud ou TimeMachine. Effacer vos données de votre ordi n'implique donc pas que la donnée en question ne reste pas accessible sur d'autres supports. Pour de plus amples informations sur MAC : [https://ssd.eff.org/fr/module/guide-pratique-supprimer-vos-donn%C3%A9es-en-toute-s%C3%A9curit%C3%A9-sous-macos](https://ssd.eff.org/fr/module/guide-pratique-supprimer-vos-donn%C3%A9es-en-toute-s%C3%A9curit%C3%A9-sous-macos) ### Sur Linux : ([Cliquer ici](https://wiki.extinctionrebellion.fr/books/securite-militante/page/ouvrir-et-utiliser-linvite-de-commandes#bkmrk-linux-%E2%80%93-tails) pour savoir comment ouvrir l’invite de commande) Il existe sur Linux la commande **shred** pour écraser des fichiers, déjà installée de base, dont voici une [documentation ](https://doc.ubuntu-fr.org/shred)[plus complète](https://doc.ubuntu-fr.org/shred)[ ici](https://doc.ubuntu-fr.org/shred) Pour simplement supprimer (définitivement) un fichier, vous pouvez faire : sudo shred -uvz <fichier> Pour écraser tout un dossier, vous pouvez taper les commandes suivantes : IFS=$'\\n' (Nécessaire si certains noms de fichiers contiennent des espaces) sudo shred -uvz $(find <dossier> -type f) rm -rf <dossier> #### Purger l’espace libre du disque dur ([Cliquer ici](https://wiki.extinctionrebellion.fr/books/securite-militante/page/ouvrir-et-utiliser-linvite-de-commandes#bkmrk-linux-%E2%80%93-ubuntu) pour savoir comment ouvrir l’invite de commande) La **défragmentation** du disque dur permet de purger les données marquées comme supprimées. [Cliquez ici](https://ubunlog.com/fr/comment-d%C3%A9fragmenter-sous-linux/) pour savoir comment défragmenter un disque dur sur Linux Il existe aussi sur Linux la commande **sfill** permettant de purger tout l’espace libre du disque dur, vous devez cependant installer le paquet **secure-delete** pour avoir accès à cette commande. Si vous êtes sur une distribution Debian de linux (Ubuntu, Tails, Linux mint, Pure OS) : sudo apt-get install secure-delete Si vous êtes sur une distribution basée sur Red Hat (Fedora, CentOS) : sudo yum install secure-delete Une fois la commande **sfill** installée, voici des exemples de syntaxes de la commande **sfill** : Purger tout l'espace libre du disque dur : sudo sfill -v / Purger l’espace libre un peu plus rapidement, en réécrivant moins de fois les données sudo sfill -vl / Purger l’espace libre encore plus rapidement, en réécrivant encore moins de fois les données sudo sfill -vll / Purger l’espace libre encore plus rapidement, encore moins sécurisé : sudo sfill -vfll / Ces commandes prennent un temps conséquent pour purger/écraser tout l’espace libre du disque dur, je vous conseille de trouver une occupation en attendant. ## Comment « réellement » désinstaller nos logiciels En plus des fichiers eux mêmes, vous pouvez également vouloir désinstaller des logiciels sensibles, dont vous ne souhaitez pas laisser de traces sur votre ordinateur, et vous n’allez bien entendu pas utiliser un logiciel comme **Eraser**, ou **shred** sur chaque fichier relatif au logiciel pour cela, ce serait beaucoup trop long. Je vais vous proposer à la place quelques logiciels ou commandes qui vont supprimer automatiquement toutes les traces qu’ils trouveront de ce que vous souhaitez désinstaller Après ces « purge » faites, vous aurez la possibilité d’écraser l’espace libre de votre disque, pour vous assurez qu’on ne puisse pas, même en récupérant les fichiers supprimés, savoir que vous avez utilisé tel logiciel. Bien entendu, le risque 0 de retrouver des traces des logiciels supprimés sur l’ordinateur n’existe pas, mais utiliser ces techniques le diminue drastiquement ### **Sur Windows :** Il existe sur Windows le logiciel **Revo Uninstaller**, ce dernier va supprimer toutes les traces qu’il peut trouver d’un logiciel donné. Vous pouvez [le télécharger ici](https://www.revouninstaller.com/fr/revo-uninstaller-free-download/) Le site propose des versions payantes de ce logiciel, mais la version gratuite est suffisante. Voici un petit [tutoriel ici](https://lecrabeinfo.net/desinstaller-proprement-un-logiciel-windows-avec-revo-uninstaller.html#desinstaller-proprement-un-logiciel-avec-revo-uninstaller) **Point de restauration système :** Il est parlé dans le tuto ci-dessus de créer un point de restauration système. Cela offre une sécurité au cas où la désinstallation du logiciel nuit au fonctionnement de Windows. Cependant, si vous voulez vraiment effacer les traces de votre logiciel, je vous conseille soit de décocher la case, soit de bien veiller à supprimer le point de restauration système une fois le logiciel désinstallé. #### Après Revo Uninstaller : Après votre ou vos logiciels supprimés par **Revo Uninstaller**, pensez à vider la corbeille. En effet, **Revo Uninstaller** risque de mettre dans la corbeille certains fichiers liés au logiciel, ainsi, en plus de laisser des traces, ces derniers ne seront pas écrasés si vous utilisez une commande pour écraser l’espace libre de votre disque dur. Une fois **Revo Uninstaller** utilisé, et votre corbeille vidée, vous pouvez, en plus, écraser l’espace libre de votre disque dur, pour être sûre que même le fichiers supprimés associés au logiciel désinstallé ne pourront pas être récupérés Pour se faire, vous pouvez vous rendre à cette [section](#bkmrk-purger-l%E2%80%99espace-libr), qui vous montre comment faire. Cette action peut prendre un certain temps pour s’exécuter ### Sur Linux : ([Cliquez ici](https://wiki.extinctionrebellion.fr/books/securite-militante/page/ouvrir-et-utiliser-linvite-de-commandes#bkmrk-linux-%E2%80%93-ubuntu) pour savoir comment ouvrir l’invite de commande) Vous pouvez d’abord lister tout les paquets installés avec la commande : sudo apt list –installed Ou bien lister les paquets qui vous intéressent, en filtrant par nom, avec cette commande : sudo apt list –installed | grep <filtre> Remplacez <filtre> par ce que vous voulez. Vous pouvez ensuite purger le logiciel souhaité, avec la commande : sudo apt-get purge <logiciel> Remplacer <logiciel> pour le nom de logiciel à purger #### Après la purge Une fois votre ou vos logiciels purgés, vous pouvez, si vous le souhaitez, purger/écraser l’espace libre du disque dur, pour vous assurer qu’on ne pourra pas trouver de trace des logiciels désinstallés, à partir des fichiers supprimés. Pour cela, rendez vous dans cette [section](#bkmrk-purger-l%E2%80%99espace-libr-0) L’écrasement/purge de l’espace libre du disque dur peut prendre un temps assez conséquent ## Effacer les méta-données Parmi les différents types de traces que vous pourriez avoir besoin d’effacer sur votre ordinateur, il y a aussi les méta-données. Les méta-données sont toutes les données qui tournent autour de la donnée « principale » d’un fichier. Pour donner un exemple plus clair, une photo peut avoir comme méta-donnés, l’appareil qui a servit à prendre la photo, la localisation correspondante au lieu d’où a été prise la photo, etc … Ainsi, dans un fichier, en plus des données « principales » (par exemple, l’image en elle même dans le cas d’une photo), peuvent également êtres stockées d’autres données relatives à cette donnée « principale ». Ces méta-données peuvent contenir des informations auxquelles vous n’avez pas envie que d’autres personnes n’aient accès. Si vous avez par exemple pris des photos d’une action, il peut être pertinent d’y effacer les méta-données, avant de les publier sur internet Je vais donc vous montrer comment effacer ces méta-données. Vous pouvez également consulter [ce guide](https://wiki.extinctionrebellion.fr/books/securite-militante/page/effacer-les-metadonnees-dune-image), pour effacer les métadonnées d’une image, avec Gimp 4 ### Signal **Signal**, l’application de communication chiffrée que nous utilisons souvent au sein d’XR a la faculté de supprimer automatiquement les méta-données des photos/vidéos qu’on envoie. Si vous envoyez par **Signal**, à quelqu’un, des photos ou vidéos que vous avez prises, leurs méta-données seront automatiquement supprimées ### **ExifCleaner** ExifCleaner est un outil simple d’utilisation, disponible à la fois sur Windows, Linux et MacOS, qui va automatiquement retirer les méta-données de tout les fichiers glissé-déposé dans sa fenêtre. Pour l’installer rendez vous sur [cette page](https://github.com/szTheory/exifcleaner/releases). Vous pouvez choisir le fichier à télécharger, en fonction de votre système d’exploitation, et de si vous voulez l’installer ou utiliser la version portable : [![tutos_effacer_traces-download_exifcleaner.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/it5K0l4bttWOQsLC-tutos-effacer-traces-download-exifcleaner.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/it5K0l4bttWOQsLC-tutos-effacer-traces-download-exifcleaner.png) (Pour savoir ce qu’est un système d’exploitation, [cliquez ici](https://wiki.extinctionrebellion.fr/books/securite-militante/page/t2-effacercacher-ses-traces-sur-ordinateur#bkmrk-explication-br%C3%A8ve%C2%A0%3A-)) La version portable signifie qu’il suffit simplement de lancer le fichier, pour lancer le logiciel, là où la version « installation » installe le logiciel sur votre ordinateur avant de pouvoir le lancer. Une fois lancé, vous avez une fenêtre qui s’ouvre, et vous avez simplement à glisser/déposer le/les fichiers dans la fenêtre pour effacer automatiquement leurs méta-données. [![tutos_effacer_traces-window_exifcleaner.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/bu46RDcLUjjpE1tI-tutos-effacer-traces-window-exifcleaner.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/bu46RDcLUjjpE1tI-tutos-effacer-traces-window-exifcleaner.png) ### **Exiftool** ([Cliquez ici](https://wiki.extinctionrebellion.fr/books/securite-militante/page/ouvrir-et-utiliser-linvite-de-commandes) pour savoir comment ouvrir l’invite de commande) Il existe également un outil en ligne de commande, assez efficace, qui s’appelle « exiftool ». Cet outil est déjà installé de base sur le système Tails, cependant, si vous avez besoin de l’installer, vous pouvez faire une des choses suivantes : **Si vous êtes sur Ubuntu :** Exécuter cette commande sudo apt install libimage-exiftool-perl **Si vous êtes sur un autre système d’exploitation :** Suivre les instructions de ce lien dans la section correspondante à votre système d’exploitation : [https://exiftool.org/install.html](https://exiftool.org/install.html#Unix) Voici quelques exemples de commandes. Voir les méta-données d’un fichier : exiftool "<nom-du-fichier>" Effacer toutes les méta-données d’un fichier : exiftool -all= "<nom-du-fichier>" (l’espace entre le « all= » et le nom du fichier est à garder) Effacer toutes les méta-données de tout les fichiers d’un dossier : IFS=$'\\n' (Nécessaire si certains noms de fichiers contiennent des espaces) exiftool -all= $(find <dossier> -type f) Vous pouvez également voir [ce tutoriel](https://www.malekal.com/exiftool-ajouter-modifier-copier-les-metadonnees-de-vos-fichiers-en-ligne-de-commandes/) en ligne pour plus de détails # T2 P2 - Chiffrer données avec VeraCrypt Maintenant que nous avons vue dans la partie précédente des techniques pour effacer efficacement les traces de fichiers/logiciels sensibles de votre ordinateur, nous allons maintenant nous attaquer à une autre étape, celle du chiffrement des données ! Au delà des fichiers/logiciels sensibles dont vous voulez potentiellement effacer les traces, vous avez sans doute aussi besoin d’en stocker dans le cadre de vos activités, il est donc primordial de bien les protéger. Pour cela, nous recommandons chez XR un logiciel assez puissant, et rapide à prendre en main en terme de chiffrement des données, qui s’appelle **Veracrypt**. Ce logiciel sert à chiffrer à la fois des supports de stockages, que des fichiers. Vous pouvez par exemple créer un faux fichier, en .png, ou .dll par exemple, et y mettre votre volume chiffré. Il ne sera ainsi possible de savoir que ce fichier est en réalité un volume chiffré, qu’en essayant de l’ouvrir avec **Veracrypt**. Mais trêve de balivernes ! Je vous donne ici le lien vers un tutoriel bien plus détaillé sur le fonctionnement et les particularités de ce logiciel, et comment l’utiliser : Tutoriel VeraCrypt : [Cliquez ici](https://wiki.extinctionrebellion.fr/books/securite-militante-ql8/page/creer-un-espace-de-stockage-securise-avec-veracrypt) **Attention :** Malgrés le fait que vos données soit chiffrées bien au chaud dans un volume VeraCrypt, il reste important d’avoir des copies, car le risque de perdre vos données est toujours présent. Ces copies peuvent par exemple être d’autres volumes VeraCrypt sur d’autres ordinateurs. Vous pouvez également les mettre sur un drive, de préférence chiffré, comme Proton Drive, vous permettant de toujours pouvoir accéder à vos données même si tout vos disques dur ont étés perquisitionnés par les FDOs ! ## Et après? Une fois votre ou vos volumes chiffrés, il peut être risqué de les déchiffrer et de travailler dessus depuis votre ordinateur « normalement ». En effet, même une fois chiffrés, votre ordinateur risque de mémoriser l’emplacement les fichiers qui ont été manipulés, l’activité que vous avez eu, et c’est encore pire s’il est infecté ! Vous devez sûrement vous dire, « Mais comment je fais dans ce cas pour faire mon business ? » et c’est une très bonne question ! Cela nous ramène à la [3ème partie de notre tutoriel](https://wiki.extinctionrebellion.fr/books/securite-militante/page/t2-p3-utilisation-cle-usb-bootable), qui va concerner les clés USB bootables ! # T2 P3 - Utilisation clé USB bootable Nous allons maintenant, dans la dernière partie de ce guide, présenter les clés USB bootables. Afin que vous puissiez comprendre ce que vous faites, je pense qu’il est nécessaire de passer par quelques petites explications théoriques. ## C'est quoi une clé USB bootable ? ### Explication brève : Système d’exploitation Avant d’expliquer ce qu’est une clé USB bootable, il est d’abord nécessaire d’expliquer brièvement ce qu’est un système d’exploitation. Généralement, quand nous démarrons notre ordinateur, ce dernier démarre sur ce qu’on appelle un système d’exploitation (Operating System ou OS), cet « OS » peut être Windows, MacOS, Linux, etc. C’est cet OS qui vous permet en gros d’utiliser votre ordinateur Ce dernier est généralement stocké sur le disque dur interne. Il stocke sur votre disque dur tout un tas d’informations, comme les logiciels que vous avez installé, les fichiers que vous stockez, etc … En plus de ça, il peut également retenir des données concernant l’utilisation que vous avez fait de votre ordinateur, que ce soit les logiciels que vous avez ouvert, les fichiers que vous avez utilisé, etc… Dans le pire des cas, il peut même être « compromis » ou « infecté », pour enregistrer tout un tas d’informations supplémentaires qui seront directement envoyées à « l’attaquant », comme les frappes de votre clavier (keylogger), ou tout autre détail concernant votre activité numérique. ### Le but de la clé USB bootable C’est pour éviter, ou du moins diminuer tout ces risques, que nous recommandons l’utilisation d’une clé USB bootable. Le principe de cette clé USB bootable est de stocker une sorte de mini système d’exploitation, ainsi, au lieu de démarrer sur le disque dur, votre ordinateur démarrera sur l’OS de votre clé USB. Nous appelons cela un « Live CD » ou « Live USB ». La particularité de cette méthode, est que le « mini » système d’exploitation hébergé sur votre clé USB ne retiendra aucune information, que ce soit d’éventuels logiciels installés, les fichiers utilisés/créés, les logiciels utilisés, etc … Il y aura déjà installé de base tout les logiciels dont vous avez besoin, comme VeraCrypt, Libre Office, un gestionnaire de mode passe, Tor, Gimp, etc … ### Où stocker vos données militantes ? Étant donné que le système d’exploitation de la clé USB ne retient en lui même aucune information, vous vous demandez sûrement comment faire pour travailler sur vos données ? #### Disque dur ou périphérique externe Il peut y avoir comme première solution de stocker vos données sur un autre support de stockage que la clé USB, cela peut être une autre clé USB, ou disque dur externe, ou tout simplement le disque dur interne de votre ordinateur, accessible quand vous avez démarré sur votre clé bootable. Quelque soit le support de stockage sur lequel vous stockez vos données militantes, je vous recommande bien évidemment de les mettre dans un volume VeraCrypt, caché de préférence. Dans le tutoriel de la partie 2 sur VeraCrypt, vous voyez comment créer un volume VeraCrypt sur votre ordinateur. Ce volume, qui est stocké sur le disque dur interne de votre ordinateur, peut très bien être accessible une fois que vous avez démarré sur votre clé USB bootable #### La persistance La persistance consiste à créer, à part, sur votre clé USB bootable un « espace » sur lequel vous pourrez y stocker vos données. Ainsi, même si le système d’exploitation en lui même ne stocke rien, vous pourrez stocker sur cet espace toutes vos données militantes. Cet espace peut être chiffré de base, tout comme il peut ne pas l’être en fonction de la solution utilisée. Dans les 2 cas, je vous suggère fortement de mettre vos données dans un volume VeraCrypt caché si vous les stockez sur la persistance de la clé USB. En effet, même si la persistance est chiffrée, les autorités pourront vous obliger à leur donner le mot de passe de déchiffrement, pour accéder aux données. Si ces données sont elles même dans un volume VeraCrypt caché, vous aurez ensuite juste à leur donner le mot de passe du « faux » volume VeraCrypt, pour qu’ils n’accèdent pas à vos vrais données militantes ## Maintenant, la pratique ! Maintenant que vous avez survécu à l’explication théorique du pourquoi du comment, il est temps de passer à la pratique. ### Tails Nous recommandons actuellement chez XR, le système Tails. Tails est un système d’exploitation portable, installable sur clé USB, conçus pour éviter la surveillance, les publicités, la censure, et est particulièrement bien adapté à notre cas de figure. Tails a également comme particularité de passer par le réseau Tor, tout ce que vous faites quand vous allez sur internet passe par ce réseau Tor. Si vous voulez savoir ce qu’est le réseau Tor, vous pouvez consulter le tutoriel sur [comment naviguer en se protégeant ici](https://wiki.extinctionrebellion.fr/books/securite-militante/page/t1-naviguer-en-se-protegeant#bkmrk-le-navigateur-tor-%3A) Si vous souhaitez en savoir plus sur le fonctionnement de Tails, vous pouvez vous rendre [ICI](https://tails.net/about/index.fr.html) #### Sécurité : Attention à la persistance ! Vous pouvez sur Tails stocker certaines de vos données sur la persistance de la clé USB. Cette persistance est chiffrée, mais les autorités pourrons légalement vous obliger à donner le mot de passe, pour déchiffrer cette persistance. Pour éviter qu’ils accèdent aux données de votre persistance, vous pouvez soit : \- Éviter qu’ils n’accèdent à votre clé USB, mais ce n’est pas garanti. \- Rajouter sur votre persistance un volume VeraCrypt caché, pour ça, vous pouvez soit : \- Copier sur cette persistence un volume Veracrypt que vous avez déjà créé au préalable, depuis le disque dur de votre ordinateur par exemple \- Créer le volume VeraCrypt directement sur la persistence, depuis Tails, cependant il faut d’abord que vous installiez VeraCrypt qui n’est pas présent de base sur Tails, à partir de [ce tutoriel](https://wiki.extinctionrebellion.fr/books/securite-militante/page/tutoriels-tails#bkmrk-installer-veracrypt) #### Accéder à vos volumes VeraCrypt Bien évidemment, vous pouvez accéder à vos volumes VeraCrypt depuis Tails. Il faut savoir que le logiciel VeraCrypt tel que présenté dans la deuxième section de ce guide n’est pas installé de base sur Tails, cependant vous n’en n’avez pas besoin pour ouvrir vos volumes, car il existe sur Tails un gestionnaire permettant de le faire (mais pas d’en créer), dont vous pouvez voir le [tutoriel ici](https://wiki.extinctionrebellion.fr/books/securite-militante/page/tutoriels-tails#bkmrk-gestionnaire-de-volu). Si votre volume VeraCrypt se trouve autre part que sur votre persistance, comme sur un disque dur externe, ou sur votre disque dur interne, Tails vous demandera un mot de passe administrateur pour pouvoir y accéder. Pour savoir comment définir ce mot de passe administrateur, [cliquez ici](https://wiki.extinctionrebellion.fr/books/securite-militante/page/tutoriels-tails#bkmrk-mot-de-passe-adminis) #### Installer/utiliser Tails Concernant les étapes de l’installation et de l’utilisation de Tails, il existe sur les site des tutoriels très complets que je vais vous partager ici : [Cliquer pour tutoriel installation/utilisation de Tails](https://tails.net/install/index.fr.html) #### Mettre à jour Tails Il peut être important de régulièrement mettre à jour la version de Tails présente sur votre clé USB. [Cliquer pour tutoriel de mise à jour de Tails](https://tails.net/doc/upgrade/index.fr.html) # Tutoriels pratiques - annexes # Ouvrir et utiliser l'invite de commandes Dans les différents tutoriels ici et là, vous risquez d’être confronté.e.s à des situations où vous aurez besoin de rentrer des lignes de commandes, que cela soit par exemple pour effacer toutes traces de fichiers supprimés sur votre disque dur, ou pour installer un programme sur Linux par exemple. Si vous êtes un.e néophyte en informatique, vous risquez d’être déboussolé.e, et de ne pas savoir comment vous y prendre, mais pas de problème ! Le but de ce petit tutoriel est de vous montrer rapidement, pour les différents systèmes d’exploitation (Windows, Linux, MacOS) comment on accède à cette fameuse invite de commandes. ## Windows Il y a sur Windows, dans ce tutoriel, 2 manières d’accéder à l’invite de commandes. La première consiste à passer par le raccourci clavier pour exécuter des programmes La seconde consiste à passer par le menu démarrer, et permet contrairement à la première d’ouvrir l’invite de commandes avec les droits administrateurs, qui vous permettrons d’exécuter des commandes que vous ne pourriez pas lancer sans ### Raccourci clavier Vous pouvez utiliser le raccourci « ctrl+r » pour accéder à la fenêtre « Exécuter », et tapez « cmd » dans le petit champs texte, comme suit : [![tutos_cmd_windows-1-windows+r.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/Lef13FKOT80WcZPu-tutos-cmd-windows-1-windowsr.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/Lef13FKOT80WcZPu-tutos-cmd-windows-1-windowsr.png) Après ça vous avez juste à cliquer sur « OK » ou à appuyer sur « Entrée » pour ouvrir cette fameuse invite de commandes ### Menu démarrer (Avec droits administrateurs) Une autre solution consiste à passer par le menu démarrer. Appuyez sur la touche Windows ou bien cliquez sur le logo Windows en bas à gauche de l’écran, puis rentrez en suite « cmd » pour avoir ce résultat : [![tutos_cmd_windows-2-cmd-in-menu.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/FIzXTeaKFul4693E-tutos-cmd-windows-2-cmd-in-menu.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/FIzXTeaKFul4693E-tutos-cmd-windows-2-cmd-in-menu.png) Vous pouvez ensuite, soit cliquer sur l’icone « Invite de commandes » pour l’ouvrir directement. Soit faire clique droit, et « exécuter en tant qu’administrateur » comme ci-dessous, pour avoir les droits administrateurs : [![tutos_cmd_windows-3-exec-as-admin.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/l3UZFnOsX8zl3VuS-tutos-cmd-windows-3-exec-as-admin.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/l3UZFnOsX8zl3VuS-tutos-cmd-windows-3-exec-as-admin.png) Vous aurez ensuite une fenêtre qui s’affiche avant l’ouverture de l’invite de commandes. Si aucun mot de passe ne vous est demandé, appuyez sur « oui », sinon, essayez de rentrez le mot de passe d’une session administrateur, si vous ne le connaissez pas, cela veut dire que vous n’avez pas les droits administrateurs sur votre ordinateur. ### Invite de commande ouverte Vous avez maintenant cette fenêtre ouverte, sur laquelle vous pourrez rentrer les commandes venant des tutoriels en faisant clique droit > coller, ou en les recopiant [![tutos_cmd_windows-4-cmd-open.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/JzWNJcAWzp94oig2-tutos-cmd-windows-4-cmd-open.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/JzWNJcAWzp94oig2-tutos-cmd-windows-4-cmd-open.png) ## Linux – Ubuntu Il y a aussi sur Ubuntu 2 manières d’ouvrir l’invite de commande Dans les 2 cas cela ouvrira la même invite de commande, les commandes ayant besoin des droits administrateurs étant habituellement préfixées de « sudo » ### **Raccourci clavier** Vous pouvez directement passer par le raccourci clavier « ctrl + alt + T », qui ouvrira automatiquement l’invite de commande ### Menu « Applications Vous pouvez également passer par le menu « Applications ». Pour cela, appuyez sur la touche Windows, s’il y en a une sur votre ordi, ou bien cliquez sur l’icône en bas à gauche de l’écran comme suit : [![tutos_cmd_ubuntu-1-display-apps.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/3VtSfTcJetXjbpBT-tutos-cmd-ubuntu-1-display-apps.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/3VtSfTcJetXjbpBT-tutos-cmd-ubuntu-1-display-apps.png) Vous pouvez ensuite taper « terminal » comme ci-dessous : [![tutos_cmd_ubuntu-2-search-terminal.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/Ri9TaKYKivyg8yex-tutos-cmd-ubuntu-2-search-terminal.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/Ri9TaKYKivyg8yex-tutos-cmd-ubuntu-2-search-terminal.png) Pour ensuite cliquer sur l’icone du terminal. ### Terminal ouvert Vous avez maintenant cette fenêtre ouverte, sur laquelle vous pourrez rentrer les commandes venant des tutoriels en faisant clique droit > coller, ou en les recopiant [![tutos_cmd_ubuntu-3-terminal-open.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/dTjpVFlxcBBdae9X-tutos-cmd-ubuntu-3-terminal-open.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/dTjpVFlxcBBdae9X-tutos-cmd-ubuntu-3-terminal-open.png) ## Linux – Tails Il y a sur Tails 2 manières d’accéder à l’invite de commandes, avec et sans droits Administrateurs ### Sans droits administrateurs Vous pouvez aller dans « Applications » en haut de l’écran, dans les utilitaires, puis cliquer sur « Terminal » [![tutos_cmd_tails-1-access-terminal.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/wrkXdpexLxGKd9XT-tutos-cmd-tails-1-access-terminal.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/wrkXdpexLxGKd9XT-tutos-cmd-tails-1-access-terminal.png) ### Avec droits administrateurs Vous pouvez aller dans « Applications », en haut de l’écran, dans « Outils système », puis cliquer sur « Terminal superutilisateur ». Le mot de passe configuré (en suivant [ce tuto](https://wiki.extinctionrebellion.fr/books/securite-militante/page/tutoriels-tails#bkmrk-mot-de-passe-adminis)) vous sera demandé. [![tutos_cmd_tails-2-access-terminal-super-user.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/HtEOYGPCCZZ68elK-tutos-cmd-tails-2-access-terminal-super-user.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/HtEOYGPCCZZ68elK-tutos-cmd-tails-2-access-terminal-super-user.png) ### Terminal ouvert Vous avez maintenant cette fenêtre ouverte, sur laquelle vous pourrez rentrer les commandes venant des tutoriels en faisant clique droit > coller, ou en les recopiant [![tutos_cmd_tails-3-terminal-open.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/wJb9RVPQa9NELL4J-tutos-cmd-tails-3-terminal-open.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/wJb9RVPQa9NELL4J-tutos-cmd-tails-3-terminal-open.png) ## Mac OS À complêter ## Une fois l’invite de commande ouverte Une fois que cette invite de commande est ouverte, vous avez la possibilité de tapez tout un tas de commandes. Ces dernières peuvent être de toute nature, et si vous n’êtes pas familier/familière des lignes de commandes, vous risquez de n’avoir aucune idée de quelles commandes rentrer, mais pas de panique ! Dans les différents tutoriels seront directement données les commandes à rentrer, et vous aurez juste à les copier coller. Après chaque commande rentrée ou copiée collée dans cette console, vous avez juste à appuyer sur « Entrée » pour l’exécuter, et passer à la commande suivante. À titre d’exemple, vous pouvez rentrer « echo Ceci est une commande » dans le terminal, et taper sur « Entrée » pour voir s’afficher le message « Ceci est une commande ». # Tutoriels Tails Dans ce guide vont être présents les différents tutoriels Tails que nous avons rédigé ## Mot de passe administrateur Lors de l’utilisation de Tails, il y a des chances pour que vous ayez besoin d’avoir un mot de passe administrateur configuré, pour 2 raisons principales : 1. Pour des raisons de sécurités, pouvoir verrouiller la session (sans éteindre l’ordi) avec un mot de passe sécurisé pour la déverrouiller est important 2. Pour accéder à certaines ressources, comme le disque dur de votre ordinateur, notamment si vous avez votre volume VeraCrypt dessus, ce mot de passe vous sera demandé Lorsque, depuis le menu de démarrage, vous appuyez sur le petit « + » : [![tutos_tails-admin_password_1.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/x1TyAArwgtNakPPi-tutos-tails-admin-password-1.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/x1TyAArwgtNakPPi-tutos-tails-admin-password-1.png) Il y a une liste de fonctionnalités que vous pouvez configurer : [![tutos_tails-admin_password_2.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/xvNlm2s3pTawmhwx-tutos-tails-admin-password-2.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/xvNlm2s3pTawmhwx-tutos-tails-admin-password-2.png) En cliquant sur la première option, vous êtes invité.e à rentrer 2 fois le mot de passe que vous souhaitez définir : [![tutos_tails-admin_password_3.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/g0XOaoszrTDMScZz-tutos-tails-admin-password-3.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/g0XOaoszrTDMScZz-tutos-tails-admin-password-3.png) Une fois fait vous pouvez valider le mot de passe et accéder à Tails ## Gestionnaire de volumes VeraCrypt Sachez que le logiciel VeraCrypt n’est pas installé de base sur Tails, on y trouve en revanche en gestionnaire de volumes VeraCrypt, qui sert uniquement à en ouvrir. Pour cela rendez vous dans Applications > Utilitaires > Déverrouiller les volumes VeraCrypt : [![tutos_tails-open_veracrypt_1.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/Y6F64ggTwYtRWEVE-tutos-tails-open-veracrypt-1.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/Y6F64ggTwYtRWEVE-tutos-tails-open-veracrypt-1.png) Une fois l’utilitaire ouvert, cliquez sur « ajouter » : [![tutos_tails-open_veracrypt_2.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/7ewr6nYIiHsgbeZt-tutos-tails-open-veracrypt-2.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/7ewr6nYIiHsgbeZt-tutos-tails-open-veracrypt-2.png) Vous pouvez maintenant naviguer dans les fichiers, y compris sur votre disque dur interne (Le mot de passe administrateur vous sera demandé pour ça), et sur votre stockage persistent, pour y sélectionner le fichier dont vous savez qu’il correspond à votre volume VeraCrypt : [![tutos_tails-open_veracrypt_3.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/bCymhQeiAYlj1D34-tutos-tails-open-veracrypt-3.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/bCymhQeiAYlj1D34-tutos-tails-open-veracrypt-3.png) Une fois le fichier ouvert, il vous est demandé de le déverrouiller, pensez à bien cocher la case « Volume masqué » si vous souhaitez accéder au volume caché : [![tutos_tails-open_veracrypt_4.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/XVVAhlcJmbpQ9Cq4-tutos-tails-open-veracrypt-4.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/XVVAhlcJmbpQ9Cq4-tutos-tails-open-veracrypt-4.png) Une fois déverrouillé, vous avez maintenant le volume VeraCrypt accessible et vous pouvez y accéder : [![tutos_tails-open_veracrypt_5.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/nROLJWiP7TrdpPWE-tutos-tails-open-veracrypt-5.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/nROLJWiP7TrdpPWE-tutos-tails-open-veracrypt-5.png) ## Installer VeraCrypt Bien qu’il existe déjà un gestionnaire de volume VeraCrypt sur Tails, ce dernier permet uniquement d’ouvrir les volumes, et non d’en créer de nouveaux. Dans le cas où vous voulez créer de nouveau volumes depuis Tails, par exemple si vous utilisez la persistance, et que vous souhaitez y ajouter un volume VeraCrypt pour protéger vos données des autorités, vous devrez installer le logiciel VeraCrypt sur Tails. Ce tutoriel va vous montrer comment vous y prendre. Attention, tout logiciel installé sur Tails n’est plus disponible une fois ce dernier relancé, étant donné qu’il oublie ses modifications à chaque redémarrage, mais ce n’est pas grave, vous n’avez besoin de VeraCrypt que pour créer votre volume, vous pourrez ensuite l’ouvrir avec le gestionnaire de volume VeraCrypt qui lui est déjà installé de base sur Tails Tout d’abord, rendez vous sur la page de téléchargement de [VeraCrypt ici](https://www.veracrypt.fr/en/Downloads.html). Vous devez ensuite télécharger le fichier pour linux : [![tutos_tails-install_veracrypt-1.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/BdXfNZNaWbKKNX1B-tutos-tails-install-veracrypt-1.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/BdXfNZNaWbKKNX1B-tutos-tails-install-veracrypt-1.png) Une fois téléchargé, veuillez ouvrir l’invite de commande. ([Cliquer ici](https://wiki.extinctionrebellion.fr/books/securite-militante/page/ouvrir-et-utiliser-linvite-de-commandes#bkmrk-linux-%E2%80%93-tails) pour savoir comment ouvrir l’invite de commande) Rendez vous dans le dossier « Tor Browser » avec la commande : cd ~/Tor\\ Browser Notez ensuite la version de VeraCrypt que vous venez de télécharger. La version correspond au numéro que l’on voit dans le nom du fichier téléchargé, qui s’appel en l’occurrence « veracrypt-1.25.9-setup.tar.bz2 », le numéro de version est donc 1.25.9. Copiez collez la commande suivante : version=1.25.9 « 1.25.9 » devant bien entendu être remplacé par le numéro de version que vous avez noté Décompressez ensuite le fichier téléchargé en copiant-collant la commande suivante : tar -xjf veracrypt-$version-setup.tar.bz2 veracrypt-$version-setup-gui-x64 Une fois décompressé, vous pouvez exécuter le programme d’installation avec cette commande : ./veracrypt-$version-setup-gui-x64 Vous allez vous retrouvez avec ce message dans l’invite de commandes : [![tutos_tails-install_veracrypt-2.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/ID1UkjquPuRWVMKz-tutos-tails-install-veracrypt-2.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/ID1UkjquPuRWVMKz-tutos-tails-install-veracrypt-2.png) Tapez « 1 » et appuyez sur « Entrée » Ré-appuyez ensuite une deuxième fois sur « Entrée » pour afficher les conditions d’utilisation. Vous allez vous retrouver avec ça : [![tutos_tails-install_veracrypt-4.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/qOrncjseMYzvEj1i-tutos-tails-install-veracrypt-4.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/qOrncjseMYzvEj1i-tutos-tails-install-veracrypt-4.png) Restez maintenant maintenu.e sur la touche « Entrée » pour faire défiler ces conditions d’utilisation, jusqu’à qu’il vous demande d’accepter : [![tutos_tails-install_veracrypt-5.png](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/scaled-1680-/gh5FHloCytWcPLid-tutos-tails-install-veracrypt-5.png)](https://wiki.extinctionrebellion.fr/uploads/images/gallery/2023-09/gh5FHloCytWcPLid-tutos-tails-install-veracrypt-5.png) Rentrez « yes » puis faites « Entrée ». Si vous n’avez pas lancé l’invite de commande de base avec les droits administrateurs, il va vous demander de rentrer le mot de passe administrateur configuré (pour savoir comment le configurer, [regardez ici](#bkmrk-mot-de-passe-adminis)), puis de faire Entrée Vous pouvez maintenant exécuter la commande suivante pour lancer VeraCrypt : /usr/bin/veracrypt Regardez [ce tutoriel](https://wiki.extinctionrebellion.fr/books/securite-militante/page/creer-un-espace-de-stockage-securise-avec-veracrypt) pour savoir comment utiliser VeraCrypt