Boum publie la 6e édition de son guide d’autodéfense numérique

Il existe des dizaines de guides et modes d'emploi en matière de sécurité informatique (cf cette blogroll). Si celui de l'Electronic Frontier Foundation, Surveillance Self Defense (SSD), met en avant les modèles de menace, celui du collectif apparenté à l'OS sécurisé Tails opte pour une approche pédagogique de la réduction des risques. 

Le collectif (anonyme) auteur du « guide d'autodéfense numérique » vient d'annoncer la parution de sa sixième édition, 13 ans après sa première publication.

Son tome 1, consacré à l'utilisation d'un ordinateur « hors connexions », ou plus exactement « préalablement à toute connexion », avait en effet été mis en ligne en 2010, expliquant que « Les technologies numériques, auxquelles il est devenu très difficile d’échapper, offrent des possibilités de contrôle et de surveillance inédites » :

« S’ils semblent souvent très pratiques, ces outils sont également de puissants supports dans les processus de surveillance et de répression. C’est à partir de ce constat, et de la détermination à ne pas se laisser contrôler par quelque Big Brother que ce soit, qu’un collectif s’est attelé depuis plusieurs mois à la rédaction du "Guide d’autodéfense numérique" ».

Le collectif en question ne donnait pas d'indication quant à l'identité de ses auteurs, au motif «  qu’il nous semble parfaitement inintéressant de chercher des réponses à de telles interrogations ; que nous laissons aux flics, spécialistes de la question, le privilège de s’y consacrer ; que nous avons mieux à faire ».

Il précisait cela dit que, « collectivement », les membres du collectif s'intéressaient « techniquement et politiquement, depuis une dizaine d’années », à ces questions, qu'ils connaissaient « très bien le fonctionnement des systèmes d’exploitation, et particulièrement celui de Debian GNU/Linux » et qu'ils disposaient de « bases solides en cryptographie », bien que « très loin de pouvoir prétendre à une quelconque expertise en la matière ». 

À défaut de connaître l'identité des membres du collectif, il est loisible de penser que tout ou partie d'entre eux contribuent à la distribution GNU/Linux sécurisée Tails (pour « The Amnesic Incognito Live System »), et que ce guide d’autodéfense numérique répond donc aussi à un véritable besoin exprimé en interne de savoir comment se protéger, et essayer de se prémunir de toute compromission pouvant affecter l'OS sécurisé.

Le guide est en effet hébergé sur le même nom de domaine (boum.org) que Tails, l'OS bootable recommandé et utilisé par Edward Snowden, et considéré comme le plus sécurisé pour ceux qui ont besoin de confidentialité avancée, voire d'anonymat, qu'il s'agisse de pouvoir lancer l'alerte, contourner la censure, militer ou enquêter avec un ordinateur conçu pour ne pas laisser de trace, ni sur l'ordinateur, ni sur Internet (« tout passe par Tor »).

Grâce à Snowden, on sait plus clairement contre quoi se protéger 

Il fallut ensuite attendre quatre ans la publication, en septembre 2014, du second tome, dédié quant à lui aux enjeux liés de l'utilisation des réseaux et d'Internet. 

Il se donnait alors pour objectif de « présenter l’"absence d’intimité" du monde numérique » et proposait « des méthodes pour ajuster ses pratiques quotidiennes en conséquence » afin de « permettre à tout un chacun de comprendre quels sont les risques et les limites associés à l'utilisation d'Internet et de se donner les moyens de faire des choix éclairés quant à nos usages de l'Internet ». 

Sa troisième édition, « revue et corrigée du premier volume » et parue en 2015, prenait en considération les révélations Snowden, qui avaient commencé à être détaillées en 2013, concernant les pratiques de surveillance numérique de la NSA et de ses partenaires, « ainsi que les dernières évolutions légales et techniques – et notamment les nouvelles versions des systèmes Debian et Tails ».

La quatrième édition, publiée en janvier 2017, mettait à son tour à jour les deux tomes suite aux nouvelles révélations Snowden. En septembre de cette même année, sa cinquième édition prenait notamment en compte Vault 7, la série de révélations de WikiLeaks au sujet des armes de surveillance numérique de la CIA, ainsi que « l'installation dans la permanence de l'état d'urgence en France », qui confirmait que « la tendance est toujours à la normalisation de la surveillance tous azimuts ». 

• La cyber-guéguerre des hackers de la CIA vire au délire
• Vault 7 : le présumé lanceur d'alerte de la CIA reconnu coupable

« La maigre consolation qu'on peut tirer de ce nouveau contexte, c'est qu'on sait plus clairement contre quoi se protéger », soulignaient les auteurs. « Mais cela relance aussi la course à la sécurité informatique, en forçant les attaquants à recourir à des techniques plus poussées, comme l'utilisation de failles informatiques encore inconnues du public, contre lesquelles personne ne peut donc trouver de correctif, aussi appelées vulnérabilités Zero day », expliquaient-ils.

Sur fond de « prolongation indéfinie de l’état d’urgence »

Cette sixième édition, mise en ligne le 6 janvier 2023, cinq ans après la cinquième et « entièrement mise à jour », contient « de nombreuses actualisations sur les pratiques de surveillance numérique, sur les lois que nous subissons et sur les outils que nous utilisons, ainsi qu’un nouveau chapitre sur la réduction des risques appliquée au numérique ».

Si les deux tomes de la cinquième édition faisaient respectivement 184 et 178 pages au format .pdf, la sixième édition en totalise 383, soit 21 de plus, en comptant les (très nombreuses) notes de bas de page et l'index.

Le collectif revient dans la préface sur ce que la Commission nationale consultative des droits de l’Homme avait qualifié de « prolongation indéfinie de l’état d’urgence » et l'extension du domaine de la surveillance qui, au-delà d'Internet, militarise aussi les frontières extérieures de l'Union européenne, notamment. 

A contrario, le RGPD, la directive Police-Justice ou les arrêts de la Cour de Justice de l’Union européenne (CJUE) sur la conservation des données de connexion, sont venus renforcer nos droits en matière d'informatique, libertés et vie privée.

• La police peut-elle encore accéder aux données de connexion ?

Pour ce qui est du guide en tant que tel, des évolutions techniques ont aussi amené à mettre à jour plusieurs passages. La technologie flash « qui posait de nombreux problèmes » a en effet été abandonnée au profit du HTML5 et de diverses technologies associées… « qui posent de nouveaux problèmes », et la généralisation des disques SSD « nécessite de repenser la suppression de données ».

Le guide évoque également l’exfiltration de données qui utilisent des failles dans les services web, ainsi que les failles de sécurité découvertes en 2017 sur le microprogramme des processeurs Intel Management Engine (ou ME en anglais), qui « permettent d’installer un logiciel malveillant complètement indétectable qui résiste aux mises à jour du système d’exploitation et a accès à l’ensemble du processeur et de la mémoire vive ».

Tor ne prétend plus fournir d’anonymat, mais de la confidentialité 

De plus, « les explications sur Tor ont été largement revues car Tor ne prétend plus fournir d’anonymat, mais plutôt de la confidentialité ». Et « les recommandations pour le choix de phrases de passe et l’utilisation de mots de passe ont aussi été revues en prenant en compte les nouvelles recherches à ce sujet ».

• Phrases de passe : l'ANSSI passe en mode 2.0
• Phrases de passe : la CNIL passe elle aussi en mode 2.0

Évoquant notamment la tentaculaire, et très intrusive, enquête judiciaire ayant ciblé des militants à Bure, le guide rappelle que « les smartphones sont de plus en plus ciblés dans les enquêtes policières », mais également que, du fait de la généralisation des messageries chiffrées, le marché des vulnérabilités et exploits « zero days » visant particulièrement les smartphones est en plein boom : 

« Pour autant, la réduction des risques pour l’usage des téléphones ne sera pas abordée dans ce guide. Un travail complet serait nécessaire, pour lequel les personnes qui mettent à jour ce guide n’ont ni le temps, ni l’expertise requise. Le fonctionnement même de la téléphonie mobile pose des questions d’intimité difficiles à résoudre. »

« Au-delà des évolutions techniques, une nouvelle dynamique d’écriture autour du guide a amené des évolutions plus générales », conclut la préface. Une relecture complète a entraîné de nombreuses reformulations et la mise à jour d’exemples : 

« Une nouvelle partie sur la réduction des risques appliquée aux outils numériques est venue se glisser dans le choix des réponses adaptées à chaque situation. Le cas d’usage Travailler sur un document sensible a été refondu et le cas d’usage Publier un document inclut maintenant la protection des personnes qui vont le consulter. »

Pour en savoir autant sur le clitoris que sur la mémoire vive

S'inspirant d'Act Up, pour qui « information = pouvoir », le guide met en avant les questions de confiance et de réduction des risques pour expliquer les problèmes auxquels tout un chacun, et au surplus les personnes prenant des risques, pourraient être confrontés, et comment tenter de s'en prémunir : 

« Si une application annonce chiffrer complètement les données, on peut se demander quel est le système de chiffrement et si cette méthode est approuvée par les communautés en qui nous avons confiance. On peut aussi se demander si ce ne serait pas du marketing mensonger.

De la même manière, quand on partage de la sexualité, on peut discuter de ce que l’on considère comme une prise de risque, et quelles sont nos limites, nos pratiques ou notre rapport à la réduction des risques et au dépistage. »

On saluera cette approche pédagogique des notions de confiance et de réduction des risques qui, explique le collectif, « sont utiles pour choisir comment utiliser des outils numériques ». Ce pourquoi le guide dresse des parallèles avec le sexe, la drogue et le rock’n roll, « des contextes dans lesquels ces notions ont déjà été réfléchies » et parce que « comme le numérique, ces pratiques peuvent être fun, mais comportent souvent des risques ».

Dressant également un parallèle avec les personnes et ONG qui distribuent des brochures d'informations, capotes, « roule ta paille » (pour le sniff, ndlr) ou bouchons d'oreilles lors des free parties notamment, les auteurs du guide résument de façon imagée leur démarche d'autodéfense en matière d'intimité numérique : 

« Pour qu’utiliser le chiffrement soit aussi facile qu’enfiler un casque de chantier ; pour en savoir autant sur le clitoris que sur la mémoire vive ; pour que l’usage de Tor soit aussi simple que celui des bouchons d’oreille ; parce que tout compte fait, se masturber et chercher des images de fond d’écran pendant des heures rend la vie plus agréable et ne devrait pas être risqué ! »

« Cette œuvre est libre, vous pouvez la copier, la diffuser et la modifier selon les termes de la Licence Art Libre », précise la licence Copyleft. Une version papier de près de 600 pages, publiée par les éditions Tahin Party, sera disponible en librairie à partir du 27 janvier 2023.