[Edito] #MacronLeaks, ou l'éloge d'une meilleure sécurité et du chiffrement des échanges

À quelque chose malheur est bon 120
Accès libre
image dediée
Crédits : weerapatkiatdumrong/iStock
Sécurité EDITO
Par
le samedi 06 mai 2017 à 12:12
David Legrand

Les fuites de mots de passe et de données sont légion ces dernières années. Parfois elles touchent chacun de nous, parfois de grandes sociétés ou des organisations politiques. Mais dans tous les cas, la même question se pose : quand allons-nous prendre les questions de sécurité au sérieux ?

Cette nuit, un compte anonyme a partagé sur 4Chan plusieurs Go d'archives contenant des emails, photos et autres documents qui seraient issus de plusieurs membres de la campagne d'Emmanuel Macron. Une nouvelle attaque de dernière minute, qui n'est pas sans rappeler les pratiques outre-Atlantique lors de l'élection présidentielle. 

Nous ne reviendrons pas ici sur ces méthodes ou sur le contenu des documents diffusés sur 4Chan. Tout d'abord en raison de la période de réserve qui intervient dans le jour précédent l'ouverture du scrutin. Ensuite parce que les milliers de documents sont en train d'être analysés par de nombreuses rédactions, qui auront tout loisir de livrer leurs découvertes une fois qu'elles auront pu démêler le vrai du faux.

Enfin, parce qu'il sera intéressant de revenir dans un second temps sur la responsabilité, notamment des personnalités politiques, dans la diffusion (sans doute parfois assez volontaire) de fausses informations en ligne. Une façon de faire qui s'est largement répandue en France à l'occasion de cette élection.

Derrière les fuites, un manque de sécurité

Ce qui nous intéresse aujourd'hui concerne ce qui se cache derrière l'existence de telles fuites. Non pas le contenu des documents, mais la manière dont ils sont obtenus. Il est en général question de savantes attaques de « pirates russes » dont on imagine qu'ils déploient des techniques extraordinairement complexes. En réalité, il s'agit le plus souvent d'accéder à des messageries peu sécurisées après une campagne de phishing plus ou moins bien faite.

Dans le cas de cette fuite, nous ne savons pas ce qu'il en est. Ce que l'on sait par contre, c'est qu'il existe des moyens pour se prémunir de telles attaques, et qu'il faut tout faire pour en répandre l'usage.

Hygiène et culture numérique

Commençons par le commencement : le respect de bonnes pratiques et limiter l'accès à votre machine principale. On l'oublie assez souvent, mais c'est un moyen assez simple d'accéder à toutes vos données. Utilisée au quotidien, elle est souvent un moyen de faire tomber de nombreuses frontières.

N'hésitez donc pas à fermer votre session lorsque vous vous éloignez de votre machine, à l'éteindre lorsque vous ne l'utilisez pas, à ne pas laisser un ordinateur portable sans surveillance, à chiffrer vos périphériques de stockage, à ne pas accéder à des données sensibles lorsque vous êtes en public, etc.

Keepass générateur mot de passeKeepass générateur mot de passe

Vient ensuite le choix et la gestion des mots de passe. Nous l'avons déjà évoqué dans un dossier complet, mais il s'agit ici d'un point crucial pour éviter, qu'en cas de fuite à travers un service anodin, ce soit l'accès à votre boite email qui soit piraté. Car avec celle-ci, on peut le plus souvent accéder ensuite à tout le reste. Elle revêt donc un caractère vital.

Le gestionnaire de mots de passe peut aussi parfois vous préserver d'outils comme les keyloggers qui récupèrent vos frappes au clavier et autres malwares que vous pouvez récupérer sur votre machine si vous n'êtes pas trop attentifs.

L'email cache peut être votre ennemi, quid de la signature électronique ?

C'est ici que la question du phishing entre en scène, et que de vieux préceptes de base doivent être répétés. N'ouvrez jamais sur votre machine des documents dont vous ne vous êtes pas assurés de connaître la source (notamment lorsque cela vient de sites comme 4Chan).

L'adresse e-mail ne peut pas être considérée comme un élément parfaitement fiable puisque n'importe qui peut l'usurper assez facilement. Faites attention à tous les liens sur lesquels vous cliquez depuis un email. Vérifiez les URL et même les certificats dans le cas d'une connexion sécurisée. Plus globalement, ne chargez aucun élément par défaut.

Bien entendu, ce problème pourrait être réduit par une utilisation plus généralisée de la signature électronique dans les emails, mais ni les éditeurs de services, ni les sociétés privées, ni les institutions publiques ne poussent à un tel usage. Il existe quelques rares exceptions, comme Facebook par exemple. Mais nous sommes encore loin d'un usage global.

2FA pour tous !

Autre possibilité pour améliorer la protection de l'accès à vos données : la double authentification. De plus en plus répandue, elle peut être utilisée sur de nombreux services du quotidien comme Facebook, Gmail, Twitter, etc. Elle consiste à demander de compléter votre mot de passe par un élément aléatoire. Ainsi, même si votre mot de passe est récupéré par un tiers, il ne pourra pas accéder à votre machine.

Le code peut vous être fourni par un objet mis à votre disposition, un SMS (c'est à éviter, mais nous y reviendrons), une application ou même une clef de sécurité U2F :

U2F Google Fido

Pensez aussi à surveiller les connexions à votre compte. De plus en plus de services vous permettent de voir la liste des derniers accès et bloquent votre compte en cas d'activité suspecte. Vous pouvez ainsi changer votre mot de passe ou choisir de révoquer l'accès de certaines applications ou l'ensemble des sessions ouvertes sur vos différentes machines. 

Le besoin de chiffrement, c'est maintenant

Si rapidement certains ont mis en cause l'utilisation de services comme Gmail, ils se trompent d'ennemi. En effet, même si on peut reprocher l'utilisation d'un service américain exploitant nos données pour la gestion des emails, cela reste courant et ne protège pas des possibles intrusions telles qu'évoquées au-dessus.

Par contre, on peut se poser une question : pourquoi des emails sensibles, au sein d'un parti politique ou de toute autre organisation, ne sont pas échangés de manière chiffrée ? Car cela revient à mettre à disposition de tiers (ici Google et de toute personne accédant à vos emails) vos échanges dans leur forme la plus pure. En cas de fuite, il n'y a donc rien à faire si ce n'est tout télécharger et rediffuser.

Nautilus Seahorse GPG

Souvent, lorsqu'il est question de chiffrement, on fait assez rapidement face à une phrase assez célèbre : « Je n'ai rien à cacher ! ». Mais imaginez maintenant que l'ensemble de vos emails et messages privés soient exposés publiquement. Que vos amis, votre famille, vos conjoints, mais aussi vos collègues, patrons ou employés puissent en lire les moindres détails.

Dans un cadre plus professionnel, que vos concurrents puissent accéder à ces comptes-rendus de vos réunions et autres éléments stratégiques que vous partagez parfois par simplicité à travers un simple email. Pensez à tout ce qui pourrait découler de tout cela et aux risques que vous encourez.

Une protection à renforcer, non à fragiliser

Ces dernières années, la légitimité du chiffrement a parfois été remise en cause, en France comme ailleurs. Elle nous est pourtant utile à tous, au quotidien : pour acheter avec une carte bancaire, pour assurer notre identification sur les réseaux mobiles, la sécurité et la confidentialité de nos échanges avec les serveurs des sites en ligne (comme notre mot de passe lors de la connexion à un site). Bref, elle nous protège déjà.

Mais elle ne protège pas encore assez globalement ce qui fait la nature de nos échanges au quotidien. Cela évolue avec la mise en place de messageries spécifiques comme Signal et Silence, mais aussi l'intégration (parfois partielle) du chiffrement de bout en bout (E2E) à des outils comme iMessage ou Whatsapp. Mais il n'en est que rarement question pour nos emails, qui peuvent donc se retrouver partagés de manière assez générale à la moindre fuite.

Signal Desktop

Et plutôt que d'aider à renforcer et simplifier l'usage ces outils de sécurité, comme cela a notamment été le cas en Allemagne avec le projet GnuPG par exemple, certaines de nos institutions cherchent à les mettre à mal afin de pouvoir accéder à nos données lorsqu'elles le jugent nécessaire. Ce qui revient à mettre en place, quelle que soit la méthode utilisée (backdoor, clef maître, etc.), une faille de sécurité dans l'ensemble de nos échanges.

La période de cinq ans qui s'ouvrira dimanche soir et après les législatives sera l'occasion de le rappeler. Espérons que les très nombreuses fuites et scandales récents, qui peuvent toucher aussi bien le citoyen que ses représentants, permettront de traiter de ces questions avec un peu plus de sérénité.


chargement
Chargement des commentaires...