Petit manuel de contre-espionnage informatique

Owni.fr. 25 mai 2010.

Autrefois réservés aux seuls services secrets, les outils et technologies de surveillance, GPS, téléphones et logiciels espions, se “démocratisent” au point que, suite à un reportage de M6, Petits espionnages en famille, montrant comment de plus en plus de gens espionneraient les téléphones portables et ordinateurs de leur futurs (ou ex-) femmes (ou maris), enfants, nounous, Le Parisien/Aujourd’hui en France faisait sa “une”, début 2010, sur la question ( Votre portable devient espion), tout en expliquant qu’espionner les téléphones portables était devenu “un jeu d’enfant” (à toutes fins utiles, en France, leur commercialisation, mais également leur simple détention, n’en est pas moins punie d’un an de prison et de 45 000 euros d’amende).

Nombreux sont les médias à s’être penchés sur la question, de façon souvent quelque peu sensationnaliste. Aucun n’a dans le même temps cherché à expliquer comment l’on pouvait s’en protéger.

Le fait est que, et aussi paradoxal que cela puisse être, la CNIL explique bien, par exemple, comment nous sommes tracés sur le Net… mais sans jamais nous expliquer comment s’en protéger. Et si ces techniques d’espionnage existent depuis des années, force est de constater que jamais les autorités n’avaient cherché, jusque-là, à expliquer aux gens comment s’en protéger (voir, à ce titre, “Internet : quand l’Etat ne nous protège pas“).

Or, il se trouve que deux agences, liées aux services de renseignement français, viennent précisément de publier coup sur coup deux guides destinés à nous aider à sécuriser nos ordinateurs et téléphones portables, et garantir la confidentialité de nos télécommunications.

Initialement destinés à tous ceux qui, patrons, chercheurs, cadres supérieurs, négociateurs, peuvent, du fait de l’espionnage industriel, voir leurs communications surveillées, leur lecture s’avère également très instructive pour tous ceux qui chercheraient à se protéger de l’espionnite aïgue de leurs parents, conjoints, employeurs ou collègues.

Une lecture que goûteront également probablement ceux qui, inquiets des projets de surveillance de l’internet prévus par l’Hadopi, la Loppsi, l’ACTA, ou encore par les pouvoirs accrus confiés aux forces de police et services de renseignement, sont aujourd’hui soucieux de protéger leur vie privée, et leurs libertés.

Alors que Reporters Sans Frontières célébrait récemment la journée mondiale contre la cyber-censure (près de cent vingt blogueurs, internautes et cyber-dissidents sont en prison, en Chine, au Viêt-nam ou en Iran notamment), il n’est en effet pas anodin de noter que les démocraties aussi, surveillent, et censurent l’internet

A lire en complément du mode d’emploi que m’avait commandé, l’an passé, une revue du CNRS : Comment contourner la cybersurveillance

Vous êtes en état d’interception : toutes vos télécommunications pourront être retenues contre vous

En août 2008, le département de la sécurité intérieure (DHS) américain annonçait que les ordinateurs portables de toute personne passant par les Etats-Unis pourraient désormais être saisis :

La police des frontières américaines pourra désormais saisir le matériel électronique des voyageurs pour “examiner et analyser l’information transportée par un individu qui tente d’entrer, de réentrer, de partir, de passer en transit ou qui réside aux Etats-Unis“, même si aucun soupçon ne pèse sur l’individu ou les informations qu’il transporte.

Les fédéraux américains peuvent ainsi “détenir les documents et les équipements électroniques, pour une période raisonnable afin de pouvoir faire une recherche approfondie” sur place ou en envoyant l’ordinateur à des spécialistes.

Critiqué de toutes parts, le DHS expliqua que cela lui permettait de lutter contre le terrorisme, la pédo-pornographie, mais aussi le vol de propriété intellectuelle, et précisa que la pratique n’avait rien de nouveau, que ses agents le faisaient depuis bien longtemps :

“Depuis la fondation de la République, nous avons eu la capacité de faire des recherches aux frontières afin d’éviter l’entrée dans le pays d’individus et de produits dangereux. Au 21ème siècle, la plus dangereuse des contrebandes est souvent contenue dans les médias électroniques et pas sur du papier. L’ère des dossiers de papiers et des microfiches est révolu.”

Les autorités françaises, elles, y voient quand même un léger petit problème. Sans pointer explicitement du doigt les USA (d’autant que ce genre de fouille approfondie n’est pas l’apanage des Etats-Unis), les deux modes d’emploi, publiés en décembre et janvier 2010, expliquent comment, précisément, réduire les risques, et protéger ses données, dès lors que l’on voyage ou part en mission avec un téléphone mobile, un assistant personnel ou un ordinateur portable.

De fait, la guerre économique, et l’espionnage industriel, sont une réalité souvent mal perçue par ceux qui, pourtant, peuvent en faire les frais. En 2005, les Renseignements Généraux estimaient ainsi qu’”une société sur quatre est ou a été touchée par l’espionnage industriel“.

En 2009, une “note blanche” de la Direction centrale du renseignement intérieur (DCRI) révélait que “près de 3000 firmes françaises ont été victimes de très nombreuses “actions d’ingérences économiques”, destinées à leur voler leurs secrets de fabrication, à déstabiliser leur direction ou à gêner le lancement de nouveaux produits” entre 2006 et 2008.

Evitez, SVP, d’utiliser un ordinateur…

Seul un ordinateur éteint, enfermé dans un coffre-fort et enterré six pieds sous terre dans un endroit tenu secret peut être considéré comme sécurisé, et encore.
– Bruce Schneier, expert mondialement réputé pour ce qui est des questions de sécurité informatique.

Dans un Guide pratique de la sécurité publié en décembre 2009, le Haut fonctionnaire de défense et de sécurité (HFDS) du ministère de l’économie, qui “conseille et assiste les ministres pour toutes les questions relatives aux mesures de défense et de sécurité, tout particulièrement dans le domaine de la défense économique“, a une solution toute trouvée : “le PC portable doit être évité dans la mesure du possible“.

Privilégiez les solutions suivantes :

Emportez vos fichiers sur un, voire deux, à titre de sauvegarde, support amovible que vous gardez avec vous (les médias de sauvegarde sont régulièrement mis à jour et rangés dans deux bagages distincts).
- Préférez la mise à disposition d’un PC de l’entreprise sur place, dans un environnement de confiance. Dans ce cas, emportez vos fichiers sur unsupport amovible, si possible chiffré en fonction de la législation locale relative aux transmissions chiffrées et gardez ce support en permanence avec vous.

Si le PC portable est indispensable :


- Contrôle d’accès au démarrage avec un mot de passe fort et/ou biométrie.
- Données dans la partition chiffrée du disque dur ou sur un support amovible chiffré et sous surveillance permanente.
- Banalisez le transport de l’ordinateur portable (pas de sacoche portant la marque du fabriquant…).
- Ne relâchez jamais la surveillance de votre PC (il voyage en cabine avec vous).
- Rappelez-vous que toutes les liaisons hertziennes (wifi, bluetooth, carte 3G…) à partir d’un PC, PDA ou téléphone portable peuvent être interceptées.

…à défaut, restez vierges

Sous-titré “Partir en mission avec son téléphone mobile, son assistant personnel ou son ordinateur portable“, le Passeport de conseils aux voyageurs, co-signé Patrick Pailloux, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI, rattachée au Secrétaire général de la défense nationale), et Régis Poincelet, vice président du Club des directeurs de sécurité des entreprises (CDSE), rappelle lui aussi que “les cybercafés, les hôtels, les lieux publics et parfois même les bureaux de passage n’offrent pas de garantie de confidentialité. Dans de nombreux pays étrangers, les centres d’affaires et les réseaux téléphoniques sont surveillés. Dans certains, les chambres d’hôtel peuvent être fouillées“.

Le guide commence par rappeler qu’au premier chef, les appareils “ne doivent contenir aucune information autre que celles dont vous avez besoin pour la missionet que doivent en particulier être proscrites les “photos, vidéos, ou œuvres numériques qui pourraient vous placer en difficulté vis-à-vis de la législation ou des mœurs du pays visité“.

Règle n°1 : ne jamais partir en voyage avec son ordinateur personnel, ni de travail, mais de ne voyager qu’avec un disque dur vierge de toute donnée.
Règle n°2 : prenez connaissance de la législation locale.
Règle n°3 : sauvegardez les données que vous emportez, “vous récupérerez ainsi vos informations à votre retour en cas de perte, de vol ou de saisie de vos équipements“.
Règle n°4 : évitez de partir avec vos données sensibles. “Privilégiez, si possible, la récupération de fichiers chiffrés sur votre lieu de mission en accédant :
- au réseau de votre organisme avec une liaison sécurisée, par exemple avec un client VPN mis en place par votre service informatique.
- sinon à une boîte de messagerie en ligne spécialement créée et dédiée au transfert de données chiffrées (via https) et en supprimant les informations de cette boite après lecture“.
Règle n°5 : emportez un filtre de protection écran pour votre ordinateur si vous comptez profiter des trajets pour travailler vos dossiers, afin dʼéviter que des curieux lisent vos documents par-dessus votre épaule.
Règle n°6 : mettez un signe distinctif sur vos appareils (comme une pastille de couleur), “cela vous permet de pouvoir surveiller votre matériel et de vous assurer qu’il n’y a pas eu d’échange, notamment pendant le transport. Pensez à mettre un signe également sur la housse“.

A noter, en complément de la règle n°4, un petit truc, inspiré de la technique bien connue de la boîte aux lettres morte et qui aurait été utilisé par des terroristes pour échapper à la surveillance étatique : partager une boîte aux lettres électroniques, en n’y écrivant qu’en mode brouillon : les emails ne sont dès lors pas échangés, ils ne circulent pas sur les réseaux, et ne peuvent donc être consultés que par ceux qui se sont connectés (de façon sécurisée, via https) à la boîte aux lettres en question.

Chiffrez l’intégralité de vos données

D’un point de vue plus technique, le passeport recommande de “configurer les appareils de manière défensive“, et donc d’installer sur vos appareils numériques de quoi “résister aux attaques informatiques et éviter le vol de données” :

- Désactivez les liaisons inutilisées (Bluetooth, infrarouge, wifi, …) et les services inutiles ;
- Paramétrez le pare-feu et le navigateur de manière restrictive;
- Utilisez un compte sans droits administrateur;
Mettez à jour les logiciels (système d’exploitation, navigateur, anti-virus, pare-feu personnel, etc…);
- Désactivez l’exécution automatique des supports amovibles (CDROM, Clés USB);
- Désactivez les services de partage de fichiers et d’imprimantes.

Afin de garantir la confidentialité des données, il convient également d’installer “un logiciel qui assure le chiffrement de l’environnement complet de travail (disque dur, fichiers temporaires, fichier d’échange, mémoire)” pour ce qui est des ordinateurs portables, d’”un logiciel assurant le chiffrement de l’intégralité du répertoire de contacts, de l’agenda et des messages” pour les PDA et les Smartphone (”à défaut, activez la protection d’accès par code PIN“).

On peut également se reporter au manuel de sécurisation des iPhone publié par la National Security Agency américaine (chargée d’espionner les télécommunications du monde entier, mais également de sécuriser celles des Américains), publié en décembre 2009, et dont la plupart des conseils peuvent également s’appliquer aux autres modèles de téléphones portables.

La NSA y rappelle au premier chef de ne jamais se séparer physiquement de son mobile, dès lors qu’il existe des logiciels et outils qui, une fois installés sur les appareils, permettent de les écouter à distance.

De même, et à l’instar des bonnes pratiques recommandées pour ce qui est des ordinateurs, il est vivement conseillé de protéger l’accès aux données par un mot de passe (la plupart des téléphones permettent de paramétrer un écran de veille qui ne peut être désactivé que par un mot de passe), voire de le configurer de sorte que le téléphone efface toutes les données après X tentatives infructueuses d’y accéder.

Dans la mesure du possible, évitez d’utiliser le Wifi (sauf s’il est vraiment sécurisé, de préférence en WPA), et désactivez bien évidemment le BlueTooth, ainsi que la géolocalisation.

Le n°24 de la revue ActuSécu, paru en janvier 2010, revient en détail sur les problèmes de sécurité des iPhone. Tout comme la NSA, elle déconseille fortement de “jailbreaker” son téléphone.

Cette opération, consistant à passer outre les restrictions imposées par Apple afin d’y installer un autre système d’exploitation, installe en effet par défaut un “serveur” sur le téléphone, serveur qui, ouvert, offre la possibilité à des individus mal intentionnés de s’y connecter, et d’y récupérer l’intégralité des données…

Ceux qui, malgré tout, voudraient jailbreaker leur iPhone prendront le soin de modifier les mots de passe des comptes root et mobile. Par défaut, ces deux comptes ont le même mot de passe : alpine

Bon voyage

Une fois ces règles bien comprises, et vos appareils et systèmes de communication paramètres de sorte d’être correctement sécurisées, “vous disposez maintenant des bons bagages pour partir en toute sécurité…“, ou presque, comme le rappellent les auteurs du rapport, au chapitre “Pendant la mission” :

1) Gardez vos appareils, support et fichiers avec vous !
Prenez-les en cabine lors de votre voyage. Ne les laissez pas dans un bureau ou dans la chambre d’hôtel (même dans un coffre).
2) Si vous êtes contraint de vous séparer de votre téléphone portable ou de votre PDA, retirez et conservez avec vous la carte SIM ainsi que la batterie.
3) Utilisez un logiciel de chiffrement pendant le voyage.
Ne communiquez pas d’information confidentielle en clair sur votre téléphone mobile ou tout autre moyen de transmission de la voix.
4) Pensez à effacer lʼhistorique de vos appels et de vos navigations (données en mémoire cache, cookies, mot de passe dʼaccès aux sites web et fichiers temporaires).
5) En cas dʼinspection ou de saisie par les autorités, informez votre organisme.
Fournissez les mots de passe et clés de chiffrement, si vous y êtes contraint par les autorités locales.
6) En cas de perte ou de vol d’un équipement ou d’informations, informez immédiatement votre organisme et demandez conseil au consulat avant toute démarche auprès des autorités locales.
7) N’utilisez pas les équipements qui vous sont offerts avant de les avoir fait vérifier par votre service de sécurité. Ils peuvent contenir des logiciels malveillants.
8) Evitez de connecter vos équipements à des postes ou des périphériques informatiques qui ne sont pas de confiance.
Attention aux échanges de documents (par exemple : par clé USB lors de présentations commerciales ou lors de colloques). Emportez une clé destinée à ces échanges et effacez les fichiers, de préférence avec un logiciel d’effacement sécurisé.

La sécurité est un process, pas un produit

Dans un autre accès de clairvoyance, Bruce Schneier avait également déclaré que “Si vous pensez que la technologie peut résoudre vos problèmes de sécurité alors vous n’avez rien compris aux problèmes ni à la technologie“.

Dit autrement, la sécurité est un processus, pas un produit, et rien n’est pire qu’un faux sentiment de sécurité engendré par une accumulation de “trucs” ou parce qu’on a acheté tel ou tel “produit” ou logiciel de sécurité.

Les auteurs du rapport rappellent ainsi qu’”avant votre retour de mission“, un certain nombre d’autres mesures de protection s’avèrent, sinon indispensables, tout du moins fortement conseillées :

1) Transférez vos données

- sur le réseau de votre organisme à l’aide de votre connexion sécurisée ;
- sinon sur une boite de messagerie en ligne dédiée à recevoir vos fichiers chiffrés (qui seront supprimés dès votre retour). Puis effacez les ensuite de votre machine, si possible de façon sécurisée, avec un logiciel prévu à cet effet.

2) Effacez votre historique de vos appels et de vos navigations

Après la mission, tout particulièrement si votre équipement a échappé à votre surveillance :

1) Changez les mots de passe que vous avez utilisés pendant votre voyage.
2) Analysez ou faites analyser vos équipements.
Ne connectez pas les appareils à votre réseau avant d’avoir fait au minimum un test anti-virus et anti-espiogiciels“.

Ayez une bonne hygiène… du mot de passe

De façon plus générale, il est de toute façon recommandé d’avoir une bonne hygiène du mot de passe, et donc de ne jamais les écrire sur des bouts de papier, de toujours mêler lettres minuscules, majuscules, chiffres et caractères spéciaux, d’en changer régulièrement, et de ne surtout pas utiliser un seul et même mot de passe pour les comptes les plus importants…

L’une des techniques préférées des pirates informatiques, et des espions, est d’installer un “cheval de Troie” sur l’ordinateur de leurs victimes, afin d’en prendre le contrôle ou, via un “keylogger” (enregistreur de touches de clavier) de capturer leurs mots de passe, et donc d’être maître de leurs ordinateurs.

Une technique fort utilisée en matière d’espionnage industriel lorsque la personne à espionner n’a pas d’ordinateur, et que c’est l’espion qui le lui fournit… et que le gouvernement français s’apprête, lui aussi, à autoriser. La Loppsi prévoit en effet de donner la possibilité aux forces de l’ordre d’installer de tels mouchards ou logiciels espions sur les ordinateurs des personnes suspectées de crimes en “bande organisée“, notion fourre-tout melant terrorisme, vols, trafic de drogue, proxénétisme mais également l’aide à l’immigration clandestine, il n’est pas inutile de savoir comment saisir un mot de passe sans risque de le voir intercepté.

A la manière des antivirus, il existe des anti-keyloggers, mais ils sont payants, et ne détectent généralement que les keyloggers connus existants sur le marché. Deux techniques, relativement simples, permettent a priori de se prémunir contre ce genre de mouchards : la première, et plus connue, consiste à utiliser le clavier virtuel de son ordinateur (certaines banques en ligne en propose aussi), et donc de, non pas taper le mot de passe sur le clavier, mais de le cliquer, avec la souris.

L’autre technique, exposée par le blogueur Korben, consiste à taper un grand nombre de caractères, de manière aléatoire, en parallèle à la saisie du mot de passe. Ainsi, et au lieu d’entrer, par exemple, m0T2p4$s3, l’utilisateur averti saisira dans le formulaire m0 puis, à côté, dans le vide, une suite de caractère aléatoire, puis T2, etc. De la sorte, ce qui aura été capté par le keylogger ou le cheval de Troie se présentera sous la forme : m0ezrf45T2sdfv84p4zrtg54$s3zerg48, rendant bien plus difficile la fuite du mot de passe.

La sécurité, ça se mérite, et ça s’apprend

Une chose est d’apprendre à sécuriser son mot de passe, et de chiffrer l’intégralité de son disque dur, et donc les données qui y sont inscrites, une autre est d’éviter qu’elles ne fuitent. Les auteurs du passeport conseillent ainsi d’installer “un logiciel d’effacement sécurisé des fichiers afin de pouvoir éventuellement supprimer toutes les données sensibles lors du déplacement“, mais également de “configurer le serveur et le client de messagerie pour que les transferts de messages soient chiffrés par les protocoles SSL et TLS“.

Tout ceci vous paraît cryptique ? Allons… De même que c’est en pédalant que l’on apprend à faire du vélo, c’est en contre-espionnant que l’on apprend à se protéger. Avec un peu d’entraînement, vous apprendrez à maîtriser les techniques et outils qui correspondent à vos besoins. Avec un peu de pratique, elles deviendront des réflexes. La sécurité, ça se mérite, et ça s’apprend.

Pour certains, la paranoïa est un métier, en tout cas une tournure d’esprit les invitant, en constance, à la prudence. Mais pour la majeure partie des gens, la question est moins de se protéger, en tout temps, que de savoir comment protéger telles ou telles données, de savoir comment ne pas laisser de traces, ou comment les effacer.

L’important est de bien mesurer les risques encourus, les menaces auxquels vous avez à faire face, et d’y répondre par la ou les techniques appropriées, au moment opportun. Comme je le rappelais par ailleurs dans “Comment contourner la cybersurveillance“, aucune solution n’est fiable à 100% et rien ne sert, par exemple, d’installer une porte blindée si on laisse la fenêtre ouverte. Il convient d’autre part de ne jamais oublier qu’en matière informatique en générale, et sur l’internet en particulier, l’anonymat n’existe pas. Il arrive fatalement un moment où l’on se trahit, où l’on commet une erreur, ou, plus simplement, où l’on tombe sur quelqu’un de plus fort que soi.

La sécurité informatique est un métier, elle ne s’improvise pas. Par contre, elle s’apprend. Pour en savoir plus sur les outils et technologies à utiliser, voici quelques liens, sites web et ressources susceptibles, a priori, de répondre à toutes vos questions :

. “Comment contourner la cybersurveillance“, l’article que j’avais rédigé pour le CNRS, et basé sur un article rédigé par l’ancien directeur des communications électroniques de la Défense britannique et de l’OTAN,

. “Security in a box“, mode d’emploi (en français) bien plus pratique et détaillé, réalisé par deux ONG de défense des droits humains à l’ère de l’information,

. le Wiki de l’internet libre de Korben.info, qui regorge d’informations pratiques sur la sécurité informatique,

. le Guide d’autodéfense numérique qui explique, pas à pas, comment configurer son ordinateur (hors connexions internet) de façon sécurisée en fonction des risques encourus,

. les 10 commandements de la sécurité informatique, sur securite-informatique.gouv.fr, et ses modules d’autoformation, notamment ceux consacrés aux Principes essentiels de la sécurité informatique, à la Sécurité du poste de travail et aux mots de passe.

Ordinateur & Sécurité Internet, Vie Privée, Anonymat et cætera, qui fut un temps considéré comme une menace par le FBI parce qu’expliquant aux internautes comment apprendre à rester anonyme.

Guide pratique du chef d’entreprise face aux risques numériques (.pdf) rendu public à l’occasion du Forum International sur la Cybercriminalité et rédigé par des gendarmes, policiers, juristes et professionnels de la sécurité informatique,

. les 12 conseils pour protéger votre vie privée en ligne de l’Electronic Frontier Foundation et son manuel d’auto-défense numérique (en anglais), rédigé pour aider les internautes confrontés à des régimes autoritaires, ainsi que, et toujours en anglais :

Hints and Tips for Whistleblowers

BlogSafer: Speak Freely and Stay Free

Digital Security and Privacy for Human Rights Defenders

Commentaires (1)

1. Julie 03/11/2010

Merci pour cet article, très intéressant et clair.
Je suis pour ma part trés intriguée par le développement des différents logiciels permettant l'écoute des GSM et ce à des fins personnelles, et suis trés perplexe de ne trouver majoritairement que ces derniers et non pas la "parade". Comme si il fallait encourager l'espionnite aigüe et jouer sur la curiosité malsaine.


Ajouter un commentaire
Code incorrect ! Essayez à nouveau

Le Lot en Action, 24 avenue Louis Mazet, 46 500 Gramat. Tél.: 05 65 34 47 16 / contact@lelotenaction.org