sécurité

Transmettre des données sensibles de son ordinateur à son téléphone (et dans l’autre sens aussi)

Dentifrice Signal en lot de deux
Signal sur son téléphone et son ordinateur, c’est possible. (photo: org-unilever-france-gms per Open Food Facts, CC BY-SA 3.0)

C’est une situation assez courante. Comment le faire sans qu’elles soient interceptées par un tiers malveillant ou simplement un des nombreux intermédiaires techniques?

Exemple:

Vous avez installé sur votre téléphone une application qui requière de créer un compte utilisateur. Vous devez définir un mot de passe, et il n’est pas possible de l’entrer autrement que sur votre téléphone.

Comme vous voulez faire les choses sérieusement, vous voulez que ce mot de passe soit:

  • unique
  • long
  • aléatoire
  • et composé:
    • de lettres
    • de chiffres
    • et de symboles

Il est donc mieux de le générer avec un gestionnaire de mots de passe hors ligne installé sur votre ordinateur (par exemple: KeePassXC).

Mais retranscrire un mot de passe de 32 signes — qui plus est deux fois, car il faudra le confirmer — est pénible. Il serait plus facile:

  • de le copier depuis le gestionnaire de mots de passe (qui est donc sur votre ordinateur)
  • pour le coller dans l’application (sur votre téléphone).

Mais comment transmettre ce mot de passe de manière sûre de l’un à l’autre pour qu’il soit accessible à vous seul-e?

Une bonne méthode est de vous l’envoyer via Signal. Vous utilisez ainsi son chiffrement de bout en bout.

Marche à suivre:

  1. D’abord, il faut bien sûr que Signal soit installé sur votre téléphone, et que vous ayez aussi téléchargé le client Signal pour ordinateur.
  2. Le client Signal sur votre ordinateur une fois ouvert et relié à votre téléphone, trouvez le contact Note à mon intention (en anglais: « Note to Self »).
    Ce n’est pas un vrai contact: c’est vous-même! Ce que vous envoyez à ce « contact » arrive donc sur tous les appareils reliés à votre identifiant Signal, donc aussi l’application Signal sur votre téléphone.
  3. Faites un test pour le croire.
  4. Une fois que vous le croyez, copiez votre mot de passe pour l’application depuis votre gestionnaire de mots de passe, puis collez-le dans le client Signal à l’intention de… Note à mon intention.
    VÉRIFIEZ QUE VOUS LE FAITES BIEN LÀ et que vous n’êtes pas en train d’envoyer votre mot de passe tout frais à quelqu’un!
  5. Réceptionnez le mot de passe sur votre téléphone dans Signal > Note à mon intention, copiez-le et collez-le dans l’application qui vous le demande.
  6. Dans Signal, vous pouvez ensuite « supprimer pour tout le monde » le message comprenant le mot de passe, « tout le monde » étant ici votre téléphone et votre ordinateur. Cela n’est pas absolument nécessaire, mais cela vous évitera un malentendu éventuel.

Autre avantage de tout cela: vous pouvez créer un mot de passe sûr puis l’oublier, puisque vous l’avez conservé dans votre gestionnaire de mot de passe.

Fouille des téléphones portables des requérants d’asile: quelle proportionnalité?

La mal nommée Union démocratique du centre (UDC) veut rendre légales la confiscation et la fouille de téléphones portables appartenant aux requérants d’asile. C’est l’objet d’une initiative parlementaire actuellement traitée au Parlement et soutenue par plusieurs autres parlementaires de partis bourgeois.

L’émission La Rose des Vents de la radio locale lausannoise Radio Django a traité ce sujet en deux temps, du point de vue du droit avec une juriste, et sur le côté technique avec votre serviteur.

34c3 – agir pour réagir

Hall central du centre des congrès de Leipzig lors du 34c3

La 34e édition du Chaos Communication Congress (34c3) s’est tenue à Leipzig du 27 au 30 décembre 2017. Le nombre de conférences et d’ateliers fut conséquent, et la variété des sujets abordés confirme la volonté des organisateurs de faire de leur congrès plus qu’une « simple » manifestation de hackers. Avec plus de 15 000 entrées payantes, cette volonté d’ouverture semble fonctionner.

Pas de grande révélation cette année, plutôt une multitude de petites idées et de confirmations. Bien que le slogan du 34c3 fut TUWAT (traduisible par « AGIS! »), de manière générale, on en est resté au niveau du diagnostic. Les solutions aux problèmes identifiés ne sont pas aisées, sans doute.

Deux thèmes ont eut droit à plusieurs conférence: l’exploitation des données personnelles par des entreprises ou des structures étatiques et ses conséquences, et les avancées de l’intelligence artificielle.

Une traduction en données de pratiquement tous les aspects de la vie est en cours. Les données personnelles deviennent des marchandises vendues par des data brokers comme Axciom et Oracle. Elles sont utilisées pour de la prédiction, mais aussi pour de la prise de décision.

Le manque de transparence semble être une constante chez les acteurs qui disposent de moyens importants de collecte et d’analyse de données, que ce soit la police au Royaume-Uni, les entreprises chinoises travaillant pour le compte de leur gouvernement, ou les grandes plateformes de médias sociaux pour ce qui est de leurs critères de censure. S’ajoutent à cela:

  • le risque de perte ou d’accès illégitime de tiers aux données personnelles collectées par ces instances (voir Equifax, Aadhaar, et bien d’autres encore).
  • le risque de biais ou d’erreur dans l’interprétation de ces données, qui peut avoir des conséquences concrètes graves pour les personnes concernées (refus d’un crédit, d’un job, d’un appartement).

It’s not about your data, it’s about their derived data. – Tijmen Schep

Il existe une asymétrie de pouvoir entre d’un côté ceux qui ont la capacité de récolter des données en masse et d’agir à partir de ces données, de l’autre les personnes dont les données sont exploitées, qui subissent une perte de contrôle.

Sans connaître en détails ces pratiques, de plus en plus de gens s’en doutent bien. Ils/elles communiquent moins et se censurent par peur de conséquences négatives (social cooling). Par ailleurs, une étude représentative montre qu’une grande majorité des citoyens européens souhaite que les outils de communication soient respectueux par défaut de la sphère privée.

Un zoetrope en 3D exposé au 34c3

Les risques évoqués ci-dessus se retrouvent dans le traitement de telles données via l’intelligence artificielle. Les biais y sont omniprésents et mènent à de la « discrimination 2.0. ». Exemple: une recherche sur Google Images pour « three white teenagers » montrera trois jeunes souriants, alors que « three black teenagers » proposera trois portraits de jeunes suspectés de crime. Que ce soit voulu ou non, cela crée un effet de prophétie auto-réalisatrice.

Ces biais sont dus aux données qui influencent le modèle et/ou au modèle qui se répercute sur les données.

Exemple de biais de données: une étude chinoise affirme pouvoir reconnaître des criminels d’après les traits du visage. Or, les photos utilisées pour identifier « les gentils » sont tirées de dossiers de candidature, où les portraits sont sous leurs meilleurs jours, quand ils ne sont pas franchement retraités avec Photoshop.

Les biais de modèles se basent sur des suppositions simplifiées, qui ne sont souvent ni nommées ni vérifiées. Quand trop peu de contexte est disponible, respectivement trop peu de scénarios ont été testés, l’intelligence artificielle se base sur des suppositions: un médecin sera plutôt un homme qu’une femme, etc. Elle cherchera des corrélations, mais ne sera pas en mesure de déterminer causes et effets.

Ces types de biais existaient déjà dans la statistique. Tout cela n’est pas foncièrement nouveau, mais se trouve massivement renforcé par les capacités actuelles de calcul et les masses de données à disposition (Exemple: Google Mail a un milliard d’utilisateurs). La nouveauté est aussi que beaucoup d’argent est fait avec ces biais!

Artificial intelligence is powerful, but not mystical. – Katharine Jarmul

Connaître ces biais permet aussi de tromper une intelligence artificielle, par exemple en « empoisonnant » les données de test pour faire augmenter le taux d’erreur. Les applications pratiques: s’évader de la surveillance, tromper les systèmes de publicité, créer de fausses données personnelles, …

Que les données personnelles soient exploitées par de l’intelligence artificielle ou non, plusieurs intervenants mettent beaucoup (trop?) d’espoir dans les mécanismes légaux de défense induits par le règlement général sur la protection des données (RGPD), dont le respect sera bientôt obligatoire pour tout service agissant dans l’Union européenne. Apparemment, l’ordonnance y relative va dans la bonne direction.

Une marque de fabrique du Chaos Communication Congress est la dénonciation, preuves techniques à l’appui, de la sécurité défaillante voire inexistante d’infrastructures de services. Cette année, ce sont entre autre les bornes de chargement pour véhicules électriques et les applications mobiles des banques allemandes qui s’en sont pris pour leur grade.

Instructions pour un chapeau en aluminium, inspirées par un grand fournisseur de meubles suédois

Instruction pour un chapeau en aluminium, inspirée par un grand fournisseur de meubles suédois

Quelques courtes infos (avec les vidéos des conférences dont elles sont tirées en lien):

The Chinese government do not count and think in years – they think in decades, at least. – Katika Kühnreich

Personnes, outils et organisations à suivre:

  • Mahsa Alimardani pour la situation en Iran.
  • Briar: une messagerie sécurisée de pair à pair, donc sans serveur. Requière une rencontre physique entre interlocuteurs pour le pairing de leurs appareils, ou un tiers de confiance. Pour l’instant uniquement pour Android.
  • Le Cyber Independent Testing Lab (CITL) veut informer le grand public sur les risques associés aux logiciels, par exemple avec un code de couleur similaire à l’efficience énergétique des appareils.
  • NeoPG: développement d’une alternative à OpenPGP/GnuPG 2 plus légère et plus efficace.
  • Onlinecensorship.org: analyse de la censure sur les médias sociaux.
  • Salamandra: détecter et localiser un microphone espion.
  • Sebastian Schmieg pour la relation humains-logiciels.

Protéger ses données mobiles

Il y a quelques semaines, j’ai envoyé une clé USB par la poste. Elle n’est jamais arrivée. Son enveloppe a été livrée avec une fine coupure sur un côté, impliquant que quelqu’un l’a ouverte. Cela n’a pu arriver qu’entre le bureau de poste, où j’ai amené moi-même l’enveloppe, et le destinataire. Une requête auprès de la poste n’a rien donné – si ce n’est une idée du caractère confus de la procédure (renvois à divers interlocuteurs, contradictions, « qu’est-ce qu’il y avait dessus? »).

La clé USB ne contenait rien de critique (trois vidéos) et était neuve (il n’y avait donc aucune donnée détruite à exploiter). Pas trop grave, donc. Mais ce cas de figure pose la question de la sécurité des données mobiles : qui ne souhaite pas envoyer des données par internet – pour quelque raison que ce soit – doit avoir moyen de mitiger les conséquences d’une disparition de ces données (vol, perte) ou de leur interception par un tiers (copie, modification, compromission).

Conseils:

  1. utiliser un disque optique (DVD, CD-R) plutôt qu’un support flash (clé USB, carte SD). C’est moins cher en cas de perte et cela n’a pas de microcode (théoriquement exploitable).
  2. chiffrer les données. Il est possible de chiffrer des volumes entiers, mais ce n’est ni forcément évident ni rapide.

L’exemple ci-dessous montre comment chiffrer un fichier individuel en vitesse. Prérequis: GNU Privacy Guard (GPG), installé chez l’expéditeur et le destinataire. GPG est disponible gratuitement pour toutes les plates-formes courantes. GPG est le standard pour le chiffrement des e-mails et tout le monde devrait l’avoir installé.

  1. ouvrir un terminal (sous Windows : une console).
  2. taper gpg -c --cipher-algo AES256 chemin/vers/le/fichier/à/chiffrer (Explication: -c pour chiffrer, --cipher-algo AES256 pour un meilleur chiffrement que CAST5 (le défaut). Pour remplacer CAST5 de manière permanente, ajouter cipher-algo AES256 (ou un autre) au fichier de configuration de GPG – sous Linux Debian: ~/.gnupg/gpg.conf).
  3. un mot de passe sera demandé. Bien le choisir. Il devra être transmis par un autre canal au destinataire.
  4. confirmer le mot de passe.

Un fichier contenant le nom du fichier à chiffrer et l’extension .gpg apparaît alors au même emplacement. C’est ce fichier qui sera transmis au destinataire. Pour « en faire sortir » le fichier original en clair, ce dernier devra

  1. ouvrir un terminal / une console.
  2. taper gpg chemin/vers/le/fichier/à/déchiffrer
  3. entrer le mot de passe.

Important: ne pas détruire l’original! Ou au moins en faire une sauvegarde. J’ai fait une mauvaise expérience du cas contraire : j’ai voulu transférer une large archive d’e-mails d’un ordinateur à un autre. Une fois l’archive copiée sur une clé USB, j’ai effacé le fichier source. Au moment du déchiffrement : fichier corrompu… Seul une vieille sauvegarde sur un disque externe m’a tiré d’affaire – mais j’ai eu droit à une heure de sueurs froides. Je ne sais pas d’où venait cette corruption (peut-être de CAST5?), je conseillerais donc de n’appliquer cette méthode de chiffrement qu’à des fichiers de petites tailles.

Ce conseil vaut pour tout transport physique de données (par exemple : celles sur la clé USB de votre porte-clé).