Un guide des problèmes de sécurité dans les communications et des moyens de les éviter

Le savoir c’est le pouvoir, et connaître les problèmes de sécurité susceptibles de toucher vos communications renforcera votre sentiment de sécurité au travail. La liste ci-après décrit les manières différentes d’accéder illégalement à vos informations et communications comme de les manipuler et propose des solutions pour éviter ces problèmes de sécurité.

Parler

L’information ne doit pas passer par Internet pour qu’il y ait un accès illégal. Quand vous parlez de sujets sensibles, réfléchissez aux questions suivantes:

1. Avez-vous confiance en vos interlocuteurs?

2. Doivent-ils connaître les informations que vous leur donnez?

3. Vous trouvez-vous dans un cadre sûr ? Des micros cachés et des dispositifs d’écoute sont souvent posés délibérément aux endroits où les personnes croient être en sécurité comme les bureaux privés, les rues animées, les chambres à coucher et les voitures.

Il sera peut-être difficile de répondre à la troisième question car des micros cachés peuvent être posés dans une pièce pour enregistrer ou transmettre tout ce qui y est dit. Des micros laser peuvent aussi être réglés de très loin sur une fenêtre pour écouter ce qui est dit à l’intérieur d’un bâtiment. D’épais rideaux peuvent apporter une certaine protection contre les micros laser, tout comme l’installation du double vitrage. Dans certains bâtiments sûrs, il y a deux fenêtres dans les bureaux pour réduire le risque de dispositifs d’écoute laser.

Que pouvez-vous faire?

• Supposez toujours que vous êtes sur écoute. En adoptant une saine paranoïa vous serez probablement plus prudent quand il s’agit de sujets confidentiels.

• Des détecteurs de micros (balayeurs ou renifleurs) peuvent détecter ces appareils d’écoute, mais seront onéreux et difficiles à vous procurer. En plus, les personnes chargées du balayage sont quelquefois responsables de la mise sur écoute initiale. Lors d’un dépistage, ils trouvent quelques « micros jetables » (économiques et posés) ou ne trouvent rien comme par miracle et déclarent vos bureaux "sains".

• Tous les agents de nettoyage peuvent menacer sérieusement votre sécurité. Ils entrent au bureau après l’heure de fermeture et emportent vos déchets chaque soir. Ils devraient être soumis à des contrôles de sécurité réguliers car ils pourraient vous compromettre après avoir commencé à travailler pour vous.

• Changez de salle de réunion aussi souvent que possible. Plus vous changez de salles ou d’endroits, plus il faudra d’équipement et de techniciens pour vous écouter.

• Méfiez-vous de cadeaux qui vous accompagnent à tout moment : stylos de luxe, épingles à cravate, broches ou objets de bureau comme un très beau presse- papier ou une illustration de grand format. On a pu écouter des conversations avec ce genre d’objets.

• Attendez-vous à ce que certaines informations soient compromises en permanence. Vous devriez changer fréquemment vos plans et codes en ne divulguant que quelques fragments de la vérité à vos auditeurs. Vous pouvez aussi diffuser de fausses informations pour vérifier si quelqu’un les utilise ou y réagit.

• Pour entraver l’efficacité des micros laser, abordez les sujets délicats dans un sous-sol ou dans une pièce sans fenêtre. Certains dispositifs d’écoute laser peuvent être moins efficaces pendant une pluie torrentielle ou d’autres perturbations atmosphériques.

• Passez un enregistrement audio de bruit blanc ou d’une chanson populaire pour brouiller la détection et la captation de sons. Seule une technologie onéreuse permet de filtrer le son et d’entendre une conversation.

• Les grands espaces à plein air sont tant favorables que dangereux. Un rendez-vous à l’écart permet de voir si on vous suit ou observe, mais il sera plus difficile de vous fondre dans la masse pour leur échapper. Les foules permettent de se fondre dans la masse mais vous serez plus rapidement repéré et entendu.

Les téléphones portables

Tous les appels téléphoniques peuvent être écoutés si celui qui écoute a les capacités technologiques nécessaires. Attendez-vous à ce qu’aucune communication téléphonique ne soit sûre. Les téléphones portables analogiques sont beaucoup moins sûrs que les téléphones portables numériques et ces derniers sont beaucoup moins sûrs que les lignes fixes.

Vos emplacements et conversations peuvent être décelés par surveillance cellulaire. Nul besoin de parler pour que votre emplacement soit repéré, cela peut se faire à chaque fois que vous allumez votre téléphone portable.

N’enregistrez aucun nom, numéro ou informations sensibles dans la mémoire de votre téléphone. Si on vous volait votre téléphone l’information permettrait de localiser et impliquer des personnes que vous souhaitez protéger.

La sécurité matérielle des informations dans un bureau

Il faut que le bureau soit fermé à clé à tout moment de la journée et de la nuit, y compris les portes et les fenêtres. Choisissez des clés qu’on ne peut reproduire qu’avec une autorisation spécifique et sachez précisément où se trouvent les doubles. NE confiez PAS de clés à des tiers, même s’il s’agit du personnel d’entretien et de nettoyage, et veillez à ce que quelqu’un, vous-même ou un collègue fiable, soit toujours présent lorsque des tiers sont dans le bureau. Si c’est impossible, assurez-vous de pouvoir conserver les dossiers sensibles dans une pièce à accès restreint. Vous devriez fermer toutes les portes de votre bureau à clé et déposer les déchets non sensibles dans le couloir ou l’entrée du bâtiment la nuit.

Utilisez un destructeur de documents à coupe croisée pour tout document confidentiel. Les destructeurs à coupe fibres ou lanières sont généralement totalement inutiles. Pour jeter des documents particulièrement confidentiels il faudrait brûler les fibres, pulvériser la cendre et les jeter dans les sanitaires.

Sécurité de base des ordinateurs et des fichiers

Plus de conseils détaillés sur la sécurité informatique sont disponibles auprès de Front Line en contactant : info@frontlinedefenders.org ou auprès de Privaterra sur info@privaterra.org.

• Mettez si possible les ordinateurs sous clé lorsque vous quittez le bureau. Positionnez les écrans d’ordinateurs dos aux fenêtres.

• Utilisez des onduleurs sur toutes les prises électriques pour protéger l’alimentation de votre ordinateur contre la surtension et les variations de courant.

• Gardez les données sauvegardées dans un endroit sûr et indépendant du bureau, y compris les dossiers sur papier. Protégez les sauvegardes en les confiant à un service compétent de sauvegarde sécurisée qui les stockera sur son disque dur chiffré ou protégez-les par des verrous sophistiqués.

• Pour réduire le risque d’un accès à votre ordinateur, sécurisez l’accès par un mot de passe et éteignez-le systématiquement quand vous ne l’utilisez plus.

• Chiffrez vos fichiers au cas où quelqu’un entre dans votre ordinateur et parvient à « craquer » ou à « casser » votre mot de passe.

• Si votre ordinateur est volé ou détruit, vous pourrez encore récupérer vos fichiers si vous en avez fait des sauvegardes sécurisées tous les jours. Veillez à conserver les sauvegardes chiffrées dans un endroit sûr, indépendant de votre bureau.

• Il n’est pas possible de reconstituer les fichiers nettoyés à l’aide d’un logiciel de nettoyage à réécriture aléatoire du type PGP Wipes ou autre, contrairement aux fichiers supprimés que vous avez envoyés simplement à la corbeille de votre système d’exploitation ou à la corbeille de recyclage d’un logiciel externe.

• On peut programmer votre ordinateur pour l’envoi automatique et illégal de vos fichiers à un autre ordinateur ou vous rendre vulnérable à votre insu par d’autres moyens. Pour l’éviter, achetez votre ordinateur chez un fournisseur fiable, reformatez le disque dur avant de l’utiliser pour la première fois et n’installez les logiciels souhaités qu’une fois le disque dur reformaté. N’autorisez l’entretien de votre ordinateur qu’aux techniciens informatiques fiables et surveillez-les à tout moment.

• Débranchez les connexions téléphoniques et modems de votre ordinateur, ou coupez votre connexion à Internet lorsque l’ordinateur est sans surveillance. De cette manière, les programmes escrocs actifs pendant la nuit ne fonctionneront pas. Ne laissez jamais votre ordinateur allumé lorsque vous quittez le bureau pendant la journée. Pensez à installer une application pour bloquer l’accès à l’ordinateur au-delà d’une certaine durée d’inactivité. Votre ordinateur ne sera pas vulnérable pendant que vous allez chercher un café ou que vous faites des photocopies.

• Dans vos préférences Internet, activez l’extension des fichiers afin de savoir à quel type de fichier vous avez affaire avant de l’ouvrir. Evitez de lancer un virus en ouvrant un fichier exécutable que vous preniez pour un fichier texte. Dans Internet Explorer, allez dans « Outils » et choisissez « Options des fichiers ». Cliquez sur « Aperçu » et vérifiez que la case « Cacher l’extension pour les types de fichers connus » ne soit PAS cochée.

Les problèmes de sécurité liés à Internet

Quand vous envoyez votre courrier électronique ou courriel il ne va pas directement sur l’ordinateur de votre destinataire. Il transite par plusieurs nœuds en laissant des informations derrière lui. Ce message peut être intercepté sur l’ensemble de cet itinéraire (non seulement dans ou depuis votre pays !).

Quelqu’un pourrait regarder par dessus votre épaule lorsque vous tapez votre message. C’est particulièrement problématique dans les cybercafés ou cafés Internet. Si vous êtes reliés à un réseau (Intranet), toutes les personnes du bureau peuvent avoir accès à votre courriel. L'administrateur du système peut avoir des privilèges administratifs spéciaux qui lui permettent également d’accéder à tous vos courriels.

Votre fournisseur d’accès à Internet (FAI) a accès à vos courriels, et toute personne ayant une influence sur votre fournisseur peut le forcer à lui transmettre des copies de tous vos courriels ou à empêcher que certains courriels atteignent leur destinataire.

En circulant sur Internet, vos courriels transitent par des centaines de serveurs non sécurisés. Les pirates informatiques peuvent avoir accès à vos courriels lors de leur passage. Le fournisseur d’accès à Internet de votre destinataire peut également être vulnérable, tout comme peuvent l’être son réseau interne (Intranet) et son bureau.

Sécurité Internet de base

Les virus et autres problèmes, comme les chevaux de Troie (trojan), peuvent provenir de n’importe quelle source. Même des amis peuvent diffuser ces virus sans le vouloir. Utilisez un bon logiciel anti-virus et utilisez la mise à jour automatique en ligne. De nouveaux virus sont constamment créés et découverts, par conséquent consultez The Virus Information Library (bibliothèque des informations sur les virus) sur http://www.vil.nai.com pour les dernières mises à jour de listes de signatures des virus connus.

Les virus se propagent pour la majorité grâce aux courriels, et vous devez par conséquent sécuriser vos courriels (voir ci-dessous). Les virus sont des logiciels uniques conçus pour se reproduire et ils peuvent être nocifs ou non. Les chevaux de Troie sont des logiciels créés pour permettre à un tiers (ou à n’importe qui d’autre !) d’accéder à votre ordinateur.

Un bon logiciel pare-feu (firewall) permet de rester inconnu des pirates informatiques et à empêcher les intrusions non désirées dans votre système. Ceci permet de limiter la connexion à Internet depuis votre ordinateur aux applications que vous y autorisez et empêche des logiciels tels que les chevaux de Troie d’envoyer des données depuis votre ordinateur ou de donner accès à votre ordinateur à des pirates informatiques.

Un système de "key logger" (carnet de bord des touches du clavier) permet d’enregistrer chaque touche de clavier que vous actionnez. Ces logiciels se propagent lorsque quelqu’un les installe sur votre ordinateur en votre absence, ou alors par un virus ou un cheval de Troie qui attaque votre système par Internet. Les key loggers enregistrent chaque touche actionnée et font des rapports sur vos activités, le plus souvent par Internet. On peut se protéger en protégeant ou sécurisant les mots de passe, en sécurisant votre courrier électronique, en utilisant un logiciel anti-virus, et en tapant votre mot de passe avec votre souris (application souris) plutôt que sur votre clavier. Les key loggers peuvent aussi être mis hors état de nuire en coupant la connexion à Internet de votre ordinateur, plus encore en débranchant votre connexion téléphonique à Internet lorsque vous ne vous servez pas de l’ordinateur.

Une adresse électronique peut être falsifiée ou usurpée par quelqu’un d’autre que le vrai titulaire du compte Internet ou de messagerie. Ceci peut être réalisé en obtenant l’accès à l’ordinateur ou au mot de passe d’une autre personne, en piratant le FAI ou en utilisant une adresse électronique qui correspond à peu près à l’adresse particulière de la personne. Par exemple, en substituant le chiffre « 1 » à la minuscule « i », vous créez une adresse similaire et la plupart des personnes ne se rendront pas compte de la différence. Afin d’éviter d’être berné par un faux, remplissez le champ objet par une phrase significative et posez de temps en temps des questions auxquelles seul votre interlocuteur authentique peut répondre. Vérifiez la nature suspecte de toute demande d’informations en prenant des informations sur l’identité de l’auteur par d’autres voies que l’informatique.

Protégez la confidentialité de votre activité de navigation en rejetant les cookies et en effaçant votre mémoire cache après chaque visite sur la toile. Dans Internet Explorer, cliquez sur « Outils » puis sur « Options ». Dans Netscape Navigator, cliquez sur « Éditer » puis « Préférences ». Lorsque vous êtes dans un de ces menus, éliminez tout l’historique, tous les cookies et videz votre mémoire cache. Pensez à éliminer aussi tous vos ajouts aux signets. Les navigateurs enregistrent tous les sites que vous avez visités sous format de fichiers cache, il faudra donc découvrir quels fichiers vous devez supprimer de votre système.

Mettez à jour tous les navigateurs Internet pour les rendre compatibles avec le chiffrage à 128-bits. Ceci permettra de sécuriser toutes les données que vous voulez faire transiter par la toile, y compris les mots de passe et autres données sensibles que vous indiquez dans les formulaires. Installez les listes de signatures les plus récentes pour tous les logiciels utilisés, particulièrement Microsoft Office, Microsoft Internet Explorer et Netscape.

Ne naviguez pas sur Internet pour votre distraction à partir d’un ordinateur rempli de données confidentielles.

L’envoi et la réception de courriels sécurisés

Ce sont des modes d’échange de courrier électronique sécurisé que vous-même, tous vos collaborateurs et amis devriez appliquer. Informez-les que vous n’ouvrirez aucun de leurs courriels tant qu’ils ne pratiqueront pas le courrier électronique sécurisé.

1. N’ouvrez JAMAIS un courriel d’un(e) inconnu(e).

2. Ne faites JAMAIS suivre le courriel d’un(e) inconnu(e), ou qui a été envoyé initialement par un(e) inconnu(e). Tous les messages contenant des "chaînes du bonheur" peuvent contenir des virus. En les envoyant à vos amis ou collaborateurs, vous infecterez peut-être leurs ordinateurs. Si le message « chaîne du bonheur » vous plait, recopiez le contenu dans un nouveau message que vous enverrez de votre compte. Si vous estimez ne pas avoir le temps, c’est que le message en lui-même n’est probablement pas important.

3. Ne téléchargez JAMAIS une pièce jointe et ne l’ouvrez que si vous connaissez son contenu et que celui-ci est sécurisé. Désactivez les options de téléchargement automatique de vos programmes de courrier électronique. Beaucoup de virus et de chevaux de Troie se propagent sous forme de "bogues" et les bogues d’aujourd’hui vous donneront l’impression d’avoir été envoyés par quelqu’un que vous connaissez. Des bogues intelligents peuvent ainsi scanner votre carnet d’adresse, surtout si vous utilisez Microsoft Outlook ou Outlook Express, et se reproduire automatiquement en se faisant passer pour des pièces jointes authentiques envoyés par des contacts authentiques. Utilisez un logiciel comme PGP pour signer vos courriels, avec ou sans vos pièces jointes, pour éviter une confusion sur la sécurité des pièces jointes que vous envoyez à vos collègues (PGP est un logiciel qui chiffre les données, voir ci-dessous "cryptographie").

4. N’utilisez JAMAIS HTML, MIME ou du texte riche dans vos courriels, seulement du texte simple. Les courriels en texte riche contiennent des logiciels cachés qui pourraient permettre l’accès à votre système ou endommager vos fichiers.

5. Quand vous utilisez Outlook ou Outlook Express, décochez l’option d’écran de prévisualisation.

6. Encryptez (chiffrez) vos courriels autant que possible. Un courriel non chiffré ressemble à une carte postale pouvant être lue par toute personne qui la voit et qui en obtient l’accès. Un message crypté ressemble à une lettre dans une enveloppe à l’intérieur d’un coffre-fort.

7. Envoyez des champs objets éloquents pour que votre lecteur sache que vous aviez l’intention de lui envoyer le message. Dites à vos amis et collègues de toujours mentionner quelque chose de personnel dans le champ objet afin que vous sachiez qu’ils sont les auteurs réels du message. Autrement quelqu’un peut usurper leur adresse électronique, ou alors un cheval de Troie pourrait avoir envoyé un programme infecté à leur liste de contacts toute entière, vous y compris. Cependant abstenez-vous de dévoiler des données sensibles dans vos champs objets liés aux informations sensibles que vous transmettez dans votre courriel chiffré. Sachez qu’un champ objet n’est pas crypté et qu’il peut dévoiler le contenu de votre message crypté, ce qui pourrait susciter une attaque. Beaucoup de logiciels pirates scannent et copient automatiquement le contenu de courriels qui sont signalés dans le champ objet par la mention de "rapport", "confidentiel" ou "privé" par exemple, ou toute autre indication qui rende le message « intéressant ».

8. N’envoyez JAMAIS un message à un groupe de diffusion important, avec des adresses multiples dans le champ de destinataires, et des copies du message à d’autres adresses multiples (champs "Envoyer à" et "CC"). Préférez envoyer le courriel à vous-même en tapant le nom de tous les destinataires dans le champ "CCI". C’est faire preuve d’une courtoisie élémentaire et constitue une bonne pratique de protection de la confidentialité. Dans le cas contraire, vous pourriez être en train d’envoyer MON adresse électronique à des personnes que je ne connais pas, ce qui est impoli, choquant et pourrait s’avérer à la fois frustrant et dangereux.

9. Ne répondez JAMAIS aux messages spam, c’est-à-dire à l’envoi massif de courriels non désirés (ou encore « pourriels »), même si c’est pour indiquer que vous souhaitez être rayé de leurs listes. Les serveurs de spam envoient des courriels à un nombre extrêmement important d’adresses électroniques sans savoir lequel des destinataires est vraiment « en direct », à savoir en train d’utiliser son compte de messagerie au moment de l’envoi. Si vous répondez, le serveur vous détecte comme compte actif et vous pourriez recevoir encore plus de courriels indésirables.

10. Si cela vous est possible, prévoyez un ordinateur qui ne soit pas relié en réseau à d’autres ordinateurs pour recevoir des courriels ordinaires et qui en outre ne contient aucun fichier de données.

Le cryptage (cryptographie) : questions et réponses

Ce qui suit constitue une liste des questions les plus fréquemment posées (FAQ) et leurs réponses. Vous pouvez vous adresser à nous pour toute question. Contactez l’ONG Privaterra sur www.privaterra.org.

Q: Qu’est-ce que le cryptage?

R: Le cryptage signifie brouiller des données par un code secret que seul le destinataire peut déchiffrer. Avec du temps et les moyens informatiques suffisants, tout message crypté peut être lu, mais cela peut prendre longtemps et exiger beaucoup de ressources. Autrement dit, le cryptage est une façon de protéger vos fichiers et vos courriels d’éventuels logiciels-espions. Vos fichiers sont traduits en code, une série apparemment aléatoire de chiffres et de lettres qui est illisible par toute personne non initiée. Pour chiffrer un fichier, vous le "verrouillez" avec une clé représentée par un mot de passe. Pour chiffrer un courriel, vous le verrouillez avec deux clés en utilisant votre mot de passe. Il ne peut être ouvert que par le destinataire voulu qui utilisera son propre mot de passe.

Q : Pourquoi les défenseurs des droits humains devraient-ils utiliser le cryptage?

R:Tout le monde devrait utiliser le cryptage parce que les communications électroniques sont essentiellement non sécurisées. Cependant les défenseurs des droits humains sont beaucoup plus menacés que la plupart des personnes et leurs fichiers et communications sont beaucoup plus sensibles. Il est impératif que les défenseurs des droits humains utilisent le cryptage pour se protéger ainsi que toutes les personnes qu’ils essayent d’aider. La technologie numérique constitue un atout pour les organisations de droits humains car elle leur permet des échanges plus faciles, une plus grande efficacité et leur offre davantage de possibilités. Cependant, tout avantage comporte certains écueils. Ce n’est pas parce que vous avez mis votre ceinture de sécurité que vous allez nécessairement avoir un accident à chaque fois que vous prenez le volant. Si vous roulez dans des circonstances plus dangereuses, comme dans une course automobile, vous serez plus enclins à mettre la ceinture de sécurité, simplement parce que vous serez plus conscients de votre sécurité. Les défenseurs des droits humains sont des cibles de surveillance connues. Puisque les courriels non chiffrés sont accessibles à tout le monde, et que tout le monde peut les lire, il est presque inévitable que tôt ou tard on ait accès à vos courriels non cryptés. En ce moment précis vos messages pourraient déjà faire l’objet d’une surveillance de la part de vos adversaires alors que vous pourrez parfaitement ne jamais vous en apercevoir. Les adversaires des personnes que vous aidez sont également les vôtres.

Q : Est-ce illégal d’utiliser le cryptage?

R: Dans certains cas. Il est parfaitement légal d’utiliser le cryptage dans la plupart des pays. Cependant il existe des exceptions. En Chine, par exemple, les organisations doivent obtenir une autorisation pour avoir le droit de chiffrer leurs données, et toute technologie de cryptage sur votre ordinateur portable doit être déclarée lorsque vous vous rendez dans le pays. À Singapour et en Malaisie, la loi exige que les personnes souhaitant utiliser le cryptage communiquent leurs clés privées. Des lois similaires sont actuellement envisagées en Inde. Il y a également d’autres exceptions. Le Electronic Privacy Information Centre (EPIC, centre d’information sur la confidentialité électronique) réalise une « Enquête internationale des politiques en matière de cryptage » examinant la législation en vigueur dans la plupart des pays, qui est disponible sur l’URL http://www2.epic.org/reports/crypto2000/. Cette liste a été remise à jour pour la dernière fois en 2000. Si vous avez une question précise, vérifiez auprès de Privaterra avant d’utiliser le cryptage dans un pays donné.

Q: De quoi avons-nous besoin pour préserver la sécurité de nos systèmes de technologie de l’information ?

R: Tout dépend du système et de vos activités, mais en règle générale n’importe qui devrait disposer de :

• Un logiciel pare-feu.
• La possibilité de chiffrer le contenu intégral du disque dur.
• Un logiciel de cryptage de courriels permettant également les signatures numériques, comme le logiciel PGP.
• Un logiciel de détection de virus.
• Un système de sauvegarde sécurisée : envoyez toutes les informations par courrier électronique à un site sécurisé et procédez à un enregistrement hebdomadaire de tous les fichiers sur disque compact enregistrable, un CD-RW. Ensuite, conservez-le dans un endroit indépendant et sûr.
• Utilisez des mots de passe qui vous pouvez mémoriser mais qui ne peuvent pas être devinés ou déduits par un tiers.
• Restreignez l’accès aux données et aux fichiers en fonction de l’organigramme de votre organisation. Tous les membres de l’organisation n’ont pas besoin d’avoir accès à l’intégralité des informations.
• Faites preuve de cohérence et d’assiduité car aucun de ces outils ne peut être efficace si vous ne l’utilisez pas de manière systématique.

Mais posséder le bon logiciel ne constitue pas la panacée. Ce sont les utilisateurs qui représentent souvent le maillon le plus faible, pas la technologie. Le cryptage ne fonctionne pas si les individus ne l’utilisent pas de manière systématique, s’ils communiquent leur mot de passe indifféremment ou s’ils le rendent visibles, p.ex. en l’inscrivant sur une note adhésive (Post – it) qu’ils collent à leur écran. Les logiciels de sauvegarde ne vous mettront pas à l’abri d’un incendie ou d’une razzia si vous ne gardez pas la copie de sauvegarde dans un endroit indépendant et sûr. Les informations sensibles doivent être divulguées au compte-gouttes et uniquement au membre de l’organisation qui en a réellement besoin pour son activité, selon le principe de « qui doit savoir ? » au lieu d’être communiquées indifféremment à tous les membres. Ceci implique d’élaborer une hiérarchie et des protocoles d’accès. En général, il est important d’être conscient de la confidentialité et de la sécurité dans vos activités quotidiennes. Nous appelons cela la "paranoïa saine".

Q : Comment est-ce que je fais pour savoir quel logiciel de cryptage je dois utiliser ?

R: Généralement, vous pouvez demander à vos amis et ensuite vérifier auprès de notre organisation. Vous devez pouvoir communiquer avec des personnes ou des groupes donnés et s’ils utilisent un système de cryptage précis vous devriez utiliser le même pour faciliter les communications. Cependant vérifiez auprès de notre organisation d’abord. Certains logiciels ne sont tout bonnement pas efficaces du tout, d’autres sont des « bonbons ». Les « bonbons » vous bercent dans l’illusion d’utiliser des logiciels gratuits et apparemment d’excellente qualité alors qu’ils ont été mis au point par ceux qui veulent vous espionner. Quelle meilleure façon de lire vos communications les plus sensibles que celle d’être officiellement chargé d’installer votre logiciel de cryptage ? Quoi qu’il en soit, il existe beaucoup de fabricants reconnus de logiciels propriétaires et de « gratuiciels », alors souvenez-vous seulement que vous devez examiner tout logiciel avant de l’utiliser1.

Q : Est-ce que l’utilisation du cryptage va m’exposer à un risque plus élevé de répression ?

R: Personne ne saura que vous utilisez le cryptage à moins que vos échanges de courriels ne soient dores et déjà surveillés. Si c’est le cas, vos informations confidentielles sont déjà lues. Cela signifie que vous faites déjà l’objet de répression de la part de ceux qui vous surveillent. Il se peut que ceux qui vous surveillent se voient contraints d’avoir recours à d’autres moyens s’ils sont privés de la possibilité de lire vos courriels. Il est donc important de connaître vos collègues, de mettre en place des politiques de sauvegarde sécurisées et de gestion efficace des activités administratives en même temps que la première utilisation du cryptage.

(Notez que nous n’avons pas été informés de cas où l’utilisation de logiciels de cryptage ait causé des difficultés à des défenseurs. Néanmoins examinez cette possibilité avec prudence avant de vous mettre au cryptage, surtout si vous vous trouvez dans un pays en proie à des conflits armés, car les services d’intelligence de l’armée pourraient vous soupçonner de communiquer des informations d’intérêt stratégique. Soyez vigilants également si peu de défenseurs utilisent le cryptage, auquel cas cela pourrait vous valoir une attention indésirable).

Q: Pourquoi faut-il que nous cryptions systématiquement tous les courriels et documents ?

R: Si vous n’utilisez le cryptage que pour des sujets sensibles, les personnes qui vous surveillent ou qui surveillent vos victimes peuvent deviner qu’une activité sensible a lieu et pourraient être incités à mener une descente chez vous. S’ils ne peuvent pas lire vos messages cryptés, ils peuvent distinguer les messages chiffrés des messages non chiffrés (ou clairs). Une soudaine augmentation des messages cryptés peut provoquer une razzia, si bien que c’est une bonne idée de commencer à crypter avant de lancer des projets spéciaux. En fait l’idéal est d’introduire le cryptage de manière maîtrisée pour éviter les pics de messages chiffrés. Envoyez des messages cryptés à intervalles réguliers même si vous n’avez pas de nouvelles données à communiquer. De cette façon, lorsque vous aurez à envoyer des informations délicates, elles seront moins manifestes..

Q : Si je dispose déjà d’un logiciel pare-feu, pourquoi ai-je besoin de crypter mes courriels ?

R: Les pare-feux bloquent l’accès à votre disque dur et à votre réseau aux pirates de l’informatique, or, dès que vous envoyez votre message sur Internet, il est aux mains de tous. Vous devez le sécuriser avant de l’envoyer.

Q: Il n’y a pas d’effractions dans nos bureaux, pourquoi utiliser alors un logiciel de protection de la confidentialité ?

R: Vous ne savez pas si quelqu’un est en passe de s’introduire dans votre système ou d’être à l’origine de fuites de données depuis votre ordinateur. Sans cryptage des communications, sans protection matérielle et protocoles de confidentialité, n’importe qui peut être en passe d’accéder à vos fichiers, de lire vos courriels et de manipuler vos documents à votre insu. Vos communications non sécurisées peuvent aussi mettre d’autres personnes en danger dans les endroits où des razzias de nature politique sont plus probables. Tout comme vous fermez vos portes à clé, vous devriez crypter vos documents. C’est aussi simple que ça.

Q : Nous n’avons pas accès à Internet et sommes obligés d’utiliser des cafés Internet. Comment protéger les communications envoyées d’un ordinateur extérieur ?

R: Vous avez toujours la possibilité de crypter vos courriels et vos fichiers. Avant d’aller dans un café Internet, chiffrez les fichiers que vous souhaitez envoyer et copiez le fichier chiffré sur une disquette ou un disque compact. Au café Internet, souscrivez à un service de cryptage comme par exemple www.hushmail.com ou utilisez un service respectant l’anonymat tel que www.anonymiser.com. Appliquez-les lors de l’envoi de vos courriels. Vérifiez que vos destinataires ont également souscrit à ces services.

Q : S’il est important de sécuriser nos dossiers et nos communications, pourquoi est-ce que tout le monde ne le fait pas ?

R: Cette technologie est relativement récente, mais son usage se répand. Les banques, les multinationales, les agences de presse et les gouvernements utilisent tous le cryptage, et l’envisagent comme un investissement solide et un coût nécessaire à leur activité. Les ONG sont plus exposées que les entreprises, ce que la majorité des gouvernements saluent. Les ONG sont des cibles de surveillance plus probables et doivent donc être s’efforcer activement de mettre en place cette technologie. Les défenseurs des droits humains se chargent de protéger des individus ou des groupes persécutés. Pour cela, ils conservent des dossiers qui peuvent permettre d’identifier et de localiser ces personnes. Si l’on donne l’accès à ces dossiers, ces individus peuvent être assassinés, torturés, enlevés ou "persuadés" de ne plus aider les ONG. Les informations contenues dans ces dossiers peuvent aussi être utilisées comme preuves contre les ONG et leurs clients lors de procès politiques.

Q : Un des nos principes est celui de la transparence. Nous militons en faveur d’une plus grande transparence des gouvernements. Comment pouvons-nous dans ce contexte utiliser la technologie de la confidentialité ?

R: La confidentialité est compatible avec la transparence. Si le gouvernement souhaite obtenir vos dossiers ouvertement, il en a la possibilité par les voies légales et reconnues. La technologie de la confidentialité empêche toute personne d’accéder à vos informations de manière illégale.

Q : Nous suivons tous les protocoles de confidentialité et de sécurité et nos informations continuent à faire l’objet de fuites. Pourquoi ?

R: Il y a peut-être un espion dans vos rangs ou quelqu’un est simplement incapable de respecter la confidentialité des données. Réexaminez la hiérarchie de vos informations pour être sûr que vous restreignez l’accès à des informations délicates à encore moins de personnes et gardez un œil tout particulièrement vigilant sur ces personnes-là. De grandes entreprises et des organisations procèdent à titre de routine à des diffusions régulières d’éléments d’ informations incorrectes à certaines personnes. Si ces informations incorrectes sont divulguées, on peut remonter la fuite jusqu’à la personne qui les a reçu au départ.

Les choses à faire et à ne pas faire en matière d’utilisation du cryptage

• Veillez à utiliser le cryptage de manière cohérente. Si vous n’utilisez le cryptage que pour les données sensibles, toute personne vous surveillant sera informée qu’une chose importante est sur le point d’arriver. Une augmentation abrupte de l’utilisation du cryptage peut provoquer une razzia.

• N’indiquez aucune information sensible dans les champs objet. Ils ne sont en général pas cryptés, même si le texte du message l’est.

• Veillez à utiliser un mot de passe contenant des lettres, des chiffres, des espaces et de la ponctuation dont vous seul pouvez vous souvenir. Certaines techniques de création de mots de passe sécurisés utilisent des symboles de votre clavier ou des combinaisons aléatoires de mots et de symboles. En général, plus le mot de passe est long, moins il est vulnérable.

• '''N’utilisez pas de mot ou de nom uniques, de proverbe ou d’adresse de votre répertoire d’adresses comme mot de passe. Ils peuvent être déchiffrés en quelques minutes.

• Faites une copie de sauvegarde de votre clé privée (c’est-à-dire le dossier qui contient votre clé privée pour le logiciel de cryptage) dans un seul endroit bien à l’abri, par exemple copiez-le sous forme cryptée sur une disquette ou sur une petite clé de mémoire USB détachable, "à porter en médaillon autour du cou".

• N’envoyez pas d’informations sensibles à un destinataire simplement parce qu’il vous a envoyé un courriel crypté à partir d’une adresse que vous connaissez. Tout un chacun peut usurper le nom de quelqu’un d’autre en rendant son adresse électronique quasi identique à celle d’une personne que vous connaissez. Vérifiez toujours l’identité de la personne avant d’estimer que la source est fiable, communiquez donc de vive voix, vérifiez par téléphone ou envoyez un courriel de réponse anodin pour être absolument sûr(e).

• Enseignez le cryptage aux autres. Plus il y aura de personnes qui s’en serviront, plus nous serons nombreux à être protégés.

• N’oubliez pas de signer votre message en plus de le chiffrer. Votre but est que le destinataire du message sache qu’il a été modifié en cours de route.

• Cryptez les fichiers que vous envoyez en pièces jointes. En général ils ne sont pas chiffrés automatiquement lorsque vous envoyez un courriel crypté.

Un guide de la gestion plus sûre des bureaux et des informations

Une gestion des bureaux plus sûre

Créer de nouvelles habitudes entraîne une gestion administrative plus sûre. Les habitudes adoptées en matière de gestion administrative peuvent à la fois être bonnes et dangereuses. Pour développer de bonnes habitudes de gestion administrative, il faut comprendre le raisonnement qui les suscite. Nous avons établi une liste des habitudes qui peuvent améliorer la sécurité de votre gestion administrative, si et seulement si vous vous les appropriez et réfléchissez aux raisons de leur importance.

Qu’est-ce qui compte le plus pour la confidentialité et la sécurité de la gestion administrative?

• Soyez conscients de votre information et des personnes qui y ont accès.
• Encouragez les habitudes sûres et utilisez-les de façon cohérente.
• Utilisez les outils de façon adéquate.

L’administration

Beaucoup d’organisations ont un administrateur de système ou quelqu’un ayant des privilèges administratifs lui donnant accès aux courriels, aux réseaux informatiques et l’autorisant à surveiller l’installation de nouveaux logiciels. Si une personne quitte l’organisation ou si elle n’est pas disponible, l’administrateur a le droit d’accéder aux informations de cet individu sans que cela perturbe le cours des choses au sein de l’organisation. De plus, cela signifie qu’il y a une personne responsable de garantir que les logiciels du système ne présentent aucun virus et qu’ils proviennent d’une source fiable.

Le problème est que l’organisation assimile cette tâche à du simple entretien technique et permet à un contractant externe de détenir ces privilèges administratifs. Cet administrateur a le contrôle effectif de toute l’information de l’organisation, et doit donc être absolument digne de confiance. Certaines organisations répartissent les responsabilités d’administrateur au directeur de l’organisation et à une deuxième personne digne de confiance.

Certaines organisations choisissent de noter toutes les clés privées PGP et les mots de passe, de les crypter et de les stocker dans un endroit indépendant en les confiant à une autre organisation en qui elles ont confiance. Ceci évite des problèmes au cas où les individus oublient leur mot de passe ou perdent les clés privées. Cependant, l’endroit où sont stockés les fichiers doit être absolument fiable et des protocoles précis et complets doivent être créés à propos de l’accès à ces fichiers.

Les règles:

1. NE donnez JAMAIS de privilèges administratifs à un contractant externe. Non seulement il ne sera pas aussi fiable que les membres de l’organisation, mais une personne externe sera plus difficile à joindre en cas d’urgence.

2. Seules les personnes absolument dignes de confiance devraient avoir les privilèges administratifs.

3. Déterminez quelles informations devraient être accessibles à l’administrateur : accès à tous les ordinateurs, aux mots de passe pour déverrouiller l’ordinateur, aux mots de passe pour la connexion, aux clés PGP, aux mots de passe pour le cryptage, etc.

4. Si vous choisissez de confier des copies des mots de passe et des clés PGP à une autre organisation, vous devez créer des protocoles d’accès.

5. Si une personne quitte l’organisation, ses mots de passe et codes d’accès personnels devraient être immédiatement modifiés.

6. Si une personne détenant des privilèges administratifs quitte l’organisation, tous les mots de passe et codes d’accès devraient être modifiés immédiatement.

L’administration des logiciels

Utiliser des logiciels piratés peut mettre l’organisation à la merci de la "police des logiciels". La police peut sévir contre une organisation au motif de l’utilisation de logiciels piratés en imposant de lourdes amendes et entraîner de fait une fermeture de l’organisation. L’organisation en question n’obtiendra probablement pas le soutien des médias occidentaux puisque cela ne relève pas de l’attaque contre une ONG de droits humains mais de la lutte contre le piratage. Soyez extrêmement vigilants en ce qui concerne les licences de logiciels et ne permettez pas qu’un logiciel soit copié par un membre de l’organisation. Un logiciel piraté peut également représenter un risque de sécurité puisqu’il peut contenir des virus. Utilisez toujours un logiciel anti-virus pour installer des logiciels.

Un administrateur devrait contrôler les nouvelles installations de logiciels pour s’assurer qu’ils soient vérifiés d’abord. Ne permettez pas l’installation d’un logiciel potentiellement non sécurisé, et n’installez que les logiciels dont vous avez besoin.

Installez les listes de signature les plus récentes pour tous les logiciels utilisés, en particulier pour Microsoft Office, Microsoft Internet Explorer et Netscape. La plus grande menace de sécurité provient de logiciels et de matériel informatique livrés dès le départ avec des failles de sécurité connues. Encore mieux, envisagez de passer aux logiciels Open Source pour lesquels on ne tente pas de garantir la sécurité en occultant sa fabrication selon le principe de la « sécurité par l’ignorance", mais où au contraire les experts de sécurité et les pirates sont encouragés à passer leurs codes au peigne fin. Utiliser le logiciel Open Source et tous les autres logiciels que Microsoft présente l’avantage supplémentaire de vous rendre moins vulnérable aux virus courants et aux pirates non spécifiques. Moins de virus sont créés pour les systèmes d’exploitation Linux ou Macintosh car la plupart des personnes utilisent Windows. Microsoft Outlook est le programme de messagerie électronique le plus répandu et constitue donc une cible privilégiée pour les pirates.

Les habitudes lors de l’envoi de courriels

Le cryptage des courriels devrait devenir une habitude. Il est plus facile de se souvenir de tout crypter que d’avoir une politique dictant quand il faut crypter et quand non. Sachez que si vous cryptez systématiquement tous vos courriels, la personne qui surveille vos échanges de courriels ne s’apercevra pas que vos communications deviennent plus sensibles à certains moments.

Quelques autres points importants:

• Sauvegardez toujours les courriels cryptés sous leur forme cryptée. Vous pouvez toujours les déchiffrer ultérieurement, tandis que si quelqu’un accède à votre ordinateur les messages sont aussi vulnérables que s’ils n’avaient pas été cryptés.

• Faites preuve de cohérence avec vos correspondants électroniques afin d’être sûr que ces personnes ne décryptent pas leur courrier puis transmettent vos messages sous forme déchiffrée, ou encore qu’ils vous répondent sans crypter leur réponse. La paresse individuelle représente la plus grande menace pour vos communications.

• Vous devriez peut-être créer quelques comptes de messagerie sécurisés pour les personnes travaillant sur le terrain afin qu’ils ne soient pas détectés par les serveurs de spam (courriels indésirables). Il faudrait vérifier de manière régulière si les adresses ont reçu du nouveau courrier sans qu’elles soient utilisées autrement que par les membres sur le terrain. Ainsi vous pourrez détruire les comptes Internet qui reçoivent beaucoup de courriels indésirables sans pour autant endommager votre base de travail.

Conseils généraux sur les cybercafés ou cafés Internet et autres

Les courriels envoyés en texte brut et non chiffrés à travers Internet peuvent être lus par de nombreuses instances pour autant qu’elles en prennent la peine. Une d’entre elles peut être votre FAI local (fournisseur d’accès à Internet) ou tout fournisseur par lequel transitent vos courriels. Un courriel transite par de nombreux ordinateurs sur le chemin entre l’expéditeur et le destinataire. Il ignore les frontières géopolitiques et peut transiter par les serveurs d’un autre pays même si vous envoyez des messages à l’intérieur d’un même pays.

Voici quelques éclaircissements de malentendus fréquents parmi les utilisateurs d’Internet (les internautes):

• La protection d’un fichier par mot de passe offre une protection si peu efficace du fichier en question que ce n’est pas la peine de l’utiliser pour les documents aux informations sensibles. Elle ne donne qu’une illusion de sécurité.

• Compresser un fichier ne le protège pas de quiconque voudrait vérifier son contenu.

• Si vous voulez garantir la sécurité d’envoi d’un fichier ou d’un courriel, utilisez la cryptographie (voir http://www.privaterra.org).

• Si vous voulez envoyer un courriel ou un document en toute sécurité, utilisez le cryptage à toutes les étapes depuis l’envoi jusqu’à la réception par le destinataire. Il ne suffit pas d’envoyer un message crypté depuis un bureau sur le terrain à New York ou à Londres ou ailleurs pour qu’ensuite il soit transmis à un tiers sans avoir été chiffré.

• Internet est planétaire par définition. Il n’y a aucune différence entre le fait d’envoyer un message entre deux bureaux de Manhattan et celui d’envoyer un message d’un café Internet en Afrique du Sud à un ordinateur d’un bureau de Londres.

• Utilisez la cryptographie autant que possible, même si le message ou les données que vous envoyez ne sont pas sensibles!

• Veillez à ce que l’ordinateur que vous utilisez ait un logiciel de protection contre les virus. Beaucoup de virus sont programmés pour extraire des informations de votre ordinateur, que ce soit les contenus stockés sur votre disque dur ou des fichiers Internet, y compris votre répertoire d’adresses électroniques.

• Veillez à ce que votre logiciel ait une licence légale. Si vous utilisez des logiciels pirate, vous devenez immédiatement un pirate de logiciel et non un militant des droits humains aux yeux des gouvernements et des médias. La meilleure solution est d’utiliser les logiciels Open Source (à accès libre), ils sont gratuits!

• Il n’existe pas de solution à 100% sûre lorsque vous utilisez Internet. Soyez conscients du fait qu’une personne peut faire de l’ingénierie sociale, c’est-à-dire se faire passer pour un tiers au téléphone ou par courriel pour s’assurer l’accès à vos mots de passe et à votre ordinateur. Fiez vous à votre jugement et à votre bon sens.