Analyse

Protéger ses données numériques. Partie 3/3 : Le chiffrement des données.

Le 15 mai 2018 par Guillaume Demonet, Jérôme Freani, Hirotaka Kato, Choukri Omari, NC

Suite à la première version sur les bonnes pratiques et la seconde sur la navigation sécurisée et discrète, le dossier sur la protection des données se clos sur la thématique chiffrement des données.

Première partie disponible ici.

Seconde partie disponible ici.

 

Chiffrer les e-mails et les fichiers

Gmail, Hotmail, Yahoo ont beau être gratuits, si vous ne donnez pas d’argent, vous donnez beaucoup plus : de précieuses informations sur votre vie privée et vos habitudes d'achat (Amazon, Wish...), de navigation sur Internet, l’intégralité de votre messagerie, vos photos, etc., des données qu'ils revendent à prix fort. Chiffrer ses données ne relève pas de la paranoïa, simplement de la volonté de ne pas divulguer certains documents personnels et échanges par courriel.

Certains logiciels cités infra sont en mesure de chiffrer les e-mails et documents envoyés tout en étant simples à paramétrer et à utiliser.

  • Cryptshare permet l’envoi d’e-mails chiffrés mais aussi l’envoi de fichiers volumineux.

  • Bluefiles est un outil français simple et efficace pour sécuriser l’envoi d’informations sensibles et permettre le partage rapide d’un document confidentiel, tout en garantissant sa confidentialité.

  • Protonmail, pour les plus prévoyants ! C’est un service de messagerie sécurisée visant à protéger les internautes des pratiques de surveillance massive de la part des États. Cette messagerie « anti-NSA » est chiffrée de bout en bout et hébergée en Suisse, pays où les lois régissant l’accès aux données personnelles sont plus contraignantes qu’ailleurs.

  • Boxcryptor.com : ce logiciel a une technologie de chiffrement de bout en bout et offre une collaboration sécurisée sur les fichiers. Petit plus : il est gratuit pour une utilisation non-commerciale.

  • OpenPGP : logiciel de chiffrement renforcé d’e-mails, particulièrement bien adapté à l'utilisation sur Internet. Il est gratuit et très sûr.

  • ZED : très complet, il est certifié par l’ANSSI.

 

Chiffrer les messages

Après l’apparition des smartphones, la transmission de messages s’est grandement facilité grâce aux applications de messagerie qui permettent un échange colossal d’informations parfois confidentielles. Pourtant, il faut toujours compter avec les risques de vol et de divulgation malveillante. Il est donc essentiel de chiffrer les messages échangés via les applications de messagerie sur les smartphones.

Pour ce faire, l'application Telegram est bien souvent utilisée. Elle permet d'envoyer des fichiers de presque tous les formats, sans limite de taille. Elle a été développée par deux frères d’origine russe, opposants de Vladimir Poutine, afin de communiquer hors du contrôle des services de renseignement de leur pays. Tous les messages sont chiffrés et peuvent même l’être « de bout en bout » (le mode de communication selon lequel seules les personnes qui communiquent peuvent voir les messages échangés) si les utilisateurs le souhaitent. Cette fonctionnalité, disponible pour une conversation entre deux personnes, entraîne l’autodestruction des messages après leur lecture par le destinataire. Cependant, suite à la dénonciation de l’usage de cette application par des terroristes pour la planification d’attentats, son créateur a commencé à bloquer les comptes susceptibles d’être liés au terrorisme en fonction du contenu des conversations, ce qui signifierait que les messages ne sont pas complètement protégés. En fait, les messages envoyés sans utilisation de la fonctionnalité « chiffrement de bout en bout » sont, certes, protégés mais stockés dans les serveurs de l’entreprise. Sur ce plan, WhatsApp, application rachetée par Facebook, est plus sûre puisqu’elle offre le chiffrement de bout en bout (OpenSource, développé par Signal) à tous les messages envoyés, que ce soit dans la conversation entre deux personnes ou en groupe. D’autres applications moins connues, telle Signal, fournissent le même système de chiffrement. En substance, quand on envoie des informations importantes par une application mobile, il convient de s’assurer que le chiffrement de bout en bout est activé, quelle que soit l’application choisie.

 

L’importance du mot de passe de session

Quel que soit le système d’exploitation de votre ordinateur, si le disque dur n’est pas chiffré et que le mot de passe de session n’a pas été mis, n’importe qui pourra accéder à vos données par un accès physique à votre ordinateur.  Plusieurs cas sont possibles :

  • Votre ordinateur portable est volé, vous n’avez pas de mot de passe de session et sur votre navigateur favori sont enregistrés vos mots de passe : le voleur pourra accéder à l’ensemble vos données ainsi qu’à l’ensemble de vos comptes en ligne comme votre adresse email privée, notre compte Facebook, éventuellement votre compte en banque si vous y êtes connecté, etc.

  • À la maison, sur notre « tour », vous n’avez pas mis de mot de passe. Pendant une absence, vous êtes cambriolés. Le cas est ici identique à celui du vol d’un ordinateur portable. Même sans s’emparer de l’ordinateur, pendant le temps du cambriolage, le cambrioleurpourra accéder à tous vos documents et tous vos comptes en ligne.

  • Au bureau, vous n’avez pas jugé nécessaire de mettre un mot de passe à votre session. Si un étranger s’introduit dans ces locaux, il aura accès à votre ordinateur, tout comme un collègue pourra y accéder pour vous faire une mauvaise blague ou pour vous nuire.

Il est donc impératif de mettre un mot de passe à votre session !

Pour ce faire, il suffit d’aller dans : Démarrer -> Paramètres -> Panneau de configuration -> Utilisateur -> puis sélectionner votre session -> Propriétés -> Définir un mot de passe.

Souvenez-vous de votre mot de passe car il sera impossible de le modifier en cas d’oubli.

 

Chiffrer un PC ou une clé USB

La protection par mot de passe de Windows/iOS est indispensable mais se révèle parfois trop faible et facilement contournable. Si votre ordinateur comporte des données sensibles qui ne doivent pas tomber entre de mauvaises mains, vous pouvez le sécuriser davantage en chiffrant celui-ci.

Il est alors indispensable de chiffrer la totalité du disque dur (et toutes les partitions qu'il contient), protégeant ainsi de manière totalement sécurisée l’intégralité des fichiers. En cas de vol de l’ordinateur ou du disque dur, les fichiers ne pourront pas être vus, ouverts et récupérés.

Contrairement à la protection intégrée Windows, le chiffrement proposé par des logiciels gratuits utilise la méthode AES avec des clés de cryptage de 256 bits. Il s’agit de la méthode utilisée par la NSA pour le chiffrement des documents « top secrets ».

Voici trois logiciels réputés :

  • Le premier: Bitlocker, intégré à tous les utilisateurs de Windows 10 Pro, avec une interface simplifiée.

  • Le second: VeraCrypt.

  • Le troisième, fait pour les utilisateurs favorisant les logiciels libres : DiskCryptor.

  • Le dernier, Cryhod, a le mérite d’être qualifié par l’ANSSI.

 

Pour les utilisateurs Mac, il y a le choix entre :

La seule contrainte requise est la création d’un mot de passe (demandé au démarrage de l’ordinateur), suffisamment complexe pour qu'il ne puisse pas être deviné et trouvé par quiconque. Pour plus d’efficacité, lire nos astuces pour choisir un mot de passe efficace.

 

L’anti-keylogger

Si les keyloggers (ou enregistreurs de frappe) ciblent surtout les ordinateurs partagés (ex : cybercafés, hôtels, etc.), nos ordinateurs personnels ne sont jamais à l’abri de ces logiciels malveillants : une fois installés (à l’insu des utilisateurs, ils collectent et transmettent à des cybercriminels tout ce que l’on frappe au clavier : identifiants, mots de passe, messages, etc.). L’usurpation d’identité et le vol d’informations bancaires (ex : lors d’un paiement en ligne) peuvent alors devenir un jeu d’enfant ! Parfois difficiles à détecter par les logiciels antivirus, les keyloggers peuvent néanmoins être trompés par des logiciels de chiffrement des frappes. C’est par exemple le cas de KeyScrambler, gratuit, dont l'installation ne prend que quelques instants. Une fois installé le logiciel, fonctionne de manière totalement autonome.

SpyShelter est une version plus complète mais payante, elle intègre en autres des fonctionnalités anti-espions de nos webcams/micros/écrans.

 

Le mot de passe du BIOS

Un ordinateur est composé d’un processeur, d’un disque dur, de RAM, d’une carte réseau, d’une carte son et éventuellement d’une carte graphique. Pour fonctionner ensemble, ces composants sont tous reliés à la carte-mère. Lorsqu’un ordinateur est allumé, le programme de la carte-mère (le BIOS) est exécuté et sollicite le réveil des composants. Il est possible de configurer le BIOS, par exemple en ordonnant le démarrage de l’ordinateur sur le disque dur ou sur un CD ou sur une clé USB. Lors de l’installation de Windows sur l’ordinateur que l’on vient d’acheter, le BIOS indiquera automatiquement d’avoir à lire le CD d’installation. Cependant, lors d’une installation de Windows à partir d’une clé USB,  les paramètres du BIOS peuvent être modifiés pour indiquer à l’ordinateur de lire d’abord le contenu de la clé USB.

Supposons que le BIOS est configuré pour démarrer sur une clé USB. Sur celle-ci se trouve un autre système d’exploitation, tel Linux. Une fois Linux lancé, il est possible d’accéder à l’intégralité du contenu du disque dur. Pourtant, la session Windows possède un mot de passe mais le disque dur n’étant pas chiffré, son contenu est accessible depuis un autre système d’exploitation. En cas de vol de l’ordinateur portable, si le voleur veut accéder à ses données, il pourra le faire en modifiant le BIOS. Si certains dossiers peuvent se révéler compromettants (photos compromettantes, par exemple), un chantage pourrait être exercé par la menace de diffusion de ces images sur Internet.

Le vol d’ordinateur portable est fréquent, surtout dans le métro, et son contenu accessible par un parfait inconnu. C’est pourquoi il faut mettre un mot de passe au BIOS pour se garantir d’être le seul à accéder à sa configuration. Pour accéder au BIOS de notre ordinateur, il faut aller sur Google et tapter « Bios », suivi de la marque de l’ordinateur ; par exemple « bios HP » ou « bios Asus ». Les premiers résultats de Google indiqueront la manœuvre à suivre. Généralement, juste après avoir appuyé sur le bouton d’allumage de l’appareil, il faut appuyer rapidement et plusieurs fois sur une même touche, comme F10, ou F8. Ensuite, une fois le BIOS atteint, cherchons comment y  mettre un mot de passe. Il peut se trouver sous l’appellation « mot de passe administrateur ». Après avoir mis le mot de passe, bien le retenir et/ou l’écrire dans un endroit discret. Puis il faut modifier les paramètres de boot (pour démarrer l’ordinateur) en indiquant souhaiter que l’ordinateur démarre uniquement à partir du disque dur. Puis on quitte le BIOS en sauvegardant les paramètres. Voilà, mission accomplie, votre BIOS est enfin protégé !

 

Conclusion

Félicitations, vous faites désormais partie des internautes avisés et la protection des données n’a plus de secret pour vous. Pour autant, restez sur vos gardes car un anonymat complet est impossible. Même l’individu le plus précautionneux peut être identifié par la façon dont il écrit, par exemple, ou encore à cause des caractéristiques de son ordinateur (résolution, navigateur, OS, etc.). L’historique du navigateur, déterminé par les sites fréquentés, constitue l’empreinte unique de chaque internaute.

La protection des données est aujourd’hui au cœur de l’actualité, avec l’arrivée imminente du Règlement général sur la protection des données (RGPD) et le moins récent droit au déréférencement introduit par la CNIL. Le panel d’outils s’élargit donc et les sanctions s’intensifient. Pour rappel, le droit au déréférencement permet à tout internaute de demander à un moteur de recherche de supprimer certains résultats associés à son nom et prénom. Le RGPD impose quant à lui aux entreprises de respecter les données récoltées sur ses clients et partenaires et de les protéger à son tour, sous risque de sanctions. Vous pouvez en apprendre davantage sur ce règlement ici.

À la lecture de ce dossier, vous avez déjà pris de l’avance sur information mais de nombreux autres guides en ligne ainsi que des solutions plus techniques n’ont pas été présentées dans ces articles introductifs. Le programme PRISM BREAK peut, par exemple, vous aider à trouver des solutions alternatives aux solutions propriétaires et à lutter davantage contre la surveillance des données. Il existe même un système d’exploitation développé spécifiquement pour préserver la vie privée et l’anonymat de ses utilisateurs, dénommé TAILS. Facile à installer, il suffit de le télécharger sur le site ressource et de l'installer sur un poste informatique via une clé USB, un DVD ou un carte SD indépendamment du système installé sur l'ordinateur. Boum.org, le site sur lequel TAILS est disponible en téléchargement, propose par ailleurs plusieurs guides avancés sur l’utilisation d’un ordinateur hors ligne et connecté.

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’informations) a, quant à elle, publié de nombreux guides dont deux que nous vous conseillons de lire : « le guide des bonnes pratiques de l’informatique » et « le guide d’hygiène informatique », à mettre en toutes les mains.

L’équipe de rédaction du Club Cyber AEGE vous remercie pour votre lecture attentive de nos informations et conseils. Elle vous souhaite vigilance et persévérance dans la protection numérique de votre privée.

 

L’équipe de rédaction du Club Cyber AEGE :
Guillaume Demonet, Jérôme Freani, Hirotaka Kato, Choukri Omari, NC

Avec la participation de :
Le Club Webtechno de l’AEGE Anne-Elizabeth Maghinici
Le Club BigData & IA de l’AEGE représenté par Lucas Atton
Baptiste Fortin