Protéger sa vie privée facilement et librement 2
Ce billet fait suite au précédent, que je vous invite à lire en premier. Il s'agit de voire comment protéger sa vie privée avec des logiciels libres, et ce de façon accessible à tous. Aujourd'hui : Tor, Locknote et TrueCrypt.
Rester anonyme grâce à Tor
Tor, The onion router, sponsorisé par l'Electronic Frontier Fondation, est une référence en matière de protection de l'anonymat sur Internet. Grosso modo, le principe est de faire passer vos communications par un chemin compliqué et inconnu du destinataire de la communication afin d'éviter qu'il ne puisse vous identifier.
Il utilise la technique dite du routage en oignon, en faisant rebondir les connexions entre différents relais appelés nœuds, maintenus par des volontaires. Cette technique tient son nom du fait de l'organisation des nœuds en couche (un oignon a des couches, rappelez vous Shrek...). Chaque nœud ignore quel circuit les données empruntent (il ne connaît en fait que la machine qui lui envoie les données et celle à laquelle il doit les envoyer), ainsi si un nœud s'avérait corrompu, l'anonymat serait préservé.
De plus, les communications entre les noeuds sont chiffrées selon une technique de cryptographie hybride.
Tor peut également être utilisé pour contourner les blocages à l'accès de certains sites, par exemple dans les pays pratiquant la censure (en supposant que le nœud de sortie ne soit, lui, pas concerné par le blocage...).
Si vous êtes sous Linux, vous devriez trouver Tor et Vidalia (une interface graphique pour Tor, utile notamment pour créer un relais facilement) dans les dépôts de votre distribution. Si vous utilisez Windows, un installeur est fournit, qui contient Vidalia. Pour intégrer Tor à Firefox, il y a le plugin Torbutton.
Pour lancer Tor c'est très simple, tapez simplement la commande tor (ou lancez-le via Vidalia). Il va alors falloir quelques instants pour que Tor puisse construire un circuit.
Dès que le circuit est créé (dans la console: "Tor has successfully opened a circuit. Looks like client functionality is working."), vous pouvez utiliser Tor. Sous Firefox, si vous avez installé Torbutton, il vous suffit de cliquer sur l'oignon en bas à droite de la fenêtre du navigateur.
Pour l'utiliser avec d'autres applications, il faut le définir comme proxy. Par défaut, Tor écoute sur le port local 9050. Pour le définir comme proxy, il faut donc indiquer 127.0.O.1 comme adresse IP (ou l'adresse appropriée s'il est sur une autre machine évidemment) et 9050 comme port. Sous Firefox, cela se fait dans Édition > Préférences > Avancé > Réseau > Paramètres (ou, si vous êtes sous Windows, Outils > Options > Avancé > Réseau > Paramètres). Sous Gnome, cela se fait dans Système > Préférences > Serveur mandataire. Vous pouvez également utiliser
export "http_proxy=http://127.0.0.1:9050"; export "ftp_proxy=http://127.0.0.1:9050"
dans le shell pour le spécifier via les variables d'environement (si vous utilisez Bash, ajoutez le à votre ~/.bashrc afin que ce soit exécuté à chaque lancement du shell).
Les communications qui passent par Tor sont plus lentes et consomment des ressources inutilement sur les relais Tor, aussi convient-il de ne pas l'utiliser pour tout ce qui consomme beaucoup de bande passante et ne nécessite pas d'anonymat.
Notez également que Tor ne chiffre pas les données entre le nœud de sortie et leur destination, aussi convient-t-il d'établir un tunnel à travers Tor lorsqu'en plus de l'anonymat la confidentialité des données est requise.
Échanger facilement des documents textes chiffrés avec des Windowsiens
Sous Windows, GPG n'étant pas fourni de base et aucun équivalent n'étant de base intégré au système, il est très courant que les utilisateurs ne disposent d'aucun outil pour lire les éventuels documents chiffrés que vous voudriez leur envoyer ou pour envoyer eux-mêmes des documents chiffrés.
En entreprise ou dans certains autres cas, l'utilisateur de base n'a pas toujours la possibilité d'installer les logiciels dont il a besoin, n'étant pas administrateur.
Il existe heureusement un petit programme bien utile : LockNote. Disponible uniquement sous Windows mais fonctionnant très bien sous Wine, il s'agit d'un petit éditeur de texte qui crée des fichiers texte chiffrés se présentant sous la forme d'un exécutable. Ces fichiers texte sont protégés par une phrase de passe.
Cette solution est très pratique car il n'y a rien à installer et qu'il n'est pas la peine de s'assurer que le destinataire dispose du nécessaire pour lire le fichier. Ça ne vaut pas GPG c'est sûr, cela suppose que le destinataire puisse exécuter des programmes Windows, et certains trouveront sans doute que ce n'est pas très "propre" mais ça dépanne.
Pour l'utiliser, il suffit de l'exécuter, de taper son texte et d'indiquer une phrase de passe à la fin, qui sera demandée pour pouvoir accéder de nouveau au texte.
Chiffrer une partition entière avec Truecrypt
Pour mettre ses données à l'abri, l'idéal est de chiffrer la partition sur laquelle elles se trouvent en entier. Pour cela, Linux intègre dm-crypt, FreeBSD a GELI, Mac OS X a FileVault, Windows a BitLocker etc, mais je vous propose d'utiliser plutôt TrueCrypt. Il a l'avantage d'être multi-plateformes (compatible Linux, Mac OS X, Windows, portage vers FreeBSD en cours), de permettre de cacher une partition (voir plus bas) et d'être simple à utiliser via une interface graphique (cette série de billet, je le rappelle, vise à informer les utilisateurs non-experts).
Pour commencer, récupérez TrueCrypt sur la page de téléchargement. Sous Ubuntu, il vous faut décompresser l'archive, exécuter le fichier, choisir "Extract .deb package file" puis accepter la licence et installer le packet que vous trouverez dans /tmp/truecrypt_XXX.deb.
Lancez alors TrueCrypt (s'il ne crée pas de raccourci exécutez la commande truecrypt).
L'interface graphique de TrueCrypt apparaît. Elle est similaire sous tous les OS.
Choisissez Create volume. Un assistant vous propose de créer un disque virtuel dans un fichier ou d'utiliser une partition. À l'étape suivante, vous pouvez choisir entre créer un volume standard ou caché.
Le volume caché est créé à l'intérieur d'un volume normal qui sert de leurre (il faut donc avoir créé un volume standard au préalable). On ne peut pas prouver son existence. Créer un volume caché est donc une option très intéressante, qui vous permet d'en nier l'existence si un jour on voulait vous forcer à révéler votre phrase de passe ou d'être protégé vis à vis de la loi qui ne peut vous reprocher de refuser de fournir le moyen d'y accéder puisque son existence ne peut-être prouvée.
Si vous n'êtes pas trop parano et que vous n'êtes ni de la mafia ni des services secrets, vous pouvez vous contenter de créer un volume standard, qui suffira largement dans la plupart des cas.
Choisissez ensuite un emplacement pour votre fichier, ainsi qu'un algorithme de chiffrement et un algorithme de hashage. Si vous ne savez pas quoi prendre, rassurez vous les options par défaut conviennent (AES est le standard recommandé par la NSA, Twofish et Serpent sont des algorithmes qui ont été créés pour le concours organisé par la NSA pour choisir AES et reconnus comme fiables, en utiliser plusieurs permet de se protéger contre une hypothétique faille qui serait trouvée un jour dans l'un de ces algorithmes).
Enfin, choisissez la taille de votre volume et la phrase de passe (plus de 20 caractères). Si vous créez un volume caché, elle devra être différente. Vous pouvez aussi choisir d'utiliser un fichier-clé à la place du mot de passe : ce peut-être n'importe-quoi, par exemple une image, le principe étant que vous êtes seul à savoir quel fichier utiliser pour accéder aux données.
Désormais, chaque fois que vous souhaiterez monter votre volume chiffré, il vous faudra lancer TrueCrypt, choisir le fichier ou le périphérique à monter ainsi qu'un slot à utiliser pour le monter et entrer votre phrase de passe (ou utiliser votre fichier-clé). Vos données sont alors mieux protégées que dans un coffre-fort (à condition de s'assurer de bien sécuriser sa machine, afin d'éviter par exemple qu'un keylogger ne récupère votre phrase de passe).
C'est tout pour aujourd'hui. Au menu des billets suivants : chiffrement (encore) de la messagerie instantanée, de la VoIP et de la swap, stéganographie, éviter de semer ses traces partout sur Internet, protéger ses mots de passe, faire des tunnels avec OpenVPN.
