Table des matières

Consignes de sécurité générique

Vous trouverez des informations pour les pratiques plus avancées sur la page portail des consignes de sécurité. Cet article concerne les fondamentaux.

L'informatique et Internet sont des mondes merveilleux, mais il y a aussi quelques dangers. Vous êtes responsables de votre propre sécurité.

Les consignes suivantes concernent tout le monde.

Identifiez les menaces

C'est le travail préalable à toute politique de sécurité : il faut savoir de quoi vous devez vous défendre.

Sur Khaganat, les risques principaux pour les utilisatrices1) sont les suivants :

Mettez en place des règles de sécurité

En détaillant les 3 modèles de menace de base sur Khaganat :

Piratage des serveurs

Nos administratrices veillent à ce que cela ne se produise pas, mais le risque zéro n'existe pas. Aussi, pour limiter l'impact qu'aurait une attaque de ce genre :

Vol de compte

Ce genre de chose arrive assez fréquement sur les MMORPG… mais aussi sur les mails. Généralement, le vol de compte n'est pas lié aux compétences de pirate d'un malveillant, mais simplement à un peu de manipulation mentale. Et non, on ne parle pas des techniques du mentalisme.

Un vol de compte est généralement réalisé par quelqu'un que vous connaissez, plus ou moins bien, et qui va trouver votre identifiant et mot de passe soit en vous amenant à le lui dire, soit en amenant un ou une de vos ami-e-s à le lui dire. Ou, pire, le deviner d'après ce que vous laissez voir de vous. Enfin, une partie de ces vols sont possibles parce que quelqu'un d'autre que vous a eu accès à votre ordinateur ou votre logis, qu'il y aie eu effraction ou non (généralement, c'est quelqu'un qui a été autorisé à rentrer !).

La confiance est nécessaire pour qu'une communauté fonctionne bien, mais elle doit aussi être mis en veilleuse sur certains points. Donc, même si vous connaissez bien la personne qui vous le demande, même si vous l'aimez très fort, même si vous êtes sûr qu'il/elle ne vous veut aucun mal, il y a des choses que vous ne devez jamais partager (parce que même si ce n'est pas elle directement qui vous trahi, elle peut se faire manipuler et le résultat sera le même) :

Enfin, parce que la manipulation mentale ne fait pas tout, il faut aussi veiller à une certaine hygiène numérique :

Situation de conflit

Une grande partie des attaques informatiques ciblées sont la conséquence d'un conflit. Tant que vous êtes amis avec tout le monde, que tout le monde vous aime, qu'il n'y a pas de jalouses, vous pouvez vous sentir assez tranquille. Cependant, un conflit peut éclater très rapidement, pour des vétilles.

Si vous êtes prise dans un conflit (peu importe votre rôle, même si vous n'intervenez qu'en tant que médiatrice), devenez paranoïaque sur la sécurité. Changez vos mots de passe régulièrement.

Il est aussi important d'apaiser le conflit, moyen le plus sûr pour faire cesser des attaques. Voir en particulier la page Résolution de conflit.

Si vous êtes victime d'une attaque, ne restez pas seule, ne cherchez pas à gérer ça de votre côté, allez rapidement trouver les autorités, c'est à dire, ici, les modératrices. Elles aideront à apaiser le conflit et à limiter les incidents.

Notez que dans certaines relations amoureuses, ou certaines relations parent/enfant, la notion d'intimité peut être mise à mal par le besoin de contrôle/rébellion et la jalousie. Désolé, mais il n'est pas sain d'avoir accès aux comptes de son époux, de ses enfants, de ses parents. La seule exception possible est dans le cas où il faut gérer les comptes d'une personne qui n'a plus toute sa tête (Alzheimer par exemple) et même là, cela doit être restreint aux quelques comptes d'échanges avec les administrations. Ne partagez pas vos comptes avec vos proches, d'autres solutions existent pour partager les informations qui doivent l'être. Ou alors faites un vrai compte commun.

Mots de passe

Vos mots de passe protègent vos comptes. Il faut en prendre soin et éviter qu'ils tombent entre de mauvaises mains.

Création

Théorie

Un mot de passe peut être plus ou moins “fort”. Plus il est complexe, plus il est fort, et donc moins il est facile à casser. Utilisez toujours un mot de passe mélangeant lettres et chiffres. Il sera plus fort si vous mélangez minuscules et majuscules, si vous utilisez plus de 14 caractères, et si vous utilisez au moins l'un des caractères suivants : & é ~ # { ( [ - | è _ \ ç ^ à @ ) ] = } + °

Évitez de mettre les caractères suivants, ils sont parfois mal lu dans les bases de données et vous empêchent de vous connecter3) : “ ' `

Pratique

Vous pouvez générer un mot de passe automatiquement avec un logiciel. C'est assez acceptable, même si tous les générateurs ne sont pas forcément au top. Par contre, le mot de passe généré sera assez difficile à retenir.

Un moyen pour avoir un bon mot de passe ET s'en souvenir est de penser à une phrase de passe.

Ce n'est pas un mot, mais plusieurs, et la suite de caractère doit éveiller quelque chose de mnémotechnique.

Par exemple, l'année de naissance de votre petit frère, auquel vous ajoutez les premiers mots d'une chanson que vous aimez, le jour de naissance de votre panda nain, et pour finir vous remplacez tout les E par des Z, en majuscule. Ce n'est pas mauvais, cependant cela fait appel à des éléments de votre propre vie donc cela peut être deviné (quand même, si les mots n'ont pas de rapport entre eux, ce n'est pas évident).

Une technique semi-aléatoire consiste à aller sur le site du Wiktionnaire et à demander des pages au hasard : en bonus vous aurez peut-être des caractères cyrilliques, chinois, etc. Choississez quelques mots dans tout ça, assemblez-les, rajoutez un soupçon de modification (majuscules, chiffres, ponctuations). S'il y a plus d'un mot ET plus de 16 caractères, ça devrait être bien.

Stockage

Il y a plusieurs façons de gérer ses mots de passes.

Ne laissez pas un bout de papier ou un carnet près de votre bureau, où les mots de passes sont notés : la plupart du temps les pirates sont des gens qui vous connaissent, qui ont accès à chez vous, et qui peuvent donc facilement trouver ces papiers ou deviner votre date de naissance et votre couleur favorite.

Il n'y a que deux lieux possibles où stocker un mot de passe : dans votre mémoire, et dans une base de donnée suffisament chiffré (voir la partie logiciel). Un bon logiciel est plus sécurisé que le papier. Les arguments sont plus bas, si vous avez besoin d'être convaincu.

Mnémotechnique

La mémoire est le seul endroit où stocker vos mots de passe maîtres, c'est à dire les mots de passe qui débloquent les autres mots de passe.

Exemple de mots de passe qui doivent rester uniquement dans votre tête :

Pour ces mots de passe, trouvez une phrase de passe que vous pouvez retenir et qui ne sera pas simple à deviner. Évitez de mettre le même partout. Il devrait y avoir au moins un mot de passe différent pour vos mails, vos clés et votre ordinateur.

Ensuite, il vaut mieux avoir un mot de passe par service. C'est à dire quelque chose de différent pour chaque site marchand, site de jeu, appli, média sociaux, etc… Cela peut faire beaucoup à retenir. Là, le plus sécurisé sera de passer par un logiciel afin d'avoir des mots de passe vraiment différents à chaque fois.

Il est cependant possible d'utiliser une politique mnémotechnique.

Commencez par séparer les services en diverses catégories suivant les risques. Est-ce un service “anodin” ou un service “critique” ? Pour les différencier, demandez-vous quel dégâts pourrait faire quelqu'un qui vous volerait votre mot de passe :

Service critique ⇒ phrase de passe unique et forte.

Pour les services anodins, vous créez une base de phrase de passe, puis une clé propre au service.

Exemple : ma base de passe est “Panda69hétéronronnanT”. Ma clé est “les trois derniers caractères avant le nom de domaine de premier niveau”.

Attention, si les sites en questions sont compromis et que les pirates comparent les bases (ce qui arrive régulièrement), le principe sera assez vite analysé et tous vos compte utilisant cette base-là seront potentiellement compromis. C'est cependant bien assez pour faire face aux vols de comptes basiques et à un crack brut de mot de passe.

Logiciels

Il existe aujourd'hui des logiciels qui vous dispensent de retenir plusieurs mots de passe : il faut en retenir un seul pour débloquer les autres.

Un bon logiciel (comme ceux listés ici) est la solution la plus sécurisée pour gérer ses mots de passe.

Certes, un ordinateur peut se pirater, mais si votre mot de passe principal (celui qui déverrouille les autres) est suffisamment “fort”, il n'y a aucun risque que la base soit forcée. Ces logiciels sont créés par des experts, et lorsque c'est libre, vous pouvez avoir confiance dans la qualité de la cryptographie. L'évolution des technologies pourraient rendre certains chiffrements actuels obsolètes MAIS les logiciels seront aussi mis à jour, corrigeant les éventuelles failles. Certains parlent de la facilité pour un ordinateur quantique de craquer les chiffrements actuels ; alors que ces ordinateurs ne sont pas encore sur le marché, il y a déjà les algorithmes permettant de déjouer le “brute force” de ces machines.

Faites confiance aux experts libristes de la cryptographie : c'est un domaine de passionnées, de très haut niveau technique et théorique. La sécurité absolue n'existe pas, bien sûr (c'est une règle de base en sécurité !) mais pour casser ces chiffrements, il faut généralement les moyens d'une puissance étatique… et quand on a une telle puissance, il y a souvent des façons bien plus simples d'obtenir les informations que les mots de passe protègent.

Donc : même si une personne mal intentionnée passe les diverses barrières protégeant votre fichier de mot de passe (accès à votre ordinateur, votre serveur, etc), elle ne pourra rien faire tant que le mot de passe qui le protège est suffisamment fort et tant que vous utilisez une solution de chiffrement à jour et de bonne qualité.

Un autre apport du logiciel est la génération de mots de passe forts et uniques pour chaque usage. Vous augmentez votre sécurité de façon globale.

Par ailleurs, sauvegardez ce fichier à distance (de façon sécurisée) : en cas de vol de votre ordinateur ou d'incendie, vous ne perdrez pas l'accès à tout ce qu'il débloque. Ce qui est plus difficile à faire avec un carnet en papier.

La solution la plus simple aujourd'hui4) est d'utiliser Keepass. C'est un logiciel libre, multiplateforme, avec des modules permettant de le lier à votre navigateur web par exemple (et après on rentre mot de passe et identifiant en un clic, c'est confortable). Il peut générer des mots de passe. Sa première prise en main demande un peu de temps. Quelques heures, hein, c'est pas super complexe non plus, mais ça mériterait des tutos en français bien faits ; si vous en avez, ajoutez les liens.

Nous avons installé Keeweb sur notre Kloud, qui permet d'ouvrir un fichier généré via Keepass. C'est une alternative pratique dans certains cas.

Vous pouvez aussi stocker vos mots de passe via pass (accessible en ligne de commande, il y a aussi une interface si besoin), ou dans un fichier qui est chiffré et semble anodin5).

Partage

Vous ne devriez pas partager de mot de passe… Mais, malgré tout, il y a quelques situations où cela s'impose, soit parce que les possibilités techniques de faire autrement ne sont pas disponibles, soit parce qu'on est conscient des risques et qu'on décide de s'en moquer.

Par exemple : sur Khaganat, au 28 janvier 2018, nous avons un mail pour l'association, mais pas de possibilité de le gérer collectivement avec des accès individuels. Donc, tous les membres du Collège peuvent gérer cette adresse mail… et ont donc l'identifiant et le mot de passe associé. Il existe des possibilités techniques pour gérer ça autrement et de façon plus sécurisée, mais nous n'avons pas les capacités de les mettre en place, donc, voilà.

N'envoyez jamais un mot de passe en clair. Donc : n'utilisez pas le mail, les sms, les bouts de papier, XMPP, un chat… sauf si un chiffrage encode votre mot de passe. Par exemple, vous pouvez envoyer des mails chiffrés en utilisant GPG ; il y a des services similaires pour les SMS. Cela demande que votre correspondant utilise le même logiciel de décryptage.

Si un de vos mot de passe a transité en clair, changez-le, et changez-le sur toutes les applications où vous utilisez le même.

Pour partager un mot de passe avec une personne, nous vous conseillons d'utiliser Framabin, de paramétrer pour que cela expire en moins d'une heure, et que ce soit détruit après la première lecture. Framabin étant chiffré, avec ces options, les risques que votre mot de passe se retrouve public sont vraiment réduites.

Dans le cadre d'un groupe, vous pouvez utiliser les logiciels suivants, à condition de bien les paramétrer :

Nous avions mis en place un service Teampass sur Khaganat. Il permettait de partager de façon sécurisé les mots de passe entre les administrateurs des différents services : par exemple, les administrateurs du jeu peuvent s'échanger tous les mots de passe concernant le serveur de jeu par ce biais, de façon sécurisée. Nous avons cependant fermé ce service, suite à la révélation de plusieurs failles de sécurité dans Teampass, que nous ne sommes pas en mesure de corriger.

Vies privées, vie publique

Vous avez plusieurs vies. Il faut le savoir.

Plusieurs vies privées. Ce qui se passe avec certaines de vos amantes, vous n'avez pas forcément envie que vos parents l'apprennent. Les petits noms que vos parents vous donnaient en maternelle, vous n'avez pas forcément envie que vos amantes les apprennent.

Plusieurs vies publiques. L'image que vous donnez de vous au travail est probablement différente de celle que vous voulez donner lorsque vous faites la fête. Votre réputation dans certains cercles n'a pas besoin d'être connue dans d'autres cercles.

Sur le net, vous avez plus de vies publiques que privées. Pour limiter l'impact de certaines attaques, il est important de bien comprendre ces notions et ce qu'elles impliquent.

Vies privées

La vie privée, c'est l'espace intime. Un endroit où vous ne conviez que des personnes choisies, pour un moment plus ou moins long. Parfois, il n'y a que vous dans cet espace. Cet espace intime est nécessaire, car il permet de se poser des questions, de remettre les règles en question, de jouer au “et si”, sans conséquences. Ces réflexions et interrogations permettent ensuite de faire évoluer notre personna dans le domaine publique et parfois même de transformer une part de la société.

Protégez toujours soigneusement ces espaces intimes. Imaginez devenir une star harcelé par les paparazzis : est-ce que vous assumeriez ces photos mal cadrés, les jugements qu'on en ferait ? Sur internet, le rapport à l'intime change ; il est parfois plus facile de discuter de choses très personnelles (sexualité, maladie, croyances…) avec des inconnues qu'avec des gens qui nous connaissent, justement parce que leur jugement ne peut pas nous affecter tant qu'elles restent dans “l'inconnue”, tandis que leurs retours peuvent nous faire évoluer.

Pour cette raison :

Votre vie privée est privée, et vous n'avez probablement pas envie qu'un type bizarre débarque dedans et s'installe chez vous, donc gardez votre jardin secret face aux inconnues. Une fois que vous connaissez un peu mieux les gens via le net, libre à vous de donner plus d'information. Sauf si vous êtes mineur : dans ce cas, ne révélez rien sans avoir auparavant demandé son avis à un adulte compétent autour de vous.

Vies publiques

Il est probable que votre identité civile apparaisse en ligne : dans des listes de diplômes, cité par un “ami” sur un média social6), parce que votre travail nécessite que vous soyez visible, ou votre vie associative, politique… Contrôlez autant que possible ce qui passe et qui est associé à votre nom, car vous êtes exactement dans la même position qu'une star : un jour ou l'autre, quelqu'un scrutera toutes les traces que vous avez laissé et s'en servira pour vous juger, et peut-être pour vous blesser. Qu'il s'agisse de recruteuses ou d'une personne plus malveillante… il est probable que ça arrive. Gérez les médias sociaux avec attention. Lorsque vous vous inscrivez sur un site, regardez si vous pouvez supprimer vos données facilement.

Évitez d'utiliser une adresse mail avec votre nom/prénom réel pour communiquer avec des inconnus (sauf dans le cadre du travail).

Lorsque vous utilisez un pseudonyme, sache qu'il est facile de vous pister via votre adresse mail, et de lier vos identités sur Google, Facebook et autres. Donc, cloisonnez vos activités. Utilisez des mails différents suiant les activités.

Personnellement, j'ai au moins un mail pour mes proches (amis, famille), un pour le travail (que je n'ouvre plus quand je ne suis pas au travail, non mais !), un pour le pourriel, c'est à dire tous ces sites où il faut obligatoirement s'inscrire. Ho, et si je ne vous aime pas mais que je dois vous donner un mail, y'a aussi une adresse spéciale. Enfin, j'ai des mails associés à certaines de mes identités, tel que zatalyz@ pour une bonne part de ma vie numérique et vidéoludique ! — zatalyz 2018/01/28 13:41

Certains de vos pseudonymes peuvent se retrouver mis en lumière, parce que vous prenez de l'importance dans une communauté. C'est pourquoi il est important de bien séparer vos activités : faire du jeu de rôle ou être homosexuelle est anodin et ne devrait pas vous porter préjudice pour trouver un job ou des clients, mais cela peut tout de même vous porter préjudice dans certains milieux. Ces possibles préjudices sont atténués si la séparation entre vos diverses activités publiques est aussi grande que possible. Malgré tout, il n'est pas possible de tout contrôler et il est possible que ce qui avait commencé avec un pseudonyme finisse par être lié à votre nom civil. Une excellente réflexion sur le sujet a été menée par Genma, prenez le temps de creuser le sujet.

Sur internet, tout est plus ou moins publique. Tout est noté, archivé, près à ressortir des années plus tard. Ce contrôle social intense est problématique pour l'individuation ; c'est pourquoi tout ce que vous faites ne doit pas se retrouver sur le web.

Garder la liberté du choix

C'est en principe à vous de choisir quand vous voulez passer d'un anonymat à un pseudonymat, et quand vous souhaitez lier un de vos pseudonymes à votre nom civil. Ces choix ont des conséquences (vous ne pouvez pas être dirigeant d'une association sous pseudonyme, par exemple, en tout cas pas auprès de la préfecture) mais ça reste à vous de décider ce que vous souhaitez. Soyez toujours attentive au lien qui peut se faire entre les pseudonymes, avec votre identité civile, afin de limiter le risque qu'un tiers vous impose son choix.

De même, il est extrêmement néfaste de révéler les liens entre identités d'une autre personne. Ce n'est pas à vous de dire publiquement que Machin est en réalité TrucMuche. Si vous découvrez un lien entre les deux et que ça ne semble pas volontaire, la seule chose correcte à faire est de prévenir la personne en question afin qu'elle puisse corriger ce lien au besoin, et de garder le silence tant qu'elle ne vous autorise pas à parler de ce lien.

Sur Khaganat, la modération a pour consigne d'être assez stricte sur le sujet ; si vous révélez l'identité de quelqu'un (pseudonyme ou autre), attendez-vous à recevoir un sacré coup de bâton.

Quel rapport avec la sécurité ?

Certaines personnes se croient protégées par un pseudo anonymat7) et croient qu'elles peuvent mal agir sans conséquences “réelles”. Ou protégées parce qu'agissant au sein d'un groupe. Cela donne lieu, entre autre, à des cas de harcèlement, forme d'attaque passant en partie par l'informatique mais avec des répercussions très réelles, pouvant mener les victimes de ces attaques au suicide ou à la folie furieuse.

Pour ces raisons, il est important de protéger vos diverses identités afin de limiter la surface d'attaque possible en cas de harcèlement. Du côté de Khaganat, nous sommes fortement engagées pour prévenir et désamorcer ce genre de problèmes et nous interviendrons dans la mesure de notre possible en cas de harcèlement, mais lorsqu'un cas comme ça se présente, il est déjà souvent trop tard. Donc : agissez en amont pour limiter la casse si un jour une tempête d'ennui arrive.

Si vous envisagez vous-même de vous servir de votre anonymat pour commettre certaines actions, sachez que l'anonymat réel est très complexe sur Internet et que des personnes compétentes peuvent vous retrouver. Avec un peu de chance, il s'agira uniquement des autorités de votre pays, et cela se réglera devant le tribunal.

1)
La règle “le féminin l'emporte” s'applique sur cet article (voir l'explication ). L'article concerne bien les mâles autant que les femelles, ainsi que les neutres et toutes les autres déclinaisons.
2)
On peut savoir ce que fait le code, même si un logiciel libre n'est pas suffisant pour s'assurer d'être en sécurité.
3)
Sur les sites mal fait, ça fait même buguer la base de donnée, mais ça, c'est pas votre problème et c'est un peu inquiétant pour la sécurité du site…
4)
2018/01/28
5)
Attention, quand vous déchiffrez le fichier, où sa version déchiffrée est-elle stockée ? Il y a là une possibilité de faille suivant la façon dont vous gérer le chiffrement de votre base, d'où l'intérêt de passer par des logiciels comme Pass ou Keepass, qui gère ça bien.
6)
Genre Facebook. Et ce n'est pas un ami.
7)
L'anonymat complet n'existe pas sur internet. Oubliez ça. On peut bien se protéger, mais ça ne sera jamais sécurisé à 100%.