Outils du site

fr:consignes_securite_people

Consignes de sécurité générique

Vous trouverez des informations pour les pratiques plus avancées sur la page portail des consignes de sécurité. Cet article concerne les fondamentaux.

L'informatique et Internet sont des mondes merveilleux, mais il y a aussi quelques dangers. Vous êtes responsables de votre propre sécurité.

Les consignes suivantes concernent tout le monde.

Identifiez les menaces

C'est le travail préalable à toute politique de sécurité : il faut savoir de quoi vous devez vous défendre.

Sur Khaganat, les risques principaux pour les utilisatrices1) sont les suivants :

  • Nos serveurs se font pirater et vos identifiants et mots de passes sont compromis ;
  • Quelqu'un d'autre que vous accède à votre compte et s'en sert dans un but malveillant ;
  • Vous êtes pris à partie dans un conflit, pouvant mener à du harcèlement et divers formes de violences.

Mettez en place des règles de sécurité

En détaillant les 3 modèles de menace de base sur Khaganat :

Piratage des serveurs

Nos administratrices veillent à ce que cela ne se produise pas, mais le risque zéro n'existe pas. Aussi, pour limiter l'impact qu'aurait une attaque de ce genre :

  • Utilisez un mot de passe propre à Khaganat, que vous n'utilisez pas par ailleurs. Le mot de passe en question ne doit surtout pas être similaire à celui que vous avez pour vos boîtes mails et réseaux sociaux !
  • Utiliser une adresse mail propre à Khaganat, ou au moins à ce secteur de votre vie, est une façon de ralentir un attaquant, quitte à rediriger les mails ensuite vers votre mail principal. Segmenter vos activités permet de limiter la casse si une des adresses mails se trouve compromise.
  • Si Khaganat vous informe d'un problème et de la nécessité de changer les mots de passe, n'attendez pas, faites-le.

Vol de compte

Ce genre de chose arrive assez fréquement sur les MMORPG. Généralement, le vol de compte n'est pas lié aux compétences de pirate d'un malveillant, mais simplement à un peu de manipulation mentale. Et non, on ne parle pas des techniques du mentalisme.

Un vol de compte est généralement réalisé par quelqu'un que vous connaissez, plus ou moins bien, et qui va trouver votre identifiant et mot de passe soit en vous amenant à le lui dire, soit en amenant un ou une de vos ami-e-s à le lui dire. Ou, pire, le deviner d'après ce que vous laissez voir de vous. Enfin, une partie de ces vols sont possibles parce que quelqu'un d'autre que vous a eu accès à votre ordinateur ou votre logis, qu'il y aie eu effraction ou non (généralement, c'est quelqu'un qui a été autorisé à rentrer !).

La confiance est nécessaire pour qu'une communauté fonctionne bien, mais elle doit aussi être mis en veilleuse sur certains points. Donc, même si vous connaissez bien la personne qui vous le demande, même si vous l'aimez très fort, même si vous êtes sûr qu'il/elle ne vous veut aucun mal, il y a des choses que vous ne devez jamais partager (parce que même si ce n'est pas elle directement qui vous trahi, elle peut se faire manipuler et le résultat sera le même) :

  • Ne partagez jamais vos mots de passe. JAMAIS. Vous avez déjà partagé des mots de passe ? Changez-les, ne les utilisez plus.
  • Veillez à ce que personne ne regarde quand vous entrez un mot de passe. Quelqu'un qui vous respecte peut détourner les yeux à ce moment sans se sentir blessé. Ne cédez pas à la pression, un mot de passe, c'est plus privé que vos plus sombres secrets.
  • La meilleure manière de stocker un mot de passe est dans votre mémoire. Mais comme il vaut mieux, pour la sécurité, avoir plusieurs mots de passe, ça aide parfois de les noter. Dans ce cas, respectez les consignes sur comment stocker ses mots de passe (voir plus bas). Ce n'est JAMAIS un carnet de note à côté de l'ordinateur.
  • Créez des mots de passe forts (voir plus bas), impossible à deviner quand on vous connait. Votre date de naissance, le nom de votre animal domestique ou le nom de jeune fille de votre mère ne sont pas des bons mots de passe.
  • Si vous avez un ordinateur portable, mettez en place une session avec identifiant et mot de passe pour vous connecter à l'ordinateur. Lorsque vous quittez l'ordinateur des mains, verrouillez la session. C'est un peu lourd mais ça évite les mauvaises blagues. Si votre ordinateur est fixe, c'est aussi une bonne pratique, en particulier si vous n'êtes pas seule chez vous (invités, famille ; le vol entre frère et soeur ou entre époux en période de crise existe aussi), mais qui est moins nécessaire si vous vivez en ermite.

Enfin, parce que la manipulation mentale ne fait pas tout, il faut aussi veiller à une certaine hygiène numérique :

  • Maintenez votre système à jour
  • Mettez en place des protections informatiques : systèmes sous licence libre2), parefeu, antivirus, surveillance des modifications… N'hésitez pas à vous faire accompagner et former par des professionnelles sur le sujet.

Situation de conflit

Une grande partie des attaques informatiques ciblées sont la conséquence d'un conflit. Tant que vous êtes amis avec tout le monde, que tout le monde vous aime, qu'il n'y a pas de jalouses, vous pouvez vous sentir assez tranquille. Cependant, un conflit peut éclater très rapidement, pour des vétilles.

Si vous êtes prise dans un conflit (peu importe votre rôle, même si vous n'intervenez qu'en tant que médiatrice), devenez paranoïaque sur la sécurité. Changez vos mots de passe régulièrement.

Il est aussi important d'apaiser le conflit, moyen le plus sûr pour faire cesser des attaques. Voir en particulier la page Résolution de conflit.

Si vous êtes victime d'une attaque, ne restez pas seule, ne cherchez pas à gérer ça de votre côté, allez rapidement trouver les autorités, c'est à dire, ici, les modératrices. Elles aideront à apaiser le conflit et à limiter les incidents.

Mots de passe

Vos mots de passe protègent vos comptes. Il faut en prendre soin et éviter qu'ils tombent entre de mauvaises mains.

Création

Théorie

Un mot de passe peut être plus ou moins “fort”. Plus il est complexe, plus il est fort, et donc moins il est facile à casser. Utilisez toujours un mot de passe mélangeant lettres et chiffres. Il sera plus fort si vous mélangez minuscules et majuscules, si vous utilisez plus de 14 caractères, et si vous utilisez au moins l'un des caractères suivants : & é ~ # { ( [ - | è _ \ ç ^ à @ ) ] = } + °

Évitez de mettre les caractères suivants, ils sont parfois mal lu dans les bases de données et vous empêchent de vous connecter3) : “ ' `

Pratique

Vous pouvez générer un mot de passe automatiquement avec un logiciel. C'est assez acceptable, même si tous les générateurs ne sont pas forcément au top. Par contre, le mot de passe généré sera assez difficile à retenir.

Un moyen pour avoir un bon mot de passe ET s'en souvenir est de penser à une phrase de passe.

Ce n'est pas un mot, mais plusieurs, et la suite de caractère doit éveiller quelque chose de mnémotechnique.

Par exemple, l'année de naissance de votre petit frère, auquel vous ajoutez les premiers mots d'une chanson que vous aimez, le jour de naissance de votre panda nain, et pour finir vous remplacez tout les E par des Z, en majuscule. Ce n'est pas mauvais, cependant cela fait appel à des éléments de votre propre vie donc cela peut être deviné (quand même, si les mots n'ont pas de rapport entre eux, ce n'est pas évident).

Une technique semi-aléatoire consiste à aller sur le site du Wiktionnaire et à demander des pages au hasard : en bonus vous aurez peut-être des caractères cyrilliques, chinois, etc. Choississez quelques mots dans tout ça, assemblez-les, rajoutez un soupçon de modification (majuscules, chiffres, ponctuations). S'il y a plus d'un mot ET plus de 16 caractères, ça devrait être bien.

Stockage

Il y a plusieurs façons de gérer ses mots de passes.

Ne laissez pas un bout de papier ou un carnet près de votre bureau, où les mots de passes sont notés : la plupart du temps les pirates sont des gens qui vous connaissent, qui ont accès à chez vous, et qui peuvent donc facilement trouver ces papiers ou deviner votre date de naissance et votre couleur favorite.

Mnémotechnique

La mémoire est le seul endroit où stocker vos mots de passe maîtres, c'est à dire les mots de passe qui débloquent les autres mots de passe.

Exemple de mots de passe qui doivent rester uniquement dans votre tête :

  • Celui de la clé SSH
  • Ceux de vos clés GPG
  • Ceux qui déverouillent un gestionnaire de mot de passe (voir la partie logiciel)
  • Ceux de vos mails
  • Celui de votre ordinateur, y compris le mot de passe adminstrateur

Pour ces mots de passe, trouvez une phrase de passe que vous pouvez retenir et qui ne sera pas simple à deviner. Évitez de mettre le même partout. Il devrait y avoir au moins un mot de passe différent pour vos mails, vos clés et votre ordinateur.

Ensuite, il vaut mieux avoir un mot de passe par service. C'est à dire quelque chose de différent pour chaque site marchand, site de jeu, appli, média sociaux, etc… Cela peut faire beaucoup à retenir. Là, le plus sécurisé sera de passer par un logiciel afin d'avoir des mots de passe vraiment différents à chaque fois.

Il est cependant possible d'utiliser une politique mnémotechnique.

Commencez par séparer les services en diverses catégories suivant les risques. Est-ce un service “anodin” ou un service “critique” ? Pour les différencier, demandez-vous quel dégâts pourrait faire quelqu'un qui vous volerait votre mot de passe :

  • Sur un forum, le voleur va surtout pouvoir poster du spam ou des insultes. C'est gênant mais ce n'est pas “grave” ⇒ anodin
  • Sur votre mail, le voleur va pouvoir contacter vos contacts et tenter de leur voler leur mots de passe, les inciter à lui envoyer de l'argent, mettre vos échanges amoureux sur la place publique, mais aussi demander aux services où vous êtes inscrit de renvoyer un mot de passe. Même paypal. Cela peut avoir des conséquences dramatiques ⇒ critique, ayez un mot de passe fort et changez-le régulièrement.
  • Si vous administrez un serveur, le voleur aura accès à… tout ce qu'il y a sur le serveur. Y compris les données que les utilisateurs vous ont confié. C'est plus que critique !

Service critique ⇒ phrase de passe unique et forte.

Pour les services anodins, vous créez une base de phrase de passe, puis une clé propre au service.

Exemple : ma base de passe est “Panda69hétéronronnanT”. Ma clé est “les trois derniers caractères avant le nom de domaine de premier niveau”.

  • Sur le site pasteque.com, mon mot de passe sera Panda69hétéronronnanTque
  • Sur le site khaganat.net, il deviendra Panda69hétéronronnanTnat
  • Sur le site linuxfr.org, ce sera Panda69hétéronronnanTxfr

Attention, si les sites en questions sont compromis et que les pirates comparent les bases (ce qui arrive régulièrement), le principe sera assez vite analysé et tous vos compte utilisant cette base-là seront potentiellement compromis. C'est cependant bien assez pour faire face aux vols de comptes basiques et à un crack brut de mot de passe.

Logiciels

Il existe aujourd'hui des logiciels qui vous dispensent de retenir plusieurs mots de passe : il faut en retenir un seul pour débloquer les autres.

Vous pouvez aussi stocker vos mots de passe via pass (accessible en ligne de commande, il y a aussi une interface si besoin), ou dans un fichier qui est chiffré et semble anodin4).

La solution la plus simple aujourd'hui5) est d'utiliser Keepass. C'est un logiciel libre, multiplateforme, avec des modules permettant de le lier à votre navigateur web par exemple (et après on rentre mot de passe et identifiant en un clic, c'est confortable). Il peut générer des mots de passe. Sa première prise en main demande un peu de temps. Quelques heures, hein, c'est pas super complexe non plus, mais ça mériterait des tutos en français bien faits ; si vous en avez, ajoutez les liens.

Partage

Vous ne devriez pas partager de mot de passe… Mais, malgré tout, il y a quelques situations où cela s'impose, soit parce que les possibilités techniques de faire autrement ne sont pas disponibles, soit parce qu'on est conscient des risques et qu'on décide de s'en moquer.

Par exemple : sur Khaganat, au 28 janvier 2018, nous avons un mail pour l'association, mais pas de possibilité de le gérer collectivement avec des accès individuels. Donc, tous les membres du Collège peuvent gérer cette adresse mail… et ont donc l'identifiant et le mot de passe associé. Il existe des possibilités techniques pour gérer ça autrement et de façon plus sécurisée, mais nous n'avons pas les capacités de les mettre en place, donc, voilà.

N'envoyez jamais un mot de passe en clair. Donc : n'utilisez pas le mail, les sms, les bouts de papier, XMPP, un chat… sauf si un chiffrage encode votre mot de passe. Par exemple, vous pouvez envoyer des mails chiffrés en utilisant GPG ; il y a des services similaires pour les SMS. Cela demande que votre correspondant utilise le même logiciel de décryptage.

Si un de vos mot de passe a transité en clair, changez-le, et changez-le sur toutes les applications où vous utilisez le même.

Pour partager un mot de passe avec une personne, nous vous conseillons d'utiliser Framabin, de paramétrer pour que cela expire en moins d'une heure, et que ce soit détruit après la première lecture. Framabin étant chiffré, avec ces options, les risques que votre mot de passe se retrouve public sont vraiment réduites.

Dans le cadre d'un groupe, vous pouvez utiliser les logiciels suivants, à condition de bien les paramétrer :

Nous avons mis en place6) un service Teampass sur Khaganat. Il permet de partager de façon sécurisé les mots de passe entre les administrateurs des différents services : par exemple, les administrateurs du jeu peuvent s'échanger tous les mots de passe concernant le serveur de jeu par ce biais, de façon sécurisée.

Pour avoir un compte, ouvrir un groupe, contactez un administrateur. Vous pouvez aussi installer ce logiciel sur votre propre serveur.

Vies privées, vie publique

Vous avez plusieurs vies. Il faut le savoir.

Plusieurs vies privées. Ce qui se passe avec certaines de vos amantes, vous n'avez pas forcément envie que vos parents l'apprennent. Les petits noms que vos parents vous donnaient en maternelles, vous n'avez pas forcément envie que vos amantes les apprennent.

Plusieurs vies publiques. L'image que vous donnez de vous au travail est probablement différente de celle que vous voulez donner lorsque vous faites la fête. Votre réputation dans certains cercles n'a pas besoin d'être connue dans d'autres cercles.

Sur le net, vous avez plus de vies publiques que privées. Pour limiter l'impact de certaines attaques, il est important de bien comprendre ces notions et ce qu'elles impliquent.

Vies privées

La vie privée, c'est l'espace intime. Un endroit où vous ne conviez que des personnes choisies, pour un moment plus ou moins long. Parfois, il n'y a que vous dans cet espace. Cet espace intime est nécessaire, car il permet de se poser des questions, de remettre les règles en question, de jouer au “et si”, sans conséquences. Ces réflexions et interrogations permettent ensuite de faire évoluer notre personna dans le domaine publique et parfois même de transformer une part de la société.

Protégez toujours soigneusement ces espaces intimes. Imaginez devenir une star harcelé par les paparazzis : est-ce que vous assumeriez ces photos mal cadrés, les jugements qu'on en ferait ? Sur internet, le rapport à l'intime change ; il est parfois plus facile de discuter de choses très personnelles (sexualité, maladie, croyances…) avec des inconnues qu'avec des gens qui nous connaissent, justement parce que leur jugement ne peut pas nous affecter tant qu'elles restent dans “l'inconnue”, tandis que leurs retours peuvent nous faire évoluer.

Pour cette raison :

  • Éviter de donner votre identité physique tant que vous ne connaissez pas les gens.
    • Ne donner pas votre nom et votre prénom
    • Si vous souhaitez donner un indication géographique, restez aussi vague que possible (“en France”, “À Paris” (alors que vous êtes à Roissy), “en Picardie”, etc).
    • Évitez les photos. Vraiment. C'est facile aujourd'hui de détourner une image pour se moquer de quelqu'un.
  • Autorisez-vous autant de pseudonymes que nécessaire. Autorisez-vous à changer de nom et donc d'identité si vous avez un mauvais pressentiment.
  • Limitez strictement les possibilités de faire des liens entre les divers pseudonymes.

Votre vie privée est privée, et vous n'avez probablement pas envie qu'un type bizarre débarque dedans et s'installe chez vous, donc gardez votre jardin secret face aux inconnues. Une fois que vous connaissez un peu mieux les gens via le net, libre à vous de donner plus d'information. Sauf si vous êtes mineur : dans ce cas, ne révélez rien sans avoir auparavant demandé son avis à un adulte compétent autour de vous.

Vies publiques

Il est probable que votre identité civile apparaisse en ligne : dans des listes de diplômes, cité par un “ami” sur un média social7), parce que votre travail nécessite que vous soyez visible, ou votre vie associative, politique… Contrôlez autant que possible ce qui passe et qui est associé à votre nom, car vous êtes exactement dans la même position qu'une star : un jour ou l'autre, quelqu'un scrutera toutes les traces que vous avez laissé et s'en servira pour vous juger, et peut-être pour vous blesser. Qu'il s'agisse de recruteuses ou d'une personne plus malveillante… il est probable que ça arrive. Gérez les médias sociaux avec attention. Lorsque vous vous inscrivez sur un site, regardez si vous pouvez supprimer vos données facilement.

Évitez d'utiliser une adresse mail avec votre nom/prénom réel pour communiquer avec des inconnus (sauf dans le cadre du travail).

Lorsque vous utilisez un pseudonyme, sache qu'il est facile de vous pister via votre adresse mail, et de lier vos identités sur Google, Facebook et autres. Donc, cloisonnez vos activités. Utilisez des mails différents suiant les activités.

Personnellement, j'ai au moins un mail pour mes proches (amis, famille), un pour le travail (que je n'ouvre plus quand je ne suis pas au travail, non mais !), un pour le pourriel, c'est à dire tous ces sites où il faut obligatoirement s'inscrire. Ho, et si je ne vous aime pas mais que je dois vous donner un mail, y'a aussi une adresse spéciale. Enfin, j'ai des mails associés à certaines de mes identités, tel que zatalyz@ pour une bonne part de ma vie numérique et vidéoludique ! — zatalyz 2018/01/28 13:41

Certains de vos pseudonymes peuvent se retrouver mis en lumière, parce que vous prenez de l'importance dans une communauté. C'est pourquoi il est important de bien séparer vos activités : faire du jeu de rôle ou être homosexuelle est anodin et ne devrait pas vous porter préjudice pour trouver un job ou des clients, mais cela peut tout de même vous porter préjudice dans certains milieux. Ces possibles préjudices sont atténués si la séparation entre vos diverses activités publiques est aussi grande que possible. Malgré tout, il n'est pas possible de tout contrôler et il est possible que ce qui avait commencé avec un pseudonyme finisse par être lié à votre nom civil. Une excellente réflexion sur le sujet a été menée par Genma, prenez le temps de creuser le sujet.

Sur internet, tout est plus ou moins publique. Tout est noté, archivé, près à ressortir des années plus tard. Ce contrôle social intense est problématique pour l'individuation ; c'est pourquoi tout ce que vous faites ne doit pas se retrouver sur le web.

Garder la liberté du choix

C'est en principe à vous de choisir quand vous voulez passer d'un anonymat à un pseudonymat, et quand vous souhaitez lier un de vos pseudonymes à votre nom civil. Ces choix ont des conséquences (vous ne pouvez pas être dirigeant d'une association sous pseudonyme, par exemple, en tout cas pas auprès de la préfecture) mais ça reste à vous de décider ce que vous souhaitez. Soyez toujours attentive au lien qui peut se faire entre les pseudonymes, avec votre identité civile, afin de limiter le risque qu'un tiers vous impose son choix.

De même, il est extrêmement néfaste de révéler les liens entre identités d'une autre personne. Ce n'est pas à vous de dire publiquement que Machin est en réalité TrucMuche. Si vous découvrez un lien entre les deux et que ça ne semble pas volontaire, la seule chose correcte à faire est de prévenir la personne en question afin qu'elle puisse corriger ce lien au besoin, et de garder le silence tant qu'elle ne vous autorise pas à parler de ce lien.

Sur Khaganat, la modération a pour consigne d'être assez stricte sur le sujet ; si vous révélez l'identité de quelqu'un (pseudonyme ou autre), attendez-vous à recevoir un sacré coup de bâton.

Quel rapport avec la sécurité ?

Certaines personnes se croient protégées par un pseudo anonymat8) et croient qu'elles peuvent mal agir sans conséquences “réelles”. Ou protégées parce qu'agissant au sein d'un groupe. Cela donne lieu, entre autre, à des cas de harcèlement, forme d'attaque passant en partie par l'informatique mais avec des répercussions très réelles, pouvant mener les victimes de ces attaques au suicide ou à la folie furieuse.

Pour ces raisons, il est important de protéger vos diverses identités afin de limiter la surface d'attaque possible en cas de harcèlement. Du côté de Khaganat, nous sommes fortement engagées pour prévenir et désamorcer ce genre de problèmes et nous interviendrons dans la mesure de notre possible en cas de harcèlement, mais lorsqu'un cas comme ça se présente, il est déjà souvent trop tard. Donc : agissez en amont pour limiter la casse si un jour une tempête d'ennui arrive.

Si vous envisagez vous-même de vous servir de votre anonymat pour commettre certaines actions, sachez que l'anonymat réel est très complexe sur Internet et que des personnes compétentes peuvent vous retrouver. Avec un peu de chance, il s'agira uniquement des autorités de votre pays, et cela se réglera devant le tribunal.

1)
La règle “le féminin l'emporte” s'applique sur cet article (voir l'explication ). L'article concerne bien les mâles autant que les femelles, ainsi que les neutres et toutes les autres déclinaisons.
2)
On peut savoir ce que fait le code, même si un logiciel libre n'est pas suffisant pour s'assurer d'être en sécurité.
3)
Sur les sites mal fait, ça fait même buguer la base de donnée, mais ça, c'est pas votre problème et c'est un peu inquiétant pour la sécurité du site…
4)
Attention, quand vous déchiffrez le fichier, où sa version déchiffrée est-elle stockée ? Possibilité de faille
5)
2018/01/28
6)
Enfin, c'est parfois down, quand il y a des alertes sécurité et que les admins sont débordés, le plus simple pour éviter la fuite de mots de passe est de couper Teampass…
7)
Genre Facebook. Et ce n'est pas un ami.
8)
L'anonymat complet n'existe pas sur internet. Oubliez ça. On peut bien se protéger, mais ça ne sera jamais sécurisé à 100%.
fr/consignes_securite_people.txt · Dernière modification: 2019/02/23 13:19 par zatalyz