Orange travaille avec la DGSE et le GCHQ

Hier, Le Monde a publié un article, repris par Numérama, qui parle du partenariat entre Orange, la DGSE et son homologue britannique le GCHQ.
Je vous invite à le lire, car il est intéressant.
On y apprend qu’Orange a des services qui travaillent sur comment casser les solutions de cryptage grand public et que certains de ses agents travaillent sur des données secret défense sans demande de la justice.

Si on revient sur l’article que j’avais écris sur le gouvernement qui veut que les e-mails soient chiffrés par les FAI, ça fait juste rire (jaune).

Avec cette déclaration du Monde, on voit bien à quelle point cette idée est juste de la poudre aux yeux. Comment pourrions nous faire confiance à Orange pour chiffrer nos mails quant on sait qu’ils ont des servies pour casser les chiffrement ? Sans compter les autres problèmes que j’avais déjà listé.

Donc en résumé, nos politiques donnent un accès direct à nos informations aux services secrets d’un autre pays (qui fait partie du système Echelon). Ca ne leur posent aucun problème. Par contre, ils râlent quand ils apprennent qu’eux aussi sont écoutés.

Comment chiffrer ses mails sur windows

Mon article précédant parlait de l’idée de notre Premier Ministre que tous les mails français soient chiffrés par les FAI.
Je vous expliquais que ce n’était pas une bonne idée et qu’il fallait mieux chiffrer soit même ses mails.
Donc aujourd’hui, on va voir comment chiffrer ses mails sous Windows (ça fonctionne quasiment pareil pour GNU linux).

Dans un premier temps, il vous faut un logiciel pour lire ses mails. Alors, non un navigateur web n’est pas un logiciel pour les lire ses mails. Il existe des logiciels dont c’est le travail.
Pour cet article, je parlerais de thunderbird créé par la fondation Mozilla, les mêmes que ceux qui font Firefox.

Lorsqu’on le lance, il ressemble à ça :
Thunderbird

Pour cet article, on partira du postulat que vous savez configurer votre compte mail sous thunderbird. Si ce n’est pas le cas, dites et je verrais pour faire un article sur le sujet.

Il vous faut deux logiciels pour chiffrer vos mails dans thunderbird : PGP et Enigmail.

PGP

Vous pouvez télécharger PGP ici. Une fois téléchargé, il ne vous reste plus qu’à l’installer.

Enigmail

Une fois PGP installé, il faut maintenant qu’on s’intéresse à Enigmail.
Pour récupérer Enigmail, il faut aller dans thunderbird, « Outils » et « Modules Complémentaires », comme ci-dessous :

Installer des modules complémentaires

Installer des modules complémentaires

Ensuite, tapez « Enigmail » dans le champ de recherche et sur lancer la recherche. Cliquez sur le bouton « Installer » en face d’Enigmail.
Thunderbird Enigmail

Thunderbird va vous demander de redémarrer après l’installation.

Générer des clefs

Maintenant que vous avez installé ce qu’il faut pour chiffrer vos mails, il faut générer une paire de clef : une clef publique et une privée.

La clef publique est celle que vous donnez à vos amis, famille, etc. Elle va leur servir pour chiffrer les mails qu’ils vous envoient.
Vous, vous vous servez de la clef privée pour déchiffrer les mails. Et lorsque vous leur répondez, vous utilisez leur clef publique.

J’en vois un ou deux qui ont l’air perdu. Ne vous inquiétez pas grâce à Enigmail, c’est très simple. Le logiciel sélectionne directement la clef publique de votre destinataire s’il la connait. S’il ne la connait pas, vous ne pouvez pas chiffrer le mail.

Donc, nous allons générer des clefs. Pour cela, il faut aller sur « OpenPGP » et cliquer sur « Gestion des clefs » :
Thunderbird generer clef Enigmail1
Ensuite, il faut cliquer « Générer » et « Nouvelles pairs de clef » :
Thunderbird generer clef Enigmail2

Là, vous choisissez le compte pour lequel vous voulez créer une paire de clef (utile si vous avez plusieurs compte mails paramétrés dans thunderbird), vous vérifiez que « Utiliser la clef générée pour l’identité sélectionnée » soit bien cochée (1). Entrez un mot de passe pour cette clef (2) et répétez le (3). Les points 2 et 3 ne sont pas obligatoires, mais perso je ne vois pas l’intérêt de chiffrer des mails pour qu’ils soient protégés si ce qui sert à les protéger ne l’est pas. Et pour finir, cliquez sur « Générer la clef » (4).

Une fois la génération finie, l’outil va vous proposer de générer une clef de révocation. Faites le et gardez là dans un endroit sûr, elle peut toujours vous servir.

Ca y est, vous avez créé votre paire de clef. Pour qu’elle serve à quelque chose, vous devez la transmettre à vos destinataires. Pour ça, restons dans la fenêtre de gestions des clefs où nous étions pour générer les clefs. Faites un clique droit sur votre clef (si elle n’est pas visible, cochez « Afficher toutes les clefs par défaut », en haut à droite dans la fenêtre (1)) et sélectionnez « Envoyer des clefs publiques par courrier électronique » (2).
Thunderbird envoyer sa clef Enigmail
Un message électronique s’ouvre, avec votre clef publique en pièce jointe. Il ne vous reste plus qu’à renseigner le destinataire du mail, l’objet et le texte, avec un lien vers ici si vous souhaitez expliquer à votre destinataire comment faire. 🙂
Vous pouvez également envoyer votre clef publique sur les serveurs de clef prévues à cet effet. Pour ça, cliquez sur « Envoyer les clefs publiques vers un serveur de clef » (en dessous de « Envoyer des clefs publiques par courrier électronique » (2)). Là, vous choisissez le serveur que vous préférez (j’utilise le premier par défaut).

Importer des clefs

Vous pouvez également importer les clefs de vos contacts depuis ces serveurs, s’ils les y ont mis.
Thunderbird importer clefs

Si un de vos destinataires vous envoie un mail avec en pièce jointe sa clef publique, vous avez juste à faire un clef droit sur la clef et cliquer sur « Importer une clef OpenPGP ».
Thunderbird importer clef depuis mail

Chiffrer les mails

Si vous voulez envoyer un mail chiffrer à un destinataire qui vous a envoyé sa clef publique, commencez à rédiger votre mail normalement et avant de l’envoyer :
Thunderbird chiffrer un mail
Si Enigmail connait déjà la clef à utiliser, vous n’aurez rien d’autre de plus à faire, sinon le logiciel vous le fera savoir.

Et voila, vous pouvez maintenant chiffrer vos mails avec vos destinataires qui ont fait la même démarche.

Une backdoor dans plusieurs routeurs

Bonne année et bonne santé à tous.

L’information est sortie sur plusieurs sites (Korben, Numérama, etc) : il existe une backdoor dans certains routeurs des marques Linksys et Netgear qui utilise le port 32764.
Je sais de source sûr (merci à Guillaume) que cette faille existe aussi sur Dlink.

Ce qui est gênant dans cette histoire, c’est que beaucoup de box de nos fournisseurs d’accès à internet utilisent ces marques. Personnellement, ma box est une Netgear. Je vais regarder si elle est sensible à cette faille. Si c’est le cas, ça ne sert pas à grande chose de s’embêter à mettre des protections par restriction de plages ip ou autres car la personne peut modifier votre configuration après avoir récupéré le mot de passe par la faille. 🙁

Je ne sais pas s’il est possible de bloquer ce port le temps qu’un correctif soit mis en place. Je vais regarder ça de plus près et vous fais un retour.

Téléphoner sans carte sim

Non, je ne me moque pas de vous, il est possible de téléphoner sans carte SIM ni réseau. Comment me direz vous : c’est simple, une petite application Android appelée Serval le permet.
Cette application crée un réseau Mesh via l’émetteur wifi du téléphone. Dès qu’un autre téléphone utilise l’application, le réseau est étendu. Si vous appelez quelqu’un proche de vous (à porté du wifi), l’appel se fait directement, sinon l’appel va utiliser les autres téléphones du réseau afin d’attendre votre destinataire et ce sans manipulation de votre part.

Comme toute nouveauté, ce système a des avantages et des inconvénients.
Commençons par les avantages : tout d’abord, vous n’avez pas besoin d’avoir une carte sim pour téléphoner (c’est l’intérêt même de ce système). Ce système est très intéressant lorsque vous êtes à l’étranger par exemple.
Ensuite, les gouvernements ne peuvent pas, actuellement, surveiller ces communications. En effet, les services de renseignements écoutent les appels via satellites ou lorsqu’ils passent par un fournisseur (par exemple Orange ou Free). Comme le réseau Mesh est indépendant, il n’est pas écouté. Si l’usage se démocratise, il y a fort à parier que ces services utiliseront des mouchards qu’ils mettront sur le réseau (téléphone espion par exemple), et que les fournisseurs téléphoniques chercheront à faire interdire ce système.

Passons aux inconvénients maintenant : vous ne pouvez utiliser l’application que si votre téléphone est rooté. Ce point est un peu gênant car la majorité de la population utilisant un smartphone sous Android ne le root pas.
Vous ne pourrez appeler votre correspondant que s’il est couvert par le réseau Mesh. C’est-à-dire que pour que ça fonctionne, il faut être nombreux à utiliser ce système.
Et même si tous les téléphones utilisaient ce système, vous ne pourriez pas appeler aux USA par exemple. L’espace entre la France et les USA n’étant pas couverte par le réseau Mesh (à moins d’y laisser des smartphones, mais ça va vite couter cher 🙂 ), l’appel n’aboutira pas.

En conclusion, je trouve cette initiative très intéressant. Mais pour qu’elle soit fonctionnelle nous devons être nombreux à l’utiliser. Ainsi, nous regagnerons en autonomie et en indépendance par rapport aux fournisseurs de téléphonie mobile et nos communications resteront privées contrairement à maintenant.

Le #PRISM à la française

Bluettouf nous rappelle sur son site qu’en même temps que la nouvelle sur le programme PRISM sortait, Le Monde publiait un article sur un système d’écoute du trafic internet mise en place par la DGSE.

Ce qui est marrant, c’est que cette nouvelle est passée complètement inaperçu à cause de PRISM. Pourtant si on regarde de près, il s’agit de la même finalité : surveiller les gens sur Internet. Sinon que le système de la DGSE est plus intrusif que PRISM. Comme ils n’ont pas passé de contrat avec Microsoft and Co, ils utilisent du DPI via des installations hors du territoire. Le DPI leur permet de tout voir et non pas seulement les 8 gros géants du net, et comme les infrastructures ne sont pas sur le territoire, ils ne répondent pas à la loi française.
Comme les installations ne sont pas sur le territoire, ils ne voient que le trafic qui sort de France : ce qui est le cas lorsque vous allez sur Youtube, Google, Gmail, Apple, …, en gros une énorme partie de votre trafic.

En résumé, tout ce que vous faites, qui transite en dehors du pays, peut et doit surement être vu par les agents de la DGSE et ce en dehors de tout cadre légal, puisque les interceptions ne se font pas sur le territoire français.