Journal : Protéger sa vie privée dans le domaine informatique
Posté par Mathieu Stumpf (Jabber id, page perso, ) le 11 juillet 2007
Avant tout, bien sûr, je n'ai rien fait de mal et je n'ai rien à caché[1], mais je tiens néanmoins à ma vie privé[2], tout autant qu'à ma liberté d'expression.
Pourtant au jour d'aujourd'hui, force est (ou dit-on forcé?) de constaté que je ne la protège guère. Pour mon usage personnel, j'utilise principalement un ordinateur portable, il y a toujours des risques que je me le fasse voler. Si cela devait arriver, mon ordinateur ne peut être utilisé sans login/mdp. A moins d'utiliser un live-CD, et ce n'est pas le mot de passe du BIOS configuré pour ne pas booté sur CD qui offrira une grande résistance.
Aussi ma première préoccupation devrait être d'utiliser un système de fichier chiffré, et c'est sur ce sujet que je te demande un premier rapport d'expérience, oui toi là, lecteur assidu de ces journaux qui n'a visiblement rien de mieux à faire que lire mes interrogations.
Deuxième souci, j'utilise actuellement une boite mail d'une entreprise qui fourni ce service gratuitement, mais qui n'assure aucunement la protection des données qu'il stocke, pas plus qu'il ne communique avec moi de manière sécurisé, et donc, c'est ma vie privée qui circule en clair sur l'internet pour qui veut la lire. Bien sûr je pourrais monter un serveur chez moi, mais un serveur ça fait du bruit (où alors il faut investir dans du matos qui ne fait pas de bruit, et je n'ai pas envie d'investir de grosses sommes) et moi il faudrait que je dorme juste à coté. Aussi je serais prêt à utiliser un service distant, dans la mesure où les données stockées sont chiffrées et qu'elle transite via un flux chiffré sur l'internet. Si part la même il fourni un compte jabber/xmpp, et d'autres services de stockage, cela serait un plus.
Troisième et dernière de mes interrogations (pour ce journal), butiner sur le web le plus anonymement possible. Là j'ai pu entendre des solutions comme freenet, où une solution dont le nom m'échappe mais dont le logo est un oignon si ma mémoire est bonne. Tout cela est-il bien utilisable? J'imagine que le chiffrement et le principe de p2p ralenti quelque peu la connexion, mais cela est-il néanmoins envisageable dans une utilisation quotidienne ?
À vos témoignages donc, merci. :)
PS: N'hésitez pas à vous étendre sur d'autres moyens de protéger sa vie privée dans le domaine informatique que je n'aurais pas évoqué.
[1] http://papers.ssrn.com/sol3/Delivery.cfm/SSRN_ID998565_code2(...)
[2] http://www.wired.com/politics/security/commentary/securityma(...)
Pourtant au jour d'aujourd'hui, force est (ou dit-on forcé?) de constaté que je ne la protège guère. Pour mon usage personnel, j'utilise principalement un ordinateur portable, il y a toujours des risques que je me le fasse voler. Si cela devait arriver, mon ordinateur ne peut être utilisé sans login/mdp. A moins d'utiliser un live-CD, et ce n'est pas le mot de passe du BIOS configuré pour ne pas booté sur CD qui offrira une grande résistance.
Aussi ma première préoccupation devrait être d'utiliser un système de fichier chiffré, et c'est sur ce sujet que je te demande un premier rapport d'expérience, oui toi là, lecteur assidu de ces journaux qui n'a visiblement rien de mieux à faire que lire mes interrogations.
Deuxième souci, j'utilise actuellement une boite mail d'une entreprise qui fourni ce service gratuitement, mais qui n'assure aucunement la protection des données qu'il stocke, pas plus qu'il ne communique avec moi de manière sécurisé, et donc, c'est ma vie privée qui circule en clair sur l'internet pour qui veut la lire. Bien sûr je pourrais monter un serveur chez moi, mais un serveur ça fait du bruit (où alors il faut investir dans du matos qui ne fait pas de bruit, et je n'ai pas envie d'investir de grosses sommes) et moi il faudrait que je dorme juste à coté. Aussi je serais prêt à utiliser un service distant, dans la mesure où les données stockées sont chiffrées et qu'elle transite via un flux chiffré sur l'internet. Si part la même il fourni un compte jabber/xmpp, et d'autres services de stockage, cela serait un plus.
Troisième et dernière de mes interrogations (pour ce journal), butiner sur le web le plus anonymement possible. Là j'ai pu entendre des solutions comme freenet, où une solution dont le nom m'échappe mais dont le logo est un oignon si ma mémoire est bonne. Tout cela est-il bien utilisable? J'imagine que le chiffrement et le principe de p2p ralenti quelque peu la connexion, mais cela est-il néanmoins envisageable dans une utilisation quotidienne ?
À vos témoignages donc, merci. :)
PS: N'hésitez pas à vous étendre sur d'autres moyens de protéger sa vie privée dans le domaine informatique que je n'aurais pas évoqué.
[1] http://papers.ssrn.com/sol3/Delivery.cfm/SSRN_ID998565_code2(...)
[2] http://www.wired.com/politics/security/commentary/securityma(...)
> Lire le journal (94 commentaires, moyenne: 3,2).
Vous avez demandé le commentaire #850299.
Run by 
Cette page a été générée par Templeet en 0.0694s (dont 0.0096 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
mon expérience
Tout petite, mais depuis un mois j'utilise des partitions cryptées. Alors j'ai crypté mon petit /home (20go quand même) et swap. Oh non, je n'ai pas lu bcp de doc, j'ai simplement remarqué que l'installer de Debian Etch le proposait.
Depuis aucuns soucis, j'ai tout de suite installé lenny, fais mes propres noyaux (évidemment il faut pas oublier certaines options) sans soucis.
Cela utilise LUKS et AES-256 avec crypt-dm je crois.
Le seul point étant que je dois maintenant taper 2 mot de passes en plus (les mêmes) au démarrage pour home et swap. Si j'avais le temps je chercherais peut être éventuellement la solution pour n'avoir à en taper qu'un.
Question vitesse, je n'ai remarqué aucun ralentissement. Bon / n'est pas sur un crypto fs, mais de toute façons les algos AES et compagnie ont été désignés pour être très rapides sur les CPUs, donc confirmation.
C'est très bien :-)
[^]Re: mon expérience
Pour le swap, je n'ai pas encore jeté un oeil sur ce que fait l'installateur Debian, mais sinon, tu peux regarder dans ton : /etc/conf.d/cryptfs et t'assurer que tu as quelque chose du genre "swap=crypt-swap source='/dev/ta_partition'"...
Avec une correspondance "/dev/mapper/crypt-swap none swap sw 0 0" dans ton /etc/fstab...
Normalement, une nouvelle clé aléatoire est regénérée à chaque démarrage, et tu n'auras donc plus besoin de t'en soucier (tu peux aussi faire ça sur ton /tmp et sur ton /var/tmp, si ce sont des partitions séparées).
Pour ton home, là, c'est plus compliqué... ça peut se faire au login avec pam_mount, en mettant le même mot de passe que ton mot de passe pam (tu n'en aurais donc qu'un à taper), mais je n'ai jamais encore essayé avec un /home (c'est sur ma todo-list, mais je ne sais pas encore comment je vais gérer plusieurs utilisateurs avec ça)... truecrypt serait vraiment sympa, mais a priori, il a peu de chances d'être jamais inclus dans Debian avec sa license...
[^]Re: mon expérience
/etc/conf.d, tu serais pas un gentooiste ? :-)
Bon sous debian il n'y a pas.
/etc/crypttab (lu par /etc/init.d/cryptdisks, voir man):
sda5_crypt /dev/sda5 none luks,swap
sda7_crypt /dev/sda7 none luks
/etc/fstab:
/dev/mapper/sda7_crypt /home ext3 noatime 0 2
/dev/mapper/sda5_crypt none swap sw 0 0
D'après cette doc:
http://wiki.archlinux.org/index.php/LUKS_Encrypted_Root
On pourrait faire un swap sans LUKS avec clé aléatoire à chaque boot comme tu le propose. Une autre solution serait de faire une mini partition cryptée contenant la clé pour monter toutes les autres partitions cryptées (un seul pass au boot).
Sinon tiens moi au courrant pour pam_mount, je pense que tu as lu cette doc aussi:
http://gentoo-wiki.com/HOWTO_Encrypt_Your_Home_Directory_Usi(...)
[^]Re: mon expérience
Héhé... bien que je sois plutôt debianneux depuis la sortie de Etch, je suinte encore le gentooiste ;)
Oui, en effet, ce n'est pas le même fonctionnement, tout ça... et je me suis fais eu en te refilant ce qu'il y a avait dans mon pense-bête et qui venait de Gentoo... pas assez organisé tout ça (j'essaye de remettre un peu mes méthodes à plat en ce moment... et le chiffrement est numéro 1 sur la todo-list... ça vient, ça vient).
Pour Debian, il me semble que j'avais réussi en créant un fichier de clé avec /dev/random au boot dans un script maison (tout con), sans mot de passe donc (mais peu importe, vu qu'on ne veut, a priori, jamais réaccéder au swap et cie après un reboot), et le passer comme argument dans /etc/crypttab... (avant les options, normalement, en regardant vite fait sur une de mes Debian).
Pour le home chiffré, en fait, c'est sur quelle méthode utiliser que je m'interroge... le problème, c'est que si on veut plusieurs sous-home pour chaque utilisateur, il faut qu'ils aient leur répertoire chiffré avec leur clé, et juste leur répertoire... et à part truecrypt (qui est problématique sous Debian), je ne connais pas de méthode pour faire du chiffrement sans réserver une quantité d'espace bien définie au préalable (je ne connais pas super bien cryptfs... faudrait que je le regarde mieux; s'il pouvait faire ça, ce serait nickel)...
[^]Re: mon expérience
moi aussi je suis passé par là il y a quelques mois... avant de partir aux US en fait, je me suis dit que crypter mon home pouvait être une bonne idée :)
attention, il faut savoir qu'en France, la justice peut réclamer la clé et que sa non fourniture est pas facile a encaisser (faudrait confirmer mais c'est de l'ordre de 300 000 ¤ et 3 ans de cachot, je crois)
toujours est-il que j'ai consigné ma petite config ici :
http://wiki.linuxwall.info/doku.php?id=ressources:articles:p(...)
des fois que ça intéresse quelqu'un......
www.linuxwall.info
[^]Re: mon expérience
encore faut il pouvoir prouver qu'une partition est chiffré et que ce n'est pas juste du garbage ;)
Pour les fichiers chiffré au cas par cas c'est un peu différent, mais tu peux émettre l'hypothèse qu'ils ont simplement été corrompu.
Subete ga wakatta toki…watashi ga anta wo korosu.
[^]Re: mon expérience
En tout cas, pour LUKS, c'est mort... même HAL détecte qu'une partition LUKS est ce qu'elle est...
Je crois que les partitions truecrypt ne sont, a priori, pas discernables de bruit aléatoire, mais ce n'est pas une généralité des systèmes de chiffrement...
... en même temps, me cacher des chinois du fbi qui ont mis des caméras dans ma cafetière, ce n'est pas vraiment mon soucis... ce qui m'importe le plus est que n'importe qui ne puisse pas accéder à certaines de mes données n'importe comment...
[^]Re: mon expérience
Non, si tu donne pas ta clé et qu'il arrive à te condamné via d'autre éléments, t'as peine est "simplement' augmenté d'un tiers.
Si t'écope de 30 de prison t'es bon pour la perpetuité, si tu chope 20 ans t'en est quite pour 30, tu fais 20ans à la place de 15 etc...
(c'est approximatif les transpositions de peines que j'ai donné. Mais c'est dans ces eaux là.)
[^]Re: mon expérience
De toutes façons la question ne se pose pas, ta clé tu la donnes.
http://hyatus.newffr.com/TAZ/Bust_v3.pdf
Le reste du document aussi est intéressant.
Le libre vaincra, tout est déjà joué.
[^]Re: mon expérience
Ah oui, mais ton document je lis les première lignes et je me sens pas vraiment concerné :
Bah non...
Le wiki de l'association culture libre : collection d'œuvres sous licence art libre.
[^]Re: mon expérience
Ah bon tu n'écoutes pas de musique libre, vilain pirate ?
Plus sérieusement, je ne suis pas un blackhat non plus et ça ne m'empêche pas de le lire (tant qu'il n'y a pas de DRM dans le pdf, je ne vais pas me gêner).
Si on devait se contenter d'écouter/regarder les documents/médias/sources d'informations dont on est le public visé, je pense qu'on se priverai de beaucoup d'information.
Mais, puisque c'était le sujet, en matière de Bust policier concernant le piratage, je pense que les mieux informés seront les policiers ou les pirates eux mêmes. J'aurai donc plus confiance en ce document (qui par ailleurs est pas trop mal écrit et bien documenté, même si j'ai pu relever quelques erreurs) que je n'en aurai en un gus que je croise dans la rue et qui va me sortir que "oui nan, mais c'est simple si la police débarque il suffit de mettre un coup de marteau sur le disque dur, voilaaaa, c'est tout" ou autre connerie.
Le libre vaincra, tout est déjà joué.
[^]Re: mon expérience
Je comprends pas bien ta phrase je crois là. Si j'écoute de la musique sous LLD, j'écoute même plus que ça et ce week end je retourne voir David TMX[1][2][3] en concert \o/
Bon sinon ça se tiens ce que tu dis effectivement. Sinon c'est quoi un bust? Une décente de flic?
[1] http://www.davidtmx.com/
[2] http://www.jamendo.com/fr/artist/david.tmx/
[3] http://fr.wikipedia.org/wiki/David_TMX
Le wiki de l'association culture libre : collection d'œuvres sous licence art libre.
[^]Re: mon expérience
Référence moisie aux majors qui s'attaquent à tout ce qui ne leur rapporte pas assez d'argent (y compris les LL, via les amendements Sacem/universale par exemple).Mais bon, je ne peux pas t'en vouloir, même moi en me relisant, ça ne me fait pas rire.
J'assume pleinement la responsabilité de cet échec et j'en tire les conclusions en me retirant de la vie politique^Wmoulesque,
--
theo, vous n'auriez pas une corde ?
Le libre vaincra, tout est déjà joué.
[^]Re: mon expérience
TrueCrypt permet de remédier à ce problème avec les Hidden Volume :