134 liens privés
Une procédure de backup. Faudra que je m'attaque à ça un de ces quatre...
Il est possible de chiffrer ses conversations facebook avec CryptoCat.
Une alternative : Le plugin OTR de Pidgin. ( voir http://links.simonlefort.be/?yShVJg )
Un tutoriel sur l'utilisation d'EncFS, que j'ai testé ce matin. Ça semble vraiment bien marcher et on peut synchroniser le dossier chiffré en toute sécurité. :-)
Test - Création d'un dossier chiffré ( ~/.chiffre ) et d'un dossier en clair ( ~/clair ) :
| ========
02:30:02-[simon@debian]:~$ encfs ~/.chiffre ~/clair
Le répertoire "/home/simon/.chiffre/" n'existe pas. Doit-il être créé ? (y/n) y
Le répertoire "/home/simon/clair" n'existe pas. Doit-il être créé ? (y/n) y
Création d'un nouveau volume chiffré.
Veuillez choisir au moins une des options suivantes :
entrez "x" pour le mode de configuration expert,
entrez "p" pour un mode pré-configuré paranoïaque,
n'importe quoi d'autre ou une ligne vide sélectionnera le mode standard.
?>
Configuration standard sélectionnée.
Configuration terminée. Le système de fichiers sur le
point d'être créé a les caractéristiques suivantes :
Chiffrement de système de fichiers "ssl/aes", version 3:0:2
Encodage du nom de fichier : "nameio/block", version 3:0:1
Taille de clé : 192 bits
Taille de bloc : 1024 octets
Chaque fichier comprend un en-tête de 8 octets avec des données IV uniques.
Nom de fichiers chiffrés en utilisant le mode de chaînage IV.
File holes passed through to ciphertext.
Vous allez maintenant devoir entrer un mot de passe
pour votre système de fichiers.
Vous allez devoir absolument vous souvenir de ce mot de passe,
car il n'y a aucun mécanisme de secours.
Cependant, le mot de passe pourra être changé plus tard
en utilisant encfsctl.
Nouveau mot de passe EncFS :
Vérifiez le mot de passe EncFS :
02:30:45-[simon@debian]:~$ ls clair/
02:30:49-[simon@debian]:~$ ls .chiffre/
02:30:55-[simon@debian]:~$ cp fichier_test.txt clair/fichier_test.txt
02:31:07-[simon@debian]:~$ ls clair/
fichier_test.txt
02:31:10-[simon@debian]:~$ ls .chiffre/
HCM0A9eNcXTRKR42Dm0CHW9D
02:31:11-[simon@debian]:~$ fusermount -u /home/simon/clair
02:31:20-[simon@debian]:~$ ls clair/
02:31:24-[simon@debian]:~$ ls .chiffre/
HCM0A9eNcXTRKR42Dm0CHW9D
02:31:27-[simon@debian]:~$ encfs ~/.chiffre ~/clair
Mot de passe EncFS :
02:31:44-[simon@debian]:~$ ls clair/
fichier_test.txt
| ========
Pour simplifier le montage/démontage du dossier, on peut créer des alias dans le fichier .bash_aliases :
| ========
02:33:47-[simon@debian]:~$ vim .bash_aliases
| # Alias encfs
| alias ouvrir-coffre="encfs ~/.chiffre ~/clair"
| alias fermer-coffre="fusermount -u /home/simon/clair"
02:34:58-[simon@debian]:~$ source .bashrc
02:35:07-[simon@debian]:~$ ls clair/
fichier_test.txt
02:35:09-[simon@debian]:~$ fermer-coffre
02:35:13-[simon@debian]:~$ ls clair/
02:35:15-[simon@debian]:~$ ouvrir-coffre
Mot de passe EncFS :
02:35:25-[simon@debian]:~$ ls clair/
fichier_test.txt
| ========
C'est quand même beaucoup plus simple/rapide !
Je cite l'intro :
Vous souhaitez conserver des données sensibles et/ou privées, mais sans chiffrer tout votre disque dur. Idéalement, vous voudriez pouvoir restreindre l'accès à certains répertoires seulement, par mot de passe. Les données stockées dans ce(s) répertoire(s) seraient chiffrées et accessibles uniquement après authentification.
EncFS permet de réaliser cela très simplement. Pour ce faire, vous allez utiliser deux répertoires :
· un premier répertoire dans lequel seront stockées les données chiffrées ("source directory") ;
· un second répertoire dans lequel vous pourrez créer des données en clair, après authentification ("mount directory").
EncFS permet donc de chiffrer facilement un dossier qu'on voudrait synchroniser entre plusieurs machines, par exemple. À regarder de plus près.
Je découvre Keybase.io et ses possibilités.
Article qui en parle :
[Edit: mon profil Keybase : https://keybase.io/simonlefort
Lors de différentes arrestations, il a été reproché aux suspects qu'ils utilisaient des mails "sécurisés". Depuis quand c'est un crime d'utiliser des outils bien faits qui respectent la vie privée ?! Si on utilise un chiffrement basé sur PGP, c'est un fait aggravant ? Quelle blague !
(La FDN a donné son soutient à RiseUp : http://www.ffdn.org/fr/article/2015-01-07/la-federation-fdn-soutient-riseup-security-not-crime )
Des explications pour utiliser OpenPGP.
(via Jeekajoo : https://fralef.me/links/?rMakgA )
Ça peut toujours être utile...
Explication pour installer Pidgin et le plugin OTR (Off-The-Record). Je l'ai installé en très peu de temps sur ma Debian et mon frère l'a installé sur Windows. Ça fonctionne très bien!
Comme (beaucoup trop de) gens n'utilisent plus que facebook, on a utilisé nos comptes FB pour tester et c'est assez marrant de voir que facebook affiche "[message chiffré]" dans la communication. On utilise leur réseau tout en les empêchant de lire ce qu'on écrit. :-)
Un autre lien avec des explications simples sur OTR :
https://otr.cypherpunks.ca/help/4.0.1/levels.php?lang=fr
(Utile pour expliquer à vos contacts, par exemple.)
Objectif : Un système de mails chiffrés de bout en bout utilisable facilement. On verra ce que ça donne. :-)
( via https://fralef.me/links/?EFEyzg )
En gros, la NSA ne saurait pas encore déchiffrer les mails en PGP, aurait encore du mal avec TOR, le chiffrement des messageries instantanées par OTR ainsi que le VoIP qui utilise le protocole ZRTP. Pour SSH, ils auraient apparemment pu récupérer des couples login/mdp mais ça ne veut pas dire que le protocole est troué. Pareil pour les VPN : Ils ont réussis à mettre la main sur des clés pour les déchiffrer, ça ne veut pas dire que le VPN en soit est un soucis. Ça veut dire qu'il faut bien sécuriser ses clés.
Ce qui est important, c'est de BIEN utiliser tous ces outils. (Clé de chiffrement longues (!!), pas d'erreurs de configuration, ... )
Un projet de réseau maillé, décentralisé et chiffré. Ça semble intéressant, quelqu'un en a entendu parler ? Je suis tombé dessus en cherchant des subreddit random
( https://www.reddit.com/r/darknetplan/ ). Hyperboria est un réseau basé sur le projet mais il faut connaître au moins une autre personne pour y accéder. Pas encore eu le temps d'aller demander sur IRC...
Plus d'infos :
http://cjdns.info/
http://hyperboria.net/
https://projectmeshnet.org/
http://linuxfr.org/users/agentsteel/journaux/cjdns-hyperboria-reseau-decentralise-et-securise
Je retiens. Ne pas activer le module de chiffrement d'OwnCloud pour l'instant...
Duplicity est un outil de backup qui s'utilise apparemment comme "rsync" ( http://doc.ubuntu-fr.org/rsync ) mais permet de chiffrer les backups à la volée avec GnuPG. Miam.
(via un commentaire sur l'article de Genma : http://genma.free.fr/?Comment-sauvegarder-son-Raspberry-Pi )
Suite aux articles de Zythom (voir http://links.simonlefort.be/?ZbpUtQ ), je me suis décidé à tester (enfin!) le chiffrement de mails. Voici différents liens intéressants que j'ai trouvé :
- http://www.francoz.net/doc/gpg/ : -> Très complet et clair. En français. ( Merci à Julien Francoz et Gilles Dartiguelongue )
- http://lehollandaisvolant.net/tuto/gpg/ : -> Explications pour intégrer le chiffrement facilement dans Thunderbird avec Enigmail. ( Merci Timo! )
- http://doc.ubuntu-fr.org/gnupg : -> Quelques explications sur GnuPG
Je pense avoir compris la base mais j'ai encore quelques tests à faire pour me sentir à l'aise.
Zythom commence une série d'articles sur le chiffrement des mails pour sécuriser une correspondance. J'aime bien sa manière d'expliquer les choses, simplement et avec pragmatisme. Il faut vraiment que j'apprenne à utiliser PGP... Une grosse lacune encore pour moi.
Suite à l'arrivée d'une autorité de certification avec la fondation Mozilla, Cisco et d'autres ( https://letsencrypt.org/ ), je suis tombé sur StartSSL. Ils proposent des certificats gratuits pour passer son/ses serveur(s) en HTTPS. Je remarque simplement que le serveur est en Israël ? Ils me semblent qu'ils ont de bons hackers dans l'armée là-bas, non ? Est-ce que diffuser leurs certificats n'est pas intéressant pour eux d'un point de vue stratégique ?
(Après, j'ai encore pas mal de lacunes, possible que je ne comprenne pas tout et qu'il n'y ai aucune inquiétude à avoir.)
Un article très intéressant de Mitsu sur la sauvegarde de ses données personnelles. Il passe par du chiffrement avec deja-dup (qui s'appuie sur duplicity) et ensuite il utilise le client owncloud pour synchroniser ses sauvegardes sur le "Cloud". Il conseille également de diversifier les services de cloud pour être certains de pouvoir toujours récupérer ses données.
Un projet pour bâtir un standard simple pour le chiffrement des mails, sms, etc. À regarder de plus près.
MyCryptoChat est un chat chiffré dans le navigateur écrit en javascript et php par Tommy de " http://blog.howtommy.net/ ". Certains ont dit qu'il n'était pas parfait, que javascript n'était pas prévu pour faire de la crypto, etc... Je pense qu'il sera toujours moins risqué d'utiliser sa propre instance de MyCryptoChat que de discuter sur Facebook. Et na ! ;-)
Télécharger la dernière version sur https://mycryptochatphp.codeplex.com/ et l'envoyer sur le serveur.
| ========
| simon@ordi:~$ scp -P [PORT] MyCryptoChatPHP\ Web\ v1.0.4.zip [LOGIN]@[IP_DU_SERVEUR]:
| ========
Se connecter sur le serveur avec SSH.
| ========
| simon@ordi:~$ ssh [LOGIN]@[IP_DU_SERVEUR] -p [PORT]
| ========
Installer les dépendances. (php5 et sqlite)
| ========
| [LOGIN]@[SERVEUR]:~$ sudo aptitude install php5 sqlite php5-sqlite
| ========
"Dézipper" l'archive avec unzip.
| ========
| ( [LOGIN]@[SERVEUR]:~$ sudo aptitude install unzip )
| [LOGIN]@[SERVEUR]:~$ unzip MyCryptoChatPHP\ Web\ v1.0.4.zip
| ========
Créer le dossier pour mettre MyCryptoChat :
| ========
| [LOGIN]@[SERVEUR]:~$ sudo mkdir /var/www/default-site/chat/
| ========
Aller dans le dossier dézippé et copier tout son contenu dans le dossier "/var/www/default-site/chat/".
| ========
| [LOGIN]@[SERVEUR]:~$ cd MyCryptoChatPHP\ Web\ v1.0.4
| [LOGIN]@[SERVEUR]:~/MyCryptoChatPHP Web v1.0.4$ sudo cp -r * /var/www/default-site/chat/
| ========
Il faut maintenant changer le propriétaire du répertoire /var/www/default-site/chat/ avec la commande chown.
| ========
| [LOGIN]@[SERVEUR]:~$ sudo chown -R www-data:www-data /var/www/default-site/chat/
| ========