Marseille

From CryptoParty
Jump to: navigation, search

Contents

Prochaines cryptoparties

  • Samedi 16 mars 2013, 14h30, à Mille Babords. PENSEZ A AMENER UN ORDINATEUR PORTABLE OU UN TELEPHONE ANDROID voire une clef usb de 4 Go vide (ça pourrait servir)!
  • Si vous êtes un groupe déjà constitué d'au moins 5 personnes motivées, si vous êtes d'accord pour accueillir 2 ou 3 personnes de plus (CyrptoParty=accès libre) et si vous disposez d'un lieu pouvant recevoir une dizaine de personnes, vous pouvez nous contacter via mail ou twitter. Nous tenterons d'organiser une cryptoparty "off the radar", non annoncée publiquement.

Lieu

Trois lieux envisagés pour le moment:

  • Le Seul Problème, centre social autogéré 46 rue consolat 13001 Marseille
  • Mille Babords, Association, 61 rue Consolat 13001 Marseille, Réunion publique hebdommadaire de l'association Mille Babords le jeudi à 19h30

Qu'est-ce qu'une cryptoparty?

Définition

Un regroupement informel d'individu-e-s qui viennent de préférence avec leur pc portable ou leur smartphone android, pour installer et apprendre à utiliser des outils pour chiffrer leurs communications et faire respecter leur droit à l'anonymat ou simplement à la vie privée. Regroupement apolitique et non commercial (sauf adhésion prix libre à l’Équitable, 1 centime est un prix libre...) sans sponsor, sans sexisme, ni racisme. Celles et ceux qui en savent un peu plus sur certaines choses transmettent leur savoir aux autres, et réciproquement, sans rapport de domination. Pour celles et ceux qui ne possèdent ni ordi portable ni téléphone android, venez quand même si possible avec une clef usb 4 Go ou un dvd vierge, un bloc note et vous installerez tous les outils chez vous. Si vous n'avez pas de PC, il y a les ami-e-s, les cybers ou la possibilité de monter un pc en récupérant une tour à la poubelle, gratuitement ou pour quelques dizaines d'euros: nous contacter.

Sexisme

Pour info, le mouvement cryptoparty (qui ne date pas d'hier) a été relancé en juillet 2012 par @Asher_Wolf une australienne pas du tout spécialiste en cryptographie qui a depuis claqué la porte de cryptoparty à cause du comportement sexiste de la plupart des hackers. Donnons-lui envie de revenir en bannissant tout sexisme dans les cryptoparties marseillaises!

CryptoGlamour

"LES CRYPTO-PARTIES CEST QUOI ? Les internautes sont-ils assez prudents? Choisir des mots de passe sûrs. protéger ses données personnelles... autant de réflexes négligés sur le Web, alors qu'IRL chacun défend sa vie privée bec et ongles. Le hashtag #CryptoParty est lâché lors d'un échange de tweets l‘été dernier entre deux cyber-activistes. Le concept inspire et les première crypto-parties s'organisent dans les heures qui suivent en Australie, aux USA, en Europe... Véritable phénomène, elles ont aujourd’hui lieu plusieurs fois par semaine sur les cinq continents. Laptop sur les genoux, activistes comme étudiants et parents intègrent les conseils des organisateurs, qui leur donnent clés et outils afin de protéger leur vie en ligne. Big Brother, gare à toi, la résistance s'organise!" Jennifer Murzau, auteur, et journaliste à Glamour, rubrique Culture Geek.

Copyright, origine

Lille

Un groupuscule lillois revendique la paternité du mouvement cryptoparty! :-) D'après le cache Google il semblerait bien que cette revendication soit licite. Espérons qu'ils ne nous la joueront pas patent trolls en nous réclamant des millions de dollars! Loin de nous l'idée de dénigrer ces précurseurs. Une cryptoparty qui pourrait éventuellement être organisée si les candidat-e-s vont chatter le hacker sur IRC ou s'inscrivent à leur énième mailing list, c'est très bien. Fixer une date dans un lieu ouvert et l'annoncer partout en disant que tout le monde est le bienvenu, c'est sans doute mieux!

Marseille

A Marseille également, une cryptoparty a déjà eu lieu à Mille Babords le 14 Mai 2011, organisée par @freechelmi

Conclusion

Bref, l'idée de disséminer l'usage de PGP, logiciel créé en 1991 par Phil Zimmermann, et de quelques autres outils, ne date évidemment pas d'hier. Force est de constater que le mouvement initié l'été dernier par @Asher_Wolf a connu un succès et un engouement sans précédent et sans commune mesure avec les quelques initiatives sus-citées. Merci à la "hype 2.0", n'en déplaise à certains hackers bougons. Ils devraient plutôt se réjouir. Les lois sur la rétention des données et toutes les tentatives de renforcement de la surveillance d'Internet y sont certainement pour beaucoup. Les gros titres sur les loupés répétitifs de Facebook en matière de "vie privée" et la prise de conscience des risques liés à l'étalage des moindres détails de sa vie privée sur le web ont probablement contribué à la popularisation du concept.

Public

Pourquoi participer ?

  • droit à l'anonymat
  • droit à la vie privée
  • droit au secret de la correspondance

Pourquoi ne pas participer ?

Je n'ai rien à cacher

Marc L. non plus n'avait rien à cacher... Et pourtant Le Tigre, curieux magazine curieux, a fait son portrait Google. Et Marc L. n'a pas du tout apprécié. Comme quoi... Marc L. aurait dû participer à une crypto party !

Profil

Tout le monde!

Envoyer un mail à son ou sa petit(e) ami(e) en sachant qu'il sera peut-être lu par d'autres, c'est forcément faire attention à ce qu'on écrit.

Se plaindre de l'action d'un-e élu-e à un-e ami-e pendant un dialogue en direct sur internet, mais ne pas oser dire ce qu'on pense réellement ou le dire différemment, poliment, de peur d'avoir des ennuis, à qui n'est-ce pas arrivé ? Et le problème ne date pas d'hier ni d'Internet, relisez Les mots volés d'Edwy Plenel pour vous en convaincre. C'est pour lutter contre cette forme d'auto-censure désormais répandue que nous avons toutes et tous intérêt à chiffrer tous nos échanges passant par des réseaux de télécommunication. Que pensez d'une soi-disant démocratie ou personne n'ose critiquer les puissant-e-s de peur d'avoir la visite des gendarmes quelques jours plus tard ? Le droit à la confidentialité, voire à l'anonymat, est un élément indispensable pour pouvoir prendre part au débat public. Ces droits ne sont malheureusement pas respectés, ni dans nos société occidentales dites démocratiques, ni sous d'autres formes de gouvernements. C'est donc à nous, individuellement et collectivement, de nous organiser pour les faire appliquer et respecter. Les outils présentés pendant les crypto parties sont faits pour ça. Ils devraient être utilisés par tout le monde, même celles et ceux qui, bien qu'elles-ils n'aient rien à se reprocher, sont susceptibles d'être surveillé-e-s, y compris rétroactivement. Etre surveillé-e, ce n'est pas seulement être sous écoute, c'est aussi, comme tou-te-s les français, voir nos données de connexion à tous les sites web que nous visitons être stockées pendant un an. Ce sont les fadettes qui retracent un an de nos communications par téléphone portable (voix ou sms) avec en prîme l'endroit où nous nous trouvions, à quelques dizaines de mètres près. Nous ne sommes pas tou-te-s surveillé-e-s activement, mais à la moindre incartade, après toute critique plus ou moins radicale ou sérieuse du système en place, la justice ou l'Etat se réservent le droit de fouiller dans nos vies en remontant une ou plusieurs années en arrière... sauf si nous réagissons, et que nous décidons de reprendre nos destins numériques en main. Ne laissons pas nos vies s'étaler dans les moindres détails sur des bases de données, qu'elles soient commerciales ou gouvernementales!

Journalistes

Pourquoi les journalistes devraient venir à nos cryptoparties, ou en organiser une dans leur rédaction:

Café Philo

Identité & anonymat

@BarrettBrownLOL

Qui suis-je ?

Suis-je Pontifex? Assurément pas. Suis-je ce qui est inscrit sur ma CNI? Suis-je les pixels enregistrés sur les disques durs du flambant neuf "centre de vidéoprotection" marseillais? Voici un échange entre l'accusé "Barrett Brown" et le juge Lindsay du 30/01/2013 "Barrett Brown" risque cent ans de prison pour avoir partagé un lien sur Twitter et pour avoir posté une vidéo de lui-même dans son salon en train de parler fort sur un agent du FBI qui a confisqué son ordinateur...

"Sir, are you Barrett Lancaster Brown?" Judge Lindsay inquired.
"No, Your Honor." Brown replied.
There was a brief, loaded pause.
"You're not?" Lindsay asked. "What is your name?"
"My name is Barrett Lancaster Brown, Your Honor," Brown replied.
Lindsay paused again. "That's what I said," he answered, finally.

Source: http://blogs.dallasobserver.com/unfairpark/2013/01/barrett_brown_found_competent.php

Traduction:

"Monsieur, êtes-vous Barrett Lancaster Brown?" demanda le juge Lindsay.
"Non, votre honneur." répondit Brown.
Il y eut un silence bref et chargé.
"Non?" demanda le juge. "Quel est votre nom?"
"Mon nom est Barret Lancaster Brown, votre honneur," répondit Brown.
La juge Lindsay fit une nouvelle pause puis répondit finalement: "C'est ce que j'ai dit".

Cet échange est qualifié de "bizzare" (weird) par l'article cité. Je pense qu'il résume le procès du soi-disant "porte-parole" d'Anonymous. Il n'y a évidemmment pas de porte-parole d'Anonymous. Il résume la guerre totale d'un monde finissant contre les héraults qui annoncent sa fin. Le juge Lindsay et la clique qu'il représente devraient relire Shakespeare ou Sophocle.

Pour aller plus loin, l'individu ne se résume pas à son identité qu'elle soit publique ou clandestine. L'oppostion à se déterminer par un nom est le refus à se résumer à un nom, à un métier, une adresse mail ou encore un compte Facebook. L'identité, qu'on se donne, pseudo, ou que l'on nous colle, nom de naissance, numéro de sécurité sociale ou adresse I.P. n'est qu'une carte, une représentation, une abstraction de ce que nous sommes avec nos contradictions.

"Don't shoot the messenger." Ne tuez pas le messager

ἦν δ᾽ ὁ μῦθος ὡς ἀνοιστέον
σοὶ τοὔργον εἴη τοῦτο κοὐχὶ κρυπτέον.
καὶ ταῦτ᾽ ἐνίκα, κἀμὲ τὸν δυσδαίμονα
πάλος καθαιρεῖ τοῦτο τἀγαθὸν λαβεῖν. 275
πάρειμι δ᾽ ἄκων οὐχ ἑκοῦσιν, οἶδ᾽ ὅτι·
στέργει γὰρ οὐδεὶς ἄγγελον κακῶν ἐπῶν.
Et cette parole était qu'il fallait t'annoncer la chose et ne rien te cacher.
Cette résolution l'emporta, et le sort m'a condamné, moi, malheureux, à porter cette belle nouvelle !
Je suis ici contre mon gré et contre votre gré à tous. Personne n'aime à être un messager de malheur.
Antigone, Sophocle, traduction Leconte de Lisle.

Anonymat & anthropologie

le 12 avril 2013, L’anonymat. Un objet qui ne dit pas son nom. 2ème et dernière journée du séminaire, salle PAF, à la Maison Méditerranéenne des Sciences de l'Homme d’Aix-en-Provence.

Forme

Après le 4 premières parties, une durée de 2h00 avec une pause semble être le format le plus raisonnable. Les parties ayant duré 4 heures se sont soldées par un fort mal de tête de l'animateur et le constat que tout ce qui avait été fait durant les deux dernières heures n'avait pas été compris clairement et encore moins mémorisé.

  1. Introduction, exposé du problème (internet, ip, rétention des données) anonymat et confidentialité
  2. Exposé succinct du fonctionnement et de l'utilisations des principaux outils (Tor, SSL, PKI, GPG, Pidgin/OTR, SRTP)
  3. Pause
  4. Travail en ateliers pour installer et apprendre à utiliser les outils. Les ateliers pourraient être : la nécessité de passé au libre pour des questions de sécurité, mots de passe efficaces et stockage de ces mots de passe ; la création d'une boîte mail avec chiffrement ; création de clef usb tails et découverte de tails.

Ressources

Contenu

Informations essentielles

Q. Qui peut avoir accès aux données écrites sur le disque dur de mon PC?

R. Si elles ne sont pas chiffrées, n'importe quelle personne ayant un accès physique à l'ordinateur plus de quelques minutes.

Rétention des données de connexion

(hébergeur de contenu et F.A.I.) c.f. loi française

Qui peut avoir accès à mes courriels?

  • N'écrivez dans un mail que ce que vous écririez sur une carte postale.

Phrase de passe : bonnes pratiques

<<At one point, Stoll compares the crypto function—which was then based
on the now-antiquated Data Encryption Standard (DES)—to a one-way meat
grinder that converts each human-readable word into unique ciphertext.
"Did this hacker have a magic decryption formula?" Stoll asks.
"If you turn the crank of a sausage machine backwards, pigs won't come
out the other end."
Only later would Stoll learn that the hacker was feeding each word of
the dictionary—starting with aardvark and ending with zymurgy—into the
same DES hash function the hacked Unix systems used.
The intruder then compared the output to the ciphertext
contained in the intercepted password files.>>

Keyloggers

Deux techniques, relativement simples, permettent a priori de se prémunir contre ce genre de mouchards :

  1. utiliser le clavier virtuel de son ordinateur (certaines banques en ligne en propose aussi), et donc de, non pas taper le mot de passe sur le clavier, mais de le cliquer, avec la souris. Exemple: Onboard sur Gnu/Linux Debian ou Ubuntu.
  2. taper un grand nombre de caractères, de manière aléatoire, en parallèle à la saisie du mot de passe. Ainsi, et au lieu d’entrer, par exemple, m0T2p4$s3, l’utilisateur averti saisira dans le formulaire m0 puis, à côté, dans le vide, une suite de caractère aléatoire, puis T2, etc. De la sorte, ce qui aura été capté par le keylogger ou le cheval de Troie se présentera sous la forme : m0ezrf45T2sdfv84p4zrtg54$s3zerg48, rendant bien plus difficile la fuite du mot de passe.

Skype

a été racheté par Microsoft en mai 2011. En mai 2012 un article de ArsTechnica révèle que Microsoft a remplacé l'architecture décentralisée de Skype par ses propres serveurs. Efim Bushmanov, hacker russe connu pour avoir rendu publique le protocole fermé de Skype en juin 2011, affirme que l'objectif de ce changement est de faciliter la mise sur écoute de ses nombreux utilisateurs (record de 35 millions d'utilisateurs en ligne au même moment en 2012).

Organisation

  • mettre en place un réseau wifi sécurisé WPA2-PSK avec routeur Linksys WRT54GL et firmware libre dd-wrt, distribuer des petits papiers préimprimés avec la phrase de passe (9 caractères: chiffres, majuscules, minuscules, spéciaux, pas de mots du dictionnaire, pas de prénom ni de date de naissance, pas de Leet speak, etc.)
  • écrire un tutoriel GPG/Enigmail/Thunderbird et imprimer quelques exemplaires pour l'atelier GPG qui deviendrait un atelier en auto-formation avec soutien quand la personne ne s'en sort pas et réponse aux questions

Outils de base

Prérequis : GNU/Linux!!!

La première étape dans la protection de ses données et d'avoir un ordinateur sain. Si un OS libre, du genre une distribution GNU/linux ne vous garantira jamais une protection parfaite, soyez assuré qu'un OS propriétaire, Windows ou Apple, vous flique en permanence : vos données valent de l'or, et les commercialiser est leur business !

Pour vous aider à passer à GNU/linux, des personnes peuvent vous aider. Voir le lien

chiffrer ses données en local

  • disque dur
  • clef usb
  • container

avec Truecrypt

chiffrer son /home Ubuntu avec ecryptfs

Lors de l'installation ou après l'installation: [1]

Chiffrement du courriel

  • courriel chiffré par GPG/Enigma/Thunderbird
    • problème des caractères accentués: réglé par UTF8 comme format d'envoi par défaut (Edition, Préférences, Affichage, Format, Polices, Options avancées, encodage des caractères, sortant et entrant: Unicode UT8)

HTTPS/TLS/SSL

droit à l'anonymat: TOR

dialogue en direct chiffré et/ou avec authentification de l'interlocuteur

  • Pidgin/OTR

faire tout ça sur n'importe quel ordi avec TAILS

  • cybercafé
  • ordinateurs en accès libre
  • chez des potes

TAILS: apprendre à graver ou à installer sur clef usb l'image iso soi-même après vérifier l'intégrité du fichier

Vidéoconférence

Alternative à Skype:

  • Jitsi supporte le protocole de chiffrement et d'authentification ZRTP/SRTP

outils mobiles ANDROID/CYANOGEN MOD

  • [2] Orbot, Orweb, Gibberbot
  • apps de chiffrement des SMS (projets récents avec peu d'évaluation par les pairs mais "mieux que rien")

Autres outils (complexes ou prometteurs mais peu évalués)

  • RetroShare: logiciel de pair à pair privé, en anglais private peer-to-peer, créant un réseau acentré. Il est doté d'une interface en Qt4, disponible sur Windows, Macintosh et Linux. La gestion et l'authentification des amis s'effectue par l'intermédiaire du système de clefs GPG.

Liens utiles pendant la crypto party

  1. http://cs110.wellesley.edu/lectures/L18-encryption/handout.html Cryptologie à travers les âges.
  2. http://arstechnica.com/security/2012/08/passwords-under-assault/ Pourquoi les "mots de passe" n'ont jamais été aussi faibles.
  3. https://www.grc.com/passwords.htm Générateur de phrases de passe.
  4. https://www.grc.com/haystack.htm Tester sa phrase de passe.
  5. https://keepass.info Keepass: stocker toutes ses phrases de passe. Il existe une version portative sur clef usb.
  6. http://www.truecrypt.org/ Chiffrer des fichiers sur son disque dur (ou sa clef usb). Ou chiffrer son disque dur en entier.
  7. https://www.torproject.org/download/download.html.en Tor, the onion router: anonymat sur internet.
  8. https://tails.boum.org/index.fr.html TAILS: Tor et d'autres outils partout avec soi et bien plus, sans laisser de traces sur le disque dur.
  9. http://www.gnupg.org/ Gnu Privacy Guard, logiciel pour chiffrer, signer et déchiffrer, vérifier ses mails.
  10. Gpg4win Version windows de GPG (Attention, Windows ne permet aucune confidentialité en ligne ou hors ligne, ni aucune sécurité pour vos données personnelles, ce lien ne vise qu'à permettre à des personnes arrivant à la cryptoparty avec un ordinateur tournant uniquement sous windows de suivre les débats et de tester GPG, pour créer votre vraie paire de clefs GPG et communiquer de manière confidentielle, merci d'installer un système d'exploitation libre comme GNU/Linux.)
  11. https://www.mozilla.org/fr/thunderbird/ Logiciel libre pour rendre votre messagerie plus facile. Permet de chiffrer ses mails avec OpenPGP.
  12. https://addons.mozilla.org/fr/thunderbird/addon/enigmail/ Extension Thunderbird pour le chiffrement et la vérification OpenPGP des messages.
  13. https://trac.torproject.org/projects/tor/wiki/torbirdy Extension Thunderbird permettant de se connecter anonymement au serveur mail via le réseau Tor

Animatrices, animateurs

Je cherche activement d'autres animateurs bénévoles branchés GNU/Linux et logiciel libre sachant utiliser quelques applications (une suffit en fait) parmi la liste suivante: Tor, GPG, Enigmail, ThunderBird, Orbot, Orweb, Gibberbot, TAILS aka The Amnesic Incognito Live System, TrueCrypt, KeePass. IMHO il n'est pas nécessaire d'être un expert en cryptographie pour répandre l'usage de ces outils: c.f. @Asher_Wolf Evidemment être capable de répondre aux quelques questions plus pointues qui risquent d'être posées sur internet, l'onion routing ou la cryptographie serait un plus appréciable.

Après la Crypto Party...

Retour des participant-e-s

Merci de nous dire ce qui était bien et ce qui l'était moins pour nous aider à améliorer les prochains ateliers. Vous pouvez ouvrir un compte sur le wiki en cliquant sur Login/Create account. Si vous confirmez votre mail, je pourrai vous répondre. Vous pouvez contribuez anonymement bien-sûr, avec un mail jetable type http://www.yopmail.com/. Merci d'indiquer à quelle crypto-party vous faites référence en écrivant la date au début de votre commentaire. Par exemple:

  • CryptoParty du 10/12/2012 : C'était génial!

Merci pour vos retours.

  • Crypto Party n°2 vendredi 11 janvier 2013 Equitable Café : c'était très bien commenté, avec une clarté digne d'un professionnel! L'illustration avec la petite vidéo et le train était utile.

Un sujet qu'il faudrait appuyer c'est qu'il ne faut pas perdre sa clé privée auquel cas il nous sera impossible de relire nos mails archivés !

Un petit hic, je ne peux pas attentdre la page pour me loguer avec TOR  ;).

Continuer c'est très important dans notre société avant qu'elle ne dérive de trop!

Compte rendus des crypto parties

Crypto Party n°1 lundi 10 décembre 2012 Equitable Café

Crypto Party n°2 vendredi 11 janvier 2013 Equitable Café

Crypto Party n°3 samedi 9 févier 2013 Mille Babords

Contact

Mail

Le plus simple serait de créer un compte sur ce wiki et d'utiliser notre page utilisateur pour nous envoyer un mail. Il vous faudra avoir confirmé votre adresse mail et cliquer sur "Lui envoyer un mail" dans la boîte à outils, à gauche et en bas de la page.

c r y p t o m a r s   a r o b a s e   t o r m a i l   p o i n t   o r g

Il est important de se baser sur l'identifiant long. En effet, l'identifiant court n'est pas sûr car il est possible de créér une paire de clefs ayant le même identifiant court qu'une paire de clefs existante. C'est expliqué ici en détail: http://www.asheesh.org/note/debian/short-key-ids-are-bad-news.html Ca ne remet pas en cause votre paire de clefs, mais ça pourrait faciliter l'usurpation d'identité, surtout auprès d'utilisateurs néophytes.

Twitter

Vous pouvez également nous contacter via Twitter @cryptomars

Personal tools
Namespaces

Variants
Actions
Navigation
Toolbox
Navigation
Toolbox