1. https://bibliotheques.univ-rennes1.fr/
@BURennes1
/UnivRennes1
Atelier Animafac – 5 février 2017
Sécuriser ses données en
dix étapes
Damien Belvèze

2. titre de la présentation
2
La notion de modèle de menaces
Vert : échange avec le voisin
Rouge : je garde pour moi
1. Qu'est-ce que j'ai de plus précieux comme
données ?
2. En quoi, je pense être le plus vulnérable ?
3. D'où peuvent venir les attaques ?

3. #1 Activer la double authentification
Le mot de passe ne
suffit plus
Un deuxième facteur
est nécessaire [1]
https://myaccount.google.com/security#signin

4. #2 Bien verrouiller le téléphone
PIN : 4 à 8 chiffres
Si votre combinaison est l'une des suivantes,
changez en tout de suite
1111 2222 3333 4444 5555 2001
6666 7777 8888 9999 0000 6969
1234 4321 1122 1313 2000 1010

5. #3 Chiffrer le disque dur ou la mémoire
de l'ordiphone
Pb avec Android : même PIN pour déverrouillage et
déchiffrage – [2]
Pin : 8 à 12 chiffres aléatoires

6. #4 Utiliser un gestionnaire de mot de
passe
Clipperz, dashlane, Keepass
Un mot de passe par service
Mots de passe forts, générés aléatoirement

7. Quel est le mot de passe le plus fort ?
1. azerty
2. dadada
3. xjyt5g4axjyt5g4axjyt5g4axjyt5g4axjyt5g4axjyt5g4a
4.Juge un homme par ses questions plutôt que par
ses réponses
[3]

8. A éviter :
- suites ou les caractères répétés (azerty -000000)
- inversions de casse : bONJOUR
- certaines mutations : p@$$w0rd
- les citations
[3]

9. Mot de passe Nombre d'usagers
123456 120511
12345 48452
password 39448
DEFAULT 34275
123456789 26620
qwerty 20778
12345678 14172
abc123 10869
pussy 10683
1234567 9468
[4]

10. #5 Echanger des textos chiffrés avec
Signal
Signal, d'Open Whispers, disponible gratuitement
pour Android et iPhone
Nécessité de laisser ouvertes les données de
connexion
Principe : conversation chiffrée entre deux usagers
de l'application

11. Utiliser Signal à des fins militantes
Quand il y a interception des communications
Quand il y a un brouillage des communications vers
certains sites (Facebook notamment)
Chiffrement de bout en bout : Open Whispers ne peut
pas donner la clé de nos échanges à la NSA
[5]

12. Les points de vigilance
Signal ne chiffre par les métadonnées (à qui, quand, depuis où
on téléphone)
Le code de Signal n'est pas auditable, car pas libre. On n'est
pas sûr qu'il n'y ait pas de backdoor [6]
Système centralisé, cible d'attaques régulières
Signal peut-être bloqué même si cela devient de plus en plus
dur (domain fronting) [7]

13. #6 Chiffrer vos mails avec OpenPGP
Cryptographie asymétrique :
1. J'utilise la clé publique du destinaire pour lui
envoyer un message chiffré
2. J'authentifie ce message en le signant avec ma clé
privée
3. Mon destinataire se sert de sa clé privée pour
déchiffrer le message et de ma clé publique pour
l'authentifier

14. #7 Blinder le navigateur contre les
cookies

15. #8 Utiliser Tor

16. #9 Obtenez un certificat pour votre site

17. #10 Mettez les composants de votre site
à jour
Panama papers : la brêche était dans
le carroussel ! [8]

18. En espérant que cela vous a donné
envie de venir à notre prochaine
crypto :

19. Biblio
[1]J. Cadot, “Comment fonctionne la protection d’un compte avec une clé USB de sécurité (U2F) - Tech,” Numerama, 26-Jan-2017. [Online]. Available:
http://www.numerama.com/tech/227649-comment-fonctionne-la-protection-dun-compte-avec-une-cle-usb-de-securite-u2f.html. [Accessed: 04-Feb-2017].
[2]M. L. L. 12 2016 and 4:00 P.m, “Surveillance Self-Defense Against the Trump Administration,” The Intercept. [Online]. Available:
https://theintercept.com/2016/11/12/surveillance-self-defense-against-the-trump-administration/. [Accessed: 04-Feb-2017].
[3]P.-A. Haidar-Bachminska, “Sécurité des mots de passe : stockage, génération et politiques des mots de passe,” Telecom Sud Paris, 10-Jan-2017.
[4]J. Lausson, “Ashley Madison : la liste déplorable des mots de passe les plus employés - Politique,” Numerama, 14-Sep-2015. [Online]. Available:
http://www.numerama.com/magazine/34194-mots-passe-ashley-madison.html. [Accessed: 04-Feb-2017].
[5]R. M. M. 26 2016 and 2:49 P.m, “With Facebook No Longer a Secret Weapon, Egypt’s Protesters Turn to Signal,” The Intercept, 16-Apr-2016. [Online]. Available:
https://theintercept.com/2016/04/26/facebook-no-longer-secret-weapon-egypts-protesters-turn-signal/. [Accessed: 04-Feb-2017].
[6]| par F., “Le chiffrement ne suffira pas,” Framablog.
[7]S. Gavois, “Signal déploie une mise à jour pour contourner la censure, sur Android et iOS,” Nextimpact, 23-Dec-2016.
[8]M. Maunder, “Mossack Fonseca Breach - WordPress Revolution Slider Plugin Possible Cause,” Wordfence, 07-Apr-2016. .
.