Depuis plus de un an nous réalisons des "Cryptos Party" avec TechnocITé destinées à tous les citoyens qui veulent un ZESTE protéger leur vie privée sur le Web et dans la vie. Dans ces slides quelques trucs et astuces de base. ! C'est déjà mieux que rien ! Le contenu est un mixte de sources Australiennes (Les Cryptos) et personnelles ! Si vous avez des idées ! d'autres techniques, partagez les ! D'autres cryptos seront prévues en 2019 ! Vous voulez en organiser une ! Contactez moi. Partagez ces slides !
Cryto Party Mons avec Technocite et David Blampain - The Last 2018
1. Amène ton jus
de pomme bio,
ton téléphone,
ta tablette, ton
Pc, ta maman
et ton VPN
Apprend
à
réfléchir
sur ta vie
Privée
By David Blampain
Conseiller en Sécurité de « cht’Informe : Attention »
Monde
Europe
Belgique
Wallonie
Mons
TechnocITé
Mundaneum
Citoyens
Vous et nous
16/05/2018
18h15
Vie ma vie de RSSI
alias Tonton Dave
Le temps de me garer !
2. WHO IS WHO ?
Pourquoi vous êtes là ?
Pourquoi je suis là ?
Pourquoi on est là ?
Pourquoi on est ici ?
Crypto Party Mons avec Tonton Dave
3. CRYPTO PARTY
•HISTOIRE : PARTY LIKE 1984 / PARTY DEPUIS 2013
•VIVA AUSTRALIA : AUSTRALIAN CYBERCRIME LEGISLATION
AMENDMENT BILL 2011.
•UN PEU DE LECTURE : HTTPS://SIRC.AT/CRYPTOPARTY/
•ON JOUE ENSEMBLE ! PAS DE COMMERCE C’EST GRATUIT !
•ON REGARDE DES VIDÉOS ET ON DISCUTE
•CES SLIDES SONT CRÉÉS DANS LA PHILO CRYPTO PARTY
Crypto Party Mons avec Tonton Dave
4. PHILOSOPHIE D’UNE CRYPTO PARTY•INTERNET / USB / LINUX / GRATUIT / BASE DU CHIFFREMENT
•EXPERT ET NON EXPERT / CHAOTIQUE / TOUS ENSEMBLE ON CHERCHE/ WIKI / FEEDBACK
•SOYONS NON OFFICIEL / UN PSEUDO MAÎTRE DES CÉRÉMONIES QUI DONNE SA PLACE !
•PAS DE LIGNE DE COMMANDE / PARTAGE / COPY ! COPY ! ON PEUT COPIER DES AUTRES SOIRÉES !
•MUSIQUE, BIÈRES, ROCK AND ROLL ET TRANCE, MOI J’AIME BIEN LE CHAMPOMY
•JOURNALISTES / QUI FAIT DES AUTOCOLLANTS ? / TWEET
•ON ACCEPTE LES AGENCES DE … ET LES AGENTS DE …
•ON INSTALLE TOUS DES CHOSES ENSEMBLE ! ENSEMBLE ! ENSEMBLE
Crypto Party Mons avec Tonton Dave
6. DROIT FONDAMENTAL
• L'ARTICLE NO. 8 DE LA CONVENTION EUROPÉENNE DES DROITS DE L'HOMME1 (CEDH) PROCLAME LE
DROIT DE TOUTE PERSONNE AU RESPECT « DE SA VIE PRIVÉE ET FAMILIALE, DE SON DOMICILE ET DE
SA CORRESPONDANCE » MAIS ORGANISE UN RÉGIME DE RESTRICTIONS SI CELLES-CI SONT «
PRÉVUES PAR LA LOI » ET « NÉCESSAIRES, DANS UNE SOCIÉTÉ DÉMOCRATIQUE ».
• TOUTE PERSONNE A DROIT AU RESPECT DE SA VIE PRIVÉE ET FAMILIALE, DE SON DOMICILE ET DE SA
CORRESPONDANCE.
• IL NE PEUT Y AVOIR INGÉRENCE D'UNE AUTORITÉ PUBLIQUE DANS L'EXERCICE DE CE DROIT QUE
POUR AUTANT QUE CETTE INGÉRENCE EST PRÉVUE PAR LA LOI ET QU'ELLE CONSTITUE UNE MESURE
QUI, DANS UNE SOCIÉTÉ DÉMOCRATIQUE, EST NÉCESSAIRE À LA SÉCURITÉ NATIONALE, À LA SÛRETÉ
PUBLIQUE, AU BIEN-ÊTRE ÉCONOMIQUE DU PAYS, À LA DÉFENSE DE L'ORDRE ET À LA PRÉVENTION
DES INFRACTIONS PÉNALES, À LA PROTECTION DE LA SANTÉ OU DE LA MORALE, OU À LA
PROTECTION DES DROITS ET LIBERTÉS D'AUTRUI. »
Crypto Party Mons avec Tonton Dave
7. LOGIQUEMENT UNE CRYPTO PARTY
•LES LOGICIELS : LE LOGICIEL LIBRE ET LES OUTILS PRÉSENTÉS SONT DONC TOUS COMPATIBLES LINUX,
WINDOWS ET MAC ET/OU Y POSSÈDENT DES ALTERNATIVES.
•ON PARLE AUSSI DES PROBLÈMES RENCONTRÉS SUR NOS MOBILES.
•DÈS QUE POSSIBLE, C'EST LE LOGICIEL LIBRE QUI EST PRIVILÉGIÉ…
•CHACUN VIENT AVEC SON ORDINATEUR ET QUELQUE SOIT LE SYSTÈME D'EXPLOITATION (GNULINUX,
MACOSX, WINDOWS, ANDROID). LES LOGICIELS LES PLUS ADAPTÉS SONT PROPOSÉS, INSTALLÉS.
•MAIS APPLE, WINDOWS ET ANDROID (ET GOOOOGLE) POSENT LE SOUCIS DE NE PAS ÊTRE DES SYSTÈMES
LIBRES OU VRAIMENT LIBRES, DONC ON NE PEUT PAS LEURS FAIRE CONFIANCE…
Crypto Party Mons avec Tonton Dave
9. LOGIQUEMENT UNE CRYPTO PARTY
•LE LOGICIEL LIBRE (SUITE)
•WINDOWS ET APPLE SONT PLUS QUE FORTEMENT DÉCONSEILLÉS DANS LE CONTEXTE DE LA CONFIANCE ET
DE LA CRYPTO : FAIRE DE LA CRYPTO LÀ-DESSUS, C'EST UN PEU COMME AVOIR UNE PORTE BLINDÉE À SA
MAISON, MAIS AVEC DES MURS EN CARTON-PÂTE.
•NOUS RÉFLÉCHISSONS À METTRE EN PLACE DES SESSIONS DE TYPE INSTALL PARTY ! PROMIS
•C’EST LA PREMIÈRE ET IL Y EN AURA D’AUTRES ! VOUS POUVEZ MÊME EN FAIRE VOUS-MÊME ! DINGUE HEIN
10. LOGIQUEMENT UNE CRYPTO PARTY
• LES ATELIERS PROPOSÉS : TOUT CE QUI A UN LIEN AVEC LA VIE PRIVÉE...
• COMMENT CHIFFRER SES EMAILS AVEC GPG OU COMMENT AVOIR DES BOITES MAILS CHIFFRÉES
• SAVOIR SURFER ANONYMEMENT ET UTILISER TOR (TAILS, TORBROWSER BUNDLE) ;
• PROTÉGER SON NAVIGATEUR ET COMPRENDRE LES CERTICATS DE SÉCURITÉ (SSL) ;
• COMPRENDRE ET UTILISER UN VPN ;
• PROTÉGER SES COMMUNICATIONS ET SON SURF ;
• LAPTOP ET SMARTPHONE EN NOMADE (WIFI ET OUTILS) ;
• PROTÉGER SES INFORMATIONS AVEC TRUECRYPT OU AUTRE ;
• MOTS DE PASSE ET IDENTIFICATION MULTI-FACTEURS ;
• IDENTIFIER ET SAVOIR GÉRER OU EFFACER LES MÉTADONNÉES...Crypto Party Mons avec Tonton Dave
11. CRYPTO PARTY BERLIN LET’GO
Vidéo résumée pour une Crypto Party de Berlin
https://www.youtube.com/watch?v=djbwzEIv7gECrypto Party Mons avec Tonton Dave
12. LES BASE DE LA SÉCURITÉ
Crypto Party Mons avec Tonton Dave
13. RAPPEL : C’EST QUOI MES DONNÉES ?
www.david-blampain.com
Données
(Actif info)
Processus
Actif
Primaire
Actif
Secondaire
Texte
Mémo
Numérique
Date/heure
Monétaire
…
Biométrie
Génétique
…
DONNEES
Prénom
Nom
Date et lieu de naissance
Numéro de ID
Plaque immatriculation
Photo / Vidéo
Info pro
IBAN
Vie perso (Du cookie à… l’IP)
1. Données d’identité (DACP)
2. Données « sensibles » : (DACPS) Races, religions, vie, philo, politique,
syndical, sexuel, médical, génétique, infractions, mineurs,…
Carnet d’adresses, Fichiers, données des amis…
Applications ; Programmes ; Outils ; Web 2.0 ; Archivages ; …
Matériel
Logiciel
Réseau
Personne
Site
Organisation
14. QUELQUES FACTEURS D’INFLUENCES
Devices
OS Mobile Pc / Mac
Navigateurs Versions
Connexion
s
OnLine/OffLine
Logiciels
Bureautique Libre
Pô Libre
www.david-blampain.com (Modèle personnel) excusez du peu !
15. LES 3*3 PRINCIPES IN / OUT
Actifs
Vulnérabilités
Menaces Disponibilité
Intégrité
Confidentialité Physique
Organisationnel
Virtuel
Cloud
Robotique
…
Mobile
Internet des objets
New Techno
Modèle CIA
www.david-blampain.com (Modèle personnel) IMPACT
17. LES 3 MENACES DE BASE
•MAUVAISE ORGANISATION
•MAUVAISE PROTECTION PHYSIQUE
•MAUVAISE PROTECTION INFORMATIQUE
Crypto Party Mons avec Tonton Dave
18. BREAK ON BOIT UNE BIÈRE ?
Crypto Party Mons avec Tonton Dave
19. FACTEUR HUMAIN : GESTION DE SOI
• NOUS POUVONS ETRE CRÉDULES, IGNORANTS ET COMMETTRE DES FAUTES.
UNE MENACE EXTERNE : UN HACKER OU UN INTRUS
UNE MENACE INTERNE : UN COLLÈGUE, UN AMI, UN EX OU VOUS-MÊME
• L’ÊTRE HUMAIN EST CRÉDULE, IGNORANT ET COMMET DES FAUTES.
• NOUS PENSONS SPONTANÉMENT À UNE MENACE EXTERNE COMME CELLE D’UN HACKER OU D’UN INTRUS QUI VEUT ABUSER DE NOTRE
IGNORANCE ET DE NOTRE CRÉDULITÉ.
• MALHEUREUSEMENT, UNE MENACE INTERNE N’EST PAS À EXCLURE. UN COLLÈGUE, UN AMI, VOTRE EX PETIT AMI OU AMIE PEUT FAIRE UN
MAUVAIS USAGE DE VOTRE CONFIANCE OU ABUSER DE SA POSITION DE POUVOIR. PARFOIS, CONSCIEMMENT OU INCONSCIEMMENT,
PAR NONCHALANCE ET PAR IMPRUDENCE, VOUS RISQUEZ DE DIFFUSER DE L’INFORMATION.
Crypto Party Mons avec Tonton Dave
20. FACTEUR HUMAIN : VOUS PROTÉGER
• VÉRIFIEZ L’IDENTITÉ DE VOS CONTACTS OU DEMANDEZ À LES RAPPELER UN PEU PLUS TARD.
• PROPOSER À UN INCONNU DE LE RAPPELER UN PEU PLUS TARD. DES PERSONNES ANIMÉS DE MAUVAISES INTENTIONS NE COMMUNIQUENT PAS
VOLONTIERS LEURS COORDONNÉES.
• SOYEZ ÉGALEMENT PRUDENT AVEC LA DIFFUSION D’INFORMATIONS QUI VOUS CONCERNENT OU QUI CONCERNENT VOS AMIS OU VOS COLLÈGUES
• NE SUIVEZ PAS AVEUGLÉMENT DES INSTRUCTIONS TÉLÉPHONIQUES.
• NE COMMUNIQUEZ JAMAIS VOTRE MOT DE PASSE, MÊME PAS À DES GESTIONNAIRES DE SYSTÈMES.
• NE PARTICIPEZ PAS À DES ENQUÊTES TÉLÉPHONIQUES.
• EN CAS DE TENTATIVE, INFORMEZ LE VOTRE FOURNISSEUR OU VOTRE GESTIONNAIRE.
Crypto Party Mons avec Tonton Dave
21. LES BASES•MOTS DE PASSES
•LIRE VOS MAILS DANS DES ENDROITS PUBLICS
•ENCRYPTION DE VOTRE DISQUE
•SECURISER VOS COMMUNICATIONS (TLS/SSL)
•SÉPARATION DES COMPTES PRIVÉS/PROFESSIONNELS/TEST/DÉBILE/JETABLE
•MAIL HOSTÉ WHAT THE F!CK ?
•LES PEURS !
TEST une
application
ensemble /
site web
Crypto Party Mons avec Tonton Dave
22. LES PEURS
•QUI PEUT LIRE LES E-MAILS QUE J'AI DÉJÀ ENVOYÉS OU REÇUS ?
•QUI PEUT LIRE LES COURRIELS QUE J'ENVOIE QUAND ILS VOYAGENT SUR INTERNET ?
•EST-CE QUE LES GENS A QUI J'ENVOIE DES EMAILS PEUVENT LES PARTAGER AVEC QUELQU’UN ?
1. Toi
2. Ton fournisseur de service de messagerie
3. Les opérateurs et les propriétaires de toutes les connexions de
réseau intermédiaires (souvent des conglomérats multinationaux
ambigus ou même des états souverains)
4. Le fournisseur de services de messagerie du destinataire
5. Le destinataire prévu
Qui peut lire mes mails ?
Crypto Party Mons avec Tonton Dave
23. LES PDF !
•MÉFIEZ-VOUS DE L'OUVERTURE DE FICHIERS PDF EN UTILISANT ADOBE READER OU D'AUTRES LECTEURS
PDF PROPRIÉTAIRES. LES LECTEURS DE PDF À SOURCE FERMÉE ONT ÉTÉ CONNUS POUR ÊTRE UTILISÉS
POUR EXÉCUTER DU CODE MALVEILLANT INTÉGRÉ DANS LE CORPS DU PDF. SI VOUS RECEVEZ UN .PDF EN
PIÈCE JOINTE, VOUS DEVEZ D'ABORD EXAMINER SI VOUS CONNAISSEZ L'EXPÉDITEUR SUPPOSÉ ET SI VOUS
ATTENDEZ UN DOCUMENT D'EUX. DEUXIÈMEMENT, VOUS POUVEZ UTILISER DES LECTEURS PDF QUI ONT
ÉTÉ TESTÉS POUR DES VULNÉRABILITÉS CONNUES ET N'EXÉCUTERONT PAS DE CODE VIA UN SCRIPT JAVA.
Crypto Party Mons avec Tonton Dave
24. LES MAILS CHIFFRÉS
•MÉFIEZ-VOUS DE L'OUVERTURE DE FICHIERS PDF EN UTILISANT ADOBE READER OU D'AUTRES LECTEURS
PDF PROPRIÉTAIRES. LES LECTEURS DE PDF À SOURCE FERMÉE ONT ÉTÉ CONNUS POUR ÊTRE UTILISÉS
POUR EXÉCUTER DU CODE MALVEILLANT INTÉGRÉ DANS LE CORPS DU PDF. SI VOUS RECEVEZ UN .PDF EN
PIÈCE JOINTE, VOUS DEVEZ D'ABORD EXAMINER SI VOUS CONNAISSEZ L'EXPÉDITEUR SUPPOSÉ ET SI VOUS
ATTENDEZ UN DOCUMENT D'EUX. DEUXIÈMEMENT, VOUS POUVEZ UTILISER DES LECTEURS PDF QUI ONT
ÉTÉ TESTÉS POUR DES VULNÉRABILITÉS CONNUES ET N'EXÉCUTERONT PAS DE CODE VIA UN SCRIPT JAVA.
Mails classique / GPG ! Ok mais ne perdez pas les clés… / ProtonMail → Go on crée son compte
Crypto Party Mons avec Tonton Dave
26. COMPRENDRE LES NAVIGATEURS
• LORSQUE VOUS VISITEZ UN SITE WEB, VOUS DONNEZ DES INFORMATIONS SUR VOUS-MÊME AU PROPRIÉTAIRE DU SITE,
SAUF SI DES PRÉCAUTIONS SONT PRISES.
• VOTRE NAVIGATION SUR INTERNET PEUT ÊTRE SUIVIE PAR LES SITES QUE VOUS VISITEZ ET LES PARTENAIRES DE CES
SITES. UTILISEZ UN LOGICIEL ANTI-TRACKING.
• VISITER UN SITE WEB SUR INTERNET N'EST JAMAIS UNE CONNEXION DIRECTE. DE NOMBREUX ORDINATEURS,
APPARTENANT À DE NOMBREUSES PERSONNES DIFFÉRENTES SONT IMPLIQUÉS. UTILISEZ UNE CONNEXION SÉCURISÉE
POUR VOUS ASSURER QUE VOTRE NAVIGATION NE PEUT PAS ÊTRE ENREGISTRÉE.
• CE QUE VOUS RECHERCHEZ EST D'UN GRAND INTÉRÊT POUR LES FOURNISSEURS DE RECHERCHE. UTILISEZ UN LOGICIEL
DE RECHERCHE ANONYME POUR PROTÉGER VOTRE VIE PRIVÉE.
• IL EST PLUS SAGE DE FAIRE CONFIANCE AUX NAVIGATEURS OPEN SOURCE COMME MOZILLA FIREFOX, CAR ILS PEUVENT
ÊTRE PLUS FACILEMENT AUDITÉS EN TERMES DE SÉCURITÉ.
Crypto Party Mons avec Tonton Dave
27. GOGOGO ON THE NET
•HTTP://DUCKDUCKGO.COM
•OU UTILISE FIREFOX ET ON VA DANS VIE PRIVÉE
•ON UTILISE UN VPN
•ON AURAIT TORT DE PAS UTILISER TOR
Crypto Party Mons avec Tonton Dave
28. LES VPN : C’EST QUOI ?
•VIRTUAL PRIVATE NETWORK : RÉSEAU VIRTUEL PRIVÉ
Crypto Party Mons avec Tonton Dave
29. LES VPN : + ET -
•SÉCURISE LA CONNEXION
•CHIFFREMENT AES256 (WHAT’S THE F!C# ?)
•DONNÉES NON LISIBLES PAR DES TIERS
•CONNEXION ANONYME
•VOTRE IP EST MODIFIÉE
•VOUS AVEZ ACCÈS AU MONDE ENTIER
http://comparatif-vpn.fr/avantages-inconvenientsCrypto Party Mons avec Tonton Dave
31. LA VIE SOCIALE OÙ SONT LES DANGERS ?• EN PUBLIANT FRÉQUEMMENT DES DÉTAILS PERSONNELS VOUS CONSTRUISEZ DES INFOS GÉNIALES POUR LE MKT
• LA NOTIONS DE RISQUE SOCIAL… (INTIME ; TRAVAIL ; VACANCES ; ENFANTS ; … FISC ; … POLICE … EX .. EMPLOYEUR
• VOS CONNEXIONS SOCIALES DOIVENT ÊTRE BIEN RÉFLÉCHIES (PRÉDATEUR)
• LES INTÉRÊTS ÉCONOMIQUES ET LES PARTENAIRES DE L'ORGANISATION FOURNISSANT LE SERVICE.
• ETUDES COMMANDÉES PAR DES CLIENTS, EXPLORATION DE DONNÉES, ANALYSE DE SENTIMENTS.
• EXIGENCES POLITIQUES / JURIDIQUES EXERCÉES PAR L'ÉTAT CONTRE L'ORGANISATION DANS LA OU LES JURIDICTIONS DANS
LESQUELLES ELLE RÉSIDE.
• ORDONNANCES JUDICIAIRES POUR LES DONNÉES SUR UN UTILISATEUR PARTICULIER (QU'IL SOIT CIVIL OU ÉTRANGER).
• ANALYSE DE SENTIMENTS PERMETTANT DE LA PROJECTION POLITIQUE
Crypto Party Mons avec Tonton Dave
32. QUI PEUT PIQUER MON IDENTITÉ ?•SUR LE RÉSEAU WIFI PUBLIC, D’UN AMI, DU BUREAU…
•DANS LE CACHE DU BROWSER ET LES COOKIES → USE PRIVATE
•UNE CONNEXION NON SÉCURISÉE = UNE PORTE TOUT LE TEMPS OUVERTE / SSL IS DEAD TLS 1.3
•SUR UN RÉSEAU QUE JE NE GÈRE PAS : LES ADMINS ONT UNE VUE SUR TOUT
•DANS LES McDo… C’EST GIGA POURRI ! ET ÉVITEZ LE WIFI
•VOTRE VOISIN… CE GENTIL HACKER ET SES GENTILS LIVRES SUR INTERNET !
•CES SITES WEB NON SÉCURISÉS …
Crypto Party Mons avec Tonton Dave
6
33. QUESQUI SE PASSE QD JE BROWSE ?
•HTTPS://WWW.YOUTUBE.COM/WATCH?V=DYGNVN98NAG
•SÉCURISER VOTRE NAVIGATEUR AVEC NICKY ! ☺
Crypto Party Mons avec Tonton Dave
34. ETRE ANONYME, VOUS AURIEZ TOR(T) ☺
•PROXY : AN ANONYMIZER ET UN ANONYMOUS PROXY : FABIAN ! RIDEAU
•TOR AVEC NICKY WIN : HTTPS://WWW.YOUTUBE.COM/WATCH?V=FJN4M_V7RF8
→HTTPS://WWW.TORPROJECT.ORG/ OK MAIS AVEC VPN ! LENTEUR POSSIBLE
→FIRXE FOX ADD ON GHOSTERY
Crypto Party Mons avec Tonton Dave
35. FABIAN LES PROXY RIDEAU !
•PARLE NOUS DES PROXYYYYY EN VRAI
•ET DU DIEU TOR SANS H AUX PETITS OIGNONS !
Crypto Party Mons avec Tonton Dave
36. L’HYGIÈNE INFORMATIQUE
• SON BUREAU PROPRE !
• SCAN DISQUE
• DÉFRAGMENTEUR
• ATTENTION AUX LOGICIELS GRATUITS = C’EST TOI LE PRODUIT
• TRIER SES FICHIERS ET LAISSER SUR SON ORDINATEUR CEUX « QU’ON A BESOIN »
UNIQUEMENT, C’EST UN PEU COMME VOUS BALADER AVEC TOUT VOTRE COMPTE EN BANQUE
• DISPOSER D’UN DISQUE OU DES DISQUES EXTERNES CHIFFRÉS
• DISPOSER D’UN USB CHIFFRÉ OU CLÉ À CODE PIN
Crypto Party Mons avec Tonton Dave
37. PRINCIPES DU DATA LOVE• LES DONNÉES SONT ESSENTIELLES
• LES DONNÉES DOIVENT CIRCULER
• LES DONNÉES DOIVENT ÊTRE UTILISÉES
• LES DONNÉES NE SONT NI BONNES, NI MAUVAISES
• IL N'Y A PAS DE DONNÉES ILLÉGALES
• LES DONNÉES SONT LIBRES
• LES DONNÉES NE PEUVENT ÊTRE POSSÉDÉES
• AUCUN HOMME, MACHINE OU SYSTÈME NE DOIT INTERROMPRE LE FLUX DE DONNÉES
• VERROUILLER LES DONNÉES EST UN CRIME CONTRE LA DATANITÉ
http://datalove.fr/Crypto Party Mons avec Tonton Dave