20170203 securiser donnees_10_etapes
TRANSCRIPT
Modle de prsentation - UR1
Atelier Animafac 5 fvrier 2017
Scuriser ses donnes en dix tapes
Damien Belvze
titre de la prsentation
La notion de modle de menaces
Vert: change avec le voisin
Rouge: je garde pour moi
1. Qu'est-ce que j'ai de plus prcieux comme donnes?
2. En quoi, je pense tre le plus vulnrable?
3. D'o peuvent venir les attaques?
#1 Activer la double authentification
Le mot de passe ne suffit plus
Un deuxime facteur est ncessaire
[1]
https://myaccount.google.com/security#signin
#2 Bien verrouiller le tlphone
PIN: 4 8 chiffresSi votre combinaison est l'une des suivantes, changez en tout de suite
111122223333444455552001
666677778888999900006969
123443211122131320001010
#3 Chiffrer le disque dur ou la mmoire de l'ordiphone
Pb avec Android: mme PIN pour dverrouillage et dchiffrage [2]
Pin: 8 12 chiffres alatoires
#4 Utiliser un gestionnaire de mot de passe
Clipperz, dashlane, Keepass
Un mot de passe par service
Mots de passe forts, gnrs alatoirement
Quel est le mot de passe le plus fort?
1. azerty
2. dadada
3. xjyt5g4axjyt5g4axjyt5g4axjyt5g4axjyt5g4axjyt5g4a
4.Juge un homme par ses questions plutt que parses rponses
[3]
A viter:
- suites ou les caractres rpts (azerty -000000)
- inversions de casse: bONJOUR
- certaines mutations: p@$$w0rd
- les citations
[3]
Mot de passe Nombre d'usagers
123456120511
1234548452
password39448
DEFAULT 34275
12345678926620
qwerty20778
1234567814172
abc12310869
pussy10683
12345679468
[4]
#5 Echanger des textos chiffrs avec Signal
Signal, d'Open Whispers, disponible gratuitement pour Android et iPhone
Ncessit de laisser ouvertes les donnes de connexion
Principe: conversation chiffre entre deux usagers de l'application
Utiliser Signal des fins militantes
Quand il y a interception des communications
Quand il y a un brouillage des communications vers certains sites (Facebook notamment)
Chiffrement de bout en bout: Open Whispers ne peut pas donner la cl de nos changes la NSA
[5]
Les points de vigilance
Signal ne chiffre par les mtadonnes ( qui, quand, depuis o on tlphone)
Le code de Signal n'est pas auditable, car pas libre. On n'est pas sr qu'il n'y ait pas de backdoor [6]
Systme centralis, cible d'attaques rgulires
Signal peut-tre bloqu mme si cela devient de plus en plus dur (domain fronting) [7]
#6 Chiffrer vos mails avec OpenPGP
Cryptographie asymtrique:
1. J'utilise la cl publique du destinaire pour lui envoyer un message chiffr
2. J'authentifie ce message en le signant avec ma cl prive
3. Mon destinataire se sert de sa cl prive pour dchiffrer le message et de ma cl publique pour l'authentifier
#7 Blinder le navigateur contre les cookies
#8 Utiliser Tor
#9 Obtenez un certificat pour votre site
#10 Mettez les composants de votre site jour
Panama papers: la brche tait dans
le carroussel!
[8]
En esprant que cela vous a donn envie de venir notre prochaine crypto:
Biblio
[1]J. Cadot, Comment fonctionne la protection dun compte avec une cl USB de scurit (U2F) - Tech, Numerama, 26-Jan-2017. [Online]. Available: http://www.numerama.com/tech/227649-comment-fonctionne-la-protection-dun-compte-avec-une-cle-usb-de-securite-u2f.html. [Accessed: 04-Feb-2017].
[2]M. L. L. 12 2016 and 4:00 P.m, Surveillance Self-Defense Against the Trump Administration, The Intercept. [Online]. Available: https://theintercept.com/2016/11/12/surveillance-self-defense-against-the-trump-administration/. [Accessed: 04-Feb-2017].
[3]P.-A. Haidar-Bachminska, Scurit des mots de passe: stockage, gnration et politiques des mots de passe, Telecom Sud Paris, 10-Jan-2017.
[4]J. Lausson, Ashley Madison: la liste dplorable des mots de passe les plus employs - Politique, Numerama, 14-Sep-2015. [Online]. Available: http://www.numerama.com/magazine/34194-mots-passe-ashley-madison.html. [Accessed: 04-Feb-2017].
[5]R. M. M. 26 2016 and 2:49 P.m, With Facebook No Longer a Secret Weapon, Egypts Protesters Turn to Signal, The Intercept, 16-Apr-2016. [Online]. Available: https://theintercept.com/2016/04/26/facebook-no-longer-secret-weapon-egypts-protesters-turn-signal/. [Accessed: 04-Feb-2017].
[6]| par F., Le chiffrement ne suffira pas, Framablog.
[7]S. Gavois, Signal dploie une mise jour pour contourner la censure, sur Android et iOS, Nextimpact, 23-Dec-2016.
[8]M. Maunder, Mossack Fonseca Breach - WordPress Revolution Slider Plugin Possible Cause, Wordfence, 07-Apr-2016. .
.
04/02/17
Atelier Animafac
https://bibliotheques.univ-rennes1.fr/@BURennes1/UnivRennes1
ur1-FbTw.png