Modle de prsentation - UR1

Atelier Animafac 5 fvrier 2017

Scuriser ses donnes en dix tapes

Damien Belvze

titre de la prsentation

La notion de modle de menaces

Vert: change avec le voisin

Rouge: je garde pour moi

1. Qu'est-ce que j'ai de plus prcieux comme donnes?

2. En quoi, je pense tre le plus vulnrable?

3. D'o peuvent venir les attaques?

#1 Activer la double authentification

Le mot de passe ne suffit plus

Un deuxime facteur est ncessaire

[1]

https://myaccount.google.com/security#signin

#2 Bien verrouiller le tlphone

PIN: 4 8 chiffresSi votre combinaison est l'une des suivantes, changez en tout de suite

111122223333444455552001

666677778888999900006969

123443211122131320001010

#3 Chiffrer le disque dur ou la mmoire de l'ordiphone

Pb avec Android: mme PIN pour dverrouillage et dchiffrage [2]

Pin: 8 12 chiffres alatoires

#4 Utiliser un gestionnaire de mot de passe

Clipperz, dashlane, Keepass

Un mot de passe par service

Mots de passe forts, gnrs alatoirement

Quel est le mot de passe le plus fort?

1. azerty

2. dadada

3. xjyt5g4axjyt5g4axjyt5g4axjyt5g4axjyt5g4axjyt5g4a

4.Juge un homme par ses questions plutt que parses rponses

[3]

A viter:

- suites ou les caractres rpts (azerty -000000)

- inversions de casse: bONJOUR

- certaines mutations: p@$$w0rd

- les citations

[3]

Mot de passe Nombre d'usagers

123456120511

1234548452

password39448

DEFAULT 34275

12345678926620

qwerty20778

1234567814172

abc12310869

pussy10683

12345679468

[4]

#5 Echanger des textos chiffrs avec Signal

Signal, d'Open Whispers, disponible gratuitement pour Android et iPhone

Ncessit de laisser ouvertes les donnes de connexion

Principe: conversation chiffre entre deux usagers de l'application

Utiliser Signal des fins militantes

Quand il y a interception des communications

Quand il y a un brouillage des communications vers certains sites (Facebook notamment)

Chiffrement de bout en bout: Open Whispers ne peut pas donner la cl de nos changes la NSA

[5]

Les points de vigilance

Signal ne chiffre par les mtadonnes ( qui, quand, depuis o on tlphone)

Le code de Signal n'est pas auditable, car pas libre. On n'est pas sr qu'il n'y ait pas de backdoor [6]

Systme centralis, cible d'attaques rgulires

Signal peut-tre bloqu mme si cela devient de plus en plus dur (domain fronting) [7]

#6 Chiffrer vos mails avec OpenPGP

Cryptographie asymtrique:

1. J'utilise la cl publique du destinaire pour lui envoyer un message chiffr

2. J'authentifie ce message en le signant avec ma cl prive

3. Mon destinataire se sert de sa cl prive pour dchiffrer le message et de ma cl publique pour l'authentifier

#7 Blinder le navigateur contre les cookies

#8 Utiliser Tor

#9 Obtenez un certificat pour votre site

#10 Mettez les composants de votre site jour

Panama papers: la brche tait dans

le carroussel!

[8]

En esprant que cela vous a donn envie de venir notre prochaine crypto:

Biblio

[1]J. Cadot, Comment fonctionne la protection dun compte avec une cl USB de scurit (U2F) - Tech, Numerama, 26-Jan-2017. [Online]. Available: http://www.numerama.com/tech/227649-comment-fonctionne-la-protection-dun-compte-avec-une-cle-usb-de-securite-u2f.html. [Accessed: 04-Feb-2017].

[2]M. L. L. 12 2016 and 4:00 P.m, Surveillance Self-Defense Against the Trump Administration, The Intercept. [Online]. Available: https://theintercept.com/2016/11/12/surveillance-self-defense-against-the-trump-administration/. [Accessed: 04-Feb-2017].

[3]P.-A. Haidar-Bachminska, Scurit des mots de passe: stockage, gnration et politiques des mots de passe, Telecom Sud Paris, 10-Jan-2017.

[4]J. Lausson, Ashley Madison: la liste dplorable des mots de passe les plus employs - Politique, Numerama, 14-Sep-2015. [Online]. Available: http://www.numerama.com/magazine/34194-mots-passe-ashley-madison.html. [Accessed: 04-Feb-2017].

[5]R. M. M. 26 2016 and 2:49 P.m, With Facebook No Longer a Secret Weapon, Egypts Protesters Turn to Signal, The Intercept, 16-Apr-2016. [Online]. Available: https://theintercept.com/2016/04/26/facebook-no-longer-secret-weapon-egypts-protesters-turn-signal/. [Accessed: 04-Feb-2017].

[6]| par F., Le chiffrement ne suffira pas, Framablog.

[7]S. Gavois, Signal dploie une mise jour pour contourner la censure, sur Android et iOS, Nextimpact, 23-Dec-2016.

[8]M. Maunder, Mossack Fonseca Breach - WordPress Revolution Slider Plugin Possible Cause, Wordfence, 07-Apr-2016. .

.

04/02/17

Atelier Animafac

https://bibliotheques.univ-rennes1.fr/@BURennes1/UnivRennes1

ur1-FbTw.png