Le célèbre hacker Kevin Mitnick vous montre comment devenir invisible

Si vous êtes comme moi, et que l’une des premières choses que vous faites le matin c’est de vérifier votre courrier électronique et que vous vous demandez également qui a lu votre courrier électronique : ce n’est pas de la paranoïa. Si vous utilisez un service de messagerie Web tel que Gmail ou Outlook 365, la réponse est aussi géniale qu’effrayante.

Même si vous supprimez un courrier électronique au moment où vous l’avez lu sur votre ordinateur ou votre téléphone portable, cela ne supprime pas nécessairement le contenu. Il y en a encore une copie quelque part. Le courrier Web est basé sur le cloud, afin d’être en mesure d’y accéder depuis n’importe quel appareil n’importe où, à tout moment, il doit y avoir des copies redondantes. Si vous utilisez Gmail, par exemple, une copie de chaque courrier électronique envoyé et reçu par l’intermédiaire de votre compte Gmail est conservée sur différents serveurs du monde entier de Google. Ceci est également vrai si vous utilisez des systèmes de messagerie fournis par Yahoo, Apple, AT & T, Comcast, Microsoft ou même sur votre lieu de travail. Tous les courriels que vous envoyez peuvent également être inspectés, à tout moment, par la société d’hébergement. Il s’agit apparemment de filtrer les logiciels malveillants, mais la réalité est que les tiers peuvent et ont accès à nos courriels pour d’autres raisons, plus sinistres et autonomes.

Bien que la plupart d’entre nous puissent tolérer que nos courriels soient numérisés pour les logiciels malveillants, et peut-être certains d’entre nous tolèrent-ils la recherche à des fins publicitaires, l’idée de tiers qui lisent notre correspondance et qui agissent sur des contenus spécifiques dans des courriels spécifiques est dérangeante.

Le moins que vous pouvez faire est de rendre beaucoup plus difficile la tache pour eux.


The Art of Invisibility: The World’s Most Famous Hacker Teaches You How to Be Safe in the Age of Big Brother and Big Data

Commencez avec le cryptage

La plupart des services de courrier électronique basés sur le Web utilisent le cryptage lorsque le courrier électronique est en transit. Cependant, lorsque certains services transmettent du courrier entre les agents de transfert de courrier (MTA), ils ne peuvent pas utiliser le cryptage, donc votre message est ouvert. Pour devenir invisible, vous devrez crypter vos messages.

La plupart des chiffrages électroniques utilisent ce qu’on appelle le cryptage asymétrique. Cela signifie que je génère deux clés: une clé privée qui reste sur mon appareil, que je ne partage jamais, et une clé publique que je publie librement sur Internet. Les deux clés sont différentes mais mathématiquement liées. (voir le système Bitcoin)

Par exemple: Bob veut envoyer à Alice un email sécurisé. Il trouve la clé publique d’Alice sur Internet ou l’obtient directement d’Alice, et en envoyant un message il crypte le message avec sa clé. Ce message restera chiffré jusqu’à ce que Alice – et seulement Alice – utilise une phrase secrète pour débloquer sa clé privée et débloquer le message chiffré.

Alors, comment le cryptage du contenu de votre courrier électronique fonctionnerait-il?

La méthode la plus populaire de cryptage par courrier électronique est PGP, qui signifie « Pretty Good Privacy ». Ce n’est pas gratuit. C’est un produit de Symantec Corporation. Mais son créateur, Phil Zimmermann, a également rédigé une version open-source, OpenPGP, qui est gratuite. Et une troisième option, GPG (GNU Privacy Guard), créée par Werner Koch, est également gratuite. La bonne nouvelle est que les trois sont interopératifs. Cela signifie que peu importe la version de PGP que vous utilisez, les fonctions de base sont les mêmes.

Quand Edward Snowden a d’abord décidé de divulguer les données sensibles qu’il avait copiées de la NSA, il avait besoin de l’aide de personnes partageant les mêmes idées réparties dans le monde entier. La défenseur de la vie privée et cinéaste Laura Poitras avait récemment terminé un documentaire sur la vie des dénonciateurs. Snowden voulait établir un échange chiffré avec Poitras, sauf que peu de gens connaissaient sa clé publique.

Snowden a visité Micah Lee de la Electronic Frontier Foundation. La clé publique de Lee était disponible en ligne et, selon le compte publié de l’interception, il avait la clé publique de Poitras. Lee a vérifié si Poitras lui permettait de le partager. Elle le faisait.

Kevin Mitnick ( @kevinmitnick) est un consultant en sécurité, un conférencier et un ancien pirate informatique. La société qu’il a fondée, Mitnick Security Consulting LLC, a des clients qui comprennent des douzaines du Fortune 500 et des gouvernements mondiaux. Il est l’auteur de Ghost in the Wires , The Art of Intrusion et The Art of Deception .

Compte tenu de l’importance des secrets qu’ils étaient sur le point de partager, Snowden et Poitras ne pouvaient pas utiliser leurs adresses courriel habituelles. Pourquoi pas? Leurs comptes de messagerie personnels contiennent des associations uniques, telles que des intérêts spécifiques, des listes de contacts, qui pourraient identifier chacun d’eux. Au lieu de cela, Snowden et Poitras ont décidé de créer de nouvelles adresses de courrier électronique.

Comment connaissaient-ils les nouvelles adresses électroniques de l’autre? En d’autres termes, si les deux parties étaient totalement anonymes, comment savaient-elles qui était qui et à qui ils pouvaient faire confiance? Comment Snowden pourrait-il, par exemple, exclure la possibilité que la NSA ou quelqu’un d’autre ne trouve pas le nouveau compte de messagerie de Poitras? Les clés publiques sont longues, donc vous ne pouvez pas simplement prendre un téléphone sécurisé et lire les caractères d’une autre personne. Vous avez besoin d’un échange de courrier électronique sécurisé.

En recrutant Lee encore une fois, Snowden et Poitras pouvaient ancrer leur confiance en quelqu’un lors de la mise en place de leurs comptes de messagerie nouveaux et anonymes. Poitras a d’abord partagé sa nouvelle clé publique avec Lee. Lee n’a pas utilisé la clé réelle mais plutôt une abréviation de 40 caractères (ou une empreinte digitale) de la clé publique de Poitras. Il a posté sur un site public-Twitter.

Parfois, pour devenir invisible, vous devez utiliser le visible.

Maintenant, Snowden pourrait voir anonymement le tweet de Lee et comparer la clé raccourcie au message qu’il a reçu. Si les deux ne correspondaient pas, Snowden saurait qu’il ne fallait pas faire confiance au courrier électronique. Le message aurait pu être compromis. Ou il pourrait plutôt parler à la NSA. Dans ce cas, les deux correspondent.

Snowden a finalement envoyé à Poitras un e-mail crypté s’identifiant lui-même comme « Citizenfour ». Cette signature est devenue le titre de son documentaire sur sa campagne sur les droits à la vie privée.

Cela pourrait sembler la fin, maintenant, ils pourraient communiquer de manière sécurisée par courrier électronique chiffré, mais ce n’était pas le cas. C’était juste le début.

Choisir un service de cryptage

La force de l’opération mathématique et la longueur de la clé de cryptage déterminent à quel point il est facile pour quelqu’un sans clé de craquer votre code.

Les algorithmes de cryptage utilisés aujourd’hui sont publics. Chaque fois qu’un des algorithmes publics devient faible ou est fissuré, il est retiré, et des algorithmes plus récents et plus forts sont utilisés à la place.

Les clés sont (plus ou moins) sous votre contrôle, et donc, comme vous pouvez l’imaginer, leur gestion est très importante. Si vous générez une clé de cryptage, vous – et personne d’autre – aura la clé stockée sur son appareil. Si vous laissez une entreprise effectuer le cryptage, par exemple, dans le cloud, cette entreprise pourrait également conserver la clé après qu’elle l’a partagée et que vous pouvez également l’obliger par voie judiciaire à partager la clé avec l’application de la loi ou une agence gouvernementale, avec ou sans mandat.

Lorsque vous cryptez un message – un courrier électronique, un texte ou un appel téléphonique – utilisez un cryptage de bout en bout. Cela signifie que votre message reste illisible jusqu’à ce qu’il atteigne son destinataire. Avec le chiffrement de bout en bout, seul vous et votre destinataire ont les clés pour décoder le message. Ce n’est pas le transporteur de télécommunications, le propriétaire du site Web ou le développeur d’applications – les parties auxquelles l’application de la loi ou le gouvernement demanderont de transmettre des informations sur vous. Effectuez une recherche Google pour « appel vocal de cryptage de bout en bout ». Si l’application ou le service n’utilise pas le cryptage de bout en bout, choisissez-en un autre.

Si tout cela semble compliqué, c’est parce que ça l’est. Mais il existe des plug-ins PGP pour les navigateurs Internet Chrome et Firefox qui facilitent le cryptage. L’une est Mailvelope, qui gère soigneusement les clés de cryptage publiques et privées de PGP. Tapez simplement une phrase secrète, qui sera utilisée pour générer les clés publiques et privées. Ensuite, chaque fois que vous écrivez un courrier électronique basé sur le Web, sélectionnez un destinataire, et si le destinataire dispose d’une clé publique disponible, vous aurez l’option d’envoyer à cette personne un message chiffré.

Au-delà du cryptage: les métadonnées

Même si vous cryptez vos messages électroniques avec PGP, une partie de votre message, petite mais riche en informations, est encore lisible par n’importe qui. En se défendant des révélations de Snowden, le gouvernement des États-Unis a déclaré à plusieurs reprises qu’il ne capture pas le contenu réel de nos courriels, ce qui, dans ce cas, serait illisible avec le cryptage PGP. Au lieu de cela, le gouvernement a déclaré qu’il ne recueille que les métadonnées du courrier électronique.

Vous serez surpris de voir combien d’informations peuvent être extraites du courrier électronique et de la fréquence des courriels.

Qu’est-ce que les métadonnées par courrier électronique? Ce sont les informations dans les champs To et From ainsi que les adresses IP des différents serveurs qui gèrent le courrier électronique d’origine vers le destinataire. Il comprend également la ligne d’objet, qui peut parfois être très révélatrice quant au contenu crypté du message. Les métadonnées, un héritage des premiers jours d’Internet, sont toujours incluses dans chaque courrier électronique envoyé et reçu, mais les lecteurs de courrier électronique modernes cachent cette information de l’affichage.

Cela peut sembler correct, car les tiers ne lisent pas réellement le contenu, et vous ne vous souciez probablement pas de la mécanique par laquelle ces courriels ont parcouru – les différentes adresses du serveur et les horodatages – mais vous seriez surpris de voir le nombre choses qui peuvent être apprise du chemin d’accès du courrier électronique et de la fréquence des courriels.

Selon Snowden, notre NSA et d’autres organismes collectent nos métadonnées par courrier électronique, texte et téléphone. Mais le gouvernement peut-il ou pas collecter des métadonnées de tous ? Techniquement, non. Cependant, il y a eu une forte augmentation de la collecte « juridique » depuis 2001.

Pour devenir vraiment invisible dans le monde numérique, vous devrez faire plus que chiffrer vos messages. Il faudra également:

Supprimez votre adresse IP authentique: c’est votre point de connexion à Internet, votre empreinte digitale. Elle peut montrer où vous êtes (jusqu’à votre adresse physique) et quel fournisseur vous utilisez.
Cachez votre matériel et votre logiciel: lorsque vous vous connectez à un site Web en ligne, un instantané du matériel et du logiciel que vous utilisez peut être collecté par le site.
Défendez votre anonymat: l’attribution en ligne est difficile. Prouver que vous étiez au clavier quand un événement s’est produit est difficile. Cependant, si vous vous promenez devant une caméra avant d’aller en ligne chez Starbucks, ou si vous venez d’acheter un café au lait chez Starbucks avec votre carte de crédit, ces actions peuvent être liées à votre présence en ligne quelques instants plus tôt ou plus tard.

Pour commencer, votre adresse IP révèle où vous êtes dans le monde, quel fournisseur vous utilisez et l’identité de la personne qui paie pour le service Internet. Toutes ces informations sont incluses dans les métadonnées du courrier électronique et peuvent ensuite être utilisées pour vous identifier de manière unique. Toute communication, qu’elle soit par courrier électronique ou non, peut être utilisée pour vous identifier en fonction de l’adresse du protocole interne (IP) qui est affectée au routeur que vous utilisez pendant que vous êtes à la maison, au travail ou chez un ami.

Les adresses IP dans les e-mails peuvent évidemment être trafiquées. Quelqu’un pourrait utiliser une adresse de proxy – pas son adresse IP réelle, mais de quelqu’un d’autre – pour qu’un e-mail semble provenir d’un autre emplacement. Un proxy est comme un traducteur en langue étrangère – vous parlez au traducteur et le traducteur parle au locuteur de langue étrangère – seul le message reste exactement le même. Le point ici est que quelqu’un pourrait utiliser un proxy de la Chine ou même de l’Allemagne pour échapper à la détection sur un courriel qui vient vraiment de Corée du Nord.

Au lieu d’héberger votre propre proxy, vous pouvez utiliser un service connu sous le nom de remailer anonyme, qui masque l’adresse IP de votre email pour vous. Un remailer anonyme modifie simplement l’adresse e-mail de l’expéditeur avant d’envoyer le message à son destinataire.Le destinataire peut répondre via le remailer. C’est la version la plus simple.

Une façon de masquer votre adresse IP consiste à utiliser le routeur Tor, ce qu’a fait Snowden et Poitras. Tor est conçu pour être utilisé par des personnes habitant dans des pays aux régimes stricts comme un moyen d’éviter la censure des médias et des services populaires et d’empêcher quiconque de suivre les termes de recherche qu’ils utilisent. Tor reste libre et peut être utilisé par n’importe qui, n’importe où, même vous.

Comment fonctionne Tor? Il modifie le modèle habituel pour accéder à un site web. Lorsque vous utilisez Tor, la ligne directe entre vous et votre site cible est obscurcie par des nœuds supplémentaires, et toutes les dix secondes, la chaîne de nœuds qui vous connecte à n’importe quel site que vous recherchez change sans interruption pour vous. Les différents noeuds qui vous connectent à un site sont comme des couches d’un oignon. En d’autres termes, si quelqu’un devait revenir en arrière sur le site Web de destination et essayer de vous trouver, ils ne pourrait pas parce que le chemin changerait constamment. À moins que votre point d’entrée et votre point de sortie ne soient associés de quelque façon, votre connexion est considérée comme anonyme.

Pour utiliser Tor, vous aurez besoin du navigateur Firefox modifié du site Tor (torproject.org). Toujours chercher des navigateurs Tor légitimes pour votre système d’exploitation à partir du site Web du projet Tor. N’utilisez pas un site tiers. Pour les systèmes d’exploitation Android, Orbot Proxy est une application Tor légale de Google Play qui crypte votre trafic et masque votre adresse IP. Sur les appareils iOS (iPad, iPhone), installez le navigateur Onion, une application légitime de l’application App Store iTunes.

En plus de vous permettre de naviguer sur Internet, Tor vous donne accès à un monde de sites qui ne sont généralement pas recherchés – ce qu’on appelle le Dark Web. Ce sont des sites qui ne résolvent pas les noms communs tels que Google.com et se terminent par l’extension .onion. Certains de ces sites cachés offrent, vendent ou fournissent des articles et des services qui peuvent être illégaux. Certains d’entre eux sont des sites légitimes maintenus par des personnes dans les régions opprimées du monde.

Il convient toutefois de noter qu’il existe plusieurs faiblesses avec Tor: vous n’avez aucun contrôle sur les noeuds de sortie, qui peuvent être sous le contrôle du gouvernement ou de l’application de la loi ; vous pouvez toujours être profilé et éventuellement identifié et Tor est très lent.

Cela dit, si vous décidez encore d’utiliser Tor, vous ne devriez pas l’exécuter sur le même périphérique physique que vous utilisez pour la navigation. En d’autres termes, avoir un ordinateur portable pour naviguer sur le Web et un périphérique distinct pour Tor (par exemple, un Minicomputer Raspberry Pi exécutant le logiciel Tor). L’idée ici est que si quelqu’un est en mesure de compromettre votre ordinateur portable, il ne sera toujours pas capable de repérer votre navigation Tor car il fonctionne sur une boîte physique distincte.

Créer un nouveau compte (invisible)

Les comptes de courrier électronique existants peuvent être liés de diverses façons à d’autres parties de votre vie-amis, loisirs, travail. Pour communiquer dans le secret, vous devrez créer de nouveaux comptes de courrier électronique à l’aide de Tor afin que l’adresse IP définissant le compte ne soit pas associée à votre véritable identité.

La création d’adresses courriel anonymes est difficile mais possible.

Puisque vous laisserez une trace si vous payez des services de messagerie privés, vous ferez fait mieux d’utiliser un service Web gratuit. Un problème mineur: Gmail, Microsoft, Yahoo et d’autres personnes exigent que vous fournissiez un numéro de téléphone pour vérifier votre identifiant. Évidemment, vous ne pouvez pas utiliser votre vrai numéro de téléphone cellulaire, car il peut être connecté à votre vrai nom et à votre adresse réelle. Vous pourriez pouvoir configurer un numéro de téléphone Skype s’il prend en charge l’authentification vocale au lieu de l’authentification par SMS. Cependant, vous aurez besoin d’un compte de messagerie existant et d’une carte-téléphone prépayée pour le configurer.

Certaines personnes pensent que les téléphones burner sont des appareils utilisés uniquement par des terroristes, des proxénètes et des trafiquants de drogue, mais il existe de nombreuses utilisations parfaitement légitimes pour eux. Les téléphones Burner fournissent principalement du service de messagerie vocale, textuelle et électronique, et cela concerne toutes les personnes qui en ont besoin.

Cependant, l’achat d’un téléphone burner anonyme sera délicat. Bien sûr, on peut entrer dans un Walmart et payer en espèces pour un téléphone burner et cent minutes de temps de communication. Qui le saurait? Eh bien, beaucoup de gens.

Tout d’abord, comment suis-je arrivé chez Walmart? Est-ce que j’ai pris un Uber? Est-ce que j’ai pris un taxi? Ces enregistrements peuvent être tous assignés. Je pourrais conduire ma propre voiture, mais l’application de la loi utilise la technologie automatique de reconnaissance des plaques d’immatriculation (ALPR) dans de grands parkings publics pour rechercher des véhicules disparus et volés ainsi que des personnes pour lesquelles il existe des mandats exceptionnels. Les enregistrements ALPR peuvent être cités par la poste.

La création d’adresses courriel anonymes est difficile mais possible.

Même si je me dirigeais vers Walmart, une fois que je suis entré dans le magasin, mon visage serait visible sur plusieurs caméras de sécurité dans le magasin lui-même, et cette vidéo peut être assignée.

Disons qu’on envoie un étranger au magasin, peut-être un sans-abris à qui j’ai demandé de prendre ma place. Cette personne entre et achète le téléphone et plusieurs cartes de recharge en espèces. Il faudrait ensuite retrouver cette personne ailleurs, cela aiderait à vous éloigner physiquement de la transaction réelle.

L’activation du téléphone prépayé requiert soit l’appel du service clientèle de l’opérateur mobile, soit l’activation sur le site Web du fournisseur. Pour éviter d’être enregistré, il est plus sûr d’activer online. L’utilisation de Tor sur un réseau wifi ouvert après avoir changé votre adresse MAC devrait être la garantie minimale. Vous devez compléter toutes les informations d’abonné que vous avez entrées sur le site. Pour votre adresse, Google a l’adresse d’hébergeur, utilisez-le. Créez une date de naissance et un code PIN dont vous vous souviendrez au cas où vous devriez contacter le service clientèle à l’avenir.

Après avoir utilisé Tor pour créer aléatoirement votre adresse IP et après avoir créé un compte Gmail qui n’a rien à voir avec votre numéro de téléphone réel, Google envoie à votre téléphone un code de vérification ou un appel vocal. Maintenant, vous avez un compte Gmail pratiquement introuvable. Nous pouvons produire des emails raisonnablement sécurisés dont l’adresse IP – grâce à Tor – est anonyme (même si vous n’avez pas le contrôle sur les nœuds de sortie) et dont le contenu, grâce à PGP, ne peut être lu que par le destinataire prévu.

Pour garder ce compte anonyme, vous ne pouvez accéder au compte qu’à partir de Tor pour que votre adresse IP ne soit jamais associée à celui-ci. En outre, vous ne devriez jamais effectuer de recherches sur Internet pendant votre connexion à ce compte Gmail anonyme. Vous pourriez chercher par inadvertance quelque chose qui est lié à votre véritable identité. Même la recherche d’informations météorologiques pourrait révéler votre emplacement.

Comme vous pouvez le voir, devenir invisible et vous garder invisible nécessite une discipline énorme et une prudence perpétuelle. Mais ça vaut le coup. Les tâches les plus importantes sont: premièrement, être conscient de toutes les façons dont quelqu’un peut vous identifier, même si vous entreprenez certaines des précautions décrites. Et si vous appliquez toutes ces précautions, sachez que vous devez rester vigilant chaque fois que vous utilisez vos comptes anonymes. Aucune exception.

Extrait de The Art of Invisibility: Le piratage du monde le plus célèbre vous enseigne à être sûr à l’âge de Big Brother et de grandes données , Copyright ©


The Art of Invisibility: The World’s Most Famous Hacker Teaches You How to Be Safe in the Age of Big Brother and Big Data

Publicités

2 commentaires sur “Le célèbre hacker Kevin Mitnick vous montre comment devenir invisible

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s