La prochaine Ubuntu Partie de Paris aura lieu les 30 et 31 mai 2015, à la Cité des sciences et de l'industrie, la Villette, Paris.

Appel à bénévoles

L'organisation de l'Ubuntu party en elle-même a besoin de bénévoles. En effet, L'Ubuntu Party est un événement entièrement organisé par des bénévoles. Pour accueillir les milliers de visiteurs qui s'y rendent chaque édition, c'est près d'une centaine de volontaires qui se mobilisent tous les six mois. Si vous avez un peu de temps et que vous souhaitez aider, le formulaire d'inscription pour les bénévoles est en ligne ici http://participer.ubuntu-paris.org/ Il y a des tâches pour tout le monde, selon les compétences et envie de chacun et il y a de quoi faire.

Le programme

Le programme sera mis en ligne prochainement. Pendant deux jours, il y aura un certains nombres de conférences, d'ateliers, de démonstrations ayant pour point commun le logiciel libre, GNU/Linux, Ubuntu et/ou la vie privée.

Mon programme

Lors de cet événement, je présenterai différentes conférences, à savoir :
"Les geeks aussi ont le droit à une vie privée", la même conférence que je présenterai la semaine précédente au Salon Geekopolis
Les enjeux de la centralisation des données personnelles. Sensibilisons aux risques, proposons une alternative avec Framasoft
Firefox OS, l'OS pour Smartphone par Mozilla
Le réseau Tor, présentation et utilisation

Ces conférences se dérouleront dans les salles de conférences. En parallèle, quand je ne serai pas en conférence, je co-animerai le café vie privée.

Café vie privée

Pendant ces deux jours, comme lors des précédentes éditions, nous co-animerons un Café vie privée. Nous présenterons différentes mini-conférences ou animerons différents ateliers, pour sensibiliser le grand public aux problématiques de la vie privée, répondre aux questions...

Partagez l'information

Si vous êtes sur place, ce sera l'occasion de se (re)voir pour passer un moment sympa. N'hésitez pas à diffuser l'information autour de vous via via les réseaux sociaux, à inviter vos proches, familles, amis, pour venir écouter les conférences et découvrir tout ça. Merci à vous.

Dans mon billet Lila et le studio Girin j'avais présenté l'association LILA.

Jehan et Aryeom, deux de ses membres, ont eu le droit à une belle et longue interview sur le site de Framasoft que je vous invite à aller lire : La Marmotte veut le chocolat, et l'argent du chocolat Aryeom et Jehan se sont lancés dans un projet de film d'animation sous licence libre. Pas un truc d'amateurs ! Tous deux munis d'un solide bagage (elle : dessinatrice et réalisatrice ; lui : acteur et développeur), ils veulent en mettre plein la vue et courir les festivals avec une belle œuvre. Ils souhaitent aussi séduire assez de donateurs pour produire leur film en financement participatif.

Comme le dit Frédéric Urbain auteur de l'interview, les premières images sont impressionnantes. Je vous laisse juger par vous même sur la page d'appel à financement du projet Crowfounding ZeMarmot, Libre Movie.

Soutenir ce projet, c'est soutenir le logiciel libre, soutenir une équipe motivée. Jehan est développeur et contribue donc au logiciel libre, en améliorant Gimp (pour ne citer que ça). Aryeom est utilisatrice, dessinatrice et illustratrice et tout ses dessins sont et seront sous licence libre.

Les soutenir, c'est donner vie à ce projet et apporter un peu de rêve et de poésie dans ce monde

Enfin, si vous voulez en savoir sur le projet, quelques liens :
ZeMarmot, premier film d'animation réalisé entièrement avec des Logiciels Libres sur Linuxfr
l'association LILA.
Crowfounding ZeMarmot, Libre Movie

Ceci est une version 0.1 d'un jeu d'initiation à Tor et GPG. Le concept sera amélioré avec le temps, les parties. L'idée étant de faire une sorte de carte qui ait des règles simples, différentes variantes. Je ferai peut être un pad collaboratif si le concept plait. Le tout est sous licence Creative Commons CC BY-SA.

Prérequis aux jeux

Une imprimante couleur
Trois enveloppes de tailles différentes que l'on peut mettre les unes dans les autres
Des enveloppes de tailles normales
Des étiquettes (pour coller les illustrations sur les enveloppes et cartes)
Des cartes vierges genre bristol

Les règles du jeu HTTP

Nombre de joueurs :
1 pour le serveur web
1 pour le navigateur Firefox
X pour les routeurs

Le joueur jouant le navigateur Firefox fait circuler un papier entre les joueurs avec un texte dessus.

Le papier arrive au serveur web.

On demande à tous ce qu'ils ont lu comme information.

Les règles du jeu HTTPS

Nombre de joueurs :
1 pour le serveur web
1 pour le navigateur Firefox
X pour les routeurs

Après avoir expliqué le principe d'HTTPS, on passe à la pratique.

Le joueur jouant le navigateur Firefox met un papier avec un texte écrit dans une enveloppe avec le cadenas de couleur (blanche par exemple).

Le serveur web reçoit la carte clef de la couleur blanche.

On fait circuler l'enveloppe entre les joueurs qui n'ont pas le droit de l'ouvrir.

L'enveloppe arrive au serveur web, qui lit pour lui le texte du papier.

On demande à tous ce qu'ils ont lu comme information.

Les règles du jeu sur Tor

Nombre de joueurs :
3 pour les relais Tor
1 pour le serveur web
1 pour le navigateur Tor

Après avoir expliqué le principe du routage en oinion en théorie, on passe à la pratique.

On prend trois enveloppes de tailles différentes que l'on peut mettre les unes dans les autres. Sur chacune on colle un cadenas de couleur (rose, bleu, jaune). Chaque enveloppe représente un serveur du réseau Tor.

On explique que le navigateur détermine une route, choisit un relais parmi les différents noeuds du réseau (symbolisé par les clefs de couleurs : bleu, rose, jaune, noire, verte). On explique que les 3 noeuds choisit sont :
rose : noeud d'entrée dans le réseau
bleu : noeud intermédiaire
jaune : noeud de sortie

La personne ayant la carte Navigateur Tor met une carte avec dessus une adresse de site web par exemple. Dans l'enveloppe la plus petite (ayant un cadenas jaune). Cette enveloppe est mise dans une enveloppe de taille moyenne (enveloppe ayant un cadenas bleu dessus), elle-même mise dans une enveloppe plus grande, ayant également un cadenas rose.

On explique que seule la clef de la bonne couleur peut ouvrir l'enveloppe.
On distribue les clefs aux différentes personnes.

La personne ayant la carte navigateur donne les enveloppes (empilées les unes dans les autres) à la personne ayant la clef de couleur rose (noeud d'entrée dans le réseau Tor). Elle ouvre l'enveloppe et passe l'enveloppe intérieure à la personne ayant la clef de couleur bleu (celle qui est maintenant visible sur l'enveloppe).

La personne ayant la carte clef bleu ouvre l'enveloppe. Et passe l'enveloppe intérieure à la personne ayant la clef de couleur jaune (celle qui est maintenant visible sur l'enveloppe).

La personne ayant la carte clef jaune ouvre l'enveloppe. Et passe la carte site web au site Internet.

On peut alors demander à chacun ce qu'il a pu voir comme information.

On peut mettre une enveloppe encore plus petite avec un cadenas noir ou blanc, pour illustrer l'envoi de message par HTTPS via TOR.

On combine alors les règles des jeux HTTPS et Tor.

Les règles du jeu sur GPG

Deux joueurs minimum. Chacun reçoit une carte clef et plusieurs cartes cadenas de la même couleur, ainsi que des enveloppes.

Le joueur 1 donne une carte cadenas et autres joueurs. Le jouer 2 fait de même inversement.

Envoi d'un premier message par le jouer un. Il met un texte dans une enveloppe et met le cadenas de la couleur du joueur 2, qui joue le rôle du destinataire, sur l'enveloppe.

L'enveloppe circule et une fois qu'elle arrive dans les mains de la personne qui la clef de la bonne couleur, la personne peut lire le texte.

On peut alors demander à chacun ce qu'il a pu voir comme information.

R.A.F.

Compléter les règles existantes.

Ajouter de nouvelles règles.

Le texte explicatif de la notion de signature (avec une carte sceau).

Evolutions, extensions du jeu, idées en vrac

Ajouter des explications sur GPG avec la gestion des clefs, vérifications et signatures des clefs etc.
Ajouter le concept d'attaque par l'Homme du milieu / Man In the middle
Ajouter le concept de boîte noir avec une image de photocopieuse (qui va tracer ce qu'elle voit passer)
Ajouter des cartes Serveurs DNS, adresse IP, Box du FAI etc. pour ajouter les notions correspondantes. Ce sera peut être un autre jeu ;-)

Travail collaboratif

J'ai mis en place un PAD pour https://mensuel.framapad.org/p/Tor_le_jeu pour que nous reprenions le concept, améliorons tout ça ensemble. Merci à vous.

Samedi 9 mai, de 14 à 17h30, nous ferons une nouvelle édition d'un Café vie privée spécial Tor. Ca se passe dans les locaux de CODEV 6 rue Lavoisier 93100 Montreuil. Métro 9 Robespierre

Au programme :
Conférence :
Présentation de Tor
Présentation du TorBrowser, installation, utilisation
Tails
Questions /réponses et ateliers manipulation pour les personnes ayant apporté leurs PC, installation de clefs TAILS.

Si vous venez, merci de saisir un pseudo pour que l'on ait une estimation du nombre de personnes sur le framadate https://framadate.org/c1xfqscwxynykepj. Merci.

Sécurité opérationnelle Conseils pratiques pour sécuriser le SI par Alexandre Fernandez-Toro

Présentation de l'éditeur

Pour sécuriser les systèmes d'information, certains agissent sur la technique alors que d'autres privilégient le management. Quelle que soit l'approche, les questions liées à la sécurité opérationnelle se posent très vite : quels processus mettre en place ? À quel niveau les gérer, comment les formaliser, comment s'assurer que ces processus fonctionnent correctement dans la durée ? Cet ouvrage, très pragmatique, donne des exemples concrets sur comment sécuriser un SI. Il liste les processus opérationnels à déployer en signalant les pièges concrets à éviter. Il comporte enfin un corpus documentaire complet (exemptes de politiques et de procédures) pouvant être appliqué en entreprise.

En abordant des questions telles que la sécurité des réseaux, la maîtrise du cloud, les accès distants ou la surveillance du système, ce livre donne des clés pour améliorer de façon durable la maturité de la sécurité du SI.
À qui s'adresse ce livre ?
Aux responsables sécurité (RSSI) des grands comptes et des PME, ainsi qu'à leurs équipes
Aux personnes prenant la fonction de RSSI
Aux personnes chargées de sécuriser le SI
Aux chefs de projet chargés de mettre en place des processus de sécurité opérationnelle
Aux experts de la gouvernance des SI
À toute personne intéressée par les aspects opérationnels de la sécurité de l'information

Le livre sur le site de l'éditeur Eyrolles

La critique du Genma

Ecoutant depuis les premiers numéros Le Comptoir Sécu podcast qui traite des enjeux de la sécurité informatique, je connassais déjà beaucoup de choses (voir la quasi totalité de ce qui est abordé dans le livre). Mais ce livre a l'avantage d'être une synthèse du domaine de la sécurité opérationnelle et sera une référence pour le RSSI (Reponsable de la Sécurité des Systèmes Informatiques), pour toute personne exerçant déjà ce métier et souhaitant le faire comprendre, ou pour quelqu'un qui voudrait se lancer dans cette carrière.

La première partie du livre est consacrée aux aspects concrets de la sécurité opérationnelle. Sont abordés la sécurité des réseaux, la gestion des comptes utilisateurs, la gestion des mots de passe... Toutes les thématiques dans lesquelles officie un RSSI sont abordés. Il y a une forme de sensibilisation, des conseils, des mises en avant des points clefs à ne pas négliger, des conseils sur la mise en place et le déroulement de tests...

La seconde partie du livre est consacré aux normes ISO27001, avec des explications sur son contenu et sa mise en place.

Enfin la troisième et dernière partie du livre est un ensemble d'annexes, de fiches donnant des checklistes thématiques, permettant d'avoir une bonne base de travail sur laquelle se reposer pour mettre en place la sécurisation d'un Système d'Information au sein d'une entreprise.

Donc, avec une bonne moitié du livre abordant l'ensemble des aspects de la sécurisation d'un S.I., une partie norme et un certain nombre de conseils pratiques et de fiches, ce livre sera une bonne entré en matière voir une référence pour toute personne s'intéressant au domaine de la Sécurité opérationnelle et au monde RSSI. Un RSSI le fera lire pour faire comprendre la différence entre son métier et celui du DSI ; un étudiant dans le domaine lire ce livre pour valider ses connaissances et avoir une synthèse du domaine ; une personne curieuse le lire et y trouvera de bons conseils à appliquer pour sécuriser un ensemble de postes utilisateurs.

Enfin, ce livre n'a aucun exemple de fichier de configuration, de mise en place de sécurisation en terme d'administration d'un serveur par exemple et n'est donc pas destiné à des personnes techniques comme des Ingénieurs Systèmes et Réseaux par exemple. Il reste destiné à des décisionnaires et des responsables, de types chefs de projets, RSSI et leurs équipes.