Traduction de https://pressfreedomfoundation.org/blog/2014/07/news-organizations-routinely-expose-journalists-through-hostnames-and-ip-addresses- News Organizations Routinely Expose Journalists Through Hostnames and IP Addresses. Ce texte a été publié sous licence Creative Commons Attribution 4.0 International License, ce qui me permet de le traduire.

Les journalistes qui font des enquêtes en ligne donnent souvent, sans le savoir, leur identité aux personnes sur lesquels ils effectuent leurs enquêtes. Et ceci est l'illustration parfaite de pourquoi les journalistes doivent régulièrement utiliser le navigateur Tor ou un réseau privé virtuel (VPN) pour travailler sur n'importe quelle enquête - que ce soit sur la sécurité nationale ou non.

Chaque connexion Internet est associé à une adresse IP (par exemple 74.125.226.1) qui est diffusé à chaque site que vous visitez, et de ce fait, l'administrateur d'un site Web peut voir chaque adresse IP qui lui rend visite. Pire encore, il arrive souvent que ce soit le nom de domaine de votre salle de rédaction qui soit enregistrée à la place de la chaîne de nombres qu'est l'adresse IP de votre rédaction. [1]

Bien qu'il existe des raisons techniques aux noms de domaines, pour les journalistes d'investigation des principaux organes de presse, cela peut être très problématique. Souvent pour obtenir des informations, ils doivent effectuer une infiltration, en restant inconnus, ou en apparaissant comme un membre ordinaire du public. Mais lorsque vous utilisez la connexion Internet de votre lieu de travail et qu'elle est configuré d'une certaine manière, elle révèle de façon triviale pour qui vous travaillez.

Voyez votre adresse IP et le nom de domaine associé comme votre numéro de téléphone et l'identification de l'appelant. Vous voulez vraiment que l'adresse IP et le nom de domaine reste privé, mais l'association de votre nom à une adresse IP est d'une facilité... Vous pouvez être sûr que les sociétés qui prépare un sale coup gade un oeil sur qui visitent leur site Internet et seront avertis si un journaliste est sur eux.

Christopher Soghoian, technologue en chef de l'ACLU, qui est aussi un membre de notre conseil consultatif technique, a récemment mené une enquête informelle sur Twitter, demandant aux journalistes de lui faire savoir si leurs propres organisations rencontraient ce problème. Selon ceux qui l'ont contacté, plusieurs grands médias américains, dont NBC, Reuters, Associated Press, USA Today / Gannett et CBS Interactive ont fait fuiter leur identité via les adresses IP attribuées aux ordinateurs des journalistes.

Selon Soghoian, "plusieurs des journalistes qui ont répondu à l'enquête ont dit qu'ils s'étaient plaints de ce problème de leur hiérarchie et à leurs services informatiques, mais que leurs plaintes avaient été ignorées." Soghoian ajouté, "les organisations de presse doivent se lancer et de prendre au sérieux la sécurité numérique, en commençant par cette problématique assez facile à régler."

Pour éviter ce problème, les agences de presse devraient encourager leurs journalistes à l'utilisation de Tor, de proxys ou de VPN pour masquer leur adresse IP et leur nom d'hôte. L'utilisation du navigateur Tor/Tor Browser va permettre de faire passer et de chiffrer votre connexion à travers plusieurs relais dans le monde entier, faisant en sorte quand elle arrivera à destination, il n'aura plus aucun lien avec la connexion à la source. De même, un réseau privé virtuel (VPN), souvent un service payant, est une solution de confidentialité efficace, qui va mettre dans un "tunnels" toutes vos connexions, quelle soit depuis chez vous ou votre lieu de travail. Toutes ces solutions changent votre adresse IP apparente et sans elles, votre localisation géographique approximative peut également être déterminée.

D'autres informations permettant de vous tracer sont le navigateur que vous utilisez et son numéro de version unique. Les données présentées ci-dessous sont un exemple de ce que vous pourriez laisser lors de la visite d'un site Web et qui pourraient être enregistrer dans les journaux d'accès d'un serveur (les fameux logs).

Tout cela pour vous dire : soyez conscient que vous êtes suivi en ligne quel que soit le site que vous visitez, et réaliser qu'il y a des mesures simples que vous pouvez prendre pour l'éviter.

[1] Techniquement parlant, la "recherche DNS inversée" est activé par ce qu'on appelle un PTR ou un enregistrement « pointeur » , qui est se trouve dans le domaine de premier niveau de l'Internet, avec les enregistrements d'attribution généralement détenues par l'American Registry for Internet Numbers (ARIN). L'enregistrement PTR est enregistré de façon volontaire et a une utilité limitée - il est seulement utile dans le cadre des fonction anti-spam si vous utilisez un serveur de messagerie, et rien d'autre. Pourtant, il est extrêmement pratique pour le suivi des personnes et l'identification de leur FAI, entreprise, organisation, institution, etc.

C'est à l'occasion d'une cryptoparty/café vie privée/chiffrofête que l'on m'a fait découvrir Qubes (Merci à Piotr @chmiel_p). Le texte que j'ai traduit vous permettra de découvrir le principe de cet OS sécurisé, et pour en savoir, je vous renvoie vers le site officiel https://wiki.qubes-os.org/.

A propos de l'auteur du texte Micah Lee Follow

Micah Lee Follow, est, en autre, l'auteur du Tor Browser Launcher dont je parlais ici, est CTO at Freedom of the Press et à ce titre a crée SecureDrop.

Sur son site, il a écrit un texte, The Operating System That Can Protect You Even if You Get Hacked, publié originalement à l'adresse suivante : https://pressfreedomfoundation.org/blog/2014/04/operating-system-can-protect-you-even-if-you-get-hacked

Ce texte a été publié sous licence Creative Commons Attribution 4.0 International License, ce qui me permet de le traduire.

DEBUT DE TRADUCTION

Qubes - le système d'exploitation qui peut vous protéger même si vous avez été piraté

Nous avions écrit sur l'importance du système d'exploitation Tails à tous les journalistes de la NSA, la semaine dernière, mais il existe aussi un autre système d'exploitation peu connu que les journalistes devraient envisager d'utiliser si ils se trouvent dans des situations à haut risque. Il s'appelle Qubes.

J'utilise Qubes seulement depuis quelques semaines, mais je sens que mon système d'exploitation est maintenant une forteresse numérique. Je vais essayer d'expliquer pourquoi et comment Qubes diffère de Tails.

La conception de Qubes est basé sur une loi importante du logiciel : tous les programmes contiennent des bugs. Certains d'entre eux sont des failles de sécurité. Votre ordinateur peut être piraté par le visionnage d'une vidéo Flash ou en utilisant javascript dans votre navigateur Web : il est probable que ce soit que la façon dont les programmes QUANTUM / FOXACID de la NSA piratent les personnes. Votre ordinateur pourrait également être piraté par l'ouverture d'un fichier PDF ou un document Microsoft Word ou LibreOffice, ou tout simplement par l'affichage d'un JPG ou GIF.

Si un morceau de logiciel est compromis, c'est l'ensemble de votre ordinateur qui est compromis. L'attaquant peut alors regarder vos fichiers, voir vos frappes au clavier, prendre des captures d'écrans, voler vos clés de chiffrement, et lire les e-mails que vous tapez avant même que vous ayez une chance de les chiffrer.

Les développeurs peuvent (et doivent) essayer de rendre leurs logiciels plus sûr, mais les logiciels ne seront jamais parfait. Essayer de ne pas se faire piraté est difficile quand vous avez des adversaires puissants, mais il faut pouvoir faire son travail. Assez proche de l'absence de connexion à Internet, la meilleure façon de rester en sécurité est de minimiser les dommages causés lorsque vous serez éventuellement piraté et de mettre en "sandbox"/"bac à sable" les programmes les plus vulnérables, les compartimentant du reste de votre ordinateur. Qubes rend cette chose possible de la façon la plus simple que n'importe quel autre système d'exploitation que j'ai pu utilisé.

Qubes utilise des machines virtuelles pour vous permettre de gérer des "domaines de sécurité" séparés. Une machine virtuelle (VM) est essentiellement un système d'exploitation minuscule qui tourne à l'intérieur de votre système d'exploitation réel. Si votre VM est piraté, l'attaquant est en mesure d'accéder aux fichiers et de lire les frappes claviers au sein de cette VM, mais pas dans les 'autres machines virtuelles ou sur votre ordinateur hôte. Dans Qubes tous les logiciels (en plus de l'environnement de bureau) sont en cours d'exécution à l'intérieur de machines virtuelles, et vous pouvez facilement et efficacement en faire autant que nécessaire. Il est également conçu de manière à ce que si l'on est infecte une VM avec des logiciels malveillants, les logiciels malveillants ne seront plus là la prochaine fois que vous redémarrez votre VM.

Par exemple, vous pouvez utiliser Pidgin, une application de messagerie instantanée avec fonction de chiffrement OTR, pour discuter avec des personnes en toute sécurité. Mais Pidgin est tristement célèbre pour ses vulnérabilités de corruption mémoire : le genre de bug que les attaquants peuvent utiliser pour prendre contrôle de votre ordinateur, en vous envoyant un message particulier. (Toutes les vulnérabilités de Pidgin connus du public ont été corrigées si vous utilisez la dernière version, mais il ya toujours la possibilité qu'il existe des vulnérabilités qui n'ont jamais été signalées aux développeurs. Elles sont appelées vulnérabilités "zero day", et des organismes comme la NSA et le FBI dépensent beaucoup d'argent pour acheter des informations à leur sujet).

Pour utiliser Pidgin aussi sûrement que possible, vous pouvez créer un AppVM (le mot Qubes pour désigner une VM exécutant des applications spécifiques) que vous utilisez uniquement pour Pidgin. Si un attaquant utilisant une faille zero-day de Pidgin vous envoie un message bizarre pour tenter de prendre le contrôle de votre ordinateur, tout ce qu'il aura effectivement pu faire et de prendre le contrôle du Pidgin virtualisé. Le pire que l'attaquant puisse faire est de voler vos clés OTR et d'espionner vos conversations en ligne. Tout le reste se trouvant sur votre ordinateur, tels que vos documents de travail, votre clé PGP, et votre base de données de mots de passe, restera à l'abri de l'attaquant.

Un autre exemple qui serait utile aux journalistes : si vous écrivez un article au sujet des documents sensibles, vous pouvez créer un AppVM dédié qui contiendra ces documents, et tous les fichiers ou projets liés. Si vous ouvrez un document dans cette AppVM, et que ce document tente de contacter quelqu'un pour l'alerter qu'il a été ouvert, il va échouer parce que ce AppVM n'a pas accès à Internet. Et si vous ouvrez un document malveillant qui hacks cette AppVM, le malware ne sera pas en mesure d'exfiltrer un de vos fichiers, car il n'aura pas accès à Internet. Et enfin, si une autre partie de vos ordinateurs est compromis, comme votre navigateur Web, les attaquants n'auront pas accès à ces fichiers de travail sensibles.

Vous pouvez aussi facilement utiliser des "machines virtuelles jetable", des AppVMs que vous créez dans un but spécifique et pour ensuite les supprimer lorsque vous avez terminé avec eux, pour ouvrir des documents auxquels vous ne faîtes pas confiance. Si le PDF que l'on vous a envoyé par courriel est réellement malveillant et essaie de prendre le contrôle de votre ordinateur, il ne le fera que sur la VM jetable. Mais si ce document contient quelque chose d'utile, vous serez toujours en mesure de le lire.

Vous pouvez le faire sur un seul ordinateur en utilisant un gestionnaire de bureau unique. C'est l'une des fonctionnalités les plus puissantes sur Qubes.

Vous pouvez toujours choisir d'isoler un logiciel sur des systèmes d'exploitation traditionnels en utilisant des outils comme VirtualBox ou VMWare, mais il vous sera impossible de faire un aussi bon travail de verrouillage de votre ordinateur que vous pouvez le faire avec Qubes.

L'état actuel du projet

En ce moment, vous devez être technophiles afin de tirer parti de tous les avantages de Qubes. Et ce n'est pas compliqué si vous êtes déjà un nerd Linux. Je pense que cela peut être amélioré, mais Qubes ne serai jamais un outil de sécurité que l'on "allume et oublie". Dans le domaine de la sécurité, chaque besoin utilisateur dépend entièrement de ses préférences et ses besoins de sécurité. Mais si vous connaissez vos besoins et comprenez comment utiliser et configurer les AppVMs pour les adapter, vous serez en mesure d'utiliser votre ordinateur en toute sécurité, dans une sécurité beaucoup plus élevé que si vous utilisiez un système d'exploitation traditionnel.

Un des usages qui pourrait être grandement améliorée est celui du support matériel au sein des machines virtuelles. J'ai passé des heures à essayer de comprendre comment faire fonctionner la webcam interne de mon ordinateur portable au sein d'une AppVM. La solution finalement fini par être de donner le contrôle de mon contrôleur USB à l'AppVM et de modifier les permissions sur / dev/video0 afin qu'il soit accessible en écriture à l'intérieur de la AppVM - au détriment d'avoir accès à un des ports USB, et en créant donc d'autres problèmes de sécurité liées à l'USB (que les OS normaux ont par défaut). Les problèmes matériels continuent pour moi : les clés USB fonctionnent très bien, mais les cartes ethernet USB non ; je ne peux pas facilement importer des photos depuis mon téléphone Android. J'ai assez de patience, de recherche google, et d'expérience Linux pour les résoudre, mais je pense que de nombreux utilisateurs seront perdus.

Qubes vs Tails ?

Qubes et Tails sont fondamentalement différents dans leurs cas d'utilisation. Ils sont tous les deux très important, et j'utilise les deux systèmes d'exploitation tous les jours.

Tails permet de rester anonyme. Lorsque vous l'utilisez sur un ordinateur, il ne laisse pas de trace comme quoi il a démarré. Il change votre adresse MAC avant de vous connecter à un réseau, et il oblige tout le trafic réseau à passer par Tor, veille à ce que vous ne ferez pas d'erreur technique laissant fuiter accidentellement votre adresse IP. Lorsque vous utilisez le navigateur Web fournit dans Tails, votre trafic ressemble exactement à celui de tous les autres utilisateurs de Tor.

Qubes est pour être sécurisé tout en étant capable d'utiliser une grande variété de logiciels qui pourraient contenir des failles de vulnérabilités zero-day, mais ce n'est pas pour rester anonyme. Qubes supporte des astuces de modification du réseau, comme faire un AppVM où tout le trafic est obligé de passer par Tor, mais il n'intègre pas la plupart des techniques d'anonymisation pour lesquelles Tails excelle.

L'essentiel

Pour une sécurité maximale, je recommande aux gens d'utiliser Qubes sur leur ordinateur pour tous leurs besoins, non anonymes, de tous les jours : relever ses mails, le Chat, utiliser les réseaux sociaux et la navigation sur le web, développement de logiciels, faire de la recherche, la rédaction d'articles. Si faites tout votre travail dans des AppVMs qui exécutent Linux (et éventuellement dans des AppVMs qui exécutent Windows), vous aurez les versions les les plus récentes et les meilleurs outils pour travailler avec, et il est simple d'installer de nouveaux logiciels. Pour des besoins plus sensibles où l'anonymat est important, vous pouvez utiliser le Tor Browser Bundle à l'intérieur d'un AppVM.

Et pour les besoins les plus sensibles, comme les journalistes visés par la NSA, vous devez utiliser Tails.

FIN DE TRADUCTION

Traduction de https://pressfreedomfoundation.org/blog/2014/07/how-recent-tails-operating-system-vulnerability-affects-journalists-securedrop - How the Recent Tails Operating System Vulnerability Affects Journalists and SecureDrop
écrit par Runa A. Sandvik, @runasand sur Twitter.

Ce texte a été publié sous licence Creative Commons Attribution 4.0 International License, ce qui me permet de le traduire.

Comment la récente vulnérabilité du système d'exploitation Tails affecte les journalistes et SecureDrop

Mercredi après-midi, l'entreprise de recherche de de vulnérabilité et d'exploits Exodus Intelligence a révélé l'existence d'une faille de sécurité qui permettrait à un attaquant de deanonymizer un utilisateur de Tails, le système d'exploitation que de nombreux journalistes utilisent pour communiquer en toute sécurité avec des sources et que nous avions déjà parlé. Tails faisant partie intégrante de SecureDrop, notre système open-source de soumission dédié au whistleblower / lanceur d'alerte, nous avons donc voulu expliquer comment la vulnérabilité affecte les utilisateurs de ce système.

La vulnérabilité se situe dans le logiciel I2P, qui est livré avec Tails par défaut et peut être utilisé pour se connecter à un réseau d'anonymat alternatif. Pour que cette attaque fonctionne, l'utilisateur devra lancer manuellement le logiciel I2P et afficher le contenu que l'attaquant contrôle (par exemple en étant poussé à visiter un site Web spécifique). Les journalistes et les sources qui utilisent Tails pour accéder SecureDrop ne sont pas vulnérables à cette attaque à moins qu'ils ne lancent manuellement le logiciel I2P.

L'équipe de Tails et l'équipe d'I2P ont tous deux reçu des détails sur cette vulnérabilité et travaillent sur son analyse. Les observations initiales des développeurs d'I2P suggère que l'exploitation de la faille repose sur l'utilisation de JavaScript.

JavaScript est un langage de programmation largement utilisé pour créer des sites web plus interactif. Au cours des dernières années, il est devenu quasiment omniprésent et activé par défaut dans la plupart des navigateurs. Malheureusement, le JavaScript est également une source commune de failles de sécurité au sein des navigateurs.

Par le passé, les exploits JavaScript ont été utilisés à la fois par le FBI et la NSA pour attaquer les utilisateurs du réseau d'anonymisation Tor. Compte tenu de ces tendances, nous avons longtemps encouragé les utilisateurs de SecureDrop à désactiver JavaScript pour se protéger contre les logiciels malveillants qui pourrait l'utiliser pour attaquer leur navigateur et potentiellement les désanonymizer.

JavaScript n'est pas la seule source potentielle de tels exploits, mais étant donné son utilisation dans les récentes attaques, nous croyons qu'il est prudent de le désactiver. Cette vulnérabilité ne fait que confirmer ce sentiment. Pour ce faire, nous recommandons que les sources (et que chacun) utilisent l'extension NoScript. L'extension est incluse dans Tails et le Tor Browser par défaut. Pour bloquer tout le JavaScript, cliquez simplement sur l'icône de NoScript sur la gauche de la barre d'adresse et sélectionnez "Interdire les Scripts (conseillé)".

Dans un article publié jeudi soir, les développeurs de Tails suggèrent de se protéger plus efficacement en supprimant complètement le logiciel I2P à chaque fois que vous démarrez le système d'exploitation. Pour ce faire, définissez un mot de passe d'administration et exécutez la commande suivante dans le terminal : sudo apt-get purge I2P.

Cet incident montre aussi pourquoi il est essentiel que nous continuions à soutenir des projets de logiciels libres tels que Tails, afin qu'ils aient suffisamment de fonds pour pouvoir identifier et corriger les vulnérabilités potentielles rapidement. Actuellement, nous avons un crowdfunding pour quatre de ces outils libres et open-source, y compris Tails et le projet Tor. S'il vous plaît, envisager de faire don pour soutenir ces outils qui apportent une meilleur protection des communications des journalistes et des sources.

Nouvelle traduction d'un billet expliquant l'attaque récente qu'a subi le réseau Tor.
Pour en savoir plus sur la dite attaque, je vous invite à lire le billet plus technique et en anglais sur le blog officiel du projet TOR Tor security advisory : "relay early" traffic confirmation attack

Ce texte a été publié sous licence Creative Commons Attribution 4.0 International License, ce qui me permet de le traduire. Texte original à l'adresse suivante : How the Tor Traffic Confirmation Attack Affects SecureDrop Users écrit par Runa A. Sandvik, @runasand sur Twitter.

How the Tor Traffic Confirmation Attack Affects SecureDrop Users - Comment l'attaque confirmée sur le réseau TOR affecte les utilisateurs de SecureDrop

Mercredi matin, le projet Tor a publié un bulletin de sécurité détaillant une attaque contre le réseau Tor, attaque dont le but était d'essayer de désanonymizer les utilisateurs. SecureDrop, notre système de soumission open-source dédié aux lanceurs d'alertes, est fortement tributaire de Tor et utilise le réseau d'anonymisation pour faciliter la communication entre les lanceurs d'alertes, les journalistes et les organismes de presse. Pour cette raison, nous avons voulu clarifier la façon dont l'attaque affecte les utilisateurs de SecureDrop.

Selon les analyses, les assaillants semblent avoir ciblés les personnes qui fournissent ou accédent à des services cachés Tor. SecureDrop utilise les services cachés, entre autres choses, hébergant le site web qui permet de soumettre des documents à des journalistes et le site auxquels les journalistes accèdent lors du téléchargement de ces informations.

En déployant un certain nombre de relais au sein du réseau Tor et en modifiant le trafic passant par ces relais, les assaillants ont tenté de savoir qui utilisait Tor et dans quel but. Malheureusement, la quantité d'informations que les assaillants ont pu récolté n'est pas encore clairement établie. Les utilisateurs qui ont utilisés ou accédés aux services cachés entre les dates du 30 Janvier et du 4 Juillet, période pendant laquelle les relais compromis étaient présents sur le réseau Tor, doivent supposer qu'ils ont été touchés (et sont donc concernés).

Le projet Tor annonce que les assaillants étaient en mesure d'identifier les utilisateurs qui utilisaient des services cachés, mais qu'ils n'ont probablement pas été en mesure de voir quelles pages ont été chargées ou quel type d'information a été soumis ou téléchargé. Les assaillants étaient probablement aussi en mesure de connaître l'emplacement de ces services cachés. Le projet Tor n'a trouvé aucune preuve pouvant suggérer que les assaillants ont tenté de savoir quels sites les utilisateurs consultaient sur l'Internet ouvert. Nous vous recommandons de lire
l'avis complet si vous êtes intéressé par les détails techniques.

Qu'est-ce que cela signifie pour les journalistes et les utilisateurs SecureDrop ?

Il existe une possibilité que les assaillants aient appris l'emplacement physique d'un serveur exécutant SecureDrop. Il y a d'autres façons pour les attaquants d'apprendre cette information, et nous avons toujours recommandé aux organismes de presse ne pas compter uniquement sur les services cachés mais d'également cacher la localisation de leurs serveurs. Il y a aussi une possibilité que les assaillants aient appris la localisation individuelle des utilisateurs de Tor, y compris celles des sources soumettant des documents à des journalistes, si les utilisateurs étaient connectés à l'un des relais Tor contrôlés par les assaillants.

Pour cette raison très spécifique, nous recommandons à nos sources d'utiliser le système d'exploitation Tails, de restreindre leur utilisation à des fonctionnalités liées SecureDrop durant toute la durée de l'exécution de Tails, et de ne jamais visiter des sites SecureDrop depuis leur domicile ou leur lieu de travail. Bien que cela ne supprime pas complètement la menace d'une attaque par corrélation, cela limite les informations qu'un attaquant sera capable d'apprendre.

Le projet Tor fournira bientôt une nouvelle version du navigateur Tor, version qui apportera une réduction des conséquences des futures attaques de ce genre. Nous vous recommandons fortement de le mettre à jour dès que la nouvelle version est disponible.

Cet épisode n'est que le dernier exemple de pourquoi il est si important que nous continuions à soutenir des projets de logiciels libres tels que le Projet Tor, afin qu'ils puissent identifier et prévenir ces types d'attaquants rapidement. Nous avons actuellement un crowdfunding pour quatre de ces outils libres et open-source, y compris Tor et le système d'exploitation Tails, dont de nombreux journalistes et des sources dépendent pour communiquer de manière sécurisée. S'il vous plaît, envisager le fait de faire don pour soutenir de ces outils qui peuvent mieux protéger les communications des journalistes et des sources.

Key signing party

Je reprends ici dans son intégralité le texte de Wikipedia Key signing party qui explique assez bien le déroulement d'une Key signing party.

En cryptographie, une key signing party est un événement pendant lequel des personnes s'échangent entre elles leurs clefs compatibles PGP. L'échange se fait de visu, de la main à la main. En partant du principe qu'on a confiance en le fait que la clef appartient bien à la personne qui le prétend, les participants signent numériquement le certificat contenant cette clef publique, le nom de la personne, et ainsi de suite.

Bien que les clefs PGP (Pretty Good Privacy) soient généralement utilisées avec des ordinateurs personnels dans le cadre d'applications liées à Internet, les key signing parties se déroulent généralement sans ordinateur, puisque cela augmenterait le risque d'abus de confiance. Au lieu de cela, les participants communiquent une chaîne de lettres et de numéros, nommée empreinte de la clef publique, qui représente leur clef.

L'empreinte est créée via une fonction de hachage cryptographique, qui réduit la clef à une chaîne (plus courte et plus facilement gérable). Les participants échangent ces empreintes tout en vérifiant chacun l'identité des autres personnes participant à l'échange. Puis, après la rencontre, chaque participant récupère (par le biais des serveurs de clés existant sur Internet) les clefs correspondant aux empreintes qu'on lui a données, et signe chacune des clefs.

En définitive, une key signing party permet à chacun d'accroître et de renforcer sa toile de confiance (en anglais, Web of Trust), et donc d'être sûr, qu'une clé récupérée depuis un serveur de clés appartient bien à la personne qui le prétend. Cette certitude est souhaitable, voire nécessaire, dans de nombreux environnements ; par exemple, le système de messagerie électronique conventionnel ne contient aucun moyen de se prémunir d'une usurpation d'identité ou d'adresse de messagerie.

En pratique comment ça marche

Lorsque l'on rencontre quelqu'un, il faut lui remettre un papier qui contient donc l'identifiant de sa clef GPG. Le plus simple est d'utiliser le programme gpg-key2ps qui fait partie du paquet "signing-party" (On cherche et installe "signing-party" sous sa distribution GNU/Linux). Une fois le programme gpg-key2ps installé, on doit faire des commandes sur la ligne de commande :

Avec XYZABC l'identifiant de sa clef et out.pdf le fichier à imprimé.

Problèmes : il faut taper deux lignes dans la ligne de commande, ce qui n'est pas forcément sexy/peut être rebuttant pour le débutant. Mais GPG n'étant pas pour les débutants...

Le format des petits papiers issus de gpg-key2ps ne sont pas non plus des plus attrayant visuellement, ce que j'ai personnellement fait, c'est de mettre ça dans LibreOfficeCalc, ce qui m'a permis d'ajouter une image de mon avatar :

Ce est tout de suite plus agréable visuellement.

Les problématiques liées aux Key signing party

En ce qui concerne les problématiques liées aux Key signing party, je les ai déjà évoquées dans deux articles :
GPG, Key signing party et pseudonyme
GPG, Toile de confiance, Clef publique
Vers lesquels je vous renvoie.
Ainsi que Clef GPG et le certificat de révocation, car quand une clef est révoquée, la nouvelle clef doit de nouveau être validée/signée et il est donc nécessaire de participer à des Key signing party...