Le concept

A.I.² signifie Apprenons l'Informatique, Apprenons Internet

Le nom est assez significatif mais je souhaite expliquer plus en détail ce qu'il y a derrière. Tout d'abord, j'insisterai sur le fait que c'est apprenONS et non pas apprenEZ. On est ensemble. Il n'y a pas quelqu'un qui sait et ceux qui apprennent. Le nom est révélateur d'une volonté d'inclure, de partager...

L'Informatique et Internet sont partout dans nos vies quotidiennes. Il me semble important que le grand public, tout à chacun soit à même de s'approprier les connaissances nécessaires et suffisantes pour comprendre ces outils qui changent les fondements mêmes de notre société, dans notre accès à l'information, aux connaissances, au partage, à la communication...

Sous quel format ?

Le format, ce sera des interventions sur plusieurs formes : conférences, ateliers, débats. Sur un thème donné ou un sur un thème générique. Ayant un rapport avec l'Informatique ou Internet. On peut alors imaginer des A.I.² spécial. spécial Vie privée, spécial Logiciel Libre, spécial Tor, spécial Sauvegarde, spécial Big Data, spécial Internet des objets... Soit, tout thème sur lequel j'ai des connaissances et sur lequel je suis à même de faire de la vulgarisation et des présentations grand public.

Selon les demandes que j'aurais pour intervenir, on peut partir sur des des bases, des choses simples et monter le niveau de connaissances. Ou aller sur des thèmes précis, ciblés... Mon idée est de voir ce que les public veut ou a besoin d'apprendre. Alors, je le sensibilise, je luis fais comprendre qu'il y a des choses qu'il faut apprendre, qui sont une nécessité.

Lors des ateliers, je pense utiliser différents types de jeux et de mise en situation mon jeu de carte Initier à Tor et GPG via un jeu, mon jeu de rôle (présenté lors de l'animation au Dernier bar avant la fin du monde), des images, des métaphores comme mon texte de Vulgarisation sur https et TOR...

Enfin, toute l'informatique utilisée sera uniquement sur du logiciel libre.

Le public cible

Le public cible est avant tout du grand public, mais également des technophiles, des geeks, des les enseignants- profs, des clubs informatiques. Toute personne intéressé par le concept. Je suis à la recherche de lieux susceptible de m'accueillir le temps d'un samedi après-midi : bar, un local associatif, médiathèque ou autre.

Comment aider ?

Toute personne souhaitant que je fasse une intervention peut me contacter et nous verrons alors comment organiser tout ça.

Sinon je recherche un graphiste pour m'aider à concevoir un logo, des personnes pour m'aider à relire mes tutoriaux, me conseiller. Ou autre. Toute aide est la bienvenue, si ça vous dit.

Mise à disposition des contenus

Comme tout ce que j'ai déjà fait, ce que je continuerai de faire sera sous disponible via le blog et moyens de communications associés (github etc). Tout est et restera sous Licence Creative Commons CC by SA, donc modifiable, distribuable, réutilisable.

Je pense que ma plus-value est dans mon expérience, dans qui je suis, dans ce que je sais faire. D'où mon appel à me solliciter pour que j'intervienne. Mais si vous souhaitez reprendre le concept, faire quelque chose de similaire à votre façon, allez-y. Mais je reste persuadé que j'ai quelque chose à apporter.

Communication autour d'A.I.²

Je pense que je ferai des tags A.I.² sur les billets de blog. J'essaierai de mettre (comme j'ai commencé) des sortes de pré-requis, connaissances à avoir en entête de chaque billet un peu technique, voir un niveau de technicité (débutant, intermédiaire, avancé).

Pour l'instant, pas de compte twitter ou de site, je mets tout sur ce blog, le temps de voir si le projet est viable, comment ça se déroule etc. Et on verra bien par la suite.

Conclusion

J'insiste et je terminerai là-dessus, le concept n'est pas nouveau (il existe des tas d'associations qui font ça depuis des années). Ce que j'apporte, c'est l'idée d'Apprenons, l'inclusion, le nous. Et la plus-value que j'estime être.

Principe

Le double facteur d'authentification ou Two-Factor Authentication est une façon de sécuriser ses comptes mails et autres services webs. L'idée est la suivante : en plus du mot de passe, on doit saisir un code temporaire, généré à la demande, que l'on doit entrer au moment de se connecter.

Ce code peut être fourni par une application extérieure sur un téléphone, ou sur un appareil dédié (un token, une sorte de calculatrice sur laquelle on tape un code fixe, qui génère alors un code temporaire) ou encore un code par SMS.

Certains services proposent également d'enregistrer le navigateur depuis lequel on se connecte régulièrement et envoie un mail quand un autre navigateur a été utilisé (même si c'est le même PC et la même adresse IP). D'autres lisent les lieux, dates et heures des derniers accès aux comptes, ce qui permet de vérifier que les seules connexions qui ont eu lieu sont celles que l'on a faites nous. Un mot de passe fort, changé régulièrement, et un code reçu par SMS permettent de renforcer la sécurité d'accès à ses comptes.

Recevoir un code unique par SMS nécessite que l'on ait le téléphone avec soi. Donc si quelqu'un veut se connecter à un compte que j'ai, il faut que la personne ait :
mon identifiant et mon mot de passe ;
mon téléphone (qui doit être déverrouillé car lui-même protégé par un code).

Comment ça marche ?

Il faut activer l'option si le service le propose (Facebook, Twitter, ou autre). On trouve des tutoriaux assez facilement comme
celui de l'EFF, ou en cherchant avec comme mots clefs "google double facteurs d'authentification" (car Google propose un système de ce type pour différents services).

Je rédigerai plus tard un ou plusieurs billets sur les applications et systèmes existants, le but du présent billet étant comme son nom l'indique, une réflexion sur le principe.

Donner son numéro de téléphone, oui, mais...

Je me suis retrouvé face au dilemme suivant : besoin de confidentialité versus besoin de sécurité. Je suis susceptible de donner mon numéro de téléphone à un service sur lequel je n'ai pas de maîtrise. Le service connaît alors mon numéro de téléphone (et donc un lien peut être fait entre mon identité et mon pseudonymat).

Mais si on regarde, dans la vie de tous les jours, quand, je ne suis pas devant un ordinateur relié à Internet, je me connecte en 3G à ces mêmes services... Et je donne (avec parcimonie) mon numéro de téléphone à quelques correspondants. Je suis d'ailleurs en mesure de définir à l'heure actuelle trois sphères distinctes :
personnelle/privée : mes amis, ma famille et certains services (public ou non)
public : mon activité Internet, associative et publique sous pseudonyme
professionnelle : mes contacts et relations liés à mon emploi.

Dans les sphères personnelles/privées et professionnelles, je suis connu sous mon identité civile (nom prénom). Dans la sphère publique, je suis donc connu majoritairement sous pseudonyme, mais quelques personnes, pour des raisons de praticité, connaissent mon prénom civil. Pour chacune de ces sphères, j'ai un mail dédié, j'ai des identités numériques dédiés, des profils Firefox (pour tout ce qui est cookie etc.) dédiés.

Le point commun entre ces différentes sphères sont les machines que j'utilise (PC, smartphone et connexion Internet). Et elles partagent donc une même adresse IP, et un même numéro de téléphone. Cela peut poser des soucis comme je l'explique dans mes billets :
- Réflexions autour de Linkedin et du pseudonymat
Faire le lien entre mon pseudo et ma véritable identité
Comment un pseudonymat peut voler en éclat ?
Quel est votre modèle de menace ?

Si le service sur lequel j'active la double authentification connaît mon numéro de téléphone, il n'a qu'une donnée personnelle de plus que je lui aurai volontairement donné... Une donnée rattachée à qui je suis. Mais comme je le disais plus haut, je donne aussi mon numéro de téléphone à des personnes qui ne me connaissent que sous mon pseudonyme... J'ai donc fait le choix, pour quelques service précis, d'activer la double authentification, estimant que le gain (un peu plus de sécurité) valait bien le fait que le service ait le numéro de téléphone...

Encore plus loin dans la paranoïa... ou pas

Pour aller encore plus loin dans la réflexion et l'élargir au delà de la thématique de départ. J'ai un téléphone portable de type smartphone. Bien que celui-ci tourne sous Firefox OS et que je prends grand soin à bien régler les paramètres de confidentialité dans celui-ci, le simple fait d'avoir le réseau me géolocalise, me géolocalise mais sous mon identité civile. Si vraiment le fait d'avoir un téléphone est un problème dans le modèle de menace, il faudrait alors penser à avoir deux numéros distincts et deux téléphones, un pour le pseudonyme, avec une carte prépayé par exemple et un pour l'identité civile, ne jamais avoir les deux téléphones d'activés aux mêmes moments, aux mêmes endroits... On peut pousser très loin la problématique et on ne s'en sort pas vraiment...

Quand on gère plusieurs identités numériques, par exemple une sous son identité civile (nom/prénom) et une sous pseudonyme, que chaque identité est liée à des sphères distinctes, il y a une chose à prendre en compte : le message sur le répondeur de son téléphone portable.

En effet, si on est amené à donner son numéro de téléphone à différentes personnes de ces deux sphères distinctes (pour par exemple une rencontre IRL), ces personnes peuvent être amenées à nous téléphoner, à tomber sur le répondeur et entendre un message du type "Bonjour vous êtes bien sur le répondeur de Nom - Prénom, merci de laisser un message..."

Or, si la personne ne nous connait que sous notre pseudonyme, c'est peut être que l'on a pas envie, pour différentes raisons (aucun intérêt, gestion de son modèle de menace ou autre), qu'elle sache notre identité civile. En entendant ce message, elle a désormais l'information, qu'elle pourra valider via une recherche sur les réseaux sociaux (et trouver une photo qui validera l'orthographe et l'identité civile)...

Attention donc au message du répondeur de téléphone portable, pensez à laisser une annonce générique et à ajouter ce point dans votre modèle de menace.

Le but est de montrer, via un cas concret, une sorte de tutoriel, une application de mon billet théorique Comment vérifier l'intégrité d'un fichier que l'on télécharge ?.

Pour ce faire, on se rend sur la page de téléchargement de Firefox https://www.mozilla.org/en-US/firefox/all/.

Le lien qui est fourni est un lien vers https://download.mozilla.org/?product=firefox-stub&os=win&lang=fr

Ce lien ne nous intéresse pas. Il nous faut "le vrai lien". Pour ce, dans la fenêtre de téléchargement de l'exécutable, on récupère le chemin vers la source du fichier téléchargé. A savoir https://download-installer.cdn.mozilla.net/pub/firefox/releases/32.0.3/win32/fr/Firefox%20Setup%2032.0.3.exe

On utilise ce chemin pour remonter dans l'arborescence du serveur, au niveau de https://download-installer.cdn.mozilla.net/pub/firefox/releases/32.0.3/

Là, on aura les différents sous répertoires des différentes versions de Firefox pour les différents systèmes d'exploitations, mais surtout, c'est là que l'on trouvera différents fichiers :
MD5SUMS et MD5SUMS.asc
SHA1SUMS et SHA1SUMS.asc
SHA512SUM et SHA512SUMS.asc

Si on regarde le contenu du fichier MD5SUMS, il contient pour tous les fichiers que l'on peut télécharger le hash (MD5) des exécutables.

Le MD5SUMS.asc est la signature numérique (GPG) du fichier contenant les hashs.

On vérifie que le fichier contenant les signatures est bon (application de Comment vérifier l'intégrité d'un fichier que l'on télécharge ?) via un

Puis on fait un

et on compare le résultat obtenu (par exemple 36daf51ab56a8b56acbe727e843a7304) à celui contenu dans le fichier MD5SUMS.

Si les deux codes correspondent, le FirefoxSetup32.0.3.exe est bon. On peut l'installer en confiance.

Conclusion

De cette façon, je sais que mon fichier Firefox.exe est bon, n'a pas été corrompu et est bien celui que Mozilla propose au téléchargement (il ne sera pas une version modifié pour ajouter des spywares par exemple).

Ce n'est pas le binaire de Firefox OS qui est signé numériquement, mais le fichier des signatures, ce qui est mieux que rien. (Par exemple, dans le cas du TorBrowser , c'est l'exécutable de l'installeur qui est signé mais il est vrai qu'il y a beaucoup moins de versions différentes).

Sur le même sujet
Comment vérifier l'intégrité d'un fichier que l'on télécharge ?.
Comment vérifier l'intégrité du TorBrowser quand on le télécharge ?.

Une petite histoire

Imaginer une zone pavillonnaire avec différentes maisons dont celle de votre ami.

Cas 1 : Sa maison a des murs aux transparents. On vous voit aller chez lui, on peut entendre ce que vous dites et voir ce que vous faîtes.

Cas 2 : Maintenant, sa maison a des murs pleins. On vous voit aller chez lui, mais on peut plus entendre ce que vous dites et voir ce que vous faites (on met de côté l'aspect micro/caméra). Mais on sait à quelle heure vous êtes venu le voir et quand vous repartez.

Cas 3 :
Si en arrivant en extérieur de la zone pavillonnaire, vous entrez dans une première maison, et en ressortez avec un déguisement, puis vous entrez dans une seconde maison au hasard et en ressortez avec un autre déguisement, et entrez enfin dans une troisième maison au hasard et en ressortez avec un autre déguisement, pour enfin entrez chez votre ami. On sait que quelqu'un est entré chez lui, de quelle heure à quelle heure, mais on ne sait pas que c'est vous. A moins de surveiller toutes les maisons, de surveiller toutes les personnes qui entrent et sortes de chaque maison (sachant que chacun en ressort déguisé), ce qui est très compliqué...

Cas 4 : Si en arrivant en extérieur de la zone pavillonnaire, vous entrez dans une première maison, et en ressortez avec un déguisement, puis vous entrez dans une seconde maison au hasard et en ressortez avec un autre déguisement, et entrez enfin dans une troisième maison au hasard et en ressortez avec un autre déguisement, pour enfin entrez chez votre ami. Mais cette fois, vous passez par la porte arrière de la maison, côté jardin. On ne sait même pas qu'une personne est venue dans la maison de votre ami.

Transposons ça à Internet

Cas 1 : Dans le premier cas, il s'agit d'une connexion Http classique. Vous utilisez votre navigateur, allez sur un site. Un observateur extérieur peut savoir que vous allez sur le site et quelles pages vous consultez.

Cas 2 : Dans le deuxième cas, il s'agit d'une connexion Https. Vous utilisez votre navigateur, allez sur un site en mode sécurisé. Un observateur extérieur peut savoir que vous allez sur le site mais ne voit pas quelles pages vous consultez (seul le site le sait et enregistre les traces dans le journal de logs, tout comme votre ami chez qui vous êtes saura ce dont vous lui avez parlé).

Cas 3 : Dans le troisième cas, il s'agit d'une connexion qui se fait via le réseau Tor. La connexion passe par trois proxys intermédiaires avant d'arriver sur le site web. Je ne détaillerai pas plus le fonctionnement de Tor.

Cas 4 : Dans le quatrième et dernier cas, il s'agit d'une connexion à un service caché dans Tor, les fameux Hidden services. On ne ressort pas du réseau Tor, on entre par une porte particulière sur le site web. Tout comme on entre par une porte dissimulé de la vue de tous chez son ami.

Conclusion

Merci de laisser dans les commentaires vaut remarques/critiques quand à cette analogie/vulgarisation