PROJET AUTOBLOG

Le blog de Genma

Site original : Le blog de Genma

⇐ retour index

SecureDrop par la Freedom of the Press Foundation

jeudi 1 janvier 1970 à 01:00

Traduction de la page SecureDrop du site de la Freedom of the Press Foundation

SecureDrop est un système de soumission open-source pour les lanceurs d'alertes (whitleblower) que les médias peuvent installer afin de recevoir des documents provenant de sources anonymes. Il a été codé par le regretté Aaron Swartz

Tout organisme peut installer SecureDrop gratuitement et peut apporter des modifications si il le désire. Consultez notre page de projet sur GitHub pour obtenir des instructions d'installation détaillées.

La Freedom of the Press Foundation propose également une assistance technique aux organismes de presse qui souhaitent installer SecureDrop et former ses journalistes aux meilleures pratiques de sécurité. Pour entrer en contact remplissez le formulaire

Nous maintenons une liste officielle des instances SecureDrop à l'état brut. De plus, nous avons une campagne de crowdfunding pour ceux qui voudraient avoir un SecureDrop mais ne peuvent pas se permettre d'investir dans le matériel nécessaire.

Questions Fréquentes

Qu'est ce que SecureDrop ?

SecureDrop est un système de soumission open-source pour les lanceurs d'alertes (whitleblower) que les médias peuvent installer afin de recevoir des documents provenant de sources anonymes. Il a été codé par le regretté Aaron Swartz, avec l'aide de l'éditeur de Wired, Kevin Poulsen et de l'expert en sécurité, James Dolan. Le projet a été précédemment appelé DeadDrop. La Freedom of the Press Foundation a repris la gestion du projet en Octobre 2013.

Comment les organismes de presse peuvent installer SecureDrop ?

Toute organisme peut installer SecureDrop gratuitement et y apporter des modifications étant donné le fait que le projet est open-source. Nous avons écrit des instructions détaillées sur son installation, qui peuvent être lues ici.

Parce que l'installation et le fonctionnement reste complexe, de la Freedom of the Press Foundation aide les organismes de presse à installer SecureDrop et forme ses journalistes aux meilleures pratiques de sécurité, ce afin d'assurer la meilleure protection des sources.

Comment fonctionne SecureDrop ?

Le code derrière SecureDrop est une application Python qui accepte les messages et documents via le web et les chiffre via GPG pour un stockage sécurisé. Essentiellement, c'est une alternative plus sûre au formulaire de contact qui se trouve généralement sur les sites.

Dans le cadre de son fonctionnement, chaque source se voit attribué un « nom de code » unique. Le nom de code permet à la source d'établir une relation avec l'organisme de presse sans révéler sa véritable identité ou la nécessité de recourir à un e-mail. La source peut alors entrer son nom de code lors d'un prochaine visite, et ainsi les messages envoyés par journaliste - "Merci pour les photos de Roswell. Pouvez-vous expliquer à quoi correspond la tache sombre sur le côté gauche ?" - Ou encore présenter des documents ou des messages supplémentaires dans d'un cadre même identifiant anonyme. La source est connu par son nom de code unique du côté du journaliste. Toutes les soumissions de la source sont regroupés dans une « collection ».

Chaque fois qu'il ya une nouvelle soumission par cette source, la collection de l'ensemble des soumissions est placée au début de la file d'attente des soumission. SecureDrop a été conçu pour utiliser deux serveurs physiques : un serveur public en facade qui stocke les messages et les documents, et un second serveur qui effectue le suivi de la sécurité du premier.

Est-ce que SecureDrop promet 100% de sécurité ?

Non, et toute entreprise ou produit qui promet une sécurité à 100% ne dit pas la vérité. SecureDrop tente de créer un environnement beaucoup plus sécurisé que celui qui existe à travers les canaux numériques traditionnels, permettant ainsi aux sources de fournir leurs renseignements, mais il existe toujours des risques.

Un audit de sécurité majeur de SecureDrop (encore appelé DeadDrop) a été menée à la mi-2013 par l'expert en sécurité Bruce Schneier et une équipe de chercheurs de l'Université de Washington, dirigée par Alexei Czeckis, que vous pouvez lire ici. Nous avons discuté en détail sur comment nous pouvions remanié SecureDrop en réponse à cette audit, et certains des risques subsistent encore.

Qui a créé SecureDrop ?

L'application Web, qui a été à l'origine appelé DeadDrop, a été codée et mise en place par Aaron Swartz en 2012 avant sa mort tragique. Le reforcement de sa sécurité est l'œuvre de James Dolan. Le journaliste d'investigation Kevin Poulsen est à l'origine du projet. Le New Yorker a lancé la première mise en place et a sa propre version StrongBox, depuis mai 2013.

En October 2013, Freedom of the Press Foundation a repris la gestion du projet open-source et l'a rebaptisé SecureDrop. FPF a également embauché James Dolan pour aider les organismes de presse dans l'installation et la sécurisation, et Garrett Robinson pour diriger le développement. Kevin Poulsen continue d'être un consultant journalistique sur le projet.

Est-ce que SecureDrop est open source ?

Oui. Dans les fait, SecureDrop est un logiciel libre : vous pouvez le redistribuer et / ou le modifier selon les termes de la Licence publique générale GNU Affero telle que publiée par la Free Software Foundation, soit la version 3 de la Licence, ou (à votre choix) toute version ultérieure. Ce projet, et tout le matériel qui l'accompagne, sont distribués dans l'espoir qu'il seront utile, mais SANS AUCUNE GARANTIE ; sans même la garantie implicite de MARCHANDE OU D'ADEQUATION A UN USAGE PARTICULIER. Pour plus de détails, voir la Licence publique générale GNU Affero. En d'autres mots, rendez meilleur et diffuser-le à grande échelle.

Comment puis-je contribuer à SecureDrop ?

Il y a beaucoup de façons dont vous pouvez contribuer à SecureDrop. Tout d'abord, nous avons besoin de dons pour maintenir le projet en vie. Vous pouvez
aller ici pour nous aider à payer pour le développement, l'entretien et la sécurité afin que nous puissions nous déplacer chez des organismes de presse et les aider à l'installer. Vous pouvez également contribuer au développement de SecureDrop en visitant notre page GitHub. Si vous êtes un développeur, vous pouvez aussi aller ici pour vous inscrire à notre liste de discussion où les développeurs contribuant peuvent discuter et recommander des fonctions de sécurité et des nouvelles fonctionnalités<.

Comment vérifier l'intégrité du TorBrowser quand on le télécharge ?

jeudi 1 janvier 1970 à 01:00

Ce texte est un complément à mon tutoriel Comment vérifier l'intégrité d'un fichier que l'on télécharge ?

Télécharger le Tor Bowser bundle, c'est bien. Vérifier que le fichier est intègre, c'est mieux.

Il est fortement déconseillé d'utiliser autre chose que le TorBrowser pour surfer sur le web via Tor (en utilisant Firefox en configurant le proxy par exemple). Le TorBrowser contient beaucoup de modifications pour être plus sécurisé et on ne fera jamais aussi bien. Les extensions que l'on peut avoir rendent le navigateur que l'on a perméable, en lui ajoutant des failles potentielles... Bref, il faut utiliser le TorBrowser ou Tails pour utiliser le réseau Tor.

Utiliser le TorBrowser, c'est bien. Mais encore faut-il qu'il soit à jour. Le navigateur, a son lancement, vérifie qu'il est bien à jour et le signale dans le cas contraire. Le réflexe que l'on doit alors avoir est de le mettre à jour. Et là, comme lors du premier téléchargement et à chaque fois qu'on le télécharge, on doit vérifier l'intégrité des fichiers.

Il existe des tutoriaux en vidéos pour les différents OS sur la page https://www.torproject.org/projects/torbrowser.html. Ils donnent la série de commande à taper. En bon informaticien, et adepte du lifehacking, je connais l'utilité de scripter en shell.

Sous Linux - le Tor Browser Launcher

Avec le Tor Browser Launcher., c'est fait automatiquement, le code source est disponible et auditable (je l'ai fait pour la partie script - hors librairie utilisée). J'ai donc confiance dans ce script et je vous renvoie vers ce projet.
A lire sur ce sujet :
- le Tor Browser Bundle
- AppArmor bloque le Tor Browser Launcher

Sous Windows

Sous Windows, il n'existe pas d'équivalent du Tor Browser Launcher.

Je n'ai pas le temps ni l'envie de recoder le script de Tor Browser Launcher car le script est assez lié à Linux. Mais j'ai envie de gagner du temps et ne pas toujours faire les mêmes choses. Alors, j'ai fait un script assez spécifique à mon environnement Windows, mais que je partage, vu que je l'ai commenté.
Rq : je n'ai pas encore de script exploitable sur n'importe quelle machine Windows, ça marche juste dans mon environnement que je maitrise ; je ne vais aussi loin que le Tor Browser Launcher qui est un script Python qui repose sur Linux (et le fait que GPG est installé).

Prérequis :
- Avoir cygwin d'installer
- Avoir gpg pour Windows d'installer.

Quand je l'utilise ? Quand le TorBrowser me signale qu'il n'est plus à jour, je le ferme. Je lance ce script et le script va récupérer la dernière version du TorBrowser Bundle,(via wget), vérifier via la clef que le fichier téléchargé est correct. Si c'est bon, je supprime l'installation du TorBrowser existante et je relance son installation via l'exécutable que je viens de télécharger.

#!/bin/sh
#--------------------------
# Récupération des fichiers
#--------------------------
# La page de téléchargement du TorBrowser est toujours la même. Je récupère la page en elle-même pour
# en extraire les noms des fichiers important à savoir :
# - torbrowser-install-3.6.3_fr.exe
# - torbrowser-install-3.6.3_fr.exe.asc
# Rq : le numéro de version, ici 3.6.3 change, mais le motif "_fr.exe" est fixe et me permet de filtrer sur l'exécutable
# et sur le fichier .asc, clef de vérification de l'exécutable.
wget "https://www.torproject.org/projects/torbrowser.html.en" --user-agent="Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6" -O "torbrowser.html"
cat torbrowser.html |grep _fr.exe|awk -F'"' '{print $2}'|sed "s/\.\./https:\/\/www.torproject.org/g"|while read url
do
# Pour chaque nom de fichier correspondant au filtre "_fr.exe" (il y en a deux, le .exe et le .asc)
nomFichier=`echo $url|awk -F'\/' '{print $7}'`
# On récupère le fichier
wget $url --user-agent="Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6" -O $nomFichier
done
#----------------------------------------------
# Vérification du fichier .exe via la clef .asc
#----------------------------------------------
# On récupère la clef publique nécessaire pour utiliser le fichier .asc
gpg.exe --keyserver x-hkp://pool.sks-keyservers.net --recv-keys 0x416F061063FEE659
gpg.exe --fingerprint 0x416F061063FEE659
gpg.exe --verify torbrowser-install-3.6.3_fr.exe.asc torbrowser-install-3.6.3_fr.exe
#----------------
# Reste à faire
#----------------
# Vérifier le retour de la commande gpg.exe --verify de façon automatisée
# En testant le code retour par exemple, avec signalement d'erreur...

Pour la solution Windows, c'est largement perfectible mais chez moi ça marche et ça m'est utile. Si ça peut l'être à d'autres, tant mieux, d'où le partage.

Sur le même sujet
- Comment vérifier l'intégrité d'un fichier que l'on télécharge ?.
- Comment vérifier l'intégrité de Firefox quand on le télécharge ?.

Vous voulez que Tor marche vraiment ?

jeudi 1 janvier 1970 à 01:00

Comme tout le monde ne comprend pas l'anglais, voici la traduction de la page https://www.torproject.org/download/download.html.en#warning

Vous voulez que Tor marche vraiment ?

Vous devrez changer quelques-unes de vos habitudes, et certaines choses ne marcheront pas exactement comme vous le voudrez.

Utiliser le navigateur Tor.

Tor ne protège pas tout votre trafic Internet quand vous l'utilisez. Tor ne protège que les applications qui sont correctement configurées pour faire passer leur trafic Internet via Tor. Afin d'éviter des problèmes de configuration de Tor, nous conseillons fortement d'utiliser le Tor Browser Bundle. Il est déjà pré-configuré pour protéger votre anonymat et votre vie privée sur le web aussi longtemps que vous surfez via le navigateur Tor lui-même. Toute autre configuration de navigateur est potentiellement non sécurisée et déconseillée d'utiliser via Tor.

Ne faîte pas de Torrent via Tor

Les applications de partage de fichier via Torrent ignore la plupart du temps les connexions via proxy et se connectent directement bien qu'elles soient configurées pour passer par Tor. Même si votre connexion Torrent se connecte en ne passant que par Tor, vous allez envoyer votre véritable adresse IP dans la demande GET effectuée au tracker, parce que c'est ainsi que les trackers fonctionne. Non seulement vous désanonymiser votre trafic torrent de cette façon ainsi que les autres trafics webs effectuées en même temps via Tor, mais en plus vous ralentissez le réseau Tor tout entier pour tous les utilisateurs.

N'activez pas et n'installez pas de plugins dans le navigateur

Le navigateur Tor bloquera les plugins de navigateur comme Flash, RealPlayer, Quicktime et tous les autres : ils peuvent être utilisés pour révéler votre véritable adresse IP. De même nous ne recommandons pas d'installer des extensions ou ou des plugins dans votre navigateur Tor, car ils peuvent outrepasser la connexion par Tor, ou réduire voir détruire votre anonymat et votre vie privée. L'absence de plugin a pour conséquence le fait que les vidéos Youtube sont bloquées par défaut, mais Youtube fournit une version expérimentale qui marche pour certaines vidéos.

Utiliser la version HTTPS des sites webs

Tor va chiffré votre trafic vers et à travers le réseau Tor, mais le chiffrement de votre trafic vers le site web (la destination finale) dépend elle-même du site web. Afin d'aider à se connecter de façon chiffrer au site web, le Tor Browser Bundle inclue l'extension HTTPS Everywhere afin de forcer l'usage du chiffrement HTTPS avec la majorité des sites webs qui le supporte. Toutefois vous devez regarder la barre d'adresse des sites auxquels vous vous connectez pour fournir des informations sensibles, celle-ci doit apparaître un bouton bleu ou vert, inclure https dans l'URL, et afficher le nom exact et correct du site web.

Ne consultez pas/n'ouvrez pas de documents téléchargé pendant que vous êtes connecté via Tor

Le Tor Browser vous préviendra automatiquement quand vous tenterez d'ouvrir des documents via une application externe (autre que le navigateur). N'IGNOREZ PAS CET AVERTISSEMENT. Vous devez être très prudent quand vous télécharger des documents via Tor (et plus particulièrement des fichiers DOC ou PDF) car ces documents peuvent contenir des ressources Internet/des liens vers des images sur Internet qui seront alors téléchargées en dehors de la connexion à Tor quand on les ouvrira. Cela pourrait révéler votre véritable adresse IP. Si vous devez travailler avec des documents DOC et/ou PDF, nous recommandons très fortement de les ouvrir sur un ordinateur qui n'est pas connecté au réseau Internet, de télécharger VirtualBox et de lancer dedans une machine virtuelle déconnectée du réseau, ou d'utiliser Tails.

Utiliser les ponts

Tor essaie de prévenir des attaquants qui pourraient savoir à quel site vous vous connectez. Par contre, par défaut, cela ne protège pas du fait que l'on peut savoir que vous utilisez Tor. Si c'est important pour vous, vous pouvez réduire ce risque en configurant Tor pour qu'il utilise un pont relais au lieu de se connecter directement au réseau public Tor. Enfin, de façon ultime, la meilleure protection reste l'approche sociale : plus il y a d'utilisateurs Tor près de vous et plus ils sont divers et variés, plus vous êtes noyés dans la masse. Il faut donc convaincre les autres d'utiliser Tor !

TOR - Tails 0.23 est sortie

jeudi 1 janvier 1970 à 01:00

Traduction du bloc "Tails 0.23 is released" du billet Tor Weekly News — March 26th, 2014 du blog https://blog.torproject.org

Tails 0.23 est sortie… mais beaucoup d'utilisateurs de Tails l'utilise déjà. Maintenant que la mise à jour automatique a été activée par défaut dans la version précédente, les utilisateurs de Tails sur clefs USB ont pu goûter à la joie d'une mise à jour en simplement trois clics.

Comme à chaque fois, la nouvelle version corrige plusieurs failles de sécurité. Rien que ça devrait vous faire migrer, mais la nouvelle version apporte avec elle deux nouvelles fonctionnalités attendues depuis longtemps et quelques petites améliorations.

Tails fait maintenant du "MAC spoofing" par défaut. Afin de cacher l'adresse de la carte réseau (la fameuse addresse MAC qui est unique pour chaque carte réseau, note de traduction), Tails utilise une adresse générée aléatoirement. Cela permet d'éviter le traçage d'une position géographique données à travers différents réseaux. Pour en savoir plus sur le MAC spoofing, en quoi c'est important et quand cela peut être utile de le désactiver, nous vous invitons à lire la documentation fort bien rédigée.

Une autre fonctionnalité importante est l'intégration du support des proxies et ponts de Tor. Cela devrait être d'une grande aide pour les utilisateurs de Tails se trouvant sur des réseaux soumis à la censure. L'intégration est fait en utilisant l'extension "Tor Launcher", qui sera familière à quiconque aura utilisée une version récente du Tor Browser.

Voici quelques exemples des nouvelles fonctionnalités et bugs corrigés : Tor, obfsproxy, I2P, Pidgin et le navigateur web ont été mis à jour, un noyau 64-bit est maintenant utilisé afin d'assurer un support pour l'UEFI, la documentation est accessible depuis le menu de démarrage (le Tails Greeter), et l'option "New identity - Nouvelle identité du navigateur est de nouveau présente.

La prochaine version de Tails sortira le 29 avril et portera le numéro 1.0. Pour cette version importante issue de 5 ans d'un intense travail,
l'équipe Tails est toujours à la recherche d'un nouveau logo.

Tails HackFest 2014 - Anti-harassment policy - French Translation

jeudi 1 janvier 1970 à 01:00

Les 5 et 6 juillet, ce sera le Tails HackFest, 2014, Paris, l'information a bien été relayée sur les réseaux sociaux et les blogs. A cette occasion, l'équipe de Tails a mis en place une sorte de Tails HackFest 2014 — Anti-harassment policy / Guide de conduite que j'ai traduit ci-dessous en français.

Note de Genma : ce texte est à relier au texte d'Okhin que j'avais également traduit A propos de l'apprentissage et de l'enseignement..., qui reprend certaines notions/idées. Ou encore le Code de conduite du Loop.

Début de traduction

Comme la communauté technique dans son ensemble, l'équipe de Tails et sa communauté sont constituées d'un mélange de gens de partout dans le monde, travaillant sur tous les aspects de la mission - y compris le partage de connaissances, l'enseignement, et les relations/liens entre les personnes.

La diversité est une de nos grandes forces, mais elle peut aussi conduire à des problèmes de communication et des tension. À cette fin, nous avons établi quelques règles de base que nous demandons aux gens de respecter quand ils participent au sein de cette communauté et de ce projet. Ces règles s'appliquent également aux membres fondateurs, aux mentors, tout comme à ceux qui cherchent de l'aide et des conseils.

Ce n'est pas une liste exhaustive de choses que vous ne pouvez pas faire. Au contraire, retenez l'esprit dans lequel elle est pensée - un guide rendant les choses plus faciles, permettant d'enrichir chacun d'entre nous tout comme les membres des communautés techniques auxquelles nous participons.

Ces règles sont destinées à la Tails Hackfest 2014 à Paris. Elle pourrait devenir plus tard un code de conduite applicable à tous les espaces gérés par le projet de Tails.

Si vous pensez que quelqu'un viole une des ces règles, nous vous demandons de le signaler en contactant l'équipe d'intervention d'urgence (demander à l'accueil (frontdesk), ou par courriel à tails-hackfest-2014@boum.org).
- Soyez accueillant, sympathique et patient.
- Soyez prévenant. Votre travail sera utilisé par d'autres personnes, tout comme vous dépendez du travail des autres. Toute décision que vous prendrez aura une incidence sur les utilisateurs et les autres contributeurs, et vous devez tenir compte des conséquences quand vous prenez des décisions. N'oubliez pas que nous sommes une communauté mondiale, de sorte que vous pouvez être amené à parler avec quelqu'un dans une langue qui n'est pas sa langue maternelle. - Soyez respectueux. Nous sommes pas toujours d'accord, mais le désaccord n'est pas une excuse pour adopter un mauvais comportement et de mauvaises manières. Nous pouvons tous vivre une certaine frustration de temps en temps, mais nous ne pouvons pas nous permettre que la frustration se transforme en une attaque personnelle. Il est important de se rappeler qu'une communauté où les gens se sentent mal à l'aise ou menacés n'est pas très productive. Les membres de la communauté Tails doivent être respectueux des autres membres ainsi qu'avec des personnes extérieures à la communauté de Tails.
- Soyez prudent dans les mots que vous choisissez. Soyez gentil avec les autres. N'insultez pas ou n'enfoncez pas les autres participants. Toute forme de harcèlement et autres comportements d'exclusion ne sont pas acceptables. Cela inclut, mais n'est pas limité :
- Les menaces ou forme de langages violentes dirigées contre une autre
personne.
- Les blagues et propos sexistes, racistes, discriminatoires ou autre.
- Parler ou exposer du matériel sexuellement explicite ou violent.
- La publication (ou la menace de publication) d'informations d'identification personnelle d'autrui ("doxing").
- L'enregistrement, le fait de photographier ou de filmer d'autres personnes sans leur consentement. Il vous faut obtenir le consentement avant l'enregistrement. Penser également à demander aux autres personnes qui peuvent être vues ou entendues en arrière-plan de l'image/la vidéo.
- Les insultes personnelles, en particulier celles utilisant des termes racistes ou sexistes.
- Des attentions sexuelles importunes ou inappropriées.
- Toute forme de plaidoyer ou encouragement aux comportements mentionnés ci-dessus.
- Poursuivre un harcèlement répété envers quelqu'un. En général, si quelqu'un vous demande d'arrêter, vous devez vous arrêter.
- Lorsque nous sommes en désaccord, essayer de comprendre pourquoi. Les désaccords, à la fois sociaux et techniques, se produisent tout le temps et Tails ne fait pas exception. Il est important que nous résolvions les désaccords et les points de vue différents de manière constructive. N'oubliez pas que nous sommes différents. La force de Tails vient de sa communauté variée, des personnes venant d'un large éventail de milieux. Différentes personnes ont différents points de vue sur les questions. Être incapable de comprendre pourquoi quelqu'un a un certain un point de vue ne veut pas dire que cette personne a tort. Ne pas oublier que cette personne est humaine et peut se tromper et blâmer l'autre ne nous mènera nulle part. Au lieu de cela, s'il vous plaît, envisagez de proposer votre aide afin de résoudre les problèmes et afin d'aider à ce que l'on apprenne de ses erreurs.

Adapté du Code de conduite de Django, qui l'attribue lui-même au Speak Up ! project

Fin de traduction

A voir :
- Tails HackFest 2014 - Anti-harassment policy / Guide de conduite
- Tails HackFest, 2014, Paris
- le Code de conduite du Loop