start
Différences
Ci-dessous, les différences entre deux révisions de la page.
Prochaine révision | Révision précédente | ||
start [2023/01/07 13:36] – created telmob | start [2023/02/20 11:22] (Version actuelle) – créée mobtel | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== Réduction | + | //Bienvenue sur ce wiki tentant de rassembler en un seul endroit |
+ | Ce wiki est issu de documentations fournies lors de présentations sur les enjeux de la téléphonie mobile dans l' | ||
- | La sécurité absolu pour les téléphones est impossible, ce que l’on veut c’est réduire les risques de vols de données. | ||
- | Ce qui est important c’est | + | Nous essayons petit à petit de traduire ce wiki vers l' |
- | On peut classer ces outils en quelques catégories: | + | |
- | ===== 1) Habitudes ===== | + | [[fr: |
+ | [[en: | ||
- | + | [[it:accueil|Accéder | |
- | Le plan des habitudes est le plus important, car comme on l'a vu, utiliser des téléphones portables implique un grand nombre de problèmes inévitables. | + | |
- | \\ • La première habitude à prendre consiste à se poser les bonnes questions. La « modélisation de la menace » est un outil nous permettant de choisir des réponses adaptées à nos besoins. C'est un outil à expérimenter et utiliser individuellement et collectivement car nos choix auront des conséquences sur notre entourage.\\ | + | |
- | → Qui sont nos ennemi⋅e⋅s potentiel⋅le⋅s? | + | |
- | → Que veut-on leur cacher? (liste de contacts, membres d'un groupe signal, contenu de message, localisation, | + | |
- | → Que risquons-nous si on échoue? (se faire gronder, perdre nos données, prendre une amende, aller en prison…)\\ | + | |
- | → Quels moyens nos ennemi.es sont-iels prêt.es à mettre pour nous ou nos activités? (respect de la loi ou pas, quantité d' | + | |
- | → Quelle énergie avons-nous à mettre pour nous protéger? | + | |
- | + | ||
- | Quelques habitudes à mettre en place si ça nous paraît cohérent: | + | |
- | \\ • Se demander à chaque fois comment faire sans téléphone, | + | |
- | \\ • Rendre habituel certains usages inhabituels, | + | |
- | \\ • Stocker le moins de choses possible sur le tel (documents, photos, contacts, messages). Penser à transférer les photos et fichiers, les transverser dans un ordi de confiance, ou sur un support usb chiffré*. | + | |
- | \\ • Faire de la veille politique et technologique, | + | |
- | \\ • Se former collectivement en cas de garde à vue : bd « je n’ai rien à déclarer » sur https:// | + | |
- | \\ • Avoir des téléphones différents pour des usages différents. Avoir un téléphone professionnel, | + | |
- | \\ • La NSA a dit " | + | |
- | \\ • Ne pas avoir de téléphone :) | + | |
- | + | ||
- | ===== 2) Applis libres ===== | + | |
- | + | ||
- | + | ||
- | Comme on l'a vu, les applications ont un grand pouvoir de surveillance. C'est pourquoi on peut choisir d' | + | |
- | Mais alors il faut définir ce que « confiance » signifie, et comment acquérir cette confiance. | + | |
- | La confiance en une appli peut se jouer à différents endroits: | + | |
- | \\ • sécurité " | + | |
- | \\ • fiabilité dans le temps : Est-ce que les gens continuent de travailler dessus pour corriger les vulnérabilités ? | + | |
- | \\ • Vérifier réputation des gens qui font le logiciel. | + | |
- | \\ • Tchéquer le modèle économique du logiciel. | + | |
- | + | ||
- | Une tendance lorsqu' | + | |
- | \\ • Avec une appli privative, on ne pourra pas vérifier profondément la qualité de l' | + | |
- | \\ • Une appli non-libre pourrait volontairement chercher à nuire (de manière large ou de manière ciblée), sans qu'on puisse s'en apercevoir sans l' | + | |
- | + | ||
- | /!\ Attention, libre ≠ sécure, une appli libre peut contenir du code malveillant (volontairement ou non). | + | |
- | De plus, certaines applications ont une réputation, | + | |
- | \\ • la qualité de l' | + | |
- | \\ • la réactivité à la correction des vulnérabilités | + | |
- | \\ • la réputation de l' | + | |
- | \\ • le modèle économique | + | |
- | \\ • les phénomènes de mode | + | |
- | Enfin, il est important de bien toujours mettre à jour ses applis, afin de profiter des corrections de sécurité. | + | |
- | + | ||
- | Voyons quelques applications, | + | |
- | + | ||
- | **Magasin d' | + | |
- | + | ||
- | \\ • F-Droid (ne propose que des applis libres*) | + | |
- | \\ • Aurora Store (interface libre à Google Play Store, permettant de l' | + | |
- | + | ||
- | **Applis visant à protéger la confidentialité des communications :** | + | |
- | \\ • Signal (protocole de chiffrement Signal, compte relié à un numéro de téléphone) | + | |
- | \\ • Briar (protocole de chiffrement Briar, compte pas relié à un téléphone, | + | |
- | \\ • Conversations (protocole de chiffrement XMPP/ | + | |
- | \\ • Element (protocole de chiffrement Matrix) | + | |
- | \\ • Silence (protocole de chiffrement pour les SMS – attention qui contact qui reste visible sur le réseau contrairement aux autres logiciels) | + | |
- | + | ||
- | Il existe aussi un comparateurs d’applications fait par le site nothing2hide de communication sur plusieurs critères intéressants (attention il y a quelques erreurs dans le comparateur par exemple le code source du serveur de telegram n’est absolument pas libre ni opensource par exemple). Cette page compare les logiciels : briar, conversations, | + | |
- | https:// | + | |
- | + | ||
- | **Celles visant à protéger l' | + | |
- | \\ • Tor Browser (pour naviguer sur le web) | + | |
- | \\ • Briar (pour échanger des messages instantanés chiffré sans donner de numéro de tel ou d'e-mail) | + | |
- | \\ • Conversations (pour échanger des messages instantanés chiffré) | + | |
- | + | ||
- | **Pour les SMS :** | + | |
- | \\ • QKSMS | + | |
- | \\ • Simple SMS Messenger | + | |
- | \\ • Silence (super car chiffre les SMS de Silence à Silence, mais attention à l’usage certains SMS non-chiffrés se perdent…) | + | |
- | \\ • l' | + | |
- | + | ||
- | **Pour les e-mails: | + | |
- | \\ • K-9 Mail | + | |
- | VPN : | + | |
- | \\ • RiseupVPN | + | |
- | \\ • Mullvad VPN | + | |
- | \\ • CalyxVPN | + | |
- | \\ • Orbot : pour configurer d’autres applis pour les faire passer par tor (ne marche pas pour toutes les applis) | + | |
- | + | ||
- | **Autres applis de sécurité :** | + | |
- | \\ • exodus : εxodus analyse les applications Android dans le but de lister les pisteurs embarqués. Un pisteur est un bout de logiciel dont le but est la collecte de données à propos de vous et de vos usages. Ainsi, les rapports d’εxodus vous révèlent les ingrédients du gâteau. Disponible aussi sur F-droid. | + | |
- | \\ • Hypatia : Scanner de malware, fonctionne hors internet : https:// | + | |
- | + | ||
- | **Photos: | + | |
- | \\ • Open Camera | + | |
- | \\ • Obscuracam : qui peut être configuré pour flouter les visages automatiquement. | + | |
- | \\ • Scrambled Exif | + | |
- | \\ • Cryptocam + OpenKeyChain (chiffrement direct des photos et vidéos avec OpenPGP. Nécessite « Cryptocam Companion GUI/CLI » pour ouvrir les vidéos dans l' | + | |
- | + | ||
- | **Vidéos: | + | |
- | \\ • VLC | + | |
- | + | ||
- | **Lecture de documents: | + | |
- | \\ • Librera (pour lire des ebooks) | + | |
- | \\ • MuPDF (pour afficher PDF et autres) | + | |
- | \\ • Document Viewer (pour afficher PDF et autres) | + | |
- | \\ • Bonus: masse ebooks à télécharger sur trantor.is (préférer le site en .onion) et z-lib.org | + | |
- | + | ||
- | **Audio/ | + | |
- | \\ • Jitsi (audio/ | + | |
- | \\ • Plumble (protocole Mumble, audio uniquement) | + | |
- | + | ||
- | **Calendrier/ | + | |
- | \\ • Simple Calendar (fonctionne hors-ligne) | + | |
- | \\ • DAVx⁵ (synchronisation de calendrier distant, avec Nextcloud par exemple. Compatible avec Simple Calendar) | + | |
- | + | ||
- | **Notes: | + | |
- | \\ • Simples notes (hors-ligne, | + | |
- | \\ • Nextcloud Notes (pour synchroniser avec un nextcloud) | + | |
- | + | ||
- | **Pare-feu: | + | |
- | \\ • Netguard | + | |
- | + | ||
- | **Isolation d' | + | |
- | \\ • Insular | + | |
- | \\ • Shelter | + | |
- | + | ||
- | **Navigation web:** | + | |
- | \\ • Firefox Focus (via l' | + | |
- | \\ • Tor Browser | + | |
- | \\ • DuckDuckGo Privacy Browser | + | |
- | + | ||
- | **Alternatives à Youtube/ | + | |
- | \\ • NewPipe | + | |
- | \\ • SkyTube | + | |
- | + | ||
- | **Cartes: | + | |
- | \\ • Organic Maps (basé sur Openstreepmap) | + | |
- | \\ • OsmAnd (idem) | + | |
- | + | ||
- | **Sauvegarde** | + | |
- | \\ • OandBackup : permet une sauvegarde exhaustive, par application, | + | |
- | \\ • SMS Backup + : complément à OandBackup pour sauvegarder les sms | + | |
- | + | ||
- | **Jeux:** | + | |
- | \\ • Lona (sorte de snake arondi) | + | |
- | \\ • TowerJump | + | |
- | \\ • Puzzles (plein de casse-têtes trop stylés) | + | |
- | \\ • Rabbit Escape | + | |
- | \\ • Sokoban | + | |
- | \\ • Shattered Pixel Dungeon (exploration) | + | |
- | + | ||
- | Une série d' | + | |
- | + | ||
- | Un certain nombre d' | + | |
- | + | ||
- | ==== Revenons sur Signal ==== | + | |
- | + | ||
- | **Défauts :** \\ | + | |
- | → Possible sensation de sécurité parfaite (illusoire) qui fait qu’on ne fait plus attention à ce qu’on envoie\\ | + | |
- | → Lié à un numéro de téléphone qu'on ne peut pas cacher\\ | + | |
- | → Centralisé | + | |
- | + | ||
- | **Options :**\\ • Nom, À propos, Photo ⇒ donner le minimum d’informations\\ • Activer les messages éphémères et mettre une valeur par défaut\\ • Mettre un NIP ( /!\ ) et activer blocage d' | + | |
- | + | ||
- | S' | + | |
- | Vérifier les appareils reliés régulièrement.\\ | + | |
- | En cas de réquisition judiciaire faite à Signal, Signal prétend ne posséder que la date de création du compte ainsi que la date de la dernière connexion au compte: Sur leur site on peut retrouver ce que signal dit fournir aux institutions judiciaires : https:// | + | |
- | + | ||
- | ===== 3) Paramètres du smartphone ===== | + | |
- | + | ||
- | ==== Un bon code de chiffrement du téléphone ==== | + | |
- | + | ||
- | On va éviter la reconnaissance faciale (problématique en tant que technologie et y a des failles) et emprunte digitale (c’est possible de forcer la personne à mettre son doigt). Les schémas, souvent il reste des traces sur l’écran qui permet de les refaire. | + | |
- | + | ||
- | Phrase de passe: le mieux en terme de sécurité mais ça peut devenir pénible à taper (adapter le temps de verrouillage de l’écran). | + | |
- | + | ||
- | Digicode: bien à condition d'en avoir un assez long. C’est encore mieux si on active l' | + | |
- | + | ||
- | Le problème c’est que le code de chiffrement est le même que le code de déverrouillage de l’écran, ce qui souvent force à faire des codes plus courts, car il faut le taper souvent. Penser à éteindre un téléphone chiffré avant saisi pour activer le chiffrement. | + | |
- | + | ||
- | Si tu veux sauvegarder ton code quelque part, le mieux est d’utiliser un coffre fort à mot de passe comme keepassxc. | + | |
- | + | ||
- | ==== Réseau et chiffrement des communications ==== | + | |
- | + | ||
- | Au niveau du réseau il vaut mieux chiffrer ses communications en bout à bout (voir conseils d’applis) pour que le contenu ne soit pas divulgué, et pour cacher les sites internets fréquentés faire passer les applications par un vpn ou par le réseau Tor. | + | |
- | + | ||
- | Android 7 et plus prend en charge un « killswitch VPN » et il est disponible sans avoir besoin d' | + | |
- | Désactiver les fonctionnalités non-utilisés | + | |
- | + | ||
- | Quand c’est possible, désactiver les services Bluetooth et de localisation. Il y a parfois des interrupteurs à bascule pour l' | + | |
- | + | ||
- | **Android** | + | |
- | \\ • Mode USB par défaut : charge uniquement | + | |
- | \\ • Débogage USB désactivé | + | |
- | \\ • Mettre un verrouillage d' | + | |
- | \\ • Désactiver l' | + | |
- | \\ • Chiffrement du téléphone (il est activé par défaut depuis android 10) | + | |
- | \\ • Notifications discrètes | + | |
- | \\ • Utiliser les Comptes d' | + | |
- | + | ||
- | **iOS** | + | |
- | \\ • Bon code de déverrouillage | + | |
- | \\ • Désactiver les sauvegardes sur iCloud | + | |
- | \\ • Désactiver l' | + | |
- | \\ • Attention aux notifications | + | |
- | + | ||
- | ⇒ Le téléphone est chiffré par défaut, mais parfois ce chiffrement est contournable. | + | |
- | + | ||
- | + | ||
- | ===== 4) Avoir un téléphone dont la carte SIM est « anonyme » ===== | + | |
- | + | ||
- | Il est possible d’avoir un téléphone « anonyme » en utilisant les cartes prépayés. On peut retrouver plusieurs marques : Lycamobile, Lebara, Syma (d’autres opérateurs en proposent, à tester). | + | |
- | + | ||
- | Tu récupères une nouvelle carte SIM, et tu payes en liquide dans un bureau de tabac ton crédit qui permet de remplir le téléphone. | + | |
- | + | ||
- | La première fois tu dois enregistrer ton téléphone : soit par téléphone, | + | |
- | + | ||
- | Parfois il faut un peu de temps (quelques heures) avant que ça soit effectif, c’est bien de préparer le téléphone à l’avance. Tu mets ensuite un code pour avoir un forfait. Par exemple tu peux très bien entrer 40 euros de crédit acheter dans un bureau de tabac, et avec le code il va te débiter chaque mois une partie du crédit jusqu’à ce qu’il n’y a plus assez (dans ce cas il faudra rentrer à nouveau du crédit). | + | |
- | + | ||
- | Des fois faut chercher les meilleurs offres. Pour lycamobile par exemple, il faut taper *139*3004# pour avoir un forfait 5 euros par mois, téléphone et sms illimité mais pas d’internet, | + | |
- | + | ||
- | **Petits typs à faire attention :** | + | |
- | + | ||
- | \\ • Ne pas utiliser une carte SIM qui a été utilisée auparavant sous une identité qui t’es liée, ne pas mettre ta nouvelle carte SIM dans un téléphone que t’as déjà utilisé dans le passé | + | |
- | \\ • En cas de recherche la police peut savoir dans quel bureau de tabac a été acheté le forfait | + | |
- | \\ • Réfléchir au niveau d’anonymat que l’on veut. C’est déjà important et pas inutile d’avoir un téléphone qui n’est pas relié à ton identité car les recherches premières des flics se limiteront à faire une requête aux opérateurs pour connaître l’identité des personnes derrière un numéro IMSI ou IMEI. Ils peuvent mettre en place d’autres méthodes pour savoir qui est derrière un téléphone (mise sous écoute, étude des numéros contactés avec le téléphone, | + | |
- | \\ • Inviter à ce qu’il y ait plus de gens à utiliser ces techniques c’est se protéger dans la masse. Si dans une manif il n’y a qu’un téléphone d’une carte prépayée qui borne, il peut pourrait paraître suspect en cas d’enquête | + | |
- | + | ||
- | ==== 5) Trucs techniques avancés / divers pour smartphone ==== | + | |
- | + | ||
- | Ces trucs sont potentiellement pas hyper accessibles sans un peu de compétences techniques, d' | + | |
- | + | ||
- | **Changer de système d' | + | |
- | ⇒ Nécessite d’avoir un téléphone compatible (liste disponible sur les sites respectifs des systèmes d’exploitation)\\ | + | |
- | ⇒ Attention, ça ne résout pas les problèmes inévitables\\ | + | |
- | ⇒ Système d’exploitation libre existant : LineageOS2, CalyxOS, GrapheneOS, CarbonROM, /e/, DivestOS Mobile3, ... | + | |
- | + | ||
- | **Utiliser un teléphone vendu avec un système d’exploitation libre*:** | + | |
- | \\ • Murena, sur https:// | + | |
- | + | ||
- | **Utiliser un téléphone avec les pilotes libre :** | + | |
- | \\ • Fabriquer un téléphone avec du matériel à peu près libre*: https:// | + | |
- | \\ • Acheter un tel libre*: | + | |
- | https:// | + | |
- | \\ • (Nous n’avons pas tester ces 2 possibilités) | + | |
- | + | ||
- | **Appli SnoopSnitch** | + | |
- | Pour les téléphones android seulement : SnoopSnitch analyse le micrologiciel de votre téléphone à la recherche de correctifs de sécurité Android installés ou manquants. Pour les android « rooté » ce logiciel peut permettre de détecter les IMSI catcher. | + | |
- | + | ||
- | Gratter le numéro marqué sur la SIM (IMSI ou autre)\\ | + | |
- | Gratter celui ou ceux marqués sur le tél (IMEI, à l’intérieur) | + |
start.1673098584.txt.gz · Dernière modification : 2023/01/07 13:36 de telmob