Téléphonie mobile & activisme

Outils pour utilisateurs

Outils du site

Piste :
start

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision		Révision précédente
start [2023/01/07 13:36] – created telmobstart [2023/02/20 11:22] (Version actuelle) – créée mobtel
Ligne 1: Ligne 1:
-====== Réduction des risques pour la téléphonie ======+//Bienvenue sur ce wiki tentant de rassembler en un seul endroit des recommandations quant à l'usage de téléphones portables dans un cadre activiste.
  
 +Ce wiki est issu de documentations fournies lors de présentations sur les enjeux de la téléphonie mobile dans l'activisme.//
  
-La sécurité absolu pour les téléphones est impossible, ce que l’on veut c’est réduire les risques de vols de données.  
  
-Ce qui est important c’est de réfléchir / comprendre les menaces qui s’appliquent à nous individuellement et collectivement. Pour réduire les risques, avoir plus de contrôle de ses communications, plusieurs outils sont à notre disposition. +Nous essayons petit à petit de traduire ce wiki vers l'anglais et peut-être même vers l'italien.
-On peut classer ces outils en quelques catégories:\\ • habitudes, manières d'utiliser le téléphone, questionner les usages\\ • choix d'applications\ • paramètres du téléphone\\ • avoir un téléphone « anonyme »\\ • les trucs de geekos (technique)+
  
-===== 1) Habitudes =====+[[fr:accueil|Accéder à la page d'accueil en français]]
  
 +[[en:accueil|Accéder à la page d'accueil en anglais]]
  
- +[[it:accueil|Accéder à la page d'accueil en italien]]
-Le plan des habitudes est le plus important, car comme on l'a vu, utiliser des téléphones portables implique un grand nombre de problèmes inévitables. +
-\\ • La première habitude à prendre consiste à se poser les bonnes questions. La « modélisation de la menace » est un outil nous permettant de choisir des réponses adaptées à nos besoins. C'est un outil à expérimenter et utiliser individuellement et collectivement car nos choix auront des conséquences sur notre entourage.\\  +
-→ Qui sont nos ennemi⋅e⋅s potentiel⋅le⋅s? (flics en garde à vue, agent de renseignement derrière son ordi, agent en filature, fachos, voisin.nes, cohabitant.es…)\\  +
-→ Que veut-on leur cacher? (liste de contacts, membres d'un groupe signal, contenu de message, localisation, sites web visités, documents enregistrés…)\\  +
-→ Que risquons-nous si on échoue? (se faire gronder, perdre nos données, prendre une amende, aller en prison…)\\  +
-→ Quels moyens nos ennemi.es sont-iels prêt.es à mettre pour nous ou nos activités? (respect de la loi ou pas, quantité d'argent disponible, protection légale…)\\  +
-→ Quelle énergie avons-nous à mettre pour nous protéger? +
- +
-Quelques habitudes à mettre en place si ça nous paraît cohérent: +
-\\ • Se demander à chaque fois comment faire sans téléphone, si possible (aka « Laisser le tel à la maison ») +
-\\ • Rendre habituel certains usages inhabituels, comme le mode avion par exemple +
-\\ • Stocker le moins de choses possible sur le tel (documents, photos, contacts, messages). Penser à transférer les photos et fichiers, les transverser dans un ordi de confiance, ou sur un support usb chiffré*.  +
-\\ • Faire de la veille politique et technologique, se former soit même ou avoir un collectif qui se forme. Les téléphones évoluent très rapidement ! +
-\\ • Se former collectivement en cas de garde à vue : bd « je n’ai rien à déclarer » sur https://infokiosques.net, ou « manuel de survie en garde à vue », livre « comment la police interroge et comment s’en défendre » sur https://projet-evasions.org/  +
-\\ • Avoir des téléphones différents pour des usages différents. Avoir un téléphone professionnel, un téléphone pour la militance que je n’allume pas chez moi de préférence. Complexe à appliquer mais intéressant. Il est aussi possible ça soit pris en charge collectivement : que le collectif fournisse des téléphones anonymes pour une tache spécifiques dans la lutte. +
-\\ • La NSA a dit "redémarre ton tel une fois par semaine". Si il y a une faille exploitée mais pas inscrite dans le téléphone, en redémarrant la faille ne sera plus là.  +
-\\ • Ne pas avoir de téléphone :) +
- +
-===== 2) Applis libres ===== +
-  +
- +
-Comme on l'a vu, les applications ont un grand pouvoir de surveillance. C'est pourquoi on peut choisir d'utiliser des applications « de confiance ». +
-Mais alors il faut définir ce que « confiance » signifie, et comment acquérir cette confiance. +
-La confiance en une appli peut se jouer à différents endroits: +
-\\ • sécurité "l'appli fait-elle bien ce qu'elle dit et dit-elle bien ce qu'elle fait" +
-\\ • fiabilité dans le temps : Est-ce que les gens continuent de travailler dessus pour corriger les vulnérabilités ? +
-\\ • Vérifier réputation des gens qui font le logiciel. +
-\\ • Tchéquer le modèle économique du logiciel.  +
- +
-Une tendance lorsqu'on parle de sécurité est d'utiliser des logiciels libre*s. Pourquoi? +
-\\ • Avec une appli privative, on ne pourra pas vérifier profondément la qualité de l'appli en terme de sécurité ; et les dévelopeureuses peuvent décider d’arrêter le développement de l'appli sans préavis. Une appli libre permettra à une communauté de scruter son fonctionnement et avec un peu de chance de reprendre le développement si l'équipe d'origine quitte. +
-\\ • Une appli non-libre pourrait volontairement chercher à nuire (de manière large ou de manière ciblée), sans qu'on puisse s'en apercevoir sans l'installer, car sa recette n'est pas rendue publique. Exemples: Skype, malwares et ransomwares cachés dans des jeux, etc. +
- +
-/!\ Attention, libre ≠ sécure, une appli libre peut contenir du code malveillant (volontairement ou non). +
-De plus, certaines applications ont une réputation, basée sur plusieurs éléments: +
-\\ • la qualité de l'application dans le temps +
-\\ • la réactivité à la correction des vulnérabilités +
-\\ • la réputation de l'équipe de développement +
-\\ • le modèle économique +
-\\ • les phénomènes de mode +
-Enfin, il est important de bien toujours mettre à jour ses applis, afin de profiter des corrections de sécurité.  +
- +
-Voyons quelques applications, pas toutes fiables pareil, pas toutes mises à jour régulièrement, mais toutes libres*. +
- +
-**Magasin d'applications :** +
- +
-\\ • F-Droid (ne propose que des applis libres*) +
-\\ • Aurora Store (interface libre à Google Play Store, permettant de l'utiliser sans compte google) (rappel : les applis dans le Play Store sont pour la plupart non-libres et peuvent potentiellement être modifiées par google). +
- +
-**Applis visant à protéger la confidentialité des communications :** +
-\\ • Signal (protocole de chiffrement Signal, compte relié à un numéro de téléphone) +
-\\ • Briar (protocole de chiffrement Briar, compte pas relié à un téléphone, utilise Tor si on veut, fonctionne aussi sans internet (via Bluetooth) +
-\\ • Conversations (protocole de chiffrement XMPP/Jabber, d'origine pour ordi, l'appli Android est finalement carrément mieux que ses équivalents ordi) +
-\\ • Element (protocole de chiffrement Matrix) +
-\\ • Silence (protocole de chiffrement pour les SMS – attention qui contact qui reste visible sur le réseau contrairement aux autres logiciels) +
- +
-Il existe aussi un comparateurs d’applications fait par le site nothing2hide de communication sur plusieurs critères intéressants (attention il y a quelques erreurs dans le comparateur par exemple le code source du serveur de telegram n’est absolument pas libre ni opensource par exemple). Cette page compare les logiciels : briar, conversations, delta chat, Element, Imessage, Jami, Signal, Télégram, Threema, Whatsapp, Wire sur la sécurité et vie privée, la durabilité, les fonctions et les modes de stockages : +
-https://wiki.nothing2hide.org/doku.php?id=formations:smartphones:app-communications-securisees +
- +
-**Celles visant à protéger l'identité de leurs utilisateurices :** +
-\\ • Tor Browser (pour naviguer sur le web) +
-\\ • Briar (pour échanger des messages instantanés chiffré sans donner de numéro de tel ou d'e-mail) +
-\\ • Conversations (pour échanger des messages instantanés chiffré) +
- +
-**Pour les SMS :** +
-\\ • QKSMS +
-\\ • Simple SMS Messenger +
-\\ • Silence (super car chiffre les SMS de Silence à Silence, mais attention à l’usage certains SMS non-chiffrés se perdent…) +
-\\ • l'appli de SMS de base d'Android Open-Source Project +
- +
-**Pour les e-mails:** +
-\\ • K-9 Mail +
-VPN : +
-\\ • RiseupVPN +
-\\ • Mullvad VPN +
-\\ • CalyxVPN +
-\\ • Orbot : pour configurer d’autres applis pour les faire passer par tor (ne marche pas pour toutes les applis) +
- +
-**Autres applis de sécurité :** +
-\\ • exodus : εxodus analyse les applications Android dans le but de lister les pisteurs embarqués. Un pisteur est un bout de logiciel dont le but est la collecte de données à propos de vous et de vos usages. Ainsi, les rapports d’εxodus vous révèlent les ingrédients du gâteau. Disponible aussi sur F-droid.  +
-\\ • Hypatia : Scanner de malware, fonctionne hors internet : https://github.com/Divested-Mobile/Hypatia/blob/stable/README.fr.md  +
- +
-**Photos:** +
-\\ • Open Camera +
-\\ • Obscuracam : qui peut être configuré pour flouter les visages automatiquement. +
-\\ • Scrambled Exif +
-\\ • Cryptocam + OpenKeyChain (chiffrement direct des photos et vidéos avec OpenPGP. Nécessite « Cryptocam Companion GUI/CLI » pour ouvrir les vidéos dans l'ordi. Demande quelques connaissances et un peu de lecture de tutoriels en anglais, sur https://cryptocam.gitlab.io) +
- +
-**Vidéos:** +
-\\ • VLC +
- +
-**Lecture de documents:** +
-\\ • Librera (pour lire des ebooks) +
-\\ • MuPDF (pour afficher PDF et autres) +
-\\ • Document Viewer (pour afficher PDF et autres) +
-\\ • Bonus: masse ebooks à télécharger sur trantor.is (préférer le site en .onion) et z-lib.org +
- +
-**Audio/visio-conférence:** +
-\\ • Jitsi (audio/vidéo à plusieurs) +
-\\ • Plumble (protocole Mumble, audio uniquement) +
- +
-**Calendrier/agenda:** +
-\\ • Simple Calendar (fonctionne hors-ligne) +
-\\ • DAVx⁵ (synchronisation de calendrier distant, avec Nextcloud par exemple. Compatible avec Simple Calendar) +
- +
-**Notes:** +
-\\ • Simples notes (hors-ligne, avec un super widget) +
-\\ • Nextcloud Notes (pour synchroniser avec un nextcloud) +
- +
-**Pare-feu:** +
-\\ • Netguard +
- +
-**Isolation d'applis:** +
-\\ • Insular +
-\\ • Shelter +
- +
-**Navigation web:** +
-\\ • Firefox Focus (via l'appli FFUpdater ; inclus un bloqueur de pubs et de pisteurs) +
-\\ • Tor Browser +
-\\ • DuckDuckGo Privacy Browser +
- +
-**Alternatives à Youtube/Bandcamp/Soundcloud/Framatube:** +
-\\ • NewPipe +
-\\ • SkyTube +
- +
-**Cartes:** +
-\\ • Organic Maps (basé sur Openstreepmap) +
-\\ • OsmAnd (idem) +
- +
-**Sauvegarde** +
-\\ • OandBackup : permet une sauvegarde exhaustive, par application, du téléphone. Même si son interface est un peu austère, vous pouvez tout sauvegarder avec, à condition d’avoir un téléphone « rooté ». +
-\\ • SMS Backup + : complément à OandBackup pour sauvegarder les sms +
- +
-**Jeux:** +
-\\ • Lona (sorte de snake arondi) +
-\\ • TowerJump +
-\\ • Puzzles (plein de casse-têtes trop stylés) +
-\\ • Rabbit Escape +
-\\ • Sokoban +
-\\ • Shattered Pixel Dungeon (exploration) +
- +
-Une série d'applis trop biens et dispo dans F-Droid: Simple Mobile Tools ([[https://simplemobiletools.com|https://simplemobiletools.com]]). Il y a un calendrier, un gestionnaire de contacts, une appli SMS, une appli de notes, une galerie, etc. +
- +
-Un certain nombre d'applis ont des versions ordinateurs – à prendre en considération pour avoir des communications ordi-téléphones : Signal (Signal-desktop, axolotl.chat), Conversations (Dino, Pidgin, Gajim, …), Element ([[https://element.io/get-started|https://element.io/get-started]]), Tor Browser, RiseupVPN, etc etc +
- +
-==== Revenons sur Signal ==== +
- +
-**Défauts :** \\  +
-→ Possible sensation de sécurité parfaite (illusoire) qui fait qu’on ne fait plus attention à ce qu’on envoie\\  +
-→ Lié à un numéro de téléphone qu'on ne peut pas cacher\\  +
-→ Centralisé +
- +
-**Options :**\\ • Nom, À propos, Photo ⇒ donner le minimum d’informations\\ • Activer les messages éphémères et mettre une valeur par défaut\\ • Mettre un NIP ( /!\ ) et activer blocage d'inscription\\ • Ne pas gérer les SMS/MMS et utiliser une appli dédiée (pour ne pas se mélanger les pinceaux)\\ • Option "Toujours relayer les appels" à activer (important de comprendre les implications: ça permet de ne pas divulguer l'adresse IP de notre connexion aux destinataires de nos appels)\\ • Option "Aperçus de liens" à désactiver\\ • Option "Clavier incognito" à activer\\ • Numéro de sécurité à vérifier avec ses correspondant⋅e⋅s\\ • Verrou d'écran à activer sur le smartphone\\ • Sécurité de l'écran à activer +
- +
-S'assurer que les notifications n'affichent rien si le téléphone est verrouillé.\\  +
-Vérifier les appareils reliés régulièrement.\\  +
-En cas de réquisition judiciaire faite à Signal, Signal prétend ne posséder que la date de création du compte ainsi que la date de la dernière connexion au compte: Sur leur site on peut retrouver ce que signal dit fournir aux institutions judiciaires : https://signal.org/bigbrother/+
- +
-===== 3) Paramètres du smartphone ===== +
-  +
-==== Un bon code de chiffrement du téléphone ==== +
- +
-On va éviter la reconnaissance faciale (problématique en tant que technologie et y a des failles) et emprunte digitale (c’est possible de forcer la personne à mettre son doigt). Les schémas, souvent il reste des traces sur l’écran qui permet de les refaire. +
- +
-Phrase de passe: le mieux en terme de sécurité mais ça peut devenir pénible à taper (adapter le temps de verrouillage de l’écran).  +
- +
-Digicode: bien à condition d'en avoir un assez long. C’est encore mieux si on active l'option "disposition aléatoire" disponible sur certains systèmes.  +
- +
-Le problème c’est que le code de chiffrement est le même que le code de déverrouillage de l’écran, ce qui souvent force à faire des codes plus courts, car il faut le taper souvent. Penser à éteindre un téléphone chiffré avant saisi pour activer le chiffrement.  +
- +
-Si tu veux sauvegarder ton code quelque part, le mieux est d’utiliser un coffre fort à mot de passe comme keepassxc.  +
- +
-==== Réseau et chiffrement des communications ==== +
- +
-Au niveau du réseau il vaut mieux chiffrer ses communications en bout à bout (voir conseils d’applis) pour que le contenu ne soit pas divulgué, et pour cacher les sites internets fréquentés faire passer les applications par un vpn ou par le réseau Tor.  +
- +
-Android 7 et plus prend en charge un « killswitch VPN » et il est disponible sans avoir besoin d'installer des applications tierces. Cette fonctionnalité permet d'éviter les fuites si le VPN est déconnecté. Elle se trouve dans ⚙ Paramètres → Réseau et internet → VPN → ⚙ → Bloquer les connexions sans VPN. +
-Désactiver les fonctionnalités non-utilisés +
- +
-Quand c’est possible, désactiver les services Bluetooth et de localisation. Il y a parfois des interrupteurs à bascule pour l'appareil photo et le microphone. Lorsque vous ne les utilisez pas, il est mieux de désactiver ces fonctionnalités. Les applications ne peuvent pas utiliser les fonctions désactivées (même si elles ont reçu une autorisation individuelle) tant qu'elles ne sont pas réactivées. +
- +
-**Android** +
-\\ • Mode USB par défaut : charge uniquement +
-\\ • Débogage USB désactivé +
-\\ • Mettre un verrouillage d'écran rapide + un bon code de déverrouillage +
-\\ • Désactiver l'identifiant de publicité ciblée qui récolte des données personnelles soit dans    ⚙ Paramètres → Google → Annonces soit dans ⚙ Paramètres → Confidentialité → Publicités +
-\\ • Chiffrement du téléphone (il est activé par défaut depuis android 10) +
-\\ • Notifications discrètes +
-\\ • Utiliser les Comptes d'Utilisateurs pour séparer certains usages, ou une application d'isolement d'applis telle que Insular ou Shelter +
- +
-**iOS** +
-\\ • Bon code de déverrouillage +
-\\ • Désactiver les sauvegardes sur iCloud +
-\\ • Désactiver l'identifiant de publicité +
-\\ • Attention aux notifications +
- +
-⇒ Le téléphone est chiffré par défaut, mais parfois ce chiffrement est contournable. +
- +
- +
-===== 4) Avoir un téléphone dont la carte SIM est « anonyme » ===== +
- +
-Il est possible d’avoir un téléphone « anonyme » en utilisant les cartes prépayés. On peut retrouver plusieurs marques : Lycamobile, Lebara, Syma (d’autres opérateurs en proposent, à tester). +
- +
-Tu récupères une nouvelle carte SIM, et tu payes en liquide dans un bureau de tabac ton crédit qui permet de remplir le téléphone.  +
- +
-La première fois tu dois enregistrer ton téléphone : soit par téléphone, soit par internet. A chaque fois des données personnelles te seront demandées mais tu peux donner des informations imaginaires voir fantaisiste, il n’y a pas de vérifications. Si on te demande une photocopie de carte d’identité, tu peux mettre un faux ou une photo de montagne ça marche (à vérifier par opérateur), et si on te demande le numéro de ta carte d’identité tu dis le bon nombre de numéro mais tu les changes.  +
- +
-Parfois il faut un peu de temps (quelques heures) avant que ça soit effectif, c’est bien de préparer le téléphone à l’avance. Tu mets ensuite un code pour avoir un forfait. Par exemple tu peux très bien entrer 40 euros de crédit acheter dans un bureau de tabac, et avec le code il va te débiter chaque mois une partie du crédit jusqu’à ce qu’il n’y a plus assez (dans ce cas il faudra rentrer à nouveau du crédit). +
- +
-Des fois faut chercher les meilleurs offres. Pour lycamobile par exemple, il faut taper *139*3004# pour avoir un forfait 5 euros par mois, téléphone et sms illimité mais pas d’internet, et *139*4099# pour avoir 10 euros d’illimité et un peu de forfait internet. +
- +
-**Petits typs à faire attention :** +
- +
-\\ • Ne pas utiliser une carte SIM qui a été utilisée auparavant sous une identité qui t’es liée, ne pas mettre ta nouvelle carte SIM dans un téléphone que t’as déjà utilisé dans le passé +
-\\ • En cas de recherche la police peut savoir dans quel bureau de tabac a été acheté le forfait +
-\\ • Réfléchir au niveau d’anonymat que l’on veut. C’est déjà important et pas inutile d’avoir un téléphone qui n’est pas relié à ton identité car les recherches premières des flics se limiteront à faire une requête aux opérateurs pour connaître l’identité des personnes derrière un numéro IMSI ou IMEI. Ils peuvent mettre en place d’autres méthodes pour savoir qui est derrière un téléphone (mise sous écoute, étude des numéros contactés avec le téléphone, etc), ou peuvent mettre sous écoute tes proches pour trouver ton nouveau numéro lorsque tu les appelleras. Mais ça demande plus de moyens, donc ça dépend du modèle de menace +
-\\ • Inviter à ce qu’il y ait plus de gens à utiliser ces techniques c’est se protéger dans la masse. Si dans une manif il n’y a qu’un téléphone d’une carte prépayée qui borne, il peut pourrait paraître suspect en cas d’enquête +
-     +
-==== 5) Trucs techniques avancés / divers pour smartphone ==== +
-  +
-Ces trucs sont potentiellement pas hyper accessibles sans un peu de compétences techniques, d'acharnement, ou de moyens financiers. Si des collectifs de geek existent dans ton coin ça vaut le coup de leur demander conseils. +
- +
-**Changer de système d'exploitation:**\\  +
- ⇒ Nécessite d’avoir un téléphone compatible (liste disponible sur les sites respectifs des systèmes d’exploitation)\\  +
-⇒ Attention, ça ne résout pas les problèmes inévitables\\  +
-⇒ Système d’exploitation libre existant :  LineageOS2, CalyxOS, GrapheneOS, CarbonROM, /e/, DivestOS Mobile3, ... +
- +
-**Utiliser un teléphone vendu avec un système d’exploitation libre*:** +
-\\ • Murena, sur https://murena.com, à partir de 330€ garantie 4 ans +
- +
-**Utiliser un téléphone avec les pilotes libre :** +
-\\ • Fabriquer un téléphone avec du matériel à peu près libre*: https://www.instructables.com/ArduinoPhone-20-an-Open-Source-MobilePhone-Based-/  +
-\\ • Acheter un tel libre*: +
-https://www.pine64.org/pinephone/  +
-\\ • (Nous n’avons pas tester ces 2 possibilités) +
- +
-**Appli SnoopSnitch** +
-Pour les téléphones android seulement : SnoopSnitch analyse le micrologiciel de votre téléphone à la recherche de correctifs de sécurité Android installés ou manquants. Pour les android « rooté » ce logiciel peut permettre de détecter les IMSI catcher.  +
- +
-Gratter le numéro marqué sur la SIM (IMSI ou autre)\\  +
-Gratter celui ou ceux marqués sur le tél (IMEI, à l’intérieur)+
start.1673098584.txt.gz · Dernière modification : 2023/01/07 13:36 de telmob