Autodéfense juridique et numérique

Rubriques
Langues
Thématiques

Sécurité de l’information en général et modélisation de la menace

DW Akademie, Daniel Mossbrucker

DW Akademie, Daniel Mossbrucker - La Deutsche Welle (DW) est le service de diffusion télévisuel de l’allemagne - dans ses mots, la "DW Akademie" est le centre de la Deutsche Welle pour le développement des médias internationaux, la formation journalistique et la transmission de connaissances.

septembre 2020  - anglais

Longue brochure PDF diffusée sur le site de la DW Akademie : https://www.dw.com/en/threat-modeling-guide-how-to-identify-digital-risks-in-international-development-projects/a-55092469

Ce guide détaille assez longuement la notion de modèle de menace dans différents contextes. Si le public visé est surtout les personnes travaillant dans l’aide au développement international, les explications sont très complètes et présentent des logiques et réflexions qui peuvent être pertinentes pour tou·tes pour comprendre les enjeux de la modélisation de la menace et sa mise en oeuvre.

Green & Black Cross

Green & Black Cross - An independent grassroots project set up in the spirit of mutual aid to support social and environmental struggles within the UK.

2019  - anglais

Déclaration politique disponible sur le site de l’organisation : https://greenandblackcross.org/statement-on-extinction-rebellion-xr-why-we-can-no-longer-work-with-xr-organiser/

Note critique relative à certaines pratiques d’extinction rebellion en termes d’exposition à la répression, au-delà des aspects politiques et des évolutions des organisations, cette analyse constitue un bon cas d’école et de réflexion sur les stratégies d’antirépression et de failles possibles en la matière.

Connaissance juridique sur la surveillance

Commission Nationale de Contrôle des Techniques de Renseignement

Commission Nationale de Contrôle des Techniques de Renseignement - La CNCTR est l’instance chargée d’examiner et d’émettre des avis sur le recours aux techniques intrusives des services de renseignement

2016-202x  - français

Les rapports de la CNCTR sont diffusés sur son site https://www.cnctr.fr/8_relations.html#les-rapports-annuels-d-activite-de-la-cnctr

Ces rapports officiels constituent une forme de transparence relative sur les activités intrusives des services de renseignements et leurs recours à des procédés techniques pour obtenir des informations. On peut y trouver des données concernant le nombre de personnes ciblées, des ordres de grandeur des types de technique utilisée, les champs de renseignement invoqués, etc.
Il s’agit plus généralement d’un regard institutionnel sur l’activité du renseignement français.

Délégation parlementaire au renseignement

Délégation parlementaire au renseignement - La DPR (4 députées, 4 sénatrices), a pour mission de suivre l’activité générale et les moyens des services de renseignement. Chaque année, elle établit un rapport public dressant le bilan de ses activités.

2009-202x  - français

Ces rapports sont disponibles sur la page de la délégation : http://www2.assemblee-nationale.fr/14/les-delegations-comite-et-office-parlementaire/delegation-parlementaire-au-renseignement/

Les rapports de la DPR constituent une source d’informations sur les activités de renseignement en France qui reste toutefois très située politiquement et limitée par intermédiation et parlementaire et gouvernementale de l’accès aux informations. Si l’examen de ces documents n’est pas aisé, ils sont importants pour comprendre les tendances politiques en termes de renseignement.

Auteur inconnu

Auteur inconnu - Publié sur le site du Secours Rouge

20xx  - français

Article disponible sur le site du Secours Rouge, https://secoursrouge.org/category/dossiers/securite-it/ecoutes-et-filatures-par-telephones-et-gps/

Ce document énumère des outils numériques de surveillance, qu’ils nécessitent un accès physique ou pas. Plutôt intéressant avec des exemples précis, il n’est par contre pas sourcé et la page indique 2005, mais certaines informations semblent plus récentes ( 2011) sans toutefois que l’actualisation semble totale. Il est donc difficile de recouper les infos ou de suivre ce qui n’est plus pertinent (par exemple, ça parle de lignes ISDN, ce qu’est très rare en 2020).

Direction générale de la Gendarmerie nationale (DGGN), CREOGN

2015

Ce document provient d’une source officielle, mais ne semble plus diffusé en l’état, il constitue une synthèse du Décret n° 2015-1639 du 11 décembre 2015 relatif à la désignation des services autres que les services spécialisés de renseignement, autorisés à recourir aux techniques mentionnées au titre V du livre VIII du code de la sécurité intérieure, pris en application de l’article L. 811-4 du code de la sécurité intérieure, https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000031601177

Représentation visuelle de l’accès des services du second cercle de renseignement (non spécialisés dans le renseignement) à certaines techniques intrusives pour certains motifs - le schéma date de 2015 et n’est donc pas à jour, mais révèle les larges possibilités d’accès à ces techniques par de nombreux services.

Autodéfense numérique : sécurité informatique, protection technique de l’information, outils et pratiques pour l’utilisation des outils

Anonymes

2017

Document PDF / ouvrage édité (éditions Tahin Party). Disponible ici : https://guide.boum.org/ et peut être commandé sur le site de l’éditeur tahin-party.org

Ouvrage reconnu comme un outil de référence, même pour les néophytes. Approche des problématiques et présentation de préconisations basées sur des cas d’usages.
Une première partie aborde le fonctionnement matériel et logiciel d’un ordinateur, et le problème des traces qui sont laissées. Une seconde partie se concentre sur l’évaluation des risques et du besoin de sécurité (en reprenant des notions comme les identités contextuelles, par exemple). Ensuite, des pas-à-pas documentés permettent de répondre à des besoins spécifiques.

Electronic Frontier Foundation.

Electronic Frontier Foundation. - L’EFF est une ONG Internationale de défense des libertés dans les enjeux numériques

201x-202x  - anglais, français

Site internet https://ssd.eff.org/

Ce site est une introduction très complète aux enjeux de protection de l’information et de sécurité informatique qui est traduit dans différents langages et fréquemment mis à jour. D’une source de confiance s’agissant d’une organisation extrêmement engagée sur les questions de défense des libertés, il y a de nombreuses fiches, guides et tutoriels qui permettent d’envisager la situation globalement, mais aussi de paramétrer ou d’utiliser différents outils dans plusieurs situations. Un site à connaitre et faire connaitre. Attention les versions traduites ne sont pas toujours à jour des modifications.

Anonymes

Juin 2015  - français

Document PDF - existe au format d’impression de brochure disponible sur Infokiosques : https://infokiosques.net/spip.php?article1045

Cette brochure regroupe de multiples informations à destination des militant·es sur les problématiques d’autodéfense numérique. Son contenu est de qualité et apporte de nombreuses informations intéressantes : explications conséquentes sur les traces numériques, sur des pratiques de surveillances, gestion du chiffrement, outils de limitation/effacement des traces, explications sur le choix de certains outils et méthodes de sécurisation des informations, limite de l’informatique, etc. C’est donc un document intéressant pour quiconque veut se documenter sur ses questions quoi qu’assez redondant avec le guide d’autodéfense numérique.
Attention toutefois la dernière mise à jour date de 2015 et de nombreux outils "de défense et d’attaque" ont évolué depuis. Il est donc nécessaire de vérifier l’actualité des différentes indications et de les actualiser à ses besoins.

Tactical technology collective et Front Line Defenders

Tactical technology collective et Front Line Defenders - Des associations de défense des libertés

Créé en 2005 et régulièrement mis à jour – encore en 2022  - anglais, français

Site internet disponible via l’adresse : https://securityinabox.org/en/ et https://securityinabox.org/fr/ pour les ressources traduites.

Ce site Internet de l’association Tactical Tech et Front Line Defender offre de nombreux conseils, stratégies et infos face à des types de menaces particulières où pour améliorer ses pratiques / utiliser des outils de protection. Certains guides ne sont plus forcément à jour, mais ils sont indiqués comme tels, mais le site reste une très bonne source d’informations et de tutoriels qui sont de surcroit traduits dans de nombreuses langues bien que là les informations puissent être encore moins mise à jour. Plus généralement l’association Tactical Tech mets à disposition de nombreuses ressources très complètes sur les questions de sécurisation des pratiques telles que :
Gender and Tech Resources : https://gendersec.tacticaltech.org/wiki/index.php/Complete_manual
Holistic Security A strategy manual for Human Rights Defenders : https://holistic-security.tacticaltech.org/ckeditor_assets/attachments/61/hs_complete_hires.pdf
Digital security in human rights : https://secresearch.tacticaltech.org/

Collectif ZEKA et Nothing2Hide

Collectif ZEKA et Nothing2Hide - Zeka.noblogs.org ; Nothing2hide.org/fr structure associative qui s’est donnée comme objectif « d’offrir aux journalistes, avocats, militants des droits de l’homme, “simples” citoyens, les moyens de protéger leurs informations ».

2019  - français

Document PDF / wiki disponible à cette adresse : https://wiki.nothing2hide.org/doku.php?id=protectionnumerique:start

Petit manuel reprenant des bases de "la bonne hygiène informatique", sur Windows, Linux et MAC et Android (ordiphone donc) pour ensuite proposer des solutions clés en main (lien vers des tutoriels détaillés, lorsqu’ils ne sont pas directement inclus dans le texte). Il s’agit d’un guide pratique plus que théorique, donc facile à prendre en main, mais qui n’est pas très pointu sur les limites de telle ou telle pratique. Contrairement à d’autres guides, qui vont plus mettre l’accent sur Tor, Linux et TAILS, ce guide-là n’en fait que très peu mention, pour favoriser les solutions à mettre en place sur Windows – il s’adresse à un public plus générique. La partie sur le chiffrement de disque dur avec Veracrypt est plus détaillée.

Free Software Foundation

Free Software Foundation - La FSF est une ONG visant à promouvoir et défendre le logiciel libre et ses valeurs

Dernière mise à jour 2021  - anglais, français

Site internet, https://emailselfdefense.fsf.org/fr/

Si le site n’aborde pas le chiffrement des communications sous un angle de prévention contre les attaques individuelles, mais juste contre la surveillance de masse, il présente un tutoriel et une infographie qui reste pertinente pour les personnes souhaitant s’initier / découvrir le chiffrement des courriels via GnuPG - PGP.

NextInpact

NextInpact - Un site de presse en ligne spécialisé dans le numérique et ses conséquences pour la société,

2016-2017  - français

Différents articles regroupés dans un dossier indiqué à la fin de chaque article, voir par exemple : https://www.nextinpact.com/news/99777-chiffrement-notre-antiseche-pour-expliquer-a-vos-parents.htm ou https://www.nextinpact.com/news/91703-veracrypt-comment-chiffrer-et-cacher-fichiers-disque-dur-externe-ou-clef-usb.htm

Ce dossier de NextInpact comprend de nombreuses explications sur les enjeux et les pratiques du chiffrement, mais aussi différents tutoriels pour déployer certains outils tels que Veracrypt pour le chiffrement de disque dur ou de volume sur Windows et IOS, GPG-PGP (chiffrement des courriels), KeePass (gestionnaire de mots de passe), les tokens d’authentification... Si le dossier a quelques années (on pourrait par exemple questionner le choix de Keybase désormais racheté par Zoom) les tutoriels et informations sont encore très utiles et pratiques.

Agence Nationale de la Sécurité des Systèmes d’Information

Agence Nationale de la Sécurité des Systèmes d’Information - L’ANSSI est une agence gouvernementale française rattachée au Premier ministre (https://www.ssi.gouv.fr/)

Septembre 2017 (version 2)  - français

Document PDF. Disponible à cette adresse : https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/

Le document est pertinent, car il permet à la fois de comprendre les précautions qui sont / devraient être mis en place dans les grandes organisations, et de les appliquer dans les collectifs qui font usage de l’informatique. Mais il reste difficile à lire pour des personnes non spécialistes.
La source est une entité gouvernementale, qui a intérêt que les structures et individus prennent elles-mêmes en main leur sécurité.
Dans l’introduction, l’ANSSI écrit explicitement qu’elle publie ce document, car "si les mesures qui y sont édictées avaient été appliquées par les entités concernées, la majeure partie des attaques informatiques ayant requis une intervention de l’agence aurait pu être évitée.".
Le document date de 2017 : comme il concerne des principes généraux, il a une durée de vie assez longue.
Élément notable, l’ANSSI encourage (en tout cas l’évoque comme solution possible) la biométrie pour permettre la double authentification. Par ailleurs, elle fait du chiffrement (mails, supports mémoire, connexions) un des piliers de la sécurité informatique. Enfin elle expose très rapidement l’analyse des modèles de menace.

Anonyme

Anonyme - Publié sur le site dijoncter.info

Décembre 2019  - français

Article disponible à cette adresse : https://dijoncter.info/qu-est-ce-qu-on-connait-de-signal-1510
Document datant de décembre 2019, citant ses sources à la fin de l’article. Sources émanant essentiellement de Wikipédia et d’autres articles de sites type article de blog.

Petit précis pratique sur l’installation et l’utilisation individuelle de Signal, le protocole de chiffrement, et la dernière grosse faille de sécurité documentée (à la date de l’article, donc fin 2019). Article peu technique qui requiert de chercher ailleurs pour des informations plus pointues - les sources du document servant de piste en ce sens.

Anonyme

Anonyme - Publié initialement sur North Shore Counter-Info

Juin 2019  - anglais, français

Article disponible en anglais sur : https://north-shore.info/2019/06/02/signal-fails/ et traduit en français : https://mtlcontreinfo.org/wp-content/uploads/2019/07/signalfails_a4.pdf

Texte initialement écrit en anglais en mai 2019, puis traduit en français en juillet 2019 est un document qui propose une analyse (peu technique) de Signal, mais surtout des conséquences de cette appli dans nos comportements en termes de communication sociale, et d’organisation militante. Il ne s’agit pas d’une critique technique sourcée, mais d’une réflexion pragmatique et sociale sur les usages. Il détaille une addition d’expériences collectives/personnelles. Il contient également toute une liste de bonnes pratiques à mettre en oeuvre.

Collectif "Big Brother Watch"

Collectif "Big Brother Watch" - Association anglaise de défense des libertés face à la surveillance, www.bigbrotherwatch.org.uk

2016  - anglais

Document PDF. Disponible à cette adresse : https://www.bigbrotherwatch.org.uk/wp-content/uploads/2016/08/Encryption-1.pdf

Court document listant quelques rudiments de la notion de chiffrement et quelques applications assurant une communication chiffrée. Document de présentation, mais qui reste limité / trop peu explicite pour comprendre les enjeux.

Peng Zhong

Peng Zhong - Peng Zhong semble gérer les contributions à la plateforme

2020  - anglais

Site internet https://prism-break.org/en/

Créé à la suite des révélations Snowden, le site Prism-Break propose des alternatives aux outils susceptibles d’exploiter des données personnelles et de les transmettre aux autorités en proposant d’autres outils plus respectueux des libertés. Si les suggestions sont à envisager avec attention et à évaluer par rapport aux problématiques et modèles de menace de chacun·e (certains restent d’une mise en oeuvre difficile) le site reste une excellente source d’information régulièrement mise à jour sur les outils existants et leurs limites. Il peut être utilisé en sensibilisation ou en aide-mémoire.

Autodéfense juridique : face à la police, face à la justice, droits et procédures pénales et administratives, pratiques collectives

Midnight Special Law Collective (MSLC)

Midnight Special Law Collective (MSLC) - Groupe formé en mars 2000 à Seattle et dissout en 2010, actif à la fois sur le terrain des manifestations et dans des formations. Voir midnightspecial.net

200x

Document PDF. http://midnightspecial.net/files/Action_Roles_9.01.pdf

Document de 3 pages qui récapitule les différents rôles que peuvent jouer les membres d’une Legal Team, depuis le bureau jusqu’au terrain (observation et soutien). Il a pour but d’aider à la structuration de l’équipe, et il est donc assez formaliste. Plusieurs documents synthétiques de ce type ont été produits par le collectif.

La Quadrature du Net

La Quadrature du Net - LQDN est une association de promotion et de défense des libertés face aux enjeux du numérique.

Avril 2018  - français

Disponible sur le site de l’association, https://www.laquadrature.net/2018/04/04/le-conseil-constitutionnel-restreint-le-droit-au-chiffrement/

Analyse détaillée de la décision du Conseil constitutionnel sur la possibilité pour une autorité judiciaire de forcer, sous la menace d’un délit en cas de refus, un suspect à fournir un code de déchiffrement d’un de ses périphériques. Cette analyse permet de comprendre dans quelle situation cela est, malheureusement, possible et qu’il y a un risque pénal à refuser et quand ce n’est pas le cas. Si d’autres décisions de justice ont suivi la décision du Conseil constitutionnel, le cadre général fourni par celui-ci reste la référence jurisprudentielle.