Moi aussi, j’étais à (au moins) une conférence de la DCRI ! Cet article fait suite à l’article publié par Martin U, journaliste et étudiant à Science-Po, sur le site Rue89 et consultable ici.

Je félicite l’auteur pour cet article qui est très bien sur le fond : transmettre et vulgariser l’information afin de la rendre accessible au plus grand nombre de lecteurs. Néanmoins, l’article manque un peu de forme par l’absence de partie technique (sans forcément entrer dans les détails) et ce sera l’objet de cet article, avec également un retour d’expérience des  conférences de la DCRI et de la DGSE auxquelles j’ai assisté durant ces deux dernières années.

1) Les réseaux sociaux

Durant ces conférences, j’ai également eu droit aux recherches « en direct » de profils de personnes présentes dans la salle, qui pour certaines ont commencé à se demander si elles avaient bien retiré leurs dernières photos de soirées de profil. D’où la règle numéro 1 :

« Tout ce qui est mis sur le web, y restera, et sera à la vue de tous comme les affiches du métro parisien »

Cependant, pour ceux soucieux de leur e-reputation, il n’est pas trop tard pour faire une recherche Google de votre nom afin de mesurer l’étendue des dégâts, supprimer vos informations personnelles (mails, numéros de téléphones, photos) et en vérifiant les paramètres de confidentialités (Facebook, Viadéo, Linkedin, Copains d’avant, G+).

Si vous souhaitez supprimer des pages des résultats de requêtes Facebook, voici la page à consulter, en revanche il vous faudra impérativement posséder un compte Google pour accéder à la page.

Je vous conseille également de créer des comptes à votre nom sur tous les sites sociaux (sans forcément les remplir ou les utiliser) afin d’éviter le cyber squatting ou le vol d’identité.

De manière générale, il faudrait dans l’absolu éviter l’utilisation des réseaux sociaux dont la plupart sont américains comme le souligne Martin U dans son article et financé par In-Q-Tel (filiale de la CIA).

Petit rappel: pour ceux ayant des accès réservés (confidentiel, secret défense ou très secret défense) inutile de faire l’éloge de vos travaux ou accréditations sur les réseaux sociaux. La logique voudrait que ce paragraphe n’existe pas et pourtant certains d’entre vous n’appliquent pas cette règle au risque de se faire pincer par la DCRI ou la DPSD.

Pour preuve, il suffit de faire quelques recherches sur Viadeo et Linkedin:

dcri-4ou encore mieux pour approcher une cible habilitée dont on connait les domaines de compétences et les intentions futures, ainsi que la mobilité.

dcri-3

2) Les règles de sécurités sur un ordinateur

Les fichiers d’aides techniques sont disponibles en bas de l’article.

Pour faire simple, verrouillez votre ordinateur avec un mot de passe à au moins 8 caractères ( plutôt 10 caractères même me dit-on), si possible chiffrez votre disque dur (avec true crypt), évitez le Wifi si possible ou chiffrez-le en WPA AES (le wep c’est has been).

Mise à jour de l’article du 10 décembre: C’est fait ! Il est possible de craquer un mot de passe de 8 caractères (Minuscules, Majuscules, Chiffres,  et caractères spéciaux) en 5h30. Le détails du test sur PC Impact, l’article se trouve ici

Autres points importants, lorsque vous videz votre corbeille ou formatez un disque ceux-ci ne sont jamais totalement effacés ! Pour être sûr de n’avoir plus aucune donnée récupérable utilisez le logiciel ERASER.

Mise à jour du 12 décembre 2012:

Suite à quelques retours d’internautes (Merci à eux !) il était indispensable de préciser qu’un disque dur garde toujours des traces électroniques ( même après Eraser). Il est en effet possible de récupérer ces données grâce à des outils extrêmement performant dont disposent les services de sécurité (par exemple le microscope à effet tunnel).

Il existe 3 types de destructions possibles pour les disques durs:

  • Destruction physique (Destruction des plateaux d’écritures)
  • Destruction magnétique
  • Destruction par surcharge (Re-ecriture)

J’ai trouvé deux documents qui résument bien ces différents types de destruction (suivant l’importance des données à détruire). Les documents se trouvent ici et ici.

Voici également une courte vidéo sur la récupération de données par KrollOntrack (vidéo ici)

En bonus, voici la notice officielle du gouvernement concernant la destruction de disque dur. Cliquez ici

Fin de la Mise à jour

Éviter de faire des transferts de fichiers avec des clés USB, un petit programme qui copie votre disque dur en arrière-plan ça existe ! Privilégiez donc l’envoi par mail si possible tout en évitant les services tels que Dropbox ou Google Drive, car les données sont propriété de ces services, pas vraiment sécurisés pour transférer la comptabilité ou le plan marketing. Je vous conseille également d’utiliser des clés ou disques durs  chiffrés (vous trouverez des exemples dans le fichier téléchargeable en bas de l’article)

Règle 2: « Sécuriser son Smartphone, son ordinateur avec un niveau de chiffrage conséquent permet de retarder l’accès aux informations sensibles, et laisse le temps de prendre les mesures nécessaires pour limiter les dégâts (changer le mot de passe de Wifi, recenser les informations perdues)

3)Les smartphones

Pour les smartphones, il faut savoir qu’aucun système n’est sur (en tout cas pas pour ceux qui vont à la nuit du Hack ), en dehors de cela vous aurez toujours des spécialistes pour vous dire que Blackberry est plus sécurisé que IOS que Android. En un mot nul n’est à l’abri.

Quoi qu’il en soit, d’expérience, j’ai appris que Blackberry était assez fiable malgré le manque d’applications, très peu de virus à ma connaissance, mais l’entreprise est en perte de vitesse. L’IOS je ne m’en suis jamais servi, je n’ai pas d’avis technique sur ce point. En revanche Android, je vous recommande vivement de prendre un antivirus (AVG par exemple) et d’installer une application qui filtre les données entrantes/sortantes telles que la géolocalisation, l’accès au répertoire ( LBE privacy guard par exemple).

Pensez également à télécharger vos applications sur les markets officiels, car les applications sont vérifiées, et le risque de trouver une application vérolée est limité (il s’agit d’une copie d’une application officielle avec des lignes permettant l’activation d’un code malveillant susceptible d’envoyer votre carnet d’adresses à un tiers,  activer le micro à distance par exemple).

Aux dernières nouvelles il semblerait que l’IOS soit également sensible aux attaques comme le décrit l’article du Point ou celui de mag secur reprenant la démonstration de la DCRI au congrès du CDSE.

4) Les lieux publics et transports

On ne le répète jamais assez, mais dans les lieux publics on ne parle pas de boulot ! Que ce soit pour critiquer son boss, parler des futures embauches ou des contrats en cours. Rien de plus facile pour un concurrent pour repérer le restaurant, le café, le bus, que vous et vos collègues fréquentez tous les jours. Pour avoir écrit un mémoire en 2011, sur la sensibilisation des salariés à la confidentialité des données, j’avais pu constater que 51% des 238 personnes interrogées savaient qu’elles pouvaient être écoutés lors de discussions dans des lieux publics, et pourtant 40,7% d’entre elles avaient dans le même temps entendus au moins un de leur collègue discuter d’affaires professionnelles.

Sur ce point, il reste un énorme travail de sensibilisation à effectuer auprès des salariés, mais aussi des chefs d’entreprises qui souvent lors de leurs déplacements en avions ou trains n’hésitent pas à travailler sur des chiffres sensibles (d’ailleurs, la DCRI veille, merci à eux, et ils ont toujours de superbes photos d’exemples dans leurs powerpoint pour illustrer).

En conclusion: Soyez prudent, n’hésitez pas à vous informer auprès des services compétents en cas de doutes (DCRI, Gendarmerie, CCI, Adit). La sécurité et la protection du patrimoine économique sont l’affaire de TOUS pour la défense de notre pays !

Règle  3: « Attention à vos conversations en public ! Vous ne savez pas qui est la personne à côté de vous ! »

et pour finir,

« La sécurité à un coût mais elle n’a pas de prix ! »

Merci encore une fois à Martin pour son article, et qu’il se rassure, même s’il a pu s’introduire en douce à la conférence, la DCRI ne dévoile pas de trop grand secret au public 😉

Et pour finir voici les documents promis (en cours de mise à jour 17/11/2016) :

  • Passeport du voyageur
  • Effacer ses données avec Eraser
  • Crypter un disque dur avec True Crypt
  • Quelques exemples de clés USB cryptées

Jonathan S

leo. Phasellus Nullam sem, suscipit sit
Share This