Moi aussi, j’étais à (au moins) une conférence de la DCRI ! Cet article fait suite à l’article publié par Martin Untersinger, journaliste et étudiant à Science-Po, sur le site Rue89 et consultable ici (plus consultable au 02/09/2020). cependant j’ai retrouvé l’article grâce à la Wayback machine et vous le trouverez ici en PDF.
Je félicite l’auteur pour cet article qui est très bien sur le fond. L’objectif est de transmettre et vulgariser l’information afin de la rendre accessible au plus grand nombre de lecteurs. Néanmoins, l’article manque un peu de forme par l’absence de partie technique et ce sera l’objet de cet article. Cet article sera un retour d’expérience des conférences de la DCRI et de la DGSE auxquelles j’ai assisté durant ces deux dernières années.
Les réseaux sociaux
Durant ces conférences, j’ai eu droit aux recherches « en direct » de profils de personnes présentes dans la salle. Certaines ont d’ailleurs commencé à se demander si elles avaient bien retiré leurs dernières photos de soirées de profil.
D’où la règle numéro 1 : « Tout ce qui est mis sur le web, y restera, et sera à la vue de tous comme les affiches du métro parisien »
Cependant, pour ceux soucieux de leur e-reputation, il n’est pas trop tard pour faire une recherche Google sur votre nom. Vous pourrez ainsi mesurer l’étendue des dégâts. A commencer par supprimer vos informations personnelles (mails, numéros de téléphones, photos) et vérifier les paramètres de confidentialités (Facebook, Viadéo, Linkedin, Copains d’avant, G+).
Si vous souhaitez supprimer des pages des résultats de requêtes Facebook, voici la page à consulter, en revanche il vous faudra impérativement posséder un compte Google pour accéder à la page.
Je vous conseille également de créer des comptes à votre nom sur tous les sites sociaux (sans forcément les remplir ou les utiliser) afin d’éviter le cyber-squatting ou le vol d’identité.
De manière générale, il faudrait dans l’absolu éviter l’utilisation des réseaux sociaux dont la plupart sont américains (comme le souligne Martin Untersinger) et financé par In-Q-Tel (filiale de la CIA).
Petit rappel: pour ceux ayant des accès réservés (confidentiel, secret défense ou très secret défense) inutile de faire l’éloge de vos travaux ou accréditations sur les réseaux sociaux. La logique voudrait que ce paragraphe n’existe pas et pourtant certains d’entre vous n’appliquent pas cette règle au risque de se faire pincer par la DCRI ou la DPSD.
Les règles de sécurités sur un ordinateur
Pour faire simple, verrouillez votre ordinateur avec un mot de passe à au moins 12 caractères. Si c’est possible chiffrez votre disque dur (avec true crypt ou PGP), évitez le WIFI ou chiffrez-le en WPA AES.
Autres points importants, lorsque vous videz votre corbeille ou formatez un disque ceux-ci ne sont jamais totalement effacés ! Pour être sûr de n’avoir plus aucune donnée récupérable utilisez le logiciel ERASER.
Suite à quelques retours d’internautes, il était indispensable de préciser qu’un disque dur garde toujours des traces électroniques (même après Eraser). Il est en effet possible de récupérer ces données grâce à des outils extrêmement performant dont disposent les services de sécurité (par exemple le microscope à effet tunnel).
Il existe 3 types de destructions possibles pour les disques durs:
- Physique (Destruction des plateaux d’écritures)
- magnétique
- Par surcharge (Re-ecriture)
J’ai trouvé deux documents qui résument bien ces différents types de destruction (suivant l’importance des données à détruire). Les documents se trouvent ici et ici.
Voici également une courte vidéo sur la récupération de données par KrollOntrack (vidéo ici)
En bonus, voici la notice officielle du gouvernement concernant la destruction de disque dur. Cliquez ici
Éviter de faire des transferts de fichiers avec des clés USB. Un petit programme qui copie votre disque dur en arrière-plan ça existe ! Privilégiez donc l’envoi par mail si possible tout en évitant les services tels que Dropbox ou Google Drive. Les données sont propriété de ces services, pas vraiment sécurisés pour transférer la comptabilité ou le plan marketing. Je vous conseille également d’utiliser des clés ou disques durs chiffrés.
Règle 2: « Sécuriser son Smartphone, son ordinateur avec un niveau de chiffrage conséquent permet de retarder l’accès aux informations sensibles. Cela laisse le temps de prendre les mesures nécessaires pour limiter les dégâts (changer le mot de passe de Wifi, recenser les informations perdues).
Les smartphones
Pour les smartphones, il faut savoir qu’aucun système n’est sur (en tout cas pas pour ceux qui vont à la nuit du Hack ). En dehors de cela vous aurez toujours des spécialistes pour vous dire que Blackberry est plus sécurisé que IOS que Android. En un mot nul n’est à l’abri.
Quoi qu’il en soit, d’expérience, j’ai appris que Blackberry était assez fiable malgré le manque d’applications. Très peu de virus à ma connaissance, mais l’entreprise est en perte de vitesse. L’IOS je ne m’en suis jamais servi, je n’ai pas d’avis technique sur ce point. En revanche Android, je vous recommande vivement de prendre un antivirus (AVG par exemple). Installer une application qui filtre les données entrantes/sortantes telles que la géolocalisation, l’accès au répertoire ( LBE privacy guard par exemple).
Pensez également à télécharger vos applications sur les markets officiels. Les applications sont vérifiées, et le risque de trouver une application vérolée est limité (il s’agit d’une copie d’une application officielle avec des lignes permettant l’activation d’un code malveillant susceptible d’envoyer votre carnet d’adresses à un tiers, activer le micro à distance par exemple).
Aux dernières nouvelles il semblerait que l’IOS soit également sensible aux attaques comme le décrit l’article du Point ou celui de mag secur reprenant la démonstration de la DCRI au congrès du CDSE.
Les lieux publics et transports
On ne le répète jamais assez, mais dans les lieux publics on ne parle pas de boulot ! Que ce soit pour critiquer son boss, parler des futures embauches ou des contrats en cours. Rien de plus facile pour un concurrent pour repérer le restaurant, le café, le bus, que vous et vos collègues fréquentez tous les jours. Pour avoir écrit un mémoire en 2011, sur la sensibilisation des salariés à la confidentialité des données, j’avais pu constater que 51% des 238 personnes interrogées savaient qu’elles pouvaient être écoutés lors de discussions dans des lieux publics. Pourtant 40,7% d’entre elles avaient dans le même temps entendus au moins un de leur collègue discuter d’affaires professionnelles.
Sur ce point, il reste un énorme travail de sensibilisation à effectuer auprès des salariés. Ce travail concerne également les chefs d’entreprises qui souvent lors de leurs déplacements n’hésitent pas à travailler sur des chiffres sensibles. D’ailleurs, la DCRI veille, merci à eux, et ils ont toujours de superbes photos d’exemples dans leurs Powerpoint pour illustrer.
En conclusion: Soyez prudent, n’hésitez pas à vous informer auprès des services compétents en cas de doutes (DCRI, Gendarmerie, CCI, Adit). La sécurité et la protection du patrimoine économique sont l’affaire de TOUS pour la défense de notre pays !
Règle 3: « Attention à vos conversations en public ! Vous ne savez pas qui est la personne à côté de vous ! »
et pour finir,
« La sécurité à un coût mais elle n’a pas de prix ! »
Merci encore une fois à Martin pour son article. Qu’il se rassure, même s’il a pu s’introduire en douce à la conférence, la DCRI ne dévoile pas de trop grand secret au public 😉
Jonathan SCHELCHER