“Regarde, c’est vrai que c’est très simple PGP 1 en fait…”, indique une retraitée à un camarade plus jeune qu’elle. À l’occasion du dernier Collège national, des membres d’Émancipation se sont penché·es sur des méthodes simples pour réduire le risque que leurs ordinateurs et téléphones ne participent, à leur insu, à la répression du mouvement social. Et ils et elles ont trouvé ça beaucoup plus abordable que prévu.
Nous partons du principe que nos adversaires qui luttent pour le maintien de l’ordre établi incluent les flics et les gendarmes, des services de renseignement ou de sécurité privées, des administrations publiques et des militant·es politiques hostiles à l’émancipation de tou·tes. De notre côté, nous avons réuni des infos issues de développeur·euses et technicien·nes, de juristes et de militant·es habitué·es aux procédures pénales et aux procès de camarades.
Ensemble, nous avons essayé de lister les méthodes de nos adversaires, de celle la plus fréquemment mise en œuvre à la moins probable. Ainsi, nous pouvons proposer quelques mesures de protection simples qui permettent de limiter grandement les risques. Même lorsqu’on milite de manière légaliste, nos données personnelles et nos activités en ligne sont utilisées par des machines pour recouper et déduire des informations pour incriminer d’autres militant·es, même inconnu·es. C’est pour cela qu’il nous semble être pertinent de mettre tou·tes en œuvre quelques mesures de sécurité “de base”, à la hauteur des moyens de chacun·e. Et ce en toute circonstance, même pour envoyer sa liste de course à ses cohabitant·es (si on ne se méfie en ligne que pour les activités sensibles, celles-ci deviennent louches et plus intéressantes aux yeux de nos adversaires, ce qui est contre-productif).
Pour résumer, nous conseillons :
- De choisir pour chaque compte en ligne un mot de passe différent, long et aléatoire pour éviter que des pirates ne puissent déduire nos mots de passe grâce aux fuites de données des administrations publiques. Et d’utiliser un logiciel chiffré et à code ouvert pour gérer nos mots de passe à notre place (comme KeePassXC : https://keepassxc.org/).
- D’accepter le plus vite possible toutes les mises à jour qui nous sont proposées pour empêcher les pirates d’utiliser les failles de sécurité dites “zero days”, celles qui sont découvertes à peu près en même temps par les développeur·euses du logiciel et par les pirates.
- D’utiliser au maximum de logiciel à code ouvert et très connu pour être sûr qu’ils ne prévoient pas volontairement une méthode pour que nos adversaires accèdent librement à nos données (qu’on appelle une “porte dérobée”). On peut par exemple remplacer notre système d’exploitation par Ubuntu sur ordinateur (https://ubuntu.com/) et par LineageOS sur téléphone (https://lineageos.org/), remplacer les services en ligne qu’on utilise par un service suggéré par le collectif Chatons (https://www.chatons.org/search/by-service) et nos applications par des logiciels à code ouvert dédié à chaque activité : mail, bureautique, mise en page, retouche image, lecteur vidéo… (https://alternativeto.net/).
- Pour communiquer avec les autres d’une manière chiffrée de bout en bout (pour éviter les interceptions), à code ouvert (pour éviter les portes dérobées), mise à jour (pour éviter l’exploitation de failles) et en utilisant des identités multiples, nous conseillons d’utiliser le protocole PGP avec Thunderbird pour les emails (https://support.mozilla.org/fr/kb/openpgp-thunderbird-guide-faq#w_je-nai-jamais-utilise-openpgp-avec-thunderbird-auparavant-comment-configurer-openpgp) et/ou le protocole Matrix pour la messagerie instantanée (par exemple avec le client Element et un compte créé sur le serveur de Matrix.org https://app.element.io/).
Des brochures complètes d’une demi-douzaine de pages sur le sujet sont disponibles sur le site du Réseau d’Aide Juridique collective : https://rajcollective.noblogs.org/.
Le mieux est encore de participer à un atelier collectif comme celui de ce week-end (en écrivant à l’équipe de la revue pour être mis en relation avec les animateur·rices) ou de se rendre dans le hackerspace le plus proche de chez soi. En Île-de-France, le Fuz situé à l’A.E.R.I. à Montreuil (57 Rue Étienne Marcel) dédie tous les jeudi soirs à accompagner les néophytes dans la mise en place de mesures de sécurité numérique.
Synthèse par Castor des propos de camarades mobilisé·es contre la répression numérique
- Pretty Good Privacy, plus connu sous le sigle PGP, est un algorithme cryptographique hybride permettant entre autres de chiffrer et signer des données. ↩︎
