Guide Infosec 101 pour les activistes

 (infosecforactivists.org)
2 points par GN⁺ 2025-02-06 | 1 commentaires | Partager sur WhatsApp

Introduction

  • Les États-Unis ont une forte tradition militante, née notamment de révoltes d’esclaves et de soulèvements autochtones.
  • Aujourd’hui encore, le militantisme y reste important, et les manifestations de rue sont un outil essentiel pour sensibiliser et pousser au changement institutionnel.
  • Cependant, contester les structures de pouvoir en place comporte des risques, et l’exposition peut entraîner du harcèlement, une arrestation ou une fuite de données personnelles.
  • Ce document se concentre sur la sécurité numérique et la sécurité de l’information auxquelles les activistes sont confrontés.

Outils à utiliser

  • BitWarden : gestionnaire de mots de passe, gratuit, fonctions supplémentaires à 1 $/mois
  • DuckDuckGo : recherche web, gratuit
  • DuckDuckGo Maps : cartes et itinéraires, gratuit
  • Firefox : navigation web, gratuit
  • Jitsi : réunions en ligne, gratuit
  • ProtonMail : e-mail, gratuit, fonctions supplémentaires à 5 $/mois
  • ProtonVPN : VPN, gratuit, fonctions supplémentaires à 5 $/mois ou 10 $/mois
  • Signal : messagerie, gratuit

Outils à ne pas utiliser

  • Google Maps : suit la position des utilisateurs et conserve les données de façon permanente.
  • Telegram : présente des problèmes de sécurité et ne chiffre pas les messages de groupe.
  • WhatsApp : non recommandé pour des raisons de sécurité similaires.

Ce qu’il faut savoir

  • Les téléphones portables sont une mine d’or en matière de suivi et d’informations d’identification.
  • Les messages, appels téléphoniques, etc. peuvent être enregistrés par la police.
  • Mettez à jour vers le système d’exploitation le plus récent et, si votre téléphone ne reçoit plus de mises à jour logicielles, mieux vaut ne pas l’emporter.

Participer à une action

Avant l’action

  • Ne vous marquez pas comme « participe » sur Facebook.
  • Conservez les détails sur un appareil personnel ou sur papier.
  • Utilisez DuckDuckGo et une session de navigation privée pour vos recherches sur Internet.
  • Mettez votre appareil à jour vers la dernière version de l’OS.
  • Configurez un compte Signal ; vous pouvez créer un nouveau numéro avec Google Voice pour l’inscription.

Pendant l’action

  • Agissez avec un binôme de manifestation.
  • Utilisez Apple Maps ou DuckDuckGo Maps pour trouver votre itinéraire.

Après l’action

  • Quittez et supprimez le groupe Signal créé pour la manifestation.
  • Ne publiez pas de photos de la manifestation sur les réseaux sociaux.

Préparer son téléphone

Traces numériques

  • Désactivez le récepteur GPS ainsi que Bluetooth, le WiFi et la radio ultra large bande (UWB).
  • Les opérateurs mobiles peuvent suivre la position de votre téléphone, et la police peut utiliser ces informations.
  • Activez le mode avion pour désactiver toutes les radios.

Protection contre l’intrusion

  • Configurez un écran de verrouillage et désactivez le déverrouillage biométrique.
  • Utilisez le chiffrement complet du disque pour protéger vos données.

Idées de sécurité

Messagerie chiffrée

  • Utilisez le chiffrement de bout en bout (E2EE) pour chiffrer vos communications privées.

Réunions en ligne

  • Utilisez Jitsi, qui n’enregistre ni n’archive le contenu des réunions.

Sécurité des mots de passe

  • Activez l’authentification à deux facteurs (2FA), utilisez des mots de passe longs et servez-vous d’un gestionnaire de mots de passe.

Autres conseils

  • Réfléchissez soigneusement aux personnes avec qui vous pouvez partager en toute sécurité votre participation à des actions.
  • N’utilisez pas l’e-mail pour les discussions liées aux manifestations.
  • Recherchez votre nom sur Google pour voir quelles informations apparaissent.
  • Ne faites pas de check-in à la manifestation.
  • Ne publiez pas de photos sur les réseaux sociaux.

À lire aussi

1 commentaires

 
GN⁺ 2025-02-06
Avis Hacker News

  • Hésite à recommander Proton en raison de son implication dans des questions politiques, et note que Mullvad n’a pas commis ce type d’erreur

    • Recommande comme ressources connexes « Activist or Protester? » de l’EFF et « The Protester's Guide to Smartphone Security » de Privacy Guides
    • Il faut définir son modèle de menace et reconnaître que, dans le contexte actuel, ces mesures ne sont pas suffisantes
    • Avertit que certaines mesures peuvent attirer l’attention

  • Souligne que l’article insiste sur la nécessité de participer aux manifestations avec un ami de confiance, mais indique qu’il n’explique pas assez comment trouver et conserver ce type d’ami

    • A l’impression que Firefox est plus favorable aux militants et à la vie privée que Chrome, mais mentionne que Chrome dispose de protections d’exécution plus sophistiquées et mieux testées

  • Estime que des mesures de base ne seront pas efficaces face à des adversaires sophistiqués comme des acteurs étatiques

    • Explique que les smartphones modernes sont remplis de firmwares propriétaires comportant de nombreuses vulnérabilités de sécurité, y compris des failles d’exécution de code à distance
    • Avertit que le réseau Find My d’Apple peut fonctionner même lorsque l’appareil est éteint, et qu’il est possible que des acteurs étatiques disposent d’une porte dérobée pour le contourner

  • Signale des erreurs dans les recommandations concernant les sauvegardes iCloud

    • Affirme qu’il est faux de dire que les sauvegardes iCloud stockent la clé de chiffrement complète du disque et que les forces de l’ordre peuvent l’exiger
    • Recommande d’activer Advanced Data Protection afin de chiffrer les données de bout en bout

  • S’interroge sur la possibilité pour une sauvegarde iCloud de déverrouiller un appareil physique

    • Indique qu’une sauvegarde peut être compromise et qu’elle permet d’obtenir la plupart des données de l’appareil, mais aimerait en savoir plus sur le lien avec le déverrouillage de l’appareil physique

  • Pose une question sur la comparaison du coût des vulnérabilités 0-day entre Firefox et Chrome