29 septembre 2015

RPVA et Windows 10

Une amie avocate m'a demandé de l'aider avec l'informatique de son cabinet. Rien d'inhabituel, tous les informaticiens connaissent ce type de demande... J'arrive dans le cabinet pour découvrir le problème et le diagnostique tombe : panne d'alimentation du PC et, après discussion, le choix est fait de remplacer l'ensemble de l'ordinateur, qui a bien vécu.

Nous regardons ensemble la meilleure configuration, en fonction de ses besoins et de son budget, et nous passons commande sur internet. Quelques jours plus tard, le matériel est livré et je viens l'installer.

La particularité informatique de la profession d'avocat est de devoir utiliser un réseau informatique protégé qui sert aux communications électroniques des avocats, notamment dans le cadre de la dématérialisation des procédures avec les juridictions judiciaires. Ce réseau s'appelle RPVA.

J'ai déjà eu l'occasion d'écrire en 2010 un billet sur le sujet brûlant du RPVA qui alimente quelques conversations animées dans le milieu des avocats. Je n'y reviendrai pas, ma position n'ayant pas beaucoup changé sur le sujet : il était possible de faire mieux pour moins cher.

Les informaticiens ont l'habitude des outils complexes à installer et je me suis régalé à installer RPVA sous Windows 10, puisque c'est le système d'exploitation maintenant imposé livré avec les ordinateurs. Voici comment j'ai procédé, si ce billet peut aider un cabinet à la peine.

Je fais l'hypothèse que le cabinet utilise déjà RPVA et donc que le boîtier RPVA est déjà configuré correctement. La question est quand même de comprendre comment le boîtier est configuré, sachant qu'il y a trois cas de figures : mode ethernet, mode bridge et mode gateway. N'ayant pas trouvé le guide d'installation du boîtier RPVA sur le site e-barreau.fr, j'ai cherché via Google le manuel, que j'ai trouvé sur le site du constructeur Navista. Voici le lien qui peut servir à d'autres.

Dans mon cas, le boîtier est en mode "Gateway".

Il reste ensuite à configurer les pilotes du boîtier et les certificats de la clef cryptographique. Pour cela, j'utilise la page "téléchargements" du site e-barreau.fr où je clique sur "Téléchargez le pilote de votre clé cryptographique".
Et là, j'ai un magnifique message qui m'indique que mon ordinateur utilise un système incompatible car utilisant Windows NT et Edge...

Il ne faut pas en avoir peur et cliquer sur le lien "Votre système d'exploitation ou votre navigateur est-il différent ?". Vous avez alors accès à un magnifique tableau coloré(voir figure).




Vous pouvez donc voir que l'installation n'est pas (encore) possible avec le navigateur Edge. Qu'à cela ne tienne, il suffit d'installer votre navigateur favori, c'est-à-dire dans mon cas Firefox.

En passant la souris sur la case correspondant (dans mon cas la case Windows 10 / Firefox), vous avez accès à deux fichiers importants : le manuel d'installation et le pilote Windows kit_1.4.exe.

Il ne reste plus qu'à suivre les consignes indiquées dans le manuel. Attention, dans le manuel, le lien fourni pour l'installation du pilote n'est pas à jour (il s'agit de la version kit_1.3 !).

Avant de pouvoir tester le fonctionnement de la clef RPVA, il faut modifier la configuration IP du nouvel ordinateur. Pour cela, j'explore le réseau du cabinet avec SoftPerfect Network Scanner pour noter l'adresse IP du boîtier, afin de pouvoir configurer correctement le nouvel ordinateur : adresse IP fixe hors zone DHCP, et adresse IP du boîtier comme passerelle et DNS.

Il ne reste plus qu'à brancher votre clef dans un port USB de l'ordinateur et de la tester en utilisant ce lien. Si tout va bien, cela devrait fonctionner.

Sinon, il faut appeler votre informaticien préféré ;-)

18 septembre 2015

Echanges autour du chiffrement, de la vie privée, de la police, de la justice et de l'Etat

L'interview est un exercice délicat, tant pour le journaliste que pour la personne interrogée. Et, on l'oublie souvent, l'interview est également protégée par le droit d'auteur. En effet, si on la considère comme une œuvre de collaboration, les droits du journaliste sont les mêmes que ceux de la personne interviewée.

C'est donc avec plaisir que j'ai demandé à Amaelle Guiton, journaliste au pôle Futurs du journal Libération, l'autorisation de reproduire ici l'intégralité de l'échange que nous avons eu lors de la préparation de son article paru dans Libération le 13 septembre 2015 : "Cryptographie, la justice cherche la clé", que je vous invite à lire à titre liminaire. Amaelle m'ayant donné son autorisation (avec la complicité de sa hiérarchie ;-), je vous livre donc l'intégralité de notre échange.

--oOo--

Bonjour Amaelle,
Je reprends vos questions dans l’ordre, mais gardez à l’esprit que je ne suis qu’un petit expert judiciaire de province, et que je ne dispose pas nécessairement de l’estime de mes confrères (et réciproquement). Je parle donc en mon nom propre.

AG: Le procureur de Paris François Molins a cosigné une tribune dans le NY Times pour protester à son tour contre le chiffrement des données sur les smartphones équipés d'iOS et Android. Est-ce que, dans votre activité d'expert judiciaire, vous avez le sentiment que la cryptographie préoccupe de plus en plus la police et la justice? Ce sont des discours que vous entendez ?

C’est un sujet qui préoccupe de plus en plus de monde, car la cryptographie « pour tous » va potentiellement gêner de nombreux dossiers où les enquêteurs avaient pris l’habitude d’accéder facilement à toutes les données. Sur les listes de diffusion sur lesquelles je suis inscrit, réservées aux enquêteurs et aux experts judiciaires, je vois passer pas mal de messages sur la cryptographie, sur l’impact qu’elle a sur les réponses qu’il est possible d’apporter aux magistrats. Mais ce phénomène est ancien. Les policiers se plaignaient de ne pas avoir assez de voitures puissantes pour poursuivre les malfaiteurs. Jusqu’au moment où ils se sont mis à les attendre aux péages d’autoroute. C’est toujours une course entre le chat et la souris, et les malfaiteurs utilisent depuis longtemps les outils technologiques, et en particulier la cryptographie. Certains sont en avance sur la police, beaucoup non.

AG: Que pensez-vous de l'argument selon lequel le chiffrement freine ou bloque les enquêtes? Est-il légitime (ou jusqu'à quel point est-il légitime) ?

Lorsqu’un enquêteur, ou un expert judiciaire, doit analyser un ordinateur ou un téléphone et que les données sont correctement chiffrées, il est bien évidemment bloqué. Si son enquête ne repose que sur cet élément, il est définitivement bloqué, ce qui est regrettable. Mais dans les dossiers que j’ai eu à traiter, ce cas de figure n’est jamais arrivé : un dossier ne repose jamais uniquement sur le contenu chiffré d’un ordinateur ou d’un téléphone. Il y a toujours d’autres éléments dans le dossier, et il s’agit d’ajouter encore des éléments de preuve (à charge ou à décharge) pour le compléter. L’argument ne me semble pas légitime, sauf dans le sens où le chiffrement complique la recherche de preuve et donc alourdit la facture de l’enquête, ce qui est déjà un problème dans notre pays où le budget de la justice est anormalement bas. Il ne faut pas oublier aussi que si les données sont chiffrées, il faut aussi qu’à un moment elles soient déchiffrées pour être utilisées par leur destinataire. L’enquêteur peut intervenir à ce moment-là.

AG: De quels moyens disposent les enquêteurs et les experts confrontés à des contenus chiffrés ?

Nous disposons des mêmes outils que les cambrioleurs de données : si le système de chiffrement possède une faiblesse (bug, porte dérobée, etc.), elle peut être exploitée. Par exemple, le système de gestion des mots de passe sous Windows 7 peut facilement être cracké avec l’outil Ophcrack en téléchargement libre. Je donne plusieurs exemples dans le billet de mon blog intitulé « Cracker les mots de passe ». De tout temps, les administrateurs informatiques ont développé des outils qui leur permettent de tester la viabilité des protections qu’ils mettent en place sur leurs réseaux. Il existe même un métier pour cela : pentester. Tous ces outils peuvent être utilisés par les enquêteurs pour essayer d’accéder légalement à des données (mal) protégées. Si les données sont bien protégées (par exemple des emails chiffrés correctement avec GPG, ou des données stockées dans des containers TrueCrypt), il n’est pas possible de les déchiffrer sans connaître la clef privée du destinataire. Mais si vous avez accès à l’ordinateur où est stockée la clef privée, tout redevient possible. J’aborde ces sujets dans le billet de mon blog intitulé « Fâce à TrueCrypt ». Je précise que je n’ai jamais eu accès aux moyens de l’État en matière de cryptologie. Je ne connais pas leurs possibilités, et je doute fort qu’ils puissent déchiffrer GPG ou TrueCrypt. Mais je me souviens de mon service militaire au service technique de l’électronique et de l’informatique des armées (je vous parle du millénaire précédent ;-) où certains ordinateurs étaient protégés par des cages de Faraday pour éviter l’interception à distance des données s’affichant sur les écrans. Je suppose que les techniques ont dû évoluer, mais je pense que l’État dispose encore d’outils permettant l’accès distant aux données (et de s’en protéger) par des voies non conventionnelles. Dans le même esprit, je pense que le plus simple pour écouter une conversation utilisant un téléphone chiffré (tel que Teorem de Thales) est encore de placer (légalement) un micro dans la pièce ou dans la voiture… On peut donc toujours surveiller quelqu’un de manière ciblée sans mettre toute la population sur écoute.

AG: Et enfin, comment vous positionnez-vous dans ce débat : en tant qu'informaticien, en tant qu'expert judiciaire, en tant que citoyen (ou les trois à la fois!).

Il m’est difficile de dissocier les trois : je suis un citoyen informaticien expert judiciaire. J’ai l’expérience de ces trois casquettes, expérience dont je fais part sur mon blog (ce qui m’est assez reproché). Ma position personnelle est de placer au-dessus de tout la protection de la vie privée individuelle. Tous les échanges et tous les stockages de données devraient être chiffrés de manière à ce que chacun puisse protéger ses données. Je préférerais d’ailleurs que l’on parle de « vie intime » plutôt que de « vie privée », car ce dernier terme prête à confusion dans un monde où beaucoup de citoyens échangent l’accès à une partie de leur vie privée avec un droit d’usage gratuit à certains services (proposés par les GAFAM). Tous les citoyens doivent pouvoir utiliser des outils garantissant leurs données contre les oreilles de l’État. Les malfaiteurs les utilisent depuis longtemps, sans que cela ne gêne trop l’État, il est temps que les honnêtes citoyens puissent les utiliser en masse. Les enquêteurs disposent d’autres moyens de poursuivre les malfaiteurs sans que l’État n’oblige tous ses citoyens à se mettre à nu. Je refuse d’être obligé de mettre une caméra dans ma chambre à coucher sous le prétexte d’une meilleure sécurité, par exemple pour une lutte soit disant plus efficace contre le terrorisme ou contre les pédophiles. Je ne crois pas en la réalité d’un État bienveillant qui surveille en masse ces citoyens pour le bien de tous. L’Histoire a plutôt démontré que ce type d’État dérive toujours très vite vers des abus en tout genre.
Quis custodiet ipsos custodes ?


14 septembre 2015

Protégez votre vie privée

Cet article s'adresse plutôt aux personnes ne connaissant pas bien l'informatique qui pourtant envahit rapidement leur vie. Que les experts me pardonnent si je leur semble simplifier exagérément...

Prenons l'exemple d'un aménagement informatique familial, même si ce dont je vais parler s'applique aussi au réseau informatique d'une TPE comme un cabinet d'avocat ou de médecin (ou autre).

Commençons par la box fournie par l'opérateur qui vous vend votre accès à internet. Cette box est la tour de contrôle de votre accès internet. C'est elle qui sert d'intermédiaire pour tous les éléments de votre maison qui vont se connecter à internet. Pour cela, elle distribue à chaque élément une adresse unique : c'est l'adresse IP.

Chaque élément de votre maison devant accéder à internet dispose donc de sa propre adresse IP fournie par la box : votre console de jeux, votre tablette, votre ordinateur, votre téléphone intelligent en mode Wifi, votre montre connectée, votre imprimante réseau, etc.

Votre box gère deux réseaux différents de la même manière : un réseau sans fil (que l'on appelle réseau Wifi), et un réseau avec câbles informatiques (que l'on appelle réseau filaire). C'est transparent pour vous car tout est fait que cela fonctionne le plus simplement possible : en général, il suffit de brancher votre nouvel ordinateur avec un câble informatique sur la box pour qu'il accède tout de suite à internet. Pour le réseau Wifi, il suffit d'entrer un code fourni par la box pour se connecter sans fil (lire la documentation de votre box).

Chaque élément devant accéder à internet dispose donc d'une adresse IP qui lui est propre. La box lui donne également une deuxième information : l'adresse IP de l'élément qui lui permet d'accéder à internet. Vous l'avez deviné, c'est l'adresse IP de la box elle-même.

Cette box est faite pour s'occuper de tout, pour décider à votre place d'un certain nombre de choses techniques. C'est pratique. Sauf si vous voulez reprendre un peu le contrôle et protéger votre vie privée.

Internet a été conçu au départ pour permettre à des chercheurs d'échanger de l'information et d'accéder à distance à des services (par exemple du temps de calcul sur des ordinateurs trop chers pour que chacun puisse en avoir un pour lui tout seul). Les échanges n'étaient pas très protégés (il fallait disposer de matériel très cher et de connaissances pointues pour intercepter des messages).

Cette époque lointaine est maintenant révolue, surtout depuis que les sociétés commerciales ont investi internet : qui accepterait de voir son compte en banque pillé ou sa carte bancaire utilisée à son insu. Les échanges sur internet ont donc été protégés par du chiffrement. Mais pas tous, car cela coûtait cher de protéger tous les échanges. Seuls les échanges "importants" étaient protégés : ceux avec votre banque par exemple.

Cela aussi est révolu : il est maintenant possible de chiffrer tous vos échanges en utilisant un réseau privé virtuel chiffré (en anglais VPN).

Nous allons introduire dans la maison un élément informatique nouveau qui va s'occuper de créer ce réseau privée virtuel chiffré : un boîtier VPN.

(Note pour les avocats qui me lisent, il est fort probable que vous disposiez déjà d'un tel boîtier dans votre cabinet : le boîtier RPVA).

La mauvaise nouvelle de ce billet est que je ne connais pas de boîtier VPN pas trop cher qui s'installe clef en main. Il va falloir mettre la main à la pâte et faire appel à un(e) ami(e) informaticien(ne), et acheter un peu de matériel et de service.

Deux cas de figure :
- soit vous disposez déjà d'un disque dur réseau de type NAS (Synology, QNAP, etc.) et il est probable qu'il peut faire office de boîtier VPN.
- soit vous n'avez rien, et je vous propose d'acheter un petit boîtier pas cher qui pourra tout faire.

Mettons nous dans l'hypothèse n°2: vous n'avez rien qui ressemble de loin ou de près à quelque chose qui pourrait servir de boîtier VPN. Il en existe plusieurs : par exemple : La Brique Internet, des routeurs modifiés, etc. Pour ma part, je vous propose la solution basée sur un Raspberry Pi.

Contactez votre ami(e) informaticien(ne) et dite lui que vous voulez acheter un Raspberry Pi et lui confier la configuration de votre VPN. Si sa réaction est positive, il vous en coutera:
- Prix d'un Raspberry Pi 2 B et sa quincaillerie : environ 80 euros
- Prix d'un bon repas au restaurant pour votre ami(e) : environ 100 euros / an
- Abonnement à un fournisseur d'accès VPN : environ 5 euros / mois

Avant d'aller au restaurant avec votre ami(e) informaticien(ne), demandez-lui de vous abonner à un fournisseur VPN (par exemple Freedom-IP fait des promos à 23.40 euros / an en ce moment) et de configurer le Raspberry Pi en boîtier VPN avec une adresse IP fixe sur votre réseau et une Debian + openVPN + connexion au démarrage à un serveur VPN Freedom-IP.

Profitez-en aussi pour lui demander d'installer unbound sur le Raspberry Pi pour éviter les DNS menteurs de votre fournisseur d'accès à internet.

Demandez-lui (toujours avant le restaurant), de modifier le paramétrage de la box pour qu'elle fournisse l'adresse IP du boîtier VPN comme adresse de sortie sur internet à tous vos éléments connectés.

Et enfin, demandez-lui de vous expliquer comment éviter d'utiliser la boite aux lettres et l'adresse email fournies par votre opérateur télécom. Cela vous évitera des ennuis si vous changez d'opérateur. S'il arrive à vous obtenir une adresse email sur protonmail.ch, vous pourrez aussi protéger un peu plus votre vie privée.

N'en profitez pas, pour autant, pour faire des choses illégales, car sur internet, il y aura toujours un grand frère quelque part pour vous surveiller. Sachez aussi que si l’État vous a spécifiquement à l’œil, vous ne pourrez rien lui cacher bien longtemps...

Ce n'est pas une raison pour habiter une maison aux parois de verre.