Mon infosec va craquer

Mon infosec va craquer et cela fait plusieurs jours, voire plusieurs semaines que je vois le point de rupture arriver.
Je n’écris pas cet article dans le but de me plaindre ni de me poser en victime en disant : « Je suis une noob, vos trucs sont trop compliqués ». En réalité, j’espère secrètement faire de la pédagogie ninja friendly, en expliquant posément ce qui ne va pas et pourquoi ça ne va pas.
Je pense néanmoins que les torts sont partagés, et que tout n’est pas la faute du grand vilain chiffrement.

La première fêlure est arrivée il y a quelques semaines. J’ai réinstallé ma distro pour virer ma passphrase qui faisait 34 caractères. Ce qui peut sembler peu mais en réalité, nous étions deux à nous servir de mon laptop et notre agacement n’a cessé de grandir au fur et à mesure. Je ne pouvais pas mettre mon ordinateur en veille, parce qu’il m’était impossible de le redémarrer après. Donc je devais systématiquement l’éteindre et le redémarrer plus tard. Il m’arrivait parfois de taper ma passphrase plusieurs fois dans la même journée, des fois avec des intervalles trop courtes, parce que je n’anticipais pas que j’aurais besoin de mon ordinateur plus tôt que prévu.
Lorsque mon ordinateur s’éteignait parce qu’il n’avait plus de batterie, il fallait systématiquement le redémarrer deux ou trois fois. La plupart du temps, le message invitant à taper sa passphrase ne s’affichait pas, il fallait donc calculer judicieusement le moment où il faudrait commencer à taper sa passphrase. Pas trop tôt, sinon il aurait fallu recommencer à nouveau.
Nous étions deux à utiliser cet ordinateur, et j’avoue que j’ai eu la flemme de chiffrer mon home. J’ai eu la flemme parce que je savais que tout ça me prendrait un temps fou parce qu’à mon niveau, il y a plein de choses que je dois prendre en compte et apprendre. Je ne peux pas juste faire ça comme ça. Il me fallait du temps, et ce temps je n’ai pas eu envie de le prendre parce que je voulais quelque chose de simple et fonctionnel.

Bien entendu, avant de réinstaller ma distro et devoir tout reparamétrer, j’aurais pu faire une recherche pour savoir s’il était possible de désactiver la passphrase au démarrage. Mais cette fois ce n’est pas la flemme mais le manque de courage qui a motivé mon geste.
Parce que je n’oublierai jamais (bien que j’en parle aujourd’hui de manière légère et en pratiquant une bonne dose d’autodérision), je n’oublierai jamais cette fois où j’ai voulu passer mon smartphone sous Replicant et que ça a été un échec total. J’avais la motivation, j’avais l’envie d’apprendre, mais j’ai été submergée par le nombre de choses qu’il faudrait que je prenne en compte et que j’apprenne parce que je n’avais simplement pas le niveau technique, et que ce niveau technique trop faible m’a empêché de poursuivre l’opération.

Mon infosec est en train de craquer parce que je n’ai plus le temps ni le courage de mettre le nez dans tout ça.

J’ai changé la passphrase de mon gestionnaire de mots de passe. Le 1er janvier 2016, j’ai commencé l’année en utilisant keepassx. J’étais contente, quelque part un peu fière, et j’ai passé pas mal de temps à tout faire proprement, des catégories de mots de passe aux icônes des catégories. Puis j’ai mis à jour un certain nombre de mes identifiants en générant des mots de passe fort. Fun fact, ma passphrase faisait également 34 caractères. Aujourd’hui elle n’en fait plus que 9. J’ai changé ma passphrase parce que ça me gonfle et que j’ai la flemme de taper 34 caractères à chaque fois que je veux accéder au back office de WordPress. J’ai simplifié ma passphrase et tous mes identifiants sont préenregistrés sur Firefox. Parce que je n’ai plus le courage. J’ai besoin de simplicité. Je n’arrive plus à suivre ces bonnes habitudes que j’avais mise en place. J’ai de moins en moins la patience. L’envie de faire bien, l’envie de faire proprement.
Quant aux bases de données que je dois importer et non plus ouvrir parce que j’ai upgradé ma version de keepassx, je n’arrive plus à suivre non plus. J’ai des copies de ma bdd partout, j’ai un keepassx d’installé sur mon Linux desktop, mon Windows desktop et mon Linux laptop. Et je n’arrive plus à suivre entre les bases de données avec l’ancienne passphrase, la nouvelle, les bases de données en version 1 et en version 2… Je n’ai plus la rigueur que j’avais autrefois pour faire les choses proprement et amoureusement.

Mon infosec est en train de craquer parce que je n’ai plus la discipline pour faire les choses de manière carrée et sécurisée.

Je n’arrive plus à accéder à la partition chiffrée de ma clé USB. Il y a quelques mois, grâce au formidable guide d’autodéfense numérique, j’ai fait un truc qui était sur ma todo list depuis un moment (vous noterez au passage que c’était une chose que je devais faire, non pas que j’avais envie d’entreprendre et d’apprendre), j’ai chiffré une partition d’une clé USB et laissé l’autre non chiffrée. Je me voyais déjà trimballer une partie de documents dont j’ai besoin régulièrement sur ma partition chiffrée, et les documents pas importants ou temporaires sur la partition non chiffrée. Problème : Windows ne reconnaissait pas ma clé USB. Je ne pouvais donc pas m’en servir à titre autre que personnel parce que je travaille la semaine sur un Windows et que les gens qui doivent me donner des documents numériques sont sous Windows.
Alors je me suis servie de cette partition pour y cacher des documents. Et aujourd’hui, je ne peux pas accéder à ma partition chiffrée. Et j’ai vraiment, vraiment besoin de mettre certains documents en sécurité.
Je ne peux pas y accéder sur mon desktop parce qu’il y a un problème avec cryptsetup ou luks (en réalité je n’en ai aucune idée, et j’aurais tout le mal du monde à expliquer à quelqu’un ce qu’est cryptsetup ou luks). J’ai eu ce problème avec mon laptop, mais un ninja est passé par là et m’a aidé. J’ai pu accéder à ma partition chiffrée. Et j’avoue que j’ai eu la paresse intellectuelle et technique de lui demander comment il avait fait. Le bordel marchait, le reste m’intéressait finalement peu. Je voulais quelque chose de simple et pratique. Je voulais quelque chose qui juste marche.
Aussi je me retrouve à avoir le même problème sur mon desktop que j’ai eu sur mon laptop. Et je ne sais pas comment le résoudre. Parce que j’ai tapé le message d’erreur dans mon moteur de recherche et que je me suis retrouvée comme cette fois où j’ai voulu installer Replicant : submergée par le nombre de choses à prendre en compte. Parce que je n’ai pas le niveau technique pour appréhender d’où vient le problème ni comment le régler. Je ne comprends pas les réponses que me donne mon moteur de recherche. Et chaque lien amène à une réponse différente. Donc une notion différente. Du jargon, de l’architecture, des bouts de hardware et de software dont je n’aurais même pas soupçonné l’existence.
Et comme j’ai vraiment, vraiment besoin de sécuriser ces documents, j’ai allumé mon laptop, où il y a eu une manipulation qui avait réglé le problème. Sauf qu’il y a un nouveau problème, un nouveau message d’erreur complètement différent que celui de mon desktop, et que je suis dans une boucle infinie.
Je vais devoir attendre l’aide d’un ninja pour pour pouvoir accéder à ma partition chiffrée.

Mon infosec est en train de craquer parce que je n’ai pas le niveau technique pour suivre.

Mais tout n’est pas pour autant complètement perdu ! J’ai réussi à chiffrer mon téléphone en moins de dix minutes, j’ai de plus en plus de contacts sur Signal et j’utilise Tor régulièrement. Je peux enfin lancer Pidgin avec des identifiants fonctionnels et la plupart, si ce n’est la totalité de mes conversations sont chiffrées.

En revanche, il est hors de question, pour toutes les raisons évoquées plus haut, et jusqu’à nouvel ordre, que je chiffre mes mails avec PGP. Je suis passée par là et j’ai échoué, pour toutes les raisons évoquées plus haut.

Pour conclure, je sais très bien que je vais enfoncer des portes ouvertes mais pour que tout·e·s les noobs du monde entier y parviennent, il va falloir que les choses soient simples et intuitives. Keep It Simple, Stupid (RPZ meuf qui bosse dans le marketing digital). Je pense que ce n’est pas un hasard si mes outils de prédilection sont Tor et Signal. Parce qu’à mon simple niveau, il n’y a que ces deux là qui passent le test noob friendly.
Ce qui m’interroge d’avantage, en revanche, et ça fait un moment que je m’interroge là-dessus, c’est comment faire en sorte que les noobs et les ninjas de l’ordinateur réussissent à communiquer et à s’entendre avec chacun leurs subtilités propres. Pour avoir été à la fois dans la position du noob et de la ninja, c’est un sacré équilibre à avoir.

Et pour que la propagande de Cameron fonctionne et que tous les habitants des Internets résident dans le cipherspace – the state of cryptoanarchy – il y a encore du boulot. Mais j’y crois, je suis optimiste, et je continuerai à trainer mes cols claudine dans des crypto parties et finirai bien un jour par organiser une noob pride, jusqu’à ce que le chiffrement soit accessible à tous, simplement et intuitivement (et que tout le monde dise chiffré et non crypté, je vous vois venir, bande de petits trolls).

Maintenant je souhaiterais finir cet article par une liste d’emojis, parce que les emojis, c’est cool.

2 commentaires

  • CalXD dit :

    Bonjour,

    je tombe (presque) par hasard sur votre site et je trouve votre style d’écriture très agréable à lire.

    Je comprends tout à fait votre désarroi face à toutes ces problématiques.

    Je vous invite à vous renseigner sur le système d’authentification yubikey qui devrai parvenir à combler vos attentes en terme de sécurité et de simplicité d’utilisation.
    Plus d’infos : https://www.yubico.com/start/

    Et si je peux me permettre un conseil, gardez à l’esprit que parfois la course à la sécurisation peut être contre-productive au quotidien et qu’il est important de bien mesurer le ratio bénéfices/risques de telles mesures…

    Bonne continuation !

    • Mooshka dit :

      Merci :)

      Alors, la yubikey, oui, à vrai dire j’en ai une mais aujourd’hui je n’en ai plus vraiment l’utilité.

      Et totalement d’accord sur le fait que la course à la sécurisation peut être contre-productive, je suis en plein dedans !
      Et si on en revient au modèle de menace… Je n’ai pas de modèle de menace qui nécessite une armada de solutions hyper sécurisées.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *