Comment assurer un minimum de sécurité et de sérénité de nos jours sur un poste de travail informatique ? Je dirais qu'il faut a minima :

• Un anti-virus,
• Un anti-spyware,
• Un pare-feu personnel,
• Un anti-spam.

Sous Windows, cela est possible pour 0 avec des logiciels freeware de qualité, dont je vous propose une sélection panachée :

• L'Anti-Virus : Le pionnier du gratuit reste AVG (version 7.1 : http://free.grisoft.com ), mais pour ma part je lui préfère a-Vast édition familliale - Version 4.6 à ce jour : http://www.avast.com/eng/download-avast-home.html
• L'Anti-Spyware : Le leader du gratuit reste selon moi SpyBot - Version 1.4 à ce jour : http://www.safer-networking.org/fr/index.html
• Le pare-feu personnel : Le fameux Zone Alarm est désormais disponible en version gratuite pour un usage personnel => Pourquoi s'en priver ? - Version 6 à ce jour : http://www.zonelabs.com - http://www.zonelabs.com/free_za_download/
• L'Anti-Spam : Je ne saurais trop vous recommander l'excellent Spamihilator - Version 0.9 à ce jour : http://www.spamihilator.com/

et cette consultation ne vous sera pas facturée non plus/ :roll:

Bon, il est clair que l'usage de Skype se répand à la vitesse V. Et on y échange de plus en plus de choses : Pas seulement la liste des sandwiches à acheter (Merci Manolo), mais parfois des informations sensibles, ou pire des mots de passe !

Et si ce trafic de données pouvait être intercepté et écouté par des proxies bien intentionnés sur la toile ? hmmm ?....

Pour en avoir le coeur, net, je suis allé faire un tour sur le site de l'éditeur : http://www.skype.com/security/

On y trouve notamment, des règles de bonne conduite assez "cucul la praline", mais aussi une étude apparemment sérieuse qui nous explique des choses sur la cryptographie mise en oeuvre par Skype, et notamment que :=> Les sessions P2P ou P2CS (central server) sont encryptées dans une architecture PKI RSA avec un algorithme AES 256 bits (Rijndael), en mode ICM (Integer Counter Mode). => Les signatures sont traitées en hash SHA-1=> L'implémentation logicielle des algorithme est correcte et le code source particulièrement élégant,=> Le jeu de clés utilisateur est généré lors de l'enregistrement, sur la base du login/password,=> Dans les scénarios d'attaque "Middle Man" les plus sévères, la robustesse du logiciel est très forte, et le seul point faible reste une défaillance du système central de sécurité (intégrité des jeux de clés maîtres des serveurs Skype).

Conclusion : Alors, peut-on utiliser Skype en toute confiance ? Selon moi oui, dans la limite du complexe de Big Brother : Tout ce qui est échangé sur Skype est lisible en clair par toute personne ayant accès aux serveurs centraux : Avis !

Pour les paranos, surveillez les Security Bulletins : http://www.skype.com/security/bulletins.html

Il en existe un, mais pour cela il vous faudra remonter à une très ancienne version : la 6.02

=> http://www.pgpi.org/cgi/download.cgi?filename=PGPfreeware602i.exe

Pour info, c'est la version qu'utilise le "Security Response Team" de la société Skype, preuve que ça rend encore des services : http://www.skype.com/security/

Mettre en place une architecture privée de sécurité à clés publiques, dans votre entreprise ?

Et oui, c'est possible, et à moindre coût !

Pour cela, je vous invite à acquérir une licence de site pour le package logiciel Crypto4 files et Crypto4 PKI : Le pack à 300 est intéressant si votre organisation compte plus de 10 personnes. Sinon, prenez des packs individuels.

Installez Crypto4 PKI sur un poste administrateur sécurisé, et une fois le logiciel installé, exécutez le Certificate Manager. il vous permet de voir les clés et certificats déjà présents et recensés sur le poste :

OK, maintenant procédons à la création d'un premier certificat privé, qui sera propre à l'administrateur. Une bonne idée est de créer un compte mail spécifique, du type pkiadmin@masociete.fr => demandez cela à votre IT.

[... rédaction en cours ...]

Tout le monde le sait, une des façon les plus simples de protéger un ou plusieurs fichiers, est de les stocker dans une archive compressée avec mot de passe. Plusieurs logiciels permettent de faire cela, et parmi les plus connus sous Windows (les homologues Mac et Linux opèrent de même) :

• Winzip : http://www.winzip.com
• WinRar : http://www.rarlab.com
• Power Archiver : http://www.powerarchiver.com
• Zip Genius : http://www.zipgenius.it
• 7-Zip : http://www.7-zip.org

Je conseille vivement Zip Genius qui est gratuit, disponible en français, et doté d'une sécurité de haut niveau (Rijndael AES 256 bits).

Ceci dit, quelques règles de base doivent être respectées :=> Il existe de nombreux logiciels capables de percer des mots de passe assez simples, en "force brute". Ils sont capables de tester jusqu'à 15 millions de mots de passe par seconde sur un simple pentium 4 ! Face à ce type d'attaque, il apparait qu'une mesure de protection efficace consiste à choisir des mots de passe d'une longueur d'au moins 10 caractères.=> La plupart des logiciels permettent de restreindre le nombre de combinaisons à claculer en se basant sur des dictionnaires de mots usuels et de noms propres. Pour vous prémunir contre cela, veillez à utiliser des mots de passe innintelligibles, ou a minima "corrompus" par des pho!tes d'orthographe ou des caractères non alpha-numériques (ponctuation et autre).=> Enfin, certains logiciels pratiquent le recoupement "plaintext" : Cette méthode redoutable peut être utilisée sur la base de comparaisons entre des fichiers compressés et des fichiers non compressés, collectés par exemple au fil d'échanges successifs. L'astuce consiste à disposer d'une version non compressée d'un fichier présent également dans une archive compressée. Ca peut être la cas d'une vCard, d'une image (icone, d'un index de vignettes de type Thumbnails.db, etc ... En bref, pour vous prémunir contre ce genre d'attaque, d'une part changez souvent de mot de passe de compression, et veillez à ne pas envoyer de fichiers redondants dans vos envois successifs !

Evidemment, le fait de changer souvent de mot de passe (autrement dit de clé de cryptage), pose le problème de la communication des clés à vos destinataires ! C'est ce qui nous amènera à examiner un atelier de niveau 2, pour les paranoïaques :-)Pour info, voici les principaux outils de "cassage" de mots de passe :

• Passware password Recovery Kit : http://www.lostpassword.com
• Password Recovery : http://www.elcomsoft.com
• Ultimate Zip Cracker : http://www.vdgsoftware.com

Trop de mots de passe tue les mots de passe !

C'est bien connu, à force de devoir choisir et utiliser des mots de passe, et pour des raisons mnémotechniques, nous finissons par utiliser toujours les mêmes ! Pas terrible pour sécuriser vos divers espaces de travail électroniques.

Par ailleurs, la feignantise nous pousse à utiliser les fonctions de mémorisation des navigateurs web : IE, Firefox et Opera proposent cette fonctionnalité trop pratique ! Au final, votre poste de travail devient une vraie passoire une fois le mot de passe Windows passé (lui-même facile à cracker).

Halte là : Il est temps de procéder à une leçon d'hygiène ! Voici les 3 leçons à retenir :=> Ne laissez plus aucun logiciel mémoriser vos mots de passe : désactivez ces fonctionnalités dans vos navigateurs, utilitaires FTP, Telnet, etc ...=> Choisissez un bon logiciel de gestion de mots de passe. En voici quelques uns gratuits ou pas chers :

• Password Agent : http://www.moonsoftware.com/pwagent.asp
• My Password manager : http://www.mypasswordmanager.com/
• Password Keychains : http://www.nfxtech.com
• Keepass : http://keepass.sourceforge.net

=> Choisissez un mot de passe Maître digne de ce nom : Au moins 8 caractères alpha-numériques, non déductible socialement (pas de numéros fétiches ou noms de proches, etc ...), et si possible épicés avec des caractères exotiques, comme de la ponctuation.

Ainsi équipés, vous pourrez facilement accéder à tous vos mots de passe classés par catégorie. Tous ces logiciels disposent de générateurs de mots de passe automatiques, de façon à vous éviter de vous creuser la tête.

Pour ma part, je recommande Password Agent, qui est standalone (un seul fichier EXE), ce qui le rends facile à transporter sur une clé USB. de plus il gère des fichiers très légers (ma boite à clés comporte plusieurs centaines de mots de passe et ne pèse que 110 ko !), fortement encryptés en AES/Rijndael 256 bits.

Sous Outlook Express et Outlook 2kx, l'encryptage d'e-mail est nativement proposé dans la barre d'outils. L'objet de cet article est d'étudier des solutions alternatives (pour Opera 8 par exemple) et plus robustes.

Rappelons le principe de l'encryptage : Dans notre environnement moderne dit PKI (Public key infrastructure) les messages email sont encryptés avec la clé privé de l'émetteur (vous) et la clé publique des destinataires. Cela signifie qu'un pré-requis est que vous devez disposer de la clé publique de votre destinataire !

Ceci étant dit, je propose d'examiner le processus avec Crypto Anywhere, excellent logiciel qui présente l'avantage d'être à la fois gratuit, intégrable dans Outlook et compatible avec le protocole OpenPGP.

=> Télécharger le logiciel sur http://www.bytefusion.com et l'installer=> Au premier démarrage, un assistant propose les premiers pas. Le point important est la création d'un premier jeu de clés de type SecEx, basés sur les algorithme RSA et TwoFish (format propriétaire) :- Saisir votre nom, email- Choisir ensuite la taille de la clé : de 1 kbit à 8 kits ! Je conseille 2 kbits pour un usage quotidien : - L'écran suivant invite à choisir une phrase clé : La choisir avec soin pour vous en souvenir, et assez longue : - L'écran suivant permet de générer une base de dombres aléatoires, à partir de multiples clics de souris : Astucieux ! - Finalement, la clé SecEx est créée et sauvegardée, sous la forme de 2 fichiers :---> Un fichier {email}#.pubrsa qui contient la clé publique : A COMMUNIQUER---> Un fichier {email}r#.privrsa qui contient la clé privée : A PROTEGER => le problème est qu'une clé SecEx n'est exploitable qu'avec Crypto Anywhere. D'où notre impatieence de créer une clé openPGP. Attention cela n'est possible que si vous avez déjà créé une clé SecEx. - La création de la clé se déroule en mode DOS, avec les étapes visibles ci-dessous : - Une fois les phrase clé saisie et confirmée, la clé est sauvegardée : Vous pouvez envoyer des fichiers encryptés en openPGP !

Peu de personnes le savent, mais il est parfaitement possible, sinon sérieusement recommandé, d'authentifier non seulement des emails, mais de nombreux types de documents avec un simple certificat numérique de type Thawte freemail.

Dans cet article je vous propose de tester cette fonctionnalité avec :

• Open Office : Fichier > Signatures Numériques > Ajouter => Sélectionnez une de vos signatures numériques valides. Enregistrez votre document : Celui-ci est signé, et cela est indiqué dans la barre de titre de Open Office. Si ce document était modifié et réenregistré par une autre personne, la signature serait automatiquement détruite : Une bonne façon de se prémunir contre les contrefaçons documentaires. Signalons au passage que c'est à peu près le même principe avec MS Office.

   

• Acrobat : On peut signer des documents PDF avec Acrobat Pro version 5+ : http://studio.adobe.com/us/tips/tip.jsp?p=1&id=100682&xml=acr7digsign .Toutefois, je prégère évoquer ici une solutions plus légère et plus universelle : Le recours à une imprimante PDF virtuelle supportant les signatures numériques. En voici quelques unes :- CutePDF Pro : http://www.cutepdf.com - EasyPDF Printer : http://www.gohtm.com/easypdf/- eDoc Printer PDF pro : http://www.iteksoft.com- Aloaha PDF Suite : http://www.aloaha.com

  Je suggère la suite eDocPrinter PDF Pro Enterprise Pack pour son ergonomie, son caractère complet, son faible coût (~50) et le fait qu'il soit disponible en français. Une fois le pack installé, depuis n'importe quel logiciel, on utilise l'imprimante virtuelle ERP2PDF : On clique sur OK, et la boite de dialogue de l'impression s'affiche :

  - Cocher l'option "Signé avec PDFSealer".- Appuyer sur le bouton "Option" et sélectionner le certificat à utiliser, puis paramétrer le format de la signature visuelle.- Valider et enregistrer le document PDF produit. La signature générée apparait alors comme suit :=> Si vous n'avez pas encore approuvé la signature de l'émetteur => Dès que vous aurez approuvé sa signature :

Voilà, j'espère que cela vous permettra de mieux garantir l'authenticité de votre production intellectuelle ;-)