Hello,
> Est-ce que tu peux faire une liste des manoeuves à effectuer pour un
> déloggage correct? Et est-ce que ça peut être inclut d'une manière
> relativement simple dans l'aide en ligne?
>
> En fait, cette histoire de sécurité, il y a deux facettes:
>
> - assurer une sécurité normale pour l'utilisateur qui est sur un poste
> partagé (boulot, webbar...), qui n'a pas de raison de subir une attaque
> particulière; lui, a priori, faut simplement qu'il prenne l'habitude de
> se délogguer, c'est déjà ça pour éviter les bêtises de base (je suppose
> que c'est suffisant, non?)...
>
> - ensuite il y a le cas parano (pas forcément injustifié): Samizdat va à
> Gênes, les keuf débarquent avec les lacrimo et saisissent les machines;
> est-ce qu'il y a moyen tout de même d'assurer la sécurité du site (une
> éventuelle "liste des manoeuvres" ci-dessus), ou bien de toute façon
> c'est nické?
Je ne suis pas spécialiste en sécu, hein, mais on va essayer
1) De base :
- désactiver la mémorisation des mots de passe par le brouteur
(et les vider)
- vider le cache du brouteur
- vider l'historique des URLs du brouteur
- supprimer tous les cookies du brouteur
- fermer le brouteur et éventuellement regarder s'il ne reste
pas de processus fantômes (pour les experts)
2) Pour aller un peu plus loin :
- sur une machine partagée, il vaut mieux faire confiance au
propriétaire de la machine (n'y a-t-il pas des bidules qui
espionnent la frappe du clavier ? le FBI a découvert la phrase
de passe PGP d'un criminel comme ça).
- les connexions à Internet (celles menant à des sites privés)
doivent être chiffrées
- désactiver au maximum javascript, java, plugins
3) En cas d'infos sensibles :
- vider le fichier "swap" de la machine à la fin (en rebootant,
ça devrait aller, mais c'est pas sûr...). ou mieux, désactiver
totalement le swap (mais il faut avoir assez de RAM !).
- vérifier les processus tournant sur la machine (si possible)
4) Si on a des infos vraiment confidentielles :
- utiliser un effaceur de fichiers spécial ("secure wiper") qui
réécrit des données à la place fichier en plusieurs passes, afin
que les services secrets ne puissent pas récupérer l'ancien contenu
en analysant la surface du disque. Ce genre d'outils est livré
avec PGP, ou dispo gratos sur le Net
- ne pas oublier d'effacer aussi le fichier swap avec l'effaceur
spécial
- n'autoriser que les connexions sécurisées à 128 bits et plus
(paramétrable dans le brouteur, ou vérifiable à chaque page en
faisant "page info")
5) Encore plus :
- toutes les données sauvées sur le disque (y compris temporaires :
cache brouteur, etc.) doivent être sur une partition chiffrée
qui sera illisible sans les mots de passe choisis par l'utilisateur
(un outil comme Scramdisk, pour Windows, tient sur une disquette)
- vérifier tous les certificats des sites sécurisés visités
avec ceux qu'on aura notés depuis une connexion "sûre"
6) Ultime :
- l'ordi doit avoir un blindage bloquant ses émissions
électromagnétiques. En effet avec un équipement approprié,
on peut reconstituer grosso modo ce qui est affiché sur
l'écran, et tapé au clavier, à plusieurs dizaines de mètres
de la machine...
- ne pas se connecter du tout à quelque réseau que ce soit
(y compris Internet, bien sûr
J'ai peur d'en oublier des tas, m'enfin.
Pour l'aide en ligne, le 1) suffit largement avec une mention
éventuelle du 2). Pour Gênes, le 3) est ok à mon avis (faudrait
demander à Samizdat (hé ho, vous êtes toujours sur la liste ?)).
Enfin, je me demande quand même l'intérêt de protéger à mort
des articles qui sont destinés à être publiés en ligne... ?
a+
Antoine.