Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Documentation technique pour renforcer la sécurité et vie privée

Jerome62

Bonjour à tous,

J'espère que vous allez tous bien.

Je souhaite passer complètement à Ubuntu pour un usage quotidien et je n'ai pas trouvé de docs "techniques et approfondies" à jour concernant les réglages à effectuer pour renforcer la sécurité et la vie privée sur cette distribution. Aussi, je m'étonne qu'Ubuntu ne soit pas listé sur le site https://www.privacytools.io.

1°/ Pourriez-vous m'indiquer quelques références sur ces sujets s'il vous plaît ?

2°/ Certains ici déconseillent de chiffrer les données de son disque dur à l'installation d'Ubuntu. D'autres conseillent d'utiliser VeraCrypt. Quel est votre avis sur ce point ? (Dans mon cas, c'est nécessaire de chiffrer mes données en cas de vol de mon ordinateur).

3° Un pare-feu, surveillance du réseaux et autres outils de gestion de la sécurité à conseiller ?

Un grand merci par avance.

Bonne journée.

nam1962

Hello, la sécurité est une vaste question.
Elle commence par l'interface chaise-clavier ! Premier point, par exemple, as-tu une politique de sauvegarde complète et systématique ?

Le site privacytools est une bonne référence, mais il est un peu ceinture et bretelles : il y a pas mal de trucs qui si tu les applique tous finissent par rendre ton ordi quasi inutilisable.

Ca dépend aussi de ta pratique et du niveau de confidentialité de tes données
Genre, entres-tu dans des pays à risque avec ton ordi (il n'est un secret pour personne que sur certaines destinations assez banales, le contenu de l'ordi et du smartphone seront lus quasi à la douane) ?
Surfes-tu depuis des wifi publics ?
As-tu des données ultra sensibles (genre la nouvelle techno nucléaire à laquelle personne n'a pensé) ?

Sur privacytools il y a peu de distros citées, plusieurs sont trrrès spécifiques (et tout aussi confidentielles) Maintenant, Ubuntu et ses variantes sont déjà très bien.
La doc te donnera plus d'infos : https://doc.ubuntu-fr.org/securite après, tu peux toujours chercher à renforcer ton navigateur ou d'autres outils, on trouve facilement de bons tutos.
Pour les mails u peux utiliser enigmail, mais... tes correspondants doivent l'avoir aussi et... si tu perds ta clef, tous les mails concernés sont perdus pour tout le monde toi compris.

Chiffrer le disque dur peut paraître séduisant, mais le niveau d'ennuis possibles par la suite, en particulier lors des mises à niveau ou d'un changement d'ordi freine la plupart des utilisateurs.

Le pare feu, c'est si tu n'es pas derrière une box.

Réponds déjà aux quelques questions 😉

kironux

+1 pour la réponse juste avant.
Je souhaiterai juste préciser que le pare-feu reste nécessaire même si tu es derrière un NAT 🙂

metalux

Bonsoir,
D'accord avec le fait qu'un pare-feu n'est pas nécessaire derrière une box.
@kironux
C'est quoi être derrière un NAT?

2°/ Certains ici déconseillent de chiffrer les données de son disque dur à l'installation d'Ubuntu. D'autres conseillent d'utiliser VeraCrypt. Quel est votre avis sur ce point ? (Dans mon cas, c'est nécessaire de chiffrer mes données en cas de vol de mon ordinateur).

Une solution simple et suffisamment sécurisée s'il s'agit de se protéger d'un vol d'ordinateur par un cambrioleur est d'utiliser encfs, il existe des outils tout simple comme cryptkeeper, Gnome EncFS Manager ou fusible pour monter le dossier chiffré et pam_mount pour le monter au démarrage pour que ce soit entièrement transparent. C'est la solution que j'utilise et ça fonctionne très bien tout en étant très simple à mettre en place. Eventuellement Veracrypt peut être utilisé pour tes sauvegardes ou si tu sauvegardes dans le cloud, cryptomator.

Pour les mails, enigmail également, cependant ça ne me sert qu'en famille, peu de monde l'utilise, sinon protonmail.

kironux

metalux a écritBonsoir,
D'accord avec le fait qu'un pare-feu n'est pas nécessaire derrière une box.

Je ne suis pas d'accord avec ça.
Un pare-feu sert à filtrer les connexions entrantes et sortantes, en se basant sur un comportement de base et/ou des règles.
Par exemple sur un poste de travail, un logiciel ne pourra pas communiquer vers l'extérieur sans demander le droit d'ouvrir des ports.
Mais c'est certain qu'avoir un pare-feu activé mais qui autorise tout est tout autant utile qu'un pare-feu

metalux a écrit @kironux
C'est quoi être derrière un NAT?

Le NAT est un système inclus dans les box (bon, techniquement, c'est du NAT ET du PAT en même temps).
Le NAT permet de faire une translation d'adresse et le PAT une translation de port.
Explication (rapide, et volontairement modifiée pour faciliter la compréhension) :
Le réseau d'adresse d'internet (IPv4) est constitué d'à peu près 4 milliard d'adresses pour internet (sous la forme allant de 0.0.0.0 à 255.255.255.255). Et deux ordinateurs communiquent à travers des réseaux au travers de port (des numéros allant de 0 à 65535).
Et étant donné que 4 milliards, c'est pas assez, et bah on a inventé une technologie qui permet d'avoir plusieurs ordinateurs avec la même adresse (celle ta box), et on a également décidé de faire de la translation de port en même temps car si deux ordinateurs choisissent le même port pour communiquer, l'adresse unique utilisée par ta box ne pourra pas faire communiquer les deux ordinateurs en même temps

Et là où tout se rejoint, c'est que le NAT ne fonctionne que dans un sens, et dans l'autre, toutes les connexions sont refusées, ce qui "ressemble" à un pare-feu.
D'où le fait que les gens pensent que le pare-feu ne sert à rien si on est derrière le NAT d'une box (ce qui n'est pas vrai, cf. premier point de ce post).

metalux a écrit
2°/ Certains ici déconseillent de chiffrer les données de son disque dur à l'installation d'Ubuntu. D'autres conseillent d'utiliser VeraCrypt. Quel est votre avis sur ce point ? (Dans mon cas, c'est nécessaire de chiffrer mes données en cas de vol de mon ordinateur).
Une solution simple et suffisamment sécurisée s'il s'agit de se protéger d'un vol d'ordinateur par un cambrioleur est d'utiliser encfs, il existe des outils tout simple comme cryptkeeper, Gnome EncFS Manager ou fusible pour monter le dossier chiffré et pam_mount pour le monter au démarrage pour que ce soit entièrement transparent. C'est la solution que j'utilise et ça fonctionne très bien tout en étant très simple à mettre en place. Eventuellement Veracrypt peut être utilisé pour tes sauvegardes ou si tu sauvegardes dans le cloud, cryptomator.

Pour les mails, enigmail également, cependant ça ne me sert qu'en famille, peu de monde l'utilise, sinon protonmail.

Ça me paraît convenable.

nam1962

@kironux : tiramiseb semble diverger sur la box 😉 https://forum.ubuntu-fr.org/viewtopic.php?pid=21330351#p21330351

Dans tous les cas, un test intéressant : https://www.zebulon.fr/outils/scanports/test-securite.php

metalux

@kironux
Merci pour cette explication détaillée, je connaissais globalement le principe de fonctionnement mais je n'avais pas les bons termes pour l'exprimer, ton explication rend tout cela plus clair, cependant j'ai une interrogation:

Donc sur Ubuntu, quel est le risque si les connexions ne fonctionnent que dans un sens? Les connexions sortantes ne sont établies qu'à la demande d'un logiciel, non? Sur Ubuntu on installe pas tout et n'importe quoi, on le fait à partir des dépôts et les logiciels sont signés numériquement à l'aide d'une clef. Peut-être me trompe-je mais je considère que le risque est quasi-nul de voir des données sortir sans autorisation avec les logiciels des dépôts. D'ailleurs même avec un pare-feu, il faut autoriser les connexions sortantes pour qu'un logiciel puisse communiquer avec l'extérieur ce qui revient à créer une porte ouverte pour ceux-ci.
L'idée de ne pas utiliser de pare-feu sur Ubuntu est véhiculée sur ce forum, et personnellement je n'en ai jamais utilisé sur Ubuntu derrière une box, et ce, depuis plusieurs années.
Si je fais erreur de compréhension, et je ne suis pas le seul vu la réponse de nam1962 et celle de bien d'autre sur le forum, si tu pouvais me dire où je me trompe. Je ne maîtrise pas ce sujet comme toi, mais dans plusieurs discussions j'ai pu lire que le pare-feu n'était pas nécessaire, et ceci avec des intervenants qui avait eux aussi l'air de bien connaître ce sujet. Du coup, à quel saint se vouer? :/ Fais-je erreur depuis si longtemps?

Voici une discussion sur le sujet: https://forum.ubuntu-fr.org/viewtopic.php?id=1285441

nam1962

@metalux, itou pareil, il serait intéressant d'avoir aussi tiramiseb et Hoper

bruno

Bonjour,

L'utilité ou non du pare-feu a déjà été débattue sur le forum (merci metalux et nam 1962 pour les liens). Sauf usage particulier il est inutile de filtrer les flux réseaux sur un poste de travail standard. C'est également vrai dans la plupart des cas sur une machine avec IP publique (serveur dans un data center par exemple, poste de travail en IPv6, etc.).
Je pense que cette affirmation concernant l'obligation d'avoir un pare-feu sur chaque machine vient d'un long passif avec Windows.

Pour les autres questions :
- Ubuntu n'est pas une distribution spécialisée dans la vie privée et la sécurité. C'est donc normal de ne pas la trouver sur le site en question.
- pour le chiffrement, autant utiliser les outils fournis avec la distribution (ecrytpfs pour Ubuntu) c'est largement suffisant pour une protection contre le vol. Attention toutefois car cela va compliquer la politique de sauvegarde et de restauration des données.

nam1962

Dans l'histoire on a perdu Jerome62 !
Pour lui répondre plus avant, il serait judicieux qu'il donne les réponses aux questions posées au #2

En principe, une Ubuntu ou variante bien administrée avec les sauvegardes qui vont bien (sans aller trop loin, histoire de ne pas se casser la figure) suffit amplement pour un PC de particulier.

kironux

nam1962 a écrit@kironux : tiramiseb semble diverger sur la box 😉 https://forum.ubuntu-fr.org/viewtopic.php?pid=21330351#p21330351

Très bien expliqué en effet.

metalux a écrit@kironux
Merci pour cette explication détaillée, je connaissais globalement le principe de fonctionnement mais je n'avais pas les bons termes pour l'exprimer, ton explication rend tout cela plus clair, cependant j'ai une interrogation:

Donc sur Ubuntu, quel est le risque si les connexions ne fonctionnent que dans un sens? Les connexions sortantes ne sont établies qu'à la demande d'un logiciel, non? Sur Ubuntu on installe pas tout et n'importe quoi, on le fait à partir des dépôts et les logiciels sont signés numériquement à l'aide d'une clef. Peut-être me trompe-je mais je considère que le risque est quasi-nul de voir des données sortir sans autorisation avec les logiciels des dépôts. D'ailleurs même avec un pare-feu, il faut autoriser les connexions sortantes pour qu'un logiciel puisse communiquer avec l'extérieur ce qui revient à créer une porte ouverte pour ceux-ci.
L'idée de ne pas utiliser de pare-feu sur Ubuntu est véhiculée sur ce forum, et personnellement je n'en ai jamais utilisé sur Ubuntu derrière une box, et ce, depuis plusieurs années.
Si je fais erreur de compréhension, et je ne suis pas le seul vu la réponse de nam1962 et celle de bien d'autre sur le forum, si tu pouvais me dire où je me trompe. Je ne maîtrise pas ce sujet comme toi, mais dans plusieurs discussions j'ai pu lire que le pare-feu n'était pas nécessaire, et ceci avec des intervenants qui avait eux aussi l'air de bien connaître ce sujet. Du coup, à quel saint se vouer? :/ Fais-je erreur depuis si longtemps?

Voici une discussion sur le sujet: https://forum.ubuntu-fr.org/viewtopic.php?id=1285441

J'ai pas eu le temps de lire toute la discussion du dernier lien, mais ça me semble très pertinent.

La raison principale du pourquoi je recommande de le garder actif : Voir après.

nam1962 a écrit@metalux, itou pareil, il serait intéressant d'avoir aussi tiramiseb et Hoper

Je pense qu'ils ont déjà bien répondu au sujet, notamment au travers de ce point ci (dans la discussion) :

tiramiseb a écritSalut,

Sur un poste de travail derrière une box, peu d'intérêt à avoir un pare-feu.
D'ailleurs, même sur une machine qui a directement accès à Internet sans être derrière un routeur ou une box, ce n'est pas nécessairement indispensable.

Le rôle d'un pare-feu, c'est d'empêcher d'accéder à des ports ouverts qu'on ne veut pas laisser accessibles.
Ubuntu, par défaut, n'ouvre aucun port qui n'est pas indispensable à son bon fonctionnement. Donc par défaut, pas besoin de pare-feu.

Après, si tu installes n'importe quel logiciel serveur et que tu ne les sécurise pas, là on peut se poser des questions oui... Mais ce n'est pas un pare-feu qui est nécessaire, c'est plutôt une formation...

Il y a de nombreuses discussions à ce sujet dans le forum, dont une récente où j'ai détaillé tout ça. Je te laisse chercher.

rifix a écritLes virus sont aussi sur vos routeurs et BOX ADSL :
http://www.generation-nt.com/psyb0t-botnet-routeurs-linux-mipsel-dronebl-actualite-252981.html
http://www.pcworld.com/article/189868/article.html
J'ai lu ces deux articles et je me marre.
Ils parlent de routeurs (sous Linux, soit, et alors ? - d'ailleurs ils ne parlent pas de nos box de chez Free, Orange, SFR et autres) qui ont un username/password faible.
Dans n'importe quel cas, avoir un username "admin" avec un mot de passe "admin" sur une interface disponible sur le net c'est n'importe quoi en terme de sécurité, pas besoin d'un virus pour savoir ça...

Je suis d'accord, mais, c'est simplement dans le cas où une application (inconnue) pour X raison tente une connexion sortante et que l'on ait une notification du pare-feu totalement inatendue qui nous dit qu'une application tente d'accéder à internet.

Ne pas installer n'importe quoi, je suis d'accord, mais on est jamais à l'abri d'une commande ou d'un paquet installé un peu bizarrement ou autre.
Je pars du principe qu'on peut tous faire des erreurs (on a suivi un tuto un peu obscur d'un topic quelque part à propos d'une erreur qu'on a eu sur notre machine), et qu'un pare-feu sur un poste de travail ne va rien consommer en ressource, mais qui pourrait servir à un moment.
(Et je parle d'un pare-feu qui ne se limite qu'aux ports et aux processus, rien d'autre, le pare-feu un peu débile quoi, mais qui fait le travail de base de bloquer les programmes qui n'auraient pas eu notre autorisation lors de leur premier démarrage (comportement windows ça je crois))

Et pour la réponse de bruno, je n'ai rien de spécial à dire, mes réponses sont ci-dessus.

Pour résumer : Je dirai que globalement, je suis en tord (en relisant plusieurs sources) (on fait tous des erreurs, libres à vous de défouler 😛 ), et il serait préférable de suivre les autres indications (je vais retourner me renseigner sur la question !)
Les raisons principales de mes erreurs : J'utilise principalement linux sur serveur (donc le fait de configurer iptables est un des premiers réflexes), et pas assez en desktop (je sais que le topic traite de pc de tout le monde, et j'utilise principalement linux en VM) ainsi que le manque de recul par rapport à la question posée.

Voilà, je crois avoir fait le tour et m'être couvert de ridicule 😃 (oui, j'aime bien taper sur la tête des libristes, mais je reconnais mes erreurs)

EDIT :

nam1962 a écritDans l'histoire on a perdu Jerome62 !
Pour lui répondre plus avant, il serait judicieux qu'il donne les réponses aux questions posées au #2

En principe, une Ubuntu ou variante bien administrée avec les sauvegardes qui vont bien (sans aller trop loin, histoire de ne pas se casser la figure) suffit amplement pour un PC de particulier.

En effet, je vais arrêter de spammer 😃

nam1962

Merci pour la relecture, et tu ne t'es pas couvert de ridicule, perso j'ai là aussi appris des trucs 🙂

Maintenant, il y a des logiciels très simples qui ont des comportements gênants, exemple, Vivaldi ou Skype, qui lorsqu'on les lance demandent le mot de passe utilisateur sans qu'on sache bien pourquoi.
Pour Vivaldi, d'ailleurs je suis troublé par ceci :

~]$ ls -a ~/.local/share | grep vivaldi
.vivaldi_user_id

Le fichier en question contient une suite alphanumérique, qui peut laisser penser qu'on raconte au monde qui on est... (je n'ai pas fouillé, c'est peut-être une petite parano de ma part).

Pour cela j'aime bien containeuriser ce type de logiciel en les installant via flatpak (mais comme je ne maîtrise pas les réglages flatpak c'est peut-être une protection morale 😛 )

[Edit] ce n'est pas du spam, on enrichit le sujet avec nos papotages en attendant le retour de Jerome62 😉

bruno

@kironux : tu ne t'es absolument pas couvert de ridicule. Les interrogations sur le pare-feu sont tout à fait légitimes, d'autant que l'on peu lire à peu près tout et son contraire sue le web 😉

@nam1962 : on a dit qu'il ne fallait pas installer n'importe quoi 😛

[supprimé]

nam1962 a écritMaintenant, il y a des logiciels très simples qui ont des comportements gênants, exemple, Vivaldi ou Skype, qui lorsqu'on les lance demandent le mot de passe utilisateur sans qu'on sache bien pourquoi.

Même comportement pour Chromium, je n'ai jamais compris pourquoi il demande une authentification que j'ai toujours ignoré :rolleyes: .

Pour le pare-feu, quand le PC est derrière un NAT, l'objectif est que ce PC soit invisible du web.
Ensuite, un NAT, ça se configure, par défaut, les ports 80 et 443 sont ouverts.

bruno

l'objectif est que ce PC soit invisible du web.

Gné ? Techniquement cela n'a pas de sens…

Ensuite, un NAT, ça se configure, par défaut, les ports 80 et 443 sont ouverts.

Idem.

NicoApi73

[hs]

kironux a écrit Pour résumer : Je dirai que globalement, je suis en tord (en relisant plusieurs sources) (on fait tous des erreurs, libres à vous de défouler 😛 ), et il serait préférable de suivre les autres indications (je vais retourner me renseigner sur la question !)
[...]
Voilà, je crois avoir fait le tour et m'être couvert de ridicule 😃 (oui, j'aime bien taper sur la tête des libristes, mais je reconnais mes erreurs)

Salut kironux,

Merci pour tes explications. Le sujet de la cybersécurité étant très complexe, pas sûr que tu sois en tort (avec un d, c'est le verbe tordre 😛 ), d'autant que tu vois ça avec ton expérience. Et remettre en question certaines de ses positions nous font progresser (toi en premier, nous autre également). En aucun cas ce n'est ridicule. Donc, sincèrement merci pour tes explications qui donne un éclairage à ta position initiale, certains n'auraient pas pris la peine de le faire.

[/hs]

[supprimé]

bruno a écrit
l'objectif est que ce PC soit invisible du web.
Gné ? Techniquement cela n'a pas de sens…
Ensuite, un NAT, ça se configure, par défaut, les ports 80 et 443 sont ouverts.
Idem.

Tente de joindre un service ton PC depuis une adresse WAN, arriveras au mieux à ta box. Le NAT redirige les paquets IP vers les adresses IP du réseau local.
Tous les ports sont fermés à part HTTP(s), sinon tu n'accèderais même pas à ce site.

kironux

Merci pour vos retours (et la correction, coquille passée à la relecture).

Pour le PC invisible, je crois qu'il voulait dire : Pas de connexion "directe" depuis internet, donc on ne sait pas combien il y a de machines derrières un NAT, d'où le "pc invisible".
Par contre, les ports ouverts, je crois bien qu'il y en a aucun de base (mais il existe des protocoles pour en ouvrir à la volée, comme UPnP).

Vu que c'est le thème du topic, voici un excellent lien (je viens de m'en souvenir) concernant la vie privée, c'est très bien détaillé, mais c'est parfois très technique pour un débutant (donc inbuvable) : https://guide.boum.org/
EDIT : Concernant le lien, il y a des passages simples, et d'autres plus compliqués. Mais les détails sont là, et c'est d'une qualité qui mérite très largement (selon moi) le détour.

EDIT 2:

rogn... a écrit
bruno a écrit
l'objectif est que ce PC soit invisible du web.
Gné ? Techniquement cela n'a pas de sens…
Ensuite, un NAT, ça se configure, par défaut, les ports 80 et 443 sont ouverts.
Idem.
Tente de joindre un service ton PC depuis une adresse WAN, arriveras au mieux à ta box. Le NAT redirige les paquets IP vers les adresses IP du réseau local.
Tous les ports sont fermés à part HTTP(s), sinon tu n'accèderais même pas à ce site.

En effet, tu arriveras à ta box, qui n'a probablement rien d'ouvert.
Par contre, lorsque l'on parle des ports ouverts, c'est bien une règle enregistrée qui autorise une connexion (sur un port de l'IP publique de la box) de l'extérieur vers une IP interne (et sur le port en question aussi), ainsi que le sens contraire.
Mais de base, une connexion sortante (ordinateur dans le réseau local vers internet) est autorisée sans rien faire 😉
Ou alors j'ai pas compris la question :o

bruno

@rogn… : je sais bien tout cela. Tu confonds web et Internet.
Évidemment pour les machines qui sont sur un réseau privé derrière un routeur, de l'extérieur seule l'IP publique du routeur est visible. On le sait bien.
C'est bien pour cela que le pare-feu est d'autant plus inutile sur une machine sur un réseau privé.
Quand à la redirection des ports 80 et 443 cela n'est utile que si tu veut donner accès public à un serveur web présent sur le réseau local.

[supprimé]

Bonjour à tous,

Merci à tous pour vos réponses. C'est Jerome62 mais j'ai perdu mes accès.

Pour répondre à vos questions :

Surfes-tu depuis des wifi publics ?

Oui très régulièrement, je me déplacement souvent. D'où ma question pour renforcer la sécurité du réseau à travers la configuration d'un pare-feu efficace et simple à gérer.
J'ai déjà vu une personne détourner les données d'un PC sous Ubuntu à distance en moins de 10 minutes sur un réseau public et cela m'a refroidit :-)

as-tu une politique de sauvegarde complète et systématique ?

Je voudrais transférer mes données sur le cloud. Alors il existe plusieurs solutions, certes, mais je n'envisage pas non plus d'utiliser un Raspberry (je suis très souvent en déplacement) mais plutôt une solution simple de cloud de "confiance" (du moins la moins pire en termes de politique de vie privée/chiffrement des données/sécurité) puis chiffrer mes données via cryptomator. Des avis de services de cloud ? Nextcloud?

Page suivante »