33, Rue des Vignoles 75020 Paris M° Avron ou Buzenval
permanence tous les jeudi à partir de 19h30
sii.rp@cnt-f.org
Sensibilisation à la sécurité des ordinateurs individuels
v1.1
Décembre 2002
Ce document a été réalisé par des adhérents du syndicat CNT de l'industrie informatique de la région parisienne (CNT Sii Rp).La version originale et ses évolutions sont disponibles sur le site du syndicat:
http://cnt-f.org/sii/
Ce document est diffusé sous la licence de documentation libre GNU:
Copyright (c) 2002 CNT.SII.RP
Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.1 or any later version published by the Free Software Foundation; with NO Invariant Sections, with the Front-Cover Texts "Sensibilisation à la sécurité des ordinateurs individuel", and with the Back-Cover Texts : "qui sommes-nous", "nous rencontrer", "nous lire", "adhérer"
A copy of the license is included in the section entitled "GNU Free Documentation License".
Copyright (c) 2002 CNT.SII.RP
Permission vous est donnée de copier, distribuer et/ou modifier ce document selon les termes de la Licence GNU Free Documentation License, Version 1.1 ou ultérieure publiée par la Free Software Foundation ; sans sections inaltérables; avec le texte de première page de couverture suivant"Sensibilisation à la sécurité des ordinateurs individuel", et avec les textes de dernière page de couverture suivants : "qui sommes-nous", "nous rencontrer", "nous lire", "adhérer"
Sommaire
- Sommaire
- Introduction
- Les risques
- Les grands principes
- Protéger les machines
- Protéger les données
- Protéger les communications
- Sommaire bibliographie
- Quelques liens
- GNU Free Documentation License
- Le Sii.Rp
Introduction
L'objet de la présente note est de donner un aperçu succinct de quelques aspects de la sécurité des ordinateurs dont il est fait un usage personnel. Le propos n'est volontairement pas trop technique : il est avant tout destiné à sensibiliser et à donner des principes génériques de la sécurité des ordinateurs individuels.
Se protéger dans le domaine du numérique repose sur trois axiomes de base :
- La sécurité logique est une gestion du risque
- La sécurité logique parfaite n'existe pas, elle est toujours un compromis.
- La sécurité d'un système est celle de son composant le moins sécurisé (ordinateur, application, réseau, utilisateur...)
Certaines des méthodes ou techniques proposées ne sont pas parfaites. Aucune sécurité n'est parfaite. Dans bien des cas cependant, mieux vaut mettre en place ces premières barrières de sécurité (en sachant ce dont elles ne protègent pas).
La biographie et la liste de liens sont sommaires et mérite un étoffement ultérieur.
Quelques liens pointent vers des outils précis. Ils concernent essentiellement les PC sous Linux ou Windows. Des liens équivalents pour Mac viendront dans une version ultérieure.
Les risques
Quoi protéger ? De qui se protéger ? De quelles attaques se protéger ? La surveillance et le fichage (généralité)
Les outils informatiques et la dématérialisation des communications rendent les activités de surveillance beaucoup plus aisées pour l'Etat, les employeurs...
Aisée surtout parce qu'on peut rendre la surveillance systématique et profiter de la naïveté de certains utilisateurs ciblés.
Remarque : ce n'est pas la "surveillance" ou l'utilisation en soi des fichiers qui est liberticide. Tout système informatique à besoin, pour en assurer la maintenance, de collecter des informations. Ce qui peut être dangereux est la façon dont on utilise ces outils et données.
Le social engineering :
Le principe est de considérer qu'on obtiendra plus d'informations, et plus facilement, d'une personne plutôt que d'une machine ou d'un logiciel. Le but est de piéger les gens en leur faisant révéler leur mot de passe ou toute autre information utile à une intrusion ou une surveillance.
Le piège classique est de passer un faux message de maintenance (par téléphone ou mail) en se faisant passer pour un administrateur ou un chargé de clientèle et en demandant le mot de passe de l'utilisateur. En envoyant un tel message à tout un groupe d'utilisateurs, on a de grandes chances d'avoir des réponses positives, ce qui dans le cas de fonctionnement en réseau (réseau ou liste de diffusion par exemple) donne un point d'entrée.
Un autre aspect du "social engineering" peut être d'essayer de deviner des mots de passe en fonction du contexte : prénoms des enfants, dates de naissance, lectures, personnages historiques... etc. peuvent être des candidats au rang de mots de passe qu'on peut deviner.
Le craquage de mots de passe :
La grande majorité des logiciels et systèmes (accès local, réseau ou internet) sont protégés par mots de passe. Récupérer le mot de passe d'un utilisateur donne ses droits (simple utilisateur, administrateur... etc.).
Il existe des dictionnaires de noms de termes de mots de passe souvent utilisés qui permettent, a l'aide d'un programme approprié de casser un mot de passe, en essayant des milliers de mots de passe par seconde
Exemple de Crack4.1 avec son dictionnaire de 50 000 mots.
La meilleure protection contre ce risque est d'utiliser des mots de passe bien construits (voir plus loin).
L'interception (ou sniffing) des mots de passe et des paquets :
Il existe des programmes qui permettent de "scanner" un réseau en interceptant toute information jugée utile. Un serveur sur lequel serait installé un tel programme pourrait intercepter les mots de passe de connexion (comptes internet, comptes de messagerie...). Les passerelles de messagerie ou les serveurs de FAI peuvent également intercepter les courriels (ou mails), le contenu des pages Web lues par les utilisateurs, les formulaires remplis…...etc.
Les chevaux de Troie.
Un cheval de Troie est un programme qui se cache au sein d'un programme apparemment valide et légitime. Quand la victime (l'utilisateur normal) lance ce programme, elle lance par-là même le cheval de Troie caché.
Les chevaux de Troie peuvent servir à prendre la main sur des machines (vous lancez une application pendant que vous êtes connecté, celle-ci envoie à l'attaquant la façon de prendre les commendes à distance sur votre machine), à installer des espions locaux (programmes qui enregistrent toutes les frappes au clavier ("keylogger") ou qui enregistrent l'affichage de l'écran...) ou à divers autres usages (virus...). Il existe deux principaux modes de contamination par les chevaux de Troie : l'installation de logiciels non sûr (après téléchargement ou trouvé par ailleurs par exemple. Back Orifice est le plus connu sous Windows) ou le lancement d'une application (.exe ou .vbs sous Windows par exemple) reçue par mail.
Les anti-virus détectent beaucoup de chevaux de Troie (ou troyens) connus, mais il est relativement aisé d'en confectionner de nouveaux qui passeront inaperçus.
Les virus :
C'est probablement le risque contre lequel on est le plus sensibilisé. Les principaux risques liés aux virus sont le déni de service (impossibilité d'utiliser sa machine, saturation de serveurs de messagerie), la divulgation involontaire d'information, l'endommagement de votre configuration (de votre matériel physique éventuellement). Il existe des anti-virus efficaces qui permettent de s'en prémunir.
A noter que la contamination virale touche surtout les utilisateurs de Microsoft. Mac et Linux en connaissent beaucoup moins : la sécurité y est mieux gérée et les créateurs de virus préfèrent cibler le parc le plus répandu, Windows.
Les trappes :
Une trappe est un point d'entrée dans un système informatique qui contourne les mesures de sécurité normales. C'est généralement un programme caché ou un composant électronique qui rend le système de protection inefficace si on lui passe certaines commandes non documentées. De plus, la trappe est souvent activée par un événement ou une action normale.
Une trappe peut aussi être un trou de sécurité dans un système qui a été délibérément mis en place par les créateurs ou les personnes chargées de la maintenance. Le principal intérêt de ces trappes n'est pas toujours néfaste : certains systèmes d'exploitation, par exemple, ont des comptes utilisateurs avec de hauts privilèges destinés à faciliter le travail des techniciens de maintenance. Mais dans ce cas, elles doivent être documentées.
La meilleure garantie contre les trappes ("backdoors" en anglais) est d'utiliser des logiciels dont les codes source sont publics et analysés par un maximum de personnes.
Les plantages :
Aucun logiciel n'est exempt de bugs, les systèmes d'exploitation (OS : Operating System) non plus. Certains "plantages" peuvent rendre la machine inutilisable, ou altérer durablement des données. Pour se prémunir au maximum des plantages, les précautions minimum à prendre peuvent être:
- Utiliser Linux plutôt que Windows (Linux est plus fiable, plus stable. Linux Debian est la meilleure ;-). Mac s'en tire aussi mieux que Windows.
- Effectuer des sauvegardes régulières de ses données
- Bien traiter son ordinateur (éviter les marche/arrêt intempestifs par exemple)
- Diviser son disque dur en au moins deux partitions (l'une pour l'OS, l'autre pour les données)
- Utiliser un antivirus
- Toujours avoir sous la main la description exhaustive du matériel que contient le PC (carte graphique, moniteur, carte mère... etc.) ainsi que les CD d'installation et les disquettes de restauration. En cas de problème grave, ça facilite la remise en service.
- Éviter de faire trop d'expériences sur un PC qui contient et traite des données importantes.
Les grands principes
Estimer les risques
Avant de penser à toute mesure de sécurité, encore faut-il être en mesure d'estimer les risques que l'on prend, puisque la sécurité n'en est qu'une gestion. Pour une utilisation courante et personnelle des outils informatiques, une rapide analyse du contexte et des outils utilisés suffit souvent:
- J'utilise un ordinateur sans connexion réseau ou internet, personne d'autre que moi n'a accès à la machine.
- J'utilise un ordinateur connecté à internet par modem, je suis le seul à l'utiliser
- J'utilise un ordinateur commun, avec connexion permanente ou quasi permanente à internet.
- J'utilise un ordinateur connecté à un réseau local et que je n'administre pas (boulot)
- Je n'utilise qu'une messagerie de type webmail
- Je n'utilise que des connexions au boulot
Des habitudes à prendre
Sans même utiliser de logiciels spécifiques, mettre en place des mesures de sécurité minimales relève avant tout d'habitudes à prendre, de réflexes:
- Protéger l'accès à sa machine à l'aide de phrases de passe (mots de passe) efficaces
- Si on a la possibilité de choisir si on travaille en utilisateur normal ou en administrateur : pour les taches courantes (bureautique, internet...) mieux vaut travailler sous un compte normal et non "root" (administrateur maître)
- Changer ces phrases de passe relativement régulièrement (une fois par an par exemple). Pas trop régulièrement, au risque de l'oublier.
- Toujours verrouiller ou éteindre sa machine lorsqu'on la quitte
- Protéger physiquement l'accès à sa machine dans la mesure du possible
- Éviter de la laisser connectée à internet si on ne transmet pas de courriel ou qu'on ne surf pas
- Ne jamais ouvrir de pièces jointes envoyées par mail dont on ne soit pas certain de l'expéditeur L'adresse ne suffit pas, le texte du message est à prendre en compte. Toutes ces vérifications ne suffisent cependant pas à avoir une certitude. Au moindre doute, ne pas ouvrir.
- Éviter d'utiliser les logiciels les plus standards, car ceux-ci véhiculent le plus de virus (Outlook, Word...) et sont les plus vulnérables. Préférer par exemple Netscape ou Opera à Internet Explorer, OpenOffice à MS Office...
- Mettre à jour les logiciels et anti-virus. Si vous mettez une fréquence de mise à jour trop élevée (tous les jours par exemple), vous aurez les plus récentes signatures mais vous consommerez pas mal de temps en téléchargement.
- Faire simple: pas la peine d'utiliser Word ou de mettre ses mails au format HTML pour faire joli
- Ne jamais donner d'informations techniques à quelqu'un en qui vous n'avez pas entièrement confiance, ou que vous ne pouvez pas identifier sûrement.
Classification, cloisonnement et traitement des données
Au même titre que l'on se doit d'estimer les risques, on se doit aussi d'estimer la valeur des informations que l'on veut protéger. Après en avoir estimé la valeur, on doit, dans la mesure du possible, ne pas mélanger les diverses catégories, ni pendant leur traitement, ni lors de leur stockage.
Les mesures de sécurité appliquées à ces types de données ne seront pas les mêmes.
Classification :
On peut par exemple définir trois niveaux d'information:
- Public
- Interne
- Confidentiel
Cloisonnement :
Il s'agit de ne pas mélanger des informations publiques et des informations confidentielles par exemple. Pour l'utilisation de la messagerie, on peut par exemple choisir d'utiliser deux comptes de messagerie: l'un destiné à transmettre ses informations ouvertes, le second destiné à la transmission de ses informations confidentielles. Cela peut aussi se matérialiser par la création de répertoires clairement distincts, en fonction des activités.
Traitement :
Il s'agit de traiter l'information en fonction de la classification qu'on lui a attribuée. Par exemple, cela consiste à ne pas mélanger les données personnelles (boulot, compta...) avec les données associatives ou militantes.
Les mots de passe
De l'utilité d'un bon mot de passe
Lorsque vous possédez un compte sur un ordinateur, le seul et unique contrôle d'accès à cette machine est votre mot de passe. Quelqu'un qui découvre cette clé peut ensuite travailler sur la machine sous votre nom (éventuellement sans que vous ne vous en aperceviez), lire tous vos fichiers (courriers, textes... ), détruire ces fichiers ou plus insidieusement en modifier certains.
Cette fonction clé (au sens figuré et au sens propre) du mot de passe est devenue encore plus importante avec l'utilisation des réseaux. Avec Internet et les réseaux, le principal contrôle reste le mot de passe.
Découvrir un mot de passe, le casser, est d'autant plus aisé que celui-ci aura été mal choisi.
Comment trouver votre mot de passe ?
Vous connaissant, je regarderai d'abord si vous n'avez pas noté ce mot de passe. Je chercherai ainsi sur ou sous votre clavier, derrière l'écran, dans votre agenda...
Puis j'essayerai comme valeur les informations personnelles vous concernant et dont je dispose : nom de login, prénom, nom de l'orga, numéro de téléphone, prénoms des enfants, date de naissance, adresse, plaque d'immatriculation, personnages célèbres... Si ça ne marche pas, je tenterai alors des combinaisons avec tout ça : initiales des prénoms des enfants, numéro de téléphone inverse, nom de l'orga suivi du chiffre 1...
Si cette méthode artisanale, mais souvent efficace, échoue, j'automatiserai la recherche avec un programme pour découvrir (craquer) les mots de passe.
Ces programmes utilisent deux principales méthodes:
- Ils se servent de dictionnaires de mots de passe contenant beaucoup de mots de passe (la taille de ces trucs peuvent être de l'ordre de 100Mo contre 100Ko pour un correcteur d'orthographe par exemple)
- Ils essaient par force brute énormément de mots de passe
Bien sûr, ces deux méthodes peuvent être combinées.
Plus votre mot de passe sera:
- Court
- Simple
- Utilisant un même jeu de caractères
Plus vite il sera craqué.
Ce qu'il ne faut pas faire:
- Il ne faut pas noter son mot de passe. Pour cela, il faut qu'il soit mnémonique, c'est à dire qu'on doit pouvoir s'en souvenir facilement.
- Il ne faut pas le confier à quelqu'un, ni le partager avec d'autres. Il doit toujours être personnel. Si l'on désire travailler à plusieurs sur une même machine, il faut créer des comptes distincts plutôt que de partager son mot de passe. Il est à noter que certains mots de passe ne se partagent jamais, comme ceux de chiffrement ou de signature.
- Il ne faut pas choisir comme mot de passe une information personnelle telle que son nom; celui de son orga, de son projet ou de ses proches, son numéro de voiture... Les noms communs, noms propres ou prénoms présents dans un dictionnaire français ou étranger sont à proscrire. Est à éviter aussi, toute variation de ce qui précède, telle que l'inversion, les initiales, ou l'ajout de chiffres.
- Confier des mots de passe important à des applications qui vous le demandent parfois. On peut cependant laisser la machine gérer certains mots de passe si la machine elle-même est suffisamment protégée.
- Il ne faut pas perdre son mot de passe, ce qui peut entraîner de graves pertes d'information (en particulier dans le cas ou l'on chiffre ses données).
Le bon choix:
Prenez tout d'abord un temps de réflexion pour choisir votre mot de passe.
Il faut choisir une suite d'au moins 8 caractères, avec des majuscules, chiffres et/ou caractères de ponctuation. Cette suite doit être difficile à découvrir par un attaquant avec les méthodes décrites plus haut mais facile à mémoriser. Une première méthode est de combiner des mots en introduisant des chiffres ou des caractères de ponctuation (BaD!beurk, PC3rpr5). Une autre consiste à utiliser des mots avec de la phonétique (7touMuch, uneCtion). Vous pouvez aussi prendre les premiers lettres d'une phrase, expression, chanson, poème... que vous aimez (JvAlPaLl pour "Je vais à la pèche à la ligne"). Et pour finir, vous pouvez mixer tout ça (c'est1KO).
- Utiliser plutôt une phrase de passe qu'un mot de passe : c'est à dire allonger le mot de passe.
- Au moins 8 caractères
- Mélanger les caractères: des lettres, minuscules, majuscules, chiffres, ponctuation, caractères non alpha-numériques ($ # & !... etc.).
- On doit être certain de s'en souvenir sans le noter: c'est à dire qu'il doit avoir du sens pour vous et pour nul autre.
- Proscrire les combinaisons de frappe sur le clavier (azerty, 123456... etc.)
- Pas d'espace entre les mots
- Ne pas hésiter à mélanger les langues (les dictionnaires d'attaque sont souvent dédiés à une langue)
- Soyez imprévisibles et imaginatifs.
- Ne pas utiliser d'adresses, de noms, de prénom, de dates, de numéros d'immatriculation
- Ne jamais oublier sa phrase de passe (quitte à passer par une phase d'apprentissage bête et méchante)
- Ne la révéler à personne, quels qu'en soient les prétextes.
- Ne la copier nulle part (ni papier, agenda, sur l'ordinateur, en tatouage... etc.)
- Ne laissez personne vous regarder taper votre phrase de passe.
- Éviter d'utiliser vos mots de passe sur des ordinateurs qui ne sont pas les vôtres (pour éviter les interceptions).
- Ne pas utiliser les mêmes phrases de passe pour des applications ayant un niveau de sécurité différent. Ne jamais reprendre par exemple vos login et mot de passe internet pour les autres applications. De même pour le login/mot de passe d'accès à la machine.
- Ne pas s'éloigner d'un ordinateur dans un endroit public alors qu'une de vos applications est ouverte. Fermez vos applications après utilisation, à commencer par l'OS.
Il faut faire marcher votre imagination pour trouver des suites de signes apparemment aléatoires qui n'ont un sens que pour vous. Mais il faut que ça vous soit facile à mémoriser.
Dernière recommandation, il faut changer son mot de passe régulièrement, même s'il est très bon, à cause principalement de l'écoute qui peut en être faite sur les réseaux, ou même sur votre machine. La périodicité de changement dépend de l'utilisation que vous faites de l'informatique et de votre environnement. Mieux vaut cependant changer son mot de passe moins souvent que de l'oublier régulièrement.
Tout est affaire d'équilibre. Rappelez-vous cependant que des mots de passe du type: "chemise", "Espagne" ou "chatnoir" ne résisteront que quelques instants à un attaquant déterminé.
Surveiller, réagir et communiquer
Surveiller : Il s'agit simplement de se tenir au courant de l'état de son système informatique. Prêter attention aux messages qu'il émet (les noter), regarder les lumières de son modem clignoter, vérifier qu'il n'y a pas eu de modification sur le disque dur... etc.
Réagir: Dès qu'un dysfonctionnement est constaté, ne pas l'ignorer trop longtemps. Si par exemple l'ordinateur s'évertue à planter lors de telle opération, essayer de voir pourquoi. De même, si quelqu'un usurpe votre adresse mail, prévenir au plus vite les correspondants. Il faut cependant s'assurer qu'il s'agit bien d'un dysfonctionnement et non d'un comportement normal de votre bête (les FAI envoient par exemple régulièrement des signaux sur l'ADSL que les firewalls peuvent intercepter, et qui peuvent sembler suspects alors qu'ils sont sains).
Communiquer : C'est encore une fois un réflexe de base. Partager avec les autres ce qui ne va pas et demander à des gens susceptibles d'aider en cas de problème. En informatique, rien n'est pire que la sécurité par l'obscurité. Une remarque particulière sur les virus: on voit très souvent des gens, bien intentionnés, envoyer des mail d'alerte aux virus. Il s'agit souvent de "hoax", des fausses alertes qui sont des "virus" dont l'utilisateur est le vecteur. Se renseigner sur des sites anti-virus avant de crier au loup.
Protéger les machines
Evaluation
Un petit questionnaire expérimental pour donner une idée du niveau de sécurité d'une machine. Si vous n'utilisez pas internet, cochez les 0.
Si vous ne savez pas, répondez du coefficient le plus fort.
Utilisez-vous Microsoft Windows, Mac ou Linux?
_ Microsoft : 3
_ Mac : 2
_ Linux : 1
Possédez-vous dans votre ordinateur du matériel ou des logiciels non légalement acquis (sans les factures d'achat)?
Oui : 3
Non : 0
Votre machine est-elle libre d'accès?
_ Oui : 2
_ Non : 1
Etes-vous resté à la version d'origine de votre système ou de votre navigateur?
_ Oui : 2
_ Non : 1
L'accès à votre machine est-il protégé par mot de passe?
_ Oui : 1
_ Non : 2
Vos mots de passe ont-ils plus de 8 caractères, comportent des majuscules?
_ Oui : 1
_ Non : 2
Utilisez-vous le même mot de passe pour plusieurs applications différentes?
_ Oui : 2
_ Non :1
Votre machine est-elle en réseau local sans sécurité mise en place par des connaisseurs?
_ Oui : 2
_ Non : 0
Utilisez-vous internet : au boulot, par modem, par cable/ADSL, au cybercafé, pas dutout?
_ Boulot : 2
_ Modem : 3
_ Cable/ADSL : 3
_ Cybercafé : 1
_ Pas du tout : 0
Subissez-vous souvent des plantages inexpliqués?
_ Oui : 2
_ Non : 1
Utilisez-vous Internet Explorer?
_ Oui : 2
_ Non : 0
Utilisez-vous Outlook?
_ Oui : 3
_ Non : 0
Avez-vous un antivirus?
_ Oui : 1
_ Non : 2
Avez-vous un firewall?
_ Oui : 1
_ Non : 2
Faites-vous de la bureautique sur l'ordinateur que celui avec lequel vous allez sur internet?
_ Oui : 2
_ Non : 0
_ Parfois : 1
Utilisez-vous Word, Excel (Microsoft Office)?
_ Oui : 2
_ Non : 0
_ Parfois : 1
Si vous êtes sous Windows, utilisez-vous le répertoire "Mes Documents" et le carnet d'adresses Outlook?
_ Oui : 2
_ Non : 0
_ Parfois : 1
Faites-vous des sauvegardes régulières de vos données?
_ Oui : 0
_ Non : 3
_ Parfois : 1
Avez-vous regardé les configurations sécurité des vos navigateurs et clients de messagerie?
_ Oui : 1
_ Non : 2
Contrôlez-vous l'origine et l'intégrité des logiciels que vous téléchargez ou que vous trouvez sur des CD?
_ Oui :1
_ Non : 2
Cliquez-vous sur des liens sans trop réfléhir?
_ Oui : 2
_ Non : 0
_ Parfois : 1
Laissez-vous parfois vos noms et coordonnées sur internet?
_ Oui : 3
_ Non : 0
_ Parfois : 2
Connaissez-vous quelques sites "underground", et y allez-vous de temps en temps?
_ Oui : 2
_ Non : 0
Dans quelle plage se situe le temps de connexion mensuel à l'internet de votre machine :
_ 0h-6h00 : 0 point
_ 6h00-20h00: 1 point
_ 20h00-60h00: 2 points
_ 60h00-200h00: 3 points
_ >200h : 4 points
Pouvez-vous évaluer le volume de données entrantes transférées en Mégaoctets (Download) par heure de connexion :
_ 0 à 2 MO : 0 point
_ 3 à 8 MO : 3 points
_ 6 à 10 et plus : 4 points
Envoyez-vous par courriel des données sensibles?
_ Oui : 3
_ Non : 1
_ Parfois : 2
Ouvrez-vous toutes les pièces jointes que vous recevez par courriel?
_ Oui : 3
_ Non : 1
_ Parfois : 2
Avez-vous des raisons de supposer que vous pourriez être perquisitionné, placé sur écoute, cambriolé...?
_ Oui : 3
_ Non : 1
Connaissez-vous la Netiquette
_ Oui : 0
_ Non : 2
Total
Moins de 30 points
Votre machine est correctement sécurisée et vous êtes prudents lors de vos activités informatiques. Il vous reste à continuer d'être prudent, évangéliser ;-) autour de vous et vous tenir un minimum au courant.
De 30 à 49 points
Votre machine et votre activité sont vulnérables. Mettez vous a jour, abandonnez certains logiciels au besoin (au profit d'autres plus sûr), prenez de bonnes habitudes et n'hésitez pas à prendre conseil.
Plus de 49 points
Votre machine est une lamentable passoire, et la façon dont vous l'utilisez la rend vulnérable à tout type d'attaques ou de problèmes. Prenez de toute urgence des mesures de sécurité minimum, sans quoi vous vous exposez à des pertes de données et/ou à des attaques (on vit très bien avec la menace... jusqu'au jour ou ça arrive).
Protection physique des machines
Les machines doivent être protégées de:
- L'humidité (éviter de laisser traîner bière ou café à coté)
- Des forts rayonnements électromagnétiques (les disquettes sont particulièrement sensibles à la démagnétisation, ne pas les poser sur des appareils électriques par exemple)
- De la chaleur (éviter par exemple de coincer une unité centrale ou un écran contre un mur)
- Des coupures de tension
- Des chocs (s'énerver en cas de plantage et cogner son ordinateur ne sert à rien. D'autant plus que c'est souvent l'écran, qui n'y est vraiment pour rien, qui prend... Gaffe aussi aux transports)
- De la poussière et du tabac
Il faut aussi s'assurer que les machines se trouvent dans des locaux qui ne soient pas en libre accès.
Concernant les modems, il est bon de voir les diodes de son modem (les trucs rouges qui clignotent). Cela permet de voir physiquement à quel moment il véhicule des données, et de détecter éventuellement des connexions frauduleuses. Éviter donc à tout prix les modems internes (qui sont par ailleurs moins stables et ne marchent souvent qu'avec Windows). Toujours interdire à son modem de répondre tout seul à des appels entrants.
Concernant les ordinateurs portables, un risque majeur est le vol. Donc ne jamais le quitter, et le transporter de préférence dans un sac anodin plutôt que dans la mallette d'origine. Dans ce cas, une protection des données par cryptographie est indispensable (en cas de vol, les données seront au moins préservées).
Quelques règles
- Mettre son OS et ses applications à jour, mais uniquement dans le cas ou toutes les applications et le matériel que vous avez sont en règle (avec facture). La plupart des éditeurs proposent des mises à jour de sécurité en ligne. Pour éviter tout "fichage" commercial, il vaut mieux le faire aussi sur des sites miroirs qui proposent des mises à jour qui ont été vérifiées et ou on ne vous tirera pas d'informations. Linux Debian possède le système de mise à jour le plus efficace qui soit.
- Utiliser un antivirus (Norton, McAfee ou Kapersky)... et le mettre à jour (ou le paramétrer pour qu'il le fasse tout seul).
- Essayer de naviguer derrière un proxy, si votre FAI vous en propose un. Les avantages sont que votre identification numérique se balade moins et que beaucoup de proxy ont des fonctionnalités de cache qui améliorent les performances
- Utiliser un Firewall personnel (ça ne protège pas de tout, mais ça augmente sensiblement le niveau de sécurité. Voir plus loin pour l'explication).
- Si on est en réseau local, danger. Un vrai firewall serveur est nécessaire.
- Si on dispose de plusieurs machines, en dédier une à la connexion internet et une autre, non connectée, au traitement et au stockage des données.
- Protéger les sessions: c'est à dire mettre un mot de passe et locker sa machine après utilisation
- Si possible activer la protection par mot de passe au boot (BIOS)
- Essayer de ne pas utiliser les logiciels les plus répandus (Internet Explorer, Outlook) et se méfier des logiciels utilitaires (messagerie instantanée, FTP...) qui envoient souvent pas mal d'informations sur internet pour la pub.
Protection des machines qui se connectent à internet
Tout réseau rend la machine qui s'y connecte vulnérable à des attaques de l'extérieur.
Les deux premières mesures de sécurité à prendre sont de ne pas rester connecté trop longtemps et d'installer un firewall personnel sur son poste.
Ne pas rester connecté trop longtemps, parce que pendant une connexion vous gardez une même adresse IP, ce qui peut laisser le temps à un attaquant de peaufiner une attaque. Il faut donc éteindre son modem après utilisation, ou éteindre son ordinateur si la connexion est permanente.
Installer un firewall (pare-feu en français).
Il s'agit d'un logiciel qui permet de contrôler les flux entrants et sortants de votre ordinateur. On établit des règles, et le logiciel se charge de les appliquer. Cela permet de se prémunir par exemple des intrusions, ou d'éventuels chevaux de Troie qui voudraient se connecter de votre machine vers l'extérieur.
Le principe général de configuration des firewalls, pour être efficace, doit être réactionnaire: tout ce qui n'est pas explicitement autorisé est interdit.
Ainsi, vous allez par exemple autoriser votre navigateur à se connecter à internet (port 80 en général), de même pour votre client de messagerie (port 110 pour la réception et 25 pour l'envoi). Par contre tout le reste sera par défaut interdit, et s'il passe par exemple par la tête à une autre de vos applications de se connecter à internet (ce qui arrive plus souvent qu'il n'y paraît), le firewall l'en empêchera.
Les vendeurs d'anti-virus en proposent en général (comme Norton ou McAfee), mais payants.
Une autre solution peut être d'en utiliser un gratuit (en fait souvent payant en version complète mais gratuit avec quelques fonctionnalités en moins).
Pour les paranoïaques, on pourra installer en série deux firewalls d'éditeurs différents. C'est d'ailleurs un des principes de sécurité logique (élevée) que de croiser ainsi les technologies: si l'un est corrompu ou cassé, en avoir un second qui est conçu et fonctionne différemment rend les choses plus compliquées à l'attaquant. Cela s'applique surtout pour assurer un haut niveau de sécurité sur un réseau privé.
Sous Windows :
- Tiny Personal Firewall: http://www.tinysoftware.com
- ZoneAlarm: http://www.zonelabs.com
Sous Linux :
- Ipchains pour un noyau 2.2
- Netfilter pour un noyau 2.4
Il existe des interfaces graphiques intuitives (gfcc, firestarter, knetfilter...)
Protéger les données
Qualifier ses données
Toutes les données ne nécessitent pas une protection particulière.
On peut par exemple définir trois niveaux :
- Public : il s'agit des données qui ne requièrent aucune protection particulière. Attention cependant aux associations de données qui peuvent devenir des ensembles confidentiels.
- Interne : il s'agit des données dont on ne souhaite pas la divulgation publique : comptes-rendus...etc.
- Confidentiel : il s'agit de données à protéger de façon efficace : adresses, notes internes ...etc.
Quelles protections utiliser en fonction des données et de leur classification?
On peut par exemple dire que :
Les données publiques sont sur le disque dur de l'ordinateur, éventuellement sur un serveur internet, et peuvent transiter en clair par courriel.
Les données internes et confidentielles nécessitent l'utilisation de logiciels de cryptographie. Les puristes feront bien sûr une distinction entre le traitement des données internes et confidentielles. Les niveaux de sécurité que l'on met en place par rapport à ces niveaux de classification dépendent aussi du contexte.
L'idéal est que sur tout texte ou donnée produite ou traitée soit fait mention de la classification. Cependant, ce sera rarement le cas dans la réalité. Il s'agira alors de se poser la question : Ce document est-il public, interne ou confidentiel? En fonction de la réponse, on lui appliquera les mesures de sécurité définies.
Dans certains cas, mais cela dépasse le cadre de la sécurité des postes de travail individuels, il peut être utile de définir des habilitations (ou droits) pour accéder aux données, ainsi qu'une politique de sécurité pour une communauté.
Mots de passe et sauvegardes
Les premières mesures de sécurité élémentaires des données sont :
La protection par mot de passe de la machine qui les héberge (voir plus haut pour la qualité des mots de passe). Si plusieurs utilisateurs utilisent la même machine, il sera judicieux de créer plusieurs comptes différents. Si possible, il faut utiliser les mots de passe BIOS des machines, qui présentent un degré plus élevé de sécurité que les mots de passe classiques (ceux de Windows sont facilement contournables en général). Encore une fois : aucun mot de passe n'est inviolable. Mais en mettre un est déjà une première barrière.
Ne pas utiliser les mots de passe des applications pour protéger des données, les systèmes sont souvent peu fiables et il n'est pas bon de se croire à l'abri sans l'être vraiment. Pour vraiment protéger des données il faut les chiffrer. Ou bien on les laisse en clair.
Réaliser régulièrement des sauvegardes. Le support pourra être des disquettes (attention cependant à leur altération), des CD-ROM si l'on dispose d'un graveur ou éventuellement un disque dur amovible. Une attention particulière doit être portée à la protection des sauvegardes elles-mêmes : nul intérêt en effet de bien sécuriser sa machine et ses données si des sauvegardes "en clair" se trouvent un peu partout. Enfin, dans la plupart des cas il est judicieux de créer deux partitions sur son disque dur : l'une (c:\ par exemple) qui contiendra le système d'exploitation (OS), et l'autre (d:\ par exemple, " /home" sous Linux) qui contiendra ses données personnelles. L'intérêt d'une telle partition est qu'en cas de grave problème sur le système d'exploitation, les données risquent moins d'en subir les conséquences. Si on a la possibilité d'avoir deux disques durs physiquement distincts, c'est encore mieux.
Cryptographie
Ensuite, pour les données qu'il faut chiffrer, et en ne parlant pas des courriels que nous traiterons plus loin, on utilisera des logiciels de cryptographie.
La cryptographie, est l'ensemble des techniques qui permettent de rendre des données inintelligibles, au moyen d'une ou plusieurs clés qui serviront au chiffrement et au déchiffrement. Il existe deux principaux types de cryptographie : la cryptographie symétrique et la cryptographie asymétrique.
Pour chiffrer des données, on va principalement utiliser de la cryptographie symétrique. Parmi les logiciels, il en existe deux grandes familles.
Ceux qui chiffrent fichier par fichier, ce qui requièrent donc une action volontaire de l'utilisateur pour chiffrer chaque fichier.
Ceux qui permettent de définir sur son disque dur une partition virtuelle, qui sera vue comme un disque dur supplémentaire, et dans lequel tout ce qu'on y déposera sera automatiquement chiffré.
Ce deuxième type de logiciels est plus simple et efficace.
Pour déchiffrer les données, il suffit de cliquer sur un fichier. Une phrase de passe est alors demandée, et si elle est correcte, la partition virtuelle est montée. Lorsqu'on quitte, la partition est fermée et tout ce qui s'y trouve est de nouveau chiffré.
Il faut faire attention à ne pas égarer la phrase de passe, sans quoi les données seraient irrémédiablement perdues.
Quelques exemples de logiciels :
Sous Windows :
Il existait deux bons logiciels, Scramdisk et E4M, mais leurs auteurs ont décidé de s'unir pour en réaliser une version commerciale. Leur implémentation est de plus sujette à caution.
Il reste PGP 6.0.2i, qui est la dernière version de PGP à inclure PGPdisk. La version date un peu, mais semble la plus pratique actuellement.
Eviter d'utiliser l'EFS de Windows 2000, ainsi que tous les chiffrements natifs de Microsoft.
Eviter aussi les logiciels trouvés ça et là. Les sources doivent être publiques et des spécialistes de la communauté crypto doivent les avoir analysé. Demander conseil.
Télécharger sur http://www.openpgp.fr.st ou http://www.pgpi.com
Sous Linux :
L'initiative Scramdisk à été reprise
http://www.geocities.com/openpgp/linux.htm
Certaines distributions sont fournies avec des noyaux crypto natifs, comme SuSE.
Considérations diverses
- Eviter d'utiliser des logiciels de cryptographie commerciaux, dont le code source n'est pas public. Dans tous les cas, si l'on ne s'y connaît pas, demander conseil.
- Ne pas se fier aux belles interfaces graphiques. Un bon logiciel de sécurité doit être bien conçu et ergonomique. Mais la seule ergonomie ne suffit pas, et il sera parfois préférable de faire quelques efforts d'utilisation ou d'installation plutôt que d'utiliser un clickodrome non sûr.
- Ne pas oublier ses mots de passe.
- Il existe des logiciels de "nettoyage", qui effacent de façon sûre toute trace de vos fichiers supprimés. En effet, lorsque l'on efface des données sur le disque, elles ne disparaissent pas réellement, mais c'est juste leur référence qui est effacée. Au cours des réécritures, le fichier finit par être "recouvert". Mais il est possible de recouvrer des données jusqu'à une dizaine de réécritures. Les logiciels de nettoyage font des réécritures aléatoires jusqu'à disparition totale des données. En anglais : "wipe", "wiping". Il existe des dispositifs capables de recouvrer des données effacées. Si l'on veut effacer de façon sure des données, il faut réécrire dessus de multiples fois. Des logiciels assurent ces fonctions.
- La législation autorise l'utilisation de clé de cryptographie symétrique (algorithmes : DES, IDEA, AES...) jusqu'à 128 bits (à ne pas confondre avec les clés asymétriques -512-1024-2048 bits- (algorithmes : El-Gamal, RSA, DSA...) qui ne souffrent pas de restriction. Si vous voyez une longueur de clé de 40 ou 56 bits en symétrique, ça ne suffit pas.
- Par ailleurs, suite à l'adoption récente de la LSQ, la loi oblige un témoin suspect ou inculpé à révéler ses clés de déchiffrement. On peut être sceptique sur l'application d'une telle mesure vu la facilité avec laquelle on peut oublier une phrase de passe...
- Enfin, aussi surprenant que cela paraisse, un bon chiffrement à 128 bits met les données vraiment à l'abri, même des moyens de l'Etat. Aux USA, le FBI à dernièrement voulu savoir ce qu'un maffieux qui utilisait PGP écrivait. Ils ne pouvaient pas craquer la cryptographie... ils ont alors installé un Troyen sur sa machine, ce qui leur a donné son mot de passe... ce qui leur à permis de déchiffrer ses données. Cela met en lumière la nécessité d'assurer un niveau de sécurité uniforme à sa machine et à ses applications.
Protéger les communications
Anonymat ?
Axiome de base: A moins d'être un spécialiste et d'y mettre les moyens, on n'est jamais anonyme sur internet.
Il se trouve que les ordinateurs, et particulièrement les serveurs Web et de messagerie, sont des machines configurées pour tracer énormément de choses. Succinctement, lorsque vous êtes sur internet, une adresse IP vous est attribuée (un chiffre comme 156.56.85.4). Cette adresse vous suit au cours de toutes vos pérégrinations numériques, est inscrite dans vos courriels. Votre FAI sait qu'à telle heure telle adresse IP était allouée à tel numéro de téléphone. Et du numéro de téléphone on déduit rapidement votre nom.
Il existe des "anonymizers". Ce sont des portails qui masquent votre adresse IP et présentent la leur à la place, ce qui empêche les sites par lesquels vous passez d'avoir votre adresse IP. Mais il faut savoir que ces sites gardent eux-mêmes les données de connexion.
Si vous ne tenez pas par exemple à ce que votre entreprise sache sur quels sites vous naviguez, il vous faudra disposer d'un proxy SSL, qui, via chiffrement, rendra le contenu de votre navigation inintelligible aux outils d'interception. Demander conseil (pas en interne dans votre boite:-).
A noter que vos processeurs (PIII) peuvent avoir une identification statique. De même, si vous avec une carte réseau, elle à une adresse MAC (physique). Dans certaines conditions, ces adresses sont récupérables.
La LSQ qui a dernièrement été adoptée oblige de plus tous les FAI à conserver pendant un an toutes les données de connexion de tous ses abonnés.
Les circonstances dans lesquelles un vrai anonymat est nécessaire sont rares. Si vous tenez à rester vraiment anonyme, il n'y a guère que le cybercafé. On n'y dispose cependant que de très peu de moyens (les machines sont "bridées"). Attention aussi à ne pas payer par carte ou chèque. Pensez aussi que toutes les machines y sont probablement surveillées, que les traces de ce que vous faites sont conservées (éventuellement qu'il y a de la vidéosurveillance)
Rappelez-vous, et agissez en conséquence: les serveurs web savent pas mal de chose sur vous. Partout ou vous passez vous laissez des traces qui permettent de remonter jusqu'à vous. Lorsque vous envoyez un mail, on peu savoir qui vous êtes vraiment.
Pour voir ce qu'un serveur Web moyen sait de vous:
http://www.cnil.fr/traces/index.htm
Quelques anonymizers (pas tous testés et souvent payants):
Hygiène des envois par courriel
Les premières mesures de sécurité concernant les envois par mail relèvent d'une utilisation prudente.
Avant tout, lisez la "Netiquette" liste de règles de bon usage communément admises sur internet.
http://www.sri.ucl.ac.be/SRI/netetiq.html
Ensuite, considérez les points suivants:
- Si un mail n'est pas spécifiquement protégé, ne rien mettre dessus que vous ne mettriez pas sur une carte postale.
- Lors de la composition d'un courriel, toujours mettre l'adresse du destinataire en dernier (après avoir rédigé le message). Cela évite des envois par erreur de mail non finis, de brouillons.
- S'il y a plusieurs destinataires utiliser le champs A: (ou TO:). Si vous utilisez le champs (CC: carbon copy), les destinataires qui y figurent ne sont que destinataires à titre informatif.
- Essayer d'éviter le champs (BCC: copie cachée), parce que ces courriels sont souvent impersonnels.
- Dans son client de messagerie, désactiver l'interprétation HTML, le Vbscript, le JavaScript... etc. et envoyer ses messages en format texte pur (pas de couleurs, de liens actifs, de demandes d'accusés de réception etc.)
- Éviter d'envoyer des pièces jointes. Ne jamais ouvrir des pièces jointes dont on n'est pas absolument sûr de la provenance et de la légitimité (je m'attends à recevoir une PJ par exemple).
- Éviter d'envoyer des mails trop volumineux.
- Toujours être explicite et s'identifier dans ses mails, surtout lorsqu'ils contiennent des pièces jointes (sans quoi le destinataire peut ne pas ouvrir le courrier par crainte d'un virus).
- Ne pas révéler par des réponses trop rapides des adresses de listes de diffusion ou de personnes qui ne souhaitent pas communiquer leur adresse.
- Éviter de laisser traîner son mail (et à fortiori son nom) sur les divers formulaires que l'on croise sur internet.
- Si l'on tient à rester "relativement" anonyme sur internet, on a tout intérêt à se créer une autre adresse que celle qui nous est donnée par notre FAI.
- Ne pas répondre aux spam (mails non sollicités, souvent de pub). Si vous répondez, ils savent qu'il y a une personne physique derrière l'adresse. Cependant, si vous recevez du spam, c'est que votre adresse traîne, ou a traîné quelque par sur internet.
Protéger ses envois par courriels
Pour donner une analogie, un courriel peut être vu comme une carte postale. Lorsqu'il quitte la machine d'un expéditeur, il arrive sur un serveur. De là, il va transiter par d'autres serveurs, et arrivera finalement sur celui du FAI (Fournisseur d'Accès Internet) du destinataire, qui viendra l'y chercher avec son client de messagerie.
Lors de tout ce cheminement, le mail transite en clair. C'est à dire qu'un administrateur sur un des serveurs, un logiciel ou matériel d'interception ou toute autre procédure peut permettre d'intercepter le mail, de l'archiver, de le lire. Quand on dit intercepter, c'est en fait copier, puisque le mail continue sa course et que le destinataire ne s'aperçoit de rien.
Au même titre que dans le monde papier, ou nous avons le choix d'envoyer des cartes postales ou des lettres, il est possible de choisir de rendre son message obscur à toute autre personne que le destinataire.
On utilise alors des logiciels de cryptographie.
C'est l'équivalent d'une lettre cachetée. Plus même, vu qu'on peut enlever un cachet, alors que décrypter un mail chiffré avec de bons outils peuvent être tout à fait impossible, même pour des Etats ou organisations disposant de très gros moyens.
Le principe de la qualification des données est le même que pour la protection des données. Il n'est pas nécessaire de protéger tous ses envois par mail. En particulier, quand le courriel participe d'un échange commun (liste de diffusion, multi-destinataire nombreux dont on n'a pas toutes les clés...) la crypto n'est pas judicieuse (sauf à disposer d'un outil serveur efficace). Dans ces cas là: faire gaffe aux informations que l'on envoie.>
Avec des outils comme GPG, et utilisant la cryptographie asymétrique, il faut mettre à la disposition des ses correspondants ses clés publiques. Il faudra cependant veiller à ce que telle clé appartienne bien à tel correspondant. Cela se fera idéalement en signant (à l'aide de GPG) une clé remise en main propre.
Le logiciel qui a longtemps fait autorité pour chiffrer ses mails est PGP (Pretty Good Privacy)
Mais NAI, la société qui en a repris les droits de commercialisation des sources, et a maintenant arrêté de le maintenir.
Une initiative à vu le jour pour lui succéder: GnuPG, basé sur le standard ouvert OpenPGP (RFC 2440).
Il s'agit d'un petit logiciel simple à installer, d'une très bonne sécurité, gratuit (licence GPL), et d'une utilisation simple. GnuPG (ou GPG) est maintenant le logiciel à utiliser.
Il existe un service bien fait et qui bénéficie de la caution du créateur de PGP qui permet d'envoyer et de recevoir des courriels chiffrés et signés par webmail: http://www.hushmail.com
Sous Windows:
WinPT est une interface graphique qui permet d'utiliser GnuPG graphiquement et de façon intuitive. Il suffit de l'installer, de générer ses clés et c'est prêt à l'emploi.
Des plug-ins sont peu à peu développés pour que GnuPG puisse être intégré aux logiciels de messagerie les plus courants (Outlook, Eudora, Pegasus...)
Téléchargement et docs d'installation:
Informations et téléchargement: http://www.openpgp.fr.st
Sous Linux:
Installer GnuPG, et son interface graphique GPA. Il en existe d'autres.
GnuPG fait en général partie des "packages" de base de toutes les distributions Linux.
Si vous êtes sous KDE, et utilisez Kmail, l'utilisation de GPG est native.
Signer ses mail
PGP, comme son successeur GnuPG peuvent servir à chiffrer ses mails, mais aussi à authentifier ses mails. Lorsqu'on envoie un mail, le protocole utilisé ne prévoit presque aucune mesure fiable d'authentification. Ainsi, envoyer un mail comme apparaissant au destinataire comme venant d'une fausse adresse est très simple.
GnuPG permet de signer ses mails: cela consiste à joindre à ses messages un "sceau" réalisé à l'aide d'une clé privée qui permettra au destinataire de s'assurer que:
- Le courriel émane bien de la personne dont on connaît la clé publique
- Le contenu du courriel n'a pas été altéré durant son trajet (ou s'il l'a été on en est informé).
- L'expéditeur ne peut nier avoir signé un tel message.
L'utilisation des fonctions de signature est aussi transparente que celles de chiffrement.
La différence étant que pour signer un courriel on utilise sa clé privée (ce qui suppose de rentrer son mot de passe) alors que pour chiffrer, c'est la clé publique du correspondant qui est seule utilisée.
Ces opérations peuvent se faire simultanément.
Téléphone et informatique
La cryptographie peut servir à chiffrer les communications téléphoniques.
Il existe des téléphones chiffrants, mais leur prix les rend inaccessibles.
Il existe aussi des solutions logicielles comme PGPphone, mais elles supposent que l'on se serve de son PC comme d'un terminal téléphonique, ce qui au vu des débits usuels actuels est irréaliste.
En conclusion, les solutions de chiffrement des communications téléphoniques sont pour l'instant hors de portée. Il faudra donc appliquer au téléphone les précautions de base, en supposant que l'on parle "en clair".
Sommaire bibliographie:
La sécurité des ordinateurs, Michael Alexander, Thomson Publishing
Internet, sécurité et firewalls, KaranjitSiyan et Chris Hare, MacMillan
Initiation à la Cryptographie, de Gilles Dubertet, éditions Vuibert.
Cryptographie, théorie et pratique, Douglas Stinson,Thomson Publishing
Cryptography and Network Security, de William Stallings, éditions Prentice Hall.
Cryptographie Appliquée, de Bruce Schneier, éditions Thomson Publishing.
Sécurité et protection, Micro Application
Histoire des codes secrets, Simon Singh, éditions JC Lattès.
Enigma, de Robert Harris, éditions Pocket.
Quelques liens:
http://www.heureka.clara.net/sunrise/pgp.htm
http://www.securitysearch.net/
http://www.cacr.math.uwaterloo.ca/hac/
http://www.iris.sgdg.org/axes/crypto
http://security.tao.ca/francais
GNU Free Documentation License
Cette licence est disponible en ligne sur le site:
http://www.gnu.org/copyleft/fdl.html
Le Sii.Rp
Nous rencontrer...
Vous avez des problèmes avec votre patron ?
Vous en avez marre de bronzer au tube cathodique et voulez lire nos publications papier ?
Vous êtes pris d'une soudaine et irrépressible envie de débat et/ou d'action syndicale ?
Votre travail n'a aucun sens et cette société vous fatigue ?
Vous voulez juste causer avec nous parce qu'on a l'air sympa, ouverts, dynamiques et combatifs ?
Vous voulez adhérer au SII ?
Quoi qu'il en soit, quelles que soient vos raisons, n'hésitez pas à nous contacter, à venir nous voir et à nous lire !
Pour nous contacter, il y a divers moyens :
- par mail: sii.rp@cnt-f.org
- sur le web : http://cnt-f.org/sii
- par courrier: Syndicat de l'informatique, 33 rue de Vignoles, 75020 Paris
- Physiquement : (la meilleure solution) Nous tenons des permanences tous les jeudi soirs à partir de 19h30 au 33, rue des Vignoles, Paris 20ème, M° Buzenval ou Avron - tel: 01.43.72.09.54 - fax: 01.43.72.87.02
- Vous pouvez aussi vous abonner via la page d'accueil de notre site à notre liste de diffusion, pour être tenus informés de nos actions, réunions, actualités...
Si vous etes intéressé par un autre syndicat que celui de l'informatique, ou que vous voulez en savoir plus...
- sur le Web : http://cnt-f.org
- par mail : cnt@cnt-f.org
- par courrier adressé à la Confédération Nationale du Travail, 33 rue des Vignoles, 75020 Paris
- ou physiquement, au 33 rue des Vignoles, Paris 20eme, métro Buzenval ou Avron, tel: 01.43.72.09.54 - fax: 01.43.72.87.02
.. nous lire...
La CNT édite plusieurs revues :
- le Combat Syndicaliste paraît tous les 15 jours.Il traite de questions d'actualité, se fait l'écho des luttes ouvrières et sociales tant nationales qu'internationales.
- Les Temps Maudits est la revue "théorique" de la CNT qui paraît deux à trois fois par an. Nous y développons des réflexions de fond sur les questions sociales, syndicales, historiques, politiques, révolutionnaires...
- de nombreux syndicats et unions locales publient leurs propres périodiques: l'Education, la Communication, le Bâtiment... Renseignez-vous!
- pour vous abonner, recevoir des numéros gratuits ou simplement être averti de nos activités, remplissez le coupon ci-dessous.
... adhérer...
Le meilleur moyen d'adhérer au syndicat est de passer nous voir à la permanence.L'adhésion se matérialise par le paiement d'une cotisation mensuelle égale à un pour cent du salaire net.
Si vous n'êtes pas en région parisienne, vous pouvez rejoindre le syndicat intercorporatif le plus proche de chez vous ou, pourquoi pas, créer un syndicat de l'industrie informatique dans votre région !
33, Rue des Vignoles 75020 Paris M° Avron ou Buzenval
permanence tous les jeudi à partir de 19h30
sii.rp@cnt-f.org