Introduction
Dans l'article précédent, nous avons abordé la façon dont les manifestants prennent des décisions collectives en utilisant des plateformes telles que LIHKG, Reddit, et Pincong.
Il y a beaucoup d'articles et de vidéos décrivant l'équipement antiémeute complet des manifestants, mais il n'y a pas beaucoup de documentation sur leur utilisation des technologies de pointe en matière de sécurité et de confidentialité. Dans cet article, nous examinerons l'équipement numérique complet des manifestants de HK, qui peut être utilisé par n'importe quel activiste dans le monde. Nous parlerons de différentes applications, mais commençons par l'application de messagerie chiffrée Telegram, qui est essentielle dans le mouvement de protestation de HK et qui a connu de puissantes attaques DDoS en juin lors des protestations massives à Hong Kong.
Conseils généraux sur la sécurité des téléphones portables
Il y a toujours un compromis à faire entre l'UX (ndrl : user experience) et la protection de la vie privée/sécurité, mais lorsque votre vie est en jeu, vous avez tendance à privilégier la sécurité à la commodité. Les manifestants de Hong Kong partagent largement de nombreuses lignes directrices et conseils sur la protection de la vie privée, dont la plupart seront utiles aux militants du monde entier, alors jetons un coup d'œil à tous ces conseils.
Tout d'abord, les activistes préparent leurs téléphones :
* Purgez WeChat et les autres applications chinoises ou au moins désactivez les permissions audio et de localisation, et déconnectez-vous lorsque les applications ne sont pas utilisées.
* Désactiver FaceID & FingerID qu'un adversaire peut utiliser pour déverrouiller les téléphones des victimes sans leur consentement.
* Mettre en place un code pin long et compliqué.
* Supprimer toutes les informations sensibles du téléphone (journaux de discussion, photos, vidéos, historique de navigation, historique de YouTube).
* Utilisez Tor (Orbot pour Android) ou un VPN (idéalement, payé avec une crypto sans lien vers l'identifiant de l'utilisateur, ou avec des cartes de débit anonymes des épiceries).
* Téléchargez Brave browser et utilisez toujours des onglets privés pour naviguer.
* Définir DuckDuckGo comme moteur de recherche par défaut dans les paramètres du navigateur.
Paramètres Telegram
* Télécharger l'application Telegram.
* Verrouiller Telegram et les autres applications sensibles (messageries, galerie, notes, contacts, etc.) en utilisant "Restrictions" sur iPhone ou "App Lock" sur Android.
* Masquer l'application Telegram de la page d'accueil avec "App Lock" sur Android.
* Certains activistes hardcore n'autorisent pas Telegram d’obtenir les permissions telles que Caméra, Contacts, Emplacement, Microphone, Téléphone, Stockage (facultatif, car ne permet pas d'envoyer des photos et vidéos depuis la mémoire du téléphone).
Dans Telegram :
* Puisqu'un adversaire bien financé peut potentiellement découvrir le numéro de téléphone de l'utilisateur, les activistes avancés enregistrent un compte Telegram en utilisant une carte SIM prépayée qui n'est pas liée à l'ID de l'utilisateur (idéalement, un code d'activation est reçu sur un téléphone à bas prix pour éviter d'être identifié par IMEI). Alternative : les activistes reçoivent un code d'activation à l'aide d'applications burner telles que Cover Me ou TextMe Up. Une autre option est d'utiliser la VoIP comme Google Voice ou MySudo.
* Configurer le verrouillage par mot de passe pour protéger les discussions secrètes.
* Utilisez la Vérification en deux étapes pour protéger un compte d'une attaque de swap SIM.
* Configurez un nom d'utilisateur pour l'utiliser afin d'échanger des contacts au lieu d'un numéro de téléphone.
* Optionnel : configurer le Proxy si un VPN ou Tor n'est pas utilisé.
De nombreux activistes ajustent également d'autres paramètres de confidentialité et de sécurité pour plus de sécurité :
* Qui peut voir mon numéro de téléphone ? Personne
* Qui peut me trouver grâce à mon numéro ? Mes Contacts
* Qui peut voir votre dernière fois ? Personne
* Qui peut voir ma photo de profil ? Mes Contacts
* Qui peut ajouter un lien vers mon compte lors du transfert de mes messages ? Personne
* Qui peut m'appeler ? Personne
* Qui peut m'ajouter aux discussions de groupe ? Mes Contacts
* Désactiver la synchronisation des contacts
* Désactiver Suggérer des contacts fréquents
* Fournisseur d'aperçu de carte : "Telegram" ou "No previews"
* Désactiver les aperçus de liens dans les discussions secrètes
A noter : certains paramètres de confidentialité n'ont pas l'option "Personne", donc les activistes hardcore choisissent l'option la plus sécurisée dans la liste, qui est "Mes Contacts", même s'ils désactivent la permission des contacts.
Conseils d'utilisation de Telegram
Lors de l'échange de contacts, les activistes avancés n'échangent que des noms d'utilisateur pour ne pas exposer les numéros de téléphone. Remarque : un nom d'utilisateur peut facilement être changé.
Les activistes utilisent des "chats secrets" pour activer le chiffrement de bout en bout, qui est désactivé par défaut, et ils configurent un minuteur d'autodestruction, de sorte que tous les messages reçus sont automatiquement supprimés après un certain temps.
Au début des manifestations, les militants utilisaient souvent des enquêtes anonymes par Telegram pour prendre des décisions collectives sur le terrain, par exemple pour savoir s'il fallait disperser ou continuer la confrontation avec la police.
Les activistes hautement paranoïaques avec une synchronisation et des permissions désactivées doivent sauvegarder manuellement tous les nouveaux contacts de valeur et les stocker dans un endroit sûr, car ils ne seront pas en mesure de retraiter ces contacts s'ils perdent l'appareil.
Extra : les activistes vérifient occasionnellement "Active Sessions" pour s'assurer qu'un compte courant n'est utilisé que sur un seul appareil.
Voici une grande liste de chaînes publiques Telegram qui diffusent des informations sur le mouvement pro-démocratie de HK.
Cours intensif sur l'histoire de Telegram
Telegram a été développé en 2013 par les frères Nicolai et Pavel Durov, entrepreneurs russes actuellement en exil après une confrontation avec le gouvernement russe sur la plateforme de médias sociaux VK concernant la vie privée des utilisateurs et la liberté de parole. Les frères Durov ont fondé VK en 2006, mais ils ont par la suite subi des pressions pour vendre et ont quitté l'entreprise.
Le mouvement de résistance numérique est devenu populaire en Russie en 2018 lorsque le gouvernement a essayé de bloquer Telegram en raison de son haut niveau de confidentialité et de l'afflux de chaînes Telegram anonymes à orientation politique critiques envers le gouvernement russe. Les autorités ont bloqué plus de 15 millions d'adresses IP, y compris des serveurs exploités par Google, Amazon, Microsoft et Digital Ocean, autant de sites Web et d'applications populaires qui ont connu des pannes pendant quelques semaines d'impasse. Les utilisateurs de Telegram, cependant, recevaient plusieurs fois par jour des notifications avec de nouveaux paramètres réseau, de sorte que la plupart des gens étaient capables d'utiliser une application sans VPN. Finalement, le gouvernement russe a renoncé à essayer de bloquer Telegram. D'autres gouvernements autoritaires résolvent habituellement ce problème en important les technologies de surveillance et de censure de la Chine, mais pour la Russie, je suppose que les préoccupations de sécurité nationale sont plus importantes, de sorte qu'ils n'utilisent pas les technologies de la Chine, donc Telegram peut encore être accessible gratuitement depuis la plupart des FAI.
Remarque : Internet en Russie est fortement censuré, par exemple, même LinkedIn est bloqué.
Depuis le début du mouvement de résistance numérique, Telegram est devenu très populaire dans l'espace cryptographique et dans les régions très opprimées comme la Russie, l'Iran, Hong Kong, etc.
source :
La résistance numérique à Hong Kong
Afin d'affronter l'armée 50 cents (trolls soutenus par l'Etat chinois) et de faire passer le mot à travers le monde, les militants de HK ont commencé à s'inscrire massivement aux plateformes de médias sociaux occidentales. Cependant, critiquer ouvertement le Parti Communiste Chinois est très dangereux, de sorte que la plupart des Hongkongers prennent soin de leur vie privée en utilisant les meilleures pratiques connues dans l'espace crypto.
Examinons ces pratiques :
Examinons ces pratiques :
* Utilisez Tor ou un VPN (idéalement, payé avec crypto sans lien avec l'ID de l'utilisateur, ou avec des cartes de débit anonymes des épiceries) (ndrl : cashlib ou neopsurf en france).
* Créez une adresse de courriel à l'aide de fournisseurs de courriel axés sur la protection de la vie privée (p. ex., ProtonMail) qui sera utilisée uniquement pour vous inscrire aux plateformes de médias sociaux.
* N'utilisez pas cette adresse e-mail pour toute autre communication, car l'adresse doit rester secrète, de sorte qu'un adversaire potentiel devra découvrir une adresse e-mail, un mot de passe et contourner 2FA (si défini) afin d'accéder à un compte.
* N'utilisez pas l'authentification à deux facteurs par SMS, car elle peut être utilisée pour pirater un compte lors d'une attaque SIM swap. Si la plate-forme prend en charge l'authentification à deux facteurs via TOTP (Time-Based One-Time Password), utilisez-la à la place.
* Ne scannez pas le code TOTP 2FA QR, mais tapez plutôt une clé secrète manuellement, et n'oubliez pas de la sauvegarder.
* Après s'être inscrits sur une plateforme de médias sociaux, les activistes cachent leur adresse e-mail au public dans les paramètres du compte.
* Si la plate-forme nécessite un numéro de téléphone pour l'enregistrement, les activistes utilisent soit des cartes SIM prépayées qui ne sont pas liées à leurs identifiants, soit des applications VoIP et de type burner. Idéalement, le numéro de téléphone devrait être détaché du compte après l'enregistrement pour se protéger d'une attaque de SIM swap.
* Les activistes utilisent des mots de passe compliqués qui consistent en de multiples mots aléatoires, par exemple "correct horse battery staple", qui sont plus faciles à retenir mais plus difficiles à casser que "Carr13Lam777".
Autre technologie
Streaming
Lors de l'enregistrement de vidéos, les activistes préfèrent souvent les services de streaming pour éviter que les vidéos ne soient supprimées du téléphone si l'appareil a été perdu ou confisqué.
AirDrop
Les activistes utilisent souvent le service AirDrop sur les iPhones, qui permet le partage pseudonyme d'informations importantes "au sol" via Wi-Fi et Bluetooth.
FireChat ou Bridgefy
En l'absence d'une connexion Internet, les activistes utilisent parfois les messageries FireChat ou Bridgefy pour discuter entre eux via une connexion peer-to-peer Wi-Fi et Bluetooth (meshnet). Toutefois, Bridgefy a besoin d'un numéro de téléphone pour s'inscrire.
Private Bin
Dans certains cas extrêmes, les activistes utilisent un service pastebin privé s'ils ont peur que le message puisse être intercepté. Voici quelques cas d'utilisation intéressants :
* Les activistes créent un pastebin avec la fonction "supprimer après lecture" activée, la chiffrent avec un mot de passe, et partagent ensuite un lien sur le canal de communication suspect. Si lors de l'ouverture d'un lien, le pastebin a déjà été supprimée, alors le message a été intercepté par un adversaire, de sorte que le canal de communication n'est pas sécurisé. Remarque : un pastebin est supprimé après l'ouverture d'un lien même si elle n'a pas été déchiffrée avec un mot de passe correct.
* Les activistes partagent un lien vers un pastebin et un mot de passe via deux canaux de communication différents pour s'assurer qu'un adversaire ne pourra pas accéder aux informations importantes même s'il intercepte l'un de ces messages.
* Lorsque les activistes temporaires n'ont pas accès à un canal de communication de confiance, ils chiffrent un message à l'aide d'un mot de passe préétabli et fixent une date d'expiration (par exemple, 10 minutes, 1 heure ou 1 jour). Ensuite, ils partagent le lien dans un groupe, sachant que seuls les activistes avec un mot de passe correct pourront déchiffrer le message. Pour des raisons de sécurité, les mots de passe sont changés périodiquement et partagés en face à face ou via un canal de communication fiable.
Fingertrapp
Les lanceurs d'alertes utilisent Fingertrapp pour effacer les documents en anglais des caractères cachés qui peuvent identifier un employé qui a divulgué un document. Cependant, l'application ne supporte actuellement que l'anglais, le coréen, le russe et le Devanagari.
What3Words
Les activistes avancés utilisent What3Words pour organiser une réunion privée (p. ex. flock lock photocopy), surtout s'ils ne se connaissent pas et se rencontreront pour la première fois. What3Words présente certains avantages par rapport à d'autres cartes :
1. Vous n'avez pas besoin d'être physiquement présent sur place pour obtenir les 3 mots qui correspondent à l'endroit précis.
2. C'est facile de trouver une personne si vous connaissez la place exacte de 3x3m qu'elle occupera.
3. Il s'agit essentiellement de localisations GPS, mais en 3 mots que les gens peuvent facilement mémoriser et partager.
4. Vous n'avez pas besoin de GPS ou d'Internet pour obtenir la position si vous avez l'application
5. Vous n'avez pas besoin d'avoir l'application pour obtenir un emplacement si vous avez une connexion Internet (c.-à-d. que l'obtention d'emplacements fonctionne par le biais du navigateur).
6. Il est plus facile de cacher 3 mots aléatoires dans n'importe quel texte pour masquer l'emplacement de la réunion dans un but de conspiration.
Sur le terrain
Voici d'autres façons dont les militants protègent leur identité pendant les manifestations.
Les scanners RFID
Les gens enveloppent leurs cartes d'identité HK, leurs cartes de métro ou leurs cartes de crédit dans un papier d'aluminium (papier d'aluminium) pour que les adversaires ne puissent pas les suivre en balayant à distance les puces d'identification par radiofréquence intégrées dans les cartes.
Les téléphones jetables (ndrl : téléphones portables pré-payés)
Idéalement, les manifestants laissent leur téléphone principal à la maison et utilisent des téléphones bon marché pour assister aux événements. Beaucoup de manifestants purs et durs ne portent pas de téléphone, mais communiquent plutôt en face à face ou avec un talkie-walkie.
Utilisation du téléphone lors d'une manifestation
Si les activistes apportent leur téléphone aux événements, ils prennent des précautions supplémentaires :
* désactiver le GPS.
* activer le mode "avion" lorsque le téléphone n'est pas utilisé.
* se déconnecter de toutes les applications de médias sociaux, de sorte que les adversaires n'auront pas accès aux comptes de l'activiste s'ils obtiennent et déverrouillent son téléphone.
* Méfiez-vous des caméras de vidéosurveillance lorsque vous vérifiez un téléphone, car les caméras peuvent capturer des mots de passe et d'autres informations sensibles telles que les noms de compte, numéros de téléphone, journaux de discussion, etc.
Les parapluies
Les militants utilisent souvent des parapluies non seulement pour se protéger contre les armes antiémeutes, mais aussi pour cacher leurs activités aux caméras.
Se masquer le visage
Les manifestants se cachent le visage avec toutes sortes de masques faciaux, lunettes de protection et casquettes.
Se couvrir le corps
Les gens peuvent être identifiés non seulement par les technologies de reconnaissance faciale, mais aussi par la coiffure, la couleur des cheveux, la forme des oreilles, les tatouages, les piercings, les taches de rousseur, les vêtements distinctifs, le style des chaussures, etc. Ainsi, les activistes hardcore couvrent toutes les parties du corps avec de simples vêtements noirs sans marques de fabrique.
Des vêtements de rechange
S'il y avait un code vestimentaire spécifique (par exemple, tout en noir), beaucoup d'activistes transforment le tissu en quelque chose de plus lumineux avant de rentrer chez eux pour éviter d'être la cible de la police ou de groupes radicaux pro-gouvernementaux.
Les espèces
Les militants utilisent de l'argent liquide pour acheter de l'équipement de protection et des billets pour le MTR (edit : métro hongkongais) lorsqu'ils rentrent chez eux après les manifestations.
Conclusion
La Chine exporte des technologies de censure et de surveillance dans le monde entier, tandis que les Hongkongers nous enseignent comment utiliser les technologies axées sur la protection de la vie privée pour protéger nos libertés.
Le principe "Un pays, deux systèmes" se terminera officiellement en 2047, donc beaucoup de ceux qui se battront pour la liberté en 2047 ne sont même pas encore nés. Quelles valeurs cette génération portera et combien de libertés les Hongkongers auront-ils après trois décennies ? On ne le sait pas encore.
Mais ce que nous savons avec certitude, c'est que Hong Kong a déjà atteint une génération de jeunes qui se soucient moins de la réussite scolaire et financière que des libertés politiques et des libertés civiles. La nouvelle génération est jeune, audacieuse, technophile et elle proteste depuis son plus jeune âge.
https://medium.com/crypto-punks/digital-resistance-security-privacy-tips-from-hong-kong-protesters-37ff9ef73129