Help, je me sépare de mon informaticien(ne)

C’est la troisième fois que je conseille quelqu’un là dessus alors je fixe par écrit, au moins pour que quelqu’un d’autre puisse s’y référer, mais aussi pour que vous lecteurs puissiez enrichir.

Contexte : Le couple se sépare (mais vit donc potentiellement sous le même toit pour l’instant, ça peut mettre du temps), l’un des deux est informaticien, l’autre craint de se faire espionner d’une quelconque façon.

Prendre du recul

Premier conseil : Même si ça se passe mal, il est probable qu’il n’en soit rien. Au risque de faire une affirmation trop générique, j’ai tendance à croire que sauf historique immoral connu, plus la personne « sait » faire, plus elle est responsable vis à vis de la question de la sécurité informatique et s’abstiendra de trop déraper.

Très probablement utiliser le mode « navigation privée » de votre navigateur web, ne pas laisser trainer de document (vider la corbeille !) et éviter d’utiliser un compte email dont le conjoint connait le mot de passe devrait suffire.

Maintenant imaginons le pire, la question est uniquement d’imaginer le ratio sécurité/emmerdement à viser. Plus vous voulez être en sécurité, plus ça va être emmerdant à gérer (pour vous pour éviter d’être espionné, mais aussi pour l’autre de vous espionner) :

Tout externaliser

Le plus simple est d’arrêter de communiquer sur des sujets sensibles avec vos anciens comptes email, facebook, skype, messagerie instantanée, etc.

Il est simple d’en créer d’autres dédiés à cet usage. Ces nouveaux comptes ne seront utilisés que depuis des appareils et des réseaux « sécurisés », c’est à dire votre travail, le domicile d’un ami proche et de confiance, ou un cybercafé… mais pas les appareils ou le réseau de votre domicile.

Si besoin il est possible d’utiliser depuis la maison une tablette ou un téléphone 3G (pas en wifi) à condition d’avoir activé le chiffrement de l’appareil (c’est possible sous iphone/ipad comme sur les Android récent) *et* que le code PIN ou l’empreinte digitale soit requis à chaque sortie de veille (pas la simple reconnaissance du visage) *et* que le conjoint ne connaisse pas ce code PIN ou n’ait pas enregistré sa propre empreinte.

Attention, si c’est un appareil pré-existant, il faut retirer toutes les synchronisations de données (par exemple les SMS qui se synchronisent avec votre compte Google Hangout de la maison, le Firefox ou le Chrome qui synchronisent et donc caftent votre historique de navigation avec celui de la maison, etc…) ainsi que les logiciels de sauvegarde. Au pire, un téléphone premier prix neuf avec un petit forfait premier prix aussi ne coûte plus grand chose ; il est possible d’acheter ça pour l’occasion.

C’est contraignant car ça exclut potentiellement la capacité de communiquer sur le sujet depuis le matériel du domicile conjugal, mais c’est encore ce qui a le meilleur ratio sécurité/emmerdement.

Même chose pour les fichiers ou les documents échangés : Ils restent sur l’appareil du bureau ou de la personne de confiance, en ligne sur un service genre Google Drive ou Dropbox (avec un nouveau compte dédié à cet usage), ou éventuellement sur la tablette qui répond à la description plus haut. La clef USB c’est chercher les ennuis et le stress.

Attention, si vous vous connectez une fois depuis un matériel ou un réseau qui n’est pas de confiance, sauf à changer le mot de passe très rapidement (et depuis un appareil de confiance), vous pouvez tout recommencer à zéro.

Utiliser le matériel de la maison

Globalement est à risque tout ce qui passe par la maison, un appareil ou un réseau commun, ou qui peut être récupéré à partir de là. Je conseille d’éviter mais on peut tenter de limiter la casse :

Tout d’abord vous pouvez abandonner l’idée du simple anti-virus ou de l’outil magique qui enlèvera tous les spywares. Il y a trop de portes possibles : utilisateur administrateur, mauvaises configuration, disque non chiffré, sauvegarde automatique ou synchronisation vers une destination accessible du conjoint… l’anti-spyware ne pourra jamais corriger tout ça. Votre éventuel ami informaticien sera lui même bien à mal de garantir quoi que ce soit même en y passant des heures.

Le PC de la maison est disqualifié dans sa configuration actuelle, sans retour en arrière possible. La seule solution est de le réinstaller complètement de zéro, d’y activer ensuite le chiffrement des disques (indispensable si le conjoint peut avoir un accès physique à l’appareil) et de choisir judicieusement un nouveau mot de passe. Si ce n’est pas votre métier, ça veut dire vous faire aider par une connaissance pour tout ça.

Attention : réinstaller votre ordinateur habituel sera probablement remarqué donc ça ouvrira les hostilités (et le fait de se protéger contre une intrusion peut faire que la personne d’en face se sente elle-même à risque et réalise des intrusions qu’elle n’aurait pas tenté sinon ; vous risquez de déclencher voire créer le problème contre lequel vous voulez vous défendre).

Une solution plus douce, si vous avez un lecteur CD, est d’utiliser un live CD. En gros il s’agit d’amorcer la machine avec un environnement gravé sur CD non réinscriptible (donc non modifiable par le conjoint) plutôt qu’avec le système du disque local (potentiellement contrôlé ou modifié par le conjoint). On peut en faire sous Windows ou sous Linux. Quelqu’un de confiance dans votre entourage pourra probablement vous en faire un. Signez le CD ensuite avec un feutre pour le reconnaitre et vous assurer qu’on ne le changera pas par un autre plus tard à votre insu. À partir de là si vous ne stockez rien sur le disque local et laissez tout en ligne, vous êtes à peu près sûr de ne pas avoir de problème.

Bien entendu, dans les deux cas (réinstallation ou live CD), ça n’a d’intérêt que si vous utilisez des nouveaux comptes de messagerie avec de nouveaux mots de passe, comme décrit plus haut. Malheureusement ça fonctionne avec le live CD mais pas avec une clef USB, qui pourrait être modifiée.

Seule précaution supplémentaire à prendre : Vous connecter directement à la box internet, que ce soit par câble ou par wifi, mais *pas* en passant par un routeur ou un appareil maison. Si le réseau WIFI n’est pas celui de votre opérateur (Freebox, SFR, Orange, LaBox…) ou que d’un coup il vous redemande le mot de passe WIFI, considérez que vous n’êtes plus en zone de confiance et que tout ce qui ne se fait pas dans un navigateur en mode sécurisé (barre d’adresse verte ou avec le cadenas) peut être espionné voire manipulé.

Prendre conseil

Dans tous les cas, si vous en êtes là, je ne saurais trop vous conseiller de commencer par prendre contact avec un avocat spécialisé dans les séparations. Lui pourra certainement vous donner de nombreux conseils car il est habitué à la problématique. Une personne de confiance dans votre entourage vous sera de toutes façons aussi très utile comme relai pour le courrier ou pour vous prêter un accès Internet.

Courage.

Si vous pouvez corriger ou compléter, je suis certain que la personne à qui j’adresse aujourd’hui ce billet vous en sera reconnaissante.

Photo d’entête sous licence CC BY-NC-SA par Fotemas

Publié

18 décembre 2014

dans

Geek, Inclassable

par

Éric

Étiquettes :

Commentaires

4 réponses à “Help, je me sépare de mon informaticien(ne)”

Olivier

19 décembre 2014

Expérience vue :
éviter le « craquage » je vais voir mon -ex- et :
« je peux recharger mon smartphone sur le PC ? ».
=> synchro auto… boum.
L’-ex- n’a pas résisté à la tentation d’aller voir les infos, qui lui ont servi.

Répondre
Éric

19 décembre 2014

On me demande par ailleurs s’il ne faut pas « juste » changer le mot de passe.

Imaginons Gmail :
– Est-ce qu’il connait la réponse aux questions secrètes pour récupérer le mot de passe lui-même ?
– Est-ce qu’il n’a pas accès à un des téléphones mis en backup pour récupérer les mots de passe (perso j’ai le mien, celui de ma moitié en second, celui de ses parents en troisième) ? Possible même que chez quelqu’un ce puisse être le fixe de la maison en principal
– Est-ce qu’on a vérifié les filtres gmail pour qu’il n’y ait pas une copie systématique de certains emails vers sa boite ? (ou une redirection)
– Il y a-t-il une délégation d’accès active ? (on peut désormais donner accès à des comptes tiers à sa boite sans partager le mot de passe)
– Gmail propose des APIs pour accéder aux emails, est-ce qu’un jeton Oauth vers ce compte n’a pas déjà été initialisé ? (il n’y a plus besoin du mot de passe ensuite)
– Est-ce qu’il n’y a pas un ancien appareil commun qui a encore accès au compte gmail ? genre un vieux téléphone ou le pc du conjoint sur lequel on s’est loggué en toute confiance il y a deux semaines
– Est-ce qu’il y a eu des codes à usage unique de générés ? Est-ce qu’ils ont été désactivés dans la configuration ?

Imaginons que c’est bon pour Gmail (j’ai listé beaucoup de choses, auriez-vous pensé à tout ? il est probable que je puisse moi-même en avoir oublié), reste que si on y accède depuis l’ancien poste informatique, c’est foutu, même en changeant le mot de passe :
– il y a-t-il un autre compte administrateur sur la machine ?
– si l’autre n’est pas administrateur, les droits d’accès des répertoires ne sont-ils pas trop ouverts ?
– il y a-t-il un spyware d’installé ? un keylogger ?
– il y a-t-il un serveur ssh, web, ftp ou autre qui a ses propres comptes utilisateurs (et pas ceux systèmes) qui est installé ?
– il y a-t-il un logiciel d’assistance / support à distance d’installé ?
– il y a-t-il une porte dérobée volontaire laissée sur le poste ?
– le poste est-il sous backup distant vers une destination contrôlée par le conjoint ? (dropbox, NAS, etc.)
– Le Firefox et le chrome sont-ils configurés pour synchroniser les mots de passe et l’historique, voire les extensions ? peut être vers un compte que connait le conjoint, ou vers un autre poste (vieux PC, smartphone,…) auquel a accès le conjoint ?
– Les documents que je laisse dans les répertoires par défaut sont-ils synchronisés vers Dropbox, Google Drive ou autre service auquel a accès le conjoint ?
– Le disque dur est-il chiffré ? (sinon autant dire que tout le reste ne sert à rien) et pas par le conjoint sinon il a peut être gardé accès au code de secours qui permet de déverrouiller.
– Il y a-t-il eu ajout d’un faux certificat racine TLS qui permet de casser la sécurité ensuite ? (peut être par exemple parce qu’un jour l’informaticien du couple a voulu faire du debug de https via le poste, donc même sans mauvaises intentions)
– Est-ce qu’il a accès au compte Mac ou MSN pour tenter une récupération du mot de passe système par là ? Est-ce qu’il connait les questions secrètes du compte Mac ou MSN pour d’abord récupérer l’accès au compte Mac ou MSN avant ? Est-ce qu’il a accès au compte email ou à la procédure de récupération du compte email pour ensuite pouvoir faire une récupération sur le compte MSN ou Mac avant ? Sachant que parfois certains services clients de ces services fonctionnent par téléphone avec juste des informations faussement secrètes que le conjoint connait (adresse, date de naissance, numéro de CB, ancien mot de passe, date ou lieu de dernière connexion, etc.)

Franchement, pour la machine non seulement je suis certain d’oublier 150 trucs évidents et qui peuvent souvent être de bonne foi initialement (donc qui n’impliquent pas forcément de préparation préalable du conjoint), mais même moi qui « m’y connais », je me sens totalement incapable d’affirmé « mon poste est sécurisé et je n’ai aucun doute » après avoir laissé un accès complet à un tiers par le passé (et entre conjoints… ça arrive forcément, surtout si c’est l’autre qui a les compétences informatiques pour régler les choses). Pas sans tout vider et tout réinstaller. Imaginez donc quelqu’un qui n’est pas informaticien et dont justement le conjoint l’est…

Mais ce n’est même pas tout : Je me connecte via câble ou via wifi ? Ce câble ou cette borne wifi est-elle contrôlée ou contrôlable par le conjoint ? Si oui il y a encore plein de softs qui n’utilisent pas de connexion sécurisée par défaut, ou qui basculent en mode non sécurisé si le port sécurisé est bloqué (oui oui).

Je ne parle même pas du conjoint qui travaille dans la sécurité informatique et qui se sent d’aller exploiter des failles d’un ordinateur non à jour.

Bref :

* Oui, je confirme quelques réponses eu via twitter : très certainement tout ça est superflu car il ne va rien se passer, que c’est juste du stress du à la séparation ou des menaces en l’air, mais je ne suis pas à leur place et il serait très présomptueux de juger à leur place.

Mettez-vous à la place de quelqu’un qui est en position de faiblesse face à son conjoint sur ses outils, et qui n’a plus confiance en raison du contexte en cours, pour qui ça peut influer sur la capacité d’avoir le droit de rester habiter dans la maison, ou d’avoir la garde des enfants. Je n’aimerais pas être à leur place.

* Non par contre il ne suffit pas de changer le mot de passe. Et dire « il n’aurait pas fallu le partager au départ » est non seulement faux vue la complexité des ouvertures possibles, mais en plus probablement un peu naif sur la relation au sein d’un couple dont l’un des deux seulement est informaticien. Tôt ou tard le mot de passe est connu du conjoint, la machine est partagée pour une raison ou une autre. Toujours est-il que de dire « c’est de ta faute il ne fallait pas partager il y a deux ans » n’aide pas beaucoup quelqu’un déjà en détresse

Répondre
Damien

22 décembre 2014

Moralité:
Quand on est avec un informaticien, c’est pour la vie!

Répondre
Vince

9 mai 2019

Étape à ne pas oublier : faites des sauvegardes de vos données personnelles. Jai pas encore eu à gérer d’espionnage dans mon entourage par contre jai vu plusieurs fois le mode terre brûlée (rien à voir avec le Connemara) ou pire le chantage a la donnée ( tous les fichiers sont volés et leur récupération ne peut se faire que sous conditions).

Dernier point : avant d’en arriver à un pro et aux frais que ça peut engendrer jai vu 2 cas ou le contact d’amis/famille de l’ex pour prévenir du vol de fichiers à permis de le raisonner et de récupérer tout ou partie des données.

Répondre