Un complément à mon livre, L’Affaire
Snowden. Comment les États-Unis espionnent le monde, La Découverte, Paris, février 2014.
Pourquoi vouloir protéger sa vie privée sur Internet ?
La question mérite d’être posée à la lecture des récents sondages. En
septembre 2013, d’après Syntec Numérique, 80 % des Français estimaient
« que la confidentialité de leurs informations personnelles sur le Web
n’est pas correctement assurée » ; pourtant, 72 % d’entre eux
n’entendaient pas modifier pour autant leur façon de communiquer sur les outils
numériques, une attitude plus prononcée parmi les 25-34 ans[1]. La vie
privée est-elle devenue un « problème de vieux cons », comme se le
demandait en 2010 le journaliste d’investigation Jean-Marc Manach, spécialiste
d’Internet[2] ?
Rien à cacher ?
Ce « paradoxe de la vie privée » est un phénomène
de société : les « natifs du numérique », qui savent protéger
leur vie privée, voient Internet comme un « formidable espace de liberté
d’expression », assure Jean-Marc Manach. « Comme les féministes ont
pu le faire en levant les tabous sur la sexualité », ils jettent ainsi les
« bases de profonds bouleversements sociaux, économiques et
politiques ». Et d’ajouter : « Sans vie privée, il n’est point
de libertés », d’autant plus que la société de l’information se transforme
« en société de surveillance ». Même constat pour Jérémie Zimmermann,
porte-parole de la Quadrature du Net,
une association de défense des droits et libertés des citoyens sur
Internet : « La surveillance généralisée est une des composantes des
régimes autoritaires, et on a vu dans l’histoire des régimes basculer très
rapidement », explique-t-il, avant de demander : « Si vous
n’avez véritablement “rien à cacher”, vous opposeriez-vous à ce que l’on mette
une caméra dans votre salle de bain[3] ? »
Jean-Marc Manach note d’ailleurs que, « la
majeure partie du temps, les “espions” viennent de l’intérieur et
connaissent leurs victimes : des parents qui veulent surveiller leurs
enfants, des maris jaloux pour s’assurer de la fidélité de leurs femmes, des
employeurs espionnant leurs salariés… ou vice versa[4] ».
Dès lors, la prudence est de
rigueur pour les internautes, puisque l’État n’offre pas de garantie et que
nous ne savons pas quel usage pourrait être fait de nos données. « Les
données personnelles vont devenir le pétrole du xxie siècle »,
prédit même Thierry Happe, président de Netexplo[5]. Malheureusement, « seul un ordinateur éteint,
enfermé dans un coffre-fort et enterré six pieds sous terre dans un endroit
tenu secret peut être considéré comme sécurisé, et encore », écrit Bruce
Schneier, l’un des experts les plus réputés sur les questions de sécurité
informatique[6]. »
La question, aujourd’hui, est donc
« de se donner la possibilité d’avoir son quart d’heure d’anonymat »,
estime Jean-Marc Manach, « ce qui est, non seulement possible, mais
également vital », notamment dans le métier de journaliste, grâce à quelques
précautions élémentaires et des outils simples à utiliser. Pour mieux
comprendre le fonctionnement et l’intérêt de ces outils, voici un guide abrégé,
réalisé d’après les recommandations de Reporters sans frontières (RSF) et de
Jean-Marc Manach.
Déterminer son identité numérique
« La sécurité informatique est un métier, écrit
Jean-Marc Manach[7].
Si ce n’est pas le vôtre, partez du principe que vous êtes, non seulement
surveillables – voire surveillés (les FAI gardent la trace de toutes les fois
où vous vous connectez, voire de ce que vous faites sur Internet, les opérateurs
téléphoniques stockant de leur côté, dans leurs fadettes, tous les numéros de
ceux que vous appelez, ou qui vous appellent) –, mais également que vous pouvez
plus ou moins facilement être espionnés. Dit autrement : privilégiez les
rendez-vous “IRL” (In Real Life, “dans la vraie vie”) et donc physiques, dans
des lieux publics ou des arrière-salles de café, à la manière des espions du xxe siècle)… »
Pour savoir à quel point vous êtes
exposé sur Internet, tapez régulièrement votre nom sur Google ou sur un
site spécialisé tel 123people. Il existe ensuite de nombreux
logiciels pour vous aider à protéger vos données, « mais ça ne sert à rien
si on ne comprend pas le B.A.-BA de la sécurité informatique ; comme le
dit si bien Bruce Schneier, la sécurité est un process, pas un produit que l’on
peut acheter[8] »,
rappelle Jean-Marc Manach.
Les programmes pour anonymiser son adresse
Sur Internet, chacun a un identifiant unique et personnel,
l’adresse IP, prise en compte par la plupart des services. Chaque internaute
est ainsi tracé, notamment à des fins commerciales, ce que permet de constater
le module Collusion (pour Chrome
ou Firefox). Tor, un réseau mondial décentralisé
de routeurs, permet d’échapper à ce traçage et de surfer anonymement en
utilisant une adresse alternative.
Les programmes pour chiffrer sa connexion
Plusieurs outils, comme HotSpot Shield, chiffrent la
connexion de l’internaute en la faisant passer par une liaison dite VPN (réseau
privé virtuel). L’objectif : empêcher vos données personnelles d’être
interceptées, et ce même depuis un accès WiFi public. Accolé au code
« http » sur la barre d’adresse, un « s » apparaît,
indiquant que la navigation est bien cryptée. Il s’agit d’un chiffrement
solide.
Les navigateurs les plus sûrs
Firefox et Opera, qui ne dépendent d’aucun géant du Web,
sont à préférer à Chrome (Google), Internet Explorer (Microsoft) ou Safari
(Apple). À utiliser aussi : SRWare Iron,
une version plus sûre de Chrome qui n’envoie aucune donnée à Google, IceCat ou, mieux, Tor Browser Bundle, qui
permet d’accéder aux sites sécurisés.
Les modules anti-mouchards
Agissant en complément de ces navigateurs, ils bloquent les
domaines malveillants et les publicités intempestives : AdBlock, Adblock Plus, FlashBlock
Plus, Disconnect, Ghostery, DoNotTrack ou encore HTTPS Everywhere.
Les moteurs de recherche les plus discrets
Contrairement à Google ou encore Bing, DuckDuckGo, Seeks,
Startpage, Ya Cy, Ixquick et Yippy ne collectent pas les informations et les
recherches des utilisateurs. Pour ceux qui veulent continuer à utiliser Google,
l’extension Googlesharing fera passer vos requêtes de recherche par un serveur
anonyme, empêchant le géant américain de vous associer aux résultats de recherche.
Enfin, pour surfer sur les services de cartes et de géolocalisation en tout
anonymat, consulter Openstreetmap.
Comment chiffrer ses e-mails
NoPlainText et
PrivNote proposent, explique Manach, de « créer de petits mémos qui
s’autodétruiront dès qu’ils ont été lus. Pratique pour envoyer un mot de passe
ou n’importe quel petit message à caractère confidentiel sans pour autant avoir
besoin d’utiliser GnuPG » des programmes de e-mails chiffrés. Ces derniers
cryptent vos courriels
pour empêcher qu’ils ne soient lus par une entité capable d’intercepter les
communications : SecureGmail (une extension qui chiffre les courriels gérés par le service de Google), Mailvelope, SafeGmail,
le module Enigmail (Mozilla
Thunderbird), Encrypted Communication (Firefox) ou encore WebPG.
Des services de gestion de courriels intègrent même des chiffrements intégrés : Bitmessage, Riseup, Neomailbox,
Countermail, HushMail, CounterMail et Silent Circle.
D’autres proposent des comptes temporaires : Mailinator et Guerrilla
Mail.
Ces outils ne garantissent pas un
échange totalement sécurisé ; les métadonnées peuvent toujours être
facilement interceptées. Pour ne pas laisser de trace, il n’existe qu’une
option : ne pas envoyer de courriels.
Pour communiquer avec un interlocuteur, des journalistes ont ainsi recours à
des « boîtes aux lettre mortes », échangeant via des messages enregistrés dans les « brouillons[9] ». Il est aussi fortement recommandé de ne jamais
ouvrir de courriel envoyé par un interlocuteur inconnu et de ne jamais communiquer son
pseudo et son mot de passe par courriel.
Bien choisir ses mots de passe
Choisissez des mots de passe en forme de phrase (plus
difficiles à casser), différents pour chaque service, alignant quelques mots
(quatre au moins) composés de lettres (et de chiffres) séparés par un ou deux
espaces. Jean-Marc Manach insiste, à juste titre, sur l’importance d’une bonne
« hygiène du mot de passe ».
Les services de messageries plus libres
Cryptocat,
OTR, Pidgin, RetroShare sont des logiciels de
discussion instantanée vous assurant l’anonymat. Jitsi
et Silent Circle vous assurent des
visioconférences plus sécurisées que Skype.
Une utilisation plus responsable des réseaux sociaux
De plus en plus d’internautes, qui
reprochent à Facebook ses manquements en matière de transparence, se tournent
vers des réseaux sécurisés, tels Diaspora,
Friendica, GNU Social ou Pump.io. Les associations de
défense des droits des internautes recommandent de faire attention au contenu
de leur message, aux applications téléchargées (les jeux Farmville et Texas
Hold’em enverraient les identifiants des utilisateurs à une vingtaine
d’entreprises[10]) et aux réglages des paramètres de confidentialité. Ces
derniers peuvent par exemple limiter l’accès de vos collègues ou de certains
« amis » à vos informations
Assurer la protection de ses dossiers
Les logiciels de chiffrement
comme Truecrypt,
GnuPG ou Bitcasa cryptent vos fichiers,
disques durs et même des clés USB. De bons programmes vont aussi assurer une
meilleure sécurité dans le partage de vos dossiers, en
« cloud » : PasteBin
(seulement pour les textes), Boxcryptor,
CryptoBin, PostImage,
Imgur ou BitTorrent Sync. Ethercalc (tableur) et Etherpad
(éditeur de texte en mode collaboratif) sont parmi les outils bureautiques en
ligne les plus sûrs. Il est par ailleurs recommandé d’utiliser des logiciels
libres, dont le site Framasoft propose
une liste non exhaustive, afin de limiter les traçages et intrusions
malveillantes.
Conseils aux voyageurs
Cosigné Patrick Pailloux, directeur général de l’Agence
nationale de la sécurité des systèmes d’information (ANSSI), et Régis
Poincelet, vice-président du Club des directeurs de sécurité des entreprises
(CDSE), le « Passeport de conseils aux voyageurs » faisait
en 2010 les recommandations suivantes[11],
d’abord destinées aux cadres d’entreprises et aux fonctionnaires, mais éventuellement
utiles à tout un chacun : « Règle n° 1 : ne jamais partir en voyage avec son ordinateur
personnel, ni de travail, mais ne voyager qu’avec un disque dur vierge de toute
donnée ; règle n° 2 :
prenez connaissance de la législation locale ; règle n° 3 : sauvegardez les données que vous emportez,
vous récupérerez ainsi vos informations à votre retour en cas de perte, de vol
ou de saisie de vos équipements ; règle
n° 4 : évitez de partir avec vos données sensibles.
Privilégiez, si possible, la récupération de fichiers chiffrés sur votre lieu
de mission en accédant au réseau de votre organisme avec une liaison sécurisée,
par exemple avec un client VPN [réseau privé virtuel, ou tunnel sécurisé] mis en place par votre service
informatique ; sinon à une boîte de messagerie en ligne spécialement créée
et dédiée au transfert de données chiffrées (via https) et en supprimant les informations de cette boite
après lecture ; règle n° 5 :
emportez un filtre de protection écran pour votre ordinateur si vous comptez
profiter des trajets pour travailler vos dossiers, afin d’éviter que des
curieux lisent vos documents par-dessus votre épaule ; règle n° 6 : mettez un signe
distinctif sur vos appareils (comme une pastille de couleur), cela vous permet
de pouvoir surveiller votre matériel et de vous assurer qu’il n’y a pas eu
d’échange, notamment pendant le transport. Pensez à mettre un signe également
sur la housse. »
Des mobiles plus sécurisés
Les communications téléphoniques comme les SMS
peuvent être interceptées. Lookout (Android) permet ainsi de visionner le
détail des applications qui accèdent aux données personnelles et protège les
utilisateurs des tentatives de hameçonnage. Clueful alerte le client sur les
applications à risques. Redphone chiffre les appels, et Hemlis (iOS et
Android), Wickr (iOS), Gryphnn (Android), Gibberbot (Android) et TextSecure
(Android) les messages et dossiers envoyés.
Les recours
En France, si vous découvrez que des informations
personnelles vous concernant sont publiées sur un site Web, vous pouvez en
principe demander leur retrait. En vertu de la loi « Informatique et
libertés » du 6 janvier 1978, l’internaute dispose en effet d’un
droit d’accès et de rectification aux informations le concernant : il peut
donc légalement demander la modification ou la suppression d’informations
personnelles sur un site. Néanmoins, il est souvent difficile de faire appliquer
ce droit, notamment quand il s’agit de sites gérés en dehors de France. Pour
vous aider, le site ministériel NetPublic.fr (créé en 2003 par
la « Délégation aux usages de l’Internet », rattachée au
ministre de l’Enseignement supérieur et de la Recherche et au ministère chargé
des PME, de l’innovation et de l’Économie numérique) indique régulièrement des
ressources sur le droit de l’Internet, les données personnelles, la vie privée et l’éducation au multimédia[12].
Quelques ressources pour aller plus loin (recommandées
par Jean-Marc Manach[13])
« Comment crypter vos
mails ? : le B.A.-BA de la
protection de la vie privée.
Free.korben.info :
le wiki de l’Internet libre.
Guide d’autodéfense numérique :
un guide à lire, relire, pratiquer, en solitaire ou à
plusieurs, à faire découvrir et à partager… ou comment affiner l’art de la
navigation dans les eaux troubles du monde numérique.
Ordinateur et
Sécurité Internet : vie privée, anonymat
et cætera.
Protection
élémentaire des sources : #JHack,
des ateliers, des conférences et des rencontres entre journalistes, activistes
et hackers.
Protéger
sa vie privée : les douze
conseils de l’EFF pour protéger votre vie privée en ligne
Security in-a-box : outils et tactiques de sécurité numérique.
L’indispensable :
pour tout utilisateur de Windows connecté à Internet. »
Quelques sites et organisations français et étrangers
s’intéressant à la vie privée sur Internet
Agence nationale de la sécurité des systèmes
d'information (ANSSI) : créé
par décret le 7 juillet 2009, ce service français, rattaché au secrétaire
général de la défense et de la sécurité nationale (SGDSN), a pour principales
missions « d’assurer la sécurité des systèmes d’information de l’État et
de veiller à celle des opérateurs nationaux d’importance vitale, de coordonner
les actions de défense des systèmes d’information, de concevoir et déployer les
réseaux sécurisés répondant aux besoins des plus hautes autorités de l’État et
aux besoins interministériels, et de créer les conditions d’un environnement de
confiance et de sécurité propice au développement de la société de
l’information en France et en Europe ». L’ANSSI a également la responsabilité
de la défense contre les attaques de cyberguerre.
Big
Brother Awards : organisés depuis 1998 par l’association
Privacy France et parrainés par l’ONG Privacy International, ces
prix parodiques se donnent pour mission de « surveiller les
surveillants ». Chaque année, ils stigmatisent dans une dizaine de pays les
entreprises, organismes et personnes qui s’illustrent en matière d’atteintes à
la vie privée et distinguent ceux qui osent s’y opposer.
Bug Brother :
ce blog de Jean-Marc Manach couvre l’actualité liée à l’espionnage des
citoyens, des institutions et des entreprises. « LeMonde.fr m’a proposé de
le créer suite à la polémique suscitée par le fichier Edwige [en
septembre 2008], au motif que les questions de surveillance, de vie privée
et de libertés sont aujourd’hui – sur le Net, mais pas seulement – un véritable
enjeu de société, et font partie du débat politique », explique le journaliste.
Commission nationale de l’informatique et des
libertés (CNIL) : cette autorité administrative indépendante française est chargée
de veiller à ce que « l’informatique soit au service du citoyen et qu’elle
ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux
libertés individuelles ou publiques ». Obligatoirement consultée pour tous
les projets de loi créant un traitement automatisé de données nominatives, elle
propose au gouvernement des
mesures législatives ou réglementaires pour adapter la protection des personnes
à l’évolution des techniques et peut prononcer diverses sanctions. La CNIL est
accusée par beaucoup d’internautes d’être un organisme public ambigu.
Electronic Frontier
Foundation (EFF) : cette organisation
non gouvernementale internationale à but non
lucratif, fondée en 1990 aux États-Unis, défend la liberté d’expression sur Internet. Elle a été
cofondée par John
Perry Barlow, auteur en 1996 de la « Déclaration d’indépendance du cyberespace ».
Electronic Privacy
Information Center (EPIC) : créé en 1994, ce
groupe public américain de recherche sensibilise le public aux questions des
libertés et de la protection de la vie privée, notamment sur Internet. Il
publie des articles dans les médias, alimente le site Privacy.org ainsi que plusieurs revues, dont Privacy
and Human Rights, Litigation Under the Federal Open Government Laws et
The Public Voice WSIS Sourcebook ; et il s’attaque régulièrement aux abus de la surveillance
devant la justice.
Owni : lancé en
2009, cet « objet Web non identifié »
se présentant comme un digital think tank a notamment aidé WikiLeaks en octobre 2010. Lauréat de deux prix consécutifs aux
Online Journalism Awards en octobre 2010 et en septembre 2011 dans la
catégorie « meilleur site en langue non anglaise », seul finaliste
non américain de South by Southwest 2011, le
site d’information a fait faillite en décembre 2012, mais ses
archives restent toujours consultables.
Reflets.info : ce site d’investigation
sur les technologies et ses usages a pour ambition de « rendre sa valeur à
l’information » : « Dans une course effrénée à
l’immédiateté, déclare le média, les journaux négligent la réflexion, ne
prennent plus le temps d’analyser les faits, d’en tirer des enseignements,
encore moins de faire de la prospective. [...] Nous voulons analyser
l’information, la mettre en perspective, la remettre dans un contexte et
pouvoir faire de la prospective. »
[1] Baromètre
de l’innovation Syntec Numérique/BVA, 3e trimestre 2013,
19 septembre 2013.
[2]
Jean-Marc Manach, La Vie privée, un problème de vieux
cons ?, FYP Éditions, Limoges, 2010. Voir aussi
son site et son blog, Bug Brother, o j’ai largement
puisé pour établir ce petit texte de synthèse.
[3]
« Pourquoi stocker toutes nos vies sur des serveurs aux
États-Unis ? », Le Monde, 12 juin 2013.
[5]
Manon Quinti, « Vouloir
protéger sa vie privée sur Internet, c’est ringard », L’Express,
26 mars 2013.
[8] Bruce Schneier, « Computer
security : will we ever learn ? », ,
15 mai 2000.
[9]
Jean-Marc Manach, « Comment
protéger ses sources ? », loc. cit.
[10] Robert Vamosi, « Protect
your online privacy (without reading all the fine print) », PCWord, 30 mars 2011.
[11] Cité par Jean-Marc Manach,
« Comment protéger ses sources ? », loc. cit.
[12]
« Comment protéger sa vie privée sur Internet ? », Le Monde,
12 novembre 2009.
[13]
Jean-Marc Manach, « Comment protéger
ses sources ? », loc. cit.