dimanche 23 février 2014

Comment protéger sa vie privée sur Internet

Un complément à mon livre, L’Affaire Snowden. Comment les États-Unis espionnent le mondeLa Découverte, Paris, février 2014.

Pourquoi vouloir protéger sa vie privée sur Internet ? La question mérite d’être posée à la lecture des récents sondages. En septembre 2013, d’après Syntec Numérique, 80 % des Français estimaient « que la confidentialité de leurs informations personnelles sur le Web n’est pas correctement assurée » ; pourtant, 72 % d’entre eux n’entendaient pas modifier pour autant leur façon de communiquer sur les outils numériques, une attitude plus prononcée parmi les 25-34 ans[1]. La vie privée est-elle devenue un « problème de vieux cons », comme se le demandait en 2010 le journaliste d’investigation Jean-Marc Manach, spécialiste d’Internet[2] ?

Rien à cacher ?

Ce « paradoxe de la vie privée » est un phénomène de société : les « natifs du numérique », qui savent protéger leur vie privée, voient Internet comme un « formidable espace de liberté d’expression », assure Jean-Marc Manach. « Comme les féministes ont pu le faire en levant les tabous sur la sexualité », ils jettent ainsi les « bases de profonds bouleversements sociaux, économiques et politiques ». Et d’ajouter : « Sans vie privée, il n’est point de libertés », d’autant plus que la société de l’information se transforme « en société de surveillance ». Même constat pour Jérémie Zimmermann, porte-parole de la Quadrature du Net, une association de défense des droits et libertés des citoyens sur Internet : « La surveillance généralisée est une des composantes des régimes autoritaires, et on a vu dans l’histoire des régimes basculer très rapidement », explique-t-il, avant de demander : « Si vous n’avez véritablement “rien à cacher”, vous opposeriez-vous à ce que l’on mette une caméra dans votre salle de bain[3] ? » Jean-Marc Manach note d’ailleurs que, « la majeure partie du temps, les “espions” viennent de l’intérieur et connaissent leurs victimes : des parents qui veulent surveiller leurs enfants, des maris jaloux pour s’assurer de la fidélité de leurs femmes, des employeurs espionnant leurs salariés… ou vice versa[4] ».
Dès lors, la prudence est de rigueur pour les internautes, puisque l’État n’offre pas de garantie et que nous ne savons pas quel usage pourrait être fait de nos données. « Les données personnelles vont devenir le pétrole du xxie siècle », prédit même Thierry Happe, président de Netexplo[5]. Malheureusement, « seul un ordinateur éteint, enfermé dans un coffre-fort et enterré six pieds sous terre dans un endroit tenu secret peut être considéré comme sécurisé, et encore », écrit Bruce Schneier, l’un des experts les plus réputés sur les questions de sécurité informatique[6]. »
La question, aujourd’hui, est donc « de se donner la possibilité d’avoir son quart d’heure d’anonymat », estime Jean-Marc Manach, « ce qui est, non seulement possible, mais également vital », notamment dans le métier de journaliste, grâce à quelques précautions élémentaires et des outils simples à utiliser. Pour mieux comprendre le fonctionnement et l’intérêt de ces outils, voici un guide abrégé, réalisé d’après les recommandations de Reporters sans frontières (RSF) et de Jean-Marc Manach.

Déterminer son identité numérique

« La sécurité informatique est un métier, écrit Jean-Marc Manach[7]. Si ce n’est pas le vôtre, partez du principe que vous êtes, non seulement surveillables – voire surveillés (les FAI gardent la trace de toutes les fois où vous vous connectez, voire de ce que vous faites sur Internet, les opérateurs téléphoniques stockant de leur côté, dans leurs fadettes, tous les numéros de ceux que vous appelez, ou qui vous appellent) –, mais également que vous pouvez plus ou moins facilement être espionnés. Dit autrement : privilégiez les rendez-vous “IRL” (In Real Life, “dans la vraie vie”) et donc physiques, dans des lieux publics ou des arrière-salles de café, à la manière des espions du xxe siècle)… »
Pour savoir à quel point vous êtes exposé sur Internet, tapez régulièrement votre nom sur Google ou sur un site spécialisé tel 123people. Il existe ensuite de nombreux logiciels pour vous aider à protéger vos données, « mais ça ne sert à rien si on ne comprend pas le B.A.-BA de la sécurité informatique ; comme le dit si bien Bruce Schneier, la sécurité est un process, pas un produit que l’on peut acheter[8] », rappelle Jean-Marc Manach.

Les programmes pour anonymiser son adresse

Sur Internet, chacun a un identifiant unique et personnel, l’adresse IP, prise en compte par la plupart des services. Chaque internaute est ainsi tracé, notamment à des fins commerciales, ce que permet de constater le module Collusion (pour Chrome ou Firefox). Tor, un réseau mondial décentralisé de routeurs, permet d’échapper à ce traçage et de surfer anonymement en utilisant une adresse alternative.

Les programmes pour chiffrer sa connexion

Plusieurs outils, comme HotSpot Shield, chiffrent la connexion de l’internaute en la faisant passer par une liaison dite VPN (réseau privé virtuel). L’objectif : empêcher vos données personnelles d’être interceptées, et ce même depuis un accès WiFi public. Accolé au code « http » sur la barre d’adresse, un « s » apparaît, indiquant que la navigation est bien cryptée. Il s’agit d’un chiffrement solide.

Les navigateurs les plus sûrs

Firefox et Opera, qui ne dépendent d’aucun géant du Web, sont à préférer à Chrome (Google), Internet Explorer (Microsoft) ou Safari (Apple). À utiliser aussi : SRWare Iron, une version plus sûre de Chrome qui n’envoie aucune donnée à Google, IceCat ou, mieux, Tor Browser Bundle, qui permet d’accéder aux sites sécurisés.

Les modules anti-mouchards

Agissant en complément de ces navigateurs, ils bloquent les domaines malveillants et les publicités intempestives : AdBlock, Adblock Plus, FlashBlock Plus, Disconnect, Ghostery, DoNotTrack ou encore HTTPS Everywhere.

Les moteurs de recherche les plus discrets

Contrairement à Google ou encore Bing, DuckDuckGo, Seeks, Startpage, Ya Cy, Ixquick et Yippy ne collectent pas les informations et les recherches des utilisateurs. Pour ceux qui veulent continuer à utiliser Google, l’extension Googlesharing fera passer vos requêtes de recherche par un serveur anonyme, empêchant le géant américain de vous associer aux résultats de recherche. Enfin, pour surfer sur les services de cartes et de géolocalisation en tout anonymat, consulter Openstreetmap.

Comment chiffrer ses e-mails

NoPlainText et PrivNote proposent, explique Manach, de « créer de petits mémos qui s’autodétruiront dès qu’ils ont été lus. Pratique pour envoyer un mot de passe ou n’importe quel petit message à caractère confidentiel sans pour autant avoir besoin d’utiliser GnuPG » des programmes de e-mails chiffrés. Ces derniers cryptent vos courriels pour empêcher qu’ils ne soient lus par une entité capable d’intercepter les communications : SecureGmail (une extension qui chiffre les courriels gérés par le service de Google), Mailvelope, SafeGmail, le module Enigmail (Mozilla Thunderbird), Encrypted Communication (Firefox) ou encore WebPG. Des services de gestion de courriels intègrent même des chiffrements intégrés : Bitmessage, Riseup, Neomailbox, Countermail, HushMail, CounterMail et Silent Circle. D’autres proposent des comptes temporaires : Mailinator et Guerrilla Mail.
Ces outils ne garantissent pas un échange totalement sécurisé ; les métadonnées peuvent toujours être facilement interceptées. Pour ne pas laisser de trace, il n’existe qu’une option : ne pas envoyer de courriels. Pour communiquer avec un interlocuteur, des journalistes ont ainsi recours à des « boîtes aux lettre mortes », échangeant via des messages enregistrés dans les « brouillons[9] ». Il est aussi fortement recommandé de ne jamais ouvrir de courriel envoyé par un interlocuteur inconnu et de ne jamais communiquer son pseudo et son mot de passe par courriel.

Bien choisir ses mots de passe

Choisissez des mots de passe en forme de phrase (plus difficiles à casser), différents pour chaque service, alignant quelques mots (quatre au moins) composés de lettres (et de chiffres) séparés par un ou deux espaces. Jean-Marc Manach insiste, à juste titre, sur l’importance d’une bonne « hygiène du mot de passe ».

Les services de messageries plus libres

Cryptocat, OTR, Pidgin, RetroShare sont des logiciels de discussion instantanée vous assurant l’anonymat. Jitsi et Silent Circle vous assurent des visioconférences plus sécurisées que Skype.

Une utilisation plus responsable des réseaux sociaux

De plus en plus d’internautes, qui reprochent à Facebook ses manquements en matière de transparence, se tournent vers des réseaux sécurisés, tels Diaspora, Friendica, GNU Social ou Pump.io. Les associations de défense des droits des internautes recommandent de faire attention au contenu de leur message, aux applications téléchargées (les jeux Farmville et Texas Hold’em enverraient les identifiants des utilisateurs à une vingtaine d’entreprises[10]) et aux réglages des paramètres de confidentialité. Ces derniers peuvent par exemple limiter l’accès de vos collègues ou de certains « amis » à vos informations

Assurer la protection de ses dossiers

Les logiciels de chiffrement comme Truecrypt, GnuPG ou Bitcasa cryptent vos fichiers, disques durs et même des clés USB. De bons programmes vont aussi assurer une meilleure sécurité dans le partage de vos dossiers, en « cloud » : PasteBin (seulement pour les textes), Boxcryptor, CryptoBin, PostImage, Imgur ou BitTorrent Sync. Ethercalc (tableur) et Etherpad (éditeur de texte en mode collaboratif) sont parmi les outils bureautiques en ligne les plus sûrs. Il est par ailleurs recommandé d’utiliser des logiciels libres, dont le site Framasoft propose une liste non exhaustive, afin de limiter les traçages et intrusions malveillantes.

Conseils aux voyageurs

Cosigné Patrick Pailloux, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), et Régis Poincelet, vice-président du Club des directeurs de sécurité des entreprises (CDSE), le « Passeport de conseils aux voyageurs » faisait en 2010 les recommandations suivantes[11], d’abord destinées aux cadres d’entreprises et aux fonctionnaires, mais éventuellement utiles à tout un chacun : « Règle n° 1 : ne jamais partir en voyage avec son ordinateur personnel, ni de travail, mais ne voyager qu’avec un disque dur vierge de toute donnée ; règle n° 2 : prenez connaissance de la législation locale ; règle n° 3 : sauvegardez les données que vous emportez, vous récupérerez ainsi vos informations à votre retour en cas de perte, de vol ou de saisie de vos équipements ; règle n° 4 : évitez de partir avec vos données sensibles. Privilégiez, si possible, la récupération de fichiers chiffrés sur votre lieu de mission en accédant au réseau de votre organisme avec une liaison sécurisée, par exemple avec un client VPN [réseau privé virtuel, ou tunnel sécurisé] mis en place par votre service informatique ; sinon à une boîte de messagerie en ligne spécialement créée et dédiée au transfert de données chiffrées (via https) et en supprimant les informations de cette boite après lecture ; règle n° 5 : emportez un filtre de protection écran pour votre ordinateur si vous comptez profiter des trajets pour travailler vos dossiers, afin d’éviter que des curieux lisent vos documents par-dessus votre épaule ; règle n° 6 : mettez un signe distinctif sur vos appareils (comme une pastille de couleur), cela vous permet de pouvoir surveiller votre matériel et de vous assurer qu’il n’y a pas eu d’échange, notamment pendant le transport. Pensez à mettre un signe également sur la housse. »

Des mobiles plus sécurisés

Les communications téléphoniques comme les SMS peuvent être interceptées. Lookout (Android) permet ainsi de visionner le détail des applications qui accèdent aux données personnelles et protège les utilisateurs des tentatives de hameçonnage. Clueful alerte le client sur les applications à risques. Redphone chiffre les appels, et Hemlis (iOS et Android), Wickr (iOS), Gryphnn (Android), Gibberbot (Android) et TextSecure (Android) les messages et dossiers envoyés.

Les recours

En France, si vous découvrez que des informations personnelles vous concernant sont publiées sur un site Web, vous pouvez en principe demander leur retrait. En vertu de la loi « Informatique et libertés » du 6 janvier 1978, l’internaute dispose en effet d’un droit d’accès et de rectification aux informations le concernant : il peut donc légalement demander la modification ou la suppression d’informations personnelles sur un site. Néanmoins, il est souvent difficile de faire appliquer ce droit, notamment quand il s’agit de sites gérés en dehors de France. Pour vous aider, le site ministériel NetPublic.fr (créé en 2003 par la « Délégation aux usages de l’Internet », rattachée au ministre de l’Enseignement supérieur et de la Recherche et au ministère chargé des PME, de l’innovation et de l’Économie numérique) indique régulièrement des ressources sur le droit de l’Internet, les données personnelles, la vie privée et l’éducation au multimédia[12].

Quelques ressources pour aller plus loin (recommandées par Jean-Marc Manach[13])

« Comment crypter vos mails ? : le B.A.-BA de la protection de la vie privée.
Free.korben.info : le wiki de l’Internet libre.
Guide d’autodéfense numérique : un guide à lire, relire, pratiquer, en solitaire ou à plusieurs, à faire découvrir et à partager… ou comment affiner l’art de la navigation dans les eaux troubles du monde numérique.
Ordinateur et Sécurité Internet : vie privée, anonymat et cætera.
Protection élémentaire des sources : #JHack, des ateliers, des conférences et des rencontres entre journalistes, activistes et hackers.
Protéger sa vie privée : les douze conseils de l’EFF pour protéger votre vie privée en ligne
Security in-a-box : outils et tactiques de sécurité numérique.
L’indispensable :  pour tout utilisateur de Windows connecté à Internet. »

Quelques sites et organisations français et étrangers s’intéressant à la vie privée sur Internet
Agence nationale de la sécurité des systèmes d'information (ANSSI) : créé par décret le 7 juillet 2009, ce service français, rattaché au secrétaire général de la défense et de la sécurité nationale (SGDSN), a pour principales missions « d’assurer la sécurité des systèmes d’information de l’État et de veiller à celle des opérateurs nationaux d’importance vitale, de coordonner les actions de défense des systèmes d’information, de concevoir et déployer les réseaux sécurisés répondant aux besoins des plus hautes autorités de l’État et aux besoins interministériels, et de créer les conditions d’un environnement de confiance et de sécurité propice au développement de la société de l’information en France et en Europe ». L’ANSSI a également la responsabilité de la défense contre les attaques de cyberguerre.
Big Brother Awards : organisés depuis 1998 par l’association Privacy France et parrainés par l’ONG Privacy International, ces prix parodiques se donnent pour mission de « surveiller les surveillants ». Chaque année, ils stigmatisent dans une dizaine de pays les entreprises, organismes et personnes qui s’illustrent en matière d’atteintes à la vie privée et distinguent ceux qui osent s’y opposer.
Bug Brother : ce blog de Jean-Marc Manach couvre l’actualité liée à l’espionnage des citoyens, des institutions et des entreprises. « LeMonde.fr m’a proposé de le créer suite à la polémique suscitée par le fichier Edwige [en septembre 2008], au motif que les questions de surveillance, de vie privée et de libertés sont aujourd’hui – sur le Net, mais pas seulement – un véritable enjeu de société, et font partie du débat politique », explique le journaliste.
Commission nationale de l’informatique et des libertés (CNIL) : cette autorité administrative indépendante française est chargée de veiller à ce que « l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Obligatoirement consultée pour tous les projets de loi créant un traitement automatisé de données nominatives, elle propose au gouvernement des mesures législatives ou réglementaires pour adapter la protection des personnes à l’évolution des techniques et peut prononcer diverses sanctions. La CNIL est accusée par beaucoup d’internautes d’être un organisme public ambigu.
Electronic Frontier Foundation (EFF) : cette organisation non gouvernementale internationale à but non lucratif, fondée en 1990 aux États-Unis, défend la liberté d’expression sur Internet. Elle a été cofondée par John Perry Barlow, auteur en 1996 de la « Déclaration d’indépendance du cyberespace ».
Electronic Privacy Information Center (EPIC) : créé en 1994, ce groupe public américain de recherche sensibilise le public aux questions des libertés et de la protection de la vie privée, notamment sur Internet. Il publie des articles dans les médias, alimente le site Privacy.org ainsi que plusieurs revues, dont Privacy and Human Rights, Litigation Under the Federal Open Government Laws et The Public Voice WSIS Sourcebook ; et il s’attaque régulièrement aux abus de la surveillance devant la justice.
Owni : lancé en 2009, cet « objet Web non identifié » se présentant comme un digital think tank a notamment aidé WikiLeaks en octobre 2010. Lauréat de deux prix consécutifs aux Online Journalism Awards en octobre 2010 et en septembre 2011 dans la catégorie « meilleur site en langue non anglaise », seul finaliste non américain de South by Southwest 2011, le site d’information a fait faillite en décembre 2012, mais ses archives restent toujours consultables.
Reflets.info : ce site d’investigation sur les technologies et ses usages a pour ambition de « rendre sa valeur à l’information » : « Dans une course effrénée à l’immédiateté, déclare le média, les journaux négligent la réflexion, ne prennent plus le temps d’analyser les faits, d’en tirer des enseignements, encore moins de faire de la prospective. [...] Nous voulons analyser l’information, la mettre en perspective, la remettre dans un contexte et pouvoir faire de la prospective. »




[1] Baromètre de l’innovation Syntec Numérique/BVA, 3e trimestre 2013, 19 septembre 2013.
[2] Jean-Marc Manach, La Vie privée, un problème de vieux cons ?, FYP Éditions, Limoges, 2010. Voir aussi son site et son blog, Bug Brother, o j’ai largement puisé pour établir ce petit texte de synthèse.
[3] « Pourquoi stocker toutes nos vies sur des serveurs aux États-Unis ? », Le Monde, 12 juin 2013.
[4] Jean-Marc Manach, « Comment protéger ses sources ? », INA Expert, octobre 2012.
[5] Manon Quinti, « Vouloir protéger sa vie privée sur Internet, c’est ringard », L’Express, 26 mars 2013.
[6] Cité par Jean-Marc Manach, « Comment protéger ses sources ? », loc. cit.
[7] Jean-Marc Manach, « Comment (ne pas) être (cyber)espionné ? », , 31 janvier 2013.
[8] Bruce Schneier, « Computer security : will we ever learn ? », , 15 mai 2000.
[9] Jean-Marc Manach, « Comment protéger ses sources ? », loc. cit.
[10] Robert Vamosi, « Protect your online privacy (without reading all the fine print) », PCWord, 30 mars 2011.
[11] Cité par Jean-Marc Manach, « Comment protéger ses sources ? », loc. cit.
[12] « Comment protéger sa vie privée sur Internet ? », Le Monde, 12 novembre 2009.
[13] Jean-Marc Manach, « Comment protéger ses sources ? », loc. cit.

3 commentaires:

Damien a dit…
Ce commentaire a été supprimé par un administrateur du blog.
Anonyme a dit…
Ce commentaire a été supprimé par un administrateur du blog.
Ju Piter a dit…

Découvrez Les Nouveaux Loups du Web, le film sur l'utilisation de nos données privées sur Internet.

Que se passe-t-il lorsque nous ne lisons pas les conditions générales d'utilisation sur internet avant de cliquer sur "j'accepte"?
Comment sont utilisées nos données ?

Un film indispensable pour que le public prenne conscience de ce qui est réellement fait de nos données personnelles !

La face cachée d'Internet sur Jupiter-Films.com