Les Chroniques de Mother Brain #6 - Protéger ses données personnelles

Par Djianne / 5 juin 2017

Puisque ce n’est pas le tout de répéter qu’il faut protéger ses données personnelles il est temps d’aborder le comment après avoir expliqué le pourquoi dans notre épisode #3 des Chroniques de Mother Brain.

Je ne vais pas vous vendre du rêve puisqu’il s’agit surtout de limiter les fuites plutôt que de les éviter complètement, tant nous sommes aujourd’hui traqués via nos smartphones, nos cartes bancaires, nos tablettes et nos ordinateurs.

Le seul moyen de naviguer totalement sous le radar serait de dire adieu à tous les outils que nous connaissons et apprécions au quotidien (si ce n’est déjà fait). Adieu Google, réseaux sociaux, applications, Amazon, smartphone et consorts… Impossible ? Non, plutôt difficile et perturbant.

Mais avant d’en arriver là il existe déjà quelques basiques accessibles et faciles à mettre en place.

Réfléchir un peu

Arrêter de rentrer vos coordonnées personnelles n’importe où, ou d’accepter qu’une application de lampe torche ai accès à votre GPS, vos contacts et votre compte Facebook.
Je suis persuadée qu’avec quelques minutes de patience vous pourrez toujours trouver un équivalent satisfaisant et qui ne demande pas plus d’informations que ce dont il a besoin.

Pensez au minimum à vider votre historique de navigation régulièrement, à supprimer les cookies, à scanner votre ordinateur, comme vous feriez l’entretien de votre voiture ou d’un appareil électroménager.

Dans le même ordre d’idée évitez d’envoyer des données sensibles (coordonnées, effectuer des transactions...) via un hotspot WIFI gratuit et non sécurisé. Le principe du hotspot est le libre accès, comme une piscine géante où toutes vos données barbottent gaiement avec celles du voisin… et on ne sait jamais qui y est connecté en même temps que vous.

Pour illustrer notre piscine voici d’ailleurs une petite vidéo issue du blog de Norton (société de logiciels spécialisés en sécurité sur internet) que j’ai trouvé plutôt parlante même si assez amusante par son côté très alarmiste :

Les premières fuites de données viennent de nous-même, lorsque nous tenons comme acquis et normal de divulguer notre identité, nos coordonnées etc… à des sites ou applications que nous ne connaissons pas et n’utiliseront peut-être qu’une seule fois.

Ce n’est pas parce que c’est aujourd’hui la norme que c’est normal. Si les choses peuvent encore être relativement contrôlées sur ordinateur elles sont carrément hors de contrôle sur mobile où le processeur modem est verrouillé et sous contrôle d’une société privée qui peut modifier ce qu’elle veut quand elle le veut.

Extrait interview de Richard Stallman pour Usbek&Rica

“Dans un téléphone portable, normalement, il y a deux processeurs : un processeur d’application, sur lequel tourne un système d’exploitation (Android, IOS ou Windows), et un processeur modem qui nous connecte au réseau. Dans le processeur d’application, on peut mettre du logiciel libre, mais dans le processeur modem, c’est impossible parce que les instructions de ce processeur sont secrètes et que le programme privateur qui fonctionne dans ce processeur contient une porte dérobée universelle grâce à laquelle on peut tout changer à distance à l’insu des utilisateurs. Si, par exemple, tu as installé Replicant, qui est un système d’exploitation entièrement libre pour téléphone, on peut le remplacer à distance par n’importe quoi. Par ailleurs, le microphone est connecté au processeur modem, il peut donc écouter en permanence... S’il était connecté au processeur d’application avec un système libre, ça serait déjà différent.”

L’explosion ultra-rapide de la culture du numérique a eu pour première conséquence un manque évident de préparation et d’éducation des générations concernées.
Si la génération “Y” a su prendre un peu de recul puisqu’elle a connu un “avant”, la génération suivante dites des “Z” est née avec un smartphone à la main mais n’a jamais vraiment appris à s’en servir, ne sait pas ce qu’il y a dedans et le pire : s’en fout.
Ne parlons pas de la génération silencieuse qui trouve soit tout génial soit tout affreux, sans vraiment chercher à comprendre le pourquoi du comment.

Etre un minimum paranoïaque aujourd’hui est une qualité !

Le choix de mes navigateur et moteur de recherches

Choisissez bien votre moteur de recherche, certains sont plus intrusifs que d’autres et malheureusement le plus efficace est aussi le plus curieux : alias Google.

Il n’est pas question ici de diaboliser la firme américaine mais plutôt d’admettre un fait connu et reconnu : Google a une politique au regard des données personnelles extrêmement agressive puisque c’est sur leur collecte que repose tout son modèle économique lié aux publicité. Ce qui ne l’empêche pas d’être sans doute à ce jour le moteur de recherche le plus pertinent et efficace.

Toutefois, il existe aujourd’hui une flopée de moteurs de recherches dont vous n’avez peut-être même jamais entendu parlé et qui font de la protection des données personnelles leur fer de lance : DuckDuckGo, Ixquick (et Startpage), Qwant ou encore Xaphir, le petit dernier des frenchies (encore en bêta).
En terme de confidentialité je dirais qu’Ixquick semble remporter la palme, grâce notamment à Startpage qui agit comme un proxy entre vous et le web, protégeant ainsi votre anonymat, puisque les sites visités n’auront pas accès à votre adresse IP mais à celle de Startpage. C’est un peu le VPN des moteurs de recherches.

Toutefois quelques soient les navigateurs et moteurs de recherches que vous choisissez quasiment tous ont une option “navigation privée” qui vous permet d’aller sur Internet sans enregistrer la moindre information au sujet des sites et des pages que vous avez visités. Elle comprend aussi la Protection contre le pistage en navigation privée, qui empêche les entreprises de pister votre historique de navigation d’un site à l’autre.

Il est toutefois utile de préciser que la navigation privée ne vous garantit pas l’anonymat sur Internet. Votre fournisseur d’accès à Internet, votre employeur ou les sites visités eux-mêmes pourront toujours garder trace des pages que vous avez visitées. La navigation privée ne vous protégera pas non plus des enregistreurs de frappe ou des logiciels espions qui auraient pu s’installer sur votre ordinateur.

Le bonus : Opter pour une navigation privée va vous sortir de votre “filter bubble” (bulle de filtre) et peut-être même vous faire redécouvrir le web.
Car la collecte de vos données et de vos habitudes de navigation a pour conséquence numéro un de vous voir proposer en priorité des résultats de recherche personnalisé, une « expérience personnalisée » calquée sur vos habitudes. C’est le moteur de recherche qui juge quels résultats vous envoyer en fonction de ce qu’il a retenu de votre profil, ce ne sont pas juste des résultats random.
Confortable, certes, puisque cela évite d’être confronté à de nouveaux points de vue ou à ce que l’on peut juger impolitiquement correct, sauf que vous finissez enfermé dans une bulle de filtres dessinée juste pour vous.

Enfin si vous ne souhaitez pas pour une raison X naviguer en privé pensez au minimum à désactiver les suggestions de recherche dans les réglages de votre moteur afin d’avoir des résultats plus libres et plus larges.

Utiliser un logiciel de messagerie libre

Tout débute avec votre compte email, puisque c’est sans doute là que vous divulguez le plus d’information personnelle et que le contenu de vos emails “appartient” à la société qui les héberge.

Afin de ne plus avoir la mauvaise surprise de voir bizarrement Facebook vous proposer votre banquier en ami vous avez plusieurs options :

1 - Crypter vos emails sans changer de messagerie, de nombreux logiciels sont en effet compatibles avec la plupart des messageries actuelles.
Le bonus : sans le mot de passe personne ne pourra lire le contenu de vos emails.
La limite : c’est que la personne qui reçoit l’email doit avoir un mot de passe ou un logiciel équivalent. Pas très pratique au quotidien.

2 - Utiliser un logiciel de messagerie libre qui protège vos données personnelles, comme Thunderbird par exemple couplé avec l’extension Enigmail.
Le bonus : vous conservez vos adresses emails actuelles qui sont centralisées par le logiciel libre.
La limite : vos données ne sont protégées que sur votre boîte email. Une fois un email envoyé à un tiers qui ne possède pas le même logiciel son contenu n’est plus protégé.

Dans tous les cas, l’utilisation d’un logiciel libre vous garanti un minimum de respect de votre privée comparativement à celui d’une société privée.

Principaux logiciels libres de messagerie en 2016 via arobase.org :

Opter pour un VPN

Le cran au-dessus de ce que nous avons vu plus haut c’est le VPN ou Virtual Privat Network (alias réseau virtuel privé en français).
En créant un réseau privé à partir d’une connexion Internet publique, le VPN vous permet de bénéficier de la confidentialité et de l’anonymat en ligne.
En effet, les VPN masquent votre adresse IP et vos actions en ligne sont ainsi quasiment impossibles à retracer. Encore plus important, les connexions établies par les services VPN sont sécurisées et chiffrées pour une confidentialité plus forte que celle fournie par un hotspot Wi-Fi sécurisé par exemple.

Le chiffrement et l’anonymat fournis par un VPN protègent toutes vos activités en ligne : envoi d’e-mails, achats en ligne ou règlement de factures. Les VPN vous aident également à naviguer sur internet en tout anonymat.

Le principe est le suivant :

  • Vous installez un logiciel puis vous vous connectez à un serveur VPN (via Internet)
  • Vous êtes connecté au serveur VPN et c’est lui qui va interroger les pages demandées.
  • Le serveur VPN vous renvoie le résultat crypté. Vous ne laissez donc aucune trace car ce n’est pas votre adresse IP qui est utilisée. On ne peut pas lire les informations que vous échangez car elles sont cryptées dans un tunnel “étanche” à l’intérieur du réseau internet.

Le bonus  : Les VPN vous localisent (sauf instruction contraire) dans un autre pays que le vôtre. En me connectant à mon VPN je peux choisir par exemple d’être localisé en Allemagne, aux USA à HONG-KONG...ceci me permet donc de disparaître de mon réseau national et ainsi de contourner les lois du pays où je suis connecté.

Pourquoi cela m’intéresserait je ne suis pas un pirate ? (voix outrée)

Toutes les sociétés qui proposent des réseaux virtuels privés agissent sous le couvert de leur législation. Or, dans de nombreux pays, celle-ci oblige toutes les entreprises à conserver les données sur Internet afin que les autorités puissent, pendant un certain délai, y avoir accès en cas d’enquête.
Cela signifie donc que, dans de nombreux pays, il est impossible de faire confiance à un VPN à 100% puisque les données censées rester anonymes pourront être communiquées nominativement aux autorités.
Cela est le cas dans tous les pays de l’Union Européenne où s’applique la Directive 2006/24/CE qui impose une conservation des données pour une durée comprise entre 6 et 24 mois.
Aussi, pour véritablement faire confiance à un VPN, il vous est conseillé de choisir un réseau proposé par une entreprise dont le siège est installé dans un pays où la conservation des données n’est pas une obligation légale ou dont les serveurs sont implantés dans ce même type de pays à savoir l’Allemagne, l’Argentine, le Brésil, la Bulgarie, Hong-Kong, le Japon, le Luxembourg, Panama, les Pays Bas, la Roumanie, la Serbie, la Suède, Taïwan, l’Ukraine ou encore dans la majeure partie des paradis fiscaux (Malte, Chypre, Iles Vierges, …).

Il est intéressant de noter que par une décision du 08 avril 2014, la Cour Européenne de Justice a invalidé cette directive sur la rétention des données de connexion estimant que ce texte constitue une ingérence dans les droits fondamentaux en particulier le droit au respect à la vie privée et à la protection des données à caractère personnel.
Toutefois, Le service juridique du Parlement a constaté, quant à lui, outre l’effet rétroactif de la décision au jour de son entrée en vigueur, que celle-ci n’affecte pas les législations nationales des Etats membres. En revanche, il a rappelé que les juridictions nationales pourraient être appelées à se prononcer sur la conformité des lois nationales au regard des droits fondamentaux sur la base de l’analyse ainsi livrée par la Cour de Justice.
Il appartient donc aujourd’hui à l’ensemble des autorités compétentes d’apprécier de manière circonstanciée l’impact de cette décision européenne sur leur droit national.

En France il s’agit des articles L. 34-1 du Code des postes et des communications électroniques (CPCE) concernant les enquêtes judiciaires et L. 34-1-1 du CPCE concernant les enquêtes administratives.

Les limites  :

  • un bon VPN est un VPN payant (abonnement mensuel ou annuel). Il en existe beaucoup offrant différentes possibilités, débits, tarifs, nombre de connexions etc… consultez plusieurs comparatifs avant de choisir celui qui vous correspond.
  • Passer par un VPN pour accéder au net va forcément ralentir votre débit, sauf rares exceptions.

Passer du côté obscure et utiliser Tor

Il est temps de tuer un mythe : le réseau Tor (alias The Onion Router) n’est pas réservé aux cybercriminels et aux pédophiles, c’est sa fonction “anonymisante” - notamment par le biais de son moteur de recherche basé sur firefox : tor browser - qui favorise son utilisation par certains cercles douteux, aussi naviguer sur internet avec Tor ne va pas faire de vous un hors-la-loi.

Un relai Tor est un simple transporteur d’information (mere conduit) au sens de l’article 12 de la directive européenne 2000/31/CE du 8 juin 2000 : il n’est pas à l’origine des transmissions, ne sélectionne pas les destinataires des transmissions, ne sélectionne pas et ne modifie pas les informations faisant l’objet des transmissions. Il n’est en aucun cas responsable des informations qu’il relaie.

Cet article de la directive européenne a été traduit en droit français par l’article L 32-3-3 du Code des Postes et Communications électroniques qui stipule : "Toute personne assurant une activité de transmission de contenus sur un réseau de communications électroniques ou de fourniture d’accès à un réseau de communications électroniques ne peut voir sa responsabilité civile ou pénale engagée à raison de ces contenus que dans les cas où soit elle est à l’origine de la demande de transmission litigieuse, soit elle sélectionne le destinataire de la transmission, soit elle sélectionne ou modifie les contenus faisant l’objet de la transmission."

Comme vu précédemment avec notre article sur la crypto-monnaie, les criminels n’ont certainement pas attendu Tor pour disposer de moyens de communications leur permettant de passer inaperçu, et la plupart disposent sans doute des ressources nécessaires pour mettre en place leurs propres réseaux ou d’une imagination suffisante pour utiliser par exemple des Playstations 4 comme Daesh en 2015.

Alors qu’est ce que Tor ?
Tor est un système permettant d’anonymiser les connexions et de contourner la censure dans le réseau Internet. Tor est à la fois un logiciel, un réseau de relais composé de plus de 7 000 serveurs et un projet autour duquel gravite une quarantaine de personnes.
L’utilisation de Tor est gratuite pour qui dispose d’un ordinateur et d’une connexion Internet.

En pratique, le logiciel Tor agit comme un pont entre vous et le site web auquel vous vous connectez. Le site web ne verra donc pas qui se connecte réellement et votre fournisseur d’accès non plus. L’espionnage par un intrus sera pratiquement impossible sur le réseau.
L’utilisation massive de systèmes de communications chiffrées vise à noyer les informations captées par les gouvernements dans un flot de données chiffrées et illisibles (tel un brouillage) et à redonner ainsi de la liberté de l’anonymat aux internautes.

Mais cet anonymat peut tomber si vous utilisez un programme qui outrepasse Tor, ou qui envoie des données sur vous sur le net. Parmi ces programmes se trouvent les scripts des pages web.
Les scripts JavaScript sont un constituant normal et légitime des pages web, mais malheureusement, certains sites utilisent le JavaScript pour vous traquer, tracer ou espionner.
Le plugin NoScript (pré-installé dans TorBrowser) est là pour bloquer tous les scripts par défaut. Certaines pages vont alors mal fonctionner, mais au moins votre anonymat ne sera pas compromis, et l’anonymat du réseau Tor dans son ensemble non plus.
Il est essentiel de bloquer les scripts dans les pages web lorsque l’on utilise le réseau Tor.

Il faut tout de même noter que du fait de sa volonté de préserver au maximum l’anonymat de ses utilisateurs le réseau Tor est l’objet de toutes les attentions des services de luttes contre la cybercriminalité, des services gouvernementaux divers (NSA, FBI, Europol) et le bouc émissaire tout trouvé par les médias et les politiques pour n’importe quelle affaire de cybercriminalité.

Exemple récent avec le cas de la cyber-attaque massive du virus Wannacry et la police française via l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication qui a organisé une rafle nationale des relais français du réseau anonyme Tor pour enquêter sur WannaCry, initiative complètement absurde et pour le moins surprenante que les autorités ont d’ailleurs refusé de commenter...

L’ultime recours : Cesser toute utilisation des logiciels et sites à risques

Afin de devenir un gourou de la protection des données personnelles vous n’aurez d’autres choix que de couper les ponts avec tout ce que vous utilisez et connaissez :

  • Installez un logiciel libre sur votre ordinateur (adieu windows et apple)
  • Utilisez Tor et Tor Browser
  • Utilisez un VPN
  • Supprimez tous vos comptes de réseaux sociaux
  • Utilisez un logiciel de messagerie libre (adieu hotmail, gmail, orange…)
  • Brûlez votre smartphone et achetez un pré-payé
  • Découpez votre carte bancaire et payez tout en cash
  • Brûlez toutes vos cartes de fidélités
  • Fuyez les objets connectés

Bref vous voyez l’idée … ;)

Si ce genre de virage à 180° peut sembler certes excessif, il n’en reste pas moins que la protection de vos données personnelles est un enjeu sociologique, économique et politique dont vous ne sortirez jamais vraiment victorieux.

Certains diront qu’il y a un prix nécessaire à payer pour notre “sécurité” mais étant donné que la majorité des fuites de nos données personnelles sont récupérées, étudiées, triées, utilisées et revendues par des sociétés privées à des fins économiques je ne vois pas très bien en quoi cela me protège et assure un avenir meilleur à mes enfants.

Et quand bien même il s’agirait du gouvernement avec son fichier TES par exemple, récemment retoqué par le Conseil National du Numérique, qui est censé être utilisé pour traquer de potentiels terroristes et puis quoi ? des assassins, et ensuite ? des pédophiles, des voleurs, des automobilistes, puis les gens trop gros pour gérer leur santé, les parents qui ne vaccinent pas leurs enfants, les gosses qui sèchent l’école….
Si l’évolution vous semble grossière il n’en reste pas moins qu’en acceptant cette possibilité nous mettons le doigt dans quelque chose dont nous pourrons jamais refermer la porte ni contrôler les implications futures.
Comme le souligne d’ailleurs le CNNum dans son avis, "il y a urgence à réformer la gouvernance des choix technologiques au sein de l’État dans le sens d’une transparence et d’une ouverture accrues." et il appartient tout autant aux citoyens de se saisir de la question.

Dans la même rubrique :

Licence Creative Commons
Ce(tte) œuvre est mise à disposition selon les termes de la Licence Creative Commons Attribution - Pas d’Utilisation Commerciale 4.0 International.

Djianne

Rédactrice en chef de BrainRoster et présidente de BrainToaster. Particularités : grande maîtrise de la caféine en intraveineuse, -12 en diplomatie, pond environ 10 idées banco à la minute.

Vos réactions