pylapp

data

À propos d’hygiĂšne numĂ©rique

đŸ‡«đŸ‡· – mercredi 11 novembre 2020

Mots clés : #privacy, #numérique, #web, #résilience, #data

Cet article a surtout une volontĂ© de titiller la curiositĂ© des uns et des autres ; beaucoup de sujets sont totalement en dehors de mes compĂ©tences donc je ne m’étalerais pas dessus. Juste envie de donner quelques billes Ă  celles et ceux qui, en 2020, se demandent comme protĂ©ger leur vie privĂ©e et leurs usages du numĂ©rique Ă  l’ùre de la surveillance gĂ©nĂ©ralisĂ©e et du soupçon permanent.

TL ; DR DĂ©gagez de Facebook, arrĂȘtez de raconter votre vie sur Instagram car on s’en branle, passez au moins sur Signal, abonnez-vous Ă  Next Inpact faĂźtes des dons Ă  La Quadrature et Framasoft, faites vos mises Ă  jour, utilisez du liquide, naviguez via TOR, intĂ©grez de l’open source et du libre, dĂ©finissez des gros mots de passe fiables, chiffrez ce que vous pouvez, soyez des Pirates, lisez de la SF, et sortez couverts. Nous avons toutes et tous nos vies privĂ©es Ă  cacher, et on va en chier de plus en plus ❀.

1 — Le Modùle de Menace

DerriĂšre ce terme un peu parano se cache l’ensemble des Ă©lĂ©ments perturbateurs concernant notre vie numĂ©rique. Tout le monde n’a pas nĂ©cessairement le mĂȘme modĂšle, quelques exemples bruts sans jugement :

  • des manifestants Ă  Hong-Kong se mĂ©fiant du gouvernement de PĂ©kin
  • des opposants au Kremlin cherchant Ă  converser en toute tranquillitĂ©
  • des ZADistes, Gilets Jaunes, black-blocs, manifestants quels qu’ils soient, et aussi tristement des terroristes et fanatiques, quant Ă  eux, voulant se protĂ©ger de la surveillance policiĂšre
  • des gardiens de la paix qui ont besoin de protĂ©ger leurs familles
  • des lanceurs d’alertes agissant en toute discrĂ©tion vis Ă  vis de leur employeur
  • des victimes de violences conjugales ou personnes LGBTQIA+ fuyant un environnement familial toxique voire dangereux
  • des journalistes voulant Ă©changer avec leurs sources et les protĂ©ger
  • des enquĂȘteurs, Ă©lus, diplomates, ou toute personne ayant des postes Ă  risque voulant s’assurer que leurs communications Ă©lectroniques soient sures et fiables
  • des personnes lambda ayant simplement envie d’ĂȘtre tranquilles vis Ă  vis des gĂ©ants du numĂ©rique ou d’éventuels problĂšmes
  • 


Bref, selon de quoi on cherche Ă  se protĂ©ger ou ce que l’on cherche Ă  fuir, on ne mettra pas en place les mĂȘmes mĂ©thodes.

Quelques pistes ici, sans ordonnancement particulier, que j’ai pu expĂ©rimenter ou appliquer moi-mĂȘme ou juste dĂ©couvrir via d’autres personnes (et des ressources vraiment intĂ©ressantes que j’invite Ă  consulter en bas de page).

2 — L’Authentification

DĂ©jĂ , revoir sĂ©rieusement la maniĂšre dont on s’authentifie Ă  des services numĂ©riques, et ça commence par les mots de passe.

C’est toujours pĂ©nible de voir beaucoup de sites web et applications demandant des mots de passe prĂ©tendument forts alors que leur complexitĂ© est faible, et qu’il n’y a aucune politique de renouvellement rĂ©gulier. Pour le coup, un bon mot de passe est trĂšs long, avec des chiffres, des lettres minuscules et majuscules, des caractĂšres spĂ©ciaux, et est changĂ© frĂ©quemment. Il doit ĂȘtre bien entendu unique. Mais comment retenir ces informations pour le coup ? Simplement en utilisant des gestionnaires de mots de passe comme Keepass. J’aime bien cet outil qui est libre, open source, permet de gĂ©nĂ©rer ses mots de passe et donne des rappels sur la date Ă  laquelle il faut les changer. Finalement on devrait dire des “phrases de passe”.

Le niveau supĂ©rieur est d’utiliser une authentification Ă  deux facteurs. Personnellement j’aime peu la biomĂ©trie, car que ce soit ses empreintes digitales, son visage ou ses iris, aucun de ses Ă©lĂ©ments n’est rĂ©vocable. Et ne me parlez pas de cette connerie de projet ALICEM. Ainsi, si l’un d’eux est subtilisĂ©, commencera une belle galĂšre pour prouver que ce n’était pas vous. Certains constructeurs, comme Apple, affirment que leurs systĂšmes de dĂ©tection de visage ou d’empreinte digitale (FaceID et TouchID) sont trĂšs fiables, dans une enclave sĂ©curisĂ©e sur la puce des iBidules. Chacun est libre de se faire son avis (aprĂšs tout, la protection de la vie privĂ©e fait partie du business de la firme Ă  la pomme) mais par moment l’histoire montre que des entreprises comme Cellebrite arrivent Ă  casser les protections d’iPhones pour rĂ©cupĂ©rer leur contenu. À relativiser finalement ?

Du coup, j’aime bien l’authentification par code gĂ©nĂ©rĂ©. On peut les recevoir par mĂ©ls selon les services, ou les voir se gĂ©nĂ©rer sur son appareil avec des apps comme Google Authenticator ou andOTP, ça sous-entend quand mĂȘme de sĂ©curiser ses boites mĂ©ls et appareils. On peut aussi passer par des systĂšmes de clĂ©s physiques, comme les Yubikey.

3 — Les Systùmes d’Exploitation

Dans la mesure oĂč on passe plus de X heures par jour sur son smartphone ou devant un Ă©cran, il y a un Ă©lĂ©ment sur lequel on compte malgrĂ© nous : le systĂšme d’exploitation des ordinateurs, tablettes ou smartphones.

Quel est le mieux finalement ? Passer son temps et construire sa vie numĂ©rique sur une machine dont personne ou presque ne peut voir ce qu’il y a sous le capot (comme Windows), systĂšme propriĂ©taire, fermĂ© et en boite noire, ou utiliser un systĂšme libre et open source dont la communautĂ© peut vĂ©rifier Ă  ton moment le fonctionnement comme des distributions GNU/Linux type Debian ou Ubuntu ? Bien entendu, ces systĂšmes sont diffĂ©rents et ne rĂ©pondent pas forcĂ©ment aux mĂȘmes besoins, il faut l’admettre. Jouer au dernier jeu vidĂ©o qui en met plein la rĂ©tine sur Linux, c’est encore compliquĂ©, mais s’il s’agit d’aller sur le web ou faire de la bureautique, Windows est superflu.

On peut se poser la mĂȘme question pour les smartphones et tablettes. Si je prends le dernier Google Pixel avec sa version d’Android, je serais tranquille quelques petites annĂ©es pour les mises Ă  jour. Mais en contrepartie, ma vie numĂ©rique est pas mal boulottĂ©e par Google, que ce soit via l’usage d’un compte Google dans l’app, mais aussi ses Play Service> ou les autres analytics. Par contre, si je veux que mon “vieux” smartphone, plus supportĂ© depuis “longtemps” par son constructeur, soit toujours Ă  jour, je fais comment ? Si je veux me dĂ©barrasser du superflu de Google ou profiter de mon appareil alors qu’une citrouille Ă  perruque a interdit dans mon pays l’usage de produits amĂ©ricains (comme Android, Google Maps, Google Play
), je fais comment ? C’est lĂ  qu’il faut se tourner vers des systĂšmes alternatifs, mĂȘme si certains demandent de la patience et un peu de savoir-faire pour ĂȘtre installĂ©s. On retrouve LineageOS (avec la suite microG, ou OpenGapps) mais aussi /e/ qui propose de plus en plus de choses ! Ou alors, on repasse tous au Nokia 3310 et on est bon.

4 — Les Boutiques d’Apps

D’ailleurs, vu qu’on parle de mobile, il en va de mĂȘme pour les boutiques d’applications. Passer par Google Play ou l’App Store revient Ă  dĂ©pendre lourdement de Google ou Apple, mĂȘme si cela prĂ©sente certains avantages (notamment en terme de sĂ©curitĂ© avec le contrĂŽle des apps pouvant ĂȘtre frauduleuses ou vĂ©rolĂ©es). Si passer par celles-ci vous dĂ©rangent, ça peut valoir le coup de tester F-Droid cĂŽtĂ© Android (mĂȘme si on est sur un catalogue bien diffĂ©rent), ou des systĂšmes qui “filoutent” comme Aurora ou Yalp. CĂŽtĂ© iOS, il y aurait AltStore, mais je n’ai jamais testĂ©.

5 — Les Mises à Jour

Et vu que l’on parle d’apps et de systĂšmes d’exploitation, autant aborder le sujet maintenant : les mises Ă  jour. Il n’y a rien de pire qu’avoir un ordinateur ou un smartphone qui n’est pas Ă  jour, notamment parce qu’il ne reçoit pas les mises Ă  jour de sĂ©curitĂ©. Dit autrement, ces logiciels non Ă  jour risque d’ĂȘtre de vraies passoires. Dans la mesure du possible, il faut les faire, et si on peut utiliser un produit qui a un support trĂšs long, c’est mieux. Dans le cas contraire on ferait face Ă  un appareil qui, en plus de nous avoir coutĂ© des sous Ă  l’achat, risque de dissĂ©miner notre vie numĂ©rique et d’apporter de gros problĂšmes Ă  cause d’un manque de support de la part du constructeur ou du fournisseur du systĂšme. C’est encore plus vrai pour Windows et Android.

6 — Le Web, et la Navigation

On ne va pas se mentir, au XXIĂšme siĂšcle la “data” est le nouvel El Dorado des entreprises ayant un pied dans le numĂ©rique. Certaines comme Criteo en font leur fond de commerce, d’autres comme Cambridge Analytica se trouvent empĂȘtrĂ©es dans des scandales, quand ce ne sont pas des gĂ©ants de la tech qui ont leur revenus essentiellement basĂ©s sur l’exploitation des donnĂ©es personnelles (comme Google ou Amazon), ou encore des sociĂ©tĂ©s qui ont au travers de leurs sites web une tĂ©trachiĂ©e de mouchards (comme Le Bon Coin). Le point commun des ces entreprises ? Leurs applications web (entre autres, mais pas que). On constate vite que naviguer sur le web revient Ă  s’exposer manifestement, que ce soit par le biais de cookies ou via le browser fingerprinting.

Pour remédier à ça, déjà dégager les navigateurs web propriétaires comme Chrime et Edge, et à la rigueur passer par Chromium ou Brave. Sinon le navigateur web de TOR er Firefox font le job, encore plus quand on les enrichit de plugins comme Privacy Badger ou No Script.

Et quand on passe par une application mobile “native”, l’affaire se corse ; c’est tout de suite moins simple de bloquer les comportements mouchards. Pour pallier Ă  ça, il existe des apps (pour appareils mobiles comme ordinateurs) qui font office de proxy et qui peuvent filtrer les requĂȘtes rĂ©seaux entrantes et sortantes. Ainsi, on peut bloquer plus facilement les Ă©changes avec des services de tracking. Le fait est que, selon comment est faite l’app en question, si on bloque ce genre d’échanges on peut se retrouver avec une app non fonctionnelle. Arf. Personnellement j’aime bien, dans un environnement Apple, Charles Proxy et Little Snitch. Android, ne pas hĂ©siter Ă  passer par Exodus Privacy qui aide Ă  lister les mouchards avec un travail formidable ! Sinon il y a aussi Blokada, le bloqueur de pub pour Android et iOS.

Je n’ai pas parlĂ© non plus des moteurs de recherche. Certains sont Ă  oublier, d’une autre Ă©poque et inefficaces comme Yahoo ou Bing. D’autres comme DuckDuckGo font carrĂ©ment le job Quand Ă  Google, on repassera pour la vie privĂ©e, et si on l’empĂȘche d’ĂȘtre trop curieux sur notre historique, les rĂ©sultats fournis ne sont pas aussi intĂ©ressants. D’ailleurs, le classement dans les rĂ©sultats de recherche se monĂ©tise, tout comme la pub qu’on y voit. Bref, Ă  Ă©viter. Quant Ă  Qwant, mbof. Y’a mieux mais y’a pire. On a aussi Startpage qui fait de la protection de la vie privĂ©e son fer de lance, jamais trop testĂ©.

Une autre chose Ă  faire aussi, de temps en temps, en utilisant plusieurs moteurs de recherche diffĂ©rents pour croiser les rĂ©sultats, c’est de faire des recherches
 sur soi et ses proches. L’intĂ©rĂȘt ici n’est pas de flatter son Ă©go, mais de voir s’il y a des choses qui nous concernent directement ou non sur les internets, comme des vieilles photos, des vieux forums ou autre chose.

7 — Une question de redondance

Vous avez votre ordinateur, votre smartphone ou votre tablette, ok. Mais il se passe quoi si on vous vole votre smartphone, ou si votre tablette tombe en panne, ou si votre ordinateur est compromis ou corrompu avec des malwares comme Petya, NotPetya ou Locki ? Si vous n’avez pas de sauvegardes de vos documents, vous ĂȘtes dans la mouise. Bye bye les photos de vacances, adios les documents importants, sayonara les recettes de tata Lucettte. D’oĂč finalement la nĂ©cessiter de copier, sauvegarder, “redonder” ses documents importants.

On peut imaginer passer par un cloud oĂč on met en vrac tout notre bordel de fichier, ou alors copier l’essentiel sur des disques durs externes ou des clĂ©s USB (voire des CD-ROM pour les nostalgiques). Ça aura au moins le mĂ©rite de faire des enregistrements de vos fichiers importants sur autre chose que votre appareil habituel. Faire ce genre de sauvegarde n’est pas une activitĂ© trĂšs fun, mais elle peut ĂȘtre salvatrice.

8 — Puisqu’on parle de cloud

Le marketing s’est emparĂ© de maniĂšre Ă©hontĂ©e du cloud, l’informatique en nuage, cet endroit magique oĂč on peut mettre en vrac tout plein de trucs. Soyons honnĂȘte : le cloud reste un ensemble de machines qui ne vous appartient pas, et sur lequel vous n’avez strictement aucun contrĂŽle, et qui peut laisser les autoritĂ©s accĂ©der au contenu. Cela peut ĂȘtre rassurant de savoir que ces photos de vacances sont sauvegardĂ©es chez un hĂ©bergeur cloud quelconque ; mais rien ne vous garantit qu’une personne travaillant chez cet hĂ©bergeur n’ait accĂšs Ă  vos photos. Question de confiance.

Du coup, lequel choisir ? À vous de voir, et je ne tiens pas Ă  faire du placement de produit. D’une part parce que le cloud (et aussi les rĂ©seaux) sont pour moi des trucs magiques et nĂ©buleux, d’autre part car je n’ai jamais fait d’étude comparative sĂ©rieuse entre chacun d’entre eux. Toujours est-il qu’on a par exemple Google Drive qui offre 15 Go de stockage en ligne, et ça a largement de quoi faire. Par contre, niveau vie privĂ©e on repassera. On a aussi iCloud Drive qui va chiffrer davantage certains Ă©lĂ©ments qui y sont stockĂ©s via vos iBidules. On peut citer DropBox, mais bon. Ou alors, allez faire un tour du cĂŽtĂ© des C.H.A.T.O.N.S.et des hĂ©bergeurs sĂ©rieux et propres comme Cozy Cloud (avec des tarifs vraiment dĂ©risoires) ou Zaclys.

Il existe des solutions comme ownCloud ou NextCloud oĂč on hĂ©berge nous-mĂȘmes nos propres “clouds”, que ce soit Ă  la maison ou sur de serveurs dĂ©diĂ©s, on a l’avantage de gĂ©rer nous-mĂȘme l’outil qui permet de stocker ses documents. Ça demande plus de boulot par contre. Yunohost est aussi sympa dans son genre si on peut partager des choses.

Autant on parle de documents, autant quand on parle de cloud on peut penser aussi Ă  sa gestion des contacts, mails et calendriers. Aujourd’hui, beaucoup de personnes ont un compte Google ou MSN / Hotmail / Outlook pour gĂ©rer les mails, le carnet d’adresse et les agendas. Mais finalement, on en revient au mĂȘme point : des entreprises, pas forcĂ©ment vertueuses, souvent des poids lourds de la tech, peuvent (ou non) accĂ©der Ă  ces informations et les exploiter, le tout avec votre accord car vous n’avez pas eu envie de lire les 3 kilomĂštres de conditions d’utilisation. Et quand on accĂšde aux contacts, correspondances et agenda d’une personne, on en revient au temps de la Stasi : good bye vie privĂ©e. Mais du coup, comment faire pour Ă©viter de balancer Ă  ces entreprises les infos perso de ses contacts ?

Une solution, par exemple, est d’aller voir chez Gandi (mon article, mes placements de produits, na !). Gandi permet d’acheter des noms de domaines (comme cafe-vie-privee-lannion.bzh), d’hĂ©berger son site web, et aussi
 de gĂ©rer ses mails. Gandi, pour ça, propose diffĂ©rents portails comme Roundcube ou SOGo. SOGo propose une interface simple, jolie, qui gĂšre les courriels et qui permet de gĂ©rer ses agendas et carnets d’adresses. Une rapide manipulation sur son smartphone permet de mettre en place une synchronisation entre ce service et son appareil. Ainsi, on dĂ©centralise ses contacts et agendas !

9 — Et si on chiffrait ?

On va ĂȘtre direct tout de suite : si un jour cet article vient Ă  ĂȘtre considĂ©rĂ© comme borderline, c’est probablement Ă  cause de ce point (ou des autres aussi d’ailleurs). Le chiffrement peut ĂȘtre considĂ©rĂ© comme un matĂ©riel de guerre. C’est dit. Et dans la mesure oĂč des pĂ©dophiles, des trafiquants en tous genres, des fanatiques et autres terroristes aux idĂ©es courtes utilisent des messageries chiffrĂ©es (et-on-ne-dit-pas-crypter-bordel), je pense qu’à terme toute volontĂ© pour le pĂ©quin lambda de chiffrer ses documents et Ă©changes sera trĂšs, trĂšs mal perçu par les autoritĂ©s. AprĂšs tout, si on n’a rien Ă  cacher, oĂč est le problĂšme hein ?

L’intĂ©rĂȘt de chiffrer rĂ©side dans le fait de protĂ©ger le contenu de ces appareils, de protĂ©ger ses documents, de protĂ©ger ses communications, de tout regard non autorisĂ©. Alors oui, si des tarĂ©s chiffrent leurs smartphones qui comportent des photos de gosses nus, clairement, je n’envie pas les enquĂȘteurs pour accĂ©der Ă  ces informations et j’espĂšre qu’ils y arriveront. Mais admettons que l’on vous vole votre tĂ©lĂ©phone, ou que vous subissez un cambriolage dans lequel vos petits appareils sont volĂ©s (oh bah tiens, votre tablette ou votre disque de sauvegarde), vous allez vous sentir comment en sachant que les photos de vos enfants, vos soirĂ©es beuveries, les sextapes avec votre conjoint·e, ou vos bulletins de salaires et fichiers bancaires sont dans les mains d’inconnus ? Bon courage. Autant d’élĂ©ments qui peuvent servir Ă  quelqu’un voulant usurper votre identitĂ©.

De nos jours, les smartphones avec les derniers systĂšmes proposent un moyen de chiffrer le contenu de l’appareil, c’est un bon dĂ©but. Sans le mot de passe principal, on est relativement tranquille. On a mĂȘme certains appareils comme les iPhones qui permettent la destruction des informations si le mot de passe de dĂ©verrouillage a Ă©tĂ© mal saisi X fois. Le FBI n’aime pas trop, mais ça ne semble pas l’arrĂȘter pour autant.

Sinon, pour vos ordinateurs, VeraCrypt fait le travail. Cet outil permet de crĂ©er un “volume”, Ă  savoir un dossier spĂ©cial, protĂ©gĂ© par mot de passe, chiffrĂ© comme vous voulez, dans lequel vous pouvez mettre ce qui compte pour vous. Ainsi, si votre ordinateur est volĂ©, ce qui est dans ce volume reste relativement protĂ©gĂ© (du moment que vous n’y mettez pas un mot de passe bidon).

10 — Les messageries instantanĂ©es

Je vais ĂȘtre franc : cassez-vous de Facebook. Donc de Messenger, Instagram, WhatsApp Facebook est une des mĂ©tastases du cancer qui ronge le web. WeChat semble ĂȘtre noyautĂ© par PĂ©kin Quant Ă  TikTok ou encore Snapshat... bref. Vous n’avez aucune vie privĂ©e avec ces outils. Vos Ă©changes sont scrutĂ©s par un des gĂ©ants du web. MĂȘme si WhatsApp revendique un chiffrement de bout en bout de vos Ă©changes, demandez-vous pourquoi son fondateur, qui a vendu son projet Ă  Facebook pour une coquette somme, regrette et conseille de fuir l’app.

Mais laquelle choisir pour des conversations en ligne, protĂ©gĂ©es, qui se fichent des frais de roaming et depuis n’importe oĂč dans le monde ? Franchement je n’en sais rien, car chaque outil a ses avantages, mais aucun n’est parfait et tous ont des faiblesses (notamment quand on utilise plusieurs appareils). À une Ă©poque on pouvait citer Telegram qui se retrouve dans le viseur de diffĂ©rents pays, et qui passerait par des technologies propriĂ©taires (donc opaques finalement). Mais aujourd’hui j’aime bien Signal qui a le vent en poupe. On a Wikr aussi, Wire , et Keybase.io qui est par exemple utilisĂ© par des chercheurs en cybersĂ©curitĂ© comme fs0c131y. On a aussi Riot (maintenant rebaptisĂ© element) qui d’ailleurs sert de base Ă  Tchap , l’application souveraine de messagerie sĂ©curisĂ©e de l’État français. Bref, c’et le bordel. Il faut choisir sa crĂ©merie, et c’est casse-tĂȘte par moment. Et poil d’aisselle sur le gĂąteau : l’Europe songe Ă  s’attaquer Ă  la confidentialitĂ© des communications, entre autres via ce genre d’apps.

11 — Des VPN ou TOR

Lorsque l’on navigue sur les internets (oui, on dit “les internets”), notre connexion le plus souvent est sĂ©curisĂ©e au travers du protocole HTTPS (je grossis les choses). Parfois certains sites web ne mettent pas Ă  jour leurs certificats, ou ne passent que par du HTTP. Dans ce cas : fuyez-les, on est en 2020, l’histoire n’a que trop d’exemples de cas de sites web compromis ou falsifiĂ©s Ă  cause de connexions foireuses.

On peut passer par des Virtual Private Networks (VPN) pour cacher ses communications et “sortir” dans le web Ă  un endroit moins habituel. Clairement, il y a un paquet de ressources en ligne Ă  ce sujet, et je ne vais pas les reprendre gauchement. Toujours est-il qu’aucune solution n’est parfaite, et lĂ  oĂč certaines se complaisent dans la communication marketing (comme NordVPN), d’autres semblent plus sĂ©rieuses (comme ProtonVPN ?). On peut retrouver des offres VPN avec certains navigateurs, comme Brave. Certains pays tentent de bannir leur usage, curieux n’est-ce pas ?

Autrement il y a TOR, The Onion Router. Pour savoir si un outil est efficace, il suffit parfois seulement de voir comment les gouvernements s’en prennent Ă  lui. Des pays essayent ou rĂ©ussissent Ă  bloquer l’usage de TOR ; on comprend que ça peut en gĂȘner plus d’un d’avoir des citoyens naviguant sur le web sans surveillance. TOR permet d’avoir une connexion rĂ©seau qui passe par 3 “noeuds”, chacun allant apporter sa couche de chiffrement. L’avantage est d’avoir une communication davantage protĂ©gĂ©e des regards indiscrets, mais la navigation peut s’en trouver ralentie. Certains sites bloquent carrĂ©ment l’usage de TOR, d’autres voient leur mĂ©canisme de sĂ©curitĂ© dĂ©clenchĂ©s. Oui, bon nombre de “gros” sites vĂ©rifient l’habitude de connexion de leurs utilisateurs ; et voir une connexion soudaine faite depuis un pays d’Europe de l’Est peut surprendre si on se connecte habituellement depuis le fin fond du Larzac TOR propose son navigateur web, Tor Browser, qui simplifie grandement son utilisation. Brave propose un systĂšme de navigation privĂ©e passant aussi par TOR. Firefox a depuis peu un plugin pour ça aussi.

D’ailleurs il y a cet article sympa de Framablog sur TOR et Nos Oignons, à lire tranquillement.

12 — Les rĂ©seaux

Le numĂ©rique a besoin du rĂ©seau, et beaucoup de choses peuvent se passer Ă  ce niveau. D’une part, le Domain Name System (DNS). Ces Ă©lĂ©ments du rĂ©seau permettent de rĂ©soudre des adresses web (comme pylapersonne.info en adresses IP (du genre 87.98.154.146) Ă  laquelle va se connecter l’ordinateur, la tablette, l’appareil connectĂ© ou le smartphone. Ces DNS se trouvent parfois au coeur des mĂ©canismes de censure ou de filtrage des rĂ©seaux. Les changer, et passer par des mĂ©canismes diffĂ©rents voire plus vertueux, permet de s’affranchir de tentatives de censure ou de surveillance. Parmi les DNS, il y a ceux du Fournisseur d’AccĂšs Ă  Internet (FAI), on peut penser Ă  ceux de Google (8.8.8.8), OpenDNS ou Quad9 (9.9.9.9)

Justement, puisque l’on parle des FAI, on peut imaginer que certains commercialisent les donnĂ©es de navigation, ou analysent les recherches faites (ou pas). D’autres comme AT&T ont Ă©tĂ© empĂȘtrĂ©s dans certains scandales. Pour le coup, il existe des FAI associatifs (comme FDN, d’ailleurs allez voir aussi FĂ©dĂ©ration FDN) et des C.H.A.T.O.N.S qui peuvent proposer des services intĂ©ressants. Au CafĂ© Vie PrivĂ©e de Lannion en 2018, l’équipe de Faibreizh avait pu parler de son projet de FAI associatif.

Dernier point, les dĂ©tecteurs d’espions. Il existe des outils (comme des IMSI catchers) et divers procĂ©dĂ©s pour surveiller les rĂ©seaux et leur trafic, souvent pour des intĂ©rĂȘts totalement lĂ©gitimes, et des outils pour vĂ©rifier s’ils sont mis en place ou non comme OONI Probe. Pour cette app, il y a une simulation de trafic vesrs des sites web pouvant ĂȘtre tendancieux, et le comportement obtenu permet de dĂ©terminer s’il y a de la surveillance. On peut se retrouver dans une situation oĂč le rĂ©seau est testĂ© avec du trafic considĂ©rĂ© comme criminel (par exemple les sites pornographiques en Egypte seraient interdits).

13 — On parle de la monnaie ?

Monopole d’état, enfin pour la monnaie fiduciaire au moins en tout cas, les Ă©changes financiers en disent parfois trĂšs long sur notre vie privĂ©e, surtout quand on utilise le traceur par excellence proposĂ© avec un grand sourire par les banques : la carte bleue. J’avais dĂ©jĂ  pu en parler lors d’un cafĂ© vie privĂ©e, l’usage des cartes bleues diffuse beaucoup d’informations personnelles. On y retrouve entre autres la date, le montant, et aussi le destinataire de la transaction. On est alors capable de dĂ©terminer, si certains motifs se rĂ©pĂštent, quelles sont nos habitudes de consommation (telle boutique en ligne, tel restau, tel bar), et aussi d’autres Ă©lĂ©ments plus personnels (la pension mensuelle pour son ancien·ne conjoint·e, le prĂȘt que l’on doit rembourser Ă  un proche, etc).

Il y a difficilement des alternatives qui sont popularisĂ©es, il faut se contenter souvent de la monnaie fiduciaire (piĂšces et billets), ou alors tenter des monnaies libres locales comme la Ğ1. On peut aussi, mĂȘme si c’est le parfait exemple de truc cool dont l’usage n’est pas du tout rĂ©pandu, passer par certaines cryptomonnaies comme Monero ou Zcash (Europol apparement se cassant les dents sur Monero). Il y a quelques annĂ©es on aurait pu parler de Bitcoin, mais l’histoire montre encore que la confidentialitĂ© des transactions n’est pas terrible du tout, comme ce fut le cas pour la rĂ©solution de l’affaire Locky ou de celle de Silk Road pour retrouver les fonds.

14 — Et quoi d’autres sinon ?

Je ne suis pas du tout un expert en sécurité, en réseau, en web ou en transactions financiÚres, et à mon avis il faudrait un blog entier voire plusieurs bouquins pour traiter tous ces sujets.

Il y a quelques points que je n’ai pas spĂ©cialement abordĂ©s. Par exemple, dans sa vie quotidienne oĂč le logiciel est quasiment partout, remplacer ses applications et logiciels propriĂ©taires par des alternative libres et open source. Naviguer avec Firefox, utiliser Ubnutu, passer par Libre Office, regarder des films sur VLC, utiliser OSMAnd pour ses ballades, passer par Open Street Map, il y a finalement pas mal de choses Ă  dĂ©gager pour des alternatives plus saines ou des ersatz pas trop pourris.

Le software a une grosse place chez nous, mais aussi le hardware. Il existe des projets d’ordinateurs portables et de smartphones qui ont Ă©tĂ© reconditionnĂ©s ou dĂšs le dĂ©but conçus pour protĂ©ger l’utilisateur et ses donnĂ©e numĂ©riques. En vrac il y a Purism avec ses ordinateurs et tĂ©lĂ©phones portables (avec du PureOS dedans), mais aussi le Pinephone ou des sites spĂ©cialisĂ©s comme Minifree ou Technoethical.

D’ailleurs, ça peut ĂȘtre l'occasion de faire attention Ă  un truc auquel on pense rarement : les communications sans fil de nos appareils. HonnĂȘtement, quand ça ne sert pas, dĂ©sactivez les donnĂ©es cellulaires, le Bluetooth ou le WiFi. Vraiment. D‘une part car ça peut Ă©conomiser un peu de batterie, d’autre part dans certains cas vos smartphones vont Ă©mettre Ă  fond pour tenter d’accrocher une antenne, donc niveau exposition aux ondes c’est pas terrible (alors dans une voiture sur autoroute ou un TGV
). Par ailleurs, il y a tout un business mis en place concernant la “gĂ©olocalisation indoor/outdoor”, Ă  savoir le tracking de vos passages dans les rues et magasins. Cela se fait par exemple Ă  l’aide de beacons ou de panneaux publicitaires connectĂ©s qui vont s’amuser Ă  choper tous les appareils Ă  proximitĂ© qui ont leur WiFi non dĂ©sactivĂ©.

On peut aussi Ă©voquer l’usage de messageries mĂ©ls chiffrĂ©es avec notamment l’usage de clĂ© GPG ou PGP. LĂ  ça commence Ă  ĂȘtre techniquement plus velu, et tous les logiciels de messagerie ne sont pas forcĂ©ment prĂȘts.

Il faut penser aussi Ă  autre chose qui mĂ©riterait Ă  mon avis un billet de blog Ă  part : les mĂ©tadonnĂ©es. Ces informations sont embarquĂ©es un peu partout dans nos vidĂ©os, nos photos de vacances ou selfies, et en disent long sur nous. Selon l’application et l’appareil utilisĂ©s, on peut y retrouver la localisation GPS ou approximative, le modĂšle de l’appareil, les rĂ©glages appliquĂ©s, la date et l’heure, et aussi parfois une premiĂšre analyse du contenu de la photo ou la vidĂ©o. Ajouter donc ces souvenirs pictographiques Ă  des siphons Ă  donnĂ©es comme TikTok, Instagram ou Facebook qui font de la reconnaissance d’objets, et vous pouvez exposer Ă  des boites Ă©trangĂšres tentaculaires un pan entier de votre vie privĂ©e. Moi ça ne me fait pas du tout rĂȘver.

Bref

Dans la vie de tous les jours, utiliser ce genre d’outils n’est pas plus compliquĂ© que ça pour la plupart, et ça en devient une routine finalement plus saine et rassurante, mĂȘme si on arrive parfois Ă  s’isoler de ces congĂ©nĂšres qui ne comprennent pas, se foutent, ou ne veulent pas changer leurs habitudes et ça se comprend finalement (Facebook a gagnĂ© depuis longtemps).

À l’ùre du capitalisme de la donnĂ©e personnelle et de la surveillance, manies dangereuses que peuvent avoir gouvernements, partis politiques, entreprises ou individus mal intentionnĂ©s, il n’y a que des arguments positifs pour ĂȘtre vigilant quant Ă  ses usages du numĂ©rique.

Parfois certaines choses peuvent ĂȘtre rĂ©barbatives, mais dans la oĂč trop d’acteurs du numĂ©rique et du web se gavent sur nos vies, il est grand temps de reprendre le contrĂŽle.

Dans la vraie vie l’affaire se corse de plus en plus, d’autant plus que l’on tend Ă  aller vers des Ă©tats autoritaires et policiers, mĂȘme en France. DĂ©jĂ , le fait d’utiliser TOR, Tails ou des produits open source et libres peut avoir un effet : soit de passer pour un marginal (mouarf, quand on est barbu, en short et tongs, avec un t-shirt des Foufounes Electriques c’est pas ça qui va aggraver les choses), soit d’attirer l’attention et le soupçon car “on a quelque chose Ă  cacher”. Aaaaaaaah le “je m’en fous, j’ai rien Ă  cacher”, ce mantra du XXIĂšme siĂšcle qui aurai pu ĂȘtre repris dans les annĂ©es 1940 par les collabos. On a tous quelque chose Ă  cacher : sa vie privĂ©e. Si ça vous choque, allez vous faire foutre. Mais effectivement, quand les relents fachistes reviennent, et ce par une majoritĂ© de partis politiques (LREM, LR, RN, mĂȘme combat) avec de vellĂ©itĂ©s policiĂšres, animĂ©es par le besoin viscĂ©ral de mettre en place une sociĂ©tĂ© de la surveillance, la Loi commence Ă  se casser la gueule (et la technique en chie aussi).

DĂ©jĂ , il existe des solutions techniques commercialisĂ©es par des boites israĂ©liennes comme Cellebrite pour pĂ©nĂ©trer dans des appareils et accĂ©der Ă  son contenu, mĂȘme s’il est chiffrĂ©.

Ou autre chose oĂč la Loi a cĂ©dĂ©, le code permettant de dĂ©verrouiller son smartphone peut ĂȘtre considĂ©rĂ© comme une convention de chiffrement. Refuser de le donner, mĂȘme en garde Ă  vue, peut donc ĂȘtre un dĂ©lit. Ce fil Reddit est intĂ©ressant, cet article Next Inpact aussi.

Le fait d’utiliser des apps comme OONI Probe peut ĂȘtre risquĂ© comme indiquĂ© sur leur site.

Le fait de vouloir ĂȘtre anonyme sur le web (en partant du prĂ©dicat que c’est possible), ou ĂȘtre pseudonyme en Ă©nerve plus d’un. À l’heure oĂč la plĂšbe est gavĂ©e aux news anxiogĂšnes des chaines d’infos en continue, qui relayent constamment le dĂ©gueuli haineux d’un large pan du monde politique, on constate que c’est la faute des rĂ©zosssossio. Que Internet ilĂ©mĂ©chan. Que les terrorisses ils utilisent des trucs cryptĂ©s (sic) du deep dark web (mais fait chier !) et que faut surveiller tout le monde. Pour ces gens lĂ , deux cas de figure : soit on les Ă©duque Ă  ces sujets, pour l’avoir fait c’est cool mais ça prend du temps, mais c’est utile (et c’est sympa Ă  faire), soit on considĂšre qu’ils font eux-mĂȘme partie du problĂšme. Il faut toujours une masse beuglante pour soutenir des idĂ©es nausĂ©abondes. À ceux-lĂ , une seule chose Ă  dire : allez clairement vous faire foutre.

S’attaquer au chiffrement, s’attaquer Ă  l’anonymat, c’est s’attaquer aux libertĂ©s fondamentales, dont celle d’expression. Mais des politicards de carriĂšre comme Avia ou Ciotti n’en ont strictement rien Ă  faire, depuis facilement 2007.

Pour paraphraser Benjamin Franklin, si vous voulez sacrifier un peu de votre libertĂ© pour plus de sĂ©curitĂ©, vous ne mĂ©ritez ni l’une ni n’autre.

Et si vous dütes que l’on peut faire confiance à ceux qui nous surveillent, posez-vous la question : qui gardera les gardiens ?

Chacun ses combats, mais j’imagine qu’avec ce genre de propos on risque d’ĂȘtre fichĂ© pour radicalisme.

Bon, et sinon des trucs Ă  voir ?

Quelques éléments en vrac à voir tranquillement :

— DerniĂšre mise Ă  jour : mercredi 9 fĂ©vrier 2022 PrĂ©cĂ©demment sur Medium et paper.wf —

Did you enjoy reading this blog? Give me a beer đŸș or use something else â€ïžâ€đŸ”„ Licensed under CC-BY-SA 4.0 Opinions are my own, even if I have some interests. For any comment or to contact me, feel free to choose the most suitable medium for you.

Privacy or sensitive data
 a list of tools to protect your Юѕѕ

đŸ‡ș🇾 – Friday, August, 17th 2018

Keywords: #privacy, #data, #censorship, #surveillance, #freedom

Sometimes friends of mine asked me why I am so interested in subjects and tools related to privacy, data and share. I answered them because they are quite fun themas, and make us be aware of the use of digital tools we have. They also make us looking for new solutions and solve hard challenges so as to reach both a kind of wahoo effect and innovation. But sometimes they asked me which tools they should use so as to protect their data or just secure their devices. When I answered them I forgot some details or cool softwares which could have help them. So here we are, this is a list of tools you can use, share and improve if you are worried about your privacy, your sensitive data or the protection of the use of your daily tools.

🌐 1 — Web browsing

You should choose free and open source web browsers who are not maintained by companies looking for profits.

Some of them are dedicated to privacy like Brave, Orfox (from the Guardian Project) or Firefox Focus. Others can possess dedicated extensions like Firefox or are already configured like Tor Browser. But the browser is not enough, you have the right to define another search engine like Qwant or DuckDuckGo! Such engines do not contain trackers and do not use for example your location in order to provide to you the best list of sushis bar for the dinner you have around you. The user experience is a bit degraded, but it is a question of search request after all.

🚀 2 — Networking

Use safe browsers is a good idea. but what if the network you use is public or cannot be trusted? What should you do if you are using for example Wi-Fi hotspots?

You can still use TOR: with its onion routing and its shiny hammer, you may have a more secure but a slower connection from your device to the destination server. Be aware in this case the final layer of your onion can betray you, and sometimes computers can be confiscated for legal reasons. You can still use some VPN solutions like ProtonVPN and OpenVPN which make harder the read of your connection payloads. Another fun tool for Android and iOS powered devices is OONI probe: a kind of probe which checks if censorship has been implemented in the network you use. Beware the probe collects evidences of censorship by checking connections to certain websites which can have their content regulated or forbidden (like porn). Measurements data can be collected and available on this web page. DNS configuration can be changed to prevent your web navigation of being blocked: Quad9, Google, OpenDNS, Cloudflare, FDN, FreeDNS... no need to keep the default one!

📡 3 — Web tracking

There are a quite big list of add-ons to plug on your favorite web browser so as to check whether a web site is tracking you or not. Collect of data, locations, configuration of your device, cookies, JavaScript scripts, redirections, profile creations, all those boring things which help companies to earn money and define their audience can be blocked.

For example you can find for Firefox several plugins like Kimetrack, Privacy Badger and No Script. They allow you to disable third party scripts which are not useful for you. They give you also a lot of details about the trackers the pages may have.

💈 4 — App stores

For some operating systems like GNU/Linux and Android, we can use alternative app stores to get applications and other software. Even if some of them are not verified by the OS owner (e.g. with Google and its Google Play), alternative stores can bring to light free and open source applications respectful to your private life. They possess also applications which do not apply to the rules of the official store owner, rules which can be very boring for developers. But with these alternative stores, it will be your job to trust the app and not to complain the bad behaviors they can have on your device (malwares are spreading a lot within Android ecosystem because of those stores).

Did you know for Android F-Droid and Yalp? No? Time to move and try :)

💿 5 — Operating systems

The first thing to change if you are worried about your privacy is the operating system (OS) you have on your computer, smartphones, tablets or whatever you use. Avoid the use of black-box OS like Windows: if you cannot see what it is doing, do not use it.

For computers, GNU/Linux based OS are numerous: Ubuntu (not a big fan but it’s a start), Debian, ArchLinux (if you have a beard) or Gentoo (if you have an Albus Dumbledore’s white beard and a pointed hat). There are other systems dedicated to privacy and private life protection: Qubes OS, Tails or PureOS for examples. You can replace your smartphones and tablets OS based on Android by LineageOS (a fork of Android) or eelo (a new starting project). You must keep in mind if you are not using the official OS of your device, you may have security fixes and bug patches later than others or never...

And what if I bought a computer with such OS instead of installing it? Have a look on Minifree! They sell laptops with preinstalled GNU/Linux OS and free BIOS certified by the Free Software Foundation. Check their website, you may discover a laptop matching your needs :)

📬 6 — Messaging

Instant messaging, SMS, voice chats, emails... Who owns the apps you use daily? It might be mainly Google (Gmail, Hangouts), Apple (iMessage), Microsoft (Skype, Outlook) and Facebook (WhatsApp, Messenger), thus companies who must be interested by your data.

Have a look of enciphered SMS with Silence, and encrypted communications with Signal. Telegram is not so evil, but is concerned by political issues... Did you notice the chat app used by some of Mr Robot’s characters? It’s Wickr. This web site is able to help you to choose the most suitable app for you. “And what about my emails” do you think? Have a look on ProtonMail.

🔧 7 — Daily tools

Look deeper in the tools you use daily on your computer or your smartphone: you may see things you can replace by free or open source or privacy-respectful versions.

Have a look on softwares made by Cozy Cloud and Framasoft. Need to store your passwords or looking for an efficient software which can build for your very strong credentials? Why no... Keepass! Your device contains pictures of your kids, contact of your lover, or your personal tasks and thoughts of the day. Did you think to protect them with encryption? Plenty of operating systems provide such tools in their settings, move on! You can also have a look on VeraCrypt. If you want to hide information with pictures or sounds, thus use steganography and go to DeepSound and SilentEye websites. Yep, Mr Robot again :)

💰 8 — Payment

OK this part is far less feasible because of the laws of countries and all the bullshit you can see in not specialized press. Nevertheless if I want to talk about privacy, I cannot miss to introduce cryptocurrencies.

When you buy something on the Internet or withdraw money using fiat currencies (e.g. USD, EURO, YEN, ...) you leave traces for your bank and it can be very useful if your payment card has been stolen or pirated: block the card, cancel transactions, alert you in case of strange moves. We can read several things about cryptocurrencies: they are gorgeous, they can make you earn a lot of money and perfectly anonymous. Please stop now. This is not true at all, but some cryptocurrencies like Zcash and Monero are anonymous (a bright article here): if you make a transaction, no one can find the sender (you) and the receiver. For these two, the side effect is transactions cannot be removed, because they are stored in a blockchain, but that’s another story.

đŸ•” 9 — Security

Did I say the previous parts were tricky? This one is harder. If you want to protect your privacy, data and your private life when you use softwares, you have to put your trust on them. But how to be sure the softwares, devices and network connections you use are safe? Keep in mind they can be spied, or contain flaws from where data can be stolen, or worse with backdoors and remote control system.

Hopefully there are some of tools you can use if you are skilled enough so as to check whether an app or a connection is clean or not. Have a look of the the Kali OS and the Metasploit framework, they are great tools to tests applications, OS, networks
 If you are able to break your target or exploit it, it means other people can do so. Feel free to test but respect the law about that 8-)

⛩ 10 — The most important: people

Honestly I did not find all these tools on my own. I discussed with friends and colleagues, and read organizations blogs. Thus if you want to protect your ĐŽss and keep your things safe, you should check the news of some serious and harsh groups, they can warn people if big problems occur.

I place here unordered groups like the Electronic Frontier Foundation, the Guardian Project, La Quadrature du Net, the TOR Project, the Open Observatory of Network Interference, Exodus Privacy, the Ministry of Freedom, the Free Software Foundation and April.

đŸŽâ€â˜ ïž TL ; DR — Conclusion

Privacy, data, private life, web uses
 we must be worried about them. We should ask to ourselves questions: what if my device is stolen? What if we have a massive data theft? What if we learn companies are spying us? How can we protect our devices as strongly as possible?

We have a lot of tools, applications, operating systems and devices. I just wrote here a small sample of them. Some of them may be Single Points of Failure so do not put all of your sensitive data in one medium. Free and open source worlds are far more convinced about privacy and private life than bg companies. Security and privacy protection make us create new solutions and help innovation. Hacktivism can bring to the light the bad behaviors of companies. People need to protect and defend their data and their private life, because damages can be massive in case of censorship, flaws or bugs. If your are not convinced, I advise you to read some great books: you might have another point of view after that: 1984 of George Orwell and 2084 written by Boualem Sansal.

Cheers!

— Last update: Friday, August, 17th 2018 Previously on Medium and paper.wf —

Did you enjoy reading this blog? Give me a beer đŸș or use something else â€ïžâ€đŸ”„ Licensed under CC-BY-SA 4.0 Opinions are my own, even if I have some interests. For any comment or to contact me, feel free to choose the most suitable medium for you.