Ă propos dâhygiĂšne numĂ©rique
đ«đ· â mercredi 11 novembre 2020
Mots clés : #privacy, #numérique, #web, #résilience, #data
Cet article a surtout une volontĂ© de titiller la curiositĂ© des uns et des autres ; beaucoup de sujets sont totalement en dehors de mes compĂ©tences donc je ne mâĂ©talerais pas dessus. Juste envie de donner quelques billes Ă celles et ceux qui, en 2020, se demandent comme protĂ©ger leur vie privĂ©e et leurs usages du numĂ©rique Ă lâĂšre de la surveillance gĂ©nĂ©ralisĂ©e et du soupçon permanent.
TL ; DR
DĂ©gagez de Facebook, arrĂȘtez de raconter votre vie sur Instagram car on sâen branle, passez au moins sur Signal, abonnez-vous Ă Next Inpact faĂźtes des dons Ă La Quadrature et Framasoft, faites vos mises Ă jour, utilisez du liquide, naviguez via TOR, intĂ©grez de lâopen source et du libre, dĂ©finissez des gros mots de passe fiables, chiffrez ce que vous pouvez, soyez des Pirates, lisez de la SF, et sortez couverts. Nous avons toutes et tous nos vies privĂ©es Ă cacher, et on va en chier de plus en plus â€.
1 â Le ModĂšle de Menace
DerriĂšre ce terme un peu parano se cache lâensemble des Ă©lĂ©ments perturbateurs concernant notre vie numĂ©rique.
Tout le monde nâa pas nĂ©cessairement le mĂȘme modĂšle, quelques exemples bruts sans jugement :
- des manifestants à Hong-Kong se méfiant du gouvernement de Pékin
- des opposants au Kremlin cherchant à converser en toute tranquillité
- des ZADistes, Gilets Jaunes, black-blocs, manifestants quels quâils soient, et aussi tristement des terroristes et fanatiques, quant Ă eux, voulant se protĂ©ger de la surveillance policiĂšre
- des gardiens de la paix qui ont besoin de protéger leurs familles
- des lanceurs dâalertes agissant en toute discrĂ©tion vis Ă vis de leur employeur
- des victimes de violences conjugales ou personnes LGBTQIA+ fuyant un environnement familial toxique voire dangereux
- des journalistes voulant échanger avec leurs sources et les protéger
- des enquĂȘteurs, Ă©lus, diplomates, ou toute personne ayant des postes Ă risque voulant sâassurer que leurs communications Ă©lectroniques soient sures et fiables
- des personnes lambda ayant simplement envie dâĂȘtre tranquilles vis Ă vis des gĂ©ants du numĂ©rique ou dâĂ©ventuels problĂšmes
- âŠ
Bref, selon de quoi on cherche Ă se protĂ©ger ou ce que lâon cherche Ă fuir, on ne mettra pas en place les mĂȘmes mĂ©thodes.
Quelques pistes ici, sans ordonnancement particulier, que jâai pu expĂ©rimenter ou appliquer moi-mĂȘme ou juste dĂ©couvrir via dâautres personnes (et des ressources vraiment intĂ©ressantes que jâinvite Ă consulter en bas de page).
2 â LâAuthentification
DĂ©jĂ , revoir sĂ©rieusement la maniĂšre dont on sâauthentifie Ă des services numĂ©riques, et ça commence par les mots de passe.
Câest toujours pĂ©nible de voir beaucoup de sites web et applications demandant des mots de passe prĂ©tendument forts alors que leur complexitĂ© est faible, et quâil nây a aucune politique de renouvellement rĂ©gulier. Pour le coup, un bon mot de passe est trĂšs long, avec des chiffres, des lettres minuscules et majuscules, des caractĂšres spĂ©ciaux, et est changĂ© frĂ©quemment. Il doit ĂȘtre bien entendu unique. Mais comment retenir ces informations pour le coup ? Simplement en utilisant des gestionnaires de mots de passe comme Keepass. Jâaime bien cet outil qui est libre, open source, permet de gĂ©nĂ©rer ses mots de passe et donne des rappels sur la date Ă laquelle il faut les changer. Finalement on devrait dire des âphrases de passeâ.
Le niveau supĂ©rieur est dâutiliser une authentification Ă deux facteurs. Personnellement jâaime peu la biomĂ©trie, car que ce soit ses empreintes digitales, son visage ou ses iris, aucun de ses Ă©lĂ©ments nâest rĂ©vocable. Et ne me parlez pas de cette connerie de projet ALICEM. Ainsi, si lâun dâeux est subtilisĂ©, commencera une belle galĂšre pour prouver que ce nâĂ©tait pas vous. Certains constructeurs, comme Apple, affirment que leurs systĂšmes de dĂ©tection de visage ou dâempreinte digitale (FaceID et TouchID) sont trĂšs fiables, dans une enclave sĂ©curisĂ©e sur la puce des iBidules. Chacun est libre de se faire son avis (aprĂšs tout, la protection de la vie privĂ©e fait partie du business de la firme Ă la pomme) mais par moment lâhistoire montre que des entreprises comme Cellebrite arrivent Ă casser les protections dâiPhones pour rĂ©cupĂ©rer leur contenu. Ă relativiser finalement ?
Du coup, jâaime bien lâauthentification par code gĂ©nĂ©rĂ©. On peut les recevoir par mĂ©ls selon les services, ou les voir se gĂ©nĂ©rer sur son appareil avec des apps comme Google Authenticator ou andOTP, ça sous-entend quand mĂȘme de sĂ©curiser ses boites mĂ©ls et appareils. On peut aussi passer par des systĂšmes de clĂ©s physiques, comme les Yubikey.
3 â Les SystĂšmes dâExploitation
Dans la mesure oĂč on passe plus de X heures par jour sur son smartphone ou devant un Ă©cran, il y a un Ă©lĂ©ment sur lequel on compte malgrĂ© nous : le systĂšme dâexploitation des ordinateurs, tablettes ou smartphones.
Quel est le mieux finalement ? Passer son temps et construire sa vie numĂ©rique sur une machine dont personne ou presque ne peut voir ce quâil y a sous le capot (comme Windows), systĂšme propriĂ©taire, fermĂ© et en boite noire, ou utiliser un systĂšme libre et open source dont la communautĂ© peut vĂ©rifier Ă ton moment le fonctionnement comme des distributions GNU/Linux type Debian ou Ubuntu ? Bien entendu, ces systĂšmes sont diffĂ©rents et ne rĂ©pondent pas forcĂ©ment aux mĂȘmes besoins, il faut lâadmettre. Jouer au dernier jeu vidĂ©o qui en met plein la rĂ©tine sur Linux, câest encore compliquĂ©, mais sâil sâagit dâaller sur le web ou faire de la bureautique, Windows est superflu.
On peut se poser la mĂȘme question pour les smartphones et tablettes. Si je prends le dernier Google Pixel avec sa version dâAndroid, je serais tranquille quelques petites annĂ©es pour les mises Ă jour. Mais en contrepartie, ma vie numĂ©rique est pas mal boulottĂ©e par Google, que ce soit via lâusage dâun compte Google dans lâapp, mais aussi ses Play Service> ou les autres analytics. Par contre, si je veux que mon âvieuxâ smartphone, plus supportĂ© depuis âlongtempsâ par son constructeur, soit toujours Ă jour, je fais comment ? Si je veux me dĂ©barrasser du superflu de Google ou profiter de mon appareil alors quâune citrouille Ă perruque a interdit dans mon pays lâusage de produits amĂ©ricains (comme Android, Google Maps, Google PlayâŠ), je fais comment ? Câest lĂ quâil faut se tourner vers des systĂšmes alternatifs, mĂȘme si certains demandent de la patience et un peu de savoir-faire pour ĂȘtre installĂ©s. On retrouve LineageOS (avec la suite microG, ou OpenGapps) mais aussi /e/ qui propose de plus en plus de choses ! Ou alors, on repasse tous au Nokia 3310 et on est bon.
4 â Les Boutiques dâApps
Dâailleurs, vu quâon parle de mobile, il en va de mĂȘme pour les boutiques dâapplications. Passer par Google Play ou lâApp Store revient Ă dĂ©pendre lourdement de Google ou Apple, mĂȘme si cela prĂ©sente certains avantages (notamment en terme de sĂ©curitĂ© avec le contrĂŽle des apps pouvant ĂȘtre frauduleuses ou vĂ©rolĂ©es). Si passer par celles-ci vous dĂ©rangent, ça peut valoir le coup de tester F-Droid cĂŽtĂ© Android (mĂȘme si on est sur un catalogue bien diffĂ©rent), ou des systĂšmes qui âfiloutentâ comme Aurora ou Yalp. CĂŽtĂ© iOS, il y aurait AltStore, mais je nâai jamais testĂ©.
5 â Les Mises Ă Jour
Et vu que lâon parle dâapps et de systĂšmes dâexploitation, autant aborder le sujet maintenant : les mises Ă jour. Il nây a rien de pire quâavoir un ordinateur ou un smartphone qui nâest pas Ă jour, notamment parce quâil ne reçoit pas les mises Ă jour de sĂ©curitĂ©. Dit autrement, ces logiciels non Ă jour risque dâĂȘtre de vraies passoires. Dans la mesure du possible, il faut les faire, et si on peut utiliser un produit qui a un support trĂšs long, câest mieux. Dans le cas contraire on ferait face Ă un appareil qui, en plus de nous avoir coutĂ© des sous Ă lâachat, risque de dissĂ©miner notre vie numĂ©rique et dâapporter de gros problĂšmes Ă cause dâun manque de support de la part du constructeur ou du fournisseur du systĂšme. Câest encore plus vrai pour Windows et Android.
6 â Le Web, et la Navigation
On ne va pas se mentir, au XXIĂšme siĂšcle la âdataâ est le nouvel El Dorado des entreprises ayant un pied dans le numĂ©rique. Certaines comme Criteo en font leur fond de commerce, dâautres comme Cambridge Analytica se trouvent empĂȘtrĂ©es dans des scandales, quand ce ne sont pas des gĂ©ants de la tech qui ont leur revenus essentiellement basĂ©s sur lâexploitation des donnĂ©es personnelles (comme Google ou Amazon), ou encore des sociĂ©tĂ©s qui ont au travers de leurs sites web une tĂ©trachiĂ©e de mouchards (comme Le Bon Coin). Le point commun des ces entreprises ? Leurs applications web (entre autres, mais pas que). On constate vite que naviguer sur le web revient Ă sâexposer manifestement, que ce soit par le biais de cookies ou via le browser fingerprinting.
Pour remédier à ça, déjà dégager les navigateurs web propriétaires comme Chrime et Edge, et à la rigueur passer par Chromium ou Brave. Sinon le navigateur web de TOR er Firefox font le job, encore plus quand on les enrichit de plugins comme Privacy Badger ou No Script.
Et quand on passe par une application mobile ânativeâ, lâaffaire se corse ; câest tout de suite moins simple de bloquer les comportements mouchards. Pour pallier à ça, il existe des apps (pour appareils mobiles comme ordinateurs) qui font office de proxy et qui peuvent filtrer les requĂȘtes rĂ©seaux entrantes et sortantes. Ainsi, on peut bloquer plus facilement les Ă©changes avec des services de tracking. Le fait est que, selon comment est faite lâapp en question, si on bloque ce genre dâĂ©changes on peut se retrouver avec une app non fonctionnelle. Arf. Personnellement jâaime bien, dans un environnement Apple, Charles Proxy et Little Snitch. Android, ne pas hĂ©siter Ă passer par Exodus Privacy qui aide Ă lister les mouchards avec un travail formidable ! Sinon il y a aussi Blokada, le bloqueur de pub pour Android et iOS.
Je nâai pas parlĂ© non plus des moteurs de recherche. Certains sont Ă oublier, dâune autre Ă©poque et inefficaces comme Yahoo ou Bing. Dâautres comme DuckDuckGo font carrĂ©ment le job Quand Ă Google, on repassera pour la vie privĂ©e, et si on lâempĂȘche dâĂȘtre trop curieux sur notre historique, les rĂ©sultats fournis ne sont pas aussi intĂ©ressants. Dâailleurs, le classement dans les rĂ©sultats de recherche se monĂ©tise, tout comme la pub quâon y voit. Bref, Ă Ă©viter. Quant Ă Qwant, mbof. Yâa mieux mais yâa pire. On a aussi Startpage qui fait de la protection de la vie privĂ©e son fer de lance, jamais trop testĂ©.
Une autre chose Ă faire aussi, de temps en temps, en utilisant plusieurs moteurs de recherche diffĂ©rents pour croiser les rĂ©sultats, câest de faire des recherches⊠sur soi et ses proches. LâintĂ©rĂȘt ici nâest pas de flatter son Ă©go, mais de voir sâil y a des choses qui nous concernent directement ou non sur les internets, comme des vieilles photos, des vieux forums ou autre chose.
7 â Une question de redondance
Vous avez votre ordinateur, votre smartphone ou votre tablette, ok. Mais il se passe quoi si on vous vole votre smartphone, ou si votre tablette tombe en panne, ou si votre ordinateur est compromis ou corrompu avec des malwares comme Petya, NotPetya ou Locki ? Si vous nâavez pas de sauvegardes de vos documents, vous ĂȘtes dans la mouise. Bye bye les photos de vacances, adios les documents importants, sayonara les recettes de tata Lucettte. DâoĂč finalement la nĂ©cessiter de copier, sauvegarder, âredonderâ ses documents importants.
On peut imaginer passer par un cloud oĂč on met en vrac tout notre bordel de fichier, ou alors copier lâessentiel sur des disques durs externes ou des clĂ©s USB (voire des CD-ROM pour les nostalgiques). Ăa aura au moins le mĂ©rite de faire des enregistrements de vos fichiers importants sur autre chose que votre appareil habituel. Faire ce genre de sauvegarde nâest pas une activitĂ© trĂšs fun, mais elle peut ĂȘtre salvatrice.
8 â Puisquâon parle de cloud
Le marketing sâest emparĂ© de maniĂšre Ă©hontĂ©e du cloud, lâinformatique en nuage, cet endroit magique oĂč on peut mettre en vrac tout plein de trucs. Soyons honnĂȘte : le cloud reste un ensemble de machines qui ne vous appartient pas, et sur lequel vous nâavez strictement aucun contrĂŽle, et qui peut laisser les autoritĂ©s accĂ©der au contenu. Cela peut ĂȘtre rassurant de savoir que ces photos de vacances sont sauvegardĂ©es chez un hĂ©bergeur cloud quelconque ; mais rien ne vous garantit quâune personne travaillant chez cet hĂ©bergeur nâait accĂšs Ă vos photos. Question de confiance.
Du coup, lequel choisir ? Ă vous de voir, et je ne tiens pas Ă faire du placement de produit. Dâune part parce que le cloud (et aussi les rĂ©seaux) sont pour moi des trucs magiques et nĂ©buleux, dâautre part car je nâai jamais fait dâĂ©tude comparative sĂ©rieuse entre chacun dâentre eux. Toujours est-il quâon a par exemple Google Drive qui offre 15 Go de stockage en ligne, et ça a largement de quoi faire. Par contre, niveau vie privĂ©e on repassera. On a aussi iCloud Drive qui va chiffrer davantage certains Ă©lĂ©ments qui y sont stockĂ©s via vos iBidules. On peut citer DropBox, mais bon. Ou alors, allez faire un tour du cĂŽtĂ© des C.H.A.T.O.N.S.et des hĂ©bergeurs sĂ©rieux et propres comme Cozy Cloud (avec des tarifs vraiment dĂ©risoires) ou Zaclys.
Il existe des solutions comme ownCloud ou NextCloud oĂč on hĂ©berge nous-mĂȘmes nos propres âcloudsâ, que ce soit Ă la maison ou sur de serveurs dĂ©diĂ©s, on a lâavantage de gĂ©rer nous-mĂȘme lâoutil qui permet de stocker ses documents. Ăa demande plus de boulot par contre. Yunohost est aussi sympa dans son genre si on peut partager des choses.
Autant on parle de documents, autant quand on parle de cloud on peut penser aussi Ă sa gestion des contacts, mails et calendriers. Aujourdâhui, beaucoup de personnes ont un compte Google ou MSN / Hotmail / Outlook pour gĂ©rer les mails, le carnet dâadresse et les agendas. Mais finalement, on en revient au mĂȘme point : des entreprises, pas forcĂ©ment vertueuses, souvent des poids lourds de la tech, peuvent (ou non) accĂ©der Ă ces informations et les exploiter, le tout avec votre accord car vous nâavez pas eu envie de lire les 3 kilomĂštres de conditions dâutilisation. Et quand on accĂšde aux contacts, correspondances et agenda dâune personne, on en revient au temps de la Stasi : good bye vie privĂ©e. Mais du coup, comment faire pour Ă©viter de balancer Ă ces entreprises les infos perso de ses contacts ?
Une solution, par exemple, est dâaller voir chez Gandi (mon article, mes placements de produits, na !). Gandi permet dâacheter des noms de domaines (comme cafe-vie-privee-lannion.bzh), dâhĂ©berger son site web, et aussi⊠de gĂ©rer ses mails. Gandi, pour ça, propose diffĂ©rents portails comme Roundcube ou SOGo. SOGo propose une interface simple, jolie, qui gĂšre les courriels et qui permet de gĂ©rer ses agendas et carnets dâadresses. Une rapide manipulation sur son smartphone permet de mettre en place une synchronisation entre ce service et son appareil. Ainsi, on dĂ©centralise ses contacts et agendas !
9 â Et si on chiffrait ?
On va ĂȘtre direct tout de suite : si un jour cet article vient Ă ĂȘtre considĂ©rĂ© comme borderline, câest probablement Ă cause de ce point (ou des autres aussi dâailleurs). Le chiffrement peut ĂȘtre considĂ©rĂ© comme un matĂ©riel de guerre. Câest dit. Et dans la mesure oĂč des pĂ©dophiles, des trafiquants en tous genres, des fanatiques et autres terroristes aux idĂ©es courtes utilisent des messageries chiffrĂ©es (et-on-ne-dit-pas-crypter-bordel), je pense quâĂ terme toute volontĂ© pour le pĂ©quin lambda de chiffrer ses documents et Ă©changes sera trĂšs, trĂšs mal perçu par les autoritĂ©s. AprĂšs tout, si on nâa rien Ă cacher, oĂč est le problĂšme hein ?
LâintĂ©rĂȘt de chiffrer rĂ©side dans le fait de protĂ©ger le contenu de ces appareils, de protĂ©ger ses documents, de protĂ©ger ses communications, de tout regard non autorisĂ©. Alors oui, si des tarĂ©s chiffrent leurs smartphones qui comportent des photos de gosses nus, clairement, je nâenvie pas les enquĂȘteurs pour accĂ©der Ă ces informations et jâespĂšre quâils y arriveront. Mais admettons que lâon vous vole votre tĂ©lĂ©phone, ou que vous subissez un cambriolage dans lequel vos petits appareils sont volĂ©s (oh bah tiens, votre tablette ou votre disque de sauvegarde), vous allez vous sentir comment en sachant que les photos de vos enfants, vos soirĂ©es beuveries, les sextapes avec votre conjoint·e, ou vos bulletins de salaires et fichiers bancaires sont dans les mains dâinconnus ? Bon courage. Autant dâĂ©lĂ©ments qui peuvent servir Ă quelquâun voulant usurper votre identitĂ©.
De nos jours, les smartphones avec les derniers systĂšmes proposent un moyen de chiffrer le contenu de lâappareil, câest un bon dĂ©but. Sans le mot de passe principal, on est relativement tranquille. On a mĂȘme certains appareils comme les iPhones qui permettent la destruction des informations si le mot de passe de dĂ©verrouillage a Ă©tĂ© mal saisi X fois. Le FBI nâaime pas trop, mais ça ne semble pas lâarrĂȘter pour autant.
Sinon, pour vos ordinateurs, VeraCrypt fait le travail. Cet outil permet de crĂ©er un âvolumeâ, Ă savoir un dossier spĂ©cial, protĂ©gĂ© par mot de passe, chiffrĂ© comme vous voulez, dans lequel vous pouvez mettre ce qui compte pour vous. Ainsi, si votre ordinateur est volĂ©, ce qui est dans ce volume reste relativement protĂ©gĂ© (du moment que vous nây mettez pas un mot de passe bidon).
10 â Les messageries instantanĂ©es
Je vais ĂȘtre franc : cassez-vous de Facebook. Donc de Messenger, Instagram, WhatsApp Facebook est une des mĂ©tastases du cancer qui ronge le web. WeChat semble ĂȘtre noyautĂ© par PĂ©kin Quant Ă TikTok ou encore Snapshat... bref. Vous nâavez aucune vie privĂ©e avec ces outils. Vos Ă©changes sont scrutĂ©s par un des gĂ©ants du web. MĂȘme si WhatsApp revendique un chiffrement de bout en bout de vos Ă©changes, demandez-vous pourquoi son fondateur, qui a vendu son projet Ă Facebook pour une coquette somme, regrette et conseille de fuir lâapp.
Mais laquelle choisir pour des conversations en ligne, protĂ©gĂ©es, qui se fichent des frais de roaming et depuis nâimporte oĂč dans le monde ? Franchement je nâen sais rien, car chaque outil a ses avantages, mais aucun nâest parfait et tous ont des faiblesses (notamment quand on utilise plusieurs appareils). Ă une Ă©poque on pouvait citer Telegram qui se retrouve dans le viseur de diffĂ©rents pays, et qui passerait par des technologies propriĂ©taires (donc opaques finalement). Mais aujourdâhui jâaime bien Signal qui a le vent en poupe. On a Wikr aussi, Wire , et Keybase.io qui est par exemple utilisĂ© par des chercheurs en cybersĂ©curitĂ© comme fs0c131y. On a aussi Riot (maintenant rebaptisĂ© element) qui dâailleurs sert de base Ă Tchap , lâapplication souveraine de messagerie sĂ©curisĂ©e de lâĂtat français. Bref, câet le bordel. Il faut choisir sa crĂ©merie, et câest casse-tĂȘte par moment. Et poil dâaisselle sur le gĂąteau : lâEurope songe Ă sâattaquer Ă la confidentialitĂ© des communications, entre autres via ce genre dâapps.
11 â Des VPN ou TOR
Lorsque lâon navigue sur les internets (oui, on dit âles internetsâ), notre connexion le plus souvent est sĂ©curisĂ©e au travers du protocole HTTPS (je grossis les choses). Parfois certains sites web ne mettent pas Ă jour leurs certificats, ou ne passent que par du HTTP. Dans ce cas : fuyez-les, on est en 2020, lâhistoire nâa que trop dâexemples de cas de sites web compromis ou falsifiĂ©s Ă cause de connexions foireuses.
On peut passer par des Virtual Private Networks (VPN) pour cacher ses communications et âsortirâ dans le web Ă un endroit moins habituel. Clairement, il y a un paquet de ressources en ligne Ă ce sujet, et je ne vais pas les reprendre gauchement. Toujours est-il quâaucune solution nâest parfaite, et lĂ oĂč certaines se complaisent dans la communication marketing (comme NordVPN), dâautres semblent plus sĂ©rieuses (comme ProtonVPN ?). On peut retrouver des offres VPN avec certains navigateurs, comme Brave. Certains pays tentent de bannir leur usage, curieux nâest-ce pas ?
Autrement il y a TOR, The Onion Router. Pour savoir si un outil est efficace, il suffit parfois seulement de voir comment les gouvernements sâen prennent Ă lui. Des pays essayent ou rĂ©ussissent Ă bloquer lâusage de TOR ; on comprend que ça peut en gĂȘner plus dâun dâavoir des citoyens naviguant sur le web sans surveillance. TOR permet dâavoir une connexion rĂ©seau qui passe par 3 ânoeudsâ, chacun allant apporter sa couche de chiffrement. Lâavantage est dâavoir une communication davantage protĂ©gĂ©e des regards indiscrets, mais la navigation peut sâen trouver ralentie. Certains sites bloquent carrĂ©ment lâusage de TOR, dâautres voient leur mĂ©canisme de sĂ©curitĂ© dĂ©clenchĂ©s. Oui, bon nombre de âgrosâ sites vĂ©rifient lâhabitude de connexion de leurs utilisateurs ; et voir une connexion soudaine faite depuis un pays dâEurope de lâEst peut surprendre si on se connecte habituellement depuis le fin fond du Larzac TOR propose son navigateur web, Tor Browser, qui simplifie grandement son utilisation. Brave propose un systĂšme de navigation privĂ©e passant aussi par TOR. Firefox a depuis peu un plugin pour ça aussi.
Dâailleurs il y a cet article sympa de Framablog sur TOR et Nos Oignons, Ă lire tranquillement.
12 â Les rĂ©seaux
Le numĂ©rique a besoin du rĂ©seau, et beaucoup de choses peuvent se passer Ă ce niveau. Dâune part, le Domain Name System (DNS). Ces Ă©lĂ©ments du rĂ©seau permettent de rĂ©soudre des adresses web (comme pylapersonne.info en adresses IP (du genre 87.98.154.146) Ă laquelle va se connecter lâordinateur, la tablette, lâappareil connectĂ© ou le smartphone. Ces DNS se trouvent parfois au coeur des mĂ©canismes de censure ou de filtrage des rĂ©seaux. Les changer, et passer par des mĂ©canismes diffĂ©rents voire plus vertueux, permet de sâaffranchir de tentatives de censure ou de surveillance. Parmi les DNS, il y a ceux du Fournisseur dâAccĂšs Ă Internet (FAI), on peut penser Ă ceux de Google (8.8.8.8), OpenDNS ou Quad9 (9.9.9.9)
Justement, puisque lâon parle des FAI, on peut imaginer que certains commercialisent les donnĂ©es de navigation, ou analysent les recherches faites (ou pas). Dâautres comme AT&T ont Ă©tĂ© empĂȘtrĂ©s dans certains scandales. Pour le coup, il existe des FAI associatifs (comme FDN, dâailleurs allez voir aussi FĂ©dĂ©ration FDN) et des C.H.A.T.O.N.S qui peuvent proposer des services intĂ©ressants. Au CafĂ© Vie PrivĂ©e de Lannion en 2018, lâĂ©quipe de Faibreizh avait pu parler de son projet de FAI associatif.
Dernier point, les dĂ©tecteurs dâespions. Il existe des outils (comme des IMSI catchers) et divers procĂ©dĂ©s pour surveiller les rĂ©seaux et leur trafic, souvent pour des intĂ©rĂȘts totalement lĂ©gitimes, et des outils pour vĂ©rifier sâils sont mis en place ou non comme OONI Probe. Pour cette app, il y a une simulation de trafic vesrs des sites web pouvant ĂȘtre tendancieux, et le comportement obtenu permet de dĂ©terminer sâil y a de la surveillance. On peut se retrouver dans une situation oĂč le rĂ©seau est testĂ© avec du trafic considĂ©rĂ© comme criminel (par exemple les sites pornographiques en Egypte seraient interdits).
13 â On parle de la monnaie ?
Monopole dâĂ©tat, enfin pour la monnaie fiduciaire au moins en tout cas, les Ă©changes financiers en disent parfois trĂšs long sur notre vie privĂ©e, surtout quand on utilise le traceur par excellence proposĂ© avec un grand sourire par les banques : la carte bleue. Jâavais dĂ©jĂ pu en parler lors dâun cafĂ© vie privĂ©e, lâusage des cartes bleues diffuse beaucoup dâinformations personnelles. On y retrouve entre autres la date, le montant, et aussi le destinataire de la transaction. On est alors capable de dĂ©terminer, si certains motifs se rĂ©pĂštent, quelles sont nos habitudes de consommation (telle boutique en ligne, tel restau, tel bar), et aussi dâautres Ă©lĂ©ments plus personnels (la pension mensuelle pour son ancien·ne conjoint·e, le prĂȘt que lâon doit rembourser Ă un proche, etc).
Il y a difficilement des alternatives qui sont popularisĂ©es, il faut se contenter souvent de la monnaie fiduciaire (piĂšces et billets), ou alors tenter des monnaies libres locales comme la Ä1. On peut aussi, mĂȘme si câest le parfait exemple de truc cool dont lâusage nâest pas du tout rĂ©pandu, passer par certaines cryptomonnaies comme Monero ou Zcash (Europol apparement se cassant les dents sur Monero). Il y a quelques annĂ©es on aurait pu parler de Bitcoin, mais lâhistoire montre encore que la confidentialitĂ© des transactions nâest pas terrible du tout, comme ce fut le cas pour la rĂ©solution de lâaffaire Locky ou de celle de Silk Road pour retrouver les fonds.
14 â Et quoi dâautres sinon ?
Je ne suis pas du tout un expert en sécurité, en réseau, en web ou en transactions financiÚres, et à mon avis il faudrait un blog entier voire plusieurs bouquins pour traiter tous ces sujets.
Il y a quelques points que je nâai pas spĂ©cialement abordĂ©s. Par exemple, dans sa vie quotidienne oĂč le logiciel est quasiment partout, remplacer ses applications et logiciels propriĂ©taires par des alternative libres et open source. Naviguer avec Firefox, utiliser Ubnutu, passer par Libre Office, regarder des films sur VLC, utiliser OSMAnd pour ses ballades, passer par Open Street Map, il y a finalement pas mal de choses Ă dĂ©gager pour des alternatives plus saines ou des ersatz pas trop pourris.
Le software a une grosse place chez nous, mais aussi le hardware. Il existe des projets dâordinateurs portables et de smartphones qui ont Ă©tĂ© reconditionnĂ©s ou dĂšs le dĂ©but conçus pour protĂ©ger lâutilisateur et ses donnĂ©e numĂ©riques. En vrac il y a Purism avec ses ordinateurs et tĂ©lĂ©phones portables (avec du PureOS dedans), mais aussi le Pinephone ou des sites spĂ©cialisĂ©s comme Minifree ou Technoethical.
Dâailleurs, ça peut ĂȘtre l'occasion de faire attention Ă un truc auquel on pense rarement : les communications sans fil de nos appareils. HonnĂȘtement, quand ça ne sert pas, dĂ©sactivez les donnĂ©es cellulaires, le Bluetooth ou le WiFi. Vraiment. Dâune part car ça peut Ă©conomiser un peu de batterie, dâautre part dans certains cas vos smartphones vont Ă©mettre Ă fond pour tenter dâaccrocher une antenne, donc niveau exposition aux ondes câest pas terrible (alors dans une voiture sur autoroute ou un TGVâŠ). Par ailleurs, il y a tout un business mis en place concernant la âgĂ©olocalisation indoor/outdoorâ, Ă savoir le tracking de vos passages dans les rues et magasins. Cela se fait par exemple Ă lâaide de beacons ou de panneaux publicitaires connectĂ©s qui vont sâamuser Ă choper tous les appareils Ă proximitĂ© qui ont leur WiFi non dĂ©sactivĂ©.
On peut aussi Ă©voquer lâusage de messageries mĂ©ls chiffrĂ©es avec notamment lâusage de clĂ© GPG ou PGP. Là ça commence Ă ĂȘtre techniquement plus velu, et tous les logiciels de messagerie ne sont pas forcĂ©ment prĂȘts.
Il faut penser aussi Ă autre chose qui mĂ©riterait Ă mon avis un billet de blog Ă part : les mĂ©tadonnĂ©es. Ces informations sont embarquĂ©es un peu partout dans nos vidĂ©os, nos photos de vacances ou selfies, et en disent long sur nous. Selon lâapplication et lâappareil utilisĂ©s, on peut y retrouver la localisation GPS ou approximative, le modĂšle de lâappareil, les rĂ©glages appliquĂ©s, la date et lâheure, et aussi parfois une premiĂšre analyse du contenu de la photo ou la vidĂ©o. Ajouter donc ces souvenirs pictographiques Ă des siphons Ă donnĂ©es comme TikTok, Instagram ou Facebook qui font de la reconnaissance dâobjets, et vous pouvez exposer Ă des boites Ă©trangĂšres tentaculaires un pan entier de votre vie privĂ©e. Moi ça ne me fait pas du tout rĂȘver.
Bref
Dans la vie de tous les jours, utiliser ce genre dâoutils nâest pas plus compliquĂ© que ça pour la plupart, et ça en devient une routine finalement plus saine et rassurante, mĂȘme si on arrive parfois Ă sâisoler de ces congĂ©nĂšres qui ne comprennent pas, se foutent, ou ne veulent pas changer leurs habitudes et ça se comprend finalement (Facebook a gagnĂ© depuis longtemps).
Ă lâĂšre du capitalisme de la donnĂ©e personnelle et de la surveillance, manies dangereuses que peuvent avoir gouvernements, partis politiques, entreprises ou individus mal intentionnĂ©s, il nây a que des arguments positifs pour ĂȘtre vigilant quant Ă ses usages du numĂ©rique.
Parfois certaines choses peuvent ĂȘtre rĂ©barbatives, mais dans la oĂč trop dâacteurs du numĂ©rique et du web se gavent sur nos vies, il est grand temps de reprendre le contrĂŽle.
Dans la vraie vie lâaffaire se corse de plus en plus, dâautant plus que lâon tend Ă aller vers des Ă©tats autoritaires et policiers, mĂȘme en France. DĂ©jĂ , le fait dâutiliser TOR, Tails ou des produits open source et libres peut avoir un effet : soit de passer pour un marginal (mouarf, quand on est barbu, en short et tongs, avec un t-shirt des Foufounes Electriques câest pas ça qui va aggraver les choses), soit dâattirer lâattention et le soupçon car âon a quelque chose Ă cacherâ. Aaaaaaaah le âje mâen fous, jâai rien Ă cacherâ, ce mantra du XXIĂšme siĂšcle qui aurai pu ĂȘtre repris dans les annĂ©es 1940 par les collabos. On a tous quelque chose Ă cacher : sa vie privĂ©e. Si ça vous choque, allez vous faire foutre. Mais effectivement, quand les relents fachistes reviennent, et ce par une majoritĂ© de partis politiques (LREM, LR, RN, mĂȘme combat) avec de vellĂ©itĂ©s policiĂšres, animĂ©es par le besoin viscĂ©ral de mettre en place une sociĂ©tĂ© de la surveillance, la Loi commence Ă se casser la gueule (et la technique en chie aussi).
DĂ©jĂ , il existe des solutions techniques commercialisĂ©es par des boites israĂ©liennes comme Cellebrite pour pĂ©nĂ©trer dans des appareils et accĂ©der Ă son contenu, mĂȘme sâil est chiffrĂ©.
Ou autre chose oĂč la Loi a cĂ©dĂ©, le code permettant de dĂ©verrouiller son smartphone peut ĂȘtre considĂ©rĂ© comme une convention de chiffrement. Refuser de le donner, mĂȘme en garde Ă vue, peut donc ĂȘtre un dĂ©lit. Ce fil Reddit est intĂ©ressant, cet article Next Inpact aussi.
Le fait dâutiliser des apps comme OONI Probe peut ĂȘtre risquĂ© comme indiquĂ© sur leur site.
Le fait de vouloir ĂȘtre anonyme sur le web (en partant du prĂ©dicat que câest possible), ou ĂȘtre pseudonyme en Ă©nerve plus dâun. Ă lâheure oĂč la plĂšbe est gavĂ©e aux news anxiogĂšnes des chaines dâinfos en continue, qui relayent constamment le dĂ©gueuli haineux dâun large pan du monde politique, on constate que câest la faute des rĂ©zosssossio. Que Internet ilĂ©mĂ©chan. Que les terrorisses ils utilisent des trucs cryptĂ©s (sic) du deep dark web (mais fait chier !) et que faut surveiller tout le monde. Pour ces gens lĂ , deux cas de figure : soit on les Ă©duque Ă ces sujets, pour lâavoir fait câest cool mais ça prend du temps, mais câest utile (et câest sympa Ă faire), soit on considĂšre quâils font eux-mĂȘme partie du problĂšme. Il faut toujours une masse beuglante pour soutenir des idĂ©es nausĂ©abondes. Ă ceux-lĂ , une seule chose Ă dire : allez clairement vous faire foutre.
Sâattaquer au chiffrement, sâattaquer Ă lâanonymat, câest sâattaquer aux libertĂ©s fondamentales, dont celle dâexpression. Mais des politicards de carriĂšre comme Avia ou Ciotti nâen ont strictement rien Ă faire, depuis facilement 2007.
Pour paraphraser Benjamin Franklin, si vous voulez sacrifier un peu de votre libertĂ© pour plus de sĂ©curitĂ©, vous ne mĂ©ritez ni lâune ni nâautre.
Et si vous dĂźtes que lâon peut faire confiance Ă ceux qui nous surveillent, posez-vous la question : qui gardera les gardiens ?
Chacun ses combats, mais jâimagine quâavec ce genre de propos on risque dâĂȘtre fichĂ© pour radicalisme.
Bon, et sinon des trucs Ă voir ?
Quelques éléments en vrac à voir tranquillement :
â
DerniÚre mise à jour : mercredi 9 février 2022
Précédemment sur Medium et paper.wf
â
Did you enjoy reading this blog?
Give me a beer đș or use something else â€ïžâđ„
Licensed under CC-BY-SA 4.0.
Opinions are my own.
To contact me, feel free to choose the most suitable medium for you, or for example Mastodon.
