À propos d’hygiène numérique

🇫🇷 – mercredi 11 novembre 2020

Mots clés : #privacy, #numérique, #web, #résilience, #data

Cet article a surtout une volonté de titiller la curiosité des uns et des autres ; beaucoup de sujets sont totalement en dehors de mes compétences donc je ne m’étalerais pas dessus. Juste envie de donner quelques billes à celles et ceux qui, en 2020, se demandent comme protéger leur vie privée et leurs usages du numérique à l’ère de la surveillance généralisée et du soupçon permanent.

TL ; DR Dégagez de Facebook, arrêtez de raconter votre vie sur Instagram car on s’en branle, passez au moins sur Signal, abonnez-vous à Next Inpact faîtes des dons à La Quadrature et Framasoft, faites vos mises à jour, utilisez du liquide, naviguez via TOR, intégrez de l’open source et du libre, définissez des gros mots de passe fiables, chiffrez ce que vous pouvez, soyez des Pirates, lisez de la SF, et sortez couverts. Nous avons toutes et tous nos vies privées à cacher, et on va en chier de plus en plus ❤.

1 — Le Modèle de Menace

Derrière ce terme un peu parano se cache l’ensemble des éléments perturbateurs concernant notre vie numérique. Tout le monde n’a pas nécessairement le même modèle, quelques exemples bruts sans jugement :

• des manifestants à Hong-Kong se méfiant du gouvernement de Pékin
• des opposants au Kremlin cherchant à converser en toute tranquillité
• des ZADistes, Gilets Jaunes, black-blocs, manifestants quels qu’ils soient, et aussi tristement des terroristes et fanatiques, quant à eux, voulant se protéger de la surveillance policière
• des gardiens de la paix qui ont besoin de protéger leurs familles
• des lanceurs d’alertes agissant en toute discrétion vis à vis de leur employeur
• des victimes de violences conjugales ou personnes LGBTQIA+ fuyant un environnement familial toxique voire dangereux
• des journalistes voulant échanger avec leurs sources et les protéger
• des enquêteurs, élus, diplomates, ou toute personne ayant des postes à risque voulant s’assurer que leurs communications électroniques soient sures et fiables
• des personnes lambda ayant simplement envie d’être tranquilles vis à vis des géants du numérique ou d’éventuels problèmes
• …

Bref, selon de quoi on cherche à se protéger ou ce que l’on cherche à fuir, on ne mettra pas en place les mêmes méthodes.

Quelques pistes ici, sans ordonnancement particulier, que j’ai pu expérimenter ou appliquer moi-même ou juste découvrir via d’autres personnes (et des ressources vraiment intéressantes que j’invite à consulter en bas de page).

2 — L’Authentification

Déjà, revoir sérieusement la manière dont on s’authentifie à des services numériques, et ça commence par les mots de passe.

C’est toujours pénible de voir beaucoup de sites web et applications demandant des mots de passe prétendument forts alors que leur complexité est faible, et qu’il n’y a aucune politique de renouvellement régulier. Pour le coup, un bon mot de passe est très long, avec des chiffres, des lettres minuscules et majuscules, des caractères spéciaux, et est changé fréquemment. Il doit être bien entendu unique. Mais comment retenir ces informations pour le coup ? Simplement en utilisant des gestionnaires de mots de passe comme Keepass. J’aime bien cet outil qui est libre, open source, permet de générer ses mots de passe et donne des rappels sur la date à laquelle il faut les changer. Finalement on devrait dire des “phrases de passe”.

Le niveau supérieur est d’utiliser une authentification à deux facteurs. Personnellement j’aime peu la biométrie, car que ce soit ses empreintes digitales, son visage ou ses iris, aucun de ses éléments n’est révocable. Et ne me parlez pas de cette connerie de projet ALICEM. Ainsi, si l’un d’eux est subtilisé, commencera une belle galère pour prouver que ce n’était pas vous. Certains constructeurs, comme Apple, affirment que leurs systèmes de détection de visage ou d’empreinte digitale (FaceID et TouchID) sont très fiables, dans une enclave sécurisée sur la puce des iBidules. Chacun est libre de se faire son avis (après tout, la protection de la vie privée fait partie du business de la firme à la pomme) mais par moment l’histoire montre que des entreprises comme Cellebrite arrivent à casser les protections d’iPhones pour récupérer leur contenu. À relativiser finalement ?

Du coup, j’aime bien l’authentification par code généré. On peut les recevoir par méls selon les services, ou les voir se générer sur son appareil avec des apps comme Google Authenticator ou andOTP, ça sous-entend quand même de sécuriser ses boites méls et appareils. On peut aussi passer par des systèmes de clés physiques, comme les Yubikey.

3 — Les Systèmes d’Exploitation

Dans la mesure où on passe plus de X heures par jour sur son smartphone ou devant un écran, il y a un élément sur lequel on compte malgré nous : le système d’exploitation des ordinateurs, tablettes ou smartphones.

Quel est le mieux finalement ? Passer son temps et construire sa vie numérique sur une machine dont personne ou presque ne peut voir ce qu’il y a sous le capot (comme Windows), système propriétaire, fermé et en boite noire, ou utiliser un système libre et open source dont la communauté peut vérifier à ton moment le fonctionnement comme des distributions GNU/Linux type Debian ou Ubuntu ? Bien entendu, ces systèmes sont différents et ne répondent pas forcément aux mêmes besoins, il faut l’admettre. Jouer au dernier jeu vidéo qui en met plein la rétine sur Linux, c’est encore compliqué, mais s’il s’agit d’aller sur le web ou faire de la bureautique, Windows est superflu.

On peut se poser la même question pour les smartphones et tablettes. Si je prends le dernier Google Pixel avec sa version d’Android, je serais tranquille quelques petites années pour les mises à jour. Mais en contrepartie, ma vie numérique est pas mal boulottée par Google, que ce soit via l’usage d’un compte Google dans l’app, mais aussi ses Play Service> ou les autres analytics. Par contre, si je veux que mon “vieux” smartphone, plus supporté depuis “longtemps” par son constructeur, soit toujours à jour, je fais comment ? Si je veux me débarrasser du superflu de Google ou profiter de mon appareil alors qu’une citrouille à perruque a interdit dans mon pays l’usage de produits américains (comme Android, Google Maps, Google Play…), je fais comment ? C’est là qu’il faut se tourner vers des systèmes alternatifs, même si certains demandent de la patience et un peu de savoir-faire pour être installés. On retrouve LineageOS (avec la suite microG, ou OpenGapps) mais aussi /e/ qui propose de plus en plus de choses ! Ou alors, on repasse tous au Nokia 3310 et on est bon.

4 — Les Boutiques d’Apps

D’ailleurs, vu qu’on parle de mobile, il en va de même pour les boutiques d’applications. Passer par Google Play ou l’App Store revient à dépendre lourdement de Google ou Apple, même si cela présente certains avantages (notamment en terme de sécurité avec le contrôle des apps pouvant être frauduleuses ou vérolées). Si passer par celles-ci vous dérangent, ça peut valoir le coup de tester F-Droid côté Android (même si on est sur un catalogue bien différent), ou des systèmes qui “filoutent” comme Aurora ou Yalp. Côté iOS, il y aurait AltStore, mais je n’ai jamais testé.

5 — Les Mises à Jour

Et vu que l’on parle d’apps et de systèmes d’exploitation, autant aborder le sujet maintenant : les mises à jour. Il n’y a rien de pire qu’avoir un ordinateur ou un smartphone qui n’est pas à jour, notamment parce qu’il ne reçoit pas les mises à jour de sécurité. Dit autrement, ces logiciels non à jour risque d’être de vraies passoires. Dans la mesure du possible, il faut les faire, et si on peut utiliser un produit qui a un support très long, c’est mieux. Dans le cas contraire on ferait face à un appareil qui, en plus de nous avoir couté des sous à l’achat, risque de disséminer notre vie numérique et d’apporter de gros problèmes à cause d’un manque de support de la part du constructeur ou du fournisseur du système. C’est encore plus vrai pour Windows et Android.

6 — Le Web, et la Navigation

On ne va pas se mentir, au XXIème siècle la “data” est le nouvel El Dorado des entreprises ayant un pied dans le numérique. Certaines comme Criteo en font leur fond de commerce, d’autres comme Cambridge Analytica se trouvent empêtrées dans des scandales, quand ce ne sont pas des géants de la tech qui ont leur revenus essentiellement basés sur l’exploitation des données personnelles (comme Google ou Amazon), ou encore des sociétés qui ont au travers de leurs sites web une tétrachiée de mouchards (comme Le Bon Coin). Le point commun des ces entreprises ? Leurs applications web (entre autres, mais pas que). On constate vite que naviguer sur le web revient à s’exposer manifestement, que ce soit par le biais de cookies ou via le browser fingerprinting.

Pour remédier à ça, déjà dégager les navigateurs web propriétaires comme Chrime et Edge, et à la rigueur passer par Chromium ou Brave. Sinon le navigateur web de TOR er Firefox font le job, encore plus quand on les enrichit de plugins comme Privacy Badger ou No Script.

Et quand on passe par une application mobile “native”, l’affaire se corse ; c’est tout de suite moins simple de bloquer les comportements mouchards. Pour pallier à ça, il existe des apps (pour appareils mobiles comme ordinateurs) qui font office de proxy et qui peuvent filtrer les requêtes réseaux entrantes et sortantes. Ainsi, on peut bloquer plus facilement les échanges avec des services de tracking. Le fait est que, selon comment est faite l’app en question, si on bloque ce genre d’échanges on peut se retrouver avec une app non fonctionnelle. Arf. Personnellement j’aime bien, dans un environnement Apple, Charles Proxy et Little Snitch. Android, ne pas hésiter à passer par Exodus Privacy qui aide à lister les mouchards avec un travail formidable ! Sinon il y a aussi Blokada, le bloqueur de pub pour Android et iOS.

Je n’ai pas parlé non plus des moteurs de recherche. Certains sont à oublier, d’une autre époque et inefficaces comme Yahoo ou Bing. D’autres comme DuckDuckGo font carrément le job Quand à Google, on repassera pour la vie privée, et si on l’empêche d’être trop curieux sur notre historique, les résultats fournis ne sont pas aussi intéressants. D’ailleurs, le classement dans les résultats de recherche se monétise, tout comme la pub qu’on y voit. Bref, à éviter. Quant à Qwant, mbof. Y’a mieux mais y’a pire. On a aussi Startpage qui fait de la protection de la vie privée son fer de lance, jamais trop testé.

Une autre chose à faire aussi, de temps en temps, en utilisant plusieurs moteurs de recherche différents pour croiser les résultats, c’est de faire des recherches… sur soi et ses proches. L’intérêt ici n’est pas de flatter son égo, mais de voir s’il y a des choses qui nous concernent directement ou non sur les internets, comme des vieilles photos, des vieux forums ou autre chose.

7 — Une question de redondance

Vous avez votre ordinateur, votre smartphone ou votre tablette, ok. Mais il se passe quoi si on vous vole votre smartphone, ou si votre tablette tombe en panne, ou si votre ordinateur est compromis ou corrompu avec des malwares comme Petya, NotPetya ou Locki ? Si vous n’avez pas de sauvegardes de vos documents, vous êtes dans la mouise. Bye bye les photos de vacances, adios les documents importants, sayonara les recettes de tata Lucettte. D’où finalement la nécessiter de copier, sauvegarder, “redonder” ses documents importants.

On peut imaginer passer par un cloud où on met en vrac tout notre bordel de fichier, ou alors copier l’essentiel sur des disques durs externes ou des clés USB (voire des CD-ROM pour les nostalgiques). Ça aura au moins le mérite de faire des enregistrements de vos fichiers importants sur autre chose que votre appareil habituel. Faire ce genre de sauvegarde n’est pas une activité très fun, mais elle peut être salvatrice.

8 — Puisqu’on parle de cloud

Le marketing s’est emparé de manière éhontée du cloud, l’informatique en nuage, cet endroit magique où on peut mettre en vrac tout plein de trucs. Soyons honnête : le cloud reste un ensemble de machines qui ne vous appartient pas, et sur lequel vous n’avez strictement aucun contrôle, et qui peut laisser les autorités accéder au contenu. Cela peut être rassurant de savoir que ces photos de vacances sont sauvegardées chez un hébergeur cloud quelconque ; mais rien ne vous garantit qu’une personne travaillant chez cet hébergeur n’ait accès à vos photos. Question de confiance.

Du coup, lequel choisir ? À vous de voir, et je ne tiens pas à faire du placement de produit. D’une part parce que le cloud (et aussi les réseaux) sont pour moi des trucs magiques et nébuleux, d’autre part car je n’ai jamais fait d’étude comparative sérieuse entre chacun d’entre eux. Toujours est-il qu’on a par exemple Google Drive qui offre 15 Go de stockage en ligne, et ça a largement de quoi faire. Par contre, niveau vie privée on repassera. On a aussi iCloud Drive qui va chiffrer davantage certains éléments qui y sont stockés via vos iBidules. On peut citer DropBox, mais bon. Ou alors, allez faire un tour du côté des C.H.A.T.O.N.S.et des hébergeurs sérieux et propres comme Cozy Cloud (avec des tarifs vraiment dérisoires) ou Zaclys.

Il existe des solutions comme ownCloud ou NextCloud où on héberge nous-mêmes nos propres “clouds”, que ce soit à la maison ou sur de serveurs dédiés, on a l’avantage de gérer nous-même l’outil qui permet de stocker ses documents. Ça demande plus de boulot par contre. Yunohost est aussi sympa dans son genre si on peut partager des choses.

Autant on parle de documents, autant quand on parle de cloud on peut penser aussi à sa gestion des contacts, mails et calendriers. Aujourd’hui, beaucoup de personnes ont un compte Google ou MSN / Hotmail / Outlook pour gérer les mails, le carnet d’adresse et les agendas. Mais finalement, on en revient au même point : des entreprises, pas forcément vertueuses, souvent des poids lourds de la tech, peuvent (ou non) accéder à ces informations et les exploiter, le tout avec votre accord car vous n’avez pas eu envie de lire les 3 kilomètres de conditions d’utilisation. Et quand on accède aux contacts, correspondances et agenda d’une personne, on en revient au temps de la Stasi : good bye vie privée. Mais du coup, comment faire pour éviter de balancer à ces entreprises les infos perso de ses contacts ?

Une solution, par exemple, est d’aller voir chez Gandi (mon article, mes placements de produits, na !). Gandi permet d’acheter des noms de domaines (comme cafe-vie-privee-lannion.bzh), d’héberger son site web, et aussi… de gérer ses mails. Gandi, pour ça, propose différents portails comme Roundcube ou SOGo. SOGo propose une interface simple, jolie, qui gère les courriels et qui permet de gérer ses agendas et carnets d’adresses. Une rapide manipulation sur son smartphone permet de mettre en place une synchronisation entre ce service et son appareil. Ainsi, on décentralise ses contacts et agendas !

9 — Et si on chiffrait ?

On va être direct tout de suite : si un jour cet article vient à être considéré comme borderline, c’est probablement à cause de ce point (ou des autres aussi d’ailleurs). Le chiffrement peut être considéré comme un matériel de guerre. C’est dit. Et dans la mesure où des pédophiles, des trafiquants en tous genres, des fanatiques et autres terroristes aux idées courtes utilisent des messageries chiffrées (et-on-ne-dit-pas-crypter-bordel), je pense qu’à terme toute volonté pour le péquin lambda de chiffrer ses documents et échanges sera très, très mal perçu par les autorités. Après tout, si on n’a rien à cacher, où est le problème hein ?

L’intérêt de chiffrer réside dans le fait de protéger le contenu de ces appareils, de protéger ses documents, de protéger ses communications, de tout regard non autorisé. Alors oui, si des tarés chiffrent leurs smartphones qui comportent des photos de gosses nus, clairement, je n’envie pas les enquêteurs pour accéder à ces informations et j’espère qu’ils y arriveront. Mais admettons que l’on vous vole votre téléphone, ou que vous subissez un cambriolage dans lequel vos petits appareils sont volés (oh bah tiens, votre tablette ou votre disque de sauvegarde), vous allez vous sentir comment en sachant que les photos de vos enfants, vos soirées beuveries, les sextapes avec votre conjoint·e, ou vos bulletins de salaires et fichiers bancaires sont dans les mains d’inconnus ? Bon courage. Autant d’éléments qui peuvent servir à quelqu’un voulant usurper votre identité.

De nos jours, les smartphones avec les derniers systèmes proposent un moyen de chiffrer le contenu de l’appareil, c’est un bon début. Sans le mot de passe principal, on est relativement tranquille. On a même certains appareils comme les iPhones qui permettent la destruction des informations si le mot de passe de déverrouillage a été mal saisi X fois. Le FBI n’aime pas trop, mais ça ne semble pas l’arrêter pour autant.

Sinon, pour vos ordinateurs, VeraCrypt fait le travail. Cet outil permet de créer un “volume”, à savoir un dossier spécial, protégé par mot de passe, chiffré comme vous voulez, dans lequel vous pouvez mettre ce qui compte pour vous. Ainsi, si votre ordinateur est volé, ce qui est dans ce volume reste relativement protégé (du moment que vous n’y mettez pas un mot de passe bidon).

10 — Les messageries instantanées

Je vais être franc : cassez-vous de Facebook. Donc de Messenger, Instagram, WhatsApp Facebook est une des métastases du cancer qui ronge le web. WeChat semble être noyauté par Pékin Quant à TikTok ou encore Snapshat... bref. Vous n’avez aucune vie privée avec ces outils. Vos échanges sont scrutés par un des géants du web. Même si WhatsApp revendique un chiffrement de bout en bout de vos échanges, demandez-vous pourquoi son fondateur, qui a vendu son projet à Facebook pour une coquette somme, regrette et conseille de fuir l’app.

Mais laquelle choisir pour des conversations en ligne, protégées, qui se fichent des frais de roaming et depuis n’importe où dans le monde ? Franchement je n’en sais rien, car chaque outil a ses avantages, mais aucun n’est parfait et tous ont des faiblesses (notamment quand on utilise plusieurs appareils). À une époque on pouvait citer Telegram qui se retrouve dans le viseur de différents pays, et qui passerait par des technologies propriétaires (donc opaques finalement). Mais aujourd’hui j’aime bien Signal qui a le vent en poupe. On a Wikr aussi, Wire , et Keybase.io qui est par exemple utilisé par des chercheurs en cybersécurité comme fs0c131y. On a aussi Riot (maintenant rebaptisé element) qui d’ailleurs sert de base à Tchap , l’application souveraine de messagerie sécurisée de l’État français. Bref, c’et le bordel. Il faut choisir sa crémerie, et c’est casse-tête par moment. Et poil d’aisselle sur le gâteau : l’Europe songe à s’attaquer à la confidentialité des communications, entre autres via ce genre d’apps.

11 — Des VPN ou TOR

Lorsque l’on navigue sur les internets (oui, on dit “les internets”), notre connexion le plus souvent est sécurisée au travers du protocole HTTPS (je grossis les choses). Parfois certains sites web ne mettent pas à jour leurs certificats, ou ne passent que par du HTTP. Dans ce cas : fuyez-les, on est en 2020, l’histoire n’a que trop d’exemples de cas de sites web compromis ou falsifiés à cause de connexions foireuses.

On peut passer par des Virtual Private Networks (VPN) pour cacher ses communications et “sortir” dans le web à un endroit moins habituel. Clairement, il y a un paquet de ressources en ligne à ce sujet, et je ne vais pas les reprendre gauchement. Toujours est-il qu’aucune solution n’est parfaite, et là où certaines se complaisent dans la communication marketing (comme NordVPN), d’autres semblent plus sérieuses (comme ProtonVPN ?). On peut retrouver des offres VPN avec certains navigateurs, comme Brave. Certains pays tentent de bannir leur usage, curieux n’est-ce pas ?

Autrement il y a TOR, The Onion Router. Pour savoir si un outil est efficace, il suffit parfois seulement de voir comment les gouvernements s’en prennent à lui. Des pays essayent ou réussissent à bloquer l’usage de TOR ; on comprend que ça peut en gêner plus d’un d’avoir des citoyens naviguant sur le web sans surveillance. TOR permet d’avoir une connexion réseau qui passe par 3 “noeuds”, chacun allant apporter sa couche de chiffrement. L’avantage est d’avoir une communication davantage protégée des regards indiscrets, mais la navigation peut s’en trouver ralentie. Certains sites bloquent carrément l’usage de TOR, d’autres voient leur mécanisme de sécurité déclenchés. Oui, bon nombre de “gros” sites vérifient l’habitude de connexion de leurs utilisateurs ; et voir une connexion soudaine faite depuis un pays d’Europe de l’Est peut surprendre si on se connecte habituellement depuis le fin fond du Larzac TOR propose son navigateur web, Tor Browser, qui simplifie grandement son utilisation. Brave propose un système de navigation privée passant aussi par TOR. Firefox a depuis peu un plugin pour ça aussi.

D’ailleurs il y a cet article sympa de Framablog sur TOR et Nos Oignons, à lire tranquillement.

12 — Les réseaux

Le numérique a besoin du réseau, et beaucoup de choses peuvent se passer à ce niveau. D’une part, le Domain Name System (DNS). Ces éléments du réseau permettent de résoudre des adresses web (comme pylapersonne.info en adresses IP (du genre 87.98.154.146) à laquelle va se connecter l’ordinateur, la tablette, l’appareil connecté ou le smartphone. Ces DNS se trouvent parfois au coeur des mécanismes de censure ou de filtrage des réseaux. Les changer, et passer par des mécanismes différents voire plus vertueux, permet de s’affranchir de tentatives de censure ou de surveillance. Parmi les DNS, il y a ceux du Fournisseur d’Accès à Internet (FAI), on peut penser à ceux de Google (8.8.8.8), OpenDNS ou Quad9 (9.9.9.9)

Justement, puisque l’on parle des FAI, on peut imaginer que certains commercialisent les données de navigation, ou analysent les recherches faites (ou pas). D’autres comme AT&T ont été empêtrés dans certains scandales. Pour le coup, il existe des FAI associatifs (comme FDN, d’ailleurs allez voir aussi Fédération FDN) et des C.H.A.T.O.N.S qui peuvent proposer des services intéressants. Au Café Vie Privée de Lannion en 2018, l’équipe de Faibreizh avait pu parler de son projet de FAI associatif.

Dernier point, les détecteurs d’espions. Il existe des outils (comme des IMSI catchers) et divers procédés pour surveiller les réseaux et leur trafic, souvent pour des intérêts totalement légitimes, et des outils pour vérifier s’ils sont mis en place ou non comme OONI Probe. Pour cette app, il y a une simulation de trafic vesrs des sites web pouvant être tendancieux, et le comportement obtenu permet de déterminer s’il y a de la surveillance. On peut se retrouver dans une situation où le réseau est testé avec du trafic considéré comme criminel (par exemple les sites pornographiques en Egypte seraient interdits).

13 — On parle de la monnaie ?

Monopole d’état, enfin pour la monnaie fiduciaire au moins en tout cas, les échanges financiers en disent parfois très long sur notre vie privée, surtout quand on utilise le traceur par excellence proposé avec un grand sourire par les banques : la carte bleue. J’avais déjà pu en parler lors d’un café vie privée, l’usage des cartes bleues diffuse beaucoup d’informations personnelles. On y retrouve entre autres la date, le montant, et aussi le destinataire de la transaction. On est alors capable de déterminer, si certains motifs se répètent, quelles sont nos habitudes de consommation (telle boutique en ligne, tel restau, tel bar), et aussi d’autres éléments plus personnels (la pension mensuelle pour son ancien·ne conjoint·e, le prêt que l’on doit rembourser à un proche, etc).

Il y a difficilement des alternatives qui sont popularisées, il faut se contenter souvent de la monnaie fiduciaire (pièces et billets), ou alors tenter des monnaies libres locales comme la Ğ1. On peut aussi, même si c’est le parfait exemple de truc cool dont l’usage n’est pas du tout répandu, passer par certaines cryptomonnaies comme Monero ou Zcash (Europol apparement se cassant les dents sur Monero). Il y a quelques années on aurait pu parler de Bitcoin, mais l’histoire montre encore que la confidentialité des transactions n’est pas terrible du tout, comme ce fut le cas pour la résolution de l’affaire Locky ou de celle de Silk Road pour retrouver les fonds.

14 — Et quoi d’autres sinon ?

Je ne suis pas du tout un expert en sécurité, en réseau, en web ou en transactions financières, et à mon avis il faudrait un blog entier voire plusieurs bouquins pour traiter tous ces sujets.

Il y a quelques points que je n’ai pas spécialement abordés. Par exemple, dans sa vie quotidienne où le logiciel est quasiment partout, remplacer ses applications et logiciels propriétaires par des alternative libres et open source. Naviguer avec Firefox, utiliser Ubnutu, passer par Libre Office, regarder des films sur VLC, utiliser OSMAnd pour ses ballades, passer par Open Street Map, il y a finalement pas mal de choses à dégager pour des alternatives plus saines ou des ersatz pas trop pourris.

Le software a une grosse place chez nous, mais aussi le hardware. Il existe des projets d’ordinateurs portables et de smartphones qui ont été reconditionnés ou dès le début conçus pour protéger l’utilisateur et ses donnée numériques. En vrac il y a Purism avec ses ordinateurs et téléphones portables (avec du PureOS dedans), mais aussi le Pinephone ou des sites spécialisés comme Minifree ou Technoethical.

D’ailleurs, ça peut être l'occasion de faire attention à un truc auquel on pense rarement : les communications sans fil de nos appareils. Honnêtement, quand ça ne sert pas, désactivez les données cellulaires, le Bluetooth ou le WiFi. Vraiment. D‘une part car ça peut économiser un peu de batterie, d’autre part dans certains cas vos smartphones vont émettre à fond pour tenter d’accrocher une antenne, donc niveau exposition aux ondes c’est pas terrible (alors dans une voiture sur autoroute ou un TGV…). Par ailleurs, il y a tout un business mis en place concernant la “géolocalisation indoor/outdoor”, à savoir le tracking de vos passages dans les rues et magasins. Cela se fait par exemple à l’aide de beacons ou de panneaux publicitaires connectés qui vont s’amuser à choper tous les appareils à proximité qui ont leur WiFi non désactivé.

On peut aussi évoquer l’usage de messageries méls chiffrées avec notamment l’usage de clé GPG ou PGP. Là ça commence à être techniquement plus velu, et tous les logiciels de messagerie ne sont pas forcément prêts.

Il faut penser aussi à autre chose qui mériterait à mon avis un billet de blog à part : les métadonnées. Ces informations sont embarquées un peu partout dans nos vidéos, nos photos de vacances ou selfies, et en disent long sur nous. Selon l’application et l’appareil utilisés, on peut y retrouver la localisation GPS ou approximative, le modèle de l’appareil, les réglages appliqués, la date et l’heure, et aussi parfois une première analyse du contenu de la photo ou la vidéo. Ajouter donc ces souvenirs pictographiques à des siphons à données comme TikTok, Instagram ou Facebook qui font de la reconnaissance d’objets, et vous pouvez exposer à des boites étrangères tentaculaires un pan entier de votre vie privée. Moi ça ne me fait pas du tout rêver.

Bref

Dans la vie de tous les jours, utiliser ce genre d’outils n’est pas plus compliqué que ça pour la plupart, et ça en devient une routine finalement plus saine et rassurante, même si on arrive parfois à s’isoler de ces congénères qui ne comprennent pas, se foutent, ou ne veulent pas changer leurs habitudes et ça se comprend finalement (Facebook a gagné depuis longtemps).

À l’ère du capitalisme de la donnée personnelle et de la surveillance, manies dangereuses que peuvent avoir gouvernements, partis politiques, entreprises ou individus mal intentionnés, il n’y a que des arguments positifs pour être vigilant quant à ses usages du numérique.

Parfois certaines choses peuvent être rébarbatives, mais dans la où trop d’acteurs du numérique et du web se gavent sur nos vies, il est grand temps de reprendre le contrôle.

Dans la vraie vie l’affaire se corse de plus en plus, d’autant plus que l’on tend à aller vers des états autoritaires et policiers, même en France. Déjà, le fait d’utiliser TOR, Tails ou des produits open source et libres peut avoir un effet : soit de passer pour un marginal (mouarf, quand on est barbu, en short et tongs, avec un t-shirt des Foufounes Electriques c’est pas ça qui va aggraver les choses), soit d’attirer l’attention et le soupçon car “on a quelque chose à cacher”. Aaaaaaaah le “je m’en fous, j’ai rien à cacher”, ce mantra du XXIème siècle qui aurai pu être repris dans les années 1940 par les collabos. On a tous quelque chose à cacher : sa vie privée. Si ça vous choque, allez vous faire foutre. Mais effectivement, quand les relents fachistes reviennent, et ce par une majorité de partis politiques (LREM, LR, RN, même combat) avec de velléités policières, animées par le besoin viscéral de mettre en place une société de la surveillance, la Loi commence à se casser la gueule (et la technique en chie aussi).

Déjà, il existe des solutions techniques commercialisées par des boites israéliennes comme Cellebrite pour pénétrer dans des appareils et accéder à son contenu, même s’il est chiffré.

Ou autre chose où la Loi a cédé, le code permettant de déverrouiller son smartphone peut être considéré comme une convention de chiffrement. Refuser de le donner, même en garde à vue, peut donc être un délit. Ce fil Reddit est intéressant, cet article Next Inpact aussi.

Le fait d’utiliser des apps comme OONI Probe peut être risqué comme indiqué sur leur site.

Le fait de vouloir être anonyme sur le web (en partant du prédicat que c’est possible), ou être pseudonyme en énerve plus d’un. À l’heure où la plèbe est gavée aux news anxiogènes des chaines d’infos en continue, qui relayent constamment le dégueuli haineux d’un large pan du monde politique, on constate que c’est la faute des rézosssossio. Que Internet iléméchan. Que les terrorisses ils utilisent des trucs cryptés (sic) du deep dark web (mais fait chier !) et que faut surveiller tout le monde. Pour ces gens là, deux cas de figure : soit on les éduque à ces sujets, pour l’avoir fait c’est cool mais ça prend du temps, mais c’est utile (et c’est sympa à faire), soit on considère qu’ils font eux-même partie du problème. Il faut toujours une masse beuglante pour soutenir des idées nauséabondes. À ceux-là, une seule chose à dire : allez clairement vous faire foutre.

S’attaquer au chiffrement, s’attaquer à l’anonymat, c’est s’attaquer aux libertés fondamentales, dont celle d’expression. Mais des politicards de carrière comme Avia ou Ciotti n’en ont strictement rien à faire, depuis facilement 2007.

Pour paraphraser Benjamin Franklin, si vous voulez sacrifier un peu de votre liberté pour plus de sécurité, vous ne méritez ni l’une ni n’autre.

Et si vous dîtes que l’on peut faire confiance à ceux qui nous surveillent, posez-vous la question : qui gardera les gardiens ?

Chacun ses combats, mais j’imagine qu’avec ce genre de propos on risque d’être fiché pour radicalisme.

Bon, et sinon des trucs à voir ?

Quelques éléments en vrac à voir tranquillement :

• “Privés de vie privée ?” par #DATAGUEULE
• Un blog sur le capitalisme de la surveillance avec Pixel de tracking
• Le site web de Jean-Marc Manach qui regorge d’infos concernant ses usages du numérique à des fins de confidentialité, surtout quand on est journaliste
• “Comment j’ai sauvegardé mon web sur un disque dur” de Geoffrey Dorne
• “Secure messaging apps comparison” pour choisir la messagerie instantanée à utiliser
• Un rapport de l’ANSSI sur les protocoles de chiffrement
• Cette page de l’EFF qui pose la question de la messagerie à utiliser
• Un gros paquet d’outils pour sa vie numérique
• “Internet, pour vivre heureux, vivons anonymes”, lors du Café Vie Privée de Lannion de 2018
• À propos d’hygiène numérique, lors du Café Vie Privée de Lannion de 2018
• Pas Sage en Seine, Société, Internet et Liberté pour satisfaire la curiosité
• Le Capitole du Libre à Toulouse
• Surveillance self-defense, autodéfense contre la surveillance : astuces, outil et guides pratiques pour des communications en ligne plus sécurisées par l’EFF
• Comment faire pour passer à LineageOS

— Dernière mise à jour : mercredi 9 février 2022 Précédemment sur Medium et paper.wf —

Did you enjoy reading this blog? Give me a beer 🍺 or use something else ❤️‍🔥 Licensed under CC-BY-SA 4.0 Opinions are my own, even if I have some interests. For any comment or to contact me, feel free to choose the most suitable medium for you.