7 moyens simples de protéger votre vie privée sur Internet

L’espionnage réalisé par la National Security Agency (NSA) du gouvernement américain au moyen du programme PRISM fait la une des journaux en juin 2013. Les médias font mine de découvrir cette activité qui a toujours existé sur tous les réseaux depuis les débuts du téléphone. De nombreux lecteurs me demandent s’il est possible de se défendre contre cette surveillance en ligne sur Internet et si oui, comment faire ?
La mauvaise nouvelle est que si vous êtes la cible directe d’un service de renseignements puissant comme la NSA, il faut être un excellent spécialiste du sujet et prendre de nombreuses précautions.
La bonne nouvelle est qu’avec quelques moyens très simples vous pouvez facilement échapper à la surveillance de masse ou à la malveillance des « hackers ».
Le but de cet article est de vous indiquer une liste de moyens que vous pouvez facilement mettre en oeuvre. Chaque élément de cette liste va rendre vos équipements en ligne beaucoup plus sûrs que la moyenne et va rendre l’interception de vos données beaucoup plus compliquée et beaucoup plus coûteuse.

1 – Chiffrement de vos communications de bout-en-bout

pexels-photo-48570

Le réseau est l’endroit le plus facile pour intercepter les communications avec ou sans la coopération des fabricants d’équipements ou des opérateurs de réseaux. D’après l’expert sécurité Bruce Schneier qui a étudié les documents de la NSA transmis par Edward Snowden au Guardian, le chiffrement est toujours votre ami à condition d’utiliser des logiciels open source qui ne transmettront pas vos clés secrètes à d’autres, qui peuvent être vérifiés par des experts sécurité indépendants et qui chiffrent vos communications de votre terminal à celui de vos correspondants. Par exemple, utilisez les protocoles TLS et IPsec. Préférez HTTPS qui chiffre tout avec TLS à HTTP où tout circule en clair sur le réseau.

La solution moderne la plus simple consiste à utiliser Signal sur votre mobile ou sur votre PC. Commencer par installer sur votre mobile avant votre PC.

es anciens moyens que j’indiquais sont toujours utilisables :

  • Chiffrer la messagerie instantanée est d’utiliser OTR (Off-the-Record messaging). Installer ce logiciel (voir des conseils ici) sur votre terminal et celui de vos correspondants pour échapper à la surveillance. C’est une extension du logiciel Pidgin que je vous conseillais depuis 2008.
  • Depuis 2005, je vous conseille de signer et de chiffrer vos mails qui le nécessitent avec des certificats dans cet article.
  • Vous pouvez aussi utiliser GPG (la version open source de PGP) avec un guide en français . Cependant l’utilisation requiert une certaine maîtrise de l’informatique.

Great things in business are never done by one person. They’re done by a team of people. Steve Jobs

2 – Chiffrer toutes les communications sur Internet

pexels-photo-201278

Il faut utiliser en priorité le protocole HTTPS qui permet, à la fois, de vérifier l’authenticité du site via son certificat puis de chiffrer la communication de bout en bout entre le navigateur et le site. Utilisé au début uniquement pour les pages d’authentification, ce protocole est maintenant largement répandu et disponible sur la plupart des sites qui contiennent des informations personnelles comme Gmail, Facebook, Twitter, etc… Le protocole non chiffré HTTP est souvent employé par défaut car de nombreux équipements ou navigateurs anciens ne le traitent pas. Indiquez partout où vous pouvez dans les préférences que vous souhaitez employer du HTTPS ou téléchargez cette extension Chrome ou Firefox qui va faire ce travail pour vous. Google indique qu’à partir de janvier 2017, il commencera à marquer comme « non sécurisé » les sites qui n’utilisent pas le protocole HTTPS.

danger Les faux sites utilisent aussi le HTTPS pour tromper les utilisateurs. Il faut donc aussi vérifier le nom du site dans les certificats s’il vous est demandé des informations personnelles.

3. THE RIGHT AMOUNT OF THROW PILLOWS

pexels-photo-29778How to figure out this number: It should be enough pillows so that your bed looks sumptuous and inviting when properly made…yet not enough that getting in bed requires 10 minutes of excavating. The sweet spot is usually between 2-6, depending on the size of your bed. This example from designer Lindsey Coral Harper gets it just right.

This room, designed by Robert Passal, has more than a couple. A good spot to sit down will serve you well when you’re reading or need to have a conversation with your partner. It’s also great for putting on shoes, or checking email so you can leave tech out of your bed.

3 – Chiffrer vos disques ou clés USB s’ils contiennent des informations sensibles

pexels-photo-238268

La plupart des systèmes modernes permettent de chiffrer le contenu de vos disques durs, clés USB ou données sur téléphone mobile. Ne pas hésiter à s’en servir si vous possédez des informations personnelles ou confidentielles. Pour plus de sécurité, je préférais utiliser le logiciel open source Truecrypt qui est particulièrement simple à utiliser et très sûr. A titre d’exemple, le FBI a admis n’avoir pas réussi à déchiffrer les disques durs d’un banquier suspect comme expliqué ici. Cependant le développement a cessé en 2014.Une autre équipe a repris le flambeau sous le nom de VeraCrypt.

4 – Utiliser des mots de passe très robustes

Les outils de décryptage des mots de passe ont fait des progrès énormes. Il y a deux erreurs classiques à ne pas commettre :

  • utiliser des mots de passe courts. Il faut au minimum 12 caractères.
  • ré-utiliser le même mot de passe sur des sites différents. Un piratage d’un de ces sites met les autres en danger.

Il faut donc choisir des mots de passe longs et différents pour chaque site. Comme il est impossible de mémoriser de nombreux mots de passe longs, il faut utiliser un logiciel de gestion des mots de passe.

J’utilise la version gratuite de Lastpass à la fois sur Internet, comme extension dans la plupart des navigateurs et sur mobile. Automatiquement, Lastpass reconnaît une inscription sur un nouveau site, crée un mot de passe robuste et stocke celui-ci sur votre machine et sur Internet.Le système détecte automatiquement les cases d’identifiants et les remplit à votre place pour chaque site. C’est extrêmement pratique. Cependant, il faut protéger fortement votre compte LastPass par une authentification à deux facteurs avec un mot de passe long, le seul à retenir, qui sert à chiffrer votre bibliothèque de mots de passe. Dans quelques cas (sites avec des mécanismes d’authentification bizarres) cette automatisation a besoin d’un petit coup de main. Vos mots de passe sont stockés de manière chiffrée par un mot de passe long ou mieux avec un système à 2 facteurs (voir plus loin). Ceci en rend l’usage extrêmement rapide et agréable. je ne peux que vous encourager à utiliser ce système qui se met en place automatiquement et progressivement.

 The bedroom is about sleeping. What do you need when you’re sleeping? Not a smartphone. Aurélien Gallet

5 – Utiliser TOR

inside-apartment-design-home

Elegant and calming photographs in this room. Ryan White

Les moyens précédents permettent de chiffrer le contenu des communications. En revanche, ils ne masquent pas les « métadonnées » des communications, c’est à dire qui a échangé avec qui, où, quand et combien de temps. Par exemple, tous les tickets des communications téléphoniques sont stockés par les opérateurs et souvent exploités par la police pour confondre les coupables. Il en est de même des connexions Internet. On peut savoir qui a communiqué avec qui et quand. Si vous souhaitez rester entièrement anonyme dans la consultation de sites web ou autres, il existe un programme open source TOR qui permet de garantir votre anonymat lors de vos connexions à Internet. Le fonctionnement est le suivant : un labyrinthe virtuel de serveurs TOR hébergés par des volontaires ne permet plus d’associer les communications entrantes et sortantes. Vous pouvez télécharger TOR ici. Sur le site du Guardian, une présentation censée provenir de documents secrets de la NSA sous le titre « TOR stinks » démontre la bonne efficacité de TOR par les difficultés à dé-anonymiser.

6 – Mettre en place l’authentification à deux facteurs (très important)

pexels-photo-29907

L’authentification à deux facteurs consiste à s’identifier successivement au moyen de deux canaux différents. Le système consiste généralement à demander en plus des identifiants habituels, un mot de passe utilisable une seule fois. Dans le passé ce système s’appuyait souvent sur une petite calculette autonome coûteuse et peu pratique. De nuisance absolue, on est passé au stade confortable surtout si on utilise un logiciel des gestion de mots de passe comme LastPass. Aujourd’hui les différents systèmes présentent des améliorations très notables : envoi du mot de passe par SMS ou téléphone vocal, ou génération automatique sur un mobile, voire même juste appuyer sur l’écran de votre téléphone mobile. Surtout, vous pouvez définir des ordinateurs sûrs (par exemple à la maison) où le deuxième facteur n’est pas nécessaire après le premier essai réussi. En revanche quelqu’un à l’autre bout du monde qui se serait procuré ou aurait deviné votre mot de passe serait dans l’incapacité de fournir le deuxième code. Il est indispensable d’utiliser cette authentification à deux facteurs, au minimum pour Lastpass qui contient tous vos mots de passe et pour toutes les opérations d’administration de systèmes ou importantes. Google et Gmail, Twitter, Dropbox, Amazon, Facebook, et bien d’autres offrent cette technique avec quelques variantes.

J’utilise pour Lastpass la solution Yubico Neo qui fonctionne sous le format clé USB ou NFC (sans contact) pour les mobiles et dont l’usage est très pratique.

.

7 – Cliquer sur les pièces jointes avec précaution

Votre ordinateur à la maison est protégé d’un accès depuis l’Internet par deux barrières.

  • Par défaut, Le NAT de votre box. Je recommande de ne pas utiliser les techniques de port forwarding qui contournent cette barrière.
  • Le firewall (pare-feu) logiciel sur votre PC

La manière la plus facile de compromettre votre ordinateur à distance est de vous inciter par une action volontaire de votre part à exécuter un programme qui va vous mettre en contact avec le pirate via des pièces jointes de mail ou par téléchargement de fichiers sur des sites web. Il faut donc agir avec une extrême prudence en cas de doute. J’ai l’habitude d’installer avec Virtualbox une machine virtuelle de test des objets douteux sur mon PC. En cas de problème, il suffit d’effacer cette machine (un fichier sur disque) et de repartir d’un machine virtuelle propre. Un bon firewall qui contrôle l’accès à l’extérieur par des processus est aussi une bonne protection.

Références