7 moyens simples de protéger votre vie privée sur Internet
Tant pis pour la NSA et les autres
Publié le 27/10/2013 - Mis à jour le 26/02/2021 par Jean-Paul Figer
- 1 - Chiffrement de vos communications de bout-en-bout
- 2 - Chiffrer toutes les communications sur Internet
- 3 - Chiffrer vos disques ou clés USB s'ils contiennent des informations sensibles
- 4 - Utiliser des mots de passe très robustes avec un gestionnaire
- 5 - Utiliser TOR
- 6 - Mettre en place l'authentification à deux facteurs (très important)
- 7 - Cliquer sur les pièces jointes avec précaution
- Références
L'espionnage réalisé par la National Security Agency (NSA) du gouvernement américain au moyen du programme PRISM fait la une des journaux en juin 2013. Les médias font mine de découvrir cette activité qui a toujours existé sur tous les réseaux depuis les débuts du téléphone. De nombreux lecteurs me demandent s'il est possible de se défendre contre cette surveillance en ligne sur Internet et si oui, comment faire ?
- La mauvaise nouvelle est que si vous êtes la cible directe d'un service de renseignements puissant comme la NSA, il faut être un excellent spécialiste du sujet et prendre de nombreuses précautions.
- La bonne nouvelle est qu'avec quelques moyens très simples vous pouvez facilement échapper à la surveillance de masse ou à la malveillance des "hackers".
Le but de cet article est de vous indiquer une liste de moyens que vous pouvez facilement mettre en œuvre. Chaque élément de cette liste va rendre vos équipements en ligne beaucoup plus sûrs que la moyenne et va rendre l'interception de vos données beaucoup plus compliquée et beaucoup plus coûteuse.
1 - Chiffrement de vos communications de bout-en-bout
Le réseau est l'endroit le plus facile pour intercepter les communications avec ou sans la coopération des fabricants d'équipements ou des opérateurs de réseaux. D'après l'expert sécurité Bruce Schneier qui a étudié les documents de la NSA transmis par Edward Snowden au Guardian, le chiffrement est toujours votre ami à condition d'utiliser des logiciels open source qui ne transmettront pas vos clés secrètes à d'autres, qui peuvent être vérifiés par des experts sécurité indépendants et qui chiffrent vos communications de votre terminal à celui de vos correspondants. Par exemple, utilisez les protocoles TLS et IPsec. Préférez HTTPS qui chiffre tout avec TLS à HTTP où tout circule en clair sur le réseau.
- Chiffrer la messagerie instantanée est d'utiliser OTR (Off-the-Record messaging). Installer ce logiciel (voir des conseils ici) sur votre terminal et celui de vos correspondants pour échapper à la surveillance. C'est une extension du logiciel Pidgin que je vous conseillais depuis 2008.
- Depuis 2005, je vous conseille de signer et de chiffrer vos mails qui le nécessitent avec des certificats dans cet article.
- Vous pouvez aussi utiliser GPG (la version open source de PGP) avec un guide en français ici. Cependant l'utilisation requiert une certaine maîtrise de l'informatique.
2 - Chiffrer toutes les communications sur Internet
Il faut utiliser en priorité le protocole HTTPS qui permet, à la fois, de vérifier l'authenticité du site via son certificat puis de chiffrer la communication de bout en bout entre le navigateur et le site. Utilisé au début uniquement pour les pages d'authentification, ce protocole est maintenant largement répandu et disponible sur la plupart des sites qui contiennent des informations personnelles comme Gmail, Facebook, Twitter, etc... Le protocole non chiffré HTTP est souvent employé par défaut car de nombreux équipements ou navigateurs anciens ne le traitent pas. Indiquez partout où vous pouvez dans les préférences que vous souhaitez employer du HTTPS ou téléchargez cette extension Chrome ou Firefox qui va faire ce travail pour vous. Google indique qu'à partir de janvier 2017, il commencera à marquer comme « non sécurisé » les sites qui n'utilisent pas le protocole HTTPS.
Les faux sites utilisent aussi le HTTPS pour tromper les utilisateurs. Il faut donc aussi vérifier le nom du site dans les certificats s'il vous est demandé des informations personnelles.
3 - Chiffrer vos disques ou clés USB s'ils contiennent des informations sensibles
La plupart des systèmes modernes permettent de chiffrer le contenu de vos disques durs, clés USB ou données sur téléphone mobile. Ne pas hésiter à s'en servir si vous possédez des informations personnelles ou confidentielles. Pour plus de sécurité, je préférais utiliser le logiciel open source Truecrypt qui est particulièrement simple à utiliser et très sûr. A titre d'exemple, le FBI a admis n'avoir pas réussi à déchiffrer les disques durs d'un banquier suspect comme expliqué ici. Cependant le développement a cessé en 2014.Une autre équipe a repris le flambeau sous le nom de VeraCrypt.
4 - Utiliser des mots de passe très robustes avec un gestionnaire
Les outils de décryptage des mots de passe ont fait des progrès énormes. Il y a deux erreurs classiques à ne pas commettre :
- utiliser des mots de passe courts. Il faut au minimum 12 caractères.
- ré-utiliser le même mot de passe sur des sites différents. Un piratage d'un de ces sites met les autres en danger.
Il faut donc choisir des mots de passe longs et différents pour chaque site. Comme il est impossible de mémoriser de nombreux mots de passe longs, il faut utiliser un gestionnaire de mots de passe.
J'utilise la version gratuite de Lastpass à la fois sur Internet, comme extension dans la plupart des navigateurs et sur mobile. Automatiquement, Lastpass reconnaît une inscription sur un nouveau site, crée un mot de passe robuste et stocke celui-ci sur votre machine et sur Internet. Le système détecte automatiquement les cases identifiant/mot de passe et les remplit à votre place pour chaque site. C'est extrêmement pratique. Cependant, il faut protéger fortement votre compte LastPass par une authentification à deux facteurs avec un mot de passe long, le seul à retenir, qui sert à chiffrer votre bibliothèque de mots de passe. Dans quelques cas (sites avec des mécanismes d'authentification bizarres) cette automatisation a besoin d'un petit coup de main. Vos mots de passe sont stockés de manière chiffrée par un mot de passe long ou mieux avec un système à 2 facteurs (voir plus loin). Ceci en rend l'usage extrêmement rapide et agréable. Je ne peux que vous encourager à utiliser ce système qui se met en place automatiquement et progressivement.
5 - Utiliser TOR
Les moyens précédents permettent de chiffrer le contenu des communications. En revanche, ils ne masquent pas les "métadonnées" des communications, c'est-à-dire qui a échangé avec qui, où, quand et combien de temps. Par exemple, tous les tickets des communications téléphoniques sont stockés par les opérateurs et souvent exploités par la police pour confondre les coupables. Il en est de même des connexions Internet. On peut savoir qui communique avec qui et quand. Si vous souhaitez rester anonyme dans la consultation de sites web ou autres, il existe un programme open source TOR qui permet de garantir votre anonymat lors de vos connexions à Internet. Le fonctionnement est le suivant : un labyrinthe virtuel de serveurs TOR hébergés par des volontaires ne permet plus d'associer les communications entrantes et sortantes. Vous pouvez télécharger TOR ici. Sur le site du Guardian, une présentation censée provenir de documents secrets de la NSA sous le titre "TOR stinks" démontre la bonne efficacité de TOR par les difficultés à dé-anonymiser.
6 - Mettre en place l'authentification à deux facteurs (très important)
L'authentification à deux facteurs consiste à s'identifier successivement au moyen de deux canaux différents. Le système consiste généralement à demander, en plus des identifiants habituels, un mot de passe utilisable une seule fois. Dans le passé, ce système s'appuyait souvent sur une petite calculette autonome coûteuse et peu pratique. De nuisance absolue, on est passé au stade confortable surtout si on utilise un gestionnaire de mots de passe comme LastPass ou Bitwarden. Aujourd'hui les différents systèmes présentent des améliorations très notables : envoi du mot de passe par SMS ou téléphone vocal, ou génération automatique sur un mobile, voire même juste appuyer sur l'écran de votre téléphone mobile. Surtout, vous pouvez définir des ordinateurs sûrs (par exemple à la maison) où le deuxième facteur n'est pas nécessaire après le premier essai réussi. En revanche quelqu'un à l'autre bout du monde qui se serait procuré ou aurait deviné votre mot de passe serait dans l'incapacité de fournir le deuxième code. Il est indispensable d'utiliser cette authentification à deux facteurs, au minimum pour Lastpass qui contient tous vos mots de passe et pour toutes les opérations d'administration de systèmes ou importantes. Google et Gmail, Twitter, Dropbox, Amazon, Facebook, et bien d'autres offrent cette technique avec quelques variantes.
J'utilise pour Lastpass la solution Yubico Neo qui fonctionne sous le format clé USB ou NFC (sans contact) pour les mobiles et dont l'usage est très pratique.
7 - Cliquer sur les pièces jointes avec précaution
Votre ordinateur à la maison est protégé d'un accès depuis l'Internet par deux barrières.
- Par défaut, le NAT de votre box (détails ici). Je recommande de ne pas utiliser les techniques de port forwarding qui contournent cette barrière.
- Le firewall (pare-feu) logiciel sur votre PC
La manière la plus facile de compromettre votre ordinateur à distance est de vous inciter par une action volontaire de votre part à exécuter un programme qui va vous mettre en contact avec le pirate via des pièces jointes de mail ou par téléchargement de fichiers sur des sites web. Il faut donc agir avec une extrême prudence en cas de doute. J'ai l'habitude d'installer avec Virtualbox une machine virtuelle de test des objets douteux sur mon PC. En cas de problème, il suffit d'effacer cette machine (un fichier sur disque) et de repartir d'une machine virtuelle propre. Un bon firewall qui contrôle l'accès à l'extérieur par des processus est aussi une bonne protection.
Références
Ten Steps You Can Take Right Now Against Internet Surveillance
Electronic Frontier Fondation | defending your rights in the digital world
How To Encrypt Your Internet Traffic (2020 Guide)
Schneier on Security | A blog covering security and security technology
Ajoutez vos commentaires ci-après ou les envoyer à Jean-Paul Figer
Ce(tte) œuvre est mise à disposition selon les termes de la Licence Creative Commons Attribution - Pas d'Utilisation Commerciale - Pas de Modification 4.0 International.