logo prism

7 moyens simples de protéger votre vie privée sur Internet
Tant pis pour la NSA et les autres

Publié le 27/10/2013 - Mis à jour le 27/10/2013 par

L'espionnage réalisé par la National Security Agency (NSA) du gouvernement américain au moyen du programme PRISM fait la une des journaux en juin 2013. Les médias font mine de découvrir cette activité qui a toujours existé sur tous les réseaux depuis les débuts du réléphone. De nombreux lecteurs me demandent s'il est possible de se défendre contre cette surveillance en ligne sur Internet et si oui, comme faire ?

La mauvaise nouvelle est que si vous êtes la cible directe d'un service de renseignements puissant comme la NSA, il faut être un excellent spécialiste du sujet et prendre de nombreuses précautions.

La bonne nouvelle est qu'avec quelques moyens très simples vous pouvez facilement échapper à la surveillance de masse ou à la malveillance des "hackers".

Le but de cet article est de vous indiquer une liste de moyens que vous pouvez facilement mettre en oeuvre. Chaque élément de cette liste va rendre vos équipements en ligne beaucoup plus sûrs que la moyenne et va rendre l'interception de vos données beaucoup plus compliquée et beaucoup plus coûteuse.

1 - Chiffrement de vos communications de bout-en-bout

Le réseau est l'endroit le plus facile pour intercepter les communications avec ou sans la coopération des fabricants d'équipements ou des opérateurs de réseaux. D'après l'expert sécurité Bruce Schneier qui a étudié les documents de la NSA transmis par Edward Snowden au Guardian, le chiffrement est toujours votre ami à condition d'utiliser des logiciels open source qui ne transmette pas vos clés secrêtes à d'autres, qui peuvent être vérifiés par des experts sécurité indépendants et qui chiffrent vos communications de votre terminal à celui de vos correspondants. Par exemple, utilisez les protocoles TLS et IPsec. Préférez HTTPS qui chiffre tout avec TLS à HTTP où tout circule en clair sur le réseau.
Logo signal

2 - Chiffrer toutes les communications sur Internet

Il faut utiliser en priorité le protocole HTTPS qui permet, à la fois, de vérifier l'authenticité du site via son certificat puis de chiffrer la communication de bout en bout entre le navigateur et le site. Utilisé au début uniquement pour les pages d'authentiifcation, ce protocole est maintenant largement répandu et disponible sur la plupart des sites qui contiennent des informations personnelles comme Gmail, Facebook, Twitter, etc... Le protocole non chiffré HTTP est souvent employé par défaut car de nombreux équipements ou navigateurs anciens ne le traitent pas. Indiquez partout où vous pouvez dans les préférences que vous souhaitez employer du HTTPS ou téléchargez cette extension Chrome ou Firefox qui va faire ce travail pour vous.  Google indique qu'à partir de janvier 2017, il commencera à marquer des sites comme « non sécurisé » si ceux-ci n'utilisent pas le protocole HTTPS.

danger Les faux sites utilisent aussi le HTTPS pour tromper les utilisateurs. Il faut donc aussi vérifier le nom du site dans les certificats s'il vous est demandé des informations personnelles.

lastpass https

3 - Chiffrer vos disques ou clés USB s'ils contiennent des informations sensibles

logo Truecrypt

La plupart des systèmes modernes permettent de chiffrer le contenu de vos disques durs, clés USB ou données sur téléphone mobile. Ne pas hésiter à s'en servir si vous possédez des informations personnelles ou confidentielles. Pour plus de sécurité, je préfèrais utiliser le logiciel open source Truecrypt qui est particulièrement simple à utiliser et très sûr. A titre d'exemple, le FBI a admis n'avoir pas réussi à déchiffrer les disques durs d'un banquier suspect comme expliqué ici. Cependant le développement a cessé en 2014.Une autre équipe a repris le flambeau sous le nom de VeraCrypt.

4 - Utiliser des mots de passe très robustes

Les outils de décryptage des mots de passe ont fait des progès énormes. Il y a deux erreurs classiques à ne pas commettre :

  • utiliser des mots de passe courts. Il faut au minimum 12 caractères.
  • ré-utiliser le même mot de passe sur des sites différents. Un piratage d'un de ces sites met les autres en danger.

Il faut donc choisir des mots de passe lo,gs et différenst pour chaque siet. Comme il est impossible de mémoriser de nombreux mots de passe longs, il faut utiliser un logiciel de gestion des mots de passe qui va créer et stocker automatiquement des mots de passe robustes pour chaque site.

J'utilise Lastpass à la fois sur Internet, comme extension dans la plupart des navigateurs et sur mobile. Vos mots de passe sont stockés de manière chiffrée par un mot de passe long ou mieux avec un système à 2 facteurs (voir plus loin). Le système détecte automatiquement les cases d'identifiants et les remplit à votre place pour chaque site. Ceci en rend l'usage extrêmement rapide et agréable. je ne peux que vous encourager à utiliser ce système qui se met en place automatiquement et progressivement.

logo last pass

5 - Utiliser TOR

logo TOR

Les moyens précédents permettent de chiffrer le contenu des communications. En revanche, ils ne masquent pas les "métadonnées" des communications, c'est à dire qui a échangé avec qui, où, quand et combien de temps. Par exemple, tous les tickets des communications téléphoniques sont stockés par les opérateurs et souvent exploités par la police pour confondre les coupables. Il en est de même des connexions Internet. On peut savoir qui a communiqué avec qui et quand. Si vous souhaitez rester entièrement anonyme dans la consultation de sites web ou autres, il existe un programme open source TOR qui permet de garantir votre anonymat lors de vos connexions à Internet. Le fonctionnement est le suivant : un labyrinthe virtuel de serveurs TOR hébergés par des volontaires ne permet pas d'associer les communications entrantes et sortantes. Vous pouvez télécharger TOR ici. Sur le site du Guardian, une présentation censée provenir de documents secrets de la NSA sous le titre "TOR stinks" démontre la bonne efficacité de TOR par les difficultés à dé-anonymiser.

6 - Mettre en place l'authentification à deux facteurs (très important)

L'authentification à deux facteurs a fait des progrès énormes. De nuisance absolue, on est passé au stade confortable surtout si on utilise un logiciel des gestion de mots de passe comme LastPass. Le système consiste généralement pour s'authentifier à demander en plus des identifiants habituels, un mot de passe utilisable une seule fois. Dans le passé ce système s'appuyait souvent sur une petite calculette autonome couteuse et peu pratique. Aujourd'hui les différents systèmes présentent des améliorations très notables : envoi du mot de passe par SMS ou téléphone vocal, ou génération automatique sur un mobile, voire même juste appuyer sur l'écran de votre téléphone mobile. Surtout, vous pouvez définir des ordinateurs sûrs (par exemple à la maison) où le deuxième facteur n'est pas nécessaire. En revanche quelqu'un à l'autre bout du monde qui se serait procuré ou aurait deviné votre mot de passe serait dans l'incapacité de fournir le deuxième code. Je conseille donc cette authentiifcation à deux facteurs, au minimum pour Lastpass qui contient tous vos mots de passe et pour toutes les opérations d'administration de systèmes ou importantes. Google et Gmail, Twitter, Dropbox, Amazon, Facebook, et bien d'autres offrent cette technique avec quelques variantes.

J'utilise pour Lastpass la solution Yubico Neo qui fonctionne sous le format clé USB ou NFC (sans contact) pour les mobiles et dont l'usage est très pratique.

7 - Cliquer sur les pièces jointes avec précaution

Votre ordinateur à la maison est protégé d'un accès depuis l'Internet par deux barrières.

  • Par défaut, Le NAT de votre box (détails ici). Je ne recommande pas  d'utiliser les techniques de port forwarding qui contournent cette barrière.
  • Le firewall (pare-feu) logiciels sur votre PC

La manière la plus facile de compromettre votre ordinateur à distance est de vous inciter par une action de votre part à exécuter un programme qui va vous mettre en contact avec le pirate via des pièces jointes de mail ou par téléchargement de fichiers sur des sites web. Il faut donc agir avec une extrême prudence en cas de doute. J'ai l'habitude d'installer avec Virtualbox une machine virtuelle de test  des objets douteux sur mon PC. En cas de problème, il suffit d'effacer cette machine (un fichier sur disque) et de repartir d'un machine virtuelle propre. Un bon firewall qui contrôle l'accès à l'extérieur par des processus est aussi une bone protection.

Références

Ten Steps You Can Take Right Now Against Internet Surveillance

Electronic Frontier Fondation | defending your rights in the digital world

Schneier on Security | A blog covering security and security technology

Ajoutez vos commentaires ci-après ou les envoyer à Jean-Paul Figer
Mots clés


Licence Creative Commons
Ce(tte) œuvre est mise à disposition selon les termes de la Licence Creative Commons Attribution - Pas d'Utilisation Commerciale - Pas de Modification 4.0 International.