Le pingouin emblématique de Linux renvoyant Apple et Microsoft aux poubelles de l'histoire numérique / Illustration Gwen Tomahawk {JPEG}

« Dire que la vie privée ne vous intéresse pas parce que vous n’avez rien à cacher, c’est comme dire que la liberté d’expression est inutile parce que vous n’avez rien à dire. »

Edward Snowden, lanceur d’alerte (cité dans l’excellent documentaire sur la surveillance de masse Nothing to Hide de Marc Meillassoux et Mihaela Gladovic)

***

Question préliminaire : aujourd’hui, qui est Big Brother ? D’abord, il y a les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) et d’autres entreprises du même genre, dont le business model repose sur la récolte et la revente de nos données personnelles, à des fins publicitaires – dans le meilleur des cas. Ensuite, il y a les gouvernements. Et tout ce beau monde sait travailler ensemble.

Dès lors, pour les militants, les journalistes ou les simples quidams qui tiennent un minimum à leur intimité numérique (information privacy en angliche), une réflexion sur la sécurité informatique s’impose. Car en exploitant les données de nos appareils électroniques, il est extrêmement simple de nous localiser, de savoir avec qui – voire de quoi – nous parlons et de connaître l’heure à laquelle nous nous couchons…

CQFD ne prétend pas ici apporter une (impossible) réponse exhaustive aux problèmes de sécurité informatique. Nous présentons simplement une sélection subjective de solutions grand public qui nous paraissent offrir le meilleur rapport accessibilité/efficacité.

Avec ce constat de base : selon nos activités, nous n’avons pas tous besoin du même degré de protection. Un niveau de sécurité plus élevé que nécessaire (comme un mot de passe de 50 caractères) sera un frein inutile et décourageant pour les débutants. Si votre activité exige une sécurité importante et que vous ne maîtrisez pas la question, vous pouvez vous faire aider par des associations ou participer à une formation organisée par un collectif de CryptoParty (sorte de « café vie privée »).

Smartphones et PC : des passoires

Quand on commence à utiliser des outils de sécurité, le premier risque est de se croire, à tort, en sécurité. Car le meilleur chiffrement se révèle inutile si nos mots de passe sont enregistrés dans un fichier texte quelque part sur notre disque dur ou dans notre navigateur et que notre PC est perquisitionné. Idem si l’on finit en garde à vue un samedi et que notre téléphone n’est pas protégé par un mot de passe.

Répétons-le : il est extrêmement facile pour un connaisseur d’avoir accès à vos données :

- Le mot de passe de démarrage de votre PC peut être cassé avec des logiciels grand public.

- Il suffit de connecter votre disque dur non chiffré à un autre PC pour lire son contenu.

- Les fichiers supprimés de votre disque dur ne le sont réellement que lorsque d’autres données sont écrites par-dessus (donc rarement) et il reste souvent possible de les reconstituer même après une réécriture.

- L’ouverture d’un lien sur une page web ou dans un mail douteux peut conduire votre navigateur à exécuter du code malveillant – sans oublier les pièces jointes frauduleuses, qui peuvent installer des virus.

- D’ici 2024, 500 commissariats seront équipés d’appareils permettant d’aspirer les données de votre smartphone en moins de dix minutes.

Gaffe aux métadonnées

Même quand nos données et nos échanges sont chiffrés, nos métadonnées le sont rarement. Les métadonnées ? Ce sont les données sur les données, les traces (ou logs : fichiers d’historique) laissées par notre activité numérique sur nos appareils et sur les serveurs d’internet. Par exemple, l’heure, la date, l’adresse de la page web consultée, l’adresse mail du destinataire, notre adresse IP (qui identifie notre PC ou notre box sur internet), la version du logiciel que l’on utilise et celle de notre système d’exploitation (Windows, Linux, MacOS…). C’est ce qui est le plus surveillé et enregistré (fournisseurs d’accès internet, téléphone et banques compris).

Sans même avoir besoin de plonger dans le contenu de nos données, les métadonnées permettent d’apprendre quantité de choses à notre sujet, sur nos habitudes, nos contacts, etc. Des espions potentiels peuvent par exemple savoir que vous avez appelé un service de dépistage du VIH, puis votre docteur, puis votre mutuelle en moins d’une heure. Mais, bien sûr, ils ne savent pas ce que vous avez dit.

Comment emmerder les gouvernements, les GAFAM et le détective de votre ex, niveau 1

- Sur PC comme sur smartphone, l’idéal est de n’utiliser que des applications libres et open source  : leur code source étant public, n’importe quel développeur peut vérifier s’il ne cache pas un mouchard ou des failles de sécurité. N’oubliez pas que toute application ou service gratuit doit être financé d’une manière ou d’une autre : demandez-vous toujours comment. On favorisera donc toujours les services proposés par des associations militantes, comme RiseUp ou Framasoft, et les outils libres développés et mis à jour par la communauté (programmeurs bénévoles).

- Utilisez toujours les dernières versions des logiciels et faites des mises à jour régulières, pour avoir les dernières corrections des failles de sécurité. Ces dernières sont souvent utilisées pour pirater un appareil.

- « Dégooglisez » votre vie numérique. Préférez à Google un moteur de recherche respectueux de la vie privée, par exemple Duckduckgo ou Disconnect. Et plutôt que des applications comme Google Docs ou Google Agenda, préférez des outils collaboratifs comme ceux proposés par l’association Framasoft (Framapad et Framagenda notamment).

- À la place de Gmail ou Yahoo, créez-vous une adresse chez un fournisseur engagé (Riseup, Posteo, Tutanota, Protonmail…). Certains sont payants : on a l’habitude des fournisseurs gratuits, mais mieux vaut qu’ils vous facturent 2 ou 4 € par mois plutôt qu’ils ne vendent le contenu de vos mails et de votre carnet d’adresses au gouvernement ou à l’entreprise la plus offrante.

- N’oubliez pas que les fournisseurs qui chiffrent les mails ne peuvent le faire qu’entre deux boîtes mail en interne (par exemple, un courriel envoyé de Protonmail à Gmail n’est pas chiffré) et que seule leur bonne foi garantit qu’ils ne conservent pas une copie de votre clé de chiffrement.

- N’utilisez pas Google Chrome, mais plutôt un navigateur open source comme Firefox, en le paramétrant pour qu’il efface les cookies et l’historique de navigation quand vous le fermez. Autre possibilité : utilisez par défaut le mode « Incognito ». Enfin, installez les indispensables extensions suivantes : [attention Cécile à bien mettre un alinéa pour les trois éléments suivants]

  • Contre les publicités et les mouchards : uBlock Origin, Privacy Badger.
  • Pour forcer le protocole HTTPS, qui crypte le contenu de la page web entre le serveur et votre PC : HTTPS Everywhere.
  • Pour compartimenter les pisteurs de Google, Facebook et compagnie dans vos différents onglets : Multi-account container.

- N’enregistrez pas vos mots de passe dans le navigateur (et supprimez ceux déjà enregistrés).

- Si vous avez un smartphone, protégez-le avec un mot de passe. Appliquez-lui tous les conseils donnés pour les ordinateurs, car c’en est un aussi. Quelles que soient les mesures de sécurité que vous déployez, ayez conscience que la plupart des applications contiennent quantité de mouchards et que le système d’exploitation a été conçu par Google ou Apple.

- Pour chiffrer vos messages, préférez Signal aux SMS et à WhatsApp (qui appartient à Facebook) et activez la suppression automatique des anciens messages. Si vous préférez Telegram, qui n’est pas open source comme Signal, n’oubliez pas d’activer l’option « Secret chat ».

- Si vous ne voulez pas être pisté, laissez votre téléphone chez vous. Même si le GPS est désactivé, les logs des antennes-relais permettent de vous localiser par triangulation.

- De plus en plus de personnes collent un bout de scotch sur la caméra de leur smartphone et de leur PC, et les éteignent (voire les mettent au frigo) s’ils doivent parler d’un sujet un peu « sérieux ». Même si nous ignorons si ce genre d’espionnage est déjà généralisé, il pourrait le devenir dans un futur proche. La précaution ne coûte rien.

- Prenez conscience des données que vous fournissez volontairement aux réseaux sociaux (numéro de téléphone, réseau d’amis, heures de connexion, préférences, habitudes de vie…), par exemple en téléchargeant vos données personnelles stockées par Facebook (« Paramètres > Vos informations Facebook > Télécharger vos informations »).

Comment emmerder… niveau 2

- Utilisez des mots de passe (ou phrases de passe) différents pour tous vos comptes. Cela permettra de limiter la casse lorsque l’un de vos comptes sera piraté.

- Si vous n’avez pas une mémoire d’éléphant, utilisez pour les stocker un gestionnaire de mots de passe (par exemple Keepass) protégé par un mot de passe général.

- Pour améliorer votre anonymat en ligne, ou si vous ne savez pas comment configurer Firefox, utilisez le navigateur Tor Browser. Si pour vous Tor est associé à la pédopornographie et aux ventes d’armes en ligne, détendez-vous. Ce qu’on appelle dark web est un ensemble de sites sécurisés via Tor, légaux ou non, qui ont une adresse aléatoire se terminant par .onion. Tor est avant tout un des meilleurs outils existant pour protéger la navigation de tous, et il donne évidemment accès au web « normal » (le clearnet). Bien sûr, notre anonymat n’est garanti que si nous n’utilisons pas de compte nominatif ou de pseudo relié à notre identité.

- Supprimez vos fichiers avec un logiciel qui efface vraiment les fichiers (comme Eraser ou BleachBit), sans quoi il est facile de les récupérer.

- Sous Windows, chiffrez votre clé USB et votre disque de données (interne ou externe), par exemple avec le logiciel TrueCrypt.

Comment emmerder… niveau 3

- S’il y en a un dans votre ville, abonnez-vous à un fournisseur d’accès à internet associatif (https://ffdn.org).

- Cryptez vos mails avec l’extension Enigmail de Thunderbird ou l’extension Mailvelope de Firefox – ce qui ne vous oblige pas à changer de fournisseur mail. Elles utilisent le principe du cryptage asymétrique (clés PGP). Votre correspondant chiffre son message avec votre clé publique (qui est une suite de caractères, équivalent d’un cadenas) et vous l’envoie. À la réception, vous le déchiffrez avec votre clé privée, que vous êtes le seul à posséder et qui ne peut être utilisée sans mot de passe. Tout cela se fait, évidemment, automatiquement. C’est le moyen de communication le plus sûr existant à ce jour. Seulement, il ne cache pas que vous avez communiqué avec quelqu’un (métadonnées), seulement le contenu de votre échange.

- Pour quelques euros par mois, payez-vous un vrai VPN (« réseau privé virtuel »). C’est un serveur qui va servir d’intermédiaire entre vous et les sites que vous consultez. Votre fournisseur d’accès ne verra passer que des données chiffrées, et les serveurs auxquels vous vous connecterez ne verront que l’adresse IP de votre VPN, partagée entre tous ses utilisateurs, mais pas la vôtre. Installez-le sur tous vos PC et téléphones. Certains sont payables en cryptomonnaie, ce qui améliore l’anonymat. Veillez à choisir un VPN reconnu, qui ne garde pas de traces (logs) de vos connexions, par exemple NordVPN ou ExpressVPN. Les services de VPN gratuits ne sont pas fiables et souvent lents ; la plupart ne font que transférer votre trafic sans dissimuler votre existence. Il va de soi que si vous êtes connectés à un compte relié de près ou de loin à votre identité (notamment les comptes Google et Facebook, qui ont des traceurs sur de nombreux sites), malgré votre VPN, vous n’êtes plus anonyme.

- Installez une distribution Linux chiffrée (voir ci-après).

- Si vous voulez poster anonymement en ligne un fichier, supprimez les métadonnées attachées. Par exemple, pour un fichier LibreOffice ODT, il suffit de l’ouvrir comme une archive Zip et de supprimer le fichier meta.xml. Pour une image, dans Gimp, aller voir dans le menu « Image > Métadonnées > Modifier ».

- Enfin, bien que nous ne l’ayons pas testé, pour les smartphones, LineageOS est une alternative open source à Android. Il semble permettre un bien meilleur contrôle de notre espion de poche que ce dernier.

Pour conclure…

Il convient de rappeler que tous les systèmes numériques ont des failles et qu’il n’existe pas d’anonymat total quand on est sur internet ou sur un téléphone. Si l’enjeu est vraiment sensible, il peut être plus sage de renoncer ponctuellement au numérique et de se parler de vive voix dans un lieu sûr. La plupart des techniques de protection peuvent être déjouées par un attaquant ayant des ressources conséquentes (comme un État) et laissent quand même des traces qui, même si elles sont presque totalement anonymes, pourraient finir un jour par être remontées.

Sachez enfin que la NSA (service de renseignement étatsunien) stocke toutes les communications chiffrées qu’elle intercepte, en attendant des avancées dans le domaine de l’informatique quantique, qui permettraient de les déchiffrer ultérieurement.

Rui Coelho

Pour aller plus loin

- Guide d’autodéfense numérique, tomes 1 et 2 (téléchargeable en PDF sur https://guide.boum.org)

- Tutoriels de sécurité de l’association RiseUp : https://riseup.net/fr/security


Qui a peur de Linux ?

Vous savez déjà probablement que Windows est, pour de multiples raisons, une calamité du point de vue sécurité. Et rappelons que MacOS est un logiciel propriétaire. Or, en plus d’ignorer les nombreux atouts de Linux (le premier étant qu’il s’agit d’un système d’exploitation open source), les raisons pour lesquelles la majorité des gens ne l’adoptent pas sont souvent infondées.

Trop compliqué ? Depuis plus de dix ans, la plupart des distributions Linux peuvent être installées facilement avec des installateurs graphiques (sans ligne de commande), et les problèmes de pilotes ne sont pas plus fréquents que sur Windows. Sous Linux, avec le gestionnaire de paquets, il est possible de lancer le téléchargement et l’installation automatique de n’importe quel logiciel, de manière sûre et en quelques clics. Bonus : il n’y a pas besoin d’antivirus.

Il manque mes logiciels habituels ? Il est de plus en plus fréquent que les éditeurs de logiciels proposent des versions Linux. Sinon, vous pouvez chercher sur le forum de l’utilitaire Wine, capable d’exécuter les fichiers Windows, si quelqu’un a déjà réussi à faire fonctionner la version de votre logiciel sous Linux. Si ça n’est pas le cas, installez KVM ou VirtualBox (des « machines virtuelles ») en quelques clics sur votre Linux, puis votre version favorite de Windows dessus : la machine virtuelle l’ouvre dans une fenêtre en lui faisant croire qu’elle démarre sur un ordinateur physique. Vous pouvez alors installer et utiliser votre logiciel.

Pour sa maturité et sa fiabilité, nous recommandons la distribution Debian. Pendant l’installation, n’oubliez pas de sélectionner « Chiffrer le disque complet avec LVM » pour que votre système soit entièrement chiffré, sinon certaines informations seront lisibles en clair. N’oubliez pas également de chiffrer vos clés USB et vos disques externes avec le gestionnaire de disques.

Pour les usages les plus sensibles, nous recommandons la distribution Tails. Elle est orientée sécurité par défaut et est conçue pour se démarrer sur une clé USB afin de ne laisser aucune trace de votre activité sur votre PC.


Article publié le 08 Avr 2020 sur Cqfd-journal.org