En 2013, Edward Snowden a révélé que la vie privée était quelque chose que le gouvernement américain considère comme un privilège, pas un droit. La National Security Agency ( NSA ) a collecté et stocké les données de tous ceux qu'ils pouvaient - qu'ils soient citoyens américains ou non. Ainsi, alors que les documents publiés par Snowden ont forcé le Congrès à réduire la portée de la NSA et à offrir une certaine transparence, c'est à nous de protéger notre droit humain fondamental à la vie privée dans un monde de surveillance trop zélée.
Malheureusement, ces pratiques invasives ne sont pas exclusives aux États-Unis. Les gouvernements du monde entier utilisent tout, de la journalisation des FAI aux logiciels malveillants téléphoniques, si cela leur permet d'espionner leurs citoyens. À ce jour, la plupart d'entre eux continuent de poursuivre une législation qui permet aux portes dérobées de surveiller vos appels, vos messages et votre activité Internet en général.
Heureusement, il y a des mesures que nous pouvons prendre pour éviter l'œil dans le ciel qui ressemble de plus en plus au Big Brother de George Orwell. L'utilisation du cryptage pour protéger vos données est un bon début. Le cryptage peut rendre la vie difficile aux organisations de surveillance chargées de le décrypter, et bien que les informations cryptées soient conservées indéfiniment jusqu'à ce qu'elles soient piratées, le piratage est un processus incroyablement long. Du coup, si les données cryptées deviennent notre nouveau standard, elles seront moins pointées du doigt par les agences qui ne souhaitent pas perdre leur temps.
À quel point le cryptage est-il sécurisé ?
Les révélations concernant l'ampleur de l'attaque délibérée de la NSA contre les normes mondiales de chiffrement ont écorné leur réputation. Examinons l'état actuel des choses.
Longueur de la clé de chiffrement
La longueur de clé est le moyen le plus grossier de déterminer combien de temps un chiffrement prendra pour casser - c'est le nombre brut de uns et de zéros utilisés dans un chiffrement. Les chiffrements peuvent être ciblés par des attaques par force brute (ou des recherches de clés exhaustives). Ces attaques sont tout aussi grossières, l'attaquant tentant toutes les combinaisons possibles pour trouver la bonne.
Briser les codes de cryptage modernes est une entreprise énorme - bien sûr, si quelqu'un est capable de le faire, c'est probablement la NSA. Examinons ce qui se passerait si la NSA tentait une attaque par force brute contre divers chiffrements.
Clé 128 bits
Un chiffrement à clé de 128 bits a 3,4 x10(38) clés possibles. Passer par chacun d'eux nécessiterait des milliers d'opérations (ou plus) pour se casser.
En 2016, le supercalculateur le plus puissant au monde était le NUDT Tianhe-2 à Guangzhou, en Chine. Presque 3 fois plus rapide que le Fujitsu K, à 33,86 pétaflops, il ne faudrait "que" environ un tiers de milliard d'années pour casser une seule clé AES 128 bits !
Clé 256 bits
Une clé de 256 bits nécessiterait 2 (128) fois plus de puissance de calcul pour casser qu'une clé de 128 bits.
Le nombre d'années nécessaires pour forcer brutalement un chiffrement de 256 bits est de 3,31 x 10(56) - soit environ 20000...0000 (total 46 zéros) fois l'âge de l'univers (13,5 milliards ou 1,35 x 10(10) années)!
Cryptage 128 bits
Jusqu'aux révélations d'Edward Snowden, nous supposions que le cryptage 128 bits était, en pratique, indéchiffrable par la force brute. Les gens pensaient même que ce serait le cas pendant encore 100 ans (en tenant compte de la loi de Moore).
La loi de Moore stipule que la vitesse des processeurs, ou la puissance de traitement globale des ordinateurs, doublera tous les deux ans.
Et cela est toujours vrai en théorie. Cependant, nous avançons actuellement à un rythme plus lent que ne le prédisait la loi de Moore. Cela est dû au fait que les concepteurs de matériel se sont heurtés aux limites strictes fixées par les lois de la physique : les transistors ne peuvent être construits que si petits, par exemple, et placés si près les uns des autres. La quantité de ressources que la NSA semble disposée à consacrer au crack du cryptage a également ébranlé la confiance des experts dans ces prédictions. Par conséquent, les administrateurs système du monde entier se bousculent pour mettre à niveau les longueurs des clés de chiffrement.
Si et quand l'informatique quantique devient largement disponible, tous les paris seront ouverts. Le cryptage devra être développé à partir de zéro. Les ordinateurs quantiques seront exponentiellement plus puissants que n'importe quel ordinateur existant et rendront tous les chiffrements et suites de chiffrement actuels redondants du jour au lendemain.
En théorie, le développement du cryptage quantique résoudra ce problème. Cependant, l'accès aux ordinateurs quantiques sera initialement l'apanage des gouvernements et des entreprises les plus puissants et les plus riches. De plus, il n'est pas dans l'intérêt de ces organisations de démocratiser le chiffrement.
Il convient de noter que le gouvernement américain utilise un cryptage 256 bits pour protéger les données «sensibles» et un cryptage 128 bits pour les besoins «routiniers». Cependant, il utilise également le chiffrement AES, qui n'est pas sans problèmes.
Chiffres
La longueur de la clé de chiffrement fait référence à la quantité de nombres bruts impliqués. Les chiffrements sont les mathématiques utilisées pour effectuer le chiffrement. Ce sont les faiblesses de ces algorithmes, plutôt que la longueur de la clé, qui conduisent souvent à la rupture du chiffrement.
De loin, les chiffrements les plus courants que vous rencontrerez sont ceux utilisés par OpenVPN : Blowfish et AES. De plus, RSA est utilisé pour chiffrer et déchiffrer les clés de chiffrement, et SHA-1 ou SHA-2 sont utilisés comme fonctions de hachage pour authentifier les données.
Les VPN les plus sécurisés utilisent un chiffrement AES. Son adoption par le gouvernement américain a accru sa fiabilité perçue, et par conséquent sa popularité. Cependant, il y a des raisons de croire que cette confiance peut être mal placée. Si vous souhaitez en savoir plus, consultez notre guide complet sur le cryptage VPN où nous examinons les types de cryptage utilisés par les VPN.
NIST
Le National Institute of Standards and Technology (NIST) des États-Unis a développé et/ou certifié AES, RSA, SHA-1 et SHA-2. Le NIST travaille également en étroite collaboration avec la NSA dans le développement de ses chiffrements.
Compte tenu des efforts systématiques de la NSA pour affaiblir ou intégrer des portes dérobées dans les normes de chiffrement internationales, il y a tout lieu de remettre en question l'intégrité des algorithmes du NIST.
Le NIST n'a pas tardé à nier tout acte répréhensible (« Le NIST n'affaiblirait pas délibérément une norme cryptographique »). Il a également invité le public à participer à plusieurs propositions de normes liées au chiffrement à venir dans le but de renforcer la confiance.
Le New York Times, cependant, a accusé la NSA d'introduire des portes dérobées indétectables ou de renverser le processus de développement public pour affaiblir les algorithmes, contournant ainsi les normes de chiffrement approuvées par le NIST.
La nouvelle qu'une norme cryptographique certifiée NIST - l'algorithme Dual Elliptic Curve (Dual_EC_DRGB) - avait été délibérément affaiblie non pas une fois, mais deux fois par la NSA a encore érodé toute confiance existante.
Une porte dérobée potentielle dans Dual_EC_DRGB avait cependant déjà été remarquée. Des chercheurs de l'Université de technologie d'Eindhoven aux Pays-Bas ont noté, en 2006, qu'il était assez facile de lancer une attaque via un PC "ordinaire". Les ingénieurs de Microsoft ont également signalé une porte dérobée suspectée dans l'algorithme.
Malgré ces préoccupations, Microsoft, Cisco, Symantec et RSA incluent tous l'algorithme dans les bibliothèques cryptographiques de leurs produits. En effet, la conformité aux normes NIST est une condition préalable à l'obtention de contrats avec le gouvernement américain.
Les normes cryptographiques certifiées NIST sont à peu près omniprésentes dans tous les secteurs de l'industrie et des entreprises qui dépendent de la confidentialité (y compris l'industrie VPN). Et tout cela est plutôt glaçant. Pire encore, parce que ces normes sont utilisées partout, les experts en cryptographie peuvent ne pas vouloir faire face à la liste croissante de problèmes.
Pour en savoir plus sur les problèmes de confidentialité auxquels sont confrontés les citoyens américains, ainsi que sur la façon dont les Américains peuvent mieux se protéger en ligne, consultez notre guide des meilleurs VPN pour les États-Unis .
Secret de transmission parfait
L'une des révélations les plus répandues dans les informations d'Edward Snowden affirmait qu'"un autre programme, nommé Cheesy Name, visait à distinguer les clés de chiffrement SSL/TLS connues sous le nom de certificats", et que ces certificats pourraient être "vulnérables au piratage par supercalculateurs du GCHQ".
Le fait que ces certificats puissent être « isolés » suggère fortement que le cryptage RSA 1024 bits (couramment utilisé pour protéger les clés de certificat) est plus faible qu'on ne le pensait auparavant. La NSA et le GCHQ pourraient donc le décrypter bien plus rapidement que prévu.
De plus, l'algorithme SHA-1 largement utilisé pour authentifier les connexions SSL/TLS est fondamentalement défectueux. Dans les deux cas, l'industrie s'efforce de corriger les faiblesses aussi vite qu'elle le peut. Pour ce faire, il passe aux échanges de clés RSA-2048+, Diffie-Hellman ou Elliptic Curve Diffie-Hellman (ECDH) et à l'authentification par hachage SHA-2+.
Ce que ces problèmes (et le fiasco Heartbleed Bug de 2014) mettent en évidence, c'est l'importance d'utiliser le secret de transmission parfait (PFS) pour toutes les connexions SSL/TLS.
Il s'agit d'un système dans lequel une nouvelle clé de cryptage privée unique (sans clé supplémentaire dérivée de celle-ci) est générée pour chaque session. Pour cette raison, il est également connu sous le nom d'échange de clé éphémère.
Lors de l'utilisation de PFS, une clé SSL compromise n'a pas beaucoup d'importance, car de nouvelles clés sont générées pour chaque connexion. Les clés sont également souvent actualisées lors des connexions - et pour accéder de manière significative aux communications, il faudrait que ces nouvelles clés soient compromises. Cela rend la tâche si ardue qu'elle est effectivement impossible.
Un accès facile
Il est malheureusement courant pour les entreprises d'utiliser une seule clé de chiffrement privée. Bien qu'il soit beaucoup plus facile pour ces entreprises de le faire, cela les met également en danger, car si cette clé est compromise, l'attaquant pourra accéder à toutes les communications chiffrées avec elle.
OpenVPN et PFS
Le protocole VPN le plus utilisé est OpenVPN. Il est considéré comme très sécurisé, principalement parce qu'il permet l'utilisation de clés éphémères.
Malheureusement, très peu de fournisseurs VPN implémentent ces clés. Et sans secret de transmission parfait, les connexions OpenVPN ne peuvent pas être considérées comme sécurisées.
Il convient également de mentionner ici que les hachages HMAC SHA-1 couramment utilisés pour authentifier les connexions OpenVPN ne sont pas une faiblesse. En effet, HMAC SHA-1 est beaucoup moins vulnérable aux attaques par collision que les hachages SHA-1 standard. Cela dit, TLS 1.3 s'est éloigné de SHA-1 pour HMAC, au milieu d'une mer d'autres changements pour supprimer la prise en charge des protocoles non sécurisés. Dans la mesure du possible, vous devez vous assurer que votre implémentation OpenVPN utilise TLS 1.3.
Le plat à emporter – alors, le cryptage est-il sécurisé ?
Sous-estimer l'ambition ou la capacité de la NSA à compromettre tout le chiffrement est une erreur. Cependant, le cryptage reste la meilleure défense que nous ayons contre lui (et contre d'autres menaces similaires).
Au meilleur de la connaissance de quiconque, des chiffrements forts tels que AES (malgré les doutes concernant sa certification NIST) et OpenVPN (avec un secret de transmission parfait) restent sécurisés. Comme Bruce Schneier, spécialiste du cryptage au Harvards Berkman Center for Internet and Society, et défenseur de la vie privée l'a déclaré,
" Faites confiance aux calculs. Le cryptage est votre ami. Utilisez-le bien et faites de votre mieux pour vous assurer que rien ne peut le compromettre. C'est ainsi que vous pouvez rester en sécurité même face à la NSA . "
N'oubliez pas non plus que la NSA n'est pas le seul adversaire potentiel. Cependant, la plupart des criminels (et même les gouvernements) sont loin d'avoir la capacité de la NSA à contourner le cryptage.
Pour vous assurer que votre Internet est crypté, vous voudrez consulter notre guide des meilleurs VPN en 2022 .
L'importance du chiffrement de bout en bout
Le chiffrement de bout en bout (e2e) est une méthode dans laquelle vous chiffrez les données sur votre propre appareil. Vous seul détenez les clés de chiffrement, à moins que vous ne les partagiez, et les adversaires potentiels auront énormément de mal à déchiffrer vos données sans ces clés.
De nombreux services et produits n'utilisent pas le cryptage e2e. Au lieu de cela, ils cryptent vos données et détiennent les clés en votre nom. C'est assez pratique, car cela permet une récupération facile des mots de passe perdus et une synchronisation entre les appareils, mais cela signifie également que ces tiers pourraient être contraints de remettre vos clés de chiffrement.
Microsoft est un excellent exemple. Il crypte tous les e-mails et fichiers détenus dans OneDrive (anciennement SkyDrive), mais détient également les clés de cryptage. En 2013, il a utilisé ces clés pour déverrouiller les e-mails et les fichiers de ses 250 millions d'utilisateurs afin de faciliter l'inspection par la NSA.
Nous vous suggérons fortement d'éviter les services qui cryptent vos données sur leurs serveurs. Chiffrez toujours vos propres données sur votre propre machine partout où vous le pouvez et consultez notre guide pour sécuriser les services cloud si ce n'est pas une option pour vous.
HTTPS
La mise en œuvre d'un cryptage fort est devenue quelque peu à la mode ces derniers temps, mais les sites Web utilisent en fait le cryptage de bout en bout depuis 20 ans. Après tout, si le Web n'était pas sécurisé, nous ne serions pas en mesure d'effectuer des achats en ligne ni d'accéder à nos comptes bancaires.
HTTPS est le protocole de choix pour la plupart des sites, et cela signifie HTTP Secure (ou HTTP sur SSL/TLS). Il est utilisé par les sites Web qui ont besoin de sécuriser les communications des utilisateurs et est connu comme l'épine dorsale de la sécurité Internet.
Cependant, les données sont transférées non cryptées lorsque vous visitez un site Web HTTP non sécurisé. Cela signifie que toute personne qui regarde peut espionner votre activité sur le site, y compris les détails de la transaction lors des paiements ! Il est même possible de modifier les données transférées entre vous et le serveur Web.
Avec HTTPS, un échange de clé cryptographique se produit lors de votre première connexion au site Web. Toutes les actions ultérieures sur le site Web sont cryptées et donc cachées aux regards indiscrets. Toute personne qui regarde peut voir que vous avez visité un certain site, mais pas les pages individuelles que vous lisez ou les données transférées.
Par exemple, le site Web ProPrivacy est sécurisé avec HTTPS. À moins que vous n'utilisiez un VPN sur notre site, votre FAI pourra voir que vous l'avez visité, mais ne pourra pas dire que vous lisez cet article particulier. En effet, HTTPS utilise un chiffrement de bout en bout.
Il est facile de savoir si le site Web que vous visitez est sécurisé par HTTPS - recherchez simplement une icône de cadenas verrouillé à gauche de l'URL principale/barre de recherche.
Il y a des problèmes liés au HTTPS mais, en général, c'est sécurisé. Si ce n'était pas le cas, aucune des milliards de transactions financières et de transferts de données personnelles qui se produisent chaque jour ne serait possible. Internet lui-même (et peut-être l'économie mondiale) s'effondrerait du jour au lendemain.
Métadonnées
Une limitation plus préoccupante du cryptage est qu'il ne protège pas nécessairement les utilisateurs de la collecte de métadonnées.
Même si le contenu réel d'un e-mail, d'une conversation vocale ou d'une session de navigation ne peut pas être facilement surveillé, savoir quand, où, de qui, à qui et à quelle fréquence une telle communication a lieu peut en dire beaucoup à un adversaire. C'est un outil puissant entre de mauvaises mains.
Prenez un service de messagerie crypté en toute sécurité , comme WhatsApp. Facebook sera toujours en mesure de dire à qui vous envoyez des messages lorsque vous utilisez le service, ainsi que la fréquence à laquelle vous leur envoyez des messages, la durée pendant laquelle vous discutez habituellement et d'autres facteurs.
Les métadonnées sont si puissantes que leur collecte est devenue la principale préoccupation de la NSA (en plus de cibler les communications individuelles). Comme l'a ouvertement reconnu l'avocat général de la NSA, Stewart Baker :
"Les métadonnées vous disent absolument tout sur la vie de quelqu'un. Si vous avez suffisamment de métadonnées, vous n'avez pas vraiment besoin de contenu. "
Cependant, des technologies telles que les VPN et le navigateur Tor peuvent rendre la collecte de métadonnées plus difficile. Un FAI ne peut tout simplement pas récupérer les métadonnées relatives à l'historique de navigation des clients VPN utilisant le service pour masquer leur activité, après tout.
Notez cependant que certains fournisseurs de VPN enregistrent eux-mêmes certaines métadonnées. C'est quelque chose à prendre en considération lors du choix d'un fournisseur pour protéger votre vie privée.
Il convient également de noter que les applications mobiles contournent généralement tout VPN exécuté sur votre appareil et se connectent directement aux serveurs de leurs éditeurs. L'utilisation d'un VPN, par exemple, n'empêchera pas WhatsApp d'envoyer des métadonnées à Facebook.
Pour plus d'informations sur les VPN que nous recommandons pour les appareils mobiles, consultez notre meilleur guide VPN pour iPhone ou notre meilleur équivalent VPN pour Android , où nous entrons plus en détail.
Identifiez votre modèle de menace
Lorsque vous réfléchissez à la manière de protéger votre vie privée et de rester en sécurité sur Internet, réfléchissez attentivement à qui ou à quoi vous inquiète le plus. Se défendre contre tout est presque impossible. Et toute tentative en ce sens dégradera probablement sérieusement la convivialité (et votre plaisir) d'Internet.
Utiliser le logiciel FOSS
L'ampleur terrifiante de l'attaque de la NSA contre la cryptographie publique et son affaiblissement délibéré des normes internationales communes de chiffrement ont démontré qu'aucun logiciel propriétaire ne peut faire confiance. Cela inclut même des logiciels spécialement conçus pour la sécurité.
La NSA a coopté (ou contraint) des centaines d'entreprises technologiques à créer des portes dérobées dans leurs programmes ou à affaiblir la sécurité pour leur permettre d'y accéder. Les entreprises aux États-Unis et au Royaume-Uni sont particulièrement suspectes, bien que des rapports indiquent clairement que des entreprises du monde entier ont cédé aux demandes de la NSA.
Le problème avec les logiciels propriétaires est que la NSA n'a aucun problème à approcher et à convaincre les seuls développeurs et propriétaires de jouer au ballon. De plus, leur code source est souvent gardé secret, ce qui facilite grandement son ajout ou sa modification sans que personne d'autre ne s'en aperçoive.
Une solution à ce problème consiste à s'en tenir à un logiciel open source gratuit (FOSS). Souvent développés conjointement par des individus disparates et autrement non connectés, n'importe qui peut examiner et évaluer par des pairs le code source FOSS. Cela minimise le risque que quelqu'un l'altère.
Idéalement, ce code devrait également être compatible avec d'autres implémentations afin de réduire la possibilité qu'une porte dérobée soit intégrée.
Il est bien sûr possible que des agents de la NSA aient infiltré des groupes de développement open source et introduit du code malveillant à l'insu de qui que ce soit. De plus, la quantité de code impliquée dans ces projets peut être difficile à évaluer par des pairs dans son intégralité.
Malgré ces pièges potentiels, le FOSS reste le logiciel le plus fiable et inviolable disponible. Si vous êtes sérieux au sujet de la confidentialité, vous devriez faire de votre mieux pour l'utiliser exclusivement (et essayer les systèmes d'exploitation FOSS comme Linux).
Et si vous êtes déjà un utilisateur Linux, vous voudrez consulter notre guide des meilleurs VPN pour Linux pour obtenir des conseils supplémentaires sur la façon de rester en sécurité.
Mesures que vous pouvez prendre pour améliorer votre vie privée
À condition que rien ne soit parfait, et que s'"ils" veulent vraiment vous avoir "ils" le peuvent probablement, il y a encore des mesures que vous pouvez prendre pour améliorer votre vie privée.
Payer des trucs anonymement
Vous pouvez considérablement améliorer votre confidentialité numérique en payant des biens de manière anonyme. De toute évidence, lorsqu'il s'agit de biens physiques livrés à une adresse réelle, cela ne se produira pas, mais c'est une autre histoire avec les services en ligne.
De plus en plus de services acceptent également les paiements Bitcoin. Quelques VPN, comme le service VPN Mullvad , acceptent même les espèces envoyées anonymement par la poste. Si vous souhaitez en savoir plus, consultez notre guide des meilleurs VPN pour Bitcoin où nous examinons certains des fournisseurs qui prennent en charge les paiements cryptographiques.
Bitcoin
Bitcoin est une monnaie virtuelle décentralisée et open-source qui fonctionne à l'aide de la technologie peer-to-peer (tout comme BitTorrent et Skype ). En conséquence, le concept ne nécessite pas d'intermédiaire pour fonctionner (comme une banque contrôlée par l'État).
Cependant, la montée en puissance de Bitcoin au cours des dernières années a eu un coût pour la vie privée. Alors que les grandes banques et même certains petits États-nations échangeront des bitcoins, la plupart des vendeurs de bitcoins et des échanges de pièces exigent désormais que l'utilisateur passe par un processus "Connaissez votre client" similaire à ceux requis par les institutions financières. La remise de votre pièce d'identité avec photo à un tiers atténue quelque peu l'attrait du Bitcoin en tant que monnaie de protection de la vie privée.
Il existe plusieurs façons de contourner ce problème. Certains utilisateurs utilisent des gobelets à pièces pour atténuer la blockchain publique de Bitcoin, et d'autres sont passés à des projets de crypto-monnaie mettant davantage l'accent sur la confidentialité. La crypto-monnaie la plus mature de l'espace est actuellement Monero, qui dispose d'une blockchain anonyme et privée pour les paiements.
Tor contre VPN
Tor est un outil vital pour les internautes qui ont besoin d'un maximum d'anonymat possible. Les VPN, cependant, sont un outil de confidentialité beaucoup plus pratique pour une utilisation quotidienne d'Internet.
Tor peut également être un outil anti-censure pratique. Cependant, de nombreux gouvernements se donnent beaucoup de mal pour contrer cela en bloquant l'accès au réseau (avec un succès variable). Malheureusement, même identifier que quelqu'un utilise le réseau Tor est un signal d'alarme pour un administrateur réseau travaillant pour un gouvernement répressif.
Donc, si vous souhaitez utiliser Tor pour le journalisme ou la dénonciation, il est important de masquer complètement votre utilisation du réseau. Dans ce cas, il est possible d' utiliser Tor et un VPN ensemble pour fournir des avantages de sécurité significatifs.
Autres façons de rester privé en ligne
VPN et Tor sont les moyens les plus populaires de maintenir l'anonymat et d'échapper à la censure en ligne, mais il existe d'autres options. Les serveurs proxy , en particulier, sont très populaires. À mon avis, cependant, ils sont inférieurs aux services VPN .
D'autres services qui pourraient vous intéresser incluent JonDonym, Lahana, I2P et Psiphon. Vous pouvez combiner plusieurs de ces services avec Tor et/ou un VPN pour encore plus de sécurité.
Sécurisez votre navigation web
Il n'y a pas que la NSA qui veut vous avoir : les annonceurs aussi ! Ils utilisent des tactiques sournoises pour vous suivre sur le Web et créer un profil afin de vous vendre des choses... ou de vendre ces informations à d'autres qui veulent vous vendre des choses.
La plupart des personnes ayant un certain savoir-faire en matière de sécurité connaissent les cookies HTTP et savent comment les supprimer . Les navigateurs modernes disposent également d'un mode de navigation privée qui bloque ces cookies et empêche le navigateur d'enregistrer votre historique Internet.
Bien que ce soit une bonne idée d'utiliser un mode de navigation privée, cela ne suffit pas pour empêcher les organisations de vous suivre sur Internet - votre navigateur laisse d'autres traces au fur et à mesure.
Vous pouvez utiliser notre outil de suivi tiers pour déterminer quels sites Web vous suivent.
Effacer les entrées DNS mises en cache
Pour accélérer l'accès à Internet, votre navigateur met en cache l'adresse IP qu'il reçoit de votre serveur DNS par défaut (voir la section sur le changement de votre serveur DNS plus tard).
Sous Windows, vous pouvez voir les informations DNS mises en cache en tapant « ipconfig /displaydns » à l'invite de commande (cmd.exe).
- Pour vider le cache DNS dans Windows, ouvrez la fenêtre d'invite de commande et tapez : ipconfig /flushdns [entrée]
- Effacez le cache sous OSX 10.4 et inférieur en ouvrant Terminal et en tapant : lookupd -flushcache [enter]
- Pour vider le cache sous OSX 10.5 et supérieur, ouvrez Terminal et tapez : dscacheutil -flushcache [enter]
Effacer les cookies flash
Une évolution particulièrement insidieuse est l'utilisation généralisée des cookies Flash . La désactivation des cookies dans votre navigateur ne les bloque pas toujours, contrairement aux navigateurs modernes.
Les cookies Flash peuvent vous suivre de la même manière que les cookies ordinaires, et ils peuvent être localisés et supprimés manuellement des répertoires suivants :
- Windows : C:Users[nom d'utilisateur]AppDataLocal\MacromediaFlash Player #SharedObjects
- macOS : [Répertoire utilisateur] /Bibliothèque/Préférences/Macromedia/Flash Player/#SharedObjects
et [Répertoire utilisateur] /Bibliothèque/Préférences/Macromedia/Flash Player/macromedia.com/support/flashplayer/sys/
Une meilleure tactique, cependant, consiste à utiliser l'utilitaire CCleaner (disponible pour Windows et macOS). Cela nettoie les cookies Flash embêtants avec un minimum de tracas. Il nettoie également une foule d'autres déchets qui ralentissent votre ordinateur et laissent des traces de votre activité. Pour ce faire, vous devez configurer correctement CCleaner.
Grâce à une prise de conscience croissante des cookies Flash, y compris les soi-disant "cookies zombies" (des morceaux de code Flash persistant qui réapparaissent des cookies réguliers lorsqu'ils sont modifiés ou supprimés), et le fait que la plupart des navigateurs modernes incluent les cookies Flash dans le cadre de leur fonctionnalités de contrôle des cookies, l'utilisation des cookies Flash est en baisse. Cependant, ils représentent toujours une menace sérieuse.
Autres technologies de suivi Web
Les sociétés Internet gagnent beaucoup trop d'argent pour réagir contre le pistage des utilisateurs. Ils déploient donc un certain nombre de méthodes de traçage de plus en plus sournoises et sophistiquées.
Empreinte du navigateur
La manière dont votre navigateur est configuré (en particulier les plugins de navigateur utilisés), ainsi que les détails de votre système d'exploitation, vous permettent d'être identifié (et suivi) de manière unique avec un degré de précision inquiétant.
Un aspect particulièrement insidieux (et ironique) de cela est que plus vous prenez de mesures pour éviter le suivi (par exemple, en utilisant les plugins répertoriés ci-dessous), plus l'empreinte digitale de votre navigateur devient unique.
La meilleure défense contre les empreintes digitales du navigateur consiste à utiliser un système d'exploitation et un navigateur aussi courants et simples que possible. Malheureusement, cela vous laisse ouvert à d'autres formes d'attaque. Cela réduit également les fonctionnalités quotidiennes de votre ordinateur à un point tel que la plupart d'entre nous trouveront l'idée peu pratique.
Plus vous utilisez de plugins de navigateur, plus votre navigateur est unique. Merde !
L'utilisation du navigateur Tor avec Tor désactivé est une solution partielle à ce problème. Cela aidera à rendre votre empreinte digitale identique à celle de tous les autres utilisateurs de Tor, tout en bénéficiant du renforcement supplémentaire intégré au navigateur Tor.
En plus des empreintes digitales du navigateur, d'autres formes d'empreintes digitales sont de plus en plus courantes. Le plus important d'entre eux est l'empreinte digitale sur toile, bien que les empreintes digitales audio et de batterie soient également possibles.
Stockage Web HTML5
Le stockage Web, également connu sous le nom de stockage DOM (Document Object Model), est intégré à HTML5 (le remplacement tant vanté de Flash). Plus effrayant et beaucoup plus puissant que les cookies, le stockage Web est un moyen analogue de stocker des données dans un navigateur.
Il est cependant beaucoup plus persistant et a une capacité de stockage beaucoup plus grande. Il ne peut normalement pas non plus être surveillé, lu ou supprimé de manière sélective de votre navigateur Web. Et rappelez-vous:
- Tous les navigateurs activent le stockage Web par défaut , mais vous pouvez le désactiver dans Firefox et Internet Explorer.
- Les utilisateurs de Firefox peuvent également configurer le module complémentaire BetterPrivacy pour supprimer automatiquement le stockage Web de manière régulière. Les utilisateurs de Chrome peuvent utiliser l' extension Click&Clean .
- L'utilisation de ces modules complémentaires augmentera l'unicité de l'empreinte digitale de votre navigateur .
Balises de suivi
De nombreux sites de médias sociaux ajoutent à leur URL ce qui ressemble à un tas de courrier indésirable, mais il s'agit en fait d'une balise unique qui donne des informations analytiques à une entreprise. Cependant, cette chaîne de caractères doit être supprimée chaque fois que vous partagez un lien avec d'autres personnes ou des tiers. Pourquoi? Eh bien, parce que l'URL expose souvent des informations sur la provenance du lien, ainsi que des balises de suivi uniques qui permettent à l'analyse de commencer à profiler qui a cliqué sur le lien en utilisant des données de référence - et c'est profondément invasif.
Etags
Faisant partie de HTTP, le protocole du World Wide Web, les ETags sont des marqueurs utilisés par votre navigateur pour suivre les changements de ressources à des URL spécifiques. En comparant les changements de ces marqueurs avec une base de données, les sites Web peuvent créer une empreinte digitale, qui peut ensuite être utilisée pour vous suivre.
Les ETags peuvent également être utilisés pour faire réapparaître des cookies HTTP et HTML5 (de style zombie). Et une fois installés sur un site, les entreprises associées peuvent également les utiliser pour vous suivre.
Ce type de suivi du cache est pratiquement indétectable, donc une prévention fiable est très difficile. Effacer votre cache entre chaque site Web que vous visitez devrait fonctionner, tout comme la désactivation complète de votre cache.
Ces méthodes sont cependant ardues et auront un impact négatif sur votre expérience de navigation. Le module complémentaire Firefox Agent secret empêche le suivi par ETags, mais, encore une fois, augmentera probablement l'empreinte de votre navigateur (ou à cause de la façon dont cela fonctionne, peut-être pas).
Vol d'histoire
C'est là que les choses deviennent vraiment effrayantes. Le vol d'historique (également connu sous le nom d'espionnage d'historique) exploite la conception même du Web et permet à un site Web que vous visitez de découvrir votre historique de navigation passé.
La mauvaise nouvelle est que ces informations peuvent être combinées avec le profilage des réseaux sociaux pour vous identifier. C'est aussi presque impossible à prévenir.
La seule bonne nouvelle ici est que les empreintes digitales des réseaux sociaux, bien qu'efficaces, ne sont pas fiables. Si vous masquez votre adresse IP avec un bon VPN (ou Tor), vous ferez un pas important vers la dissociation de votre véritable identité de votre comportement Web suivi.
Extensions de navigateur améliorant la confidentialité
Lancés par Firefox, tous les navigateurs modernes prennent désormais en charge une multitude d'extensions. Beaucoup d'entre eux visent à améliorer votre vie privée lorsque vous naviguez sur Internet. Voici une liste de mes favoris - des extensions sans lesquelles je pense que personne ne devrait surfer :
Origine uBlock (Firefox)
Un bloqueur de publicité FOSS léger qui fait également office de module complémentaire anti-pistage. Les utilisateurs de Chrome et d'Internet Explorer/Edge peuvent utiliser Ghostery à la place. Cependant, de nombreux utilisateurs trouvent que le modèle de financement de ce logiciel commercial est quelque peu louche.
Blaireau de confidentialité (Firefox, Chrome)
Développé par l'Electronic Frontier Foundation (EFF), il s'agit d'un excellent module complémentaire anti-pistage FOSS qui fait des heures supplémentaires comme bloqueur de publicités. Il est largement recommandé d'exécuter Privacy Badger et uBlock Origin ensemble pour une protection maximale.
HTTPS Partout (Firefox, Chrome, Opera)
Un autre outil essentiel d'EFF. HTTPS Everywhere essaie de s'assurer que vous vous connectez toujours à un site Web à l'aide d'une connexion HTTPS sécurisée, si elle est disponible .
Cookies autodestructeurs (Firefox)
Supprime automatiquement les cookies lorsque vous fermez l'onglet du navigateur qui les a définis. Cela offre un haut niveau de protection contre le suivi via les cookies sans "casser" les sites Web. Il offre également une protection contre les cookies Flash/zombie et les ETags, et nettoie le stockage DOM.
NoScript (Firefox)
Il s'agit d'un outil extrêmement puissant qui vous donne un contrôle inégalé sur les scripts que vous exécutez sur votre navigateur. Cependant, de nombreux sites Web ne joueront pas avec NoScript, et cela nécessite un peu de connaissances techniques pour le configurer et le peaufiner.
Il est relativement plus facile d'ajouter des exceptions à une liste blanche, mais même cela nécessite une certaine compréhension des risques qui pourraient être impliqués. Pas pour le profane alors, mais pour les utilisateurs avertis du Web, NoScript est difficile à battre. ScriptSafe pour Chrome effectue un travail similaire.
Ce dernier mérite particulièrement l'attention. Cela vaut la peine de garder NoScript installé même si vous "Autorisez les scripts globalement", car cela protège toujours contre les choses désagréables telles que les scripts intersites et le détournement de clics.
uMatrix (Firefox, Chrome, Opera)
Développé par l'équipe derrière uBlock Origin, uMatrix est en quelque sorte une maison à mi-chemin entre ce module complémentaire et NoScript. Il offre une grande protection personnalisable, mais nécessite un peu de travail et de savoir-faire pour être configuré correctement.
Notez que si vous utilisez NoScript ou uMatrix, il n'est pas nécessaire d'utiliser également uBlock Origin et Privacy Badger.
En plus de ces extensions, la plupart des navigateurs modernes (y compris les navigateurs mobiles) incluent une option Ne pas suivre. Cela demande aux sites Web de désactiver le suivi et le suivi intersite lorsque vous les visitez.
Cela vaut vraiment la peine d'activer cette option. Cependant, la mise en œuvre est purement volontaire au nom des propriétaires de sites Web, il n'y a donc aucune garantie de confidentialité. Vous devez également savoir que l'utilisation de n'importe quel plug-in de navigateur augmente le caractère unique de votre navigateur. Cela vous rend plus susceptible d'être suivi par les empreintes digitales du navigateur.
Bloquer les "sites d'attaque signalés" et les "falsifications Web" dans Firefox
Ces paramètres sont utiles pour se protéger contre les attaques malveillantes, mais ont également un impact sur votre vie privée en partageant votre trafic Web pour travailler. Si ces problèmes de suivi l'emportent sur les avantages à votre avis, vous voudrez les désactiver.
Sécurité du navigateur mobile
La liste d'extensions ci-dessus se concentre sur les navigateurs de bureau. Il est tout aussi important de protéger nos navigateurs sur smartphones et tablettes.
Malheureusement, la plupart des navigateurs mobiles ont beaucoup de rattrapage à faire à cet égard. Cependant, de nombreuses extensions Firefox fonctionneront sur la version mobile du navigateur. Ceux-ci inclus:
- uBlock Origine
- HTTPS Partout
- Cookies autodestructeurs
Pour installer ces modules complémentaires dans Firefox pour Android ou Firefox pour iOS, visitez Options -> Outils -> Modules complémentaires -> Parcourir tous les modules complémentaires Firefox, puis saisissez votre recherche.
Heureusement, la navigation privée, le Do Not Track et la gestion avancée des cookies deviennent de plus en plus courants sur tous les navigateurs mobiles.
Utilisez un moteur de recherche qui ne vous suit pas
La plupart des moteurs de recherche, y compris Google (en fait, particulièrement Google), stockent des informations vous concernant. Ceci comprend:
- Votre adresse IP.
- Date et heure des requêtes de recherche.
- Interrogez les termes de recherche.
- identifiant de cookie ; ce cookie est déposé dans le dossier des cookies de votre navigateur et identifie de manière unique votre ordinateur. Grâce à lui, un fournisseur de moteur de recherche peut retracer une demande de recherche jusqu'à votre ordinateur.
Le moteur de recherche transmet généralement ces informations à la page Web demandée. Il le transmet également aux propriétaires de bannières publicitaires tierces sur cette page. Lorsque vous naviguez sur Internet, les annonceurs établissent un profil (potentiellement embarrassant et très inexact) de vous.
Ceci est ensuite utilisé pour cibler des publicités adaptées à vos besoins théoriques.
En plus de cela, les gouvernements et les tribunaux du monde entier demandent régulièrement des données de recherche à Google et à d'autres moteurs de recherche majeurs. Vous pouvez parier que cela est également dûment remis. Pour plus de détails, consultez le rapport Google Transparency sur le nombre de demandes de données utilisateur reçues et le nombre (au moins partiellement) d'accès.
Cependant, certains moteurs de recherche ne collectent pas les données des utilisateurs. Ceux-ci inclus:
CanardCanardAller
L'un des moteurs de recherche privés les plus connus , DuckDuckGo s'engage à ne pas tracer ses utilisateurs. Chaque événement de recherche est anonyme. Bien qu'un infiltré puisse suivre ces requêtes de recherche en théorie, il n'y a pas de profil auquel ils peuvent accéder.
DuckDuckGo dit qu'il se conformerait aux demandes légales ordonnées, mais comme il ne suit pas les utilisateurs, "il n'y a rien d'utile à leur donner". J'ai aimé utiliser DuckDuckGo au fil des ans, et grâce à l'utilisation de "bangs", il peut également rechercher d'autres moteurs de recherche populaires de manière anonyme.
Malheureusement, de nombreux utilisateurs ne trouvent pas les résultats de recherche DDG aussi bons que ceux renvoyés par Google. Le fait qu'il s'agisse d'une entreprise basée aux États-Unis est également une préoccupation pour certains.
Page de démarrage
Une autre alternative populaire à Google est StartPage ; un navigateur basé aux Pays-Bas qui renvoie les résultats du moteur de recherche Google. StartPage anonymise ces recherches Google et s'engage à ne pas stocker ou partager d'informations personnelles ou à utiliser des cookies d'identification.
Ixquick
Géré par les mêmes personnes qui exécutent StartPage, Ixquick renvoie les résultats d'un certain nombre d'autres moteurs de recherche, mais pas de Google. Ces recherches sont aussi privées que celles effectuées via StartPage.
YaCy
Les moteurs de recherche ci-dessus reposent sur la confiance des fournisseurs de moteurs de recherche pour maintenir votre anonymat. Si cela vous inquiète, vous pouvez envisager YaCy. Il s'agit d'un moteur de recherche décentralisé et distribué construit à l'aide de la technologie P2P.
C'est une idée fantastique, et j'espère vraiment qu'elle décollera. Pour l'instant, cependant, il s'agit plus d'une curiosité passionnante que d'une alternative Google à part entière et utile.
Pour voir d'autres alternatives, consultez notre liste des meilleurs moteurs de recherche privés .
La bulle de filtre
Un avantage supplémentaire d'utiliser un moteur de recherche qui ne vous suit pas est qu'il évite l'effet "bulle de filtre". La plupart des moteurs de recherche utilisent vos termes de recherche passés (et les choses que vous "aimez" sur les réseaux sociaux) pour vous profiler. Ils peuvent ensuite renvoyer des résultats qui, selon eux, vous intéresseront.
Cela peut produire une bulle de filtre - ne montrant que les résultats de recherche correspondant à votre point de vue. Vous ne pourrez pas voir d'autres points de vue ou opinions, car ils seront rétrogradés dans vos résultats de recherche.
Cela vous empêche d'accéder à la riche texture et à la multiplicité de l'apport humain. C'est aussi très dangereux, car cela peut confirmer les préjugés et vous empêcher d'avoir une « vue d'ensemble ».
Supprimer votre historique Google
Vous pouvez consulter les informations que Google recueille à votre sujet en vous connectant à votre compte Google et en visitant Mon activité. De là, vous pouvez également supprimer des éléments par sujet ou produit. Puisque vous lisez ce guide de confidentialité, vous voudrez probablement Supprimer -> Tout le temps.
Bien sûr, nous n'avons que la parole de Google qu'ils suppriment vraiment ces données. Mais cela ne peut certainement pas faire de mal de le faire !
Afin d'empêcher Google de continuer à collecter de nouvelles informations vous concernant, rendez-vous sur Contrôles d'activité.
Ces mesures n'empêcheront pas quelqu'un qui vous espionne délibérément de récolter vos informations. Cependant, cela aidera à mettre un terme au profilage de Google.
Même si vous envisagez de consulter l'un des services "sans suivi" répertoriés ci-dessus, la plupart d'entre nous ont déjà constitué un historique Google substantiel, que toute personne lisant cet article voudra probablement supprimer.
Bien sûr, la suppression et la désactivation de votre historique Google signifie que de nombreux services Google qui s'appuient sur ces informations pour fournir leur magie hautement personnalisée cesseront de fonctionner ou ne fonctionneront pas aussi bien.
Tu veux t'amuser? Vous pouvez fausser l'image que Google construit à votre sujet à l'aide de notre outil Ruin my Search History .
Sécurisez votre messagerie
La plupart des services de messagerie fournissent une connexion HTTPS sécurisée, et Google a même ouvert la voie en corrigeant la principale faiblesse de l'implémentation SSL. Ce sont donc des services de messagerie sécurisés . Cependant, cela ne sert à rien si le service de messagerie transmet simplement vos informations à un adversaire, comme Google et Microsoft l'ont fait avec la NSA !
La réponse réside dans le chiffrement des e-mails de bout en bout. C'est là que l'expéditeur crypte l'e-mail, et seul le destinataire prévu peut le décrypter. Le plus gros problème avec l'utilisation d'un système de messagerie crypté est que vous ne pouvez pas l'imposer unilatéralement. Vos contacts - destinataires et expéditeurs - doivent également jouer au ballon pour que tout fonctionne.
Essayer de convaincre votre grand-mère d'utiliser le cryptage PGP conduira probablement à la perplexité. Pendant ce temps, essayer de convaincre vos clients de l'utiliser pourrait rendre beaucoup d'entre eux méfiants envers vous !
PGP
La plupart des gens considèrent Pretty Good Privacy (PGP) comme le moyen le plus sûr et le plus privé d'envoyer et de recevoir des e-mails. Malheureusement, PGP n'est pas facile à utiliser. Du tout.
Cela a entraîné un très faible nombre de personnes désireuses d'utiliser PGP (essentiellement quelques crypto-geeks).
Avec PGP, seul le corps d'un message est chiffré, mais pas l'en-tête, le destinataire, l'heure d'envoi, etc. Ces métadonnées peuvent toujours être très précieuses pour un adversaire, même s'il ne peut pas lire le message réel.
Malgré ses limites, PGP reste le seul moyen d'envoyer des e-mails en toute sécurité.
Garde de confidentialité GNU
PGP était autrefois open source et gratuit, mais est maintenant la propriété de Symantec. Cependant, la Free Software Foundation a repris la bannière open source OpenPGP et, grâce à un financement important du gouvernement allemand, a publié GNU Privacy Guard (également connu sous le nom de GnuPG ou simplement GPG).
GnuPG est une alternative gratuite et open source à PGP. Il suit la norme OpenPGP et est entièrement compatible avec PGP, et est disponible pour Windows, macOS et Linux. Quand on se réfère à PGP, la plupart des gens de nos jours (y compris moi-même) veulent dire GnuPG.
Génération d'une paire de clés PGP dans Gpgwin
Bien que le programme de base utilise une simple interface de ligne de commande, des versions plus sophistiquées sont disponibles pour Windows ( Gpg4win ) et Mac (GPGTools). Alternativement, EnigMail ajoute la fonctionnalité GnuPG aux clients de messagerie autonomes Thunderbird et SeaMonkey.
PGP sur les appareils mobiles
Les utilisateurs d'Android devraient être ravis de savoir qu'une version Alpha de GnuPG : Command-Line du Guardian Project est disponible.
K-9 Mail est un client de messagerie bien considéré pour Android avec prise en charge PGP intégrée. Il peut être combiné avec Android Privacy Guard pour offrir une expérience PGP plus conviviale. Les utilisateurs d'iOS peuvent essayer iPGMail.
Utilisez PGP avec votre service de messagerie Web existant
PGP est une vraie galère à utiliser. Une si grande douleur, en fait, que peu de gens s'en soucient. Mailvelope est une extension de navigateur pour Firefox et Chrome qui permet le chiffrement PGP de bout en bout dans votre navigateur.
Il fonctionne avec les services de messagerie Web populaires basés sur un navigateur tels que Gmail, Hotmail, Yahoo! et GMX. Cela rend l'utilisation de PGP aussi indolore que possible. Cependant, ce n'est pas aussi sûr que d'utiliser PGP avec un client de messagerie dédié.
Utilisez un service de messagerie Web crypté dédié
Les services de messagerie Web cryptés axés sur la confidentialité ont proliféré au cours des deux dernières années. Les plus notables d'entre eux sont ProtonMail et Tutanota . Ceux-ci sont beaucoup plus faciles à utiliser que PGP et, contrairement à PGP, masquent les métadonnées des e-mails. Les deux services permettent désormais également aux non-utilisateurs de répondre en toute sécurité aux e-mails cryptés qui leur sont envoyés par les utilisateurs.
Protonmail est beaucoup plus sécurisé que la plupart des services de messagerie Web.
Malheureusement, pour fonctionner, ProtonMail et Tutanota implémentent le cryptage dans le navigateur à l'aide de JavaScript. C'est fondamentalement précaire.
L'essentiel avec ces services est qu'ils sont aussi faciles à utiliser que Gmail, tout en étant beaucoup plus privés et sécurisés. Ils ne scanneront pas non plus vos e-mails pour vous vendre des trucs. Cependant, ne les considérez jamais comme étant aussi sûrs que l'utilisation de PGP avec un programme de messagerie autonome.
Autres précautions de confidentialité des e-mails
Si vous êtes uniquement intéressé par la protection des fichiers, vous pouvez les chiffrer avant de les envoyer par e-mail ordinaire.
Il est également possible de crypter les e-mails stockés en cryptant le dossier de stockage des e-mails à l'aide d'un programme tel que VeraCrypt (dont je parlerai plus tard).
En fin de compte, les e-mails sont un système de communication obsolète et fondamentalement défectueux en matière de confidentialité et de sécurité. Les appels VoIP cryptés de bout en bout et la messagerie instantanée sont des moyens beaucoup plus sûrs de communiquer en ligne.
Sécurisez vos conversations vocales
Les appels téléphoniques réguliers (fixe et mobile) ne sont jamais sécurisés et vous ne pouvez pas changer cela. Il n'y a pas que la NSA et le GCHQ dont vous devez vous soucier. Partout, les gouvernements tiennent à enregistrer les appels téléphoniques des citoyens.
Contrairement aux e-mails et à l'utilisation d'Internet, qui peuvent être masqués (comme cet article tente de le démontrer), les conversations téléphoniques sont toujours ouvertes.
Même si vous achetez des «téléphones à graver» anonymes et jetables (comportement qui vous signale comme étant paranoïaque inquiétant ou engagé dans une activité hautement criminelle), de nombreuses informations peuvent être recueillies grâce à la collecte de métadonnées.
Les téléphones à brûleur sont également totalement inutiles à moins que les personnes que vous appelez soient également paranoïaques et utilisent également des téléphones à brûleur.
VoIP avec cryptage de bout en bout
Si vous souhaitez que vos conversations vocales restent totalement privées, vous devez utiliser la VoIP avec un cryptage de bout en bout (sauf, bien sûr, lorsque vous parlez en personne).
Les applications VoIP (Voice over Internet Protocol) vous permettent de parler en toute sécurité sur Internet. Il vous permettra également souvent de passer des appels vidéo et d'envoyer des messages instantanés. Les services VoIP permettant des appels bon marché ou gratuits partout dans le monde sont ainsi devenus extrêmement populaires. Skype, en particulier, est désormais un nom familier.
Malheureusement, Skype appartient à Microsoft et a parfaitement démontré le problème avec la plupart de ces services (un problème qu'ils partagent avec les e-mails). Les connexions VoIP vers et depuis un intermédiaire peuvent être sécurisées, mais si l'intermédiaire transmet simplement vos conversations à la NSA ou à une autre organisation gouvernementale, cette sécurité n'a pratiquement aucun sens.
Ainsi, comme pour le courrier électronique, ce qui est nécessaire est un cryptage de bout en bout où un tunnel crypté est créé directement entre les participants à une conversation. Et personne d'autre.
Bonnes alternatives à Skype
Signal est disponible pour Android et iOS, et en plus d'être probablement l'application de messagerie instantanée (IM) la plus sécurisée disponible, elle permet également à ses utilisateurs de passer des appels VoIP sécurisés.
Comme pour la messagerie, Signal exploite votre carnet d'adresses habituel. Si un contact utilise également Signal, vous pouvez démarrer une conversation VoIP cryptée avec lui. Si un contact n'utilise pas Signal, vous pouvez soit l'inviter à utiliser l'application, soit lui parler en utilisant votre connexion téléphonique habituelle non sécurisée.
Le cryptage utilisé par Signal pour les appels VoIP n'est pas aussi fort que le cryptage qu'il utilise pour la messagerie texte. Cela est probablement dû au fait que le cryptage et le décryptage des données utilisent la puissance de traitement, donc un cryptage plus fort aurait un impact négatif sur la qualité des appels.
Votre modèle de menace peut varier
Dans la plupart des cas, ce niveau de cryptage devrait être plus que suffisant. Cependant, si vous avez besoin de niveaux de confidentialité plus élevés, vous devez vous en tenir à la messagerie texte.
Jitsi (Windows, macOS, Linux, Android) est un logiciel gratuit et open-source qui offre toutes les fonctionnalités de Skype. Sauf que tout est crypté avec ZRTP. Cela inclut les appels vocaux, la visioconférence, les transferts de fichiers et la messagerie.
La première fois que vous vous connectez à quelqu'un, cela peut prendre une minute ou deux pour établir la connexion chiffrée (désignée par un cadenas). Mais le cryptage est ensuite transparent. En tant que remplaçant direct de Skype pour le bureau, Jitsi est difficile à battre.
Pour plus d'informations, consultez notre liste d'applications de visioconférence sécurisées (alternatives AKA Zoom) .
Sécurisez vos SMS
Il y a beaucoup de croisement ici avec notre section précédente sur la VoIP. De nombreux services VoIP, y compris Signal et Jitsi, offrent également des fonctionnalités de chat et de messagerie instantanée intégrées.
Signal (Android, iOS), développé par la crypto-légende Moxie Marlinspike, est largement considéré comme l'application de messagerie texte la plus sécurisée du marché. Ce n'est pas sans problèmes, mais Signal est aussi bon que possible lorsqu'il s'agit d'avoir une conversation sécurisée et privée.
Signal remplace l'application de messagerie texte par défaut de votre téléphone et utilise votre liste de contacts habituelle. Si un contact utilise également Signal, tous les messages qui lui sont envoyés ou reçus sont cryptés de bout en bout en toute sécurité.
Si un contact n'utilise pas Signal, vous pouvez l'inviter à utiliser l'application ou envoyer un SMS non crypté via un SMS standard. La beauté de ce système est que l'utilisation de Signal est presque transparente, ce qui devrait faciliter la tâche de convaincre les amis, la famille et les collègues de l'essayer.
Pour plus d'informations, consultez notre revue complète de Signal Messenger .
Jitsi (Windows, macOS, Linux, Android (expérimental)) est une excellente application de messagerie de bureau et est très sécurisée. Cependant, il n'est certainement pas aussi sûr que Signal.
Une note sur WhatsApp
L'application WhatsApp très populaire utilise désormais le même cryptage de bout en bout développé pour Signal. Contrairement à Signal, cependant, WhatsApp (propriété de Facebook) conserve les métadonnées et présente d'autres faiblesses non présentes dans l'application Signal.
Malgré ces problèmes, la plupart de vos contacts utilisent probablement WhatsApp et ne seront probablement pas convaincus de passer à Signal. Compte tenu de cette situation trop courante, WhatsApp offre une sécurité et une confidentialité considérablement améliorées que vos contacts pourraient réellement utiliser.
Malheureusement, cet argument a été sapé par une annonce récente selon laquelle WhatsApp commencera à partager par défaut les carnets d'adresses des utilisateurs avec sa société mère Facebook. Cela peut être désactivé, mais la grande majorité des utilisateurs ne prendront pas la peine de le faire.
Facebook n'est cependant que la pointe de l'iceberg. Découvrez comment d'autres plateformes de médias sociaux vous suivent grâce à notre indice de confidentialité des médias sociaux .
Abandonnez le téléphone portable !
Pendant que nous parlons de téléphones, je dois également mentionner que chacun de vos mouvements peut être suivi lorsque vous transportez le vôtre. Et pas seulement par les coupables habituels comme le GPS et Google Now/Siri.
Les tours de téléphonie peuvent facilement suivre même le téléphone portable le plus modeste. En plus de cela, l'utilisation des capteurs Stingray IMSI a proliféré parmi les forces de police du monde entier.
Ces appareils imitent les tours de téléphonie cellulaire. Ils peuvent non seulement identifier et suivre de manière unique les téléphones portables individuels, mais peuvent également intercepter les appels téléphoniques, les messages SMS et le contenu Internet non crypté.
L'utilisation d'une application de messagerie cryptée de bout en bout telle que Signal empêchera cette interception. Cependant, si vous ne voulez pas être identifié et suivi de manière unique par votre téléphone, la seule vraie solution est de laisser votre téléphone à la maison.
Sécurisez votre stockage cloud
À mesure que la vitesse d'Internet augmente, que le stockage au niveau du serveur devient moins cher et que les différents appareils que nous utilisons pour accéder à Internet deviennent plus nombreux, il devient de plus en plus clair que le stockage en nuage est l'avenir.
Le problème, bien sûr, est de s'assurer que les fichiers stockés dans le "cloud" restent sécurisés et privés - et les grands acteurs se sont révélés terriblement insuffisants. Google, Dropbox, Amazon, Apple et Microsoft ont tous travaillé de mèche avec la NSA. Ils se réservent également le droit d'enquêter sur vos dossiers et de les remettre aux autorités s'ils reçoivent une ordonnance du tribunal - et cela est décrit dans les termes et conditions.
Pour vous assurer que vos fichiers sont sécurisés dans le cloud, vous pouvez adopter un certain nombre d'approches.
Crypter manuellement vos fichiers avant de les télécharger sur le cloud
La méthode la plus simple et la plus sécurisée consiste à crypter manuellement vos fichiers à l'aide d'un programme tel que VeraCrypt ou EncFS. Cela a l'avantage de vous permettre de continuer à utiliser votre service de stockage en nuage préféré, même s'il est intrinsèquement peu sûr, car vous détenez toutes les clés de cryptage de vos fichiers.
Comme discuté plus tard, il existe des applications mobiles capables de gérer les fichiers VeraCrypt ou EncFS, permettant la synchronisation entre les appareils et les plates-formes. Des fonctionnalités telles que la gestion des versions de fichiers ne fonctionneront pas avec des fichiers individuels car le conteneur chiffré les masque, mais il est possible de récupérer des versions antérieures du conteneur.
Si vous êtes à la recherche d'une bonne alternative à Dropbox, vous pouvez consulter notre liste des meilleures sauvegardes sécurisées .
Utiliser un service cloud crypté automatiquement
Ces services chiffrent automatiquement les fichiers avant de les télécharger sur le cloud. Évitez tout service qui chiffre les fichiers côté serveur, car ceux-ci sont susceptibles d'être déchiffrés par le fournisseur de services.
Toutes les modifications apportées aux fichiers ou aux dossiers sont synchronisées avec les versions décryptées localement avant d'être sécurisées et envoyées dans le cloud.
Tous les services répertoriés ci-dessous ont des applications iOS et Android, vous pouvez donc facilement synchroniser sur vos ordinateurs et appareils mobiles. Cette commodité a un petit prix de sécurité, car les services stockent brièvement votre mot de passe sur leurs serveurs pour vous authentifier et vous diriger vers vos fichiers.
- TeamDrive - ce service allemand de sauvegarde et de synchronisation de fichiers dans le cloud s'adresse principalement aux entreprises. Cependant, il propose également des comptes personnels gratuits et peu coûteux. TeamDrive utilise un logiciel propriétaire, mais a été certifié par le Centre régional indépendant pour la protection des données du Schleswig-Holstein.
- Tresorit - est basé en Suisse, les utilisateurs bénéficient donc des lois strictes du pays en matière de protection des données. Il fournit un chiffrement côté client, bien que les données utilisateur soient stockées sur des serveurs Microsoft Windows Azure. Compte tenu de la méfiance généralisée à l'égard de tout ce qui concerne les États-Unis, c'est un choix étrange. Mais comme le chiffrement côté client garantit que les clés cryptographiques sont conservées avec l'utilisateur à tout moment, cela ne devrait pas poser de problème.
- SpiderOak - disponible pour toutes les principales plates-formes, SpiderOak offre un service cloud "zéro connaissance", sécurisé et automatiquement crypté. Il utilise une combinaison de RSA 2048 bits et AES 256 bits pour chiffrer vos fichiers.
Notez que tous ces services cloud sont à source fermée. Cela signifie que nous devons simplement leur faire confiance pour faire ce qu'ils prétendent faire (bien que TeamDrive ait été audité de manière indépendante).
Utilisez Syncthing pour une synchronisation sans nuage
Syncthing est un programme sécurisé de synchronisation de fichiers peer-to-peer (P2P) décentralisé qui peut synchroniser des fichiers entre des appareils sur un réseau local ou sur Internet.
Agissant plus ou moins comme un remplaçant de Dropbox, Syncthing synchronise les fichiers et les dossiers sur tous les appareils, mais le fait sans les stocker dans le cloud. À bien des égards, il est donc similaire à BitTorrent Sync, sauf qu'il est entièrement gratuit et open-source (FOSS).
Syncthing vous permet de sauvegarder des données en toute sécurité sans avoir besoin de faire confiance à un fournisseur de cloud tiers. Les données sont sauvegardées sur un ordinateur ou un serveur que vous contrôlez directement et ne sont à aucun moment stockées par un tiers.
Ceci est appelé dans les cercles techniques un "modèle BYO (cloud)", où vous fournissez le matériel au lieu d'un fournisseur commercial tiers. Le cryptage utilisé est également entièrement de bout en bout, car vous le cryptez sur votre appareil et vous seul pouvez le décrypter. Personne d'autre ne détient les clés de cryptage.
Une limitation du système est que, comme il ne s'agit pas d'un véritable service cloud, il ne peut pas être utilisé comme lecteur supplémentaire par des appareils portables avec un stockage limité. Du côté positif, cependant, vous utilisez votre propre stockage et n'êtes donc pas lié aux limites de données (ou aux frais) des fournisseurs de cloud.
Chiffrez vos fichiers, dossiers et lecteurs locaux
Bien que ce guide se concentre sur la sécurité et la confidentialité sur Internet, un aspect important de la sécurisation de votre vie numérique consiste à garantir que les fichiers stockés localement ne soient pas accessibles par des parties indésirables.
Bien sûr, il ne s'agit pas seulement de stockage local. Vous pouvez également chiffrer les fichiers avant de les envoyer par e-mail ou de les télécharger sur le stockage cloud.
VeraCrypt
Windows, Mac mac OS, Linux. La prise en charge mobile des conteneurs VeraCrypt est disponible via des applications tierces.
VeraCrypt est un programme open source de chiffrement intégral du disque. Avec VeraCrypt, vous pouvez :
- Créez un disque chiffré virtuel (volume) que vous pouvez monter et utiliser comme un vrai disque (et qui peut être transformé en volume caché).
- Chiffrer une partition entière ou un périphérique de stockage (par exemple, un disque dur ou une clé USB).
- Créez une partition ou un lecteur de stockage contenant un système d'exploitation complet (qui peut être masqué).
Tout le cryptage est effectué à la volée en temps réel, ce qui rend VeraCrypt transparent en fonctionnement. La possibilité de créer des volumes cachés et des systèmes d'exploitation cachés offre un déni plausible, car il devrait être impossible de prouver leur existence (tant que toutes les précautions appropriées sont prises).
Crypte AES
Windows, macOS, Linux ( Crypt4All Lite pour Android est compatible).
Cette petite application multiplateforme astucieuse est pratique pour chiffrer des fichiers individuels. Bien que seuls des fichiers individuels puissent être cryptés, cette limitation peut être quelque peu surmontée en créant des fichiers zip à partir de dossiers, puis en cryptant le fichier zip avec AES Crypt.
Chiffrement intégral du disque sur les appareils mobiles
Tous les nouveaux iPhones et iPads sont désormais livrés avec un chiffrement complet du disque. Certains appareils Android le font également. Sinon, vous pouvez l'activer manuellement. Veuillez consulter notre guide pour chiffrer votre téléphone Android pour plus de détails.
Utiliser un logiciel anti-virus/anti-malware et pare-feu
Logiciel antivirus
Remarque : ProPrivacy a consacré des guides aux logiciels antivirus - nous vous recommandons de commencer par notre meilleure liste de logiciels antivirus . Maintenant, revenons au guide...
Cela va presque sans dire, mais comme il s'agit d'un "guide ultime", je le dis quand même :
Utilisez toujours un logiciel antivirus et assurez-vous qu'il est à jour !
Les virus peuvent faire des ravages dans votre système et permettre aux pirates d'entrer. Ils auront accès à tous vos fichiers et e-mails (non cryptés), webcam, mots de passe stockés dans Firefox (si aucun mot de passe principal n'est défini), et bien plus encore. Les enregistreurs de frappe sont particulièrement dangereux, car ils peuvent être utilisés pour accéder aux coordonnées bancaires et suivre à peu près tout ce que vous faites sur votre ordinateur.
Il convient également de rappeler que les pirates informatiques ne sont pas les seuls à utiliser des virus ! Le gouvernement syrien, par exemple, a lancé une campagne virale connue sous le nom de Blackshade visant à dénicher et à espionner les dissidents politiques.
La plupart des gens savent qu'ils devraient utiliser un logiciel antivirus sur leur ordinateur de bureau, mais beaucoup négligent leurs appareils mobiles. Bien qu'il y ait moins de virus ciblant les appareils mobiles à l'heure actuelle, les smartphones et les tablettes sont des ordinateurs sophistiqués et puissants. En tant que tels, ils sont vulnérables aux attaques de virus et doivent être protégés.
Les utilisateurs de Mac négligent notoirement les logiciels antivirus, citant le "fait" que l'architecture macOS Unix rend les attaques de virus difficiles. Ceci une illusion, cependant. Les Mac ne sont pas à l'abri des virus, et toute personne soucieuse de leur sécurité devrait toujours utiliser un bon logiciel antivirus.
Logiciel antivirus gratuit ou payant
Le consensus convenu est que les logiciels antivirus gratuits sont aussi bons pour prévenir les virus que les alternatives payantes - mais les logiciels payants offrent un meilleur support et des "suites" logicielles plus complètes. Ceux-ci sont conçus pour protéger votre ordinateur contre une gamme de menaces en combinant des fonctions antivirus, anti-hameçonnage, anti-malware et pare-feu.
Des niveaux de protection similaires sont disponibles gratuitement mais nécessitent l'utilisation de différents programmes. De plus, la plupart des logiciels gratuits sont réservés à un usage personnel et les entreprises doivent généralement payer une licence. Une préoccupation plus importante, cependant, est de savoir comment les éditeurs peuvent se permettre d'offrir des produits antivirus gratuits. AVG, par exemple, peut vendre les données d'historique de recherche et de navigation des utilisateurs aux annonceurs afin de "gagner de l'argent" grâce à son logiciel antivirus gratuit.
Bien que je recommande les produits gratuits (car la plupart des produits anti-virus majeurs ont une version gratuite), il peut donc être très judicieux de passer à une version premium du logiciel si vous en avez les moyens.
Bonnes options de logiciels antivirus
Windows – le programme antivirus gratuit le plus populaire pour Windows est Avast ! Les utilisateurs peuvent consulter gratuitement Antivirus et AVG AntiVirus Free Edition (que je recommande d'éviter pour la raison ci-dessus). Personnellement, j'utilise Windows Defender intégré pour une protection en temps réel et j'exécute une analyse manuelle hebdomadaire à l'aide de Malwarebytes Free . Une version payante de Malwarebytes est également disponible pour exécuter des analyses automatiquement et fournir une protection en temps réel. Si vous voulez en savoir plus, consultez notre meilleur guide antivirus pour Windows 10 .
macOS – Avast ! Free Antivirus for Mac est bien considéré, bien que d'autres options gratuites décentes soient disponibles. En fait, les logiciels gratuits sont mieux considérés que les options payantes, je vous recommande donc d'économiser votre argent ! Pour plus d'informations, consultez nos meilleures applications antivirus pour Mac .
Android - encore une fois, il existe un certain nombre d'options, gratuites et payantes. J'utilise Malwarebytes car il est agréable et léger. Avast ! est cependant plus complet et comprend un pare-feu. Découvrez-en plus avec notre guide des meilleures applications antivirus pour Android .
iOS – Apple nie toujours le fait qu'iOS est aussi vulnérable aux attaques de virus que n'importe quelle autre plate-forme. En effet, dans un geste aussi alarmant que bizarre, il semblerait qu'Apple ait purgé le Store des applications anti-virus ! Un VPN vous aidera quelque peu en cryptant vos données et en vous protégeant des pirates et de la surveillance.
Linux – les suspects habituels : Avast ! et Kaspersky sont disponibles pour Linux. Ceux-ci fonctionnent très bien.
Pare-feu
Un pare-feu personnel surveille le trafic réseau vers et depuis votre ordinateur. Il peut être configuré pour autoriser et interdire le trafic en fonction d'un ensemble de règles. En cours d'utilisation, ils peuvent être un peu pénibles, mais ils aident à garantir que rien n'accède à votre ordinateur et qu'aucun programme n'accède à Internet alors qu'il ne devrait pas l'être.
Windows et Mac sont livrés avec des pare-feu intégrés. Ce ne sont cependant que des pare-feux unidirectionnels. Ils filtrent le trafic entrant mais pas le trafic sortant. Cela les rend beaucoup plus conviviaux que les véritables pare-feu bidirectionnels, mais beaucoup moins efficaces, car vous ne pouvez pas surveiller ou contrôler ce que font les programmes (y compris les virus) déjà installés sur votre ordinateur.
Le plus gros problème avec l'utilisation d'un pare-feu bidirectionnel est de déterminer quels programmes sont autorisés à accéder à Internet et lesquels sont potentiellement malveillants. Des processus Windows parfaitement légitimes peuvent, par exemple, sembler assez obscurs. Une fois mis en place, cependant, ils deviennent assez transparents dans leur utilisation.
Programmes de pare-feu bidirectionnels recommandés
Windows – Comodo Firewall Free et ZoneAlarm Free Firewall sont gratuits et bons. Une autre approche consiste à utiliser TinyWall. Ce programme gratuit très léger n'est pas un pare-feu en soi, mais ajoute à la place la possibilité de surveiller les connexions sortantes au pare-feu Windows intégré.
Glasswire n'est pas non plus un véritable pare-feu car il ne vous permet pas de créer des règles ou des filtres, ni de bloquer des connexions IP spécifiques. Ce qu'il fait, c'est présenter les informations du réseau de manière claire. Cela permet de comprendre facilement ce qui se passe et donc de prendre des décisions éclairées.
macOS – Little Snitch ajoute la possibilité de surveiller les connexions sortantes au pare-feu macOS intégré. C'est super, mais c'est un peu cher à 25 $.
Android – comme indiqué ci-dessus, la version gratuite d'Avast! pour l'application Android comprend un pare-feu.
iOS - le seul pare-feu iOS que je connaisse est Firewall iP , et il nécessite un appareil jailbreaké pour fonctionner.
Linux – il existe de nombreux programmes de pare-feu Linux et des distributions de pare-feu dédiées disponibles. iptables est fourni avec à peu près toutes les distributions Linux et est un utilitaire de pare-feu extrêmement flexible pour quiconque souhaite le maîtriser.
Ceux qui sont un peu moins téméraires préféreront peut-être un pare-feu Linux plus convivial comme Smoothwall Express ou pfSense . Consultez notre page VPN pfSense pour plus de détails sur la façon dont un VPN peut améliorer la sécurité.
Divers trucs et astuces de sécurité
Utilisez Linux plutôt qu'un système d'exploitation commercial
Comme je l'ai noté au début de ce guide, on ne peut faire confiance à aucun logiciel commercial pour ne pas avoir une porte dérobée intégrée par la NSA.
Une alternative plus sécurisée à Windows (en particulier Windows 10 !) ou macOS est Linux. Il s'agit d'un système d'exploitation gratuit et open source. Notez cependant que certaines versions intègrent des composants qui ne sont pas open source.
Il est beaucoup moins probable que Linux ait été compromis par la NSA. Bien sûr, cela ne veut pas dire que la NSA n'a pas essayé. C'est un système d'exploitation beaucoup plus stable et généralement sécurisé que ses rivaux commerciaux.
TAILS est une distribution Linux sécurisée préférée par Edward Snowden. Le navigateur par défaut est IceWeasel, un dérivé de Firefox pour Debian qui a reçu le traitement complet du Tor Browser Bundle.
Malgré de grands progrès réalisés dans la bonne direction, Linux reste malheureusement moins convivial que Windows ou macOS. Les utilisateurs moins avertis en informatique peuvent donc avoir du mal avec cela.
Si vous êtes sérieux au sujet de la confidentialité, cependant, Linux est la voie à suivre. L'une des meilleures choses à ce sujet est que vous pouvez exécuter l'intégralité du système d'exploitation à partir d'un Live CD sans avoir à l'installer. Cela facilite l'essai de différentes distributions Linux. Il ajoute également une couche de sécurité supplémentaire lorsque vous accédez à Internet.
En effet, le système d'exploitation existe complètement séparément de votre système d'exploitation habituel. Le système d'exploitation temporaire pourrait être compromis, mais comme il n'existe que dans la RAM et disparaît lorsque vous redémarrez dans votre système d'exploitation normal, ce n'est pas un problème majeur.
Exemples de distributions Linux
Il existe des centaines de distributions Linux. Celles-ci vont des remplacements complets de bureau aux distributions de niche.
- Ubuntu - est une distribution Linux très populaire en raison du fait qu'elle est l'une des plus faciles à utiliser. Il y a beaucoup d'assistance disponible pour cela de la part d'une communauté Ubuntu enthousiaste. Il constitue donc un bon point de départ pour ceux qui souhaitent utiliser un système d'exploitation plus sécurisé.
- Mint - est une autre distribution Linux populaire destinée aux utilisateurs novices. C'est plus semblable à Windows qu'Ubuntu, donc les réfugiés Windows sont souvent plus à l'aise pour l'utiliser qu'Ubuntu. Mint est construit sur Ubuntu, donc la plupart des astuces et programmes spécifiques à Ubuntu fonctionnent également dans Mint. Cela inclut les clients VPN.
- Debian – Mint est basé sur Ubuntu et Ubuntu est basé sur Debian. Ce système d'exploitation Linux hautement flexible et personnalisable est populaire auprès des utilisateurs plus expérimentés.
- Tails - est célèbre pour être le système d'exploitation de choix d'Edward Snowden. Il est très sécurisé et achemine toutes les connexions Internet via le réseau Tor. Il s'agit cependant d'un outil de confidentialité hautement spécialisé. En tant que tel, il constitue un mauvais remplacement de bureau à usage général pour Windows ou macOS.
Ubuntu, Mint et Debian constituent tous d'excellents remplacements de bureau conviviaux pour Windows et macOS. Ubuntu et Mint sont largement recommandés comme bons points de départ pour les débutants Linux.
Nous entrons plus en détail sur le sujet dans notre guide des meilleures distributions Linux pour la confidentialité , si vous souhaitez en savoir plus.
Pensez comme un attaquant
Pour obtenir une image complète de la part de votre vie qui est visible en ligne, vous devrez faire preuve de créativité. Commencez par une information facilement accessible ou largement connue, telle qu'une adresse e-mail ou un numéro de téléphone, et lancez une recherche pour voir où elle apparaît. Regardez votre profil Facebook à partir d'un compte extérieur et vérifiez ce qui est exposé. Recherchez votre nom dans une recherche inversée de personne et voyez si vous êtes facilement identifié.
Possédez-vous un site Web? Si oui, vos informations Whois exposent-elles votre vrai nom et adresse ? Possédez-vous une entreprise? Si oui, vos résultats sur Companies House exposent-ils votre nom et votre adresse ? Êtes-vous inscrit pour voter? Si oui, êtes-vous sur le registre ouvert, ce qui peut exposer votre vrai nom et... vous obtenez le point.
Il existe des milliers de points de données connectés à la fois à votre identité en ligne et à votre vrai moi, et les fraudeurs tireront parti du chevauchement entre eux pour vous séparer de votre argent. En comprenant comment quelqu'un pourrait s'y prendre pour récupérer ces informations, vous contrôlez où et comment vous vous exposez en ligne.
Utiliser une machine virtuelle (VM)
Un niveau de sécurité supplémentaire peut être atteint en accédant uniquement à Internet (ou en n'y accédant que pour certaines tâches) à l'aide d'une "machine virtuelle". Ce sont des logiciels qui émulent un disque dur sur lequel un système d'exploitation tel que Windows ou Linux est installé. Notez que VM-ing macOS est délicat.
Cela émule efficacement un ordinateur via un logiciel, qui s'exécute au-dessus de votre système d'exploitation normal.
La beauté de cette approche est que tous les fichiers sont autonomes dans la machine virtuelle. L'ordinateur "hôte" ne peut pas être infecté par des virus capturés à l'intérieur de la VM. C'est pourquoi une telle configuration est populaire parmi les téléchargeurs P2P inconditionnels.
La machine virtuelle peut également être entièrement chiffrée. Il peut même être "caché", en utilisant des programmes tels que VeraCrypt (voir ci-dessus).
Les machines virtuelles émulent le matériel. Ils exécutent un autre système d'exploitation complet au-dessus de votre système d'exploitation "standard". Son utilisation nécessite donc un surcoût important en termes de puissance de traitement et d'utilisation de la mémoire. Cela dit, les distributions Linux ont tendance à être assez légères. Cela signifie que de nombreux ordinateurs modernes peuvent gérer ces frais généraux avec un impact minimal sur les performances perçues.
Les logiciels de VM les plus populaires incluent les logiciels gratuits VirtualBox et VMWare Player , ainsi que la station de travail VMware haut de gamme (273,90 $) de niveau entreprise. Comme indiqué ci-dessus, VeraCrypt vous permet de chiffrer un système d'exploitation entier, ou même de masquer son existence.
Essayez Whonix
Whonix fonctionne à l'intérieur d'une machine virtuelle VirtualBox. Cela garantit que les fuites DNS ne sont pas possibles et que "même les logiciels malveillants avec des privilèges root ne peuvent pas découvrir la véritable adresse IP des utilisateurs".
Il se compose de deux parties, dont la première agit comme une passerelle Tor (connue sous le nom de passerelle Whonix). La seconde (connue sous le nom de station de travail Whonix), se trouve sur un réseau complètement isolé. Cela achemine toutes ses connexions via la passerelle Tor.
Cet isolement du poste de travail loin de la connexion Internet (et tout isolé du système d'exploitation hôte à l'intérieur d'une machine virtuelle), rend Whonix hautement sécurisé.
Une note sur Windows 10 et 11
Windows 10 et 11 sont un cauchemar pour la confidentialité. Même avec les options de collecte de données désactivées, Windows 10 continue de renvoyer une grande quantité de données de télémétrie à Microsoft.
Cette situation s'est encore aggravée compte tenu de la récente mise à jour anniversaire (vers. 1607) qui a supprimé l'option de désactivation de Cortana. Il s'agit d'un service qui collecte de nombreuses informations vous concernant afin de vous offrir une expérience informatique hautement personnalisée. Tout comme Google Now, il est utile, mais atteint cette utilité en envahissant votre vie privée.
Le meilleur conseil en termes de confidentialité est d'éviter complètement d'utiliser Windows et de passer à Linux. Vous pouvez toujours configurer votre système pour un double amorçage sous Linux ou Windows et n'utiliser Windows qu'en cas d'absolue nécessité. Par exemple, lorsque vous jouez à des jeux, dont beaucoup ne fonctionnent que sous Windows.
Si vous devez vraiment utiliser Windows, il existe un certain nombre d'applications tierces pour aider à renforcer la sécurité et la confidentialité plus que les paramètres Windows ne le peuvent jamais. Ceux-ci passent généralement sous le capot de Windows, ajustant les paramètres du registre et introduisant des règles de pare-feu pour empêcher l'envoi de télémétrie à Microsoft.
Ils peuvent être très efficaces. Cependant, vous donnez à ces programmes un accès direct au fonctionnement le plus profond de votre système d'exploitation. Espérons donc que leurs développeurs soient honnêtes ! L'utilisation de ces applications est à vos risques et périls.
J'utilise W10 Privacy. Il fonctionne bien mais n'est pas open source. Le canal de service à long terme de Windows 10 est également une option viable si vous souhaitez définir et oublier vos options de confidentialité, car il est conçu pour les systèmes intégrés qui ne nécessitent pas de mises à jour régulières tout au long de leur cycle de vie.
Protégez votre BIOS par mot de passe
Le chiffrement intégral du disque à l'aide de VeraCrypt est un excellent moyen de sécuriser physiquement vos disques. Mais pour que cela soit correctement efficace, il est essentiel de définir des mots de passe forts dans le BIOS pour le démarrage et la modification des paramètres du BIOS. C'est également une bonne idée d'empêcher le démarrage à partir de tout périphérique autre que votre disque dur.
Désactiver le flash
Il est bien connu que Flash Player est un logiciel incroyablement peu sûr (voir aussi Flash Cookies). De nombreux acteurs majeurs de l'industrie Internet ont fait de gros efforts pour éradiquer son utilisation.
Les produits Apple, par exemple, ne prennent plus en charge Flash (par défaut). De plus, les vidéos YouTube sont désormais diffusées en HTML5 plutôt qu'en Flash.
La meilleure politique consiste à désactiver Flash dans votre navigateur.
Dans Firefox, définissez au moins Flash sur "Demander à activer", afin que vous ayez le choix de charger ou non le contenu Flash.
Si vous devez vraiment afficher le contenu Flash, je vous suggère de le faire dans un navigateur séparé que vous n'utilisez pas pour autre chose.
Changez les serveurs DNS et sécurisez votre DNS avec DNSCrypt
Nous avons l'habitude de saisir des noms de domaine faciles à comprendre et à mémoriser dans nos navigateurs Web. Mais ces noms de domaine ne sont pas les "vraies" adresses de sites Web. La "vraie" adresse, telle qu'elle est comprise par un ordinateur, est un ensemble de nombres connu sous le nom d'adresse IP.
Le système de noms de domaine (DNS) est utilisé pour traduire les noms de domaine en adresses IP.
Par défaut, ce processus de traduction est effectué sur les serveurs DNS de votre FAI. Cela garantit que votre FAI a un enregistrement de tous les sites Web que vous visitez.
Graffiti à Istanbul encourageant l'utilisation du DNS public de Google comme tactique anti-censure lors de la répression gouvernementale de 2014 sur Twitter et YouTube.
Heureusement, il existe un certain nombre de serveurs DNS publics gratuits et sécurisés, notamment OpenDNS et Comodo Secure DNS. Je préfère l'OpenNIC à but non lucratif, décentralisé, ouvert, non censuré et démocratique.
Je vous recommande de modifier les paramètres de votre système pour utiliser l'un d'entre eux à la place des serveurs de votre FAI.
DNSCryptName
Ce que SSL est au trafic HTTP (le transformant en trafic HTTPS crypté), DNSCrypt l'est au trafic DNS.
Le DNS n'a pas été conçu dans un souci de sécurité et il est vulnérable à un certain nombre d'attaques. La plus importante d'entre elles est une attaque "man-in-the-middle" connue sous le nom d'usurpation DNS (ou empoisonnement du cache DNS). C'est là que l'attaquant intercepte et redirige une requête DNS. Cela pourrait, par exemple, être utilisé pour rediriger une demande légitime de service bancaire vers un site Web frauduleux conçu pour collecter les détails de compte et les mots de passe des victimes.
Le protocole open-source DNSCrypt résout ce problème en cryptant vos requêtes DNS. Il authentifie également les communications entre votre appareil et le serveur DNS.
DNSCrypt est disponible pour la plupart des plates-formes (les appareils mobiles doivent être rootés/jailbreakés), mais nécessite la prise en charge de votre serveur DNS choisi. Cela inclut de nombreuses options OpenNIC.
DNS et VPN
Ce processus de traduction DNS est généralement effectué par votre FAI. Cependant, lorsque vous utilisez un VPN, toutes les requêtes DNS doivent être envoyées via votre tunnel VPN crypté. Ils sont ensuite gérés par votre fournisseur VPN à la place.
En utilisant les bons scripts, un site Web peut déterminer quel serveur a résolu une requête DNS qui lui est adressée. Cela ne lui permettra pas d'identifier votre véritable adresse IP exacte, mais lui permettra de déterminer votre FAI (sauf si vous avez changé de serveur DNS, comme indiqué ci-dessus).
Cela déjouera les tentatives de géo-usurpation de votre emplacement et permettra à la police et autres d'obtenir vos coordonnées auprès de votre FAI. Les FAI conservent des enregistrements de ces éléments, tandis que les bons fournisseurs de VPN ne conservent pas de journaux .
La plupart des fournisseurs de VPN exécutent leurs propres serveurs DNS dédiés afin d'effectuer eux-mêmes cette tâche de traduction DNS. Si vous utilisez un bon VPN, vous n'avez pas besoin de changer de serveur DNS ou d'utiliser DNSCrypt car les requêtes DNS sont cryptées par le VPN.
Malheureusement, les requêtes DNS ne sont pas toujours envoyées via le tunnel VPN comme elles sont censées le faire. C'est ce qu'on appelle une fuite DNS.
Notez que de nombreux fournisseurs de VPN proposent une « protection contre les fuites DNS » en tant que fonctionnalité de leur logiciel personnalisé. Ces applications utilisent des règles de pare-feu pour acheminer tout le trafic Internet via le tunnel VPN, y compris les requêtes DNS, et elles sont généralement très efficaces.
Utilisez des mots de passe sécurisés
On nous l'a tous dit assez souvent pour nous donner envie de nous arracher les cheveux ! Utilisez des mots de passe longs et complexes, en utilisant des combinaisons de lettres standard, de majuscules et de chiffres. Et utilisez un mot de passe différent pour chaque service... Argh !
Étant donné que beaucoup d'entre nous trouvent difficile de se souvenir de leur propre nom le matin, ce genre de conseil peut être presque inutile.
Heureusement, l'aide est à portée de main!
Solutions low-tech
Voici quelques idées qui amélioreront considérablement la sécurité de vos mots de passe et ne demanderont presque aucun effort à mettre en œuvre :
- Insérez un espace aléatoire dans votre mot de passe - cette mesure simple réduit considérablement le risque que quelqu'un déchiffre votre mot de passe. Non seulement cela introduit une autre variable mathématique dans l'équation, mais la plupart des crackers potentiels supposent que les mots de passe se composent d'un mot continu. Ils concentrent donc leurs efforts dans cette direction.
- Utilisez une phrase comme mot de passe - encore mieux, cette méthode vous permet d'ajouter beaucoup d'espaces et d'utiliser de nombreux mots d'une manière facile à retenir. Au lieu d'avoir "pancakes" comme mot de passe, vous pourriez avoir "J'aime habituellement 12 pancakes pour le petit déjeuner" à la place.
- Utilisez Diceware - c'est une méthode pour créer des phrases de passe fortes. Les mots individuels de la phrase de passe sont générés aléatoirement en lançant des dés. Cela introduit un degré élevé d'entropie dans le résultat. Les phrases de passe Diceware sont donc bien considérées par les cryptographes. L'EFF a récemment introduit une nouvelle liste de mots Diceware étendue visant à améliorer encore les résultats des phrases de passe Diceware.
- Utilisez plus de quatre chiffres dans votre code PIN - dans la mesure du possible, utilisez plus de quatre chiffres pour vos codes PIN. Comme pour l'ajout d'un espace supplémentaire aux mots, cela rend le code mathématiquement beaucoup plus difficile à casser. La plupart des crackers partent du principe que seuls quatre chiffres sont utilisés.
Des solutions de haute technologie
Là où les mortels ont peur de marcher, les développeurs de logiciels sautent à pieds joints ! Il existe une pléthore de programmes de gestion de mots de passe disponibles. Mon choix du groupe sont:
KeePass (multi-plateforme) - ce gestionnaire de mots de passe gratuit et open source (FOSS) populaire générera des mots de passe complexes pour vous et les stockera derrière un cryptage fort. Une pléthore de plugins permet toutes sortes de personnalisations et une capacité accrue.
Avec les plugins, vous pouvez utiliser le chiffrement Twofish au lieu de l'AES par défaut, par exemple, tandis que PassIFox et chromeIPass fournissent une intégration complète du navigateur. KeePass lui-même est uniquement Windows, mais KeepassX est un clone open source pour macOS et Linux, tout comme iKeePass pour iOS et Keepass2Android pour Android.
Sticky Password (Windows, macOS, Android, iOS) est une excellente solution de mot de passe de bureau qui m'a impressionné par sa capacité à se synchroniser via Wi-Fi et à prendre en charge de nombreux navigateurs.
Ses mesures de sécurité semblent également très strictes. Compte tenu de ces bases solides, le fait que Sticky Password fonctionne parfaitement sur les appareils mobiles (en particulier pour les utilisateurs mobiles de Firefox) peut être une raison impérieuse de le choisir par rapport à son rival FOSS.
Si vous souhaitez en savoir plus, consultez notre guide des gestionnaires de mots de passe sécurisés .
Réseaux sociaux
Réseaux sociaux - où vous êtes encouragé à partager toutes les pensées aléatoires qui vous viennent à l'esprit, des photos de ce que vous avez mangé pour le dîner et des comptes rendus détaillés de l'effondrement de votre relation.
C'est l'antithèse de concepts tels que la confidentialité et la sécurité.
Facebook est pire que Twitter en termes de confidentialité, car il vend chaque détail de votre vie à des annonceurs avides de profilage. Il transmet également vos données privées à la NSA. Mais tous les réseaux sociaux sont intrinsèquement liés au partage d'informations.
Pendant ce temps, tous les réseaux commerciaux tirent profit de la collecte de vos données personnelles ; aime, n'aime pas, les endroits que vous visitez, les choses dont vous parlez, les gens avec qui vous traînez (et ce qu'ils aiment, n'aiment pas, etc.), puis les vendre.
De loin, la meilleure façon de préserver votre vie privée sur les réseaux sociaux est de les éviter complètement. Supprimez tous vos comptes existants !
Cela peut être délicat. Il est peu probable, par exemple, que vous puissiez supprimer toute trace de votre présence sur Facebook. Pire encore, ces réseaux sociaux sont de plus en plus l'endroit où nous discutons, partageons des photos et interagissons autrement avec nos amis.
Ils sont l'une des principales raisons d'utiliser Internet et jouent un rôle central dans notre vie sociale. En bref, nous ne sommes pas prêts à les abandonner.
Vous trouverez ci-dessous quelques idées pour essayer de garder un minimum de confidentialité lors des réseaux sociaux.
Autocensure
S'il y a des choses que vous ne voulez pas (ou qui ne devraient pas être) rendues publiques, ne publiez pas de détails à leur sujet sur Facebook ! Une fois posté, il est très difficile de retirer ce que vous avez dit. Surtout s'il a été republié (ou re-tweeté).
Gardez les conversations privées privées
Il n'est que trop courant que les gens discutent des détails intimes d'une date de dîner prévue, ou inversement, qu'ils aient des disputes personnelles en utilisant les canaux publics. Utilisez plutôt Message (Facebook) et DM (Twitter).
Cela ne cachera pas vos conversations aux annonceurs, à la loi ou à la NSA, mais cela éloignera les interactions potentiellement embarrassantes de vos amis et de vos proches.
Utiliser des alias
Rien ne vous empêche d'utiliser un faux nom. En fait, étant donné que les employeurs vérifient presque régulièrement les pages Facebook de leur personnel (et du personnel potentiel), l'utilisation d'au moins deux alias est presque indispensable. Optez pour un modèle sensé avec votre vrai nom, qui est conçu pour vous faire bien paraître auprès des employeurs, et un autre où vos amis peuvent publier des photos de vous complètement ivre.
Vous pouvez également mentir à propos de votre date de naissance, de vos centres d'intérêt, de votre sexe, de votre lieu de résidence ou de tout autre élément susceptible de dérouter les annonceurs et autres trackers.
Plus sérieusement, les blogueurs vivant sous des régimes répressifs devraient toujours utiliser des pseudonymes (associés à des mesures de dissimulation IP telles qu'un VPN) lorsqu'ils publient des messages susceptibles de menacer leur vie ou leur liberté.
Continuez à vérifier vos paramètres de confidentialité
Facebook est connu pour changer continuellement le fonctionnement de ses paramètres de confidentialité. Il rend également ses politiques de confidentialité aussi opaques que possible. Il vaut la peine de vérifier régulièrement les paramètres de confidentialité sur tous les réseaux sociaux pour s'assurer qu'ils sont aussi stricts que possible.
Assurez-vous que les publications et les photos ne sont partagées qu'avec des amis, par exemple, pas avec les amis d'amis ou "Public". Sur Facebook, assurez-vous que "Revoir les messages auxquels vos amis vous identifient avant qu'ils n'apparaissent sur votre journal" (sous Paramètres de confidentialité -> Chronologie et marquage) est défini sur "Activé". Cela peut aider à limiter les dommages que les « amis » peuvent causer à votre profil.
Évitez tous les services basés sur Five Eyes
L'alliance d'espionnage Five Eyes (FVEY) comprend l'Australie, le Canada, la Nouvelle-Zélande, le Royaume-Uni et les États-Unis. Edward Snowden l'a décrit comme une "organisation de renseignement supranationale qui ne répond pas aux lois connues de ses propres pays".
Les renseignements sont librement partagés entre les organisations de sécurité des pays membres, une pratique utilisée pour échapper aux restrictions légales sur l'espionnage de leurs propres citoyens. C'est donc une très bonne idée d'éviter toute transaction avec des entreprises basées à FVEY.
En effet, il existe un argument de poids selon lequel vous devriez éviter de traiter avec une entreprise basée dans un pays appartenant à l' alliance plus large de Fourteen Eyes .
L'espionnage des États-Unis et de la NSA
La portée du programme d'espionnage PRISM de la NSA est stupéfiante. Les révélations d'Edward Snowden ont démontré qu'il a le pouvoir de coopter n'importe quelle entreprise basée aux États-Unis. Cela inclut la surveillance des informations relatives aux citoyens non américains et à peu près n'importe qui d'autre dans le monde. Cela inclut également la surveillance de tout le trafic Internet qui transite par la dorsale Internet des États-Unis.
Les gouvernements d'autres pays semblent désespérés d'accroître leur propre contrôle sur les données de leurs citoyens. Rien, cependant, ne correspond à l'échelle, à la sophistication ou à la portée de PRISM. Cela inclut les tentatives chinoises de surveillance d'Internet.
Suggérer que chaque entreprise basée aux États-Unis puisse être complice de la transmission des informations personnelles de chaque utilisateur à une organisation d'espionnage secrète et largement irresponsable pourrait ressembler à un fantasme paranoïaque de science-fiction. Cependant, comme les événements récents l'ont prouvé, c'est terriblement proche de la vérité...
Une note sur les données
En raison des dispositions du Patriot Act et du Foreign Intelligence Surveillance Act (FISA), les entreprises américaines doivent remettre les données des utilisateurs. Cela s'applique même si cet utilisateur n'est pas un citoyen américain et que les données n'ont jamais été stockées aux États-Unis.
Le Royaume-Uni et le GCHQ espionnent
Le GCHQ britannique est au lit avec la NSA. Il réalise également ses propres projets d'espionnage particulièrement odieux et ambitieux. Selon Edward Snowden, "ils [le GCHQ] sont pires que les États-Unis".
Cette situation déjà désastreuse est sur le point de s'aggraver. Le projet de loi imminent sur les pouvoirs d'investigation (IPB) "officialise" cet espionnage secret dans la loi. Il étend également les capacités de surveillance du gouvernement britannique à un degré terrifiant avec très peu de contrôle significatif.
Je recommande donc fortement d'éviter toutes les entreprises et services basés au Royaume-Uni.
Conclusion
La vie privée en vaut-elle la peine ?
Cette question mérite réflexion. Presque toutes les mesures décrites ci-dessus vous attirent une attention particulière de la part de la NSA. Ils ajoutent également des couches supplémentaires de complexité et d'efforts aux tâches quotidiennes.
En effet, une grande partie de la fonctionnalité des nouveaux services Web repose sur le fait d'en savoir beaucoup sur vous ! Google Now en est un excellent exemple. La capacité du logiciel "assistant personnel intelligent" à anticiper les informations dont vous avez besoin est étonnante.
Il peut, par exemple, vous rappeler que vous devez quitter le bureau pour prendre le bus "maintenant" si vous souhaitez rentrer chez vous à l'heure habituelle. Il fournira également une navigation vers l'arrêt de bus le plus proche et des horaires alternatifs si vous manquez le bus.
Certains des développements les plus passionnants et les plus intéressants de l'interaction homme-ordinateur reposent sur une invasion à grande échelle de la vie privée. S'enfermer dans le cryptage et d'autres méthodes de protection de la vie privée, c'est rejeter les possibilités offertes par ces nouvelles technologies.
Je pose la question de savoir si la vie privée en vaut la peine comme matière à réflexion. La confidentialité a un coût. Cela vaut la peine de réfléchir aux compromis que vous êtes prêt à faire et jusqu'où vous irez pour le protéger.
L'importance de la vie privée
À mon avis, la vie privée est d'une importance vitale. Tout le monde a le droit de ne pas voir presque tous les aspects de sa vie enregistrés, examinés, puis jugés ou exploités (selon la personne qui enregistre). Cependant, le maintien de la confidentialité n'est pas facile et ne peut jamais être complètement garanti dans le monde moderne.
Nous voulons tous pouvoir partager des choses avec nos amis et avec des services qui améliorent nos vies, sans craindre que ces informations soient disséquées et utilisées pour nous profiler.
Si davantage de personnes font des efforts pour améliorer leur vie privée, cela rendra le travail des agences gouvernementales et des annonceurs plus difficile. Peut-être même au point de forcer un changement d'approche.
Dernières pensées
Cela peut demander un peu d'effort, mais il est tout à fait possible, et pas trop fastidieux, de prendre des mesures qui améliorent considérablement votre vie privée en ligne. De nombreux experts ne s'entendent pas sur les moyens les meilleurs et les plus efficaces de protéger votre vie privée en ligne en 2022, il est donc important de se rappeler que rien n'est infaillible. Cependant, ce n'est pas une raison pour faciliter les choses à ceux qui envahiraient des aspects de votre vie qui devraient légitimement être les vôtres et les vôtres seuls.
La vie privée est un bien précieux mais en danger. En mettant en œuvre au moins certaines des idées que j'ai abordées dans ce guide, vous contribuez non seulement à protéger votre propre vie privée, mais vous apportez également une contribution précieuse à sa conservation pour tous.