7 moyens simples de protéger votre vie privée sur Internet
Tant pis pour la NSA et les autres

par Jean-Paul Figer, ARMOSC

Publié le - Mis à jour le

logo article

Principales rubriques

L'espionnage réalisé par la National Security Agency (NSA) du gouvernement américain au moyen du programme PRISM fait la une des journaux. Les médias font mine de découvrir cette activité qui a toujours existé sur les réseaux depuis les débuts du réléphone. De plus en plus de lecteurs me demandent s'il est possible de se défendre contre cette surveillance en ligne sur Internet et comme faire ?

La mauvaise nouvelle est que si vous être la cible directe d'un service de renseignements puissant comme la NSA, il faut être un excellent spécialiste du sujet et prendre de nombreuses précautions.

La bonne nouvelle est qu'avec quelques moyens très simples vous pouvez facilement échapper à la surveillance de masse ou à la malveillance des "hackers".

Le but de cet article est de vous indiquer une liste de moyens que vous pouvez facilement mettre en oeuvre. Chaque élément de cette liste va rendre vos équipements en ligne beaucoup plus sûrs que la moyenne et va rendre l'interception de vos données beaucoup plus compliquée et beaucoup plus coûteuse.

1-Chiffrement de vos communications de bout-en-bout

Logo Pigin

Le réseau est l'endroit le plus facile pour intercepter les communications avec ou sans la coopération des fabricants d'équipements ou des opérateurs de réseaux. D'après l'expert sécurité Bruce Schneier qui a étudié les documents de la NSA transmis par Edward Snowden au Guardian, le chiffrement est toujours votre ami à condition d'utiliser des logiciels open source qui ne transmette pas vos clés secrêtes à d'autres, qui peuvent être vérifiés par des experts sécurité indépendants et qui chiffrent vos communications de votre terminal à celui de vos correspondants.

Le moyen le plus simple de chiffrer la messagerie instantanée est d'utiliser OTR (Off-the-Record messaging). Il suffit d'installer ce logiciel (voir des conseils ici) sur votre terminal et celui de vos correspondants pour échapper à la surveillance. C'est une extension du logiciel Pidgin que je vous conseillais depuis 2008.

Depuis 2005, je vous conseille de signer et de chiffrer vos mails qui le nécessitent avec des certificats dans cet article.

Vous pouvez aussi utiliser GPG (la version open source de PGP) avec un guide en français ici. Cependant l'utilisation requiert une certaine maîtrise de l'informatique.

2-Chiffrer tout ce qu'on peut sur Internet

lastpass https

Il faut utiliser de préférence le protocole HTTPS qui permet, à la fois, de vérifier l'authenticité du site via le certificat et de chiffrer la communication de bout en bout entre le navigateur et le site. Utilisé au début uniquement pour les pages d'authentiifcation, ce protocole est maintenant largement répandu et disponible sur la plupart des sites qui contiennent des informations personnelles comme Gmail, Facebook, Twitter, etc... Le protocole non chiffré HTTP est souvent employé par défaut car de nombreux équipements ou navigateurs anciens ne le traitent pas. Indiquez partout où vous pouvez dans les préférences que vous souhaitez employer du HTTPS ou téléchargez cette extension Chrome ou Firefox qui va faire ce travail pour vous.

danger Les faux sites utilisent aussi le HTTPS pour tromper les utilisateurs. Il faut donc aussi vérifier le nom du site dans les certificats s'il vous est demandé des informations personnelles.

3-Chiffrer vos disques ou clés USB

logo Truecrypt

La plupart des systèmes modernes permettent de chiffrer le contenu de vos disques durs, clés USB ou données sur téléphone mobile. Ne pas hésiter à s'en servir si vous possédez des informations personnelles ou confidentielles. Pour plus de sécurité, je préfère utiliser le logiciel open source Truecrypt qui est particulièrement simple à utiliser et très sûr. A titre d'exemple, le FBI a admis n'avoir pas réussi à déchiffrer les disques durs d'un banquier suspect comme expliqué ici.

4-Utiliser des mots de passe très robustes

Les outils de décryptage des mots de passe ont fait des progès énormes. Il y a deux erreurs classiques à ne pas commettre :

  • utiliser des mots de passe courts. Il faut au minimum plus de 10 caractères.
  • ré-utiliser des mots de passe 

Comme il est impossible de mémoriser de nombreux mots de passe longs, il faut utiliser un logiciel de gestion des mots de passe qui va créer automatiquement des mots de passe robustes et gérer leur emploi pour vous.

logo last pass

J'utilise Lastpass à la fois sur Internet ou comme extensions dans la plupart des navigateurs et sur mobile. Vos mots de passe sont stockés de manière chiffrée par un mot de passe long ou mieux avec un système à 2 facteurs. Le système détecte automatiquement et remplit à votre place les identifiants nécessaires pour chaque site ce qui en rend l'usage extrêmement agréable.  je ne peux que vous encourager à utiliser ce système qui se met en place automatiquement et progressivement.

5-Utiliser TOR

logo TOR

Les moyens précédents permettent de chiffrer le contenu des communications. En revanche, ils ne masquent pas les "métadonnées" des communications, c'est à dire qui a échangé avec qui, où, quand et combien de temps. Par exemple, tous les tickets des communications téléphoniques sont stockés par les opérateurs et souvent exploités par la police pour confondre les coupables. Il en est de même des connexions Internet. On peut savoir qui a communiqué avec qui et quand. Si vous souhaitez rester entièrement anonyme dans la consultation de sites web ou autres, il existe un programme open source TOR qui permet de garantir votre anonymat lors de vos connexions à Internet. Le fonctionnement est le suivant : un labyrinthe virtuel de serveurs TOR hébergés par des volontaires ne permet pas d'associer les communications  entrantes et sortantes. Vous pouvez télécharger TOR ici. Sur le site du Guardian, une présentation censée provenir de documents secrets de la NSA sous le titre "TOR stinks" démontre la bonne efficacité de TOR par les difficultés à dé-anonymiser.

 6-Mettre en place l'authentification à deux facteurs

L'authentification à deux facteurs a fait des progrès énormes. De nuisance absolue, on est passé au stade de l'acceptable. Le système consiste généralement pour s'authentifier à demander en plus des identifiants habituels, un mot de passe utilisable une seule fois. Dans le passé ce système s'appuyait souvent sur une petite calculette peu pratique. Aujourd'hui les différents systèmes présentent des améliorations très notables : envoi du mot de passe par SMS ou téléphone vocal, ou génération automatique sur un mobile de plus, vous pouvez définir des ordinateurs sûrs (par exemple à la maison) où le deuxième facteur n'est pas nécessaire. En revanche quelqu'un à l'autre bout du monde qui se serait procuré ou aurait deviné votre mot de passe serait dans l'incapacité de trouver le deuxième code.  Je conseille donc cette authentiifcation à deux facteurs, au minimum pour Lastpass qui contient tous vos mots de passe et pour toutes les opérations d'administration de systèmes ou importantes. Google et Gmail, Twitter, Dropbox, Amazon, Facebook, et bien d'autres offrent cette technique avec quelques variantes.

J'utilise pour Lastpass la solution Yubico Neo qui fonctionne sous le format clé USB ou NFC (sans contact) pour les mobiles et dont l'usage est très pratique.

 7-Cliquer sur les pièces jointes avec précaution

La manière la plus facile de compromettre votre ordinateur à distance est via des pièces jointes de mail ou par téléchargement de fichiers sur des sites web. Il faut donc agir avec une extrême prudence en cas de doute. J'ai l'habitude d'installer avec Virtualbox une machine virtuelle de test sur mon PC. En cas de problème, il suffit d'effacer cette machine (un fichier sur disque) et de repartir d'un machine virtuelle propre. Un bon firewall qui contrôle l'accès à l'extérieur par des processus est aussi une bone protection.

Références

Ten Steps You Can Take Right Now Against Internet Surveillance

Electronic Frontier Fondation | defending your rights in the digital world

Schneier on Security | A blog covering security and security technology

Envoyer vos remarques, suggestions ou questions à

Jean-Paul Figer
© Jean-Paul Figer, 1958-2013

J'ai travaillé pendant 40 ans à Capgemini. Cependant les opinions exprimées dans ces articles n'engagent que moi et ne représentent pas la position de Capgemini.

Pour être informé des nouveaux articles, inscrivez-vous avec votre adresse mail