En route vers la liberté

Pour reprendre le contrôle sur ses données personnelles et gagner en liberté, tout en réduisant les traces que l’on peut laisser derrière nous lorsqu’on utilise des outils numériques, voilà une liste non exhaustive de tâches à faire. C’est les vacances, c’est le moment de faire le ménage !

1 – La question des données personnelles

Une donnée à caractère personnel correspond en droit français à toute information relative à une personne physique identifiée ou qui peut être identifiée par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

On peut être identifié de deux façons :

  • directement (exemple : nom et prénom) ;
  • indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image).

Une organisation qui collecte des informations sur vous doit expliquer clairement à quoi vont servir les données. Et vous avez des droits ! Vous pouvez vous opposer à tout moment à la collecte de vos données, pouvez demander de les vérifier, les rectifier, les exporter, les effacer. Mais il y a malheureusement un gouffre entre la théorie et la pratique.

Je vous invite à aller sur le site de la CNIL pour trouver toutes les informations à ce sujet.

Conseils :

  • Faire le tri dans les newsletters qu’on reçoit. Vous pouvez notamment utiliser CleanFox pour vous aider.
  • Demander aux organisations qui vous sollicitent (par mail ou téléphone) un droit d’accès à vos données personnelles. Voilà un modèle de courrier (à adapter).
2 – La question des mails et des mots de passe

Vous n’êtes plus harcelés sur votre boite mail mais ce n’est pas terminé pour autant. Peut-être que votre adresse est présente dans des bases de données qui ont été piratées. Pour le savoir, vous pouvez aller sur https://monitor.firefox.com/ et entrer votre adresse mail.

Vous aurez peut-être la mauvaise surprise de découvrir que certaines de vos informations ont été compromises : votre adresse email, le mot de passe du site en question, votre adresse physique ou encore votre numéro de téléphone.

C’est en passant par un site peu protégé qu’un pirate informatique peut récupérer des informations sur vous, et accéder ensuite à un autre site, comme votre boite mail principale ou votre compte Google / Apple.

Si votre adresse est présente dans une des bases de donnée listée, il est plus qu’indispensable de changer vos mots de passe.

Histoire de rigoler, je vous rappelle qu’il y a encore des gens qui utilisent des mots de passe tels que 123456, azerty, password, admin ou encore abc123. Pour avoir la liste des pires mots de passe 2018, vous pouvez aller sur le site de Numerama.

Pour savoir en combien de temps un ordinateur peut casser votre mot de passe, le site HowSecureIsMyPassword risque de vous donner des sueurs froides.

La bonne pratique

Un bon mot de passe doit contenir au moins 12 caractères et 4 types différents : des minuscules, des majuscules, des chiffres et des caractères spéciaux. Personne ne doit deviner votre mot de passe à partir du nom de votre chien ou de votre film préféré.

bonhomme patate de Martin Vidberg pour la site de la CNIL

Pour éviter les piratages en cascade, chacun de vos comptes en ligne qui présente un caractère sensible (banque, messagerie, réseau social, etc.) doit être verrouillé avec un mot de passe propre et unique.

On ne parle d’ailleurs plus de « mot de passe » mais de « phrase de passe », soit plusieurs mots à la suite. Vous pouvez aussi inventer vos propres mots.

Autre méthode, vous pouvez choisir des mots qui n’ont rien à voir ensemble et les associer. Il est plus facile de se souvenir de plusieurs mots que d’une combinaison compliquée dans laquelle on remplace les E par des 3 et les A par des @, méthode qui n’est d’ailleurs pas sécurisée. (Plus d’info sur le site de l’EFF)

Utilisez ensuite un moyen mnémotechnique pour vous souvenir de vos mots (en vous racontant une petite histoire par exemple).

Maintenant que vous avez votre phrase de passe, je vous recommande d’utiliser un gestionnaire de mots de passe.

J’utilise personnellement KeePassXC car j’ai un serveur qui me permet de synchroniser le coffre fort entre mes différents appareils. Mais pour quelqu’un qui ne veut pas s’embêter avec une configuration compliquée, je vous propose d’utiliser Bitwarden.

Pourquoi ? Il est gratuit, open-source, multi plateforme, se synchronise entre les appareils, et il existe un extension à installer dans son navigateur.

Vous n’aurez qu’à choisir une phrase de passe (longue, unique, inexistante, complexe, et non devinable) et c’est tout ! Il faudra juste vous souvenir de cette phrase pour accéder à l’ensemble des mots de passe (que vous n’aurez plus à mémoriser) que vous aller générer avec le gestionnaire.

Le meilleur mot de passe est celui que vous ne connaissez pas.

Conseils :

  • Posséder plusieurs adresses mails pour compartimenter les usages et réduire le risque (exemple : une boite pour ses achats en ligne, une boite poubelle, une boite pro, une boite pour les loisirs, etc…) – et ce sur des plateformes différentes.
  • Supprimer les mots de passe enregistrés dans son navigateur internet.
  • Activer la double authentification si le service vous le propose
  • La CNIL propose encore une autre méthode pour les mots de passe
Mais quelle boite mail je peux utiliser ?

Il existe de plus en plus de services mail qui jouent la carte de l’éthique ou de la sécurité.

Si vous voulez une boite mail en France, gratuite, accessible depuis votre navigateur ou votre logiciel de gestion de mail (comme Outlook ou Thunderbird), vous pouvez vous diriger vers Mailo (anciennement Net-Courrier).

Si vous voulez pouvoir envoyer facilement des mails chiffrés, de manière anonyme, avec des données enregistrées en dehors de la France (en Suisse), choisissez plutôt ProtonMail.

3 – La navigation internet

Quand vous naviguez sur internet, vous laissez des traces de votre passage : votre adresse ip, le temps de consultation des pages visitées, les dates et heures de connexions, le comportement de votre souris, votre localisation, les contenus publiés, etc…

 

Conseils :

  • Ne pas utiliser Google Chrome
  • Privilégier un navigateur respectueux de la vie privée tel que Firefox.
  • Utiliser un bloqueur de pub qui n’a pas passé d’accords avec des régies publicitaires, comme uBlock Origin.
  • Bloquer les connexions aux sites tiers avec Privacy Badger.
  • Isoler Facebook avec un Container.
  • Limiter le pistage avec Decentraleyes.
  • Forcer les sites à utiliser le HTTPS avec HTTPS Everywhere.
  • Supprimer vos cookies régulièrement ou automatiquement.
  • Ou alors utiliser le navigateur Tor, sans pistage, ni surveillance, ni censure.
4 – Confidentialité sur smartphone

Si vous utilisez un iPhone, on ne peut pas faire grand chose, le système d’Apple étant très verrouillé. Par contre, si vous avez un téléphone Android, vous avez plusieurs options.

La question des autorisations

Quand on installe une application sur son téléphone, cette dernière va demander un certain nombre d’autorisations pour fonctionner : un accès à l’appareil photo, au micro, à l’agenda, au carnet d’adresses, à votre position, à vos sms, à l’espace de stockage.

Certaines applications abusent de ces autorisations pour siphonner votre téléphone et récupérer un maximum d’informations sur vous. Est-il normal qu’une application « lampe torche » réclame un accès à votre liste de contact ? La réponse est non.

Avec les dernières versions d’Android, il est possible de paramétrer les autorisations des applications, dire oui à la localisation mais non à l’accès au micro par exemple. Les smartphones un peu vieux n’ont pas cette chance, c’est tout ou rien.

En plus des autorisations, de nombreuses applications embarquent dans leur code des pisteurs, des morceaux de logiciel dont le but est de collecter de données à propos de vous et de vos usages. Pour auditer les applications présentes sur votre smartphone, vous pouvez installer l’application Exodus Privacy.

Cela fonctionne comme le nutri-score qu’on trouve sur les boites d’aliments, ici vous verrez si une application est propre ou pas. Libre à vous de continuer d’utiliser des applications « sales » qui récupèrent vos données.

Sauf qu’en pratique c’est plus compliqué. En effet, vous ne pouvez pas supprimer toutes les applications présentes dans votre téléphone, certaines sont imposées par le constructeur, d’autres par le vendeur / l’opérateur téléphonique.

Si votre smartphone vous le permet, et que vous avez les compétences techniques, vous pouvez aussi « rooter » votre appareil – pour avoir la possibilité de nettoyer votre téléphone et d’enlever les applications qui ne vous plaisent pas – et installer un autre système dessus, notamment la distribution LineageOs.

5 – Utiliser le chiffrement

Que votre smartphone fonctionne avec LineageOs ou son système de base, vous avez tout de même la possibilité d’utiliser des applications qui vont protéger vos différentes utilisations.

Pour protéger ses communications :

  • Installer Signal, Telegram ou Threema pour échanger des messages 3G / Wifi avec vos contacts (le but étant de remplacer WhatsApp).
  • Installer Silence pour les sms.
  • Si vous avez les compétences techniques, utiliser des messageries décentralisées basées sur XMPP (avec Conversations).

Pour protéger ses connexions :

  • Utiliser un VPN tel que ProtonVPN (si vous avez un compte ProtonMail, vous avez droit à un accès ProtonVPN) ou celui d’un membre de FFDN.
  • Installer Blokada. pour bloquer les applications qui comportent des pisteurs.
6 – Favoriser les logiciels libres et open-source

Pour votre ordinateur et smartphone, vous trouverez des équivalents éthiques aux logiciels et services webs que vous utilisez habituellement.

Pour votre smartphone :

  • AdAway pour bloquer les pubs (pour téléphone rooté)
  • DAVx5 pour synchroniser vos contacts et agendas
  • F-Droid pour installer des applications open-source
  • Firefox pour naviguer sur internet
  • K-9 pour récupérer vos mails
  • LibreOffice viewer pour ouvrir les fichiers textes et tableurs
  • MuPDF pour ouvrir les fichiers PDF
  • NewPipe pour regarder les vidéos Youtube
  • Nextcloud pour gérer votre cloud personnel
  • OpenVPN pour installer votre configuration VPN
  • OsmAnd pour utiliser votre GPS sur les cartes OpenStreetMap
  • VLC pour lire tous types de fichiers audio et vidéo

Pour votre ordinateur :

  • LibreOffice pour rédiger des textes, créer des tableaux ou des présentations
  • Blender pour faire de la 3D
  • Firefox pour naviguer sur internet
  • Darktable pour retoucher vos photos
  • Gimp pour éditer des images
  • Krita pour faire de la peinture numérique et retoucher des images
  • Kdenlive pour faire du montage vidéo

Évidemment, je vous recommande de passer à Gnu/Linux et de tester différentes distributions avant d’en choisir une, ou simplement tester ces systèmes d’exploitations dans une machine virtuelle, ou juste en démarrant sur une clé USB. Pour vous aider dans cette démarche, vous pouvez prendre contact avec les groupes d’utilisateurs linux de votre région.

Conclusion

Vous avez la possibilité de choisir l’informatique que vous voulez utiliser. Vous n’êtes pas obligé de subir des choix imposés par des grands groupes ou des marques. Vous avez maintenant des outils, de plus en plus simples d’utilisation, pour vous protéger et reprendre le contrôle sur votre vie numérique.

8 Responses

  1. Bonjour,
    Votre vision de Tor : « Ou alors utiliser le navigateur TOR, sans pistage, ni surveillance, ni censure. » est un peu simpliste. Tor par défaut ne sais faire que du TCP et par conséquent ne sait pas traiter le DNS qui est de base en UDP (même si TCP est possible). On est donc par défaut fliqué par le FAI lorsque l’on utilise Tor. À moins d’utiliser un outil comme Anonsurf qui ferme les port UDP 53 et reroute les reqêtes DNS vers Tor en les forçant en TCP.
    Ref : https://tails.boum.org/contribute/design/Tor_enforcement/
    Cordialement

  2. @yoko Sano
    Pour préciser la réponse de yoko, partiellement fausse. Tout d’abord, le Tor browser utilise par défaut un proxy tor de type sockv5 et laisse le noeud de sortie résoudre les noms.

    Cloudfare sait donc que l’adresse IP du NOEUD DE SORTIE a essayé de résoudre le nom, pas l’adresse IP du navigateur tor.

    De plus, Firefox est en train de démocratisté à tous DNS over TLS, ce qui permettra, espérons le, de pouvoir modifier le dns utilisé par le navigateur et de s’assurer du chiffrement de bout en bout avec le dns. Contrairement à maintenant où c’est à la maison du noeuf de sortie.

    source :
    https://tor.stackexchange.com/questions/8/how-does-tor-route-dns-requests
    https://news.ycombinator.com/item?id=17247381
    https://www.reddit.com/r/TOR/comments/ab7i4u/tor_browser_with_dns_over_tls_way_faster/

    • @Mirabellette
      Merci pour ces précisions, j’avais effectivement généralisé le propos pour notamment les acteurs « sensibles » qui utilisant Tails se sentent invulnérables et oublis le problème du DNS avec Tor.

      Pour ce qui est du DNS over TLS, cette solution n’est pas miraculeuse et ne va pas empêcher le flicage par exemple par Cloudfare qui est le résolveur prévu par Firefox (https://www.bortzmeyer.org/doh-jdll.html). En effet, DNS over TLS n’est prévu que du client vers le résolveur et pas du résolveur vers les serveurs autoritaires.

      Si TorBrowser permet d’éviter le résolveur du FAI, il ne permettra pas d’éviter celui de Cloudfare ou Google qui sont parmi les seuls à offrir du DNS over TLS. Avec Tor ou DNS over TLS, on ne sera plus fliqué par son FAI qui respecte les lois européennes (RGPD), mais on le sera encore et toujours par les grands acteurs US de l’Internet comme Google, Cloudfare
      https://www.bortzmeyer.org/files/doh-jdll.pdf

      La moins mauvaise solution serait de monter son propre résolveur DNS et de pousser ses requêtes via Tor. Le nœud de sortie ne verra dans ce cas que des requêtes vers des serveurs autoritaires. Il est beaucoup plus difficile de fliquer tous les nœuds de sortie Tor que les quelques résolveurs importants : 8,8,8,8, 1,1,1,1 …
      Ensuite, ce qui manque pour parfaire le tout est un protocole de sécurité pour les échanges entre les résolveurs et les serveurs autoritaires.

  3. Plutôt que HTTPS Everywhere qui se base sur une liste blanche de sites supportant le HTTPS, je recommande Smart HTTPS, qui essaye systématiquement le HTTPS et fallback s’il n’est pas supporté. Ainsi cela fonctionne partout et non seulement sur quelques sites.

    De plus, il est possible via une option de lui faire envoyer un en-tête qui force toutes les requêtes de la page à être faites en HTTPS sur les sites qui sont en HTTPS (pour éviter le mixed-content et éviter d’avoir du HTTP derrière une façade en HTTPS).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *