Internet et votre vie privée : oui vous êtes espionné ; oui, plus que vous croyez ; et oui, vous pouvez vous protéger, voici comment…

État des lieux. Accepteriez-vous que la poste lise vos lettres, que soit écrit sur le dos de votre blouson votre nom, prénom, adresse, date de naissance, profession, orientation sexuelle, profil d’investisseur et de consommateur, vos loisirs, goûts, humeurs du moment… 

C’est pourtant à peu près ce qui se passe quand vous allez sur le net sans faire attention. Si Internet, à ses débuts, était un immense espace de liberté, aujourd’hui tout ce que nous faisons sur le Net est enregistré et analysé. Toutes ces informations, aucun humain ne pourrait les traiter efficacement, mais rassurez-vous des algorithmes d’intelligence artificielle s’en chargent et ils sont de plus en plus performants. Ajoutez-y des techniques de manipulation psychologique souvent appelées marketing et vous n’avez quasiment plus de libre arbitre quand vous êtes sur le net.

On estime qu’un utilisateur moyen d’internet génère 1.7 mega octet de données par seconde et que 35% de ces données sont traitées en temps réel. (source DOMO https://www.domo.com/solution/data-never-sleeps-6)

Le marché des données personnelles est extrêmement lucratif. Facebook est un business à plusieurs milliards de dollars. Or, les revenus de Facebook sont basés quasiment exclusivement sur l’utilisation des données personnelles. Créer un compte annonceur sur Facebook et faire un petit tour sur la page d’administration des campagnes de publicité est éloquent. Vous ne pouvez pas cibler nominativement, mais vous pouvez peaufiner vos filtres jusqu’à obtenir la personne de sexe féminin de 25 ans qui habite dans le quartier des écoles de Brest et travaille à la mairie, écoute de la musique brésilienne et part en vacances à Biarritz… Dites-vous bien que face à l’argent généré et la croissance de ce marché, tout ce qu’il est possible de collecter et d’analyser l’est.

Lorsque vous cliquez pour accepter les cookies en entrant sur un site, il vous est expliqué que les données sont collectées anonymement et servent à vous proposer un contenu personnalisé. C’est tout à fait vrai, comme je l’aborderai plus tard ce n’est pas votre nom qui vous identifie sur le Net, mais attention, le contenu n’est pas personnalisé pour votre intérêt. Il est personnalisé dans l’intérêt de ceux qui payent cette technologie et qui l’utilisent pour vous manipuler. «We value your privacy» est sûrement le plus gros malentendu du web.

Il est primordial de se protéger et de ne pas vendre sa vie privée. Pour ma part, je considère que ma vie privée, c’est mon âme. L’idée de vendre mon âme pour un service «gratuit», par fainéantise ou parce que le service proposé est le meilleur, ne me va pas du tout.

Les techniques d’espionnage sont extrêmement sophistiquées et perverses. Il est impossible de s’en protéger à 100% même si vous n’avez aucun compte sur internet. Imaginez que des amis viennent prendre un verre chez vous. Leurs téléphones révéleront la position géographique de votre ou vos points d’accès Wi-Fi, même s’ils ne s’y connectent pas. Idem pour la liste de vos appareils ayant une connexion Bluetooth ou Wi-Fi. Un petit recoupement avec les photos et contacts enregistrés sur leurs téléphones ainsi que la lecture de leurs emails et vous serez vite identifiés et catalogués. N’oubliez pas, il n’est pas nécessaire d’avoir un employé humain pour faire cela et que les puissances de calcul augmentant, une analyse de ce niveau pourrait se généraliser très prochainement (si ce n’est pas déjà le cas).

Ceci peut paraître alarmiste. Depuis sa création, Google a comme mantra pour ses employés «soyez paranoïaque». Un petit tour sur la page «https://myactivity.google.com/ » de votre compte Google devrait suffire à vous traumatiser. Pourtant, ce n’est que la partie émergée de l’iceberg des données vous concernant. Soit dit en passant, vous pourrez y réécouter tout ce que vous avez dicté à votre téléphone. Sauvegarder autant de données coûte très cher, pourquoi Google le ferait-il «gratuitement» ? Vos données sensibles ne seront pas forcément divulguées, mais les résultats de leurs analyses le seront.

Reprenez espoir, il est possible, sans être un informaticien, de restreindre cette intrusion et surtout de limiter son exposition à un web manipulé.

Comprendre les techniques de collecte de données.
J’essaierai de ne pas entrer trop dans la technicité, mais comprendre les principes de base de la collecte de données est important.

Apple :

Je ne parlerai pas ici des produits Apple. Apple ayant tous les droits sur le logiciel et le matériel, vous n’avez aucun moyen de contrôler ce qui se passe. Vous ne pouvez que faire confiance à Apple. Il est vrai que la collecte de données n’étant pas la source de revenus principale d’Apple, on peut penser que, même si Apple collecte des données, l’entreprise est plus prudente dans la revente de ses données, mais vous n’avez aucun contrôle là-dessus.

Système d’exploitation :

Les entreprises fournissant des systèmes d’exploitation (Microsoft, Apple, Google…) collectent un maximum de données pour analyser votre utilisation de leurs produits et ainsi les peaufiner. Mais souvent, elles revendent aussi les données, Ubuntu a été pris à revendre des données utilisateurs à Amazon. (https://www.gnu.org/philosophy/ubuntu-spyware.en.html)

Cookies :

Les données sont collectées via des programmes insérés dans les pages web (cookies, script, pixel…) qui vont être téléchargés sur votre ordinateur en même temps que la page web que vous lisez. Selon les droits que votre navigateur a dans le système d’exploitation, ces programmes vont avoir accès à plus ou moins d’informations qu’ils vont chiffrer et renvoyer au serveur web.

Google, Facebook, Amazon et Twitter ont infesté le web à tel point que vous ne pouvez plus charger une page web sans qu’il y soit inclus du code de ces entreprises. Que ce soit le bouton like de Facebook, ou le template bootstrap de Google ou autres. Google par exemple, fournit une quantité impressionnante de plug-ins et d’outils gratuits pour les concepteurs de sites web. Ces bouts de code vont se charger de noter qui va sur quel site, combien de temps il passe sur chaque page, s’il clique sur un lien… Pour peu que vous ne vous soyez pas déconnectés de vos comptes (Facebook Google ou autre) les données remontées sont alors liées à vos comptes. De même si vous vous êtes déconnectés sans avoir effacé les cookies d’identification de votre navigateur, encore de même si vous avez aussi effacé les cookies, mais que vous utilisez le même navigateur. Facebook à admis collecter des données sur des personnes n’ayant pas de compte Facebook (n’ayant donc pas coché leurs conditions générales, https://www.bloomberg.com/news/articles/2018-04-11/zuckerberg-says-facebook-collects-internet-data-on-non-users).

Le nom même du pixel Facebook en dit long sur la perversité des techniques de collecte. Le pixel Facebook est un code de remontée de données qui était à l’origine caché dans une image d’un pixel (donc indétectable).

Adresse IP et DNS :

L’adresse IP est liée à votre opérateur (donc votre compte chez l’opérateur) et à votre position géographique. Lorsque vous naviguez, les serveurs web doivent impérativement connaître votre adresse IP pour vous envoyer les pages demandées.

Google fournit «gratuitement» un service DNS (8.8.8.8 et 8.8.8.4). Le DNS est un service qui fait correspondre un nom de domaine à une adresse IP. Ainsi, lorsque vous voulez aller sur http://www.unsitelambda.com votre ordinateur va demander aux services DNS quelle est l’adresse IP du serveur qui héberge le site http://www.unsitelambda.com. Google saura donc quel site vous avez demandé. Même si vous n’avez pas 8.8.8.8 ou 8.8.4.4 dans vos configurations, les serveurs DNS sont organisés en hiérarchie et il y a de fortes chances que Google soit dans la pyramide qui va traiter votre requête.

Le trafic DNS n’est par défaut pas chiffré et votre fournisseur d’accès peut lire vos requêtes DNS et ainsi savoir sur quels sites vous allez.

Email :

Si à la suite des révélations d’Edward Snowden, le chiffrement s’est généralisé sur les sites web (passage du http au https), cela n’a malheureusement pas été le cas pour les emails. La quasi-totalité des emails circulant sur le net n’est toujours pas chiffrée. Cela équivaut à communiquer avec des cartes postales sans enveloppe. Si vous utilisez le protocole SMTP (port 25) vos emails circulent en clair sur le Net et chaque nœud de transit peut les lire. Si vous utilisez un SMTP sécurisé sans chiffrer vos emails, vos emails sont chiffrés au moins jusqu’a votre serveur d’envois SMTP et on peut raisonnablement penser que l’email sera envoyé chiffré jusqu’au destinataire, mais vous n’avez aucun moyen d’en être sûr. Si vous utilisez un email avec chiffrement, vous avez la garantie que seul le destinataire peut lire vos emails. En dehors du transit des mails, les fournisseurs de compte mail non chiffré ne se gênent pas pour passer tous vos emails dans leurs algorithmes d’intelligence artificielle et ainsi vous cataloguer et revendre les résultats de leurs analyses.

Smartphone:

Le smartphone est un espion redoutable et très difficile à contrôler. Sur les smartphones Android, les services Google (GAPPS) sont installés en dehors et doivent être installés avant le système d’exploitation de sorte que ce dernier n’a aucun moyen ni de savoir ni de contrôler ce que les GAPPS font.
Pour qu’une application soit mise à disposition sur le Google play store, elle doit être certifiée par Google et cette certification n’est obtenue que si l’application vérifie avant de s’installer que les GAPPS soient présents sur le téléphone. Donc, en théorie pas de GAPPS, pas d’application du play store.

Un utilisateur du forum xda-developpers rapporte qu’ayant installé les GAPPS avec un pare-feu applicatif de sorte à empêcher les GAPPS d’accéder au micro, GPS et autres composants de son smartphone, les GAPPS ne donnaient plus la main au système d’exploitation, le téléphone était donc inutilisable. Je n’ai pas vérifié cette information, mais il est tout à fait possible qu’au démarrage les GAPPS testent l’accès aux différents composants du téléphone et bloquent en cas d’échec d’un test.

La géolocalisation ne se sert pas du GPS. Même si vous coupez le GPS de votre smartphone Google sait où vous êtes. Google maintient (et vend) une base de données répertoriant tous les points d’accès et antennes des opérateurs avec leur point GPS précis. Ceci permet de vous localiser avec une précision supérieure au GPS (15 cm). La localisation est faite directement par les puces radio de votre téléphone, votre système d’exploitation n’a aucun accès là-dessus.

Comment vous êtes identifié :

Les données collectées se veulent d’être anonymes, et elles le sont dans le sens que votre nom est inutile pour vous identifier. Néanmoins, les données vous concernant (et qui permettent de vous identifier mieux que votre numéro de sécurité sociale) sont toutes regroupées. En effet, la première chose que va faire une entreprise de collecte de données est de vous coller un identifiant unique. Cet identifiant est calculé en regroupant une multitude de paramètres accessibles aux sites web et applications si vous ne prenez pas garde. Ces paramètres d’identification sont entre autres, votre adresse IP, le matériel de votre ordinateur via les numéros de série (adresse mac) des divers composants du pc ou smartphone, le système d’exploitation (version, résolution de l’écran, langue de l’interface, liste des réseaux wifi enregistrés…), de votre navigateur web (langue, marque-pages, historique des visites, liste des plug-ins…).

Nous arrivons enfin au but de cet article : SE PROTÉGER.
Les stratégies appliquées sont la segmentation des traces, la pollution de l’identification via de fausses informations, la limitation de la fuite des données.

Business model :

La première chose à faire est de comprendre comment les entreprises fournissant les logiciels et services que nous utilisons se rémunèrent. Il ne faut pas être naïf, aucune entreprise ne peut fournir des services à perte.

Les différents business modèles sur le net sont : 

  • Logiciel ou service payant (en une fois ou via un abonnement).
  • Logiciel ou service partiellement gratuit (version minimale gratuite avec options payantes)
  • Logiciel ou service temporairement gratuit. (essais gratuits limités dans le temps)
  • Logiciel ou service gratuit avec support payant.
  • Analyse et revente de vos données (soit directement, soit par du marketing personnalisé)
  • Donations

Une entreprise, dans la plupart des cas, utilisera plusieurs business modèles simultanément et il est possible de trouver cette information dans les rapports d’activité de l’entreprise.
Pour ma part, je n’utilise quasiment pas de services gratuits, mais les coûts sont dérisoires (1€ par moi pour un mail chiffré par exemple).

Open source et logiciels libres :

Un programme est écrit dans un langage de programmation compréhensible par l’être humain. Pour être compréhensible par un ordinateur le programme est compilé en langage machine (fichier binaire qui n’est qu’une suite de zéros et de uns). Le fichier binaire est incompréhensible par un être humain. Dans le cas des logiciels propriétaires, le code source (programme intelligible par l’humain) est gardé secret et seul le fichier binaire est distribué.

Le logiciel libre est une merveille inventée par Richard Stallman dans le but de former les étudiants sur une copie d’Unix libre (n’appartenant pas à une société privée ou un état). Le logiciel libre, en garantissant l’accès au code source, garantit quatre libertés fondamentales pour l’utilisateur : liberté d’utiliser le programme de la manière que vous voulez, liberté d’étudier le programme, liberté de partager le programme, liberté de modifier le programme. Si au début l’invention du logiciel libre et de l’open source était de garantir les quatre libertés fondamentales, & nbsp;aujourd’hui c’est l’unique moyen de pouvoir vérifier qu’il n’y a pas de composants du programme qui vous espionne. Bien sûr, chacun ne peut pas lire et comprendre les programmes, et cela demande beaucoup de temps. Mais comme les programmes libres sont utilisés par beaucoup de programmeurs dans différents projets, il est très difficile et risqué pour un éditeur de logiciel libre d’y cacher du code-espion illégal ou simplement éthiquement inacceptable.

Donc privilégier l’utilisation des logiciels libres protège votre vie privée. Malheureusement, il est impossible d’être 100 % logiciel libre. Beaucoup d’acteurs du marché informatique luttent contre et nos politiques ne pouvant pas taxer ce qui est gratuit ne pousse pas beaucoup à son utilisation.

Le développement des logiciels libres est plus lent que les logiciels propriétaires, mais ils sont dans le temps plus performants, car ils ne sont pas développés dans un but de revente, mais dans un objectif de qualité. Par exemple, j’utilise LibreOffice pour la bureautique, Gimp pour le traitement d’images, Shotwell pour mes photos, Kdenlive pour le montage vidéo, VLC pour les films et la musique, Kodi comme serveur multimédia (sur Raspberry pi) pour la navigation GPS, Osmand (sur smartphone) et un applet météo pris sur F-Droid (Appstore 100 % open-source pour Android).

Chiffrement :

Un VPN est un tunnel de chiffrement (https://nordvpn.com/fr/what-is-a-vpn/) dans lequel transitent les données. Tant que les données sont dans le tunnel aucun tiers ne peut les lire.

J’utilise un routeur-wifi open source sur un matériel open hardware (OpenWrt installé sur un Raspberry pi, le web est plein de tutos pour réaliser cette installation). Sur ce routeur, tout mon trafic est envoyé sur internet via un VPN dont la sortie est en Suisse. Évidemment, je peux être identifié par l’adresse IP de sortie du VPN, mais cette IP est partagée par tous les utilisateurs du VPN (pour ce VPN j’ai payé quatre-vingts euros pour trois ans d’utilisation illimitée en volume).

Attention certain VPN ne prennent pas en compte le trafic DNS, vous pouvez vérifier cela en allant sur ipleak.net. Pour ma part, le trafic DNS est envoyé via le VPN, de plus j’utilise un DNS chiffré de Cloudflare (qui a d’ailleurs refusé d’annuler son service aux sites pro-Trump par respect pour la liberté d’expression et des limites de sa prestation).

Aussi sur mes téléphones, ordinateurs et routeur, le trafic DNS passe par le VPN et utilise Cloudflare. (ici aussi, le web est plein de tutoriels sur comment configurer le chiffrement DNS, en voici un pour Android : & nbsp;https://www.frandroid.com/comment-faire/499707_dns-comment-avoir-acces-a-un-web-sans-censure-et-plus-rapide-sur-android).

En aucun cas je ne me connecte à un point d’accès wifi autre que le mien sans passer par ce VPN.

Système d’exploitation :

J’utilise pour les ordinateurs une distribution Linux Debian avec un bureau XFCE. Ce n’est pas entièrement open source (les drivers sont souvent et malheureusement propriétaires) mais c’est une distribution robuste et facile à utiliser restant très proche du 100 % open source.

Linux n’est plus réservé aux seuls geeks et informaticiens. Une fois la période d’adaptation au changement passée et les principes de base compris, c’est même plus facile à utiliser que Windows ou Mac. De plus, Linux ne polluera pas votre PC de mises à jour inutiles, vous garderez votre ordinateur plus longtemps. Le web est plein de tutoriels et de forums d’aide sur Linux et la communauté open-source répond rapidement.

  • Sur le téléphone (que j’ai acheté d’occasion sur eBay), j’utilise LineageOS+MicroG. C’est une installation risquée et difficile, mais qui permet grâce à MicroG qui simule la présence des services GAPPS de profiter d’un smartphone Android sans compte Google.
  • Alternatives pour smartphone: /e/ du français Gaël Duval (https://e.foundation/).
  • Fairphone (avec/e/) 
  • Pinephone64 (écosystème totalement différent) 
  • Purism librem si vous en avez les moyens

Je suis sceptique sur Freephone qui ne fournit aucune information sur son système d’exploitation.

Emails :

J’utilise plusieurs emails chiffrés (tutanota.com, mailbox.org). Ironiquement, mon email le moins sécurisé est celui fourni par mon employeur. J’utilise aussi des emails temporaires au besoin (compte email qui sera détruit après dix minutes et qui permet de recevoir les liens de validation : tempail.com par exemple).

Comme client email, j’ai Thunderbird (avec chiffrement) sur les ordinateurs et K9-mail (avec chiffrement) sur le smartphone.

Il est bien dommage que l’utilisation de mails chiffrés ne soit pas généralisée. Cela n’ajoute aucune difficulté ou perte de fonctionnalité. Le chiffrement fonctionne avec une paire de clefs de chiffrement. Une clef pour chiffrer qui est publique et que l’on publie sur un annuaire de clefs publiques. De cette manière, n’importe qui peut vous envoyer un email chiffré. Et une clef privée de déchiffrement gardée sur votre ordinateur et smartphone qui ne doit jamais aller sur internet. C’est la seule à pouvoir déchiffrer vos emails. Même mon fournisseur d’email ne peut pas lire mes mails qui sont hébergés sur son serveur. Il ne connaît pas ma clef privée.

Pour ce qui est de l’utilisation quand j’envoie un email, le logiciel regarde tout seul sur les annuaires s’il existe une clef publique pour les destinataires. Je n’ai rien à faire, mais malheureusement très peu de personnes chiffrent leurs emails, j’espère que cette pratique va se généraliser dans un futur proche.

Différents navigateurs :

Pour lutter contre l’identification par cookie, je segmente mon activité sur Internet en utilisant trois navigateurs différents avec des configurations différentes :

Sur les ordinateurs :

Pour la navigation générale, j’utilise un navigateur basé sur Firefox (Waterfox) qui démarre en mode privé (toutes les données de navigations sont effacées lorsque je ferme le navigateur). Sur ce navigateur, je ne m’identifie jamais, je n’ai pas de marque-pages et d’historique de navigation, pas de compte ou mot de passe enregistré. Pour les marque-pages, je fais du copié/collé dans un tableur (LibreOffice calc). J’utilise le plug-in Chameleon qui envoie de fausses informations d’identification en se faisant passer le navigateur, tantôt pour Edge sur Windows, tantôt pour Chrome sur Mac, Firefox sur Linux… de cette manière, l’identifiant de mon navigateur change régulièrement (toutes les demi-heures). Très important, j’interdis tous les cookies tiers, c’est-à-dire n’émanant pas du domaine du site que je visite (voir dans les paramètres de configuration du navigateur). Si je dois créer un compte pour accéder à du contenu j’utilise un email temporaire. J’utilise aussi sur ce navigateur, le plug-in Noscript mais qui génère plus de dysfonctionnements des sites et est plus difficile à gérer.

Sur ce navigateur j’utilise le moteur de recherche (open source) : startpage.com.

Pour mon travail, j’utilise un navigateur Chromium (version open-source de Google chrome) en interdisant les cookies tiers et avec le moteur de recherche DuckDuckGo. Je ne fais aucune navigation personnelle sur ce navigateur. Je démarre Chromium via le programme pour Linux Firejail qui cloisonne une application et ainsi mon navigateur pro ne peut accéder à des fichiers en dehors de mes dossiers pros.

Pour les comptes personnels où je ne peux pas m’affranchir de donner ma véritable identité (banques, impôts, assurances, magasin en ligne) j’utilise un autre navigateur (Brave, basé sur Chromium). Ici, je bloque les cookies sauf ceux des sites ou je m’identifie, et qui sont les seuls sites que je visite avec ce navigateur. Je ne fais aucune recherche ou navigation avec ce navigateur (j’ai mis un faux moteur de recherche dans les paramètres de sorte à me protéger d’une éventuelle recherche par erreur sur ce navigateur).

Pour YouTube, j’utilise le logiciel open-source «FreeTube». Ainsi mon historique de navigation et mes souscriptions YouTube sont stockés sur mon PC et non sur les serveurs de YouTube.
J’utilise aussi odysee.com pour des vidéos sans censure.

De cette manière, il est difficile de regrouper mes navigations et je ne suis pas manipulé par un web personnalisé.

Sur le téléphone :

Grâce à microG, je n’ai pas besoin d’un compte Google sur mon téléphone.

Grâce à LineageOS, j’ai un contrôle très fin des permissions de chaque application et je fais attention aux droits que demandent les applications (surtout sur ma liste de contacts qui est un merveilleux moyen pour m’identifier et me cataloguer). Google fournit gratuitement la reconnaissance faciale sur les photos, mais cela ne peut pas être fait sur un simple téléphone. Ce service doit coûter une fortune à maintenir, mais doit sûrement être extrêmement rentable pour Google.

J’utilise l’application SHELTER (https://f-droid.org/en/packages/net.typeblog.shelter/) qui permet de créer deux profils distincts et isolés sur le téléphone. J’ai un profil personnel et un profil pour mon travail.

J’évite d’installer des applications et quand je le fais, j’utilise par ordre de préférence les Appstores : F-droid (qui fournit des applications auditées et 100 % open-source) et Aurora (qui donne accès au playstore Google anonymement et informe des espions inclus dans les applications. Attention, il ne faut jamais utiliser Aurora avec un compte Google, vous risqueriez d’être bannis de Google).

Lorsqu’un service web est disponible, je n’installe pas l’application correspondante. J’utilise le site web via l’application open-source WEBAPP. Cette application est un navigateur qui isole chaque page https://f-droid.org/en/packages/com.tobykurien.webapps/). Par exemple si j’avais un compte Facebook je n’installerais pas l’application Facebook sur mon téléphone, je créerais une webapp Facebook via l’application WEBAPP.

Pour les sites de chez Google, j’utilise GAPPS (https://f-droid.org/en/packages/com.tobykurien.google_news/) qui isole Google de la même manière que WEBAPP.

Si vous parlez anglais, Rob Braxman (https://brax.me/home/rob) est excellent pour apprendre à se protéger et bon nombre de techniques abordées ici sont détaillées dans ses vidéos (sur odysee.com bien sûr).

Cette protection exige de la discipline et n’est pas parfaite, mais cela me permet d’être moins exposé à la manipulation et rend le traçage de mon activité plus difficile. La liberté est attaquée de toutes parts. Plus nous serons nombreux à être vigilants, plus l’internet sera libre. Actuellement, les GAFAMT (Google Apple Facebook Amazon Microsoft Twitter) se sont approprié Internet. Il est primordial qu’Internet reste libre. L’avenir du monde ne dépend pas de tous mais de chacun de nous.

Évidemment, ce texte est sous licence open-source GFDLv1.3 (http://www.gnu.org/licenses/fdl-1.3.html).

© Tsinapah pour Dreuz.info

Soyez le premier à commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*