Internet : les outils de protection de la vie privée

Un moteur capte plus d'une trentaine d'informations, si on y ajoute les réseaux sociaux, les applications, les abonnements et les objets connectés on atteint le chiffre de plusieurs centaines de données (top 5 : Google, Facebook, Adobe, Amazon, Oracle). Selon les acteurs du secteur, privés des ressources publicitaires, il nous faudrait débourser de 100 à 300 euros par an pour Internet (le lot de 1.000 données est rémunéré 2 à 3 euros). «  Nous sommes susceptibles d’inclure sur nos sites des applications informatiques émanant de tiers. (...) Tel est notamment le cas des boutons « Partager », « J’aime », issus de réseaux sociaux tels que « Facebook », « Twitter », etc. Nous n’avons aucun contrôle sur le processus employé par les réseaux sociaux pour collecter des informations relatives à votre navigation sur nos sites et associées aux données personnelles dont ils disposent » ! LILO annonce la couleur sans avoir à cliquer pour en lire les conditions : « Vos recherches financent gratuitement les projets sociaux et environnementaux » !

Chaque point de connexion reste identifiable par son adresse IP (inutile de changer d'ordinateur, de box ou de passer par une clé 4G) et il vous faut redoubler de prudence avec le WIFI public (pot de miel), désactivez « partage » et aucun mot de passe stocké. Chaque ordinateur reste identifiable par sa « signature » (date et heure d'installation de chaque programme) et son Identifiant universel Unique (équivalent au IMEI) utilisé pour la synchronisation des services - les préférences utilisateur - affichage de publicités ciblées, prévenir certaines fraudes. On peut contourner l'adresse IP, l'ordinateur sera toujours identifiable. Pour remonter jusqu'à son propriétaire : numéro de l'appareil -> importateur -> revendeur -> mode de paiement, extension de garantie, carte de fidélité, enregistrement auprès du constructeur, et/ou via le GUID des fichiers -> licence logiciel (Microsoft etc.).

L'internaute qui souhaite configurer un réseau WIFI ou Ethernet, installer un routeur derrière sa box, modifier la clé de chiffrement, limiter l'accès à sa connexion, connaître la clé, le nom, SSID, MAC, obtenir l'adresse de la passerelle, passera par : http://192.168.1.1 , 192.168.0.1, 192.168.0.0, 168.2.1 (ou accessoires, cmd, Ipconfig). L'IP de connexion selon la marque des routeurs est disponible à l'adresse : 192-168-1-1ip.mobi/default-router-ip-adress-list/ Logiciels d'appoint, Netspot, Heatmapper, Wifi coverage (débit).

Il existe des dizaines de navigateurs, un browser Open source n’envoie, en principe, aucune donnée (SRWare Iron, Epic.Privacy) et un navigateur portable (Knoppix-MiB ou autre sur clé USB) améliore la sécurité en stockant les données sur la clé et non sur le disque dur (déniabilité). Certains internautes utilisent TOR, d'autres installent des extensions qui contribuent à un pseudo-anonymat en attribuant une adresse IP différente (proxy) comme les anciens MODEM. Le navigateur « Brave » (https://brave.com/jou839) qui surfe aussi sur Tor et Torrent..., crypte la connexion, intercepte trackers et cookies, accepte les extensions Chrome et propose de rémunérer en BAT (monnaie numérique) l'internaute qui consulte la publicité !

Les moteurs de recherches peuvent nous « mettre à nu » et il ne sert à rien d'installer un navigateur « discret » si c'est pour passer ensuite par un moteur indiscret. Si vous n'êtes pas disposé à renoncer à Google (Dork est une perle), installez Googlesharing, vos requêtes passeront par un serveur anonyme empêchant de vous associer aux résultats (identité et profil attribués) ou optez pour Chromium qui est à la base d'Opéra, Yandex et de Chrome débarrassé des mouchards Flash Player & PDF reader (Adobe Flash Player utilise une interface différente de celle du navigateur). Rien ne nous empêche de passer par DuckDuckGo (IxQuick a été revendu à Start Page) dont les requêtes sont anonymes et les données non stockées. Pour se faire une idée de l'intrusion dont nous faisons l'objet anonymat.org/vostraces/index.php - Immersion.media.mit (vos métadonnées, le volume d’échanges et les liens Gmail) - Safe Sheperd (établir un portrait de votre présence en ligne), et surtout https://browserleaks.com accrochez-vous !

« Internet est à la fois Big Brother et son antidote » (J.M Messier). Attention, quand on installe un programme, toujours le télécharger à la source et ne jamais se satisfaire de l'emplacement par défaut, il faut créer un dossier et le placer dans le bac à sable afin de l'examiner. Lors de certaines recherches pour installer un navigateur ou programme, Google affiche l'avertissement « revenir en sécurité » (voire "page non trouvée" alors qu'elle est accessible avec un moteur et navigateur différents). Il suffit de saisir https devant l'adresse pour être redirigé vers le site sécurisé à condition qu'il ait été créé. Pour télécharger par exemple Yandex (navigateur russe compatible avec Opéra) sans passer par Play Store, il faut désactiver « Play Protect ». Autre solution, le Sideloading. En téléchargeant les fichiers APK il est possible de déverrouiller des fonctionnalités payantes (gamers), de supprimer la pub, d'interdire des réseaux, d'installer des programmes, etc.

Si les extensions ajoutent des fonctionnalités supplémentaires au navigateur, elles peuvent en compromettre la sécurité. L'extension est téléchargée en contre-partie de l'autorisation à lire et modifier vos données privées. L'extension peut être une « cyber-menace », inoffensive lors de son installation, elle peut devenir malveillante lors d'une mise à jour automatique. Si les autorisations demandées n'ont rien à voir avec l'application, y renoncer tout simplement. Idem pour les barres d'outils qui n'apparaissent jamais dans la liste des programmes et dont il est difficile de s'en débarrasser (savez-vous combien de programmes vous avez dans votre PC ?)

Les Robots ou Web crawlers parcourent la toile afin d'en référencer les sites, en télécharger les pages (html, pdf, etc) et les métadonnées, de lien en lien. Les pages sont stockées, leur contenu indexé (les stop words le, la de, etc. sont ignorés), classé et hiérarchisé afin d'en faciliter la recherche (des moteurs sont spécialisés dans certains domaines Koders, Find sounds). Les enjeux financiers sont colossaux, il ne faut donc pas s'étonner de voir des liens commerciaux polluer les requêtes en utilisant des méthodes peu éthiques. le web master a la possibilité de refuser l'indexation (robots.texts) et restreindre l'accès par un mot de passe. Il lui est également possible de rediriger le trafic vers un site hébergé dans un pays à la législation différente, une opération transparente pour l'internaute qui s'y connecte. L'insertion d'« empreinte » alerte le site lorsque l'internaute récupère toute ou partie du texte ou une image. S'il s'agit d'un site spécialement dédié, le web master crée une « liste blanche » (adresses IP autorisées pour la connexion), importe un fichier CSV avec adresse e-mail pour le partage, ou place un message d'erreur fictif afin de dissuader l'internaute qui ignore la présence d'un cadre invisible dans lequel cliquer pour établir la connexion, ou déclencher un faux positif (virus) afin de dissuader l'internaute de s'y maintenir.

Les cookies permettent aux sites de nous pister et d'identifier chaque passage. La durée de conservation de certains éléments est de plusieurs années ! Une session « navigation privée » évite seulement le stockage des cookies sur le disque dur. Depuis le Règlement européen du 27 avril 2016 sur la protection des données à caractère personnel (RGPD), les sites se doivent d'obtenir l'accord de l'internaute, la plupart d'entre eux clique sur accepter..., les plus prudents sur « en savoir plus » et « tout refuser ». Certains sites contournent leur obligation en masquant la validation par un cadre publicitaire ! Pour les désactiver : http://www.cnil.fr/vos-droits/vos-traces/les-cookies.

Afin de réduire les vulnérabilités il faut supprimer : les « plug-in » douteux - les programmes obsolètes - les applications peu utilisées (jeux) - les abonnements devenus inutiles. Qui les désactivent ou les désinstallent (scan FRST3) et va dans « paramètres » pour bloquer : les cookies, la position, le micro, la caméra, pop-up, etc., quant à désactiver l'exécution automatique d'un lecteur (clé USB, CD, DVD, carte SD) n'en parlons même pas. Ce qui est saisi dans la barre de navigation est enregistré sur le serveur en continu, même non validé (paramètre par défaut) ! Évitons de jouer au Petit Poucet en enchaînant plusieurs requêtes sur la même page, cela évitera que le dernier site consulté ait connaissance des sites visités précédemment (des sites majorent leur prix lorsqu'ils constatent que vous avez effectué plusieurs recherches pour le même service). Il faut changer de page ou d'onglet après chaque requête ! Cleaner vide le cache, supprime l'historique des recherches et procède à un nettoyage, mais avons-nous décoché : collecte de données et nettoyage intelligent ? Certains navigateurs (Opéra, FF, etc.) bloquent les publicités, sinon il faut installer : Ublock, Malwarebytes AdCleaner. La présence de web bug (pixel invisible sur la page ou dans un e-mail capable de lancer un script), Témoins flash, Balises demeurent ignorés de nombreux internautes ! Web Washer vous informera de leur présence.

Aucun anti-spyware ne peut garantir qu'une machine n'est pas infectée ou que le trafic n'est pas intercepté. Un pirate peut prendre le contrôle de l'ordinateur, lire les e-mails & fichiers, voir ce qui est saisi sur le clavier, activer la Webcam, le micro, détruire ou bloquer l'accès aux données (ransomware), faire chanter une personne ou une entreprise en menaçant de publier des informations intimes ou privées (doxware). Pour information, Nessus identifie les vulnérabilités et Metasploit offre mille exploits pour pénétrer une machine, logiciels disponibles sur le Web !

Les antivirus posent un problème de confidentialité et certains d'entre eux ont déjà été compromis, et tous génèrent de fausses alertes ou faux positifs ! 90 % des mises à jours corrigent des failles de sécurité ou des bogues ! En avez-vous lu les conditions d'utilisation afin de prendre une décision avisée ? Qui "fait un Whoïs" pour connaître l'emplacement du serveur (Avast en Tchéquie, AVIRA en Allemagne, etc.), l'identité du propriétaire, l'adresse, le téléphone. A part y renoncer, l'installer sur une clé USB avec mise à jour manuelle. Les antivirus sont testés sur une chaine de lettres, chiffres, signes de ponctuation à laquelle ils se doivent de réagir. Cette chaîne inoffensive enregistrée dans un fichier avec l'extension de votre choix placé sur votre HD, une clé USB affolera le curieux qui pensera voir son système compromis...

Le gestionnaire de messagerie reste un endroit sensible, en cas de doute sur la provenance d'un e-mail ou de son parcours toujours en lire l'entête. Le secret de correspondance relève de l'utopie, POP 3 ne prend pas en charge le chiffrement ! Pour chiffrer vos e-mails utilisez une extension (MailEnvelope, Secure Mail), ouvrez un compte avec chiffrement intégré (HushMail, CounterMail), ou installez PGP, GnuPG et toujours fixer une date d'expiration aux clefs publiques et privées, mieux, utiliser des clefs à usage unique. Autres alternatives, l’utilisation d'une messagerie éphémère (Mailinator, Guerrilla Mail), partager une même boite et y placer le message dans brouillon qui sera effacé aussitôt lu, ou passer par des « remailers » anonymes (Cyberpunks).

Avant de partager un fichier, une photographie, une vidéo, prendre pour habitude d'en supprimer les métadonnées : titre du document, nom du rédacteur, dates et heures des modifications, informations techniques sur la machine (Doc Scrubber, MetaStripper) et s'assurer d'avoir choisi l'option privée. Sinon les chiffrer et les rendre partageables par un mot de passe (Mega) ou créer son propre Cloud (Resilio). Si on utilise Box ou Dropbox, Boxcryptor regroupera et chiffrera les archives dans un dossier avant de le synchroniser avec le serveur distant sur le Cloud. Autre possibilité, découper un fichier et en stocker les parties sur différents ordinateurs (www.ife.ee.ehtz.ch/-fleep/work/text-cat-html).

La stéganographie consiste à dissimuler du texte dans une image (S'il s'agit de protéger un document, on parle de filigrane) ou un morceau de musique. Cette technique permet de contourner les FAI qui suppriment la partie chiffrée dans les e-mails. L'image, anodine, reste lisible et peut être exportée sur clé USB ou postée sur un site qui permet le dépôt anonyme... Ne pas retoucher le fichier, il serait endommagé. Certains le compressent avant de l'archiver misant sur le fait que les curieux pensent rarement à décompresser une image. Pour choisir un logiciel répondant à la problématique et adapté à la plate-forme : fr.qwe.wiki/wiki/steganography/tools (Openpuff est polyvalent). Attention, une image sur une page web (bouton, bannière) peut dissimuler un payload (code exécutable pour ouvrir un accès sur un serveur VNC) ! Toujours télécharger les applications sur leur site officiel, et installer un logiciel de stéganalyse afin de s'assurer de l'herméticité des fichiers : audiostego analyse un fichier wav ou MP3 pour localiser la partie chiffrée (la stéganographie actuelle modifie la profondeur des couleurs).

Toujours réfléchir avant de cliquer et non l'inverse (l'envoi d'un e-mail par erreur semble assez répandu). Ne jamais écrire sur le Web ce que l'on écrirait pas au dos d'une carte postale expédiée sans enveloppe, et encore, celle-ci peut être rendue transparente avant de redevenir opaque une quarantaine de secondes plus tard sans laisser de trace ! Pardon pour le style concis qui avant tout se veut pragmatique, et merci du retour d'informations et d'expériences.

°°°°°°°°°°°°°°°°°°°°°°°°