Beruflich Dokumente
Kultur Dokumente
de survie
en ligne
citoyens
sous
surveillance
En juillet 2018, la FIDH publiait conjointement avec
le Cairo Institute (CIHRS), la Ligue des Droits de l’Homme
(LDH) et l’Observatoire des Armements (OBSARM)
un rapport explosif sur la vente par la France à l’Égypte
d’armes et de technologies de surveillance.
Qu’est-ce que
des publications condamnées par
un régime autoritaire.
ça veut dire ?
Qu’est-ce qu’une donnée,
Protéger sa vie privée, c’est prendre et qui y a accès ?
conscience que l’ensemble de vos
actions numériques laissent des traces Les définitions varient selon la loi
qui peuvent être récupérées par des de chaque pays, mais on considère
tiers. Il n’est pas nécessaire de pirater qu’une donnée personnelle
Toutes et tous concerné.es votre ordinateur pour avoir accès correspond à toute information
à un grand nombre d’informations relative à une personne physique
Mohamed Ramadan est avocat égyptien, spécialisé dans liées à votre vie privée. La plupart des identifiée ou qui peut être identifiée,
la défense des droits humains. données personnelles sont rendues directement ou indirectement, par
Le 10 décembre 2018, alors qu’il descendait d’un bus et publiques par les utilisateurs eux- référence à un numéro d’identification
rentrait chez lui, il est arrêté par trois agents en civil de mêmes : vous les partagez en publiant ou à un ou plusieurs éléments qui
l’Agence nationale de sécurité. des contenus sur un réseau social lui sont propres. De manière plus
Le motif de son arrestation ? Mohamed a partagé sur Face- ou vous les offrez gracieusement en générale une donnée est tout ce qui
book une photo de lui portant un gilet jaune, expliquant acceptant les Conditions Générales contient une information. Cela peut
comment s’en procurer. Il est aujourd’hui accusé d’avoir d’Utilisation d’un service ou d’une être quelque chose de très concret :
« rallié un groupe terroriste et de promouvoir ses idées ». application. La collecte de données votre nom, votre adresse, une photo
En effet, le gilet jaune, symbole d’une vague de manifesta- personnelles est une pratique si de vous en vacances, un rendez-vous
tions en France, est interdit à la vente en Égypte. courante qu’elle a donné naissance dans votre calendrier, les gens que
Sa famille et ses avocats n’ont pas su où il se trouvait ni ce à une industrie. Ces collectes vous suivez sur Instagram… Cela
qui lui était arrivé jusqu’à ce qu’il comparaisse le lendemain, d’informations peuvent devenir peut aussi être plus abstrait : une
pour des chefs d’inculpation tels qu’« appartenance à un très intrusives et être détournées recherche effectuée sur Google, un
groupe interdit », « diffusion de fausses informations via les de leur finalité. Grâce au partage site que vous avez consulté plusieurs
réseaux sociaux » et « incitation à des troubles sociaux ». des photos, Facebook possède fois, l’appareil que vous utilisez, le
par exemple la base de données réseau wifi sur lequel vous vous êtes
de visages la plus importante au connecté, votre géolocalisation,
monde et a mis au point le logiciel de les différents comptes (identifiants
reconnaissance faciale le plus abouti. et mots de passe) mémorisés
Il faut également garder à l’esprit que dans votre navigateur… Tous ces
les informations que vous partagez sur éléments donnent des informations
Internet sont très difficiles à effacer : sur vous : ce sont vos données
une fois que vous avez posté une personnelles, elles parlent de vous
photo ou un document sur les réseaux et vous ne pouvez pas les contrôler.
sociaux par exemple, vous ne pouvez
plus contrôler qui la copie ou la publie Sans vous en rendre compte, vous
ailleurs : l’information est désormais disséminez ces informations à chaque
hors de votre contrôle. Avant de étape de votre vie numérique, et elles
partager une information sur Internet, sont récupérées par différents acteurs.
y compris de façon privée, il est
judicieux de considérer les dommages — Sur votre navigateur : celui-
qu’elle pourrait causer On ne compte ci enregistre votre historique de
plus les cas de licenciements pour navigation, les cookies des sites
visités, vos téléchargements, ou le réseau social de conserver et
vos recherches depuis la barre d’exploiter lui-même vos données
pour votre
de presse ou une boutique en ligne, Faites varier vos identifiants,
les sites web que vous consultez Votre survie numérique commence par pseudonymes et mots de passe
vie privée ?
enregistrent votre parcours, les pages la prise de conscience des informations
vues, le nombre de visites, la durée que vous partagez, volontairement et L’utilisation d’un pseudonyme ne
passée sur telle ou telle page… Ils ont involontairement, à travers l’ensemble vous rend ni anonyme ni protégé,
également accès aux cookies qu’ils Seules, vos données ne donnent de vos actions sur le web. De façon et peut même s’avérer dangereuse
ont placés sur votre ordinateur et aux pas nécessairement beaucoup générale, si vous n’utilisez pas des s’il s’agit toujours du même, car il
données que celui-ci peut transmettre. d’informations sur vous et peuvent services spécifiquement conçus pour devient possible de retracer votre
même vous paraître inutiles ou protéger vos informations grâce à présence sur l’ensemble des sites ou
— Sur votre moteur de recherche : futiles. Pourtant, le danger existe des méthodes cryptographiques des services que vous utilisez à partir
Il enregistre l’historique de vos car en reliant ces différentes (comme suggéré dans les chapitres de cet identifiant. Il est recommandé
recherches, mais également données, un tiers peut déduire suivants), vous devez considérer d’utiliser un pseudonyme, une
combien de fois et quand elles ont énormément de choses sur vous. que toute information échangée sur adresse email et un mot de passe
été effectuées ainsi que les résultats Internet pourra potentiellement être (qui peut lui aussi servir à traquer un
sur lesquels vous avez cliqué. Un exemple : Depuis un mois, accessible à des tiers, y compris dans individu) différent sur chaque site
votre téléphone vous localise tous le cadre privé d’une messagerie. où vous partagez des informations
— Sur les sites de stockage et les mercredis soir au café A. Vous Il n’en demeure pas moins utile personnelles ou sensibles.
les services cloud : vos informations avez également effectué plusieurs de prendre un certain nombre de
stockées dans le cloud ne sont pas recherches sur l’histoire politique, précautions pour limiter l’accès
protégées, et le site ou service peut vous êtes devenu ami sur un réseau à ces informations et réduire Surveillez et modérez
conserver avec qui vous partagez social avec 3 personnes qui ont vos traces au minimum. les informations personnelles
du contenu, à quel moment etc. indiqué aimer tel parti politique. publiées sur vous
Ces mêmes personnes fréquentent
— Sur les réseaux sociaux : le café au même moment que vous. Réglez systématiquement Avec des outils comme Google
ils enregistrent toutes les informations En regroupant ces données, un vos paramètres de confidentialité Alert qui permet de recevoir des
que vous publiez mais aussi vos système peut automatiquement alertes quand du contenu est
données comportementales: ce que vous classer comme opposant Les paramètres de confidentialité publié sur le web, vous pouvez
vous aimez, qui sont vos amis, quels politique actif et anticiper la date déterminent la quantité d’informations traquer les informations publiées
sont ceux avec qui vous interagissez de votre prochain meeting, sans que vous rendez publiques (c’est- par des tiers à votre sujet. Si un
le plus, ce qu’ils aiment, … qu’aucune action humaine ne soit à-dire accessibles par n’importe tiers publie une information que
nécessaire car un algorithme aura qui) lorsque vous utilisez un service vous souhaitez garder privée, il
— Sur les applications mobiles : effectué ces recoupements. donné. Ces paramètres varient en est parfois possible de signaler
en validant les CGU, vous acceptez de fonction du réseau social ou du la publication et de demander sa
partager certaines données : il s’agit service, et sont souvent réglés par suppression directement depuis
souvent de la localisation, l’identifiant défaut lors de l’inscription à un le site. À défaut, vous pouvez
du téléphone et les données du site ou une application. Il est donc contacter par voie électronique
compte (sans que cela soit toujours nécessaire de les modifier vous- ou courrier l’organisme ou le
justifié par la finalité de l’application). même : dans la plupart des cas, service concerné (dans les sections
vous pourrez choisir de restreindre « Politique de confidentialité » ou
— Enfin, tout ce que vous publiez la visibilité de vos informations et « Mentions légales » du site), et
volontairement en ligne et qui est lié parfois leur transmission à des tiers. demander également aux moteurs
de près ou de loin à votre identité. Cela n’empêchera pas le service de recherche de déréférencer un
lien afin qu’il n’apparaisse plus fortiori de façon automatique comme ces données ne sont pas publiques, Effacez régulièrement
dans les résultats de recherche. de nombreux services le proposent. elles peuvent être exploitées, parfois les traces de votre navigation
Quand vous sauvegardez par exemple analysées (par exemple avec des
les données de votre smartphone outils de reconnaissance faciale) Il est important de vider le cache
Évitez de stocker vos données dans le cloud (avec un service ou bien encore piratées par des de votre navigateur (les données
dans le cloud comme Google Photos ou iCloud), personnes mal intentionnées. de navigation conservées sur votre
toutes les données sont transmises machine) et les cookies régulièrement.
Evitez de stocker vos fichiers et conservées dans des serveurs Il est également recommandé
personnels sur un service en ligne, a que vous ne maîtrisez pas. Même si Choisissez attentivement d’utiliser un navigateur respectueux
les services et logiciels de vos données (Brave, Waterfox,
que vous utilisez Firefox ou TORBrowser), en évitant
les navigateurs les plus utilisés tels
Privilégiez un moteur de recherche que Google Chrome ou Safari qui
qui s’engage à ne pas stocker ou conservent des données personnelles.
réutiliser vos données. Qwant, par Vous pouvez également utiliser des
exemple, est un moteur de recherche extensions qui aident à protéger votre
français qui n’enregistre aucun cookie vie privée : sur Firefox, on peut citer
et aucune information sur l’utilisateur. uBlock Origin (bloqueur de publicité) ;
DuckDuckGo est un outil qui n’utilise Privacy Badger (qui identifie les
aucune donnée utilisateur et propose trackers), HTTPS Everywhere (qui
des résultats basés sur des sites garantit que les sites visités utilisent
de référence comme Wikipedia, le protocole HTTPS, un protocole
Bing et Yahoo. Les logiciels open- de connexion sécurisée), NoScript
source sont des logiciels dont le (qui bloque les scripts Java et Flash
code source est public, ce qui offre utilisés par les pirates), Disconnect
davantage d’assurance sur le fait que (qui révèle et supprime les traces
ces derniers ne transmettront pas laissées par la navigation) etc.
secrètement vos données à des tiers.
Qu’est-ce que
vous laissez derrière vous soient utilisées
à des fins publicitaires, mais elles
ça veut dire ?
peuvent également être interceptées
par une tierce personne et utilisées à
des fins malveillantes.
Protéger ses données personnelles En naviguant de manière anonyme
est une précaution essentielle sur sur Internet, vous empêchez ces
Internet. Mais parfois, prendre des acteurs de relier ces données à
précautions pour effacer ses traces sur votre ordinateur et donc à votre
son ordinateur ne suffit pas. Naviguer identité. Cela permet également de
de façon anonyme, c’est s’assurer de masquer votre localisation, et donc
ne pas laisser de traces pendant et de contourner certains types de
Toutes et tous concerné.es après sa navigation. Naviguer de façon censure (de nombreux Etats exigent
anonyme, c’est donc faire en sorte des fournisseurs d’accès qu’ils
En août 2016, le réseau Internet Égyptien était perturbé qu’une personne extérieure ne puisse bloquent certains sites dans leur pays
par une série d’anomalies, indiquant que les services de pas relier votre activité sur Internet - Youtube et Netflix sont par exemple
sécurité ciblaient l’infrastructure du réseau afin, selon les à votre identité. C’est un moyen inaccessibles depuis la Chine).
experts techniques, d’installer un système permettant supplémentaire de protéger votre vie Naviguer de manière anonyme consiste
une interception de masse des communication en ligne. privée et votre liberté. donc à cacher et rendre indéchiffrable
Des militants d’opposition, des écrivains, mais également vos données à chaque étape de la
des personnes LGBTI font l’objet d’une surveillance et navigation. En effet, il suffit qu’une
d’une intimidation constante. Selon l’Initiative Égyptienne faille existe chez l’un des acteurs de
pour le Droit de Personnes (EIPR), le Ministère de l’Inté- la chaîne pour que tous vos efforts de
rieur utilise une méthode boule de neige pour trouver des discrétion soient compromis.
risques quand
ou rendent visite à des individus arrêtés précédemment
pour « débauche ».
je navigue sur
Les citoyens font l’objet d’une surveillance massive de leur
Comment
activité en ligne, qui est immédiatement reliée à leur iden-
le web ?
tité, permettant de les cibler et les catégoriser selon leurs
naviguer
recherches, leurs habitudes et leurs relations sociales.
de manière
Pour savoir de quoi on se protège
il faut déjà comprendre comment
anonyme ?
fonctionne le web.
Utilisez Tor
Qu’est-ce
réalisées par des ordinateurs peuvent
tester de quelques milliers à plusieurs
que ça veut
centaines de millions de combinaisons
par seconde.
dire ?
Hameçonnage ou Phishing
Aujourd’hui, la sécurité de l’accès à
tous les services en ligne du quotidien L’hameçonnage (phishing en anglais)
repose essentiellement sur les mots de est une technique frauduleuse
passe. Il est donc nécessaire d’utiliser destinée à leurrer l’internaute pour
des mots de passe forts, et de gérer l’inciter à communiquer des données
ces informations avec précaution personnelles ou professionnelles
pour protéger vos données et vos (comptes d’accès, mots de passe...)
communications. Il existe en effet de en se faisant passer pour un tiers
eToutes et tous concerné.es nombreuses méthodes « pirates », de confiance. Il peut s’agir d’un faux
plus ou moins avancées, qui peuvent message, email, SMS ou appel
Au cours des dernières années, de nombreux activistes permettre d’identifier votre mot de téléphonique de banque, de réseau
renommés ont été la cible d’attaques en Égypte dites de passe et d’accéder aux services que social, d’opérateur de téléphonie, de
vous utilisez et à vos informations. fournisseur d’énergie, de site de com-
hameçonnage (« phishing »), visant à accéder à leurs mes-
merce en ligne, d’administrations, etc.
sageries et à contrôler à distance leurs ordinateurs en
récupérant leurs mots de passe par l’envoi de liens mal- — Comment ça marche ?
veillants puis en interceptant les codes envoyés par SMS
sur leurs téléphones portables. En mars-avril 2016, ce sys- Vous recevez, dans votre boîte
Quels sont
tème de piratage a été utilisé pour cibler le célèbre jour- email, un email d’un émetteur se
naliste et blogueur Wael Abbas, le graphiste et activiste faisant passer pour un organisme de
les risques
Mohamed Gaber, et l’avocate et journaliste Nora Younis. confiance, vous incitant fortement
à lire un message en cliquant sur
pour mes mots
un lien. Ce lien vous conduit vers
un site imitant le site officiel de
de passe ?
l’organisme. Ce site de phishing vous
demande d’entrer votre identifiant
et votre mot de passe sur une page
Pour pouvoir se protéger, il est d’authentification qui ressemble à la
nécessaire de connaître les risques page de connexion du site officiel.
et les différentes techniques qui
permettent de récupérer un mot — Comment éviter le piège
de passe. du Phishing ?
Comment
site concerné, c’est très certainement Exemple : Un tiens vaut mieux que deux tu l’auras : 1tvmQ2tl’A
un site frauduleux. Parfois, un seul
protéger ses
caractère peut changer dans l’adresse
du site afin de mieux tromper la — La password card
mots de passe ?
victime. Vérifiez également que
l’adresse du site commence par Ce type de carte (à générer sur passwordcard.org) comporte un
« https » et non « http » : il s’agit tableau avec une combinaison unique générée au hasard de chiffres
du protocole sécurisé qui offre un Pour empêcher ce type d’attaque et de lettres. Tout ce que vous avez à faire est de vous souvenir d’une
certain niveau de protection contre et protéger vos informations et combinaison d’un symbole et d’une couleur pour lire votre mot de
le hacking. Au moindre doute, ne communications, il est essentiel de passe sur la carte.
fournissez aucune information et créer des mots de passe robustes et
fermez immédiatement la page sûrs, c’est-à-dire difficiles à retrouver à
correspondante. l’aide d’outils automatisés et à deviner — Un gestionnaire de mot de passe
par une tierce personne.
4 • Privilégiez votre méthode d’accès Il s’agit d’un logiciel qui génère des mots de passe complexes et
habituelle à un site (via vos favoris, Les bonnes pratiques à adopter pour sécurisés, et les conserve dans un coffre fort électronique crypté, se
un moteur de recherche ou en tapant créer et gérer vos mots de passe : chargeant de remplir automatiquement les formulaires de connexions.
directement l’adresse du site dans Tout ce dont vous devez vous souvenir est le mot de passe principal
votre navigateur) plutôt qu’en cliquant 1 • Utilisez un mot de passe unique (« masterpass ») - préférablement un mot de passe long type phrase
sur un lien reçu par email. pour chaque service. Ainsi en cas secrète - qui permettra de débloquer tous vos services.
de perte ou de vol d’un de vos mots
de passe, seul le service concerné
Installation d’un keylogger sera vulnérable.
Quel
gestionnaire
de mots de
passe choisir ?
Le logiciel Keepass est la référence
« open source » en matière de gestion
de mots de passe. Cette solution est
gratuite et permet de stocker en toute
sécurité vos mots de passe. Vous
pouvez conserver cet outil sur votre
bureau ou l’intégrer à votre navigateur
web. Le logiciel dispose également
Un peu d’histoire...
Qu’est-ce que
3 • Les logiciels espions : un logiciel
espion est installé sur un ordinateur
ça veut dire ?
ou un appareil mobile dans le but de Le chiffrement remonte à la civilisation babylonienne environ
collecter et transférer des informations 300 ans avant notre ère. Plusieurs méthodes de chiffrement
personnelles, sans que l’utilisateur en ont existé (l’Atbsh des Hébreux (-500), la scytale à Sparte
Assurer la sécurité de vos données ait connaissance. (-400), le carré de Polybe (-125), …), la plus célèbre que
en ligne est essentiel. Pour autant, l’histoire retiendra étant le chiffre de Jules César. Ce dernier ne
vous n’êtes pas à l’abri en conservant 4 • Les chevaux de Troie : Le Cheval faisait pas confiance à ses messagers lorsqu’il devait envoyer
tous vos fichiers importants sur votre de Troie, ou trojan, est un programme des messages à ses généraux. Il décida donc de remplacer
ordinateur, car celui-ci est connecté invisible qui est caché au sein d’une les lettres A dans ses messages par des lettres D, les B par des
à Internet et donc vulnérable. application en apparence légitime. E et ainsi de suite. Cette méthode est une méthode dite de
Le programme contenu (ou téléchargé «chiffrement par substitution simple».
par la suite automatiquement) peut
alors inclure n’importe quel type de Exemple :
parasite : virus, keylogger, logiciel Alphabet clair : A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
espion... Alphabet Chiffré : D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
Quels sont 5 • Les keyloggers : Déjà mentionné Texte clair : Errare humanum est, perseverare diabolicum
les risques ?
dans le chapitre précédent, Texte chiffré : Huuduh kxpdqxp hvw, shuvhyhuduh glderolfxp
le keylogger est un programme qui
enregistre toutes les touches frappées NB : cette méthode primitive de chiffrement est obsolète et ne
Il existe de nombreuses attaques qui au clavier sur l’ordinateur infecté, permet plus de sécuriser des données ou des communications.
permettent de récupérer les données et les envoie au pirate par Internet.
d’un ordinateur. La plus courante Son but est souvent d’intercepter
consiste à utiliser des logiciels les identifiants et mots de passe.
malveillants appelés « malwares » en
anglais. Ces logiciels ont pour but Le chiffrement consiste à transformer — Android offre le chiffrement
d’accéder à un appareil (ordinateurs, une donnée qui peut être lue par du disque entier lors de la
tablettes, smartphones ou objets n’importe qui (donnée dite « claire ») configuration initiale de votre
connectés) et d’altérer ou de récupérer en une donnée qui ne peut être lue que téléphone pour les appareils plus
Comment
les fichiers et les données personnelles par son créateur et son destinataire récents, ou n’importe quand par
qui s’y trouvent. Il existe de nombreux (donnée dite « chiffrée » ou encore la suite dans les paramètres de
protége ses
types de programmes qui permettent cryptogramme). « Sécurité » de tous les appareils.
d’accéder à votre appareil et à ce qu’il
fichiers ?
contient : Il est conseillé de chiffrer toutes — Les appareils Apple tels que l’iPhone
vos données plutôt que seulement ou l’iPad parlent de « protection des
1 • Les virus : Un virus informatique se quelques dossiers. Si vous possédez données » et l’activent quand vous
reproduit d’un fichier à un autre sur Pour assurer la sécurité numérique de certains fichiers particulièrement définissez un code.
le même ordinateur. C’est le type de vos données, la seule méthode efficace confidentiels, il est également
logiciel malveillant le plus ancien et le consiste à chiffrer vos données. recommandé de les placer dans un Pour les ordinateurs :
plus répandu. Chiffrer ses données revient à les fichier chiffré indépendant.
déposer dans un coffre-fort verrouillé — Apple propose une fonction intégrée
2 • Les vers : Un ver informatique et sécurisé. Seules les personnes qui La plupart des smartphones ou de chiffrement du disque entier
(worm en anglais) ne se reproduit disposent de la combinaison (une ordinateurs récents offrent désormais sur macOS appelée FileVault dans
pas d’un fichier à un autre mais d’un clé de chiffrement ou une phrase le chiffrement du disque entier comme « Préférences système ».
ordinateur à un autre, via un réseau secrète) peuvent accéder au contenu. option :
— Les versions de Linux offrent
habituellement le chiffrement
du disque entier lors de la
configuration initiale de votre système.
VeraCrypt
Quels sont
son nom d’expéditeur ou créer
une adresse qui ressemble à s’y
les risques liés
méprendre à l’adresse habituelle de
votre interlocuteur. En cas de doute,
aux emails ?
cliquez sur le nom de l’expéditeur, et
vérifiez que l’adresse email qui s’affiche
correspond bien à une adresse
Moyen de communication et d’envoi connue, ne transmettez aucune
de fichiers utilisé par la majorité information sensible, et vérifiez par un
des entreprises et des particuliers, autre moyen de communication (par
les emails sont devenus le principal exemple le téléphone ou un autre outil
vecteur de transmission d’information. de messagerie) que vous échangez
Plus encore, les adresses emails sont avec le bon interlocuteur.
Toutes et tous concerné.es utilisées comme identifiant pour
la création de nombreux comptes Enfin, dans le cas d’espionnage ou de
António Capalandanda est défenseur des droits humains (réseaux sociaux, services en ligne, cybersurveillance d’un État, vos emails
et journaliste sur le site d’information Voz da América comptes en banque) et sont donc peuvent être interceptés à toutes les
(Voice of America) en Angola. Il enquête régulièrement souvent cibles d’attaques. Ce qu’il étapes de la chaîne de transmission :
sur des cas de violence politique, de violations des droits faut savoir, c’est que vos emails sont entre votre service d’email et le
humains et des affaires de corruption. par défaut « en clair ». Cela veut serveur, sur le serveur lui-même, entre
Début janvier 2013, António Capalandanda aurait été dire que votre email est comme une les serveurs, puis entre le serveur et le
suivi à plusieurs reprises par des hommes non identifiés carte postale envoyée par la Poste : service d’email de votre destinataire.
dans un véhicule, qui se seraient garés à proximité de sa si quelqu’un l’intercepte, il pourra Il devient alors très difficile de
résidence et l’auraient suivi dès qu’il serait parti travailler. lire le texte que vous avez écrit. Cela sécuriser vos emails, et impossible
Au cours de la même période que ces incidents, le cour- rend la surveillance très simple : vous de savoir s’ils peuvent être lus par un
rier électronique d’António Capalandanda a été piraté et n’avez pas besoin d’être directement tiers.
consulté par des inconnus selon son fournisseur de ser- ciblé, si votre interlocuteur l’est,
vice de courrier électronique. vos informations sont également
Toutes ses informations personnelles contenues dans sa compromises.
boite email ont été compromises. Lui et sa famille ont été
l’objet de multiples actes de harcèlement et de menaces La première cause de piratage d’un
Comment
de mort. compte email est l’erreur humaine :
c’est le plus souvent vous-même qui
s’en protéger ?
donnez accès à votre messagerie en
révélant votre mot de passe à un pirate
qui se fait passer pour un interlocuteur
de confiance (c’est la méthode du Avec autant de points de vulnérabilité,
phishing évoquée dans le chapitre 3). empêcher vos emails d’être interceptés
Assurez vous d’utiliser un mot de est quasiment impossible : vous
passe sécurisé et d’éviter les pièges du pouvez sécuriser la connexion entre
hameçonnage en vérifiant l’identité de votre machine et le serveur email, mais
l’interlocuteur. si votre interlocuteur ne fait pas de
même, vos communications peuvent
De la même façon, l’attaque peut être interceptées et lues.
consister à vous tromper sur l’identité
de votre interlocuteur réel : une S’il est virtuellement impossible
d’empêcher des messages d’être le courriel sera soit illisible (car un email envoyé à une personne l’une des méthodes de chiffrement
interceptés, l’une des solutions chiffré sans que l’interlocuteur ne est complexe, sécuriser un email les plus utilisées. Mais ces solutions
est d’empêcher qu’ils soient lus en puisse le décoder), soit envoyé « en envoyé à 20 personnes est utopique. nécessitent des connaissances
chiffrant le contenu des emails. clair » (non-chiffré). Vous pouvez C’est pourquoi l’on considère que la techniques et sont peu accessibles
Comme pour le chiffrement d’un prendre toutes les précautions de communication par email n’est pas aux utilisateurs non-confirmés.
fichier, il s’agit de rendre le texte votre côté, si votre interlocuteur ne une communication sécurisée et
totalement illisible par toutes les prend pas également du sien, vos recommandée, malgré sa popularité. Pour les néophytes, il existe des
autres personnes que celles qui communications sont vulnérables. Autant que possible, privilégiez les services d’email qui intègrent
possèdent la clef nécessaire pour Protéger vos emails exige une outils de messagerie instantanée directement le chiffrement dans leur
les déchiffrer. Toutefois, si l’un des sécurité parfaite à toutes les étapes sécurisés et dont les communications programme : si votre interlocuteur
interlocuteurs n’utilise pas une de transmission, de la part de tous sont chiffrées par défaut pour tous les utilise le même service, le contenu de
solution qui chiffre les emails, alors les interlocuteurs. Ainsi, si sécuriser utilisateurs. l’email sera chiffré (et sera donc illisible
pour un tiers), sans manipulation de
Il existe malgré tout plusieurs logiciels votre part.
qui permettent de chiffrer ses emails.
Le plus connu est GPG, un logiciel Parmi les solutions existantes, deux
open source basé sur l’OpenPGP, services open source sont intégrés
dans la clé USB de ce kit :
— Protonmail
— Tutanota
Qu’est-ce que
numéro 1 dans le monde : 1,5 milliard
de personnes l’utilisent. En mai 2019,
ça veut dire ?
une faille de sécurité a été détectée
sur l’application. Elle pouvait permettre
d’installer, à l’insu de l’utilisateur, un
Les téléphones mobiles font partie logiciel espion sur son téléphone, si
intégrante de nos conversations l’utilisateur ne décrochait pas lorsqu’il
quotidiennes : appels, SMS/MMS, recevait l’appel « infecté ». Selon
messageries instantanées... le Financial Times, cette faille a été
Toutes et tous concerné.es Le nombre de fonctions incluses dans exploitée pour installer les logiciels
les téléphones mobiles a nettement espions Pegasus de l’entreprise
L’ONG de droits humains Amnesty International affirme augmenté au cours des dernières israélienne NSO Group qui fournit
qu’un de ses employés, travaillant sur l’Arabie Saoudite, années. Les « smartphones » sont ses logiciels aux forces de sécurité
a été pris pour cible par le logiciel Pegasus du groupe devenus des mini-ordinateurs de nombreux pays dans le monde,
israélien NSO alors qu’il mettait en place une campagne portables qui sont en permanence régimes démocratiques ou non.
pour la libération des femmes défenseures des droits hu- connectés à Internet et munis de Ce programme permet notamment de
mains injustement incarcérées dans le pays. Début juin fonctions de localisation avancées. collecter la géolocalisation de sa cible,
2018, un membre du personnel d’Amnesty International Dès lors que votre téléphone est lire ses messages et emails, déclencher
a reçu un message WhatsApp suspect rédigé en arabe. connecté à Internet, tout ce que vous à son insu le micro et la caméra de son
Ce texte comportait des informations détaillées au sujet y faites est vulnérable de la même téléphone.
d’une prétendue manifestation devant l’ambassade d’Ara- manière qu’un ordinateur.
bie Saoudite à Washington, et un lien vers un site web. Les WhatsApp, comme toutes les
investigations menées par les informaticiens d’Amnesty applications, n’est donc pas infaillible,
International ont montré que le fait de cliquer sur ce lien et sa popularité en a fait la cible
aurait, d’après leurs connaissances préalables, installé un des hackers. Il existe toutefois
« Pegasus », qui aurait infecté le smartphone de l’utilisa- d’autres applications spécialisées
Quels sont
teur, suivi les frappes au clavier, pris le contrôle de l’ap- qui permettent de sécuriser
pareil photo et du micro, et consulté la liste des contacts. vos conversations en utilisant
les risques ?
Un autre défenseur des droits humains saoudien basé à le chiffrement de bout-en-bout.
Londres, Yahya Assiri, le directeur de l’ONG ALQST, a lui
aussi reçu ce même message. Il était en contact fréquent
avec Jamal Khashoggi, le journaliste saoudien du Was- Vos communications, qu’elles soient
hington Post qui a été tué à l’ambassade d’Arabie Saoudite vocales ou écrites, ne sont presque
à Istanbul en octobre 2018. jamais sécurisées par défaut, et
Comment
peuvent donc être facilement
interceptées, lues, enregistrées,
protéger ses
modifiées. Les renseignements qui
passent par vos applications de
conversations
messagerie instantanée peuvent
compromettre votre sécurité mais
instantanées ?
également celle des personnes listées
dans votre carnet d’adresses ou
dans les différentes applications de
messagerie que vous utilisez, et dans Utilisez Signal pour chiffrer vos
les fichiers échangés. appels et vos messages textuels
Signal est une application gratuite, américain, ancien employé de la CIA et
sans publicité et open source qui la NSA l’utilise quotidiennement.
permet de chiffrer par défaut les
communications qui transitent par
l’application. Elle permet de chiffrer Utilisez Olvid, l’application qui
les communications écrites mais aussi protège vos donnée
vocales. Le service propose également
un mode d’auto-destruction des Ce nouveau service de messagerie
messages, c’est-à-dire la possibilité de instantanée français attaque le
rendre éphémères vos conversations problème à la racine : pour protéger
écrites (en effaçant les données après vos données, Olvid les chiffre
un certain temps). entièrement (métadonnées incluses),
Le « chiffrement de bout-en-bout » même sur ses propres serveurs. Cela
est la façon de rendre un message signifie que toutes les informations
secret. Personne d’autre que les deux stockées par le service de messagerie
correspondants n’est en mesure de sont chiffrées, et que lui-même ne peut
décrypter la conversation, et donc pas y accéder. En cas d’attaque ou de faille
même votre fournisseur d’accès mobile de leurs serveurs, les données et les
ou un « espion ». La seule faiblesse de conversations sont donc impossibles à
Signal est qu’il repose par défaut sur un lire. Olvid est ainsi la seule messagerie
« annuaire des utilisateurs », distribuant garantissant la sécurité totale des
la clé publique d’un utilisateur A à un données des utilisateurs. L’intégralité
utilisateur B. Opéré par le développeur des messageries actuelles, Signal
du logiciel, cet annuaire sert de tiers inclus, font reposer la sécurité
de confiance entre les utilisateurs, mais sur la confiance dans les serveurs
permet par là même au serveur — ou utilisés (annuaires centralisés), alors
à un tiers qui en prendrait le contrôle que ceux-ci sont structurellement
— de déchiffrer les communications vulnérables. Olvid s’affranchit de
entre A et B. Pour protéger totalement cette faille de sécurité. Avant tout
leur correspondance, les deux dédié aux entreprises, Olvid se base
utilisateurs ont la possibilité d’échanger sur un modèle payant, afin de n’être
directement entre eux une clé de dépendant d’aucune entité extérieure.
chiffrement. Cette chaîne de caractères Ce modèle de sécurité, pour l’instant
(ou safety numbers dans la terminologie sans faille connue, constitue sans
de Signal) doit être échangée doute l’avenir des communications
secrètement via un autre moyen sécurisées.
de communication. La procédure
est optionnelle mais fortement
recommandée pour tous les utilisateurs
qui se servent de Signal pour partager
des informations sensibles.
Qu’est-ce que
données recueillies par les opérateurs
téléphoniques en fonction de règles
ça veut dire ?
juridiques qui diffèrent selon les pays.
Un service de police ou une agence
de renseignement peut effectuer
Nos appareils mobiles contiennent une demande officielle auprès de
des données sur l’ensemble de notre l’opérateur pour récupérer les données
vie et de nos activités quotidiennes. ou utiliser un accès dérobé (appelé
De nombreux comptes sont reliés à backdoor) installée au niveau des
des applications sur notre téléphone, serveurs. Parmi ces données se trouve
Toutes et tous concerné.es qu’il s’agisse de Gmail, d’Amazon, de la géolocalisation : lorsqu’un appareil
Paypal ou d’AirBnb. Par ailleurs, tous les mobile est connecté au réseau, il est
En 2019, des journalistes ont révélé que les douaniers smartphones, tablettes et ordinateurs automatiquement localisé grâce aux
chinois de la frontière entre le Kirghizistan et la région portables sont équipés de caméras et antennes relais qui permettent de
du Xinjiang installent des logiciels espions sur les smart- de micros qui peuvent être facilement trianguler l’origine du signal, même
phones Android des touristes qui entrent en Chine. La transformés en outils de surveillance. si l’option « géolocalisation » est
procédure de vérification des terminaux est différente s’il Il ne s’agit pas d’un fantasme : les désactivée dans les paramètres de
s’agit d’un mobile Android ou d’un iPhone. Dans le cas du régies publicitaires se servent déjà des l’appareil. Les données échangées
système d’exploitation Android, une application de type micros des mobiles pour proposer des avec les serveurs de l’opérateur -
logiciel espion est installée. Pour les iPhones, le smart- publicités ciblées. À mesure que les localisation, SMS et data - sont toutes
phone est simplement branché à un lecteur. L’application usages mobiles évoluent, de plus en potentiellement accessibles à des
utilisée pour scanner le téléphone est en principe désins- plus d’attaques concernent les appareils tiers via les serveurs de l’opérateur.
tallée, mais il est apparu que cette ultime procédure était mobiles. L’attaque la plus courante, Utiliser les applications citées dans les
parfois oubliée par les douaniers. Le fait qu’elle soit reti- abordée dans les précédents chapitres, chapitres précédents peut permettre
rée après la procédure suggère qu’elle n’a pas vocation à est celle du phishing. L’usage d’un d’échanger des messages de façon
établir un pistage en temps réel par GPS de chaque indi- appareil mobile implique donc de sécurisée en faisant en sorte que
vidu — même si des informations techniques du mobile redoubler de vigilance et de garder l’opérateur n’accède qu’aux données
(adresse MAC, n°IMEI, numéro de téléphone etc.) sont à l’esprit qu’il s’agit toujours d’un chiffrées, mais cela ne protège en aucun
collectées au passage. Selon l’enquête, l’application est dispositif de surveillance potentiel, et cas du piratage de l’appareil lui-même.
surtout chargée de rechercher des contenus de propa- qu’aucune méthode réellement fiable
gande terroriste, mais aussi des passages du Coran, des n’existe pour se protéger du piratage
documents relatifs au Dalaï-Lama et même un groupe de de son appareil. Le piratage de votre appareil mobile
métal japonais appelé Unholy Grave (à cause d’une chan- grâce à un logiciel espion
son appelée Taïwan : Another China), soit tout ce qui pour-
rait compromettre l’autorité du pouvoir central. Les appareils mobiles, comme
n’importe quel ordinateur, fonctionnent
grâce à un système d’exploitation
Quels sont
qui est susceptible d’être infecté par
un logiciel malveillant. Ces petits
les risques ?
programmes appelés « malware »
peuvent être utilisés pour voler
des données contenues dans votre
La surveillance des données appareil. Les « spywares », ou logiciels
recueillies par les opérateurs espions, sont des types de « malware »
spécifiques, conçus pour espionner
Les agences de renseignements vos activités. Ces applications
peuvent être trouvées sur Internet et et enregistrer les conversations Le piratage de votre appareil mobile — Mettez à jour le système
ne nécessitent pas de connaissances téléphoniques, récupérer en temps grâce à un IMSI-catcher d’exploitation de vos appareils et
techniques particulières : une fois le réel les photos prises avec la caméra, vos différentes applications. Parce
spyware installé, les données sont accéder aux messages, quelle que soit Il est également possible de localiser que de nombreux hackers profitent
transmises à une plateforme web sur l’application utilisée. Il peut également un appareil mobile et d’accéder à ses des vulnérabilités des précédentes
laquelle l’espion peut se connecter permettre d’activer secrètement le données directement depuis l’endroit versions, les mises à jour permettent
anonymement. micro et la caméra, de restreindre les où il se trouve grâce à un « IMSI- de réduire les failles de sécurité.
appels entrants de numéros prédéfinis catcher », un appareil de surveillance
Un spyware donne potentiellement ou d’enregistrer l’écran et les mots utilisé pour intercepter localement le — Ne synchronisez pas vos appareils
accès à l’ensemble des données tapés sur le clavier, rendant même les trafic des communications mobiles mobiles avec des ordinateurs inconnus
contenues sur l’appareil et peut aller applications sécurisées inefficaces en simulant une fausse antenne-relais ou non protégés
jusqu’à développer des fonctionnalités pour protéger vos données. et en s’intercalant entre le réseau
de surveillance avancée : écouter de l’opérateur et l’appareil ciblé. — N’installez que des applications
L’acronyme « IMSI » fait référence connues et « validées », et seulement à
à l’International Mobile Subscriber partir des stores officiels (Google Play
Identity, un numéro unique qui Store, Apple Store, …).
identifie la carte SIM utilisée et son
propriétaire et permet de se connecter — Évitez autant que possible les
à l’appareil mobile. L’IMSI catcher a réseaux wifi publics et non sécurisés
besoin d’être placé à proximité de la qui peuvent permettre d’intercepter
cible pour fonctionner et peut être vos données et même d’installer un
utilisé pour surveiller l’ensemble malware. Si vous devez vous connecter
des données, installer un logiciel à un wifi public, utilisez un VPN et ne
espion et même simuler l’origine de communiquez aucune information
messages ou d’appels, faisant croire confidentielle.
à votre téléphone que le numéro qui
vous appelle ou le message que vous — N’activez votre Bluetooth que
recevez est celui d’un destinataire que lorsque vous vous en servez : il offre
vous connaissez alors qu’il provient un point d’entrée non sécurisé à votre
en réalité d’un ordinateur situé à appareil
proximité.
— Ne laissez pas vos applications et
les services web que vous utilisez sur
votre mobile en mode « auto-login »
(le mode qui retient votre mot de passe
et se connecte automatiquement,
Comment
souvent une case à cocher) : une fois
votre appareil piraté, ce sont tous vos
se protéger ?
comptes qui ne seront plus sécurisés.
101 Data Protection Tips: How to Keep Your Passwords, Financial & Personal
Information Safe in 2019, en anglais sur digitalguardian.com