La surveillance est omniprésente et profondément ancrée dans notre société. Si le respect de la vie privée est un droit fondamental, nous vivons à l'ère de la sécurité opérationnelle (OPSEC) et d'une lassitude face aux enjeux de confidentialité. Les technologies que nous utilisons au quotidien collectent toujours plus d'informations, ce qui plonge de nombreuses personnes dans l'impuissance face à la protection de leurs données. Entre les procédures de désinscription complexes et l'intégration de l'intelligence artificielle (IA) capable d'enregistrer les frappes au clavier, la protection de ses informations personnelles peut s'avérer un véritable casse-tête.
Pour protéger nos données, nous sommes nombreux à utiliser des serveurs proxy, des réseaux privés virtuels (VPN) ou à renforcer la sécurité de nos appareils. Malheureusement, même ces précautions peuvent s'avérer insuffisantes. Un serveur proxy n'est pas forcément plus efficace qu'un VPN si l'on ignore qui en est le propriétaire. Un VPN peut présenter une faille de sécurité compromettant notre protection ; il est donc essentiel de rester vigilant et, si nécessaire, d'adapter nos outils au fil du temps. Le renforcement de la sécurité de nos propres appareils ne protège qu'en partie. Même en refusant la collecte de nos données, la plupart des entreprises suppriment les données collectées plutôt que de modifier leurs stratégies de collecte.
Aucune de ces précautions n'est infaillible. Le contexte actuel renforce le sentiment de ne plus maîtriser ses propres informations. Pourtant, les défenseurs de la protection des données doivent poursuivre leurs efforts de sensibilisation et d'information, car nous pouvons reprendre le contrôle en prenant les mesures nécessaires.
1. Quels sont les moyens de rester anonyme en ligne ?
Il n'existe aucun outil infaillible pour garantir votre anonymat en ligne. Télécharger un navigateur respectueux de la vie privée peut être utile, mais lorsque vos nœuds d'entrée ou de sortie sont contrôlés par un tiers, la protection de votre vie privée se complexifie. Par exemple, beaucoup considèrent Tor comme le navigateur le plus anonyme, car il achemine le trafic internet via de multiples serveurs gérés par des bénévoles afin de masquer les adresses IP. Cependant, Tor peut être compromis au niveau d'un nœud de sortie.
Bien que le navigateur Tor soit connu pour sa capacité à anonymiser le trafic, il est préférable d'adopter une approche multicouche de la protection de la vie privée, qui consiste notamment à trouver différentes technologies adaptées à votre profil de risque, parmi lesquelles :
- Navigateurs ;Sachez comment ils collectent et stockent les données.
- Applications de messagerieDécidez si vous acceptez que le fournisseur analyse vos courriels à des fins d'intelligence artificielle (IA).
- Système exploitationComprendre les capacités des logiciels malveillants, des rançongiciels et du chiffrement
- Domain Name Server (DNS)Découvrez leurs capacités à bloquer ou à autoriser les sites web et les services.
2. Quelles sont les mesures à prendre pour protéger mon réseau Wi-Fi contre la découverte publique ?
Chaque réseau Wi-Fi possède un identifiant de service (SSID), un nom unique qui lui est attribué. Même si vous le modifiez (par exemple, en remplaçant les nombres aléatoires par un nom personnalisé comme « Mon Trône de Fer »), une application comme WiGLE peut compromettre votre vie privée. Par exemple, WiGLE est une application qui utilise les observations des utilisateurs pour afficher les différents réseaux sans fil disponibles dans une zone géographique donnée.
Des outils comme WiGLE associent uniquement le nom d'un réseau Wi-Fi à une localisation géographique. Cependant, si vous utilisez le même SSID à plusieurs endroits, un SSID unique augmente le risque d'être suivi. Un SSID générique comme « home » est plus anonyme qu'un SSID comme « My Iron Throne », car moins original. Avec toutes les personnes utilisant « home » comme SSID, ce nom complique votre identification, car une application comme WiGLE trouvera de nombreux autres réseaux portant ce nom.
Vous utilisez peut-être un SSID unique pour une raison précise, mais vous devriez pouvoir l'expliquer. Si votre raison est « un SSID unique est plus sûr », privilégiez un mot de passe robuste. Si vous souhaitez limiter les risques d'être suivi lors de vos déplacements, un SSID générique est probablement une meilleure option.
3. Comment puis-je réduire les risques liés aux métadonnées stockées dans les photos que je prends ?
La plupart des appareils photo, qu'il s'agisse de smartphones ou d'appareils photo autonomes, enregistrent des métadonnées dans les fichiers photo, notamment la longitude et la latitude du lieu de prise de vue. Si vous prenez des photos et les publiez sur les réseaux sociaux sans supprimer ces informations, il est possible de vous géolocaliser précisément. Or, ces données peuvent être importantes pour protéger votre sécurité et votre vie privée.
La bonne nouvelle, c'est qu'il existe des applications qui suppriment les métadonnées des photos. Parmi les plus performantes que j'ai trouvées pour la protection des métadonnées, il y a Session Messenger, une solution décentralisée pour l'envoi de messages. Bien que Session soit très efficace pour supprimer les métadonnées et empêcher qu'on puisse vous localiser, il ne faut pas oublier que les métadonnées font partie intégrante de vos données. En cas de fuite de métadonnées, quelqu'un pourrait vous retrouver en les traçant ou en établissant un profil à votre encontre.
4. Dois-je utiliser une solution propriétaire ou une solution DIY pour l'OPSEC ?
Le choix entre une solution propriétaire comme Apple ou Windows et une approche DIY repose sur deux éléments :
- Votre profil de menace
- Vos capacités techniques
Par exemple, si vous utilisez des appareils Apple et installez l'application de messagerie Proton, vous utilisez des solutions propriétaires. Celles-ci sont faciles à configurer, mais peuvent avoir des conséquences négatives en matière de sécurité opérationnelle. Si une agence gouvernementale demande vos données, l'entreprise pourrait – et devrait légalement – les lui fournir. Proton utilise un chiffrement de bout en bout, ce qui signifie qu'elle n'a jamais accès à vos informations en clair. Bien que la configuration soit rapide, le risque de voir vos informations non chiffrées stockées sur iCloud ou d'autres espaces de stockage appartenant à Apple persiste.
Si vous optez pour une solution DIY (Do It Yourself), vous gardez le contrôle de vos données puisque vous configurez et gérez vous-même la technologie. Cependant, vous devez alors gérer votre propre serveur de messagerie, ce qui représente un véritable casse-tête. C'est extrêmement complexe car il faut gérer la réputation, l'envoi des e-mails et s'assurer de la sauvegarde de toutes les données. Ces difficultés font souvent que les avantages en matière de confidentialité ne justifient pas le temps et les efforts investis.
5. Quelles sont les différences entre les messageries professionnelles et personnelles, comme Gmail et Outlook ?
Lorsque nous parlons d'applications de messagerie professionnelles et personnelles, nous devons vraiment examiner deux types de protections différents :
- Protéger vos informations contre votre fournisseur de messagerie, comme Gmail qui les utilise pour des intégrations d'IA.
- Protéger vos informations contre l'entreprise propriétaire d'un compte de messagerie professionnelle
Se protéger du fournisseur de messagerie
Pour protéger vos informations contre un fournisseur de messagerie, il faut commencer par votre nom d'utilisateur. En effet, un nom d'utilisateur permet à une personne mal intentionnée de vous associer à plusieurs comptes sur différents sites web. Par exemple, des outils comme Linkook Ces outils permettent de retrouver un nom d'utilisateur et toutes ses variantes afin de suivre tous vos comptes en ligne. Grâce à eux, une personne qui associe votre nom d'utilisateur à différents comptes pourrait remonter jusqu'à vos informations personnelles, comme un compte Bluesky apparemment anonyme lié à un compte LinkedIn contenant votre nom et votre localisation approximative.
Ensuite, une personne mal intentionnée pourrait analyser vos mots de passe pour découvrir votre identité. Dans ce cas, si vous utilisez le même mot de passe partout, ce que nous vous déconseillons, elle pourra le relier à votre nom d'utilisateur et, finalement, à votre identité.
Vous pouvez renforcer les bonnes pratiques en matière de mots de passe en utilisant un gestionnaire de mots de passe comme Bitwarden, KeePass ou 1Password. Si vous évaluez différents gestionnaires de mots de passe pour déterminer celui qui correspond le mieux à votre profil de risque, vous devriez vous poser les questions suivantes :
- Utilisent-ils le chiffrement ?
- Dans quel système sont-ils intégrés ?
Bien qu'un mot de passe complexe constitue une première étape, l'authentification multifacteurs (AMF) est préférable. Avec l'AMF, l'application vous envoie une question de sécurité pour vérifier votre identité. Voici quelques options pour l'AMF :
- Message texte (SMS)
- Mot de passe à usage unique (OTP), envoyé par e-mail ou par SMS
- Une application d'authentification, comme Google Authenticator ou Microsoft Authenticator, qui fournit un numéro temporaire à usage unique pour vous authentifier.
Bien que les débats soient nombreux quant aux meilleures options d'authentification multifacteur (MFA), le code OTP peut s'avérer plus sûr si vous êtes certain que l'adresse e-mail utilisée n'a pas été compromise. Recevoir un code OTP par SMS est possible, mais moins sécurisé, car il est plus facile de se faire passer pour le destinataire et de le tromper.
Académie de Flare et OPSEC
Vous souhaitez en savoir plus sur l'OPSEC ? Nous avons abordé ce sujet lors de notre formation Flare Academy : « Protection approfondie de la vie privée à l'ère du panoptique : les fondamentaux de l'OPSEC ». Rejoignez-nous ! Communauté Discord de Flare Academy pour accéder à l'enregistrement et aux diapositives de la formation.
La communauté Discord est une plateforme éducative conçue pour démocratiser les connaissances en cybersécurité grâce à des modèles de formation en ligne gratuits animés par des experts du domaine.
Vous pouvez également consulter notre Inscrivez-vous ici aux prochaines formations de la Flare Academy.
