Vie privée : protégez-vous des surveillants

Il fut un temps où la censure d'Internet n'existait que sous les dictatures, où la surveillance massive des citoyens n'était le fait que de tyrans. Ce n'est plus le cas, et chaque internaute doit donc apprendre à se protéger des surveillants du Net, qu'ils viennent d'entreprises, d'États ou de hackers. L'idée n'est pas de tomber dans la psychose, mais de vivre dans une « saine paranoïa », pour reprendre les mots (destinés alors aux entreprises) du directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi), Guillaume Poupard.

Une évolution inquiétante

Une position également défendue par Christophe Deloire, secrétaire général de Reporters sans frontières (RSF) : « La protection est une mesure de salubrité en cette période où le curseur est placé très loin contre les libertés », nous explique-t-il, évoquant le kit de survie numérique de RSF, « des moyens à la portée de tout le monde ». « Nous sommes forcés de constater que ce kit peut être utile aussi dans les démocraties », regrette-t-il, précisant que « ce que nous proposons pour les journalistes peut aussi être utilisé par le grand public ». Toutefois, rappelle-t-il, « l'évolution inquiétante » vers la censure et la surveillance dans les démocraties reste « sans commune mesure » avec ce que l'on trouve sous les dictatures : « En France, nous n'en sommes pas au stade du cachot », précise-t-il.

Avertissement : Le Point.fr prend le parti d'informer ses lecteurs sur les moyens de se protéger de la surveillance, en relayant des informations largement disponibles sur les sites spécialisés, y compris gouvernementaux, et en considérant que les apprentis terroristes savent déjà comment verrouiller leurs communications.

Trois principes fondamentaux

Pour protéger ses données, il faut garder trois choses en tête :

- Aucune protection n'est inviolable. Il ne s'agit donc pas d'empêcher le surveillant de vous surveiller, mais plutôt de lui faire perdre du temps, voire de rendre la surveillance si complexe qu'il y renonce, faute de moyens ou de motivation. Les données perdent de leur valeur si elles sont déchiffrées trop tard.

- Dans cette optique, il est important de faire des choix et de ne pas essayer de tout protéger. Il faut sélectionner les informations que l'on considère comme sensibles ou importantes, et renoncer à protéger le reste. « Ce serait aberrant de vouloir tout protéger », explique Christophe Deloire.

- Même dans les démocraties, il n'est pas rare que des enquêteurs ou des espions invoquent abusivement la législation antiterroriste pour se faire ouvrir les portes des centres de données. En 2013, des agents britanniques avaient par exemple retenu le mari du journaliste Glenn Greenwald (proche d'Edward Snowden) en utilisant la loi antiterroriste, et avaient fouillé l'ensemble de ses données numériques. Pour avoir l'esprit un peu plus tranquille face à ces abus, il faut choisir avec soin les logiciels et entreprises auxquels vous faites confiance : vous pourrez prendre un service américain si vous craignez une surveillance de la Chine, mais celui-ci ne vous sera d'aucune utilité contre l'agence de sécurité nationale américaine (NSA). Inversement, rien de mieux qu'un service chinois pour donner des crises d'urticaire à un espion occidental.

Étape 1 : choisissez à qui vous confiez votre vie

Le choix du fournisseur de messagerie, de « cloud » (stockage en ligne) et, de manière générale, des services sur Internet est stratégique. De plus en plus souvent, les internautes choisissent des services liés à leur système d'exploitation plutôt qu'à leur fournisseur d'accès à Internet. Windows favorise les outils de Microsoft (Outlook, OneDrive, etc.), Android les outils de Google (Gmail, Google Drive, etc.), alors que les Mac, les iPhone et les iPad ne fonctionnent bien qu'avec les services d'Apple (iCloud, etc.). L'accès à toutes vos données est potentiellement une mine d'or : comment réagir ?

Il existe trois philosophies sur ce point. La première consiste à ne pas placer tous ses œufs dans le même panier pour qu'un surveillant soit bien en peine face à une multitude d'interlocuteurs. Par exemple, un internaute qui utilise le moteur de recherche de Google avec son PC sous Windows décide de créer sa messagerie chez LaPoste.net et ouvre un compte Hubic (OVH) pour stocker ses fichiers. Un puzzle infernal à reconstituer...

La deuxième solution est le raisonnement inverse. Pour limiter les failles, il faut limiter les vulnérabilités et donc confier l'ensemble de ses données à une seule entreprise en laquelle vous auriez un peu plus confiance... pour peu que vous en trouviez une (de notre côté, nous n'avons pas trouvé).

Enfin, la troisième solution, réservée aux plus technophiles, est de mettre en place ses propres services, en se créant par exemple un serveur de messagerie lié à son propre nom de domaine.

Étape 2 : brouillez les pistes

Votre navigation laisse des traces, il suffit d'utiliser l'extension Lightbeam de Firefox pour prendre conscience du désastre. Le site que vous visitez et ses partenaires en apprennent beaucoup sur vous, mais en plus votre opérateur télécom, pour l'accès à Internet fixe ou mobile, sait exactement ce que vous faites, tout comme - de plus en plus souvent - le fabricant de vos appareils et l'éditeur de vos logiciels propriétaires. Plusieurs solutions peuvent être envisagées pour brouiller les pistes et ne pas laisser trop de traces.

- Effacez régulièrement votre cache de navigation, vos cookies et votre historique. Certains navigateurs, comme Firefox, permettent de tout effacer automatiquement à la fermeture du logiciel, ou d'ouvrir des fenêtres de navigation privée. Certes, vous perdez un peu de confort de navigation, mais vous gagnez énormément en vie privée, car vous effacez les mouchards.

- Utilisez Tor, ce système d'anonymisation du surf, qui a déjà fait ses preuves face à la cybermuraille de Chine. Gratuit, ouvert, facile à utiliser, Tor s'installe en quelques clics. Comme toutes les solutions proposées ici, il n'est pas fiable à 100 %, mais compliquera assurément la vie des surveillants.

Étape 3 : chiffrez, chiffrez, chiffrez

- Le courriel, ou e-mail, est très difficile à protéger. Voire impossible. Mais pour donner du fil à retordre aux surveillants, vous pouvez le chiffrer. Il apparaîtra alors comme une série de caractères dénuée de sens, jusqu'à ce que son destinataire le déchiffre. Le système ouvert GnuPG est la référence, et peut s'installer en quelques clics. Toutefois, il est plus compliqué à utiliser avec certaines messageries, dont Gmail qui avait fait supprimer l'extension permettant son utilisation aisée (eh oui, si Gmail ne peut plus analyser vos mails, il ne peut plus cibler sa publicité).

- L'utilisation d'un réseau privé virtuel (ou VPN) peut sauver vos données, en particulier si vous utilisez un accès Wifi partagé, dans un hôtel ou un restaurant par exemple. Au lieu d'accéder directement à Internet, votre appareil chiffre toutes vos communications, qui sont alors retransmises par un serveur distant sur Internet et réexpédiées vers vous de façon protégée. Le VPN joue en quelque sorte le rôle d'intermédiaire de confiance. C'est instantané et très efficace contre toute surveillance locale. Accessoirement, cela permet aussi de contourner la censure du Web, en accédant aux sites depuis des serveurs non bloqués. Toutefois, il y a un inconvénient de taille : l'exploitant du VPN a accès à tout votre trafic, et peut donc lui-même ouvrir un œil indiscret...

- Dans votre système d'exploitation, activez le chiffrement. La plupart le proposent dans les paramètres (sauf Windows qui persiste à réserver sa fonctionnalité BitLocker aux éditions professionnelles, ce qui est absurde dans le monde d'aujourd'hui).

Étape 4 : les mesures radicales (optionnel)

Si vous parlez avec des experts, ils vous diront tous la même chose : « Vous voulez vraiment vous protéger ? Adoptez des mesures radicales ! » Il faut notamment oublier les produits grand public (iPhone, Windows, etc.) et préférer des appareils et des logiciels plus protecteurs... et confidentiels. Edward Snowden utilisait par exemple Tails, une distribution de Linux dont le but est de ne laisser aucune trace.

Certains en viennent aussi à bannir le smartphone de leur vie, tant cet appareil nomade est le Saint Graal du surveillant. D'autres neutralisent la puce de paiement sans contact (NFC) de leur carte bancaire, officiellement lisible à trois centimètres, et déchiffrable en réalité à plus de quinze mètres. Tout comme les puces des passes de transport en commun. Il faut alors entamer un véritable travail de fourmi, que nous ne détaillerons pas ici.

Étape 5 : n'oubliez pas l'hygiène de base

Tout cela ne sert à rien si vous n'avez pas des appareils sains. Ordinateur, tablette et surtout smartphone doivent être bichonnés, car outre les virus bien connus du grand public, ils sont souvent infestés de codes malveillants très discrets, qui affichent par exemple des publicités (adware), altèrent vos résultats de recherche ou exploitent les informations que vous tapez (spyware). Les vulnérabilités supplémentaires qu'ils créent peuvent faciliter le travail de ceux qui voudraient vous surveiller.

- Utilisez des mots de passe complexes, par exemple des phrases avec signes de ponctuation et majuscules.

- Installez sur vos appareils (PC, Mac, tablette, smartphone, etc.) un antivirus digne de ce nom, doté d'une suite d'outils complémentaires tout aussi importants, dont un pare-feu. En Europe, deux d'entre eux sont excellents : l'allemand G Data, qui combine deux moteurs d'analyse, et le finlandais F-Secure. Il existe aussi le tchèque Avast (gratuit), le roumain BitDefender, le russe Kaspersky ou encore l'américain Symantec (Norton).

- Utilisez régulièrement des antispywares et antiadware, contre les codes malveillants sournois et discrets. MalwareBytes Antimalware est excellent, tout comme Spybot. Les deux sont gratuits et peuvent se compléter.

- Utilisez un navigateur moderne doté de modules complémentaires qui vous protègent. Le navigateur libre Firefox ou le norvégien Opera peuvent par exemple exécuter l'indispensable extension HTTPS-Everywhere, qui chiffre vos données, sur les sites qui l'acceptent sans le pratiquer par défaut. HTTPS-Everywhere est aussi disponible pour Chrome, mais l'utilisation du navigateur de Google ne saurait être recommandée lorsqu'on essaie de s'affranchir de la surveillance...

Merci aux organisations de défense des libertés qui ont inspiré cet article :

- Chrome

-  Le guide d'auto-défense contre la surveillance, de l'Electronic Frontier Foundation (EFF)

- La Quadrature du Net, avec notamment son guide Contrôle tes données et sa vidéo Revendiquons notre vie privée .