Peut-on vraiment brouiller sa piste sur Internet? L’avis d’un expert sur 7 solutions destinées à protéger nos données personnelles

Installer une extension antipistage, effacer les cookies, naviguer en mode privé... ces techniques pour protéger sa vie privée sont-elles réellement efficaces? Avec Arnaud Legout, chercheur à l’Inria, spécialiste de la protection de la vie privée sur Internet, on a passé en revue les diverses solutions proposées. Décryptage.

Virginie Rabisse Publié le 20/06/2021 à 10:00, mis à jour le 20/06/2021 à 10:00
Pas de recette miracle pour protéger ses données lorsque l'on navigue sur Internet, mais quelques bonnes pratiques à mettre en oeuvre. Photo DR

Arnaud Legout prévient d’emblée: "C’est complètement illusoire de croire qu’une liste de recettes nous permettrait de protéger notre vie privée lorsque l’on navigue sur Internet." Pire, l’expert de l’Institut national de recherche en sciences et technologies du numérique à Sophia-Antipolis, spécialiste de ces questions, est convaincu que ces recettes peuvent se révéler dangereuses: elles nous laisseraient croire qu’en les appliquant nous serions protégés alors que nous le sommes à peine. "Ça fait quinze ans que je travaille dans ce domaine et ça fait quinze ans que les recherches montrent que ces systèmes ne fonctionnent pas."

En fait, Arnaud Legout estime que protéger sa vie privée sur Internet, "c’est très difficile", voire carrément "hors de portée de n’importe quelle personne du grand public". En effet, explique-t-il, "ça demande des compétences techniques très sophistiquées". 

Le décor – pas vraiment rassurant – est planté.

Pour autant, à ceux qui se désintéresseraient de la question, estimant qu’ils n’ont rien à cacher, que les quelques publicités ciblées qui s’imposent à eux ne sont finalement pas si graves, le chercheur demande: "Et si demain, ça vous empêchait d’obtenir un prêt immobilier, d’être assuré ou de décrocher votre prochain emploi?" Car ce tracking peut avoir un impact majeur sur notre vie hors numérique, sans que nous ayons le moindre moyen de le savoir.

"Par exemple, illustre l’expert, si je vais sur Internet et que je recherche “chimiothérapie” et “cancer du pancréas”, c'est probablement que je suis concerné directement ou qu’un de mes proches l’est." Dans ce cas, et bien que ce ne soit pas éthique, une banque qui aurait cette information serait probablement peu encline à accorder un crédit sur 25 ans.

"Ce sont des traces qu’on laisse à notre insu. Elles peuvent être exploitées par de grandes sociétés, qui commencent à avoir des intérêts commerciaux importants dans des organismes d’assurance ou bancaires." Beaucoup plus inquiétant…

Arnaud Legout est chercheur à l’Institut national de recherche en sciences et technologies du numérique à Sophia-Antipolis. Photo DR.

Arnaud Legout évoque notamment Alphabet, la holding américaine qui détient Google, mais aussi des sociétés de biotechnologie, de génétique "et qui a acheté des sociétés d’assurance". "À partir de quand y aura-t-il une passerelle ?", s’interroge le spécialiste.

Lui est quasiment sûr qu’elle finira en tout cas par exister. Pour preuve, il note que "les techniques de profilage sont tellement élaborées qu’on peut se demander si elles sont utilisées uniquement pour faire de la publicité ciblée". Il pense par exemple au fingerprinting (lire plus bas), technique particulièrement sophistiquée qui remplace déjà à plus de 80% le tracking via les cookies, ces petits fichiers déposés sur le disque dur, lors de la consultation de certains sites et qui conservent des informations en vue d'une prochaine connexion.

L'hypothèse d’Arnaud Legout, c’est que c’est "probablement le cas aujourd’hui", du fait de la réglementation, mais que "les sociétés de tracking se préparent à d’autres usages".

 Le fingerprinting, quesako?

C’est l’empreinte de l’appareil avec lequel on navigue sur Internet. Une façon unique de l'identifier. "Sur votre ordinateur ou votre smartphone, vous avez toujours quelque chose qui est un petit peu différent de celui de votre voisin, explique Arnaud Legout de l’Inria. Ça peut être la résolution de l’écran, la mémoire de la machine, sa date d’achat, sa carte graphique, les plug-in que vous avez dans votre navigateur, la langue… plein de petites configurations qu’on change en permanence.

Tous ces éléments permettent de dire que, dans le monde qu’on connait, les machines qui ont ces caractéristiques, il n'y en a qu’une, c’est la vôtre. "Ça peut identifier de manière unique quasiment tout le monde. Ou au moins son appareil.

Des caractéristiques qui ne sont pas bloquables et auxquelles tous les serveurs peuvent accéder.

Vous pouvez faire le test. Certains outils comme Am I Unique permettent en effet de savoir si l’empreinte de votre navigateur est unique ou pas. Et donc si vous êtes identifiable.

Une source d’inquiétude. Qui atteint son paroxysme lorsque l’on parle de données génétiques partagées via des sociétés de profilage génératique. "Là, la meilleure façon de se protéger, c’est de ne pas donner ses données génétiques à une société privée."

Mais lui, spécialiste de la question, que fait-il pour protéger ses données?. "Je fais en sorte de n’avoir aucune activité qui pourrait être gênante pour moi sur Internet." Il proscrit certaines recherches, est particulièrement attentif à ce qu’il poste sur les réseaux... "Pour certaines choses qui concernent le travail, j’utilise une autre machine." Une parade pas forcément à la portée de tous...

Finalement, la meilleure des protections reste la vigilance: c’est la navigation en elle-même qu’il faut contrôler. "La définition de la vie privée, résume Arnaud Legout, c’est quelle information je veux bien que quelle personne connaisse. C’est le libre arbitre de qui a droit de savoir quoi. Donc on choisit sa navigation en fonction de ce qu’on veut bien accepter de divulguer."

Certes, il n’existe donc pas de remède miracle contre l'absorption de nos données sur Internet. Mais quelques stratégies peuvent se révéler utiles. L’expert de l’Inria revient sur le degré d’efficacité de certaines d’entre elles.

#1. Installer une extension antipistage

Elles s’appellent Ghostery, PrivacyBadger ou encore DoNotTrackMe. Ce sont des extensions antitracking, qu’il suffit d’installer sur son ordinateur. Probablement la méthode qui trouve le plus grâce aux yeux d’Arnaud Legout. "C’est loin de protéger contre tout, mais c’est une bonne pratique." Si les sociétés de tracking sont en train de changer leurs méthodes pour échapper à ce type d’extension, aujourd’hui, elles bloquent encore autour de 90% les techniques de pistage, assure l’expert.  Ainsi, non seulement, c’est pour le moment "raisonnable d’utiliser cette stratégie", mais en plus, elles ne présentent pas de risque.

Revers de la médaille: "Lorsque l 'on installe des plug-in et autres adblocks, on améliore la qualité du fingerprint. Je recommande de les utiliser, mais ce n’est pas complètement neutre."

#2. Effacer les cookies et/ou son historique

"Il y a dix ou quinze ans, je vous aurais dit que oui, c’est efficace d’effacer les cookies", commence Arnaud Legout. Désormais cependant, il est persuadé que cette méthode est peine perdue. "Aujourd’hui, les travaux de recherches très en pointe sur ces questions-là montrent que les techniques de tracking qui sont mises en œuvre vont bien au-delà des cookies.

On a même observé qu’ils sont capables de recréer des cookies à distance, même si vous les avez effacé, basé sur la signature unique de votre machine.

En cause, explique Arnaud Legout, un marché de la publicité et du tracking sur Internet qui se compte en milliards de dollars. "Si Google, Amazon, Facebook, Apple sont parmi les entreprises les plus riches du monde, c’est en grande partie grâce au profilage: ils savent vous proposer le produit dont vous avez besoin au moment où vous en avez besoin." Autrement dit, un marché colossal servi par des moyens considérables pour continuer à vous traquer quelles que soient les protections que vous mettez en œuvre. 

En tête, par des techniques telles que le fingerprinting: l’identification de chaque machine, à distance et que l’utilisateur ne peut pas contrôler. Cette technique remplace désormais quasiment intégralement les cookies.

#3. Naviguer en mode privé 

La navigation privée crée une sorte de deuxième profil sur l’appareil utilisé. Pour ça, il suffit d’ouvrir une fenêtre dédiée, via le menu puis les paramètres de son navigateur. Les cookies utilisés lors de cette navigation privée sont automatiquement effacés lorsque l’on quitte ce mode. "Si vous cherchez un canapé en navigation privée et que le tracking ne se fait que par les cookies et sans recours au fingerprinting, explique Arnaud Legout, lorsque vous quittez le mode privé, vous ne devriez pas avoir de publicité liée au canapé."

En revanche si vous faites une recherche sur Amazon, par exemple, et que vous vous y connectez avec votre compte, être en privé ou pas ne changera rien: Amazon gardera les traces de ce que vous avez fait sur votre compte. "La navigation privée est souvent mal comprise: les gens pensent qu'ils sont anonymes alors que ce n’est pas du tout le cas !

Sans compter qu’utiliser la navigation privée a les mêmes effets que la suppression des cookies…

Attention: le mode "navigation privée" ne correspond pas à une navigation anonyme. Photo V. R..

#4. Utiliser un VPN

Un VPN, c’est un réseau virtuel privé. En français, un service qui permet d'accéder au web de manière sécurisée et privée en acheminant la connexion via un serveur.

Ici, Arnaud Legout rappelle que "la base de la sécurité en générale, c’est “à qui on peut faire confianceet “qui essaye de nous attaquer”". 

Par exemple, illustre-t-il, pour garantir la sécurité de sa maison, on se demande à qui on peut faire confiance: à son voisin, à son gardien? "Là, le niveau de sécurité est au niveau de la personne à qui on accorde sa confiance." Dans le cas d'un VPN, celui-ci devient la personne à qui on choisit de faire confiance.

Un VPN, c’est une société opérée par vous ne savez pas qui, mais à qui vous déléguez le risque.

Or, souligne le chercheur, un VPN, c’est "généralement une société basée à l’étranger, souvent même pas soumise au RGPD". La question est donc de savoir ce qui vous fait le plus peur: "Est-ce que c’est Google ou bien la société VPN qui peut-être en Russie ou en Chine?" Arnaud Legout a tranché: "Moi, je préfère faire confiance à Google." Question de degré de confiance, pas de confiance pleine et entière.

#5. Bien choisir son moteur de recherche

Qwant ou DuckDuckGo sont des moteurs de recherche qui affichent leur respect pour la vie privée de leurs utilisateurs et la protection de leurs données. "Finalement passer de Google à DuckDuckGo, ça veut dire qu’on leur fait plus confiance qu’à Google", commente Arnaud Legout. Et sa confiance, on l’a compris, il ne l’accorde pas facilement.

Il rappelle aussi que garantir la sécurité, "ça coûte très cher". Question: des entreprises plus petites ont-elles les moyens de leur volonté affichée?

#6. Eviter l’outil de connexion Facebook ou Gmail

C'est ce qu’on appelle la délégation d’authentification: lorsque vous arrivez, par exemple, sur un site marchand pour lequel vous ne possédez pas de compte, il vous est proposé de vous connecter avec votre compte Facebook ou Google. "C’est quelque chose que je ne fais jamais", assène Arnaud Legout. Il faut comprendre, explique-t-il, que derrière "il y a des  protocoles cryptographiques très sûrs, mais la question qui demeure c’est “est-ce que les sociétés qui les ont implémentés n'ont fait que ça et l’ont bien fait?”. Or, Google a un long historique de gros problèmes de sécurité sur ses plateformes. Je n’aurais par ailleurs aucune confiance dans Facebook pour gérer ce type d’autorisation".

Mieux vaut donc créer un compte à chaque fois. Avec une règle de base en matière de sécurité: avoir un mot de passe différent par service et gérer ses mots de passe avec un logiciel dédié à cette tâche. Des services en ligne permettent de s’en souvenir. Et même si la sécurité n’est pas parfaite, c’est toujours mieux que de mettre le même mot de passe partout!

Une règles de sécurité particulièrement importante à respecter est d'utiliser des mots de passe différents pour chaque service auquel on a recours. Photo DR.

"Lorsque c’est Apple, Microsoft  ou même Facebook qui proposent une solution de mots de passe aléatoires, complète l’expert de l’Inria, on a la quasi garantie qu’ils n'utiliseront pas nos mots de passe à notre insu.

Reste cependant la question de la gestion dudit mot de passe. "Est-ce géré localement sur votre machine ou sur leur serveur à eux? Dans le second cas, il y a un risque d’attaque de leur serveur et de vol de mots de passe. C’est en général très bien protégé, mais le risque est loin d’être nul: c’est un tel business pour les hackers que c’est un gros sujet d’attaque. Dans tous les cas, ce sera un million de fois mieux que d'avoir toujours le même mot de passe."

Mon e-mail a-t-il été piraté?

Des outils existent pour savoir si vos données personnelles ont été compromises. C’est par exemple le cas de Have I Been Pwned. Un site qui vérifie si votre adresse mail figure dans l’une des bases de données piratées dont il a connaissance. 

Grâce à cette plateforme, vous pouvez prendre les dispositions nécessaires si jamais votre e-mail est recensé. Certes, vous ne pourrez pas faire disparaître l’e-mail de la fuite initiale, mais vous pourrez faire en sorte que cette fuite n’occasionne pas de plus gros dégâts dans votre quotidien numérique, en changeant par exemple de mot de passe ou en activant un système de double authentification, s’il est disponible.

Arnaud Legout, chercheur à l’Institut national de recherche en sciences et technologies du numérique, y voit tout de même quelques inconvénients. "La première question est de savoir si on peut faire confiance à ce site pour ne pas collecter les adresses e-mail ou numéros de téléphones", commence-t-il. La section dédiée aux loggings n’est d’ailleurs, dit-il, "pas très claire".

Un autre point peu satisfaisant, c’est qu’on peut vérifier n’importe quelle adresse email. Autrement dit, pour peu que des failles aient compromis ses comptes, "en entrant l'email d’une personne, je peux découvrir des services sur lesquels elle a ou avait un compte".

#7. Utiliser une messagerie sécurisée

"Si on veut vraiment garantir la sécurité de ses e-mails, tous les bon logiciels de mail proposent le chiffrement de bout en bout, note Arnaud Legout. C’est ce qu’on peut faire de plus sûr sur Internet puisque les techniques de chiffrement modernes sont totalement incassables." Enfin une bonne nouvelle!

Pour ça, il suffit, explique le spécialiste, d’ajouter un plug-in, un add on - en somme, un petit logiciel supplémentaire que l’on peut télécharger - à sa boîte e-mail pour faire ce chiffrement. Un bémol: il faut avoir un minimum de compréhension de ce qu’est la cryptographie.

Un e-mail classique, il y a plus de chance que votre patron le lise par-dessus votre épaule, plutôt qu’il y ait accès à distance.

"Surtout, et c’est le problème le plus courant, tous ces logiciels ajoutent plein de caractères aux e-mails qu’on envoie, donc au niveau de l’expérience utilisateur, ce n'est pas génial et pour des gens complètement novices, ça peut vite se révéler décourageant."

Quant à savoir si des informations personnelles permettant d’envoyer de la publicité ciblée peuvent être recueillies depuis les boîtes e-mail, c’est en effet le cas. Par exemple, illustre l’expert, "Gmail a le droit, dans les conditions d’utilisation, de processer les e-mails, d’accéder aux données ainsi obtenues, de les partager, de les vendre". Y compris le contenu des courriels? "Les conditions d’utilisation sont si vagues que ce n’est pas impossible, mais il est très peu probable qu’ils revendent textuellement vos e-mails."

“Rhôooooooooo!”

Vous utilisez un AdBlock?! :)

Vous pouvez le désactiver juste pour ce site parce que la pub permet à la presse de vivre.

Et nous, on s'engage à réduire les formats publicitaires ressentis comme intrusifs.

Nice-Matin

Un cookie pour nous soutenir

Nous avons besoin de vos cookies pour vous offrir une expérience de lecture optimale et vous proposer des publicités personnalisées.

Accepter les cookies, c’est permettre grâce aux revenus complémentaires de soutenir le travail de nos 180 journalistes qui veillent au quotidien à vous offrir une information de qualité et diversifiée. Ainsi, vous pourrez accéder librement au site.

Vous pouvez choisir de refuser les cookies en vous connectant ou en vous abonnant.