Blog GlobalSign

08 juin 2018

Vie privée : neuf mythes trompeurs pour votre protection

Au vu de la quantité de données que nous partageons chaque jour, il est compliqué de préserver la confidentialité de ses données en ligne. Sans oublier que les cybercriminels, les entreprises et les gouvernements font tout pour ôter aux internautes le peu de vie privée qu’il leur reste.

En 2018, la question est plus préoccupante que jamais. Depuis les allégations d’ingérence électorale et de surveillance jusqu’aux dernières accusations contre Facebook et Cambridge Analytica pour violations et utilisation non autorisée de données, de nouvelles infractions au droit à la vie privée semblent éclore chaque jour.

En matière de vie privée et de sécurité numérique, les conseils abondent, mais ils ne sont pas toujours bons. Nous vous proposons ici une compilation des neuf grands  mythes sur la protection de la vie privée en ligne qu’il est nécessaire de démonter :

Mythe no 1 : Les pirates ne s’en prennent qu’aux personnalités et aux riches

Les cibles qui rapportent gros attirent certes les pirates, mais beaucoup préfèrent ratisser large et exploiter tout ce qui tombera dans leurs filets, y compris vous.

Pour comprendre ce qui peut faire de vous une cible digne d’intérêt, sachez que les pirates et les arnaqueurs ne visent pas toujours le compte bancaire le mieux garni. S’ils mettent, par exemple, la main sur les fichiers d’un cadre intermédiaire contenant des secrets commerciaux, ils peuvent faire chanter l’entreprise ou vendre les documents à une société concurrente. Ils peuvent aussi utiliser des bots pour infecter des milliers d’utilisateurs afin de lancer des attaques DDoS et demander une rançon en échange du déblocage de sites Web. Ils peuvent aussi manipuler des comptes utilisateur sur les réseaux sociaux pour vendre des centaines de faux «?j’aime?» à des responsables marketing désespérés ou inventer une kyrielle d’amis virtuels afin de rendre crédibles de faux profils.

Tout le monde est une cible potentielle — et quand les pirates cherchent à frapper un maximum d’utilisateurs, tout le monde est une cible réelle, vous y compris.

Mythe no 2 : Le mode Incognito/Navigation privée garantit votre anonymat

De nombreux navigateurs Internet connus proposent des modes de navigation privée, mais le niveau de confidentialité garanti est très léger. Ces navigateurs ont cependant le mérite d’être très clairs sur les capacités et les limites de leurs modes de navigation privée. Mais qui lit les instructions??

Dans les faits, ces modes empêchent votre navigateur de collecter les cookies utilisés par les sites pour suivre votre trafic. C’est un bon début, mais c’est insuffisant pour rester (le plus) anonyme (possible). En effet, rien n’empêche les sites Web de continuer à établir l’empreinte numérique de leurs internautes (par la technique du «?fingerprinting?»), d’ajouter des pixels de suivi dans leur cache et d’identifier les adresses IP des visiteurs.

Que penser des extensions de proxy pour votre navigateur?? Si elles vont dans le bon sens, elles ne sauraient suffire. Les extensions de proxy ne sont pas toutes chiffrées, et lorsque c’est le cas, elles se limitent exclusivement aux fonctions de navigation. Autrement dit, aucune autre communication initiée hors navigateur par votre terminal (notifications push de vos applications, par exemple) ne sera couverte. En fonction du proxy utilisé, une extension vous aidera cependant à masquer votre localisation et empêchera éventuellement que des cookies et d’autres outils de traçage n’arrivent jusqu’à votre navigateur.

Le meilleur navigateur pour rester anonyme est Tor. Ce navigateur gratuit fait passer le trafic à travers plusieurs couches de chiffrement afin de masquer votre trafic, votre localisation et votre identité. Tor est un outil très puissant pour protéger la confidentialité en ligne, mais il peut (parfois) ralentir (considérablement) votre navigation, et les sites Web pourront toujours recevoir les données que vous leur transmettez de votre plein gré.

Mythe no 3 : Si votre profil Facebook est privé, seuls vos amis ont accès à vos données

Facebook comprend de nombreux paramètres de confidentialité et de sécurité, qu’il importe de bien comprendre pour savoir ce que le réseau social peut faire, ou pas, de vos données. En voici quelques exemples :

Le premier point n’est qu’un début. Facebook comporte en effet de nombreux paramètres qui peuvent être configurés pour restreindre un profil, ou au contraire le rendre le plus ouvert possible. Tous doivent être étudiés pour bien comprendre leur fonctionnement. Vous serez sans doute surpris par le nombre de paramètres qui sont «?activés?» par défaut sur Facebook.

Le deuxième point a son importance, car il fait écho à la récente polémique Cambridge Analytica. Les gens ont été choqués par les déclarations du lanceur d’alerte Christopher Wylie qui a révélé que l’entreprise avait accédé aux données de millions d’utilisateurs sans leur consentement. Cambridge Analytica avait ensuite exploité ces données pour donner un coup de pouce à Donald Trump pendant la campagne électorale.

L’affaire souligne l’importance pour les utilisateurs de vérifier les autorisations accordées à leurs applications. Faites-vous confiance à toutes les applications ou entreprises que vous ajoutez?? Savez-vous comment ces applications et ces entreprises utilisent vos données, si elles les vendent à des tiers?? Avez-vous vraiment besoin que telle application accède à tout ce à quoi elle vous demande d’accéder?? Pour chacune de ces questions, il faut en général transiger entre l’aspect pratique ou fonctionnel d’un côté, et le respect de la vie privée de l’autre. Et puis il y a les cas comme l’affaire Cambridge Analytica où l’on s’aperçoit que ces règles ne sont pas nécessairement suivies.

Mythe no 4 : Quel que soit le VPN choisi, la sécurité et la confidentialité de votre trafic sont garanties

Tous les VPN ne se valent pas. Un VPN est indispensable pour profiter d’un maximum de confidentialité en ligne, mais certains reviendront en fait en arrière si vous n’y prenez garde.

Vous êtes tenté par les offres de services VPN gratuits?? Fuyez?! Lorsqu’une entreprise commerciale propose un service utile, vous n’êtes pas le client : vous êtes le produit. Il y a plusieurs façons d’exécuter un VPN gratuit, mais la plupart impliquent la monétisation des données des utilisateurs : vente de vos journaux de trafic ou injection de publicités sur les sites consultés… En définitive, la protection de votre vie privée est sérieusement mise à mal?!

Le VPN payant répond à vous, le client qui paye... sauf s’il fait partie du 14 Eyes. Dans le monde de la protection de la vie privée, les «?14 yeux?» désignent l’alliance entre les 14 pays qui échangent des données de surveillance et/ou partagent une législation commune en matière de données et de surveillance. Si un VPN est situé dans l’un de ces pays, il y a de fortes chances qu’il conserve une sorte de journal de l’activité de ses utilisateurs et/ou de leur trafic. Les autorités et les administrations peuvent alors exiger ces données quand bon leur semble, ou presque.

La meilleure solution est un VPN complet payant qui ne surveille pas ses utilisateurs. Pour contourner l’arsenal législatif en matière de surveillance, il suffit que le VPN soit enregistré dans un pays où ce type de lois n’est pas en vigueur. Ainsi, NordVPN, un VPN complet très apprécié, est enregistré au Panama où aucune loi sur la surveillance en ligne ne s’applique. En vertu de la politique «?zéro journal?» de NordVPN, personne ne peut exiger le journal d’activités de ses utilisateurs, et si cela devait arriver, NordVPN ne livrerait aucune information.

Mythe no 5 : Votre téléphone choisira toujours la connexion Internet la plus sécurisée

Faux. Votre téléphone choisira les connexions que vous aurez autorisées ou paramétrées. Vérifiez par conséquent vos paramètres.

Les réseaux Wifi publics sont un cauchemar pour la sécurité et la confidentialité de vos données, c’est bien connu. Si vous les utilisez régulièrement, pensez à sécuriser votre trafic à l’aide d’un VPN, ou changez vos habitudes. Si votre téléphone est configuré pour se connecter automatiquement aux bornes Wifi accessibles, désactivez immédiatement ce paramètre. Ces bornes Wifi publiques sont le repère idéal pour les hackers et arnaqueurs qui cherchent à mettre la main sur les données d’utilisateurs peu méfiants.

Le service «?Données?» de votre mobile vous offrira plus de sécurité. La 4G est souvent chiffrée et beaucoup plus difficile à intercepter. Même si les autorités ont trouvé dans plusieurs pays des antennes relais installées par des cybercriminels au milieu de nulle part pour intercepter des données sur le trafic sans fil, ce type d’opération est beaucoup plus onéreux et mobilise d’importants moyens. De plus, les opérateurs télécoms coopèrent souvent avec les gouvernements, lorsque ces derniers veulent accéder à des données utilisateurs. D’une manière ou d’une autre, vous avez probablement tout à gagner à utiliser une application VPN pour chiffrer vos données mobiles.

Mythe no 6 : Si votre appareil est déconnecté, alors vous êtes en sécurité

Pour protéger votre appareil, il suffirait de rester déconnecté... excellente solution, quoique peu pratique. La plupart des pirates et arnaqueurs œuvrent en ligne. Pas d’Internet, pas de pirates et pas d’arnaqueurs. Hum, pas tout à fait.

Les virus et les malwares se propagent très bien sur les supports de stockage physique de données. Le célèbre ver Stuxnet, utilisé pour paralyser les capacités d’enrichissement d’uranium de l’Iran, s’est propagé par le biais de clés USB infectées. D’autres virus et logiciels malveillants sont souvent capables de faire la même chose. Même si votre ordinateur est déconnecté d’Internet, vérifiez qu’il est doté d’un programme capable de vérifier et de mettre en quarantaine les fichiers introduits à l’aide de CD ou de clés USB.

Mythe no 7 : Si le trafic est chiffré,?vos données sont en sécurité et restent confidentielles

Le chiffrement de votre trafic est l’une des mesures clés à prendre pour protéger votre vie privée en ligne. Gardez cependant à l’esprit que chaque site Web qui stocke vos informations est potentiellement le maillon faible susceptible de dévoiler vos informations. Vous ne pouvez garantir la sécurité et la confidentialité de vos données qu’à hauteur de 99 %, et ce tant qu’elles sont entre vos mains.

Malveillance, incompétence voire un mélange des deux peuvent être à l’origine de ces risques et vulnérabilités indésirables. Dans le scandale d’Equifax en 2017, les données sensibles de millions d’Américains ont été livrées à des hackers. Les experts n’ont toujours pas déterminé qui était le plus en tort : les hackers ou bien les dirigeants et le laxisme avec lequel ces derniers avaient traité les données de leurs utilisateurs??

Dans d’autres situations, on ignore parfois la portée du partage de données par des services que l’on considère dignes de confiance. Google recueille ainsi une quantité inquiétante de données sur notre trafic pour nous envoyer des publicités ciblées. Comme évoqué plus haut, il est important de vérifier vos paramètres Facebook pour savoir exactement comment vos informations sont utilisées et qui peut les voir. Et même ainsi, l’actuelle controverse autour de Cambridge Analytica a démontré que l’on ne sait jamais vraiment comment nos données sont partagées. La meilleure façon pour qu’elles restent privées serait, en premier lieu, de ne jamais les partager avec le reste du monde.

Mythe no 8 : L’utilisation d’un VPN et d’un antivirus est quasiment un gage de confidentialité

Peu importe le nombre d’outils et de logiciels de sécurité de pointe utilisés pour vous protéger, il y aura toujours un point faible dans votre système : vous. L’ingénierie sociale, à l’origine d’innombrables escroqueries, est l’une des techniques de piratage les plus puissantes. Elle permet d’inciter le propriétaire du système à agir contre ses propres intérêts.

Devant la sophistication croissante de ces arnaques, même les administrateurs système peuvent trembler devant les hordes de princes nigérians impatients de transférer leur héritage. Les internautes les plus «?séniors?» ne sont pas autant immunisés que les plus jeunes face aux escroqueries basiques. D’où l’importance de bloquer les courriels suspects, d’établir des règles claires sur le partage de données et de former les utilisateurs pour qu’ils sachent reconnaître les escroqueries susceptibles d’échapper à votre détection.

En l’absence d’outil d’analyse de fichiers et de filtrage de malwares, rien (ou presque) ne vous arrêtera au moment où vous téléchargerez un virus ou un autre logiciel malveillant dès lors que vous faites confiance à l’expéditeur. Les virus sont conçus pour être indétectables. Vous aurez beau connaître l’expéditeur et lui faire confiance, celui-ci peut tout à fait infecter vos équipements sans même le savoir. Un bon antivirus sera donc très utile pour prévenir de telles menaces, mais il n’y a rien de magique. Les éditeurs d’antivirus doivent constamment mettre à jour leurs bases de données pour être en mesure d’identifier les nouvelles menaces émergentes. Il est cependant impossible d’anticiper les menaces à chaque fois. Et dans ce jeu du chat et de la souris, ils ont bien souvent un temps de retard.

Mythe no 9 : La collecte de données est inévitable et le véritable anonymat n’existe pas

Ce mythe est un peu difficile à démonter. Au sens strict, il est impossible de garantir un anonymat absolu en ligne. On peut s’en approcher, mais cela exige de faire une croix sur une grande partie des fonctions et fonctionnalités qui confèrent à Internet tout son intérêt et sa commodité. L’utilisation de quelques outils simples comme un VPN complet et un antivirus vous seront très utiles pour tendre vers votre objectif d’anonymat, sans trop de sacrifices. Vous devrez aussi changer vos habitudes de navigation pour limiter la quantité d’informations que vous partagez. Et puis, à un moment donné, seul un événement extraordinaire et ciblé serait en capacité d’exposer au grand jour des données personnelles que vous aimeriez garder privées. Le jour où ce sera le cas, la majorité des utilisateurs aura la certitude de naviguer en mode privé.

La protection de la vie privée en ligne est une lutte ardue contre des profils d’adversaires très différents : de l’entreprise qui pèche par excès, aux cybercriminels en passant par la surveillance de masse opérée par certains gouvernements. Tant que les entreprises dont nous utilisons les services ne seront pas prêtes à respecter la vie privée en tant que droit, la bataille sera rude. Il existe néanmoins une multitude d’outils à votre disposition pour vous aider à préserver votre vie privée et votre sécurité en ligne.

Étudiez le sujet, vous ne le regretterez pas. Vous respirerez mieux, en sachant que votre trafic en ligne et vos données sensibles sont à l’abri des regards indiscrets et des hackers mal intentionnés.

À propos de l'auteur

Consultant en cybersécurité, Harold exerce aussi une activité de blogueur indépendant. Il vit à New York, où il adore promener son labrador doré, Ernie, toujours avec un mug de café à la main.

Note : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.

Partager ce blog