Surveillance
Self-Defense

Choisir vos outils

Dernière révision: 
19-04-2018
Cette page a été traduite de l’anglais. La version anglaise peut contenir des informations plus récentes.

Alors que tant d’entreprises et sites Web offrent des outils dont le but est d’aider les utilisateurs à améliorer leur propre sécurité numérique, comment choisissez-vous les outils qui vous conviennent ?

Nous n’avons pas de liste infaillible d’outils qui peuvent vous défendre (bien que vous pouvez trouver des choix courants dans nos Guides sur les outils). Mais si vous avez une idée précise de ce que vous essayez de protéger et contre qui, ce guide peut vous aider à choisir les outils appropriés en suivant quelques recommandations élémentaires.

Souvenez-vous, la sécurité ne se limite pas aux outils que vous utilisez ni aux logiciels que vous téléchargez. Elle commence par une compréhension des menaces uniques que vous confrontez et de la façon dont vous pouvez contrecarrer ces menaces. Plus de renseignements se trouvent dans notre guide Évaluer votre degré de risques.

 

La sécurité est un processus, pas un achat Anchor link

La première chose à vous rappeler avant de changer les logiciels que vous utilisez ou d’acheter de nouveaux outils est qu’aucun outil ou logiciel ne vous donnera en toutes circonstances une protection absolue contre la surveillance. Il est par conséquent important de considérer vos pratiques de sécurité numérique de façon holistique. Par exemple, si vous utilisez des outils sécurisés sur votre téléphone, mais que vous n’avez pas de mot de passe sur votre ordinateur, les outils sur votre téléphone ne vous aideront pas beaucoup. Si quelqu’un veut se procurer des renseignements sur vous, il choisira la manière la plus simple de les obtenir, pas la plus difficile.

De plus, il est impossible de se protéger contre toutes sortes de mauvais tours ou d’assaillants, et vous devriez vous concentrer sur les personnes qui pourrait vouloir vos données, ce qu’elles pourraient en tirer et comment elles pourraient les obtenir. Si votre plus grande menace est la surveillance physique d’un détective privé sans accès aux outils de surveillance par Internet, il est inutile d’acheter quelque système téléphonique chiffré coûteux qui prétend être à l’épreuve des organismes de renseignement. Par ailleurs, si vous faites face à un gouvernement qui emprisonne habituellement les dissidents parce qu’ils utilisent des outils de chiffrement, il pourrait être logique d’utiliser des tactiques plus simples, comme mettre en place des codes préétablis à l’apparence anodine pour transmettre des messages, plutôt que de courir le risque de laisser des preuves que vous utilisez des logiciels de chiffrement sur votre ordinateur portable. On appelle modélisation des menaces la détermination d’un ensemble d’attaques possibles contre lesquelles vous prévoyez de vous protéger.

Compte tenu de tout cela, voici quelques questions que vous pouvez poser au sujet d’un outil avant de le télécharger, de l’acheter ou de l’utiliser.

 

Est-il transparent ? Anchor link

Nombreux sont les chercheurs en matière de sécurité qui estiment que la transparence se traduit par des outils plus sécurisés.

Une grande partie des logiciels que la communauté de la sécurité numérique utilise et recommande sont à code source ouvert. Cela signifie que le code qui définit le fonctionnement de ces logiciels est accessible au public afin de pouvoir être examiné, modifié et partagé par d’autres. En faisant preuve de transparence sur le fonctionnement de leur programme, les créateurs de ces outils invitent autrui à découvrir des vulnérabilités informatiques et à contribuer à améliorer le programme.

Les logiciels à code source ouvert offrent la possibilité d’une sécurité accrue sans toutefois la garantir. L’avantage du code source ouvert s’appuie en partie sur une communauté de technologues qui examinent le code, ce qui pour les petits projets (et même pour les projets populaires et complexes) pourrait s’avérer difficile à faire.

Lorsque vous envisagez d’utiliser un outil, vérifiez si son code source est accessible et s’il propose un audit de sécurité indépendant pour confirmer la qualité de sa sécurité. À tout le moins, les logiciels et le matériel devraient inclure une explication technique détaillée de leur fonctionnement pour qu’elle soit examinée par d’autres experts.

 

 

Ses créateurs présentent-ils clairement ses avantages et ses inconvénients ? Anchor link

Aucun logiciel ni matériel n’est complètement sécurisé. Cherchez des outils dont les créateurs ou les vendeurs sont honnêtes quant aux limites de leur produit.

Les énoncés trompeurs qui prétendent que le code est de « calibre militaire » ou « à l’épreuve des organismes de renseignement » sont des indicateurs. Ces déclarations indiquent que les créateurs sont présomptueux ou qu’ils ne veulent pas envisager les défaillances possibles de leur produit.

Dans la mesure où les assaillants tentent toujours de découvrir de nouvelles atteintes à la sécurité des outils, les logiciels et le matériel doivent être mis à jour pour corriger les vulnérabilités. Cela pourrait constituer un grave problème si les créateurs ne sont pas disposés à le faire, soit parce qu’ils craignent une mauvaise publicité, soit parce qu’ils n’ont pas conçu l’infrastructure pour le faire. Cherchez des créateurs qui sont prêts à effectuer ces mises à jour et qui sont parfaitement honnêtes sur leurs raisons de le faire.

Les activités passées sont un bon indicateur du comportement futur des créateurs d’outils. Si le site Web d’un outil liste les problèmes antérieurs en donnant des liens vers des mises à jour et des informations régulières (comme plus particulièrement la date de la dernière mise à jour du logiciel), vous pouvez avoir une meilleure assurance qu’ils continueront à offrir ce service à l’avenir.

 

Qu’arrive-t-il si les créateurs sont compromis ? Anchor link

Quand les créateurs d’outils de sécurité conçoivent des logiciels et du matériel, ils doivent (comme vous) avoir un modèle de menaces précis. Les meilleurs créateurs décriront clairement dans leur documentation contre quelle sorte d’adversaires ils peuvent vous protéger.

Mais il existe un assaillant auquel de nombreux fabricants ne veulent pas penser : eux-mêmes ! Que se passe-t-il s’ils sont compromis ou décident d’attaquer leurs propres utilisateurs ? Par exemple, un tribunal ou un gouvernement pourrait obliger une entreprise à remettre des données personnelles ou à créer une « porte dérobée » qui supprimerait toutes les protections que leur outil offre. Prenez donc en considération le ou les pays où les créateurs se trouvent. Si vous pensez devoir vous protéger contre le gouvernement de l’Iran, par exemple, une compagnie située aux É.-U. pourra résister aux ordonnances des tribunaux iraniens, même si elle doit se conformer aux ordonnances étasuniennes.

Même si un créateur peut résister à la pression gouvernementale, un assaillant pourrait tenter de s’introduire dans les systèmes du créateur d’outils afin d’attaquer ses clients.

Les outils les plus résilients sont ceux qui prennent ce genre d’attaque en considération et sont conçus pour s’en défendre. Cherchez des renseignements qui affirment qu’un créateur ne peut pas accéder aux renseignements personnels et non des promesses qu’il ne le fera pas. Cherchez des organisations ayant la réputation de se battre contre les ordonnances de remise des données personnelles (page en anglais).

 

A-t-il fait l’objet d’un rappel ou a-t-il été critiqué en ligne ? Anchor link

Les entreprises qui vendent des produits et les passionnés qui font la promotion de leur dernier logiciel peuvent être induits en erreur, trompeurs ou même mentir de façon éhontée. Un produit qui était sécuritaire à l’origine pourrait comporter des vulnérabilités importantes dans le futur. Assurez-vous d’être au courant des dernières nouvelles concernant les outils que vous utilisez.

Se tenir au courant des dernières nouvelles au sujet d’un outil est une tâche importante pour une seule personne. Si vos collègues utilisent un produit ou un service particulier, collaborer avec eux pour rester informés.

 

 

Quel téléphone devrais-je acheter ? Quel ordinateur ? Anchor link

L’on demande souvent aux formateurs en matière de sécurité : « Devrais-je acheter un téléphone Android ou un iPhone ? » ou « Devrais-je acheter un PC ou un Mac ? » ou « Quel système d’exploitation devrais-je utiliser ? ». Il n’y a pas de réponses simples à ces questions. La sécurité relative des logiciels et des appareils change constamment alors que de nouvelles vulnérabilités sont découvertes et que des bogues anciens sont corrigés. Les entreprises peuvent se faire concurrence pour vous offrir une meilleure sécurité ou elles peuvent toutes subir la pression des gouvernements pour affaiblir cette sécurité.

Cependant, un conseil d’ordre général s’avère presque toujours. Quand vous achetez un appareil ou un système d’exploitation, assurez-vous de le garder à jour grâce aux mises à jour logicielles. Les mises à jour corrigeront souvent des problèmes de sécurité présents dans du code plus ancien que les attaques peuvent exploiter. Veuillez noter que certains téléphones et systèmes d’exploitation plus anciens pourraient ne plus recevoir de soutien, même pour les mises à jour de sécurité. Notamment, Microsoft a indiqué clairement que les versions de Windows Vista, XP et antérieures ne recevront plus de correctifs, même pour les problèmes graves de sécurité. Cela signifie que si vous les utilisez, vous ne pouvez pas vous attendre à ce qu’il soit à l’abri des assaillants. Il en est de même pour OS X avant 10.11 ou El Capitan.

Maintenant que vous avez pris en considération les menaces auxquelles vous faites face et savez quoi chercher dans un outil de sécurité numérique, vous pouvez choisir avec plus de confiance les outils les plus appropriés à votre situation particulière.

 

Les produits mentionnés dans Autodéfense contre la surveillance Anchor link

Nous essayons de faire en sorte que les logiciels et le matériel mentionnés dans ACS satisfassent aux critères indiqués ci-dessus. Nous nous sommes employés, en toute bonne foi, à ne lister que les produits qui :

  • possèdent une excellente connaissance de ce que nous savons actuellement en matière de sécurité numérique,
  • font généralement preuve de transparence en ce qui concerne leur fonctionnement (et leurs défauts),
  • offrent des mécanismes de défense contre la possibilité que les créateurs mêmes puissent être compromis et
  • sont actuellement maintenus, avec un vaste parc d’utilisateurs disposant de bonnes connaissances techniques.

Au moment de la rédaction, nous pensons qu’ils touchent un grand nombre d’utilisateurs qui examinent les vulnérabilités qu’ils pourraient comporter et soulèveraient publiquement leurs préoccupations. Comprenez cependant que nous ne disposons pas de ressources pour examiner leur sécurité ni la garantir. Nous n’avalisons pas ces produits et ne pouvons garantir une sécurité absolue.

JavaScript license information