Choisir vos outils

Avec autant d’entreprises et de sites Web proposant des outils destinés à aider les individus à améliorer leur propre sécurité numérique, comment choisir les outils qui vous conviennent ?

Nous n’avons pas de liste infaillible d’outils capables de vous défendre (même si vous pouvez consulter quelques choix courants dans nos guides d’outils). Mais si vous avez une bonne idée de ce que vous souhaitez protéger et contre qui vous souhaitez le protéger, ce guide peut vous aider à choisir les outils appropriés en utilisant quelques directives de base.

N'oubliez pas que la sécurité ne concerne pas les outils que vous utilisez ou les logiciels que vous téléchargez. Cela commence par comprendre les menaces uniques auxquelles vous êtes confronté et comment vous pouvez contrer ces menaces. Consultez notre guide de planification de la sécurité pour plus d’informations.

La sécurité est un processus, pas un achat anchor link

La première chose à retenir avant de changer de logiciel que vous utilisez ou d’acheter de nouveaux outils est qu’aucun outil ou logiciel ne vous offrira une protection absolue contre la surveillance en toutes circonstances. Il est donc important de réfléchir à vos pratiques de sécurité numérique de manière globale. Par exemple, si vous utilisez des outils sécurisés sur votre téléphone, mais que vous ne saisissez pas de mot de passe sur votre ordinateur, les outils de votre téléphone pourraient ne pas vous aider beaucoup. Si quelqu’un souhaite obtenir des informations sur vous, il choisira le moyen le plus simple d’obtenir ces informations, pas le plus difficile.

Il est impossible de se protéger contre toutes sortes d’astuces ou d’attaquants. Vous devez donc vous concentrer sur ceux qui pourraient vouloir vos données , ce qu’ils pourraient en attendre et comment ils pourraient les obtenir. Si votre plus grande menace est la surveillance physique exercée par un enquêteur privé n'ayant pas accès aux outils de surveillance Internet, vous n'avez pas besoin d'acheter un système téléphonique crypté coûteux qui prétend être « à l'épreuve de la NSA » (National Security Agence). Alternativement, si vous faites face à un gouvernement qui emprisonne régulièrement des dissidents parce qu'ils utilisent des outils de cryptage, il peut être judicieux d'utiliser des tactiques plus simples, comme organiser un ensemble de codes préétablis et apparemment inoffensifs pour transmettre des messages, plutôt que de risquer de laisser des preuves que vous utilisez un logiciel de cryptage sur votre ordinateur portable. L’élaboration d’un ensemble d’attaques possibles contre lesquelles vous envisagez de vous protéger s’appelle la modélisation des menaces .

Compte tenu de tout cela, voici quelques questions que vous pouvez poser sur un outil avant de le télécharger, de l’acheter ou de l’utiliser.

Dans quelle mesure est-il transparent ? anchor link

Les chercheurs en sécurité sont convaincus que l'ouverture et la transparence conduisent à des outils plus sécurisés.

La plupart des logiciels utilisés et recommandés par la communauté de la sécurité numérique sont open source (à source ouverte). Cela signifie que le code qui définit son fonctionnement est accessible au public pour que d'autres puissent l'examiner, le modifier et le partager. En étant transparents sur le fonctionnement de leur programme, les créateurs de ces outils invitent les autres à rechercher les failles de sécurité et à contribuer à l'amélioration du programme.

Les logiciels open source offrent la possibilité d’une meilleure sécurité, mais ne la garantissent pas. L’avantage de l’open source repose en partie sur une communauté de technologues vérifiant réellement le code, ce qui, pour les petits projets (et même pour les plus populaires et complexes), peut être difficile à réaliser.

Lorsque vous envisagez un outil, vérifiez si son code source est disponible et s'il fait l'objet d'un audit de sécurité indépendant pour confirmer la qualité de sa sécurité. À tout le moins, le logiciel ou le matériel doit avoir une explication technique détaillée de son fonctionnement pour que d'autres experts puissent l'inspecter.

Dans quelle mesure ses créateurs sont-ils clairs sur ses avantages et ses inconvénients ? anchor link

Aucun logiciel ou matériel n'est entièrement sécurisé. Recherchez des outils auprès de créateurs ou de vendeurs honnêtes sur les limites de leur produit.

Les déclarations générales indiquant que le code est « de niveau militaire (ou bancaire) » ou « à l’épreuve de la NSA » sont des signaux d’alarme. Ces déclarations indiquent que les créateurs sont trop confiants ou peu disposés à considérer les éventuels défauts de leur produit.

Étant donné que les attaquants tentent de découvrir de nouvelles façons de briser la sécurité des outils, les logiciels et le matériel ont besoin de mises à jour pour corriger les vulnérabilités. Cela peut constituer un problème sérieux si les créateurs ne sont pas disposés à le faire, soit parce qu'ils craignent une mauvaise publicité, soit parce qu'ils n'ont pas construit l'infrastructure nécessaire pour le faire. Recherchez les créateurs qui publient ces mises à jour et qui expliquent honnêtement et clairement pourquoi ils le font.

Un bon indicateur du comportement futur des outilleurs est leur activité passée. Si le site Web de l'outil répertorie les problèmes précédents et des liens vers des mises à jour et des informations régulières, comme spécifiquement la durée écoulée depuis la dernière mise à jour du logiciel, vous pouvez être plus sûr qu'ils continueront à fournir ce service à l'avenir. Vous pouvez souvent consulter l’historique des mises à jour dans les magasins d’applications officiels, l’App Store d’Apple ou Google Play, sur GitHub ou sur le site Web du développeur. Cela seul peut montrer qu’un développeur travaille sur le logiciel avec une certaine régularité, mais c’est un indicateur encore meilleur s’il inclut des notes détaillées sur ce qui est inclus dans chaque mise à jour.

Que se passe-t-il si les créateurs sont compromis ? anchor link

Lorsque les créateurs d’outils de sécurité créent des logiciels et du matériel, ils (tout comme vous) doivent disposer d’un plan de sécurité clair. Les meilleurs créateurs décrivent explicitement dans leur documentation les types d’adversaires contre lesquels ils peuvent vous protéger.

Mais il existe un attaquant auquel de nombreux fabricants ne veulent pas penser : eux-mêmes. Que se passe-t-il s’ils sont compromis ou décident d’attaquer leurs propres utilisateurs ? Par exemple, un tribunal ou un gouvernement peut obliger une entreprise à communiquer des données personnelles ou à créer une « porte dérobée » qui supprimera toutes les protections offertes par son outil. Considérez donc la ou les juridictions où sont basés les créateurs. Si vous craignez de vous protéger du gouvernement iranien, par exemple, une entreprise basée aux États-Unis sera en mesure de résister aux ordonnances d’un tribunal iranien, même si elle doit se conformer aux ordonnances américaines.

Même si un créateur est capable de résister à la pression du gouvernement, un attaquant peut tenter de s'introduire dans les propres systèmes du fabricant d'outils afin d'attaquer ses clients.

Les outils les plus résistants sont ceux qui considèrent cela comme une attaque possible et sont conçus pour s’en défendre. Recherchez un langage qui affirme qu'un créateur ne peut pas accéder aux données privées, plutôt que de promettre qu'il ne le fera pas. De même, recherchez sur le site Web ou la politique de confidentialité de l’outil des informations sur le cryptage des données, les politiques de conservation des données, la vente à des tiers et tout détail sur la manière dont l’entreprise pourrait traiter les demandes des forces de l’ordre. Ce guide du Washington Post comprend quelques conseils pour lire la politique de confidentialité d'une entreprise, utiles pour avoir une idée des informations qu'une entreprise peut stocker ou partager.

A-t-il été rappelé ou critiqué en ligne ? anchor link

Les entreprises vendant des produits et les passionnés faisant la publicité de leurs derniers logiciels peuvent être induits en erreur, trompeurs, voire carrément mentir. Un produit initialement sécurisé pourrait présenter de terribles défauts à l’avenir. Assurez-vous de rester bien informé des dernières nouvelles concernant les outils que vous utilisez.

C'est beaucoup de travail pour une seule personne de se tenir au courant des dernières nouvelles concernant un outil. Si vous avez des collègues qui utilisent un produit ou un service particulier, travaillez avec eux pour rester informé.

Quel téléphone dois-je acheter ? Quel ordinateur ? anchor link

On demande souvent aux formateurs en sécurité : « Dois-je acheter un appareil Android ou un iPhone ? ou « Dois-je utiliser un PC ou un Mac ? » ou « Quel système d'exploitation dois-je utiliser ? » Il n’y a pas de réponses simples à ces questions. La sécurité relative des logiciels et des appareils évolue constamment à mesure que les chercheurs découvrent de nouvelles failles et d'anciens bugs. Les entreprises peuvent se faire concurrence pour vous offrir une meilleure sécurité, ou elles peuvent toutes subir la pression des gouvernements pour affaiblir cette sécurité.

Cependant, certains conseils généraux sont presque toujours vrais. Lorsque vous achetez un appareil ou un système d'exploitation, maintenez-le à jour avec les mises à jour logicielles. Les mises à jour résolvent souvent les problèmes de sécurité dans le code plus ancien que les attaques peuvent exploiter. Notez que certains téléphones et systèmes d'exploitation plus anciens peuvent ne plus être pris en charge, même pour les mises à jour de sécurité.

Avec les téléphones mobiles, il existe des différences clés entre les deux systèmes d'exploitation. Android est open source et propose plusieurs versions différentes axées spécifiquement sur la confidentialité et la sécurité, comme CalyxOS et GrapheneOS. Le système d'exploitation de l'iPhone, iOS, n'est pas open source, mais s'est révélé efficace face aux outils médico-légaux. Comme tout outil de sécurité, l’un n’est pas universellement meilleur que l’autre pour tout le monde.

Maintenant que vous avez examiné les menaces auxquelles vous êtes confronté et que vous savez ce qu’il faut rechercher dans un outil de sécurité numérique, vous pouvez choisir en toute confiance les outils les plus adaptés à votre situation particulière.

Produits mentionnés dans la surveillance d'autodéfense anchor link

Nous essayons de garantir que les logiciels et le matériel mentionnés dans SSD sont conformes aux critères énumérés ci-dessus. Nous nous sommes efforcés de répertorier uniquement les produits qui :

• Avoir de solides bases dans ce que nous savons actuellement sur la sécurité numérique
• Sont généralement transparents sur leur fonctionnement (et leurs échecs)
• Avoir des défenses contre la possibilité que les créateurs eux-mêmes soient compromis
• Sont actuellement maintenus, avec une base d'utilisateurs large et techniquement compétente qui les examine à la recherche de défauts.

Veuillez comprendre que nous n'avons pas les ressources nécessaires pour examiner ou donner des garanties indépendantes quant à leur sécurité. Nous n'approuvons pas ces produits et ne pouvons garantir une sécurité totale.