Surveillance
Self-Defense

Jeunesse LGBTQ?

  • Jeunesse LGBTQ?

    Conseils et outils pour vous aider à accéder de façon plus sûre à des ressources LGBTQ, utiliser les réseaux sociaux, et d'éviter les fouineurs.

    Si vous manquez de soutien adéquat afin d’accéder aux ressources LGBTQ, ce guide vous apprend à les consulter en ligne de manière plus sûre pour aider à éviter un "outing" accidentel de vos proches, votre famille, ou que les annonceurs de publicités en ligne ou aux curieux et fouineurs.

  • Choisir vos outils

    Alors que tant d’entreprises et sites Web offrent des outils dont le but est d’aider les utilisateurs à améliorer leur propre sécurité numérique, comment choisissez-vous les outils qui vous conviennent ?

    Nous n’avons pas de liste infaillible d’outils qui peuvent vous défendre (bien que vous pouvez trouver des choix courants dans nos Guides sur les outils). Mais si vous avez une idée précise de ce que vous essayez de protéger et contre qui, ce guide peut vous aider à choisir les outils appropriés en suivant quelques recommandations élémentaires.

    Souvenez-vous, la sécurité ne se limite pas aux outils que vous utilisez ni aux logiciels que vous téléchargez. Elle commence par une compréhension des menaces uniques que vous confrontez et de la façon dont vous pouvez contrecarrer ces menaces. Plus de renseignements se trouvent dans notre guide Évaluer votre degré de risques.

    La sécurité est un processus, pas un achat

    La première chose à vous rappeler avant de changer les logiciels que vous utilisez ou d’acheter de nouveaux outils est qu’aucun outil ou logiciel ne vous donnera en toutes circonstances une protection absolue contre la surveillance. Il est par conséquent important de considérer vos pratiques de sécurité numérique de façon holistique. Par exemple, si vous utilisez des outils sécurisés sur votre téléphone, mais que vous n’avez pas de mot de passe sur votre ordinateur, les outils sur votre téléphone ne vous aideront pas beaucoup. Si quelqu’un veut se procurer des renseignements sur vous, il choisira la manière la plus simple de les obtenir, pas la plus difficile.

    De plus, il est impossible de se protéger contre toutes sortes de mauvais tours ou d’assaillants, et vous devriez vous concentrer sur les personnes qui pourrait vouloir vos données, ce qu’elles pourraient en tirer et comment elles pourraient les obtenir. Si votre plus grande menace est la surveillance physique d’un détective privé sans accès aux outils de surveillance par Internet, il est inutile d’acheter quelque système téléphonique chiffré coûteux qui prétend être à l’épreuve des organismes de renseignement. Par ailleurs, si vous faites face à un gouvernement qui emprisonne habituellement les dissidents parce qu’ils utilisent des outils de chiffrement, il pourrait être logique d’utiliser des tactiques plus simples, comme mettre en place des codes préétablis à l’apparence anodine pour transmettre des messages, plutôt que de courir le risque de laisser des preuves que vous utilisez des logiciels de chiffrement sur votre ordinateur portable. On appelle modélisation des menaces la détermination d’un ensemble d’attaques possibles contre lesquelles vous prévoyez de vous protéger.

    Compte tenu de tout cela, voici quelques questions que vous pouvez poser au sujet d’un outil avant de le télécharger, de l’acheter ou de l’utiliser.

    Est-il transparent ?

    Nombreux sont les chercheurs en matière de sécurité qui estiment que la transparence se traduit par des outils plus sécurisés.

    Une grande partie des logiciels que la communauté de la sécurité numérique utilise et recommande sont à code source ouvert. Cela signifie que le code qui définit le fonctionnement de ces logiciels est accessible au public afin de pouvoir être examiné, modifié et partagé par d’autres. En faisant preuve de transparence sur le fonctionnement de leur programme, les créateurs de ces outils invitent autrui à découvrir des vulnérabilités informatiques et à contribuer à améliorer le programme.

    Les logiciels à code source ouvert offrent la possibilité d’une sécurité accrue sans toutefois la garantir. L’avantage du code source ouvert s’appuie en partie sur une communauté de technologues qui examinent le code, ce qui pour les petits projets (et même pour les projets populaires et complexes) pourrait s’avérer difficile à faire.

    Lorsque vous envisagez d’utiliser un outil, vérifiez si son code source est accessible et s’il propose un audit de sécurité indépendant pour confirmer la qualité de sa sécurité. À tout le moins, les logiciels et le matériel devraient inclure une explication technique détaillée de leur fonctionnement pour qu’elle soit examinée par d’autres experts.

     

    Ses créateurs présentent-ils clairement ses avantages et ses inconvénients ?

    Aucun logiciel ni matériel n’est complètement sécurisé. Cherchez des outils dont les créateurs ou les vendeurs sont honnêtes quant aux limites de leur produit.

    Les énoncés trompeurs qui prétendent que le code est de « calibre militaire » ou « à l’épreuve des organismes de renseignement » sont des indicateurs. Ces déclarations indiquent que les créateurs sont présomptueux ou qu’ils ne veulent pas envisager les défaillances possibles de leur produit.

    Dans la mesure où les assaillants tentent toujours de découvrir de nouvelles atteintes à la sécurité des outils, les logiciels et le matériel doivent être mis à jour pour corriger les vulnérabilités. Cela pourrait constituer un grave problème si les créateurs ne sont pas disposés à le faire, soit parce qu’ils craignent une mauvaise publicité, soit parce qu’ils n’ont pas conçu l’infrastructure pour le faire. Cherchez des créateurs qui sont prêts à effectuer ces mises à jour et qui sont parfaitement honnêtes sur leurs raisons de le faire.

    Les activités passées sont un bon indicateur du comportement futur des créateurs d’outils. Si le site Web d’un outil liste les problèmes antérieurs en donnant des liens vers des mises à jour et des informations régulières (comme plus particulièrement la date de la dernière mise à jour du logiciel), vous pouvez avoir une meilleure assurance qu’ils continueront à offrir ce service à l’avenir.

    Qu’arrive-t-il si les créateurs sont compromis ?

    Quand les créateurs d’outils de sécurité conçoivent des logiciels et du matériel, ils doivent (comme vous) avoir un modèle de menaces précis. Les meilleurs créateurs décriront clairement dans leur documentation contre quelle sorte d’adversaires ils peuvent vous protéger.

    Mais il existe un assaillant auquel de nombreux fabricants ne veulent pas penser : eux-mêmes ! Que se passe-t-il s’ils sont compromis ou décident d’attaquer leurs propres utilisateurs ? Par exemple, un tribunal ou un gouvernement pourrait obliger une entreprise à remettre des données personnelles ou à créer une « porte dérobée » qui supprimerait toutes les protections que leur outil offre. Prenez donc en considération le ou les pays où les créateurs se trouvent. Si vous pensez devoir vous protéger contre le gouvernement de l’Iran, par exemple, une compagnie située aux É.-U. pourra résister aux ordonnances des tribunaux iraniens, même si elle doit se conformer aux ordonnances étasuniennes.

    Même si un créateur peut résister à la pression gouvernementale, un assaillant pourrait tenter de s’introduire dans les systèmes du créateur d’outils afin d’attaquer ses clients.

    Les outils les plus résilients sont ceux qui prennent ce genre d’attaque en considération et sont conçus pour s’en défendre. Cherchez des renseignements qui affirment qu’un créateur ne peut pas accéder aux renseignements personnels et non des promesses qu’il ne le fera pas. Cherchez des organisations ayant la réputation de se battre contre les ordonnances de remise des données personnelles (page en anglais).

    A-t-il fait l’objet d’un rappel ou a-t-il été critiqué en ligne ?

    Les entreprises qui vendent des produits et les passionnés qui font la promotion de leur dernier logiciel peuvent être induits en erreur, trompeurs ou même mentir de façon éhontée. Un produit qui était sécuritaire à l’origine pourrait comporter des vulnérabilités importantes dans le futur. Assurez-vous d’être au courant des dernières nouvelles concernant les outils que vous utilisez.

    Se tenir au courant des dernières nouvelles au sujet d’un outil est une tâche importante pour une seule personne. Si vos collègues utilisent un produit ou un service particulier, collaborer avec eux pour rester informés.

     

    Quel téléphone devrais-je acheter ? Quel ordinateur ?

    L’on demande souvent aux formateurs en matière de sécurité : « Devrais-je acheter un téléphone Android ou un iPhone ? » ou « Devrais-je acheter un PC ou un Mac ? » ou « Quel système d’exploitation devrais-je utiliser ? ». Il n’y a pas de réponses simples à ces questions. La sécurité relative des logiciels et des appareils change constamment alors que de nouvelles vulnérabilités sont découvertes et que des bogues anciens sont corrigés. Les entreprises peuvent se faire concurrence pour vous offrir une meilleure sécurité ou elles peuvent toutes subir la pression des gouvernements pour affaiblir cette sécurité.

    Cependant, un conseil d’ordre général s’avère presque toujours. Quand vous achetez un appareil ou un système d’exploitation, assurez-vous de le garder à jour grâce aux mises à jour logicielles. Les mises à jour corrigeront souvent des problèmes de sécurité présents dans du code plus ancien que les attaques peuvent exploiter. Veuillez noter que certains téléphones et systèmes d’exploitation plus anciens pourraient ne plus recevoir de soutien, même pour les mises à jour de sécurité. Notamment, Microsoft a indiqué clairement que les versions de Windows Vista, XP et antérieures ne recevront plus de correctifs, même pour les problèmes graves de sécurité. Cela signifie que si vous les utilisez, vous ne pouvez pas vous attendre à ce qu’il soit à l’abri des assaillants. Il en est de même pour OS X avant 10.11 ou El Capitan.

    Maintenant que vous avez pris en considération les menaces auxquelles vous faites face et savez quoi chercher dans un outil de sécurité numérique, vous pouvez choisir avec plus de confiance les outils les plus appropriés à votre situation particulière.

    Les produits mentionnés dans Autodéfense contre la surveillance

    Nous essayons de faire en sorte que les logiciels et le matériel mentionnés dans ACS satisfassent aux critères indiqués ci-dessus. Nous nous sommes employés, en toute bonne foi, à ne lister que les produits qui :

    • possèdent une excellente connaissance de ce que nous savons actuellement en matière de sécurité numérique,
    • font généralement preuve de transparence en ce qui concerne leur fonctionnement (et leurs défauts),
    • offrent des mécanismes de défense contre la possibilité que les créateurs mêmes puissent être compromis et
    • sont actuellement maintenus, avec un vaste parc d’utilisateurs disposant de bonnes connaissances techniques.

    Au moment de la rédaction, nous pensons qu’ils touchent un grand nombre d’utilisateurs qui examinent les vulnérabilités qu’ils pourraient comporter et soulèveraient publiquement leurs préoccupations. Comprenez cependant que nous ne disposons pas de ressources pour examiner leur sécurité ni la garantir. Nous n’avalisons pas ces produits et ne pouvons garantir une sécurité absolue.

    Dernière actualisation: 
    2018-04-19
  • Vous protégez sur les réseaux sociaux

    Les sites des réseaux sociaux sont les sites Web et outils les plus populaires que nous utilisons sur Internet. Facebook, Google+ et Twitter possèdent chacun des millions d’utilisateurs.

    Les réseaux sociaux ont été conçus dans l’idée de partager des publications, photographies et informations personnelles. Ils sont également devenus des fora en matière d’organisation et de discours—dont beaucoup d’entre eux comptent sur la confidentialité et l’utilisation de pseudonymes. Ainsi, les questions suivantes sont importantes à envisager lorsque vous utiliser les réseaux sociaux : comment puis-je interagir avec ces sites tout en me protégeant ? Ma confidentialité de base ? Mon identité ? Mes contacts et associations ? Quelles informations dois-je maintenir privées et vis-à-vis de qui ?

    En fonction de vos circonstances, vous devez vous protéger contre le site du media social lui-même, contre les autres utilisateurs du site, ou les deux.

    Voici quelques astuces à avoir à l’esprit lorsque vous configurez votre compte :

    S’inscrire sur le Site d’un Média Social

    • Souhaitez-vous utiliser votre nom réel ? Certains sites de medias sociaux disposent de pseudo "politiques relatives au nom réel" mais elles sont devenues plus laxistes au fil du temps. Si vous ne souhaitez pas utiliser votre nom réel lorsque vous vous inscrivez sur le site d’un média social, ne l’utilisez pas.
    • Lorsque vous vous inscrivez, ne fournissez pas plus d’informations que celles qui sont nécessaires. Si dissimuler votre identité vous soucie, utilisez une adresse e-mail indépendante. Sachez que votre adresse IP peut être connectée lors de l’inscription.
    • Choisissez un mot de passe fort et, si possible, activez une authentification à double facteur.
    • Méfiez-vous des questions relatives à la récupération du mot de passe dont les réponses peuvent être extraites des informations que vous fournissez au média social. Par exemple : “dans quelle ville êtes-vous né ?” ou “quel est le nom de votre animal de compagnie ?” Vous pouvez choisir des réponses afin de récupérer votre mot de passe qui soient fausses. Une bonne manière de vous souvenir desdites réponses, si vous décidez de les falsifier pour des raisons de sécurité, est de les noter dans un coffre-fort de mots de passe>.

    Consultez la Politique de Confidentialité du Site du Média Social

    Souvenez-vous que les informations stockées par les tiers sont soumises à leurs propres politiques et peuvent être utilisées à des fins commerciales ou partagées avec d’autres compagnies, par exemple, des sociétés de marketing. Nous savons que lire les politiques de confidentialité est une tâche quasiment impossible, mais vous pouvez consulter les sections relatives à l’utilisation de vos données, à leur partage avec les autres parties et la manière dont le service répond aux requêtes des agences du maintien de l’ordre.

    Les sites des réseaux sociaux, normalement des entreprises à but lucratif, recueillent souvent des informations sensibles bien au-delà de celles que vous avez saisies de manière explicite—où vous trouvez-vous, quels sont vos intérêts et les publicités qui vous séduisent, quels autres sites avez-vous visités (par exemple, grâce aux boutons "J’aime"). Il peut être utile de bloquer les cookies des tiers et d’utiliser des extensions du navigateur afin de bloquer toute localisation et vous assurer que les informations superflues ne sont pas transmises aux tiers de manière passive.

    Certains sites de réseaux sociaux, comme Facebook et Twitter, maintiennent des relations commerciales avec des courtiers en données afin de cibler les publicités de manière plus effective. La Fondation Frontières Digitales vous guide afin de vous désengager de ces procédés de localisation :

    Modifiez vos Configurations de Sécurité

    Modifiez, tout particulièrement, les paramètres par défaut. Par exemple, souhaitez-vous partager vos publications avec tout le monde ou seulement un groupe spécifique de personnes ? Les personnes peuvent-elles vous trouver grâce à votre adresse e-mail ou numéro de téléphone ? Souhaitez-vous que votre localisation soit automatiquement partagée ?

    Souvenez-vous, les paramètres de confidentialité peuvent être modifiés. Parfois, ceux-ci deviennent plus forts et plus détaillés ; parfois pas. Assurez-vous de faire très attention à ces modifications afin de savoir si les informations jadis privées vont être partagées, ou si une configuration additionnelle vous permettra d'avoir un plus grand contrôle sur votre confidentialité.

    Vos Tendances Sociales

    Souvenez-vous que vous n’êtes pas la seule personne à pouvoir divulguer des données potentiellement sensibles vous concernant. Vos amis peuvent vous étiqueter sur les photos, rendre compte de votre position et rendre publics les liens qu’ils ont avec vous de nombreuses manières. Vous disposez de l’option d’éliminer les étiquettes de ces publications, mais la confidentialité ne fonctionne pas de manière rétroactive. Vous pouvez souhaiter parler à vos amis de vos activités mais de ne pas vous sentir confortable s’ils les partagent avec tout le monde.

    Dernière actualisation: 
    2015-02-10
  • Évaluer votre degré de risques

    Tenter de protéger toutes vos données, de tout le monde, en tout temps est irréaliste et épuisant. Mais n’ayez crainte ! La sécurité est un processus, et une planification réfléchie vous permettra d’évaluer ce qui vous convient. La sécurité ne se réduit pas aux outils que vous utilisez ou aux logiciels que vous téléchargez. Elle commence par une compréhension des menaces particulières auxquelles vous êtes exposé et de la façon de vous en prémunir.

    En sécurité informatique, une menace est un événement potentiel qui pourrait compromettre vos efforts pour défendre vos données. Vous pouvez faire obstacle aux menaces auxquelles vous êtes exposé en déterminant ce que vous devez protéger, et contre qui. On appelle ce processus « modélisation des menaces ».

    Ce guide vous apprendra à modéliser les menaces, c’est-à-dire à évaluer les risques auxquels vos renseignements numériques sont exposés et à déterminer les solutions qui vous conviennent le mieux.

    À quoi pourrait ressembler la modélisation des menaces ? Disons que vous souhaitez assurer la sécurité de votre maison et de vos possessions. Voici quelques questions que vous pourriez vous poser :

    Qu’est-ce qui vaut la peine d’être protégé dans ma maison ?

    • Les biens pourraient inclure : des bijoux, des appareils électroniques, des documents financiers, des passeports ou des photos

    Contre qui les protéger ?

    • Les adversaires pourraient être : des cambrioleurs, des colocataires ou des invités

    Dans quelle mesure ai-je besoin de les protéger ?

    • Des cambriolages ont-ils déjà eu lieu dans mon quartier ? Mes colocataires ou invités sont-ils dignes de confiance ? Que pourraient faire mes adversaires ? Quels risques devrais-je prendre en considération ?

    Quelle est l’ampleur des conséquences si j’échoue ?

    • Ai-je quoi que ce soit qui ne peut pas être remplacé dans ma maison ? Ai-je le temps ou l’argent pour remplacer ces choses ? Mon assurance couvre-t-elle les biens volés dans ma maison ?

    Quelles difficultés suis-je prêt à rencontrer pour prévenir ces conséquences ?

    • Suis-je prêt à acheter un coffre pour les documents de nature délicate ? Puis-je me permettre d’acheter une serrure de haute qualité ? Ai-je le temps de louer un coffret de sécurité à ma banque locale et d’y conserver mes biens de valeur ?

    Une fois que vous vous êtes posé ces questions, vous êtes à même d’évaluer les mesures à prendre. Si vous possédez des biens de valeur, mais que le risque d’un cambriolage est moindre, vous ne voudrez alors peut-être pas investir trop d’argent dans une serrure. Mais si le risque est élevé, vous achèterez la meilleure serrure sur le marché ou envisagerez d’acheter un système de sécurité.

    Établir un modèle de menaces vous aidera à comprendre les menaces particulières auxquelles vous êtes exposé, mais aussi à évaluer vos actifs, vos adversaires et leurs possibilités d’action, tout en diminuant les risques possibles.

    Qu’est-ce que la modélisation des menaces et par où commencer ?

    La modélisation des menaces vous aide à cerner les menaces contre ce à quoi vous tenez et à déterminer contre qui vous devez le protéger. Répondez à ces cinq questions pour établir un modèle de menaces :

    1. Que veux-je protéger ?
    2. Contre qui ?
    3. Quelle est l’ampleur des conséquences si j’échoue ?
    4. Dans quelle mesure ai-je besoin de le protéger ?
    5. Quelles difficultés suis-je prêt à rencontrer pour tenter de prévenir des conséquences potentielles ?

    Regardons chacune de ces questions de plus près.

    Que veux-je protéger ?

    Un bien est quelque chose auquel vous tenez et que vous souhaitez protéger. Dans le contexte de la sécurité numérique, on parlera plutôt d’« actifs » qui seront habituellement des informations. Par exemple, vos courriels, vos listes de contacts, vos messages instantanés, votre position géographique et vos fichiers sont tous des actifs possibles.

    Rédigez une liste de vos actifs : les données que vous conservez, où elles se trouvent, qui y a accès, et enfin ce qui empêche les autres d’y accéder.

    Contre qui le protéger ?

    Pour répondre à cette question, il est important de déterminer qui pourrait vouloir prendre vos renseignements ou vous-même pour cible. Une personne ou entité qui présente une menace pour vos biens est un « adversaire ». Votre patron, votre ancien associé, votre concurrent commercial, votre gouvernement ou un pirate sur un réseau public sont des exemples d’adversaires possibles.

    Rédigez une liste de vos adversaires et de ceux qui pourraient vouloir s’emparer de vos actifs. Votre liste peut comprendre des personnes, un organisme gouvernemental ou des entreprises.

    En fonction de l’identité de vos adversaires, dans certaines conditions, vous voudrez peut-être détruire cette liste après avoir modélisé les menaces.

    Quelle est l’ampleur des conséquences si j’échoue?

    Un adversaire peut menacer vos données de différentes façons. Par exemple, un adversaire peut lire vos communications personnelles alors qu’elles transitent par le réseau, ou il peut supprimer ou corrompre vos données.

    Les intentions des adversaires diffèrent considérablement, tout comme leurs attaques. Un gouvernement qui tente d’empêcher la propagation d’une vidéo de violence policière pourrait se contenter de supprimer cette vidéo ou d’y réduire l’accès. Par contre, un adversaire politique souhaitera peut-être avoir accès à un document secret afin de le publier sans que vous le sachiez.

    La modélisation des menaces consiste aussi à comprendre la gravité des conséquences si un adversaire réussissait à attaquer un de vos actifs. Pour ce faire, vous devriez tenir compte de la possibilité d’action de votre adversaire. Par exemple, un fournisseur de télécommunications mobiles peut accéder à tous les relevés de votre téléphone et potentiellement utiliser ces données contre vous. Sur un réseau Wi-Fi ouvert, un pirate peut accéder à vos communications non chiffrées. La possibilité d’action de votre gouvernement pourrait être encore plus étendue.

    Notez ce que votre adversaire pourrait vouloir faire de vos données personnelles.

    Dans quelle mesure ai-je besoin de le protéger ?

    Le risque est la probabilité qu’une certaine menace, contre un actif particulier, se réalise effectivement. Il va de pair avec la possibilité d’action. Bien que votre fournisseur de télécommunications mobiles puisse accéder à toutes vos données, le risque qu’il publie en ligne vos données personnelles pour nuire à votre réputation est faible.

    Il est important d’établir une distinction entre menaces et risques. Bien qu’une menace soit une chose fâcheuse qui pourrait avoir lieu, le risque est la probabilité que cette menace se réalise. Par exemple, il y a menace que votre bâtiment s’effondre, mais le risque que cela arrive est bien plus grand à San Francisco (où les tremblements de terre sont fréquents) qu’à Stockholm (où ce n’est pas le cas). Effectuer une analyse des risques est à la fois un processus personnel et subjectif ; tout le monde n’a pas les mêmes priorités ni ne perçoit les menaces de la même façon. Nombreux sont ceux qui trouvent certaines menaces inacceptables, quel que soit le risque, car la seule présence de menace, probable ou non, ne vaut pas le coût. Dans d’autres cas, les gens ignorent des risques élevés, car ils ne considèrent pas la menace comme un problème.

    Notez les menaces que vous allez prendre au sérieux et celles qui sont trop rares ou trop anodines (ou encore trop difficiles à combattre) pour vous en soucier.

    Quelles difficultés suis-je prêt à rencontrer pour prévenir ces conséquences ?

    Il faut effectuer l’analyse des risques pour répondre à cette question. Tout le monde n’a pas les mêmes priorités ni ne perçoit les menaces de la même façon.

    Par exemple, un avocat qui représente un client dans un cas de sécurité nationale sera probablement prêt à aller beaucoup plus loin pour protéger les communications concernant ce cas, comme chiffrer les courriels, qu’une mère qui envoie fréquemment des vidéos amusantes de chats à sa fille.

    Notez les options qui s’offrent à vous pour vous aider à atténuer vos menaces particulières. Notez aussi si vous avez des contraintes financières, techniques ou sociales.

    La modélisation des menaces comme pratique habituelle

    N’oubliez pas que votre modèle de menace peut évoluer en fonction de votre situation. C’est pourquoi il est de bonne pratique d’effectuer des évaluations fréquentes du modèle de menaces.

    Créez votre propre modèle de menaces en fonction de votre situation particulière. Inscrivez ensuite un rappel futur dans votre agenda, rappel qui vous invitera à revoir votre modèle de menaces et à évaluer si votre liste d’actifs est toujours pertinente à votre situation.

     

    Dernière actualisation: 
    2017-09-07
  • Communiquer avec les autres

    Les réseaux de communications et Internet ont rendu les communications avec les autres plus aisées que jamais, mais ont répandu la surveillance d’une manière que l’histoire de l’humanité n’a jamais connu. Sans prendre de mesures supplémentaires afin de protéger votre intimité, chaque appel téléphonique, message de texte, e-mail, message instantanée, appel vocal IP (VoIP), vidéo, chat et message au moyen des médias sociaux peut être vulnérable pour les espions.

    Souvent, la manière la plus sûre de communiquer avec les autres est de le faire en personne, sans ordinateurs ni implication quelconque de téléphones. Ce n’est pas toujours possible, la meilleure des choses à faire est donc d'utiliser le chiffrement global si vous communiquez sur un réseau et avez besoin de protéger le contenu de vos communications.

    Comment Fonctionne le Chiffrement Global ?

    Lorsque deux personnes souhaitent communiquer de manière sécurisée (par exemple, Akiko et Boris), elles doivent générer des crypto clés. Avant qu’Akiko n’envoie un message à Boris, elle devra le chiffrer grâce au code de Boris afin que seul ce dernier puisse le déchiffrer. Puis, elle envoie le message déjà chiffré sur Internet. Si quelqu’un espionne Akiko et Boris—et même s’il a accès au service utilisé par Akiko afin d’envoyer ce message (comme son compte e-mail) —il ne pourra visualiser que les données chiffrées et ne pourra pas lire le message. Lorsque Boris le reçoit, il doit utiliser son code afin de de le déchiffrer et de rendre le message lisible.

    Le chiffrement global implique un certain effort, mais il s’agit de la seule manière grâce à laquelle les utilisateurs peuvent vérifier la sécurité de leurs communications sans devoir faire confiance à la plate-forme qu’ils utilisent. Certains services, tels que Skype, ont prétendu offrir un chiffrement global, il n’en est rien. Afin que le chiffrement global soit sécurisé, les utilisateurs doivent pouvoir vérifier que la crypto clé grâce à laquelle ils chiffrent les messages appartient à la personne à laquelle ils croient qu’elle doive appartenir. Si le logiciel de communication ne dispose pas de cette capacité intégrée, tout chiffrement utilisé peut être intercepté par le prestataire du service lui-même, par exemple, si un gouvernement l’y oblige.

    Vous pouvez lire le livre blanc sur la Liberté d’Expression de la Fondation, Travaux de Chiffrement afin d’obtenir des instructions détaillées sur la manière d’utiliser le chiffrement global pour protéger les messages instantanés et les e-mails. Assurez-vous de consulter également les modules suivants d’Autodéfense Contre la Surveillance :

    Appels Vocaux

    Lorsque vous réalisez un appel d’un téléphone fixe ou portable, votre appel n’est pas chiffré dans son intégralité. Si vous utilisez un téléphone portable, votre appel peut être (faiblement) chiffré entre le combiné et les antennes-relais. Cependant, si votre conversation voyage sur le réseau téléphonique, elle est vulnérable à toute interception par votre prestataire de téléphonie et, en conséquence, aux gouvernements et organisations qui contrôlent votre compagnie téléphonique. La manière la plus facile d’assurer que vos conversations vocales sont globalement chiffrées est d’utiliser VoIP.

    Méfiez-vous! Les prestataires les plus célèbres de VoIP, tels que Skype et Google Hangouts, offrent le chiffrement du transport afin que les espions ne puissent pas écouter, mais les prestataires sont toujours à même de le faire. En fonction de votre modèle de menace, ceci peut constituer ou non un problème.

    Certains services qui offrent des appels VoIP globalement chiffrés comprennent :

    Afin de maintenir des conversations VoIP globalement chiffrées, les deux parties doivent utiliser le même logiciel (ou un logiciel compatible).

    Messages de Texte

    Les SMS n'offrent pas un chiffrement de bout en bout. Si vous voulez envoyer des SMS chiffrés sur votre téléphone, il vous faudra utiliser une application de messagerie instantanée chiffré au lieu du SMS.

    Quelques applications de messagerie instantanée chiffrées utilisent leur propre protocole. Les utilisateurs de Signal sur Androïde et iOS peuvent parler de manière sécurisé avec les autres utilisateurs du programme. ChatSecure est une application qui chiffre vos conversations avec OTR sur tous types de réseaux utilisant XMPP, ce qui veut dire que vous pouvez choisir un grand nombre de services de messagerie indépendants.

    Messages Instantanés

    Off-the-Record (Confidentiel) (OTR) est un protocole de chiffrement global pour les conversations via texte en temps réel, qui peut être utilisé avec de nombreux services.

    Certains outils qui incorporent OTR à la messagerie instantanée comprennent :

    E-mails

    La plupart des prestataires de services de courrier vous permet d’avoir accès à vos e-mails en utilisant un navigateur Web, comme Firefox ou Chrome. La grande majorité de ces prestataires fournit un support pour HTTPS ou chiffrement de la couche de transport. Vous pouvez savoir si votre prestataire de services de courrier admet HTTPS si vous vous connectez à votre messagerie Web et l’URL en haut de votre navigateur commence par les lettres HTTPS au lieu de HTTP (par exemple : https://mail.google.com).

    Si votre prestataire de services de courrier admet HTTPS, mais pas par défaut, tâchez de remplacer HTTP par HTTPS dans l’URL et actualisez la page. Si vous souhaitez vous assurer que vous utilisez toujours HTTPS sur les sites où il est disponible, téléchargez l’accessoire pour navigateur HTTPS Everywhere pour Firefox ou Chrome.

    Certains prestataires de messagerie Web utilisant HTTPS par défaut, comprennent :

    • Gmail
    • Riseup
    • Yahoo

    Certains prestataires de messagerie Web vous offrent l’option d’utiliser HTTPS par défaut en le sélectionnant dans vos paramètres. Le service le plus célèbre offrant toujours cette option est Hotmail.

    Quelles sont les conséquences du chiffrement de la couche de transport et pourquoi seriez-vous susceptible d’en avoir besoin ? HTTPS, également dénommé SSL (Couche de Connexion Sécurisée) ou TLS (Sécurité de la Couche de Transport), chiffre vos communications de manière à ce que personne d’autre ne puisse les lire sur votre réseau. Ceci peut faire référence aux autres personnes utilisant le même Wi-Fi dans un aéroport ou café, les autres personnes dans votre bureau ou école, les administrateurs de votre Prestataire de Services Internet, les pirates informatiques malveillants, les gouvernements ou les agents du maintien de l’ordre. Les communications envoyées sur votre navigateur Web, y compris les pages Web que vous visitez et le contenu de vos e-mails, les publications sur les blogs et les messages, en utilisant HTTP au lieu de HTTPS sont futiles aux yeux d’un attaquant au moment d’être interceptées et lues.

    HTTPS est le niveau le plus basique de chiffrement de navigation Web que nous vous recommandons. Aussi élémentaire que mettre votre ceinture de sécurité lorsque vous conduisez.

    Mais HTTPS ne peut pas tout faire. Lorsque vous envoyez des e-mails en utilisant HTTPS, votre prestataire de services de courrier obtient toujours une copie non chiffrée de votre communication. Les gouvernements et les agences du maintien de l’ordre peuvent avoir accès à ces données grâce à un mandat. Aux États-Unis, la plupart des prestataires de services de courrier possède une politique conformément à laquelle ils doivent porter à votre connaissance toute requête de vos données d’utilisateur provenant du gouvernement, étant donné qu’ils y sont légalement autorisés, mais ces politiques sont strictement volontaires et, dans bon nombre de cas, les prestataires sont légalement empêchés d’informer les utilisateurs de cette requête de données. Certains prestataires, comme Google, Yahoo et Microsoft, publient des comptes rendus sur la transparence, en y détaillant le nombre de requêtes de données des utilisateurs qu'ils reçoivent en provenance du gouvernement, quels pays présentent ces requêtes et la fréquence avec laquelle la compagnie a respecté ces requêtes en remettant ces données.

    Si votre modèle de menace comprend un gouvernement ou une agence du maintien de l’ordre, ou que vous ayez d’autres raisons de vous assurer que votre prestataire ne peut pas remettre les contenus de vos communications par e-mail à un tiers, vous pouvez envisager d’utiliser le chiffrement global pour vos communications par e-mail.

    PGP (Pretty Good Privacy/Confidentialité Plutôt Bonne) est le standard de chiffrement global de votre courrier. Correctement utilisé, il offre une protection très forte à vos communications. Afin d’obtenir des instructions détaillées sur la manière d’installer et d’utiliser le chiffrement PGP de votre courrier, cf. :

    Ce Que Le Chiffrement Global Ne Peut Pas Faire

    Le chiffrement global protège exclusivement le contenu de vos communications, non les communications en elles-mêmes. Il ne protégé pas vos métadonnées—c’est-à-dire tout le reste, y compris l’objet de votre e-mail, ou la personne avec qui vous communiquez et quand.

    Les métadonnées peuvent fournir des informations extrêmement révélatrices vous concernant, même lorsque le contenu de vos communications demeure secret.

    Les métadonnées relatives à vos appels téléphoniques peuvent divulguer certaines informations très intimes et sensibles. Par exemple :

    • Elles savent que vous appelé un service de sexe par téléphone à 2 heures 24 et parlé pendant 18 minutes, mais elles ne savent pas de quoi vous avez parlé.
    • Elles savent que vous appelé la ligne directe pour la prévention des suicides du haut du Golden Gate Bridge, mais le sujet de votre appel demeure secret.
    • Elles savent que vous avez parlé avec un service de test VIH, puis à votre médecin, et enfin à votre compagnie d'assurance santé la même heure, mais elles ne savent pas de quoi vous avez discuté.
    • Elles savent que vous avez reçu un appel du bureau local de l’Association Nationale des Fusils lorsqu’elle menait une champagne contre la législation anti-pistolets, puis qu’elle a appelé les sénateurs et les représentants au congrès immédiatement après, mais le contenu de ces appels demeure sécurisé contre l’intrusion du gouvernement.
    • Elles savent que vous appelé un gynécologue, parlé pendant une demi-heure, puis appelé la Planification Familiale plus tard dans la journée, mais personne ne sait ce dont vous avez parlé.

    Si vous appelez d’un téléphone portable, les informations concernant votre position consistent en des métadonnées. En 2009, Malte Spitz, politicien du Parti Écologiste, attaqua Deutsche Telekom en justice afin de la forcer à remettre six mois de données stockés sur son téléphone, qu’elle avait rendu disponibles à un journal allemand. La visualisation en résultant démontra un historique détaillé des mouvements de Spitz.

    Protéger vos métadonnées requerra d’utiliser d’autres outils, comme Tor, avec le chiffrement global.

    Afin de visualiser un exemple de la manière dont Tor et HTTPS travaillent ensemble à la protection du contenu de vos communications et métadonnées contre de nombreux attaquants potentiels, vous pouvez consulter cette explication.

    Dernière actualisation: 
    2017-01-12
  • Créer des mots de passe robustes

    Créer des mots de passe robustes en utilisant des gestionnaires de mots de passe

    La réutilisation de mots de passe est une pratique de sécurité particulièrement mauvaise. Si une personne malveillante met la main sur un mot de passe que vous avez réutilisé pour plusieurs services, elle peut accéder à bon nombre de vos comptes. C’est pourquoi il est si important d’avoir plusieurs mots de passe uniques et robustes.

    Heureusement, un gestionnaire de mots de passe peut vous aider. Un gestionnaire de mots de passe est un outil qui crée et enregistre des mots de passe pour vous, afin que vous puissiez utiliser de nombreux mots de passe différents sur des sites et des services différents sans avoir à les mémoriser. Les gestionnaires de mot de passe :

    • génèrent des mots de passe robustes qu’un être humain ne pourra probablement pas deviner.
    • enregistrent plusieurs mots de passe (et les réponses à des questions de sécurité) en toute sécurité.
    • protègent tous vos mots de passe avec un mot de passe maître unique (ou une phrase de passe).

    KeePassXC est un exemple de gestionnaire de mots de passe à code source ouvert et gratuit. Vous pouvez conserver cet outil sur votre bureau ou l’intégrer à votre navigateur Web. KeePassXC n’enregistre pas automatiquement les changements que vous effectuez lors de son utilisation, et s’il plantait après que vous ayez ajouté des mots de passe, vous pourriez les perdre pour toujours. Vous pouvez changer ce comportement dans les paramètres.

    Vous demandez-vous si un gestionnaire de mots de passe est le bon outil pour vous ? Si un adversaire puissant comme un gouvernement vous cible, il pourrait ne pas l’être.

    Rappelez-vous que :

    • utiliser un gestionnaire de mot de passe crée un point de défaillance unique.
    • les gestionnaires de mots de passe sont une cible évidente pour les adversaires.
    • les recherches suggèrent que de nombreux gestionnaires de mots de passe comportent des vulnérabilités.

    Si les attaques numériques coûteuses vous inquiètent, envisagez une solution plus rudimentaire. Vous pouvez créer des mots de passe robustes manuellement (voir « Créer des mots de passe robustes en utilisant des dés » ci-dessous), les prendre par écrit et les conserver sur vous en sécurité.

    Attendez un peu. Ne sommes-nous pas censés garder les mots de passe dans notre tête et ne jamais les prendre par écrit ? En fait, les prendre par écrit et les conserver quelque part comme dans votre portefeuille est pratique, car vous saurez au moins si vos mots de passe écrits disparaissent ou sont volés.

    Créer des mots de passe robustes en utilisant des dés

    Vous devriez mémoriser quelques mots de passe et ils devraient être particulièrement robustes. Cela inclut :

    Une des nombreuses difficultés qui survient quand les gens choisissent eux-mêmes des mots de passe est que les gens ne sont pas très doués pour faire des choix aléatoires imprévisibles (site en anglais). Une manière efficace de créer un mot de passe robuste et mémorisable est d’utiliser des dés et une liste de mots (pages en anglais) pour choisir des mots au hasard. Ensemble, ces mots forment votre « phrase de passe ». Une « phrase de passe » est un genre de mot de passe, mais plus long, pour une sécurité accrue. Pour le chiffrement de disques et pour votre gestionnaire de mots de passe, nous recommandons de choisir un minimum de six mots.

    Pourquoi utiliser un minimum de six mots ? Pourquoi utiliser des dés pour choisir les mots d’une phrase au hasard ? Plus long et plus aléatoire sera le mot de passe, plus difficile il sera de le deviner, pour les ordinateurs et pour les êtres humains. Pour découvrir pourquoi il vous faut un tel long mot de passe difficile à deviner, voici une vidéo explicative (en anglais).

    Tentez de créer une phrase de passe en utilisant une des listes de mots de la FFÉ (liste en anglais).

    Si votre ordinateur ou votre appareil se trouve compromis et si un programme malveillant est installé, le programme malveillant peut vous regarder taper votre mot de passe maître et pourrait voler le contenu du gestionnaire de mots de passe. Il est donc encore très important de garder votre ordinateur et vos autres appareils exempts de programmes malveillants si vous utilisez un gestionnaire de mots de passe. 

    Un mot sur les « questions de sécurité »

    Faites attention aux « questions de sécurité » que les sites Web utilisent pour confirmer votre identité. Des réponses honnêtes à ces questions sont souvent des faits qui peuvent être découverts et qu’un adversaire peut facilement trouver et utiliser pour complètement passer outre votre mot de passe.

    Donnez plutôt des réponses fictives que personne d’autre que vous ne connaît. Par exemple, si la question de sécurité demande :

    « Quel est le nom de votre premier animal de compagnie ? »

    Votre réponse pourrait être un mot de passe aléatoire généré par votre gestionnaire de mots de passe. Vous pouvez enregistrer ces réponses fictives dans votre gestionnaire de mots de passe.

    Pensez aux sites où vous avez utilisé des questions de sécurité et envisagez de changer vos réponses. N’utilisez pas les mêmes mots de passe ou les mêmes réponses à des questions de sécurité pour plusieurs comptes sur différents sites Web ou services. 

    Synchroniser vos mots de passe sur plusieurs appareils

    De nombreux gestionnaires de mots de passe vous permettent d’accéder à vos mots de passe sur plusieurs appareils grâce à une fonction de synchronisation des mots de passe. Cela signifie que lorsque vous synchronisez votre fichier de mots de passe sur un appareil, il est mis à jour sur tous vos autres appareils.

    Les gestionnaires de mots de passe peuvent enregistrer vos mots de passe « dans le nuage », c’est-à-dire chiffrés sur un serveur distant. Quand vous avez besoin de vos mots de passe, ces gestionnaires récupèrent et déchiffrent les mots de passe pour vous automatiquement. Les gestionnaires de mots de passe qui utilisent leurs propres serveurs pour enregistrer vos mots de passe ou pour aider à les synchroniser sont plus pratiques, mais ils sont un peu plus vulnérables aux attaques. Si vos mots de passe sont enregistrés à la fois sur votre ordinateur et dans le nuage, un assaillant n’a pas à prendre le contrôle de votre ordinateur pour trouver vos mots de passe. (Il devra toutefois craquer la phrase de passe de votre gestionnaire de mots de passe.)

    Si cela est inquiétant, ne synchronisez pas vos mots de passe dans le nuage et préférez plutôt les enregistrer seulement sur vos appareils.

    Conservez une sauvegarde de votre base de données de mots de passe au cas où. Il est utile d’avoir une sauvegarde si vous perdez votre base de données de mots de passe lors d’un plantage ou si votre appareil vous est enlevé. Les gestionnaires de mots de passe offrent habituellement une façon de créer un fichier de sauvegarde, ou vous pouvez utiliser votre programme de sauvegarde habituel.

    L’authentification multifacteur et les mots de passe à usage unique

    Des mots de passe robustes et uniques rendent l’accès à vos comptes par des personnes malveillantes beaucoup plus difficile. Pour mieux protéger vos comptes, activez l’authentification à deux facteurs.

    Certains services offrent l’authentification à deux facteurs (aussi appelée A2F, authentification multifacteur ou vérification en deux étapes) qui exige que les utilisateurs possèdent deux composantes (un mot de passe et un second facteur) pour accéder à leur compte. Le second facteur peut être un code secret à usage unique ou un nombre généré par un programme exécuté par un appareil mobile.

    L’authentification à deux facteurs en utilisant un téléphone mobile peut être effectuée de deux façons :

    • votre téléphone peut exécuter une application d’authentification qui génère des codes de sécurité (comme Google Authenticator ou Authy) ou vous pouvez utiliser un dispositif matériel autonome (comme une YubiKey) ; ou
    • le service peut vous envoyer un texto contenant un code supplémentaire de sécurité que vous devez taper lorsque vous vous connectez.

    Si vous le pouvez, choisissez l’application d’authentification ou le dispositif matériel autonome plutôt que de recevoir des codes par texto. Il est plus facile pour l’assaillant de rediriger ces codes vers son propre téléphone que de passer outre l’application d’authentification.

    Certains services, comme Google, vous permettent aussi de générer une liste de mots de passe à usage unique. Ils doivent être imprimés ou pris par écrit et portés sur vous. Chacun de ces mots de passe ne fonctionne qu’une fois, et si l’un d’eux est volé par un programme malveillant alors que vous le saisissez, le voleur ne pourra pas l’utiliser pour quoi que ce soit à l’avenir.

    Si vous ou votre organisation exploitez votre propre infrastructure de communication, il existe des logiciels libres qui peuvent être utilisés pour activer l’authentification à deux facteurs pour accéder à vos systèmes. Cherchez des logiciels mettant en œuvre la norme ouverte « Mots de passe uniques temporisés » ou RFC 6238.

    Vous devrez parfois divulguer votre mot de passe

    Les lois sur la divulgation des mots de passe diffèrent d’un endroit à l’autre. Dans certains pays, vous pourrez légalement contester une demande de divulgation de votre mot de passe, alors que dans d’autres, les lois locales permettent au gouvernement d’en demander la divulgation et même de vous emprisonner sur la base du soupçon que vous pourriez connaître un mot de passe ou une clé. Des menaces de dommage corporel peuvent être utilisées pour forcer quelqu’un à donner son mot de passe. Ou vous pourriez vous trouver dans une situation, par exemple en traversant une frontière, où les autorités pourraient vous retarder ou saisir vos appareils si vous refusez de donner un mot de passe ou de déverrouiller votre appareil.

    Nous offrons séparément un guide pour traverser la frontière des É.-U. qui donne des conseils sur la façon de gérer les demandes d’accès à vos appareils alors que vous voyagez vers les États-Unis ou en sortez. Dans d’autres situations, vous devriez penser à la façon dont quelqu’un pourrait vous forcer, ou forcer autrui, à divulguer vos mots de passe et quelles pourraient en être les conséquences.

    Dernière actualisation: 
    2017-10-15
  • Guide pratique : contourner la censure en ligne

    Ce document survole le contournement de la censure en ligne, sans prétendre être exhaustif.

    Les gouvernements, les entreprises, les écoles et les fournisseurs de service Internet utilisent parfois des logiciels pour empêcher leurs utilisateurs d’accéder à certains sites Web et services. C’est ce que l’on appelle le filtrage ou le blocage d’Internet, ce qui constitue une forme de censure. Le filtrage se présente de diverses manières. Les censeurs peuvent bloquer des pages Web particulières ou même des sites Web entiers. Le contenu est parfois bloqué d’après les mots-clés qu’il contient.

    Il existe différentes façons de combattre la censure sur Internet. Certaines vous protègent contre la surveillance, mais beaucoup ne le font pas. Si quelqu'un contrôlant votre connexion à connexion à Internet filtre ou bloque un site, vous pouvez presque toujours utiliser un outil de contournement pour accéder à information dont vous avez besoin. Note : Les outils de contournement qui promettent confidentialité et sécurité ne sont pas toujours confidentiels ni sécurisés, et les outils qui utilisent des termes comme « anonymiseur » ne gardent pas toujours votre identité entièrement secrète.

    L’outil de contournement qui vous convient le mieux dépend de votre modèle de menaces. Si vous ne savez pas ce qu’est votre modèle de menaces, commencez ici.

    Dans cet article, nous parlerons de quatre façons de contourner la censure :

    • Visiter un mandataire Web pour accéder à un site Web bloqué.
    • Visiter un mandataire Web chiffré pour accéder à un site Web bloqué.
    • Utiliser un réseau privé virtuel (RPV) pour accéder à des sites Web ou des services bloqués.
    • Utiliser le navigateur Tor pour accéder à un site Web bloqué et protéger votre identité.

    Techniques de base

    Les outils de contournement fonctionnent actuellement en réacheminant votre trafic Web afin qu’il évite les machines responsables du blocage ou du filtrage. Un service qui redirige votre connexion Internet par-delà ces obstacles est parfois appelé un mandataire.

    HTTPS est la version sécurisée du protocole HTTP que vous utilisez pour accéder aux sites Web. Un censeur bloquera parfois seulement la version non sécurisée (HTTP) d’un site. Cela signifie que vous pouvez accéder au site bloqué en saisissant simplement la version de l’adresse Web qui commence par HTTPS.

    Cela est utile si la censure que vous combattez bloque des pages Web précises d’après leur contenu. HTTPS empêche les censeurs de lire votre trafic Web et ils ne peuvent donc pas savoir quels mots-clés sont envoyés ni quelles pages Web particulières vous visitez.

    Les censeurs peuvent quand même voir les noms de domaine de tous les sites Web que vous visitez. Donc, si vous visitez par exemple « eff.org/https-everywhere », les censeurs peuvent voir que vous êtes sur « eff.org », mais pas que vous êtes sur la page « https-everywhere ».

    Si vous soupçonnez ce type de blocage simple, essayez de saisir https:// devant le domaine au lieu de http :

    Essayez d’installer l’extension HTTPS partout (site en anglais mais l’extension est en français) de la FFÉ pour activer HTTPS partout automatiquement lorsque cela est possible.

    Vous pourriez aussi contourner les techniques de censure de base en essayant un nom de domaine ou une URL de remplacement. Par exemple, au lieu de visiter http://twitter.com, vous pourriez utiliser la version mobile du site sur http://m.twitter.com. Les censeurs qui bloquent les sites ou les pages Web travaillent à partir d’une liste noire de sites Web bannis, et tout ce qui n’est pas sur cette liste noire passera donc. Ils pourraient ne pas connaître toutes les différentes versions du nom d’un site Web particulier, spécialement si les administrateurs du site savent qu’il est bloqué et enregistre plus d’un domaine.

    Les mandataires Web

    Un mandataire Web (tel que http://proxy.org/, en anglais) est un site Web qui permet à ses utilisateurs d’accéder à d’autres sites Web bloqués ou censurés. C’est donc une bonne façon de contourner la censure. Afin d’utiliser un mandataire Web, visitez le mandataire et saisissez l’adresse Web que vous souhaitez voir ; le mandataire affichera alors la page Web que vous avez demandée.

    Cependant, les mandataires Web n’offrent aucune sécurité et seront un mauvais choix si la surveillance de votre connexion Internet fait partie de votre modèle de menaces. Ils ne vous aideront pas à utiliser des services bloqués tels que vos applis de messagerie instantanée. Le mandataire Web conservera un journal complet de toutes vos activitiés en ligne, ce quie pourrait représenter, pour certains utilisateurs, un risque de divulgation des renseignements personnels, selon leur modèle de menaces.

    Les mandataires chiffrés

    De nombreux outils mandataires utilisent le chiffrement pour offrir une couche supplémentaire de sécurité en plus de la capacité d’éviter le filtrage. La connexion est chiffrée et personne ne peut donc savoir ce que vous visitez. Bien que les mandataires chiffrés soient habituellement plus sécurisés que les mandataires Web en clair, le fournisseur de l’outil peut détenir des renseignements sur vous. Ils pourraient par exemple conserver vos nom et adresse courriel dans ses dossiers. Cela signifie que ces outils n'offrent pas un anonymat total.

    La forme la plus simple de mandataire Web chiffré est celle qui commence par « https » : le chiffrement habituellement proposé par les sites Web sécurisés sera utilisé. Soyez toutefois prudent, car les propriétaires de ces mandataires peuvent voir les données que vous envoyez et recevez d’autres sites Web sécurisés.

    Ultrasurf et Psiphon sont de tels outils.

    Les réseaux privés virtuels

    Un réseau privé virtuel (RPV) chiffre et envoie toutes les données Internet de votre ordinateur par un autre ordinateur. Cet ordinateur pourrait appartenir à un service RPV commercial ou sans but lucratif, à votre entreprise ou à un contact de confiance. Une fois qu’un service RPV est correctement configuré, vous pouvez l’utiliser pour accéder à des pages Web, au courriel, à la messagerie instantanée, à la voix sur IP et à tout autre service Internet. Un RPV met votre trafic à l’abri de l’espionnage local, mais votre fournisseur de RPV peut quand même conserver des journaux des sites Web auxquels vous accédez et même laisser un tiers surveiller directement votre navigation sur le Web. Selon votre modèle de menaces, la possibilité que le gouvernement surveille votre connexion RPV ou obtienne les journaux du RPV peut représenter un risque de taille. Pour certains utilisateurs, cela pourrait être plus important que les avantages à court terme offerts par l’utilisation d’un RPV.

    Pour des renseignements sur des services RPV précis, cliquez ici (site en anglais).

    Nous, à la FFÉ, ne pouvons répondre des évaluations de ces RPV. Des RPV dont les politiques de confidentialité sont exemplaires pourraient être exploités par des personnes sournoises. N’utilisez pas un RPV en lequel vous n’avez pas confiance.

    Tor

    Tor est un logiciel à code source ouvert conçu pour assurer votre anonymat sur le Web. Le navigateur Tor est un navigateur Web qui s’appuie sur le réseau d’anonymat Tor. Grâce à la manière dont Tor achemine votre trafic de navigation sur le Web, il vous permet aussi de contourner la censure (consultez notre Guide pratique : utiliser Tor pour Linux, macOS et Windows).

    Lorsque vous démarrez le navigateur Tor pour la première fois, vous pouvez choisir une option qui indique que vous êtes sur un réseau censuré :

    Tor n’évitera pas seulement presque toutes les censures nationales, mais, s’il est configuré correctement, il peut aussi protéger votre identité contre une surveillance hostile sur les réseaux de votre pays. Tor peut cependant s’avérer lent et difficile à utiliser.

    Pour apprendre à utiliser Tor sur un ordinateur, cliquez ici (Linux), ici (macOS) ou ici (Windows), mais assurez-vous de cliquer sur « Configurer » au lieu de « Se connecter » dans la fenêtre affichée ci-dessus.

    Dernière actualisation: 
    2017-08-10
  • Guide d'utilisation de chiffrer votre iPhone

    Si vous disposez d’un iPhone 3GS ou version postérieure, un iPod Touch 3rd ou génération ultérieure ou un iPad, vous pouvez protéger les contenus de vos dispositifs en utilisant le chiffrement. Ceci signifie que si quelqu’un a physiquement accès à votre dispositif, il aura également besoin de votre mot de passe afin de déchiffrer ce qui y est stocké, y compris les contacts, les messages instantanés ou les textes, ainsi que les entrées des appels et les e-mails.

    En fait, la plupart des dispositifs modernes d’Apple chiffre son contenu par défaut, avec divers niveaux de protection. Mais afin de vous protéger contre une personne tâchant d’obtenir vos données en volant physiquement votre dispositif, vous devez associer ce chiffrement à une phrase de passe ou code que vous êtes le seul à connaître.

    Sur les appareils fonctionnant sous iOS 4 à iOS 7 :

    1. Ouvrez les réglages Général et choisissez Code (ou iTouch et code).
    2. Suivez les invites de création de code.

    Sur les appareils fonctionnant sous iOS 8 à iOS 11

    1. Ouvrez l’appli Réglages
    2. Touchez Touch ID et code
    3. Suivez les invites de création de code.

    Si votre appareil fonctionne sous iOS 8, désactivez le code simple pour créer un code de plus de 4 chiffres. Depuis la parution d’iOS 9, utilise un code à 6 chiffres.

    Si vous utilisez un code composé uniquement de chiffres, un pavé numérique vous sera présenté quand vous devez déverrouiller votre téléphone, ce qui pourrait être plus facile que de taper des lettres et des symboles sur un petit clavier virtuel. Nous vous suggérons cependant de choisir un code alphanumérique composé de plus de 6 caractères, car c’est simplement plus difficile à craquer, même si le matériel d’Apple est conçu pour ralentir les outils de craquage de mots de passe.

    Pour personnaliser votre code, sélectionnez « Options de code » et « Code alphanumérique personnalisé ». Si vous souhaitez personnaliser un code existant, sélectionnez « Changer le code » puis « Options de code ». Vous devriez aussi définir l’option « Exiger le code » sur « immédiatement » afin que votre appareil ne soit pas déverrouillé quand vous ne l’utilisez pas.

    Une fois votre mot de passe configuré, faîtes défiler vers le bas de la page des paramètres du Mot de Passe. Vous devriez visualiser un message indiquant “Protection des données activée.” Le chiffrement du dispositif est maintenant associé à votre mot de passe, et la plupart des données sur votre téléphone aura besoin de ce code afin d’être déverrouillée.

    Comment Chiffrer Votre iPhone 1

    Voici quelques-unes des caractéristiques iOS que vous devriez utiliser si vous traitez des données privées :

    • iTunes dispose d’une option afin de sauvegarder votre dispositif sur votre ordinateur. iTunes ne chiffre pas vos sauvegardes par défaut. Si vous sélectionnez l’option “Chiffrer la copie de sauvegarde” sur l’onglet du Résumé de votre dispositif sur iTunes, iTunes sauvegardera des informations confidentielles complémentaires (comme les mots de passe du Wi-Fi et des e-mails), mais les chiffrera toutes avant de les sauvegarder sur votre ordinateur. Assurez-vous de tenir les mots de passe que vous utilisez bien à l’abri : la récupération des copies de sauvegarde est un évènement exceptionnel, mais douloureux si vous ne pouvez pas vous souvenir du mot de passe afin de déverrouiller la sauvegarde en cas d'urgence.

    • Si vous sauvegarder votre iCloud d’Apple, vous devriez choisir une longue phrase de passe afin de protéger les données, et conservez cette dernière bien à l’abri. Même si Apple chiffre la plupart des données dans ses sauvegardes, il est possible pour la compagnie d’y avoir accès dans le cadre du maintien de l’ordre puisque Apple contrôle également les clefs utilisées pour le cryptage de iCloud.

    • Si vous activez la protection des données tel que décrit ci-dessus, vous pourrez également éliminer vos données de votre diapositif de manière sécurisée et rapide. Dans les paramètres du Mot de Passe, vous pouvez configurer votre dispositif afin qu’il efface toutes les données suite à dix tentatives échouées tendant à deviner votre phrase de passe. Si vous le faites, assurez-vous que votre téléphone est sauvegardé au cas où quelqu’un saisirait délibérément votre code de façon erronée.

    • Conformément à l’ancien Guide d’Apple sur le Maintien de l’Ordre, “Apple peut extraire certaines catégories de données actives des dispositifs iOS verrouillés grâce à un mot de passe. En particulier, un utilisateur a généré des fichiers actifs sur un dispositif iOS, contenus dans des Apps. d’Apple, dont les données ne sont pas chiffrées au moyen du mot de passe (“l’utilisateur a généré des fichiers actifs”). Ces dernières peuvent être extraites et fournies au maintien de l’ordre sur des moyens externes. Apple peut réaliser cette extraction de données sur les dispositifs iOS fonctionnant avec la version iOS 4 ou plus récente. Veuillez noter que les seules catégories de fichiers actifs générés par l’utilisateur pouvant être fournies au maintien de l’ordre, en vertu d’un mandat valide, sont les suivantes : SMS, photos, vidéos, contacts, enregistrements audio et historique des appels. Apple ne peut pas fournir : e-mails, entrées de calendriers ou toute donnée étrangère aux données de l’App.”

    Les informations ci-dessus s’appliquent exclusivement aux dispositifs iOS fonctionnant avec des versions d’iOS antérieures à 8.0.

    • A présent Apple signale que « Pour tous les appareils fonctionnant sous iOS 8.0 et versions ultérieures, Apple ne peut pas extraire les données d’un appareil iOS, car les données habituellement recherchées par les forces de l’ordre sont chiffrées et Apple ne possède pas la clé de chiffrement ».

    SOUVENEZ-VOUS : même si Apple ne peut pas directement extraire les données d’un téléphone, si le dispositif est synchronisé avec iCloud, ou sauvegardé sur un ordinateur, certaines de ces données sont toujours accessibles au maintien de l’ordre. Dans la plupart des circonstances, le chiffrement iOS est exclusivement effectif lorsque le dispositif est totalement éteint (ou vient d’être redémarré sans être déverrouillé). Certains attaquants peuvent extraire des données de valeur de la mémoire de votre dispositif alors qu’il est allumé (ils peuvent même les extraire lorsqu’il vient d’être éteint). Gardez ceci en mémoire et, si possible, assurez-vous que votre dispositif soit éteint (ou vient d’être redémarré sans être déverrouillé) si vous croyez qu’il a de fortes chances d’être saisi ou volé. Au moment de la publication du présent guide, quelques entreprises déclaraient pouvoir craquer les codes des iPhone pour les forces de l’ordre, mais les détails entourant ces déclarations restent flous.

    • Si la perte ou le vol de votre dispositif vous préoccupe, vous pouvez également configurer votre dispositif d’Apple afin de l’éliminer à distance, en utilisant la caractéristique “Trouver Mon iPhone”. Notez que ceci permettra à Apple de requérir à distance l’emplacement de votre dispositif à tout moment. Vous devriez peser le pour et le contre de l’élimination de vos données si vous perdez le contrôle sur votre dispositif, étant donné le risque de révéler votre propre position. (Les téléphones portables transmettent bien évidemment ces informations aux compagnies téléphoniques; les dispositifs Wi-Fi tels que les iPads et l’ iPod Touch ne les transmettent pas).

    Dernière actualisation: 
    2018-03-26
  • Guide pratique : utiliser Signal pour iOS

    Installation de Signal – Private Messenger sur votre iPhone

    Étape 1 : Téléchargez et installez Signal – Private Messenger

    Sur votre appareil iOS, cliquer sur l’App Store et chercher « Signal ». Sélectionnez Signal – Private Messenger par Open Whisper Systems.

    Sélectionnez « TELECHARGER » pour télécharger l’App, puis « INSTALLER ». Vous aurez peut-être à taper vos identifiants Apple. Une fois l’application téléchargée, appuyer sur « OUVRIR » pour l’activer.

    Étape 2 : Inscrivez-vous et Vérifiez votre Numéro de Téléphone

    L’écran suivant va apparaître. Entrez votre numéro de téléphone et sélectionnez “Verify This Device.”

     

    Afin de vérifier votre numéro de téléphone, vous allez recevoir un SMS avec un code à six chiffres. Vous devrez ensuite taper ce code et sélectionner "Submit Verification Code."

    Une fois cette étape complétée, Signal demandera l’accès à vos contacts. Appuyer sur « Continuer ».

    Signal va ensuite demander de pouvoir vous envoyer des notifications. Sélectionnez "OK."

    Utilisation de Signal

    Pour pouvoir utiliser Signal, le destinataire doit également avoir l’application installée sur son appareil mobile. Si vous essayez d’appeler ou d’envoyer un message Signal sans que le destinataire ait installé l’app, Signal vous demandera si vous souhaitez inviter vos contacts via SMS, mais vous ne pourrez pas les contacter par le biais de Signal.

    Signal vous fournit une liste des autres utilisateurs de Signal parmi vos contacts. Pour ce faire, les numéros de vos contacts sont téléchargés par Signal et ensuite effacés immédiatement.

    Comment envoyer un message chiffré

    Notez qu'Open Whisper Systems, les créateurs de Signal, ont recours aux infrastructures d'autres compagnies afin d'alerter leurs usagers de la réception d'un nouveau message. L'on parle principalement de Google pour Android et d'Apple dans le cas d'iPhone. Ce qui signifie que toute info concernant l'identité du récepteur de ces messages ainsi que leurs dates de réception, peuvent tomber dans les mains de ces compagnies.

    Pour commencer à utiliser Signal, appuyez sur l’icône en haut à droite de l’écran.

    Vous verrez une liste de tous les utilisateurs de Signal parmi vos contacts.

    Quand vous appuyez sur un contact, vous serez transféré vers l’écran de messagerie. Depuis cet écran, vous pouvez envoyer des messages, images ou vidéos qui utilisent le chiffrement global (« end-to-end encryption »).

    Comment passer un appel chiffré

    Pour passer un appel chiffré à un contact, sélectionnez l’icône en forme de téléphone.

    Signal peut alors vous demander l’accès au microphone. Sélectionnez « OK ».

    Une fois que l’appel est accepté, l’appel est automatiquement chiffré.

    Comment passer un appel vidéo chiffré

    Pour passer un appel vidéo chiffré, suivez simplement l’étape précédente :

    et appuyez sur l’icône en forme de caméra. Vous devrez peut-être donner Signal l’accès à votre caméra pour partager la vidéo avec votre contact (votre contact peut avoir à faire la même chose) :

    Comment initier une conversation de groupe chiffrée

    Vous pouvez initier une discussion de groupe par messages en sélectionnant l’icône en haut à droite de l’écran (le carré avec un crayon), puis toujours en haut à droite, l’icône représentant trois personnes.

    Sur l’écran suivant, vous serez en mesure de donner un nom au groupe et d’en sélectionner les participants. Après avoir ajouter les participants, vous pouvez appuyer sur le « + » dans le coin en haut à droite de l’écran.

    Cela initiera la conversation.

    Si vous souhaitez changer le nom du groupe, ajouter ou supprimer des interlocuteurs, vous pouvez le faire en cliquant sur les trois points dans le coin en haut à droite de l’écran et en sélectionnant “Edit group.”

    Comment vérifier vos contacts

    Vous pouvez maintenant vérifier l’identité de la personne avec qui vous communiquer, mais aussi procéder à une vérification de clé pour vous assurer que la clé de chiffrement est correcte et n’a pas été remplacée par une autre (une méthode appelée vérification de clé). La vérification s’effectue lorsque vous êtes en présence de la personne avec qui vous communiquez.

    Tout d’abord, rendez-vous sur l’écran ou vous pouvez écrire à vos contacts comme décrit précédemment. Depuis cet écran, sélectionnez le nom du contact en haut de l’écran.

    Sur l’écran suivant, sélectionnez "Verify Safety Numbers."

    Vous serez renvoyé vers un écran qui affiche un QR code et une liste de « chaînes de code ». Ce code est unique pour chaque contact. Demandez à votre contact d’accéder au même écran sur leur appareil mobile.

    Sur votre appareil, sélectionnez "Scan Code." Signal peut alors vous demander la permission d’accéder à votre appareil photo. Sélectionnez "OK."

    Vouz pourrez alors scanner le QR code qui s’affiche sur l’écran de votre contact en alignant votre appareil photo par rapport à son QR code :

    Si tout se déroule comme prévu, après avoir scanné le QR code, vous verrez s’afficher "Safety Numbers Verified!" comme ici :

    Cela indique que votre contact a été vérifié avec succès. Si, en revanche, votre écran affiche ceci, quelque chose n’est pas normal :

    Vous voudrez peut-être alors éviter de discuter de sujets sensibles avec ce contact jusqu'à vous ayez vérifié les clefs de cette personne.

    Note aux utilisateurs accomplis : L’écran qui affiche votre QR code affiche également une icône, dans le coin en haut à droite, permettant de partager vos chaînes de code. La vérification physique est préférable, mais vous pouvez avoir déjà vérifié votre contact via une autre application sécurisée, telle que PGP. Si vous avez déjà vérifié votre contact, vous pouvez utiliser cette méthode de vérification sans être en présence de votre contact. Dans ce cas, vous pouvez partager vos chaînes de code en sélectionnant l’icône "share" et en envoyant le code de vérification à votre contact.

    Messages éphémères

    Signal permet d’envoyer des « messages éphémères » qui disparaissent de votre appareil et de celui de votre contact après un temps déterminé. Pour activer ces messages dans une conversation, rendez-vous sur l’écran qui vous permet d’écrire à un contact. Depuis ce dernier, appuyer sur le nom de votre contact, en haut de l’écran, puis appuyer sur le curseur "Disappearing Messages."

    Un curseur apparaîtra alors pour vous permettre de choisir après combien de temps vos messages disparaîtront.

    Après avoir sélectionné une option, vous pouvez appuyer sur l’icône en forme de « < » en haut à gauche de l’écran et vous devriez voir s’afficher un message vous informant que cette fonction est activée.

    Vous pouvez désormais envoyer des messages avec la garantie qu’ils disparaîtront après la durée sélectionnée.

    Dernière actualisation: 
    2017-03-17
Next:
JavaScript license information