Surveillance
Self-Defense

Défenseur des droits de l'homme ?

  • Défenseur des droits de l'homme ?

    Recettes pour les organisations ayant besoin de se protéger des espions du gouvernement.

    Si vous dirigez une organisation dont le travail soit susceptible d'être contrôlé par les gouvernements—qu'ils soient locaux ou lorsque vous voyagez—vous devez penser à verrouiller vos communications. Voici un guide de base afin de planifier votre autodéfense contre la surveillance institutionnelle.

  • Évaluer votre degré de risques

    Tenter de protéger toutes vos données, de tout le monde, en tout temps est irréaliste et épuisant. Mais n’ayez crainte ! La sécurité est un processus, et une planification réfléchie vous permettra d’évaluer ce qui vous convient. La sécurité ne se réduit pas aux outils que vous utilisez ou aux logiciels que vous téléchargez. Elle commence par une compréhension des menaces particulières auxquelles vous êtes exposé et de la façon de vous en prémunir.

    En sécurité informatique, une menace est un événement potentiel qui pourrait compromettre vos efforts pour défendre vos données. Vous pouvez faire obstacle aux menaces auxquelles vous êtes exposé en déterminant ce que vous devez protéger, et contre qui. On appelle ce processus « modélisation des menaces ».

    Ce guide vous apprendra à modéliser les menaces, c’est-à-dire à évaluer les risques auxquels vos renseignements numériques sont exposés et à déterminer les solutions qui vous conviennent le mieux.

    À quoi pourrait ressembler la modélisation des menaces ? Disons que vous souhaitez assurer la sécurité de votre maison et de vos possessions. Voici quelques questions que vous pourriez vous poser :

    Qu’est-ce qui vaut la peine d’être protégé dans ma maison ?

    • Les biens pourraient inclure : des bijoux, des appareils électroniques, des documents financiers, des passeports ou des photos

    Contre qui les protéger ?

    • Les adversaires pourraient être : des cambrioleurs, des colocataires ou des invités

    Dans quelle mesure ai-je besoin de les protéger ?

    • Des cambriolages ont-ils déjà eu lieu dans mon quartier ? Mes colocataires ou invités sont-ils dignes de confiance ? Que pourraient faire mes adversaires ? Quels risques devrais-je prendre en considération ?

    Quelle est l’ampleur des conséquences si j’échoue ?

    • Ai-je quoi que ce soit qui ne peut pas être remplacé dans ma maison ? Ai-je le temps ou l’argent pour remplacer ces choses ? Mon assurance couvre-t-elle les biens volés dans ma maison ?

    Quelles difficultés suis-je prêt à rencontrer pour prévenir ces conséquences ?

    • Suis-je prêt à acheter un coffre pour les documents de nature délicate ? Puis-je me permettre d’acheter une serrure de haute qualité ? Ai-je le temps de louer un coffret de sécurité à ma banque locale et d’y conserver mes biens de valeur ?

    Une fois que vous vous êtes posé ces questions, vous êtes à même d’évaluer les mesures à prendre. Si vous possédez des biens de valeur, mais que le risque d’un cambriolage est moindre, vous ne voudrez alors peut-être pas investir trop d’argent dans une serrure. Mais si le risque est élevé, vous achèterez la meilleure serrure sur le marché ou envisagerez d’acheter un système de sécurité.

    Établir un modèle de menaces vous aidera à comprendre les menaces particulières auxquelles vous êtes exposé, mais aussi à évaluer vos actifs, vos adversaires et leurs possibilités d’action, tout en diminuant les risques possibles.

    Qu’est-ce que la modélisation des menaces et par où commencer ?

    La modélisation des menaces vous aide à cerner les menaces contre ce à quoi vous tenez et à déterminer contre qui vous devez le protéger. Répondez à ces cinq questions pour établir un modèle de menaces :

    1. Que veux-je protéger ?
    2. Contre qui ?
    3. Quelle est l’ampleur des conséquences si j’échoue ?
    4. Dans quelle mesure ai-je besoin de le protéger ?
    5. Quelles difficultés suis-je prêt à rencontrer pour tenter de prévenir des conséquences potentielles ?

    Regardons chacune de ces questions de plus près.

    Que veux-je protéger ?

    Un bien est quelque chose auquel vous tenez et que vous souhaitez protéger. Dans le contexte de la sécurité numérique, on parlera plutôt d’« actifs » qui seront habituellement des informations. Par exemple, vos courriels, vos listes de contacts, vos messages instantanés, votre position géographique et vos fichiers sont tous des actifs possibles.

    Rédigez une liste de vos actifs : les données que vous conservez, où elles se trouvent, qui y a accès, et enfin ce qui empêche les autres d’y accéder.

    Contre qui le protéger ?

    Pour répondre à cette question, il est important de déterminer qui pourrait vouloir prendre vos renseignements ou vous-même pour cible. Une personne ou entité qui présente une menace pour vos biens est un « adversaire ». Votre patron, votre ancien associé, votre concurrent commercial, votre gouvernement ou un pirate sur un réseau public sont des exemples d’adversaires possibles.

    Rédigez une liste de vos adversaires et de ceux qui pourraient vouloir s’emparer de vos actifs. Votre liste peut comprendre des personnes, un organisme gouvernemental ou des entreprises.

    En fonction de l’identité de vos adversaires, dans certaines conditions, vous voudrez peut-être détruire cette liste après avoir modélisé les menaces.

    Quelle est l’ampleur des conséquences si j’échoue?

    Un adversaire peut menacer vos données de différentes façons. Par exemple, un adversaire peut lire vos communications personnelles alors qu’elles transitent par le réseau, ou il peut supprimer ou corrompre vos données.

    Les intentions des adversaires diffèrent considérablement, tout comme leurs attaques. Un gouvernement qui tente d’empêcher la propagation d’une vidéo de violence policière pourrait se contenter de supprimer cette vidéo ou d’y réduire l’accès. Par contre, un adversaire politique souhaitera peut-être avoir accès à un document secret afin de le publier sans que vous le sachiez.

    La modélisation des menaces consiste aussi à comprendre la gravité des conséquences si un adversaire réussissait à attaquer un de vos actifs. Pour ce faire, vous devriez tenir compte de la possibilité d’action de votre adversaire. Par exemple, un fournisseur de télécommunications mobiles peut accéder à tous les relevés de votre téléphone et potentiellement utiliser ces données contre vous. Sur un réseau Wi-Fi ouvert, un pirate peut accéder à vos communications non chiffrées. La possibilité d’action de votre gouvernement pourrait être encore plus étendue.

    Notez ce que votre adversaire pourrait vouloir faire de vos données personnelles.

    Dans quelle mesure ai-je besoin de le protéger ?

    Le risque est la probabilité qu’une certaine menace, contre un actif particulier, se réalise effectivement. Il va de pair avec la possibilité d’action. Bien que votre fournisseur de télécommunications mobiles puisse accéder à toutes vos données, le risque qu’il publie en ligne vos données personnelles pour nuire à votre réputation est faible.

    Il est important d’établir une distinction entre menaces et risques. Bien qu’une menace soit une chose fâcheuse qui pourrait avoir lieu, le risque est la probabilité que cette menace se réalise. Par exemple, il y a menace que votre bâtiment s’effondre, mais le risque que cela arrive est bien plus grand à San Francisco (où les tremblements de terre sont fréquents) qu’à Stockholm (où ce n’est pas le cas). Effectuer une analyse des risques est à la fois un processus personnel et subjectif ; tout le monde n’a pas les mêmes priorités ni ne perçoit les menaces de la même façon. Nombreux sont ceux qui trouvent certaines menaces inacceptables, quel que soit le risque, car la seule présence de menace, probable ou non, ne vaut pas le coût. Dans d’autres cas, les gens ignorent des risques élevés, car ils ne considèrent pas la menace comme un problème.

    Notez les menaces que vous allez prendre au sérieux et celles qui sont trop rares ou trop anodines (ou encore trop difficiles à combattre) pour vous en soucier.

    Quelles difficultés suis-je prêt à rencontrer pour prévenir ces conséquences ?

    Il faut effectuer l’analyse des risques pour répondre à cette question. Tout le monde n’a pas les mêmes priorités ni ne perçoit les menaces de la même façon.

    Par exemple, un avocat qui représente un client dans un cas de sécurité nationale sera probablement prêt à aller beaucoup plus loin pour protéger les communications concernant ce cas, comme chiffrer les courriels, qu’une mère qui envoie fréquemment des vidéos amusantes de chats à sa fille.

    Notez les options qui s’offrent à vous pour vous aider à atténuer vos menaces particulières. Notez aussi si vous avez des contraintes financières, techniques ou sociales.

    La modélisation des menaces comme pratique habituelle

    N’oubliez pas que votre modèle de menace peut évoluer en fonction de votre situation. C’est pourquoi il est de bonne pratique d’effectuer des évaluations fréquentes du modèle de menaces.

    Créez votre propre modèle de menaces en fonction de votre situation particulière. Inscrivez ensuite un rappel futur dans votre agenda, rappel qui vous invitera à revoir votre modèle de menaces et à évaluer si votre liste d’actifs est toujours pertinente à votre situation.

     

    Dernière révision: 
    10-01-2019
  • Communicating with Others

    Telecommunication networks and the Internet have made communicating with people easier than ever, but have also made surveillance more prevalent. Without taking extra steps to protect your privacy, every phone call, text message, email, instant message, video and audio chat, and social media message could be vulnerable to eavesdroppers.

    Often the most privacy-protective way to communicate with others is in person, without computers or phones being involved at all. Because this isn’t always possible, the next best thing is to use end-to-end encryption.

    How Does End-to-End Encryption Work?

    End-to-end encryption ensures that information is turned into a secret message by its original sender (the first “end”), and decoded only by its final recipient (the second “end”). This means that no one can “listen in” and eavesdrop on your activity, including wifi cafe snoops, your Internet service provider, and even the website or app you are using itself. Somewhat counter-intuitively, just because you access messages in an app on your phone or information from a website on your computer does not mean that the app company or website platform itself can see it. This is a core characteristic of good encryption: even the people who design and deploy it cannot themselves break it.

    All the tools that have guides on the SSD site use end-to-end encryption. You can use end-to-end encryption for any kind of communication — including voice and video calls, messaging and chat, and email.

    (Not to be confused with end-to-end encryption is transport-layer encryption. While end-to-end encryption protects messages, for example, all the way from you to your recipient, transport-layer encryption only protects them as they travel from your device to the app’s servers and from the app’s servers to your recipient’s device. In the middle, your messaging service provider—or the website you are browsing, or the app you are using—can see unencrypted copies of your messages.)

    Under the hood, end-to-end encryption works like this: When two people want to communicate via end-to-end encryption (for example, Akiko and Boris) they must each generate pieces of data, called keys. These keys can be used to turn data that anyone can read into data that can be only read by someone who has a matching key. Before Akiko sends a message to Boris, she encrypts it to Boris's key so that only Boris can decrypt it. Then she sends this encrypted message across the Internet. If anyone is eavesdropping on Akiko and Boris—even if they have access to the service that Akiko is using to send this message (such as her email account)—they will only see the encrypted data and will be unable read the message. When Boris receives it, he must use his key to decrypt it into a readable message.

    Some services, like Google Hangouts, advertise “encryption,” but use keys that are created and controlled by Google, not the sender and final receiver of the message. This is not end-to-end encryption. To be truly secure, only the “ends” of the conversation should have the keys that let them encrypt and decrypt. If the service you use controls the keys, that is transport layer-encryption instead.

    End-to-end encryption means that users must keep their keys secret. It can also mean doing work to make sure the keys used to encrypt and decrypt belong to the right people. Using end-to-end encryption can involve some effort—from simply choosing to download an app that offers it to proactively verifying keys—but it's the best way for users to verify the security of their communications without having to trust the platform that they're both using.

    Learn more about encryption in What Should I know About Encryption?, Key Concepts in Encryption, and Different Types of Encryption. We also explain one particular kind of end-to-end encryption—called “public key encryption”—in more detail in A Deep Dive on End-to-End Encryption.

    Phone Calls and Text Messages versus Encrypted Internet Messages

    When you make a call from a landline or a mobile phone, your call is not end-to-end encrypted. When you send a text message (also known as SMS) on a phone, the text is not encrypted at all. Both allow governments or anyone else with power over the phone company to read your messages or record your calls. If your risk assessment includes government interception, you may prefer to use encrypted alternatives that operate over the Internet. As a bonus, many of these encrypted alternatives also offer video.

    Some examples of services or software that offer end-to-end encrypted texting and voice and video calls include:

    Some examples of services that do not offer end-to-end encryption by default include:

    • Google Hangouts
    • Kakao Talk
    • Line
    • Snapchat
    • WeChat
    • QQ
    • Yahoo Messenger

    And some services, like Facebook Messenger and Telegram, only offer end-to-end encryption if you explicitly turn it on. Others, like iMessage, only offer end-to-end encryption when both users are using a particular device (in the case of iMessage, both users need to be using an iPhone).

    How Much Can You Trust Your Messaging Service?

    End-to-end encryption can defend you against surveillance by governments, hackers, and the messaging service itself. But all of those groups might be able to make secret changes in the software you use so that even if it claims to use end-to-end encryption, it is really sending your data unencrypted or with weakened encryption.

    Many groups, including EFF, spend time watching well-known providers (like WhatsApp, which is owned by Facebook, or Signal) to make sure they really are providing the end-to-end encryption they promise. But if you are concerned about these risks, you can use tools that use publicly known and reviewed encryption techniques and are designed to be independent of the transport systems they use. OTR and PGP are two examples. These systems rely on user expertise to operate, are often less user-friendly, and are older protocols that don’t use all of the modern best encryption techniques.

    Off-the-Record (OTR) is an end-to-end encryption protocol for real-time text conversations that can be used on top of a variety of instant messaging services. Some tools that incorporate OTR include:

    PGP (or Pretty Good Privacy) is the standard for end-to-end encryption of email. For detailed instructions on how to install and use PGP encryption for your email, see:

    PGP for email is best-suited for technically experienced users communicating with other technically experienced users who are well aware of PGP’s complexities and limitations.

    What End-To-End Encryption Does Not Do

    End-to-end encryption only protects the content of your communication, not the fact that you are communicating in the first place. It does not protect your metadata, which includes, for example, the subject line of an email, who you are communicating with, and when. If you are making a call from a cell phone, information about your location is also metadata.

    Metadata can provide extremely revealing information about you even when the content of your communication remains secret.

    Metadata about your phone calls can give away some very intimate and sensitive information. For example:

    • They know you rang a phone sex service at 2:24 am and spoke for 18 minutes, but they don't know what you talked about.
    • They know you called the suicide prevention hotline from the Golden Gate Bridge, but the topic of the call remains a secret.
    • They know you spoke with an HIV testing service, then your doctor, then your health insurance company in the same hour, but they don't know what was discussed.
    • They know you received a call from the local NRA office while it was having a campaign against gun legislation, and then called your senators and congressional representatives immediately after, but the content of those calls remains safe from government intrusion.
    • They know you called a gynecologist, spoke for a half hour, and then called the local Planned Parenthood's number later that day, but nobody knows what you spoke about.

    Other Important Features

    End-to-end encryption is only one of many features that may be important to you in secure communication. As described above, end-to-end encryption is great for preventing companies and governments from accessing your messages. But for many people, companies and governments are not the biggest threat, and therefore end-to-end encryption might not be the biggest priority.

    For example, if someone is worried about a spouse, parent, or employer with physical access to their device, the ability to send ephemeral, “disappearing” messages might be their deciding factor in choosing a messenger. Someone else might be worried about giving their phone number out, and so the ability to use a non-phone-number “alias” might be important.

    More generally, security and privacy features are not the only variables that matter in choosing a secure communications method. An app with great security features is worthless if none of your friends and contacts use it, and the most popular and widely used apps can vary significantly by country and community. Poor quality of service or having to pay for an app can also make a messenger unsuitable for some people.

    The more clearly you understand what you want and need out of a secure communication method, the easier it will be to navigate the wealth of extensive, conflicting, and sometimes outdated information available.

    Dernière révision: 
    07-12-2018
  • Assurer la sécurité de vos données

    Si vous possédez un téléphone intelligent, un ordinateur portable ou une tablette, vous transportez avec vous une quantité considérable de données en tout temps. Vos contacts sociaux, vos communications privées, vos documents et photos personnels (dont nombre contiennent des renseignements confidentiels sur des douzaines, voire des milliers de personnes) ne sont que quelques exemples de ce que vous pouvez stocker sur vos appareils numériques. Dans la mesure où nous stockons et transportons tant de données, il peut être difficile d’en assurer la sécurité, d’autant plus qu’elles peuvent vous être enlevées relativement facilement.

    Vos données peuvent être saisies à la frontière, vous être dérobées dans la rue, ou encore vous être volées chez vous et copiées en quelques secondes. Malheureusement, verrouiller votre appareil par mot de passe, NIP ou geste ne protégera pas vos données si l’appareil même est saisi. Il est assez facile de contourner de tels verrous, car vos données sont stockées dans l’appareil sous une forme facilement lisible. Un adversaire n’aurait qu’à accéder directement à la mémoire afin de copier ou d’examiner vos données sans connaître votre mot de passe.

    Cela dit, vous pouvez compliquer la tâche de ceux qui volent physiquement vos données et tentent d’en percer les secrets. Voici quelques mesures que vous pouvez prendre pour augmenter la sécurité de vos données.

    Chiffrer vos données

    Si vous avez recours au chiffrement, votre adversaire doit avoir à la fois votre appareil et votre mot de passe pour désembrouiller les données chiffrées. Il est par conséquent plus sûr de chiffrer toutes vos données que seulement quelques dossiers. La plupart des téléphones intelligents ou ordinateurs offrent le chiffrement du disque entier comme option.

    Pour les téléphones intelligents et les tablettes :

    • Android offre le chiffrement du disque entier lors de la configuration initiale de votre téléphone pour les appareils plus récents, ou n’importe quand par la suite dans ses paramètres de « Sécurité » pour tous les appareils.
    • Les appareils Apple tels que l’iPhone ou l’iPad font référence à la « protection des données » et l’activent quand vous définissez un code.

    Pour les ordinateurs :

    • Apple propose une fonction intégrée de chiffrement du disque entier sur macOS appelée FileVault.
    • Les versions de Linux offrent habituellement le chiffrement du disque entier lors de la configuration initiale de votre système.
    • Windows Vista et versions ultérieures proposent une fonction de chiffrement du disque entier appelée BitLocker.

    Le code de BitLocker est fermé et propriétaire, ce qui signifie que les spécialistes chargés de l’examen critique peuvent difficilement connaître son niveau de sécurité. L’utilisation de BitLocker exige que vous fassiez confiance à Microsoft pour qu’ils fournissent un système de stockage sécurisé sans vulnérabilités cachées. D’autre part, si vous utilisez déjà Windows, vous faites déjà confiance à Microsoft dans la même mesure. Si vous vous inquiétez de la surveillance du genre d’adversaires qui pourraient connaître ou tirer partie d’une porte dérobée soit dans Windows soit dans BitLocker, envisagez un système d’exploitation de remplacement tel que GNU/Linux ou BSD, plus précisément une version qui a été renforcée pour résister aux attaques visant la sécurité, telle que Tails ou Qubes OS. Vous pouvez par ailleurs envisager d’installer un autre logiciel de chiffrement de disque, Veracrypt (site en anglais), pour chiffrer votre disque dur.

    Souvenez-vous : quel que soit le nom que votre appareil lui donne, le chiffrement n’est efficace que si votre mot de passe l’est. Si un adversaire prend possession de votre appareil, il aura tout le temps nécessaire pour découvrir vos mots de passe. Une façon efficace de créer un mot de passe robuste et mémorisable (page en anglais) est d’utiliser des dés (page en anglais) ainsi qu’une liste de mots (page en anglais) pour choisir des mots au hasard. Ensemble, ces mots forment votre « phrase de passe ». Une phrase de passe est une sorte de mot de passe rallongé pour une sécurité accrue. Pour le chiffrement du disque, nous recommandons de choisir un minimum de six mots. Consulter notre guide sur la création de mots de passe robustes pour plus d’informations.

    Il serait peut-être irréaliste que vous appreniez et saisissiez une longue phrase de passe sur votre téléphone intelligent ou sur votre appareil mobile. Ainsi, bien que le chiffrement puisse être utile pour prévenir des accès occasionnels, vous devriez protéger les données vraiment confidentielles en les mettant à l’abri d’un accès physique par des adversaires, ou à l’écart dans un appareil bien plus sûr.

    Créer un appareil sûr

    Il peut être difficile d’assurer la sécurité d’un environnement. Dans le meilleur des cas, vous devez changer vos mots de passe, vos habitudes et peut-être aussi les logiciels que vous utilisez sur votre ordinateur principal ou sur votre appareil. Dans le pire des cas, vous devez constamment évaluer si vous divulguez des informations confidentielles ou le danger que représentent vos pratiques. Même si vous connaissez les problèmes, vous ne pourrez peut-être pas appliquer de solutions, car parfois les personnes avec qui vous devez communiquer ont des pratiques de sécurité numérique dangereuses. Par exemple, vos collègues de travail vous demandent peut-être d’ouvrir les pièces jointes aux courriels qu’ils vous envoient, même si vous savez que vos adversaires pourraient usurper leur identité et vous envoyer des programmes malveillants.

    Alors, quelle est la solution ? Envisagez de tenir à l’écart vos données et communications précieuses dans un appareil plus sûr. Vous pouvez utiliser l’appareil sûr pour conserver l’exemplaire principal de vos données confidentielles. N’utilisez cet appareil qu’occasionnellement et quand vous le faites, veillez bien davantage à vos actions, sciemment. Si vous devez ouvrir des fichiers joints ou utiliser des programmes non sécurisés, faites-le sur une autre machine.

    Un ordinateur supplémentaire, sécurisé, n’est peut-être pas une option aussi coûteuse que vous le pensez. Un ordinateur qui est rarement utilisé et qui n’exécute que quelques programmes n’a pas besoin d’être particulièrement rapide ni récent. Vous pouvez acheter un ancien mini-ordinateur portable pour une fraction du prix d’un ordinateur portable ou d’un téléphone moderne. Les machines plus anciennes offrent aussi l’avantage que les logiciels sécurisés comme Tails fonctionneront vraisemblablement mieux sur ces machines que sur les nouveaux modèles. Un conseil d’ordre général s’avère presque toujours. Quand vous achetez un appareil ou un système d’exploitation, assurez-vous de le garder à jour grâce aux mises à jour logicielles. Les mises à jour corrigeront souvent des problèmes de sécurité présents dans du code plus ancien que les attaques peuvent exploiter. Veuillez noter que certains systèmes d’exploitation plus anciens pourraient ne plus recevoir de soutien, même pour les mises à jour de sécurité.

    Lors de la mise en place d’un ordinateur sûr, quelles mesures prendre pour le rendre sûr ?

    1. Gardez votre appareil bien à l’abri et ne parlez pas de l’endroit où il se trouve, un endroit où vous pourriez savoir s’il a été manipulé, altéré à votre insu, par exemple dans une armoire sous clé.
    2. Chiffrez le disque dur de votre ordinateur avec une phrase de passe robuste afin que s’il était volé, les données resteraient illisibles sans la phrase de passe.
    3. Installez un système d’exploitation axé sur la confidentialité et la sécurité comme Tails. Vous ne pourrez peut-être pas (ou ne voudrez pas) utiliser un système d’exploitation à code source ouvert dans votre travail de tous les jours, mais si vous devez seulement stocker, modifier et rédiger des courriels confidentiels ou des messages instantanés à partir de cet appareil sûr, Tails fonctionnera bien et offrira par défaut des paramètres assurant une sécurité élevée.
    4. Assurez-vous que votre appareil est déconnecté, hors ligne. Il n’est pas surprenant que la meilleure façon de vous protéger contre les attaques provenant d’Internet ou contre la surveillance en ligne soit de ne jamais vous connecter à Internet. Vous pourriez vous assurer que votre appareil sûr ne se connecte jamais à un réseau local ou Wi-Fi, et que vous ne copiez des fichiers sur cette machine qu’en utilisant des supports physiques comme des DVD ou des clés USB. En sécurité des réseaux, on parlera d’« isolement », car l’ordinateur n’a pas de contact avec le reste du monde. Bien qu’extrême, cela pourrait être une solution si vous souhaitez protéger les données auxquelles vous accédez rarement, mais que vous ne voulez jamais perdre (telles qu’une clé de chiffrement, une liste de mots de passe ou une copie de sauvegarde de données confidentielles que quelqu’un vous a confiée). Dans la plupart de ces cas, vous pourriez envisager de n’avoir qu’un appareil de stockage caché, plutôt qu’un ordinateur complet. Par exemple, une clé USB chiffrée cachée en lieu sûr est probablement aussi utile (ou aussi inutile) qu’un ordinateur complet déconnecté d’Internet.
    5. Ne vous connectez pas à vos comptes habituels. Si vous utilisez votre appareil sûr pour vous connecter à Internet, créez des comptes Web et courriel séparés que vous utiliserez pour les communications à partir de cet appareil, et utilisez Tor (voir nos guides pour Linux, macOS, Windows) pour cacher votre adresse IP aux yeux de ces services. Si quelqu’un décide de cibler plus précisément votre identité avec des programmes malveillants ou intercepte seulement vos communications, des comptes séparés combinés à Tor peuvent aider à briser le lien entre votre identité et cette machine particulière.

     

    Bien qu’avoir un appareil sûr qui contient des informations importantes et confidentielles puisse contribuer à les protéger des adversaires, cela crée aussi une cible évidente. Vous courez alors le risque de perdre le seul exemplaire de vos données si la machine était détruite. Si la perte de toutes vos données pouvait profiter à votre adversaire, ne les gardez pas au même endroit, aussi sûr soit-il. Chiffrez une copie et conservez-la ailleurs.

    Une variante de l’idée d’une machine sûre est d’avoir une machine qui ne l’est pas : un appareil que vous n’utilisez que si vous vous rendez en un lieu dangereux ou si vous tentez une opération risquée. Par exemple, de nombreux journalistes et activistes emportent avec eux un simple mini-ordinateur portable lors de leurs déplacements. Cet ordinateur ne contient aucun de leurs documents ni contacts habituels ni courriels, et ne représenterait qu’une perte minimale s’il était confisqué ou examiné par balayage. Vous pouvez appliquer la même stratégie aux téléphones mobiles. Si vous utilisez habituellement un téléphone intelligent, envisagez d’acheter un téléphone mobile jetable pour certaines communications particulières lors de vos déplacements.

    Dernière révision: 
    28-06-2018
  • Éléments à prendre en considération lors du passage à la frontière des É.-U.

    Prévoyez-vous de traverser bientôt la frontière des États-Unis ? Saviez-vous que le gouvernement a le droit de fouiller les voyageurs à la frontière sans mandat d’inspection (même lorsqu’ils arrivent dans des aéroports internationaux) dans le cadre de son pouvoir traditionnel de contrôler le flux des produits dans le pays ? (Bien que certaines des mêmes justifications juridiques existent pour valider la fouille des personnes quittant les É.-U. et que de telles fouilles sont possibles, les voyageurs ne sont pas systématiquement fouillés en sortant du pays.)

    Pour une analyse plus poussée de cette question, consultez le guide de la FFÉ, Protection des renseignements personnels numériques à la frontière des É.-U : protéger les données sur vos appareils. (guide en anglais)

    Voici quelques éléments à retenir lors du passage à la frontière des É.-U. :

    Les agents frontaliers pourraient exiger d’accéder à vos données numériques. Prenez en considération vos facteurs personnels d’appréciation du risque. Votre statut de citoyen ou d’immigrant, vos antécédents de voyage, la nature délicate de vos données et d’autres facteurs pourraient influencer leurs choix.

    Soyez conscient que des précautions inhabituelles pourraient éveiller les soupçons des agents frontaliers.

    • Sauvegardez vos appareils. Cela pourrait être utile si l’un ou plusieurs de vos appareils étaient saisis. Vous pouvez utiliser un service de sauvegarde en ligne ou un disque dur externe, bien que nous ne recommandions pas que vous transportiez à la fois votre ordinateur portable et votre disque dur de sauvegarde.
    • Réduisez la quantité de données que vous passez à la frontière. Envisagez de voyager avec un ordinateur portable « propre », mais notez bien qu’il ne suffit pas de glisser des fichiers vers la corbeille pour les supprimer complètement. Assurez-vous de supprimer vos fichiers de façon sécurisée. Envisagez de laisser votre téléphone mobile habituel à la maison, d’acheter un téléphone temporaire et d’y transférer votre carte SIM, ou d’obtenir un nouveau numéro une fois arrivé à destination.
    • Chiffrez vos appareils. Nous recommandons d’utiliser le chiffrement du disque entier sur vos appareils (ordinateurs portables, téléphones mobiles, etc.) et de choisir des phrases de passe robustes.
    • Si un agent des services frontaliers vous demande votre phrase de passe, vous n’avez pas à obtempérer. Seul un juge peut vous obliger à divulguer de telles informations. Cependant, un refus d’obtempérer pourrait avoir des conséquences : pour les personnes qui ne sont pas citoyennes des É.-U., l’entrée dans le pays pourrait vous être refusée ; pour les citoyens étatsuniens, votre appareil pourrait être saisi et vous pourriez être détenu pendant plusieurs heures.
    • Éteignez vos appareils avant d’arriver à la frontière pour bloquer les attaques qui font appel à des technologies sophistiquées.
    • Ne comptez pas sur le verrouillage par empreinte ou autres verrous biométriques ; ils sont moins robustes que les mots de passe.
    • Pour les applis et navigateurs installés sur votre appareil, les agents peuvent accéder aux données nuagiques, soit directement soit à partir du cache. Envisagez de vous déconnecter, de supprimer les renseignements de connexion enregistrés ou même de désinstaller les applis de nature délicate.
    • Lors de vos échanges avec les agents frontaliers, souvenez-vous de trois choses : soyez courtois, ne mentez pas, et n’interférez pas physiquement avec la fouille menée par les agents. Les agents frontaliers ont le droit d’examiner les aspects physiques de votre appareil (par exemple, pour s’assurer que des drogues ne sont pas stockées dans le compartiment de la pile de votre ordinateur portable).

    Si vous n’êtes pas certain de mémoriser ces conseils, consultez le Guide de poche sur la fouille à la frontière (guide en anglais) de la FFÉ, conçu pour être imprimé, plié et glissé dans votre poche lors d’un voyage.

    Dernière révision: 
    29-10-2018
  • Choisir le RPV qui vous convient

    Qu’est-ce qu’un RPV ? RPV signifie « réseau privé virtuel ». Il permet à un ordinateur d’envoyer et de recevoir des données par des réseaux partagés ou publics comme s’il était directement connecté au réseau privé, profitant de la fonctionnalité, de la sécurité et des politiques de gestion du réseau privé.

    À quoi un RPV sert-il ?

    Vous pouvez utiliser un RPV pour vous connecter à l’intranet d’entreprise de votre bureau alors que vous voyagez à l’étranger, que vous êtes à la maison ou chaque fois que vous n’êtes pas au bureau.

    Vous pouvez aussi utiliser un RPV commercial pour chiffrer vos données alors qu’elles transitent par un réseau public, tel que le Wi-Fi d’un café Internet ou d’un hôtel.

    Vous pouvez utiliser un RPV commercial pour contourner la censure d’Internet sur un réseau qui bloque certains sites ou services. Par exemple, certains utilisateurs chinois utilisent des RPV pour accéder à des sites Web bloqués par le grand pare-feu.

    Vous pouvez aussi vous connecter à votre réseau domestique en exploitant votre propre service RPV, grâce à des logiciels à code source ouvert tels qu’OpenVPN.

    Qu’est-ce qu’un RPV ne fait pas ?

    Un RPV protège votre trafic Internet contre la surveillance sur le réseau public, mais il ne protège pas vos données contre les personnes qui se trouvent sur le réseau privé que vous utilisez. Si vous utilisez un RPV d’entreprise, les personnes qui exploitent le réseau d’entreprise pourront alors voir votre trafic. Si vous utilisez un RPV commercial, les personnes qui exploitent le service pourront voir votre trafic.

    Un service RPV de mauvaise réputation pourrait le faire délibérément, pour recueillir des renseignements personnels ou autres données de valeur.

    Le gestionnaire de votre RPV d’entreprise ou commercial pourrait aussi subir des pressions de gouvernements ou d’organismes d’application de la loi pour remettre des informations concernant les données que vous avez envoyées par le réseau. Vous devriez chercher dans la politique de confidentialité de votre fournisseur de RPV des informations concernant les circonstances dans lesquelles votre fournisseur de RPV pourrait remettre vos données aux gouvernements ou organismes d’application de la loi.

    Vous devriez aussi porter attention aux pays dans lesquels le fournisseur de RPV fait affaire. Le fournisseur sera soumis aux lois de ces pays, ce qui pourrait inclure à la fois les demandes de renseignements de ces pays, mais aussi de pays avec lesquels ils ont un traité d’entraide judiciaire mutuelle. Dans certains cas, les lois permettront des demandes sans que vous en soyez avisé et sans que vous ayez la possibilité de contester la demande.

    La plupart des RPV commerciaux exigeront que vous payiez en utilisant une carte de crédit, ce qui révélera des renseignements sur vous que vous ne voudriez peut-être pas divulguer à votre fournisseur de RPV. Si vous ne souhaitez pas communiquer votre numéro de carte de crédit à votre fournisseur de RPV commercial, vous pourriez utiliser un fournisseur de RPV qui accepte les bitcoins, ou encore utiliser des numéros de carte de crédit éphémères ou jetables. Veuillez aussi noter que le fournisseur de RPV pourrait recueillir votre adresse IP quand vous utilisez son service, adresse qui pourrait être utilisée pour vous identifier, même si vous utilisez un moyen de paiement de remplacement. Si vous souhaitez cacher votre adresse IP à votre fournisseur de RPV, vous pourriez utiliser Tor pour vous connecter à votre RPV.

    Pour des renseignements sur des services RPV précis, cliquez ici (site en anglais).

    Nous, à la FFÉ, ne pouvons répondre des évaluations de ces RPV. Des RPV dont les politiques de confidentialité sont exemplaires pourraient être exploités par des personnes sournoises. N’utilisez pas un RPV en lequel vous n’avez pas confiance.

    Dernière révision: 
    09-06-2016
Next:
JavaScript license information