Surveillance
Self-Defense

Défenseur des droits de l'homme ?

  • Défenseur des droits de l'homme ?

    Recettes pour les organisations ayant besoin de se protéger des espions du gouvernement.

    Si vous dirigez une organisation dont le travail soit susceptible d'être contrôlé par les gouvernements—qu'ils soient locaux ou lorsque vous voyagez—vous devez penser à verrouiller vos communications. Voici un guide de base afin de planifier votre autodéfense contre la surveillance institutionnelle.

  • Votre plan de sécurité

    Tenter de protéger toutes vos données, de tout le monde, en tout temps est irréaliste et épuisant. Mais n’ayez crainte ! La sécurité est un processus, et une planification réfléchie vous permettra d’établir un plan qui vous convient. La sécurité ne se réduit pas aux outils que vous utilisez ou aux logiciels que vous téléchargez. Elle commence par une compréhension des menaces particulières auxquelles vous êtes exposé et de la façon de vous en prémunir.

    En sécurité informatique, une menace est un événement potentiel qui pourrait compromettre vos efforts pour défendre vos données. Vous pouvez faire obstacle aux menaces auxquelles vous êtes exposé en déterminant ce que vous devez protéger, et contre qui. C’est le processus de planification de la sécurité, souvent appellé « modélisation des menaces ».

    Ce guide vous apprendra à établir un plan de sécurité pour vos renseignements numériques et à déterminer les solutions qui vous conviennent le mieux.

    À quoi pourrait ressembler un plan de sécurité ? Disons que vous souhaitez assurer la sécurité de votre maison et de vos possessions. Voici quelques questions que vous pourriez vous poser :

    Qu’est-ce qui vaut la peine d’être protégé dans ma maison ?

    • Les biens pourraient inclure : des bijoux, des appareils électroniques, des documents financiers, des passeports ou des photos

    Contre qui les protéger ?

    • Les adversaires pourraient être : des cambrioleurs, des colocataires ou des invités

    Dans quelle mesure ai-je besoin de les protéger ?

    • Des cambriolages ont-ils déjà eu lieu dans mon quartier ? Mes colocataires ou invités sont-ils dignes de confiance ? Que pourraient faire mes adversaires ? Quels risques devrais-je prendre en considération ?

    Quelle est l’ampleur des conséquences si j’échoue ?

    • Ai-je quoi que ce soit qui ne peut pas être remplacé dans ma maison ? Ai-je le temps ou l’argent pour remplacer ces choses ? Mon assurance couvre-t-elle les biens volés dans ma maison ?

    Quelles difficultés suis-je prêt à rencontrer pour prévenir ces conséquences ?

    • Suis-je prêt à acheter un coffre pour les documents de nature délicate ? Puis-je me permettre d’acheter une serrure de haute qualité ? Ai-je le temps de louer un coffret de sécurité à ma banque locale et d’y conserver mes biens de valeur ?

    Une fois que vous vous êtes posé ces questions, vous êtes à même d’évaluer les mesures à prendre. Si vous possédez des biens de valeur, mais que la probabilité d’un cambriolage est moindre, vous ne voudrez alors peut-être pas investir trop d’argent dans une serrure. Mais si la probabilité est élevée, vous achèterez la meilleure serrure sur le marché ou envisagerez d’acheter un système de sécurité.

    Établir un plan de sécurité vous aidera à comprendre les menaces particulières auxquelles vous êtes exposé, mais aussi à évaluer vos actifs, vos adversaires et leurs possibilités d’action, tout en diminuant les risques possibles.

    Comment puis-je établir mon propre plan de sécurité ? Par où commencer ?

    La planification de la sécurité vous aide à cerner ce qui pourrait arriver aux choses auxquelles vous tenez et à déterminer contre qui vous devez les protéger. Répondez à ces cinq questions quand vous établissez un plan de sécurité :

    1. Que veux-je protéger ?
    2. Contre qui ?
    3. Quelle est l’ampleur des conséquences si j’échoue ?
    4. Dans quelle mesure ai-je besoin de le protéger ?
    5. Quelles difficultés suis-je prêt à rencontrer pour tenter de prévenir des conséquences potentielles ?

    Regardons chacune de ces questions de plus près.

    Que veux-je protéger ?

    Un bien est quelque chose auquel vous tenez et que vous souhaitez protéger. Dans le contexte de la sécurité numérique, on parlera plutôt d’« actifs » qui seront habituellement des informations. Par exemple, vos courriels, vos listes de contacts, vos messages instantanés, votre position géographique et vos fichiers sont tous des actifs possibles.

    Rédigez une liste de vos actifs : les données que vous conservez, où elles se trouvent, qui y ont accès, et enfin ce qui empêche les autres d’y accéder.

    Contre qui le protéger ?

    Pour répondre à cette question, il est important de déterminer qui pourrait vouloir prendre vos renseignements ou vous pour cible. Une personne ou entité qui présente une menace pour vos biens est un « adversaire ». Votre patron, votre ancien associé, votre concurrent commercial, votre gouvernement ou un pirate sur un réseau public sont des exemples d’adversaires possibles.

    Rédigez une liste de vos adversaires et de ceux qui pourraient vouloir s’emparer de vos actifs. Votre liste peut comprendre des personnes, un organisme gouvernemental ou des entreprises.

    En fonction de l’identité de vos adversaires, dans certaines conditions, vous voudrez peut-être détruire cette liste après avoir planifié la sécurité.

    Quelle est l’ampleur des conséquences si j’échoue?

    Un adversaire pourrait accéder à vos données de différentes façons. Par exemple, un adversaire peut lire vos communications personnelles alors qu’elles transitent par le réseau, ou il peut supprimer ou corrompre vos données.

    Les intentions des adversaires diffèrent considérablement, tout comme leurs tactiques. Un gouvernement qui tente d’empêcher la propagation d’une vidéo de violence policière pourrait se contenter de supprimer cette vidéo ou d’y réduire l’accès. Par contre, un adversaire politique souhaitera peut-être avoir accès à un document secret afin de le publier sans que vous le sachiez.

    La planification de la sécurité implique aussi de comprendre la gravité des conséquences si un adversaire réussissait à accéder à l’un de vos actifs. Pour ce faire, vous devriez tenir compte de la possibilité d’action de votre adversaire. Par exemple, votre fournisseur de télécommunications mobiles peut accéder à tous les relevés de votre téléphone. Sur un réseau Wi-Fi ouvert, un pirate peut accéder à vos communications non chiffrées. La possibilité d’action de votre gouvernement pourrait être encore plus étendue.

    Notez ce que votre adversaire pourrait vouloir faire de vos données personnelles.

    Dans quelle mesure ai-je besoin de le protéger ?

    Le risque est la probabilité qu’une certaine menace, contre un actif particulier, se réalise effectivement. Il va de pair avec la possibilité d’action. Bien que votre fournisseur de télécommunications mobiles puisse accéder à toutes vos données, le risque qu’il publie en ligne vos données personnelles pour nuire à votre réputation est faible.

    Il est important de faire une distinction entre ce qui pourrait arriver et la probabilité que cela arrive. Par exemple, il y a menace que votre bâtiment s’effondre, mais le risque que cela arrive est bien plus grand à San Francisco (où les tremblements de terre sont fréquents) qu’à Stockholm (où ce n’est pas le cas).

    Évaluer les risques est à la fois un processus personnel et subjectif. Nombreux sont ceux qui trouvent certaines menaces inacceptables, quelle que soit la probabilité qu’elles se concrétisent, car la seule présence de menace, probable ou non, ne vaut pas le coût. Dans d’autres cas, les gens ignorent des risques élevés, car ils ne considèrent pas la menace comme un problème.

    Notez les menaces que vous allez prendre au sérieux et celles qui sont trop rares ou trop anodines (ou encore trop difficiles à combattre) pour vous en soucier.

    Quelles difficultés suis-je prêt à rencontrer pour prévenir ces conséquences ?

    Il n’y a pas d’option parfaite en matière de sécurité. Tout le monde n’a pas les mêmes priorités, les mêmes inquiétudes, ni le même accès à des ressources. Votre évaluation du risque vous permettra de planifier la stratégie de sécurité qui vous convient, en assurant un équilibre entre commodité, coût et confidentialité.

    Par exemple, un avocat qui représente un client dans un cas de sécurité nationale pourrait aller beaucoup plus loin pour protéger les communications concernant ce cas, comme chiffrer les courriels, qu’une mère qui envoie fréquemment des vidéos amusantes de chats à sa fille.

    Notez les options qui s’offrent à vous pour vous aider à atténuer vos menaces particulières. Notez aussi si vous avez des contraintes financières, techniques ou sociales.

    La planification de la sécurité comme pratique habituelle

    N’oubliez pas que votre plan de sécurité peut évoluer en fonction de votre situation. C’est pourquoi il est de bonne pratique de revoir votre plan de sécurité fréquemment.

    Créez votre propre plan de sécurité en fonction de votre situation particulière. Inscrivez ensuite un rappel futur dans votre agenda, rappel qui vous invitera à revoir votre plan et à évaluer s’il s’applique toujours à votre situation.

    Dernière révision : 
    10-01-2019
  • Communiquer avec autrui

    Grâce aux réseaux de télécommunication et à Internet, il est plus facile que jamais de communiquer entre nous, mais cela a aussi entraîné une surveillance plus répandue. Sans prendre des mesures supplémentaires pour protéger votre vie privée, appels téléphoniques, messages texte, courriels, messages instantanés, conversations audio et vidéo et messages sur les réseaux sociaux pourraient tous être la proie d’écoute électronique.

    Une des façons les plus confidentielles de communiquer avec autrui est souvent de le faire en personne, sans qu’aucun ordinateur ni téléphone soient impliqués du tout. Dans la mesure où cela n’est pas toujours possible, le chiffrement de bout en bout est la meilleure option qui s’offre.

    Comment le chiffrement de bout en bout fonctionne-t-il ?

    Le chiffrement de bout en bout garantit que l’information est transformée en un message secret par son expéditeur original (le premier « bout »), pour n’être décodée que par son destinataire final (le second « bout »). Cela signifie que personne ne peut ni écouter ni surveiller votre activité, pas même les espions des cafés Internet, pas plus que votre fournisseur d’accès à Internet, ni même le site Web ou l’appli que vous utilisez. Même si cela semble contre-intuitif, le fait que vous accédiez à des messages dans une appli sur votre téléphone ou au contenu d’un site Web sur votre ordinateur ne signifie pas que la société derrière l’appli ou la plateforme du site Web peuvent les voir. C’est une caractéristique essentielle d’un bon chiffrement : même les personnes qui le conçoivent et le déploient ne peuvent pas le craquer.

    Tous les outils pour lesquels vous trouverez des guides sur le site d’Autodéfense contre la surveillance (ACS) font appel au chiffrement de bout en bout. Vous pouvez utiliser le chiffrement de bout en bout pour toutes sortes de communication, dont les appels voix et vidéo, la messagerie, le dialogue en ligne et le courriel.

    (Il ne faut pas confondre le chiffrement de la couche de transport avec le chiffrement de bout en bout. Alors que le chiffrement de bout en bout protège les messages, par exemple entre vous et votre destinataire, le chiffrement de la couche de transport ne les protège que pendant leur acheminement de votre appareil aux serveurs de l’appli, et des serveurs de l’appli à l’appareil de votre destinataire. En cours de route, votre fournisseur de services de messagerie ou le site Web que vous parcourez, ou encore l’appli que vous utilisez peuvent voir des exemplaires non chiffrés de vos messages.)

    Techniquement, voici comment le chiffrement de bout en bout fonctionne : quand deux personnes souhaitent communiquer en utilisant le chiffrement de bout en bout (par exemple, Akiko et Boris), toutes deux doivent générer des éléments de données appelés des clés. Ces clés peuvent être utilisées pour transformer des données lisibles par n’importe qui en données qui ne pourront être lues que par quelqu’un qui détient une clé correspondante. Avant qu’Akiko envoie un message à Boris, elle le chiffre pour la clé de Boris afin que seul Boris puisse le déchiffrer. Elle envoie ensuite ce message chiffré par Internet. Si quelqu’un a mis Akiko et Boris sous écoute, même si cette personne indiscrète a accès au service qu’Akiko utilise pour envoyer ce message (tel que son compte de courriel), elle ne verra que les données chiffrées et sera incapable de lire le message. Une fois que Boris le reçoit, il doit utiliser sa clé pour le déchiffrer et le rendre lisible.

    Certains services tels que Hangouts de Google parlent de « chiffrement », mais utilisent des clés qui sont créées et contrôlées par Google, pas par l’expéditeur et le destinataire final du message. Ce n’est pas du chiffrement de bout en bout. Pour être vraiment sécurisée, seuls les « bouts » de la conversation devraient détenir les clés qui leur permettent de chiffrer et de déchiffrer. Si le service que vous utilisez contrôle les clés, on parlera plutôt de chiffrement de la couche de transport.

    Le chiffrement de bout en bout implique que les utilisateurs doivent garder leurs clés secrètes. Cela peut aussi impliquer qu’un certain travail devra être effectué pour s’assurer que les clés utilisées pour chiffrer et déchiffrer appartiennent aux bonnes personnes. Utiliser le chiffrement de bout en bout peut demander quelques efforts, du simple choix de télécharger une appli qui l’offre, jusqu’à la vérification proactive des clés. Mais, pour les utilisateurs, c’est le meilleur moyen de vérifier la sécurité de leurs communications sans avoir à faire confiance à la plateforme qu’ils utilisent tous les deux.

    Apprenez-en davantage au sujet de chiffrement dans Que devrais-je savoir au sujet du chiffrement ?, Les notions essentielles du chiffrement, et « Different Types of Encryption » (article en anglais). Nous expliquons aussi, en plus de détails, une sorte particulière de chiffrement de bout en bout appelée « Chiffrement par clé publique » dans Une présentation approfondie du chiffrement de bout en bout.

    Les appels téléphoniques et les messages textes comparés aux messages chiffrés transmis par Internet

    Quand vous passez un appel à partir d’un téléphone fixe ou mobile, votre appel n’est pas chiffré de bout en bout. Quand vous envoyez un message texte (aussi appelé texto) avec un téléphone, le texte n’est pas chiffré du tout. Les deux permettent aux gouvernements ou à quiconque aurait un certain pouvoir sur la compagnie de téléphone de lire vos messages ou d’enregistrer vos appels. Si l’évaluation de votre degré de risques comprend l’interception par les gouvernements, vous préférerez peut-être avoir recours à des modes de substitution chiffrés qui fonctionnent par Internet. En prime, plusieurs de ces modes de substitution offrent aussi la vidéo.

    Voici quelques exemples de services ou de logiciels qui permettent d’envoyer des messages et de passer des appels voix et vidéo chiffrés de bout en bout :

    Voici quelques exemples de services qui n’offrent pas par défaut le chiffrement de bout en bout :

    • Hangouts de Google
    • Kakao Talk
    • Line
    • Snapchat
    • WeChat
    • QQ
    • Le Messager Yahoo

    Et certains services, tels que le Messager Facebook et Telegram, n’offrent le chiffrement de bout en bout que si vous l’activez délibérément. D’autres, tels qu’iMessage, n’offrent le chiffrement de bout en bout que si les deux utilisateurs utilisent un appareil particulier (dans le cas d’iMessage, les deux utilisateurs doivent utiliser un iPhone).

    À quel point pouvez-vous faire confiance à votre service de messagerie ?

    Le chiffrement de bout en bout peut vous défendre contre la surveillance par les gouvernements, les pirates et le service de messagerie même. Mais tous ces groupes auront peut-être la possibilité d’apporter des changements secrets au programme que vous utilisez afin qu’il envoie en fait vos données sans les chiffrer ou avec un chiffrement affaibli, même s’il prétend utiliser le chiffrement de bout en bout.

    De nombreux groupes, dont la FFÉ, passent du temps à surveiller les fournisseurs bien connus (comme WhatsApp, qui est la propriété de Facebook, ou Signal) pour s’assurer qu’ils offrent bien le chiffrement de bout en bout qu’ils promettent. Mais si ces risques vous préoccupent, vous pouvez utiliser des outils qui font appel à des techniques de chiffrement connues et examinées publiquement, et qui sont conçus pour être indépendants du système de transport qu’ils utilisent. Le protocole OTR et PGP en sont deux exemples. Ces systèmes comptent sur l’expérience de l’utilisateur pour exécuter leur tâche, sont souvent moins conviviaux et plus anciens. Ils n’utilisent pas toutes les meilleures techniques de chiffrement modernes.

    Le protocole OTR est un protocole de chiffrement de bout en bout pour les messageries texte en temps réel. Il peut être utilisé en complément de divers services de messagerie instantanée. Voici quelques outils qui font appel au protocole OTR :

    PGP (« Pretty Good Privacy », littéralement « confidentialité plutôt bonne ») est la norme pour le chiffrement de bout en bout du courriel. Pour obtenir des instructions détaillées sur l’installation et l’utilisation du chiffrement PGP pour votre courriel, consultez :

    Le courriel chiffré par PGP s’adresse plutôt aux utilisateurs techniquement expérimentés qui communiquent avec d’autres utilisateurs techniquement expérimentés, bien au fait des complexités et restrictions de PGP.

    Ce que le chiffrement de bout en bout ne fait pas

    Le chiffrement de bout en bout ne protège que le contenu de votre communication, pas le fait que vous communiquez. Il ne protège pas vos métadonnées qui comprennent, par exemple, l’objet d’un courriel, avec qui vous communiquez et quand. Si vous passez un appel avec un téléphone mobile, les renseignements sur votre position géographique sont aussi des métadonnées.

    Les métadonnées peuvent fournir des renseignements particulièrement révélateurs à votre sujet même si le contenu de votre communication reste secret.

    Les métadonnées de vos appels téléphoniques peuvent divulguer des renseignements très intimes et de nature délicate. Par exemple :

    • Ils savent que vous avez appelé un service de téléphone érotique à 2 h 24 et avez parlé pendant 18 minutes, mais ils ne savent pas ce que vous avez dit.
    • Ils savent que vous avez appelé le numéro d’urgence du centre de prévention du suicide, à partir du pont Golden Gate, mais le sujet de l’appel reste secret.
    • Ils savent que vous avez parlé à un service de test du VIH, puis à votre médecin, puis à votre compagnie d’assurance maladie, dans la même heure, mais ils ne connaissent pas le sujet des discussions.
    • Ils savent que vous avez reçu un appel du bureau local de la NRA (Association nationale pour les armes à feu) alors qu’elle promouvait une campagne contre une loi anti-armes à feu, et que vous avez ensuite immédiatement appelé vos sénateurs et vos représentants au Congrès, mais le contenu de ces appels reste à l’abri de l’intrusion gouvernementale.
    • Ils savent que vous avez appelé un gynécologue, que vous avez parlé pendant une demi-heure et que vous avez ensuite appelé le numéro du centre local de planification familiale plus tard le même jour, mais personne ne sait de quoi vous avez parlé.

    Autres fonctions importantes

    Le chiffrement de bout en bout n’est qu’une des nombreuses caractéristiques qui pourraient être importantes à vos yeux (page en anglais) dans le cadre de communications sécurisées (page en anglais). Comme décrit ci-dessus, le chiffrement de bout en bout est particulièrement efficace pour empêcher aux entreprises et aux gouvernements d’accéder à vos messages. Mais pour de nombreuses personnes, les entreprises et les gouvernements ne sont pas la plus grande menace, et le chiffrement de bout en bout pourrait, par conséquent, ne pas être la plus grande priorité.

    Par exemple, si quelqu’un s’inquiète qu’un conjoint, un parent ou un employeur puisse accéder physiquement à son appareil (page en anglais), la possibilité d’envoyer des messages éphémères pourrait alors être son facteur déterminant dans le choix d’un messager (page en anglais). Quelqu’un d’autre pourrait se soucier de donner son numéro de téléphone (page en anglais), et donc, la possibilité d’utiliser un alias qui n’est pas un numéro de téléphone pourrait s’avérer importante.

    Plus généralement, les fonctions de sécurité et de protection des données personnelles (page en anglais) ne sont pas les seules variables qui importent dans le choix d’un mode de communication sécurisé. Une appli qui possède les meilleures fonctions de sécurité est inutile si aucun de vos amis ou contacts (page en anglais) ne l’utilise, et les applis les plus populaires et les plus utilisées peuvent varier sensiblement d’un pays et d’une communauté à l’autre. La mauvaise qualité du service ou le fait qu’une appli soit payante peut faire en sorte qu’un messager ne convienne pas à certaines personnes.

    Mieux vous comprendrez ce que vous voulez et ce dont vous avez besoin dans un mode de communication sécurisé, plus il vous sera facile de parcourir la multitude de renseignements détaillés, contradictoires et parfois même désuets que l’on peut trouver.

    Dernière révision : 
    07-12-2018
  • Assurer la sécurité de vos données

    Si vous possédez un téléphone intelligent, un ordinateur portable ou une tablette, vous transportez avec vous une quantité considérable de données en tout temps. Vos contacts sociaux, vos communications privées, vos documents et photos personnels (dont nombre contiennent des renseignements confidentiels sur des douzaines, voire des milliers de personnes) ne sont que quelques exemples de ce que vous pouvez stocker sur vos appareils numériques. Dans la mesure où nous stockons et transportons tant de données, il peut être difficile d’en assurer la sécurité, d’autant plus qu’elles peuvent vous être enlevées relativement facilement.

    Vos données peuvent être saisies à la frontière, vous être dérobées dans la rue, ou encore vous être volées chez vous et copiées en quelques secondes. Malheureusement, verrouiller votre appareil par mot de passe, NIP ou geste ne protégera pas vos données si l’appareil même est saisi. Il est assez facile de contourner de tels verrous, car vos données sont stockées dans l’appareil sous une forme facilement lisible. Un adversaire n’aurait qu’à accéder directement à la mémoire afin de copier ou d’examiner vos données sans connaître votre mot de passe.

    Cela dit, vous pouvez compliquer la tâche de ceux qui volent physiquement vos données et tentent d’en percer les secrets. Voici quelques mesures que vous pouvez prendre pour augmenter la sécurité de vos données.

    Chiffrer vos données

    Si vous avez recours au chiffrement, votre adversaire doit avoir à la fois votre appareil et votre mot de passe pour désembrouiller les données chiffrées. Il est par conséquent plus sûr de chiffrer toutes vos données que seulement quelques dossiers. La plupart des téléphones intelligents ou ordinateurs offrent le chiffrement du disque entier comme option.

    Pour les téléphones intelligents et les tablettes :

    • Android offre le chiffrement du disque entier lors de la configuration initiale de votre téléphone pour les appareils plus récents, ou n’importe quand par la suite dans ses paramètres de « Sécurité » pour tous les appareils.
    • Les appareils Apple tels que l’iPhone ou l’iPad font référence à la « protection des données » et l’activent quand vous définissez un code.

    Pour les ordinateurs :

    • Apple propose une fonction intégrée de chiffrement du disque entier sur macOS appelée FileVault.
    • Les versions de Linux offrent habituellement le chiffrement du disque entier lors de la configuration initiale de votre système.
    • Windows Vista et versions ultérieures proposent une fonction de chiffrement du disque entier appelée BitLocker.

    Le code de BitLocker est fermé et propriétaire, ce qui signifie que les spécialistes chargés de l’examen critique peuvent difficilement connaître son niveau de sécurité. L’utilisation de BitLocker exige que vous fassiez confiance à Microsoft pour qu’ils fournissent un système de stockage sécurisé sans vulnérabilités cachées. D’autre part, si vous utilisez déjà Windows, vous faites déjà confiance à Microsoft dans la même mesure. Si vous vous inquiétez de la surveillance du genre d’adversaires qui pourraient connaître ou tirer partie d’une porte dérobée soit dans Windows soit dans BitLocker, envisagez un système d’exploitation de remplacement tel que GNU/Linux ou BSD, plus précisément une version qui a été renforcée pour résister aux attaques visant la sécurité, telle que Tails ou Qubes OS. Vous pouvez par ailleurs envisager d’installer un autre logiciel de chiffrement de disque, Veracrypt (site en anglais), pour chiffrer votre disque dur.

    Souvenez-vous : quel que soit le nom que votre appareil lui donne, le chiffrement n’est efficace que si votre mot de passe l’est. Si un adversaire prend possession de votre appareil, il aura tout le temps nécessaire pour découvrir vos mots de passe. Une façon efficace de créer un mot de passe robuste et mémorisable (page en anglais) est d’utiliser des dés (page en anglais) ainsi qu’une liste de mots (page en anglais) pour choisir des mots au hasard. Ensemble, ces mots forment votre « phrase de passe ». Une phrase de passe est une sorte de mot de passe rallongé pour une sécurité accrue. Pour le chiffrement du disque, nous recommandons de choisir un minimum de six mots. Consulter notre guide sur la création de mots de passe robustes pour plus d’informations.

    Il serait peut-être irréaliste que vous appreniez et saisissiez une longue phrase de passe sur votre téléphone intelligent ou sur votre appareil mobile. Ainsi, bien que le chiffrement puisse être utile pour prévenir des accès occasionnels, vous devriez protéger les données vraiment confidentielles en les mettant à l’abri d’un accès physique par des adversaires, ou à l’écart dans un appareil bien plus sûr.

    Créer un appareil sûr

    Il peut être difficile d’assurer la sécurité d’un environnement. Dans le meilleur des cas, vous devez changer vos mots de passe, vos habitudes et peut-être aussi les logiciels que vous utilisez sur votre ordinateur principal ou sur votre appareil. Dans le pire des cas, vous devez constamment évaluer si vous divulguez des informations confidentielles ou le danger que représentent vos pratiques. Même si vous connaissez les problèmes, vous ne pourrez peut-être pas appliquer de solutions, car parfois les personnes avec qui vous devez communiquer ont des pratiques de sécurité numérique dangereuses. Par exemple, vos collègues de travail vous demandent peut-être d’ouvrir les pièces jointes aux courriels qu’ils vous envoient, même si vous savez que vos adversaires pourraient usurper leur identité et vous envoyer des programmes malveillants.

    Alors, quelle est la solution ? Envisagez de tenir à l’écart vos données et communications précieuses dans un appareil plus sûr. Vous pouvez utiliser l’appareil sûr pour conserver l’exemplaire principal de vos données confidentielles. N’utilisez cet appareil qu’occasionnellement et quand vous le faites, veillez bien davantage à vos actions, sciemment. Si vous devez ouvrir des fichiers joints ou utiliser des programmes non sécurisés, faites-le sur une autre machine.

    Un ordinateur supplémentaire, sécurisé, n’est peut-être pas une option aussi coûteuse que vous le pensez. Un ordinateur qui est rarement utilisé et qui n’exécute que quelques programmes n’a pas besoin d’être particulièrement rapide ni récent. Vous pouvez acheter un ancien mini-ordinateur portable pour une fraction du prix d’un ordinateur portable ou d’un téléphone moderne. Les machines plus anciennes offrent aussi l’avantage que les logiciels sécurisés comme Tails fonctionneront vraisemblablement mieux sur ces machines que sur les nouveaux modèles. Un conseil d’ordre général s’avère presque toujours. Quand vous achetez un appareil ou un système d’exploitation, assurez-vous de le garder à jour grâce aux mises à jour logicielles. Les mises à jour corrigeront souvent des problèmes de sécurité présents dans du code plus ancien que les attaques peuvent exploiter. Veuillez noter que certains systèmes d’exploitation plus anciens pourraient ne plus recevoir de soutien, même pour les mises à jour de sécurité.

    Lors de la mise en place d’un ordinateur sûr, quelles mesures prendre pour le rendre sûr ?

    1. Gardez votre appareil bien à l’abri et ne parlez pas de l’endroit où il se trouve, un endroit où vous pourriez savoir s’il a été manipulé, altéré à votre insu, par exemple dans une armoire sous clé.
    2. Chiffrez le disque dur de votre ordinateur avec une phrase de passe robuste afin que s’il était volé, les données resteraient illisibles sans la phrase de passe.
    3. Installez un système d’exploitation axé sur la confidentialité et la sécurité comme Tails. Vous ne pourrez peut-être pas (ou ne voudrez pas) utiliser un système d’exploitation à code source ouvert dans votre travail de tous les jours, mais si vous devez seulement stocker, modifier et rédiger des courriels confidentiels ou des messages instantanés à partir de cet appareil sûr, Tails fonctionnera bien et offrira par défaut des paramètres assurant une sécurité élevée.
    4. Assurez-vous que votre appareil est déconnecté, hors ligne. Il n’est pas surprenant que la meilleure façon de vous protéger contre les attaques provenant d’Internet ou contre la surveillance en ligne soit de ne jamais vous connecter à Internet. Vous pourriez vous assurer que votre appareil sûr ne se connecte jamais à un réseau local ou Wi-Fi, et que vous ne copiez des fichiers sur cette machine qu’en utilisant des supports physiques comme des DVD ou des clés USB. En sécurité des réseaux, on parlera d’« isolement », car l’ordinateur n’a pas de contact avec le reste du monde. Bien qu’extrême, cela pourrait être une solution si vous souhaitez protéger les données auxquelles vous accédez rarement, mais que vous ne voulez jamais perdre (telles qu’une clé de chiffrement, une liste de mots de passe ou une copie de sauvegarde de données confidentielles que quelqu’un vous a confiée). Dans la plupart de ces cas, vous pourriez envisager de n’avoir qu’un appareil de stockage caché, plutôt qu’un ordinateur complet. Par exemple, une clé USB chiffrée cachée en lieu sûr est probablement aussi utile (ou aussi inutile) qu’un ordinateur complet déconnecté d’Internet.
    5. Ne vous connectez pas à vos comptes habituels. Si vous utilisez votre appareil sûr pour vous connecter à Internet, créez des comptes Web et courriel séparés que vous utiliserez pour les communications à partir de cet appareil, et utilisez Tor (voir nos guides pour Linux, macOS, Windows) pour cacher votre adresse IP aux yeux de ces services. Si quelqu’un décide de cibler plus précisément votre identité avec des programmes malveillants ou intercepte seulement vos communications, des comptes séparés combinés à Tor peuvent aider à briser le lien entre votre identité et cette machine particulière.

     

    Bien qu’avoir un appareil sûr qui contient des informations importantes et confidentielles puisse contribuer à les protéger des adversaires, cela crée aussi une cible évidente. Vous courez alors le risque de perdre le seul exemplaire de vos données si la machine était détruite. Si la perte de toutes vos données pouvait profiter à votre adversaire, ne les gardez pas au même endroit, aussi sûr soit-il. Chiffrez une copie et conservez-la ailleurs.

    Une variante de l’idée d’une machine sûre est d’avoir une machine qui ne l’est pas : un appareil que vous n’utilisez que si vous vous rendez en un lieu dangereux ou si vous tentez une opération risquée. Par exemple, de nombreux journalistes et activistes emportent avec eux un simple mini-ordinateur portable lors de leurs déplacements. Cet ordinateur ne contient aucun de leurs documents ni contacts habituels ni courriels, et ne représenterait qu’une perte minimale s’il était confisqué ou examiné par balayage. Vous pouvez appliquer la même stratégie aux téléphones mobiles. Si vous utilisez habituellement un téléphone intelligent, envisagez d’acheter un téléphone mobile jetable pour certaines communications particulières lors de vos déplacements.

    Dernière révision : 
    28-06-2018
  • Éléments à prendre en considération lors du passage à la frontière des É.-U.

    Prévoyez-vous de traverser bientôt la frontière des États-Unis ? Saviez-vous que le gouvernement a le droit de fouiller les voyageurs à la frontière sans mandat d’inspection (même lorsqu’ils arrivent dans des aéroports internationaux) dans le cadre de son pouvoir traditionnel de contrôler le flux des produits dans le pays ? (Bien que certaines des mêmes justifications juridiques existent pour valider la fouille des personnes quittant les É.-U. et que de telles fouilles sont possibles, les voyageurs ne sont pas systématiquement fouillés en sortant du pays.)

    Pour une analyse plus poussée de cette question, consultez le guide de la FFÉ, Protection des renseignements personnels numériques à la frontière des É.-U : protéger les données sur vos appareils. (guide en anglais)

    Voici quelques éléments à retenir lors du passage à la frontière des É.-U. :

    Les agents frontaliers pourraient exiger d’accéder à vos données numériques. Prenez en considération vos facteurs personnels d’appréciation du risque. Votre statut de citoyen ou d’immigrant, vos antécédents de voyage, la nature délicate de vos données et d’autres facteurs pourraient influencer leurs choix.

    Soyez conscient que des précautions inhabituelles pourraient éveiller les soupçons des agents frontaliers.

    • Sauvegardez vos appareils. Cela pourrait être utile si l’un ou plusieurs de vos appareils étaient saisis. Vous pouvez utiliser un service de sauvegarde en ligne ou un disque dur externe, bien que nous ne recommandions pas que vous transportiez à la fois votre ordinateur portable et votre disque dur de sauvegarde.
    • Réduisez la quantité de données que vous passez à la frontière. Envisagez de voyager avec un ordinateur portable « propre », mais notez bien qu’il ne suffit pas de glisser des fichiers vers la corbeille pour les supprimer complètement. Assurez-vous de supprimer vos fichiers de façon sécurisée. Envisagez de laisser votre téléphone mobile habituel à la maison, d’acheter un téléphone temporaire et d’y transférer votre carte SIM, ou d’obtenir un nouveau numéro une fois arrivé à destination.
    • Chiffrez vos appareils. Nous recommandons d’utiliser le chiffrement du disque entier sur vos appareils (ordinateurs portables, téléphones mobiles, etc.) et de choisir des phrases de passe robustes.
    • Si un agent des services frontaliers vous demande votre phrase de passe, vous n’avez pas à obtempérer. Seul un juge peut vous obliger à divulguer de telles informations. Cependant, un refus d’obtempérer pourrait avoir des conséquences : pour les personnes qui ne sont pas citoyennes des É.-U., l’entrée dans le pays pourrait vous être refusée ; pour les citoyens étatsuniens, votre appareil pourrait être saisi et vous pourriez être détenu pendant plusieurs heures.
    • Éteignez vos appareils avant d’arriver à la frontière pour bloquer les attaques qui font appel à des technologies sophistiquées.
    • Ne comptez pas sur le verrouillage par empreinte ou autres verrous biométriques ; ils sont moins robustes que les mots de passe.
    • Pour les applis et navigateurs installés sur votre appareil, les agents peuvent accéder aux données nuagiques, soit directement soit à partir du cache. Envisagez de vous déconnecter, de supprimer les renseignements de connexion enregistrés ou même de désinstaller les applis de nature délicate.
    • Lors de vos échanges avec les agents frontaliers, souvenez-vous de trois choses : soyez courtois, ne mentez pas, et n’interférez pas physiquement avec la fouille menée par les agents. Les agents frontaliers ont le droit d’examiner les aspects physiques de votre appareil (par exemple, pour s’assurer que des drogues ne sont pas stockées dans le compartiment de la pile de votre ordinateur portable).

    Si vous n’êtes pas certain de mémoriser ces conseils, consultez le Guide de poche sur la fouille à la frontière (guide en anglais) de la FFÉ, conçu pour être imprimé, plié et glissé dans votre poche lors d’un voyage.

    Dernière révision : 
    29-10-2018
  • Choisir le RPV qui vous convient

    RPV signifie « réseau privé virtuel ». Quand vous vous connectez à un RPV, toutes les données que vous envoyez, telles que les requêtes aux serveurs quand vous parcourez le Web, semblent provenir du RPV même plutôt que de votre propre FAI. Ainsi, votre adresse IP est dissimulée, ce qui peut s’avérer être un outil important pour protéger votre vie privée et vos données personnelles, dans la mesure où votre adresse IP indique votre emplacement géographique approximatif et peut, par conséquent, être utilisée pour vous identifier.

    Dans la pratique, les RPV peuvent :

    • Protéger votre activité sur Internet des yeux indiscrets, particulièrement si vous êtes connecté à un réseau Wi-Fi non sécurisé dans un café, un aéroport, une bibliothèque ou ailleurs.
    • Contourner la censure d’Internet sur un réseau qui bloque certains sites ou services. Par exemple, quand vous travaillez à partir de la connexion Internet d’une école ou dans un pays qui bloque le contenu. Note : il est important de rester au courant des nouvelles en matière de sécurité qui couvrent les politiques de certains pays quant aux RPV.
    • Vous connecter à l’intranet d’entreprise de votre bureau alors que vous voyagez à l’étranger, que vous êtes à la maison ou chaque fois que vous n’êtes pas au bureau.

    L’on croit à tort que les RPV sont juste pour les ordinateurs de bureau. Il peut être aussi risqué de vous connecter à des connexions Wi-Fi inconnues à partir de votre téléphone que de vous connecter à un réseau Wi-Fi inconnu à partir de votre ordinateur. Vous pouvez mettre en place un RPV sur votre téléphone pour chiffrer le trafic de votre opérateur de réseau mobile et de votre fournisseur d’accès à Internet (FAI).

    Il n’y a pas de solution universelle en matière de RPV. Comme pour le courriel, il existe de nombreux services de RPV et vous devriez choisir le service qui vous convient le mieux. En fonction de celui que vous choisissez, vous pouvez profiter d’un niveau de sécurité accru une fois connecté à des réseaux en lesquels vous n’auriez habituellement pas confiance. Cela signifie cependant que vous accorderez votre confiance au RPV même.

    Donc, avez-vous besoin d’un RPV (page en anglais)? Et quel RPV devriez-vous utiliser ? La réponse à ces questions regorge de différentes considérations et de nuances. Ce guide vous aidera à établir quels outils vous conviennent et quels facteurs vous devriez prendre en considération dans votre recherche d’un RPV.

    Commençons par les bases : comment les RPV fonctionnent-ils ?

    Ce texte explicatif (en anglais) par le Centre pour la démocratie et la technologie (Center for Democracy & Technology) décrit un RPV comme un outil qui crée « une sorte de tunnel pour votre trafic Internet [afin d’]empêcher à des intrus de surveiller ou de modifier votre trafic. Le trafic dans le tunnel est chiffré et envoyé à votre RPV, ce qui complique considérablement la surveillance que des tiers, tels des fournisseurs d’accès à Internet (FAI, page en anglais) ou des pirates qui se trouveraient sur des réseaux Wi-Fi publics, pourraient établir. Il en serait de même s’ils tentaient d’exécuter des attaques de l’intercepteur. Le trafic quitte ensuite le RPV vers sa destination en dissimulant l’adresse IP originale de cet utilisateur. Cela aide à dissimuler l’emplacement physique d’un utilisateur à quiconque surveillerait le trafic une fois qu’il quitte le RPV. »

    Nous vous recommandons de lire en entier l’article (en anglais) du Centre pour la démographie et la technologie avant de poursuivre afin de mieux comprendre ce que les RPV sont et comment ils fonctionnent.

    Choses à prendre en considération : ce que les RPV ne font pas

    Un RPV protège votre trafic Internet contre la surveillance sur le réseau public, mais il ne protège pas vos données contre le réseau public que vous utilisez. Si vous utilisez un RPV d’entreprise, les personnes qui gèrent le réseau d’entreprise pourront alors voir votre trafic. Si vous utilisez un RPV commercial, les personnes qui gèrent le service pourront voir votre trafic.

    Un service RPV de mauvaise réputation pourrait le faire délibérément, pour recueillir des renseignements personnels ou autres données précieuses.

    Le gestionnaire de votre RPV d’entreprise ou commercial pourrait aussi subir des pressions de gouvernements ou d’organismes d’application de la loi pour qu’il remette des renseignements au sujet des données que vous avez envoyées par le réseau. Vous devriez chercher dans la politique de confidentialité de votre fournisseur de RPV des renseignements concernant les circonstances dans lesquelles votre fournisseur de RPV pourrait remettre vos données aux gouvernements ou organismes d’application de la loi.

    Vous devriez aussi porter attention aux pays où le fournisseur de RPV fait affaire. Le fournisseur sera soumis aux lois de ces pays, dont les lois qui régissent les demandes de renseignements qui proviennent des gouvernements. Les lois varient d’un pays à l’autre et parfois ces lois permettent aux représentants des gouvernements de recueillir des renseignements sans vous en aviser ni vous donner l’occasion de le contester. Le fournisseur de RPV pourrait aussi être soumis aux demandes juridiques de renseignements qui émanent de pays avec lesquels les pays où son service est offert ont un traité d’entraide judiciaire.

    La plupart des RPV commerciaux exigeront que vous payiez en utilisant une carte de crédit, ce qui dévoilera des renseignements à votre sujet que vous ne voudriez peut-être pas divulguer à votre fournisseur de RPV, car le lien avec votre identité pourrait alors facilement être établi. Si vous ne souhaitez pas communiquer votre numéro de carte de crédit à votre fournisseur de RPV commercial, utilisez un fournisseur de RPV qui accepte les bitcoins ou les cartes-cadeaux, ou encore utiliser des numéros de carte de crédit éphémères ou à utilisation unique. Veuillez aussi noter que le fournisseur de RPV pourrait quand même recueillir votre adresse IP quand vous utilisez le service, adresse qui pourrait aussi être utilisée pour vous identifier, même si vous utilisez un autre mode de paiement. Si vous souhaitez cacher votre adresse IP à votre fournisseur de RPV, vous pourriez utiliser Tor pour vous connecter à votre RPV ou ne vous connecter à votre RPV qu’à partir d’un réseau Wi-Fi public.

    Comment choisir un RPV qui me convient ?

    Les besoins de chacun sont différents quant à la façon dont ils espèrent utiliser un RPV. Aussi, la gamme des RPV et leur qualité varient beaucoup d’un service à l’autre. Pour trouver le RPV qui vous convient, vous pouvez évaluer les RPV d’après les critères suivants :

    Ce que le fournisseur prétend

    Le fournisseur du RPV vante-t-il les vertus de son produit ou de ses services ? Il prétend peut-être ne pas journaliser les données de connexion des utilisateurs (voir collecte de données ci-dessous) ni partager ni vendre de données. Souvenez-vous que prétendre n’est pas garantir, donc vérifiez bien ce qu’il avance. Plongez-vous dans la politique de confidentialité du fournisseur de RPV pour découvrir des renseignements sur la manière dont il va tirer un profit pécuniaire de vos données, même si le RPV ne les vend pas directement à des tiers.

    Modèle d’entreprise

    Même si un RPV ne vend pas vos données, il doit d’une manière ou l’autre en assurer le fonctionnement. Si le RPV ne vend pas son service, comment maintient-il l’entreprise à flot? Sollicite-t-il des dons ? Quel est le modèle d’entreprise du service ? Certains RPV fonctionnent sur un modèle « semi-payant ». Cela signifie que l’inscription est gratuite, mais que facturation il y aura dès que vous aurez transféré un certain volume de données. Si votre budget est restreint, il est bon de connaître cette information.

    Réputation

    Il convient d’effectuer une recherche sur les personnes et les organismes associés au RPV. Est-il approuvé par des spécialistes de la sécurité ? Des articles sont-ils écrits à son sujet ? Si le RPV a été mis en place par des personnes connues au sein de la communauté de la sécurité de l’information, la probabilité qu’il soit digne de confiance est plus grande. Montrez-vous sceptique envers un RPV qui offre un service pour lequel personne ne veut engager sa réputation personnelle, ou qui est géré par une entreprise que personne ne connaît.

    Collecte de données

    Un service qui ne collecte pas de données ne pourra pas les vendre. Vérifiez dans la politique de confidentialité si le RPV collecte des données d’utilisateur. S’il n’y est pas clairement indiqué que les données de connexion des utilisateurs ne sont pas journalisées, il est fort probable qu’elles le soient. Et suivant les pays, un gouvernement peut exiger ces données ou délivrer une assignation à comparaître pour les obtenir.

    Même si une entreprise prétend ne pas journaliser les données de connexion, cela ne garantit pas toujours un bon comportement. Nous vous encourageons à faire enquête et à trouver où un RPV a été mentionné dans la presse. Il aurait pu se faire prendre à tromper ses clients ou à leur mentir. Une simple recherche peut vous en apprendre beaucoup.

    Emplacement géographique et lois

    Vous pourriez choisir un RPV d’après le lieu où son siège social est situé. Choisir un RPV d’après les lois de protection des données de ce pays peut être un facteur important, mais veuillez noter que les lois et les politiques peuvent changer.

    Chiffrement

    Le chiffrement du RPV offre-t-il un bon niveau de sécurité ? Si le RPV utilise une méthode de chiffrement dépassée telle que le protocole de tunnel point à point (PPTP) ou des algorithmes de chiffrement faibles, toutes les données qui y transiteront pourront facilement être déchiffrées et visualisées par votre FAI ou votre pays. Si vous utilisez le RPV de votre employeur, contactez le service des technologies de l’information et posez des questions sur le niveau de sécurité de la connexion. Il peut être difficile d’évaluer la robustesse du chiffrement d’un RPV. Vous pourriez consulter ce tableau de comparaison de RPV (en anglais) produit par « That One Privacy Site », qui analyse près de 200 fournisseurs de RPV d’après leur pays et leurs politiques.

    La FFÉ ne peut pas se porter garante des évaluations de ces RPV ni d’aucune autre. Des RPV dont les politiques de confidentialité sont exemplaires pourraient être dirigés par des personnes sournoises. N’utilisez pas un RPV en lequel vous n’avez pas confiance.

    N’oubliez pas : il n’y a pas de RPV universel. Les facteurs à prendre en considération sont nombreux lors du choix d’un RPV. Pensez toujours à prendre en considération votre plan de sécurité avant toute décision concernant les outils que vous utilisez pour protéger votre sécurité numérique.

    Dernière révision : 
    07-03-2019
Next:
JavaScript license information