Anda di halaman 1dari 31

Guide

de survie
en ligne
citoyens
sous
surveillance
En juillet 2018, la FIDH publiait conjointement avec
le Cairo Institute (CIHRS), la Ligue des Droits de l’Homme
(LDH) et l’Observatoire des Armements (OBSARM)
un rapport explosif sur la vente par la France à l’Égypte
d’armes et de technologies de surveillance.

Un matériel vraisemblablement utilisé par le régime


d’Abdel Fattah Al-Sissi pour arrêter, poursuivre et réprimer
les opposants politiques, défenseurs des droits humains,
journalistes, écrivains.

Un peu plus tôt, en janvier 2018 la FIDH, via L’observatoire


pour la Protection des Défenseurs des Droits de l’Homme,
publiait un autre rapport sur la situation catastrophique des
femmes défenseures en arabie Saoudite. Avec un focus
particulier sur la traque systématique menée par les autorités
saoudiennes sur les prises de position de ces femmes
courageuses sur les réseaux sociaux.

Un constat s’impose : leur activité digitale expose les


défenseurs de notre Fédération — comme d’ailleurs
l’ensemble des citoyens partout dans le monde — à de réels
dangers et violations de leurs droits.

La prise de conscience est désormais largement partagée


mais une question demeure : comment se protéger
d’intrusions aussi pernicieuses que discrètes ?

L’objectif de ce guide est de répondre à ce besoin


d’information. Comprendre quels sont ces dangers est un
premier pas nécessaire. Mais ce guide va plus loin et propose
aussi un certain nombre d’outils concrets pour s’équiper et se
former.

Il n’y a pas de solution infaillible et définitive pour résister aux


violations de nos vies privées dans le cyber espace. Ou pour
contrer la commercialisation globalisée de nos données
personnelles. Mais nous pouvons tous collectivement
accroître notre devoir de vigilance. Avec ce guide, à
destination des défenseurs des droits humains de son réseau
mais pas seulement, la FIDH entend participer à ce devoir
de vigilance. Nous sommes tous acteurs de notre sécurité
digitale.

Pour retrouver tous les liens évoqués dans ce guide :


bit.ly/kit-de-survie-en-ligne
1
Protéger
votre vie
privée
des photos postées sur Facebook,
ou d’arrestations arbitraires liées à

Qu’est-ce que
des publications condamnées par
un régime autoritaire.

ça veut dire ?
Qu’est-ce qu’une donnée,
Protéger sa vie privée, c’est prendre et qui y a accès ?
conscience que l’ensemble de vos
actions numériques laissent des traces Les définitions varient selon la loi
qui peuvent être récupérées par des de chaque pays, mais on considère
tiers. Il n’est pas nécessaire de pirater qu’une donnée personnelle
Toutes et tous concerné.es votre ordinateur pour avoir accès correspond à toute information
à un grand nombre d’informations relative à une personne physique
Mohamed Ramadan est avocat égyptien, spécialisé dans liées à votre vie privée. La plupart des identifiée ou qui peut être identifiée,
la défense des droits humains. données personnelles sont rendues directement ou indirectement, par
Le 10 décembre 2018, alors qu’il descendait d’un bus et publiques par les utilisateurs eux- référence à un numéro d’identification
rentrait chez lui, il est arrêté par trois agents en civil de mêmes : vous les partagez en publiant ou à un ou plusieurs éléments qui
l’Agence nationale de sécurité. des contenus sur un réseau social lui sont propres. De manière plus
Le motif de son arrestation ? Mohamed a partagé sur Face- ou vous les offrez gracieusement en générale une donnée est tout ce qui
book une photo de lui portant un gilet jaune, expliquant acceptant les Conditions Générales contient une information. Cela peut
comment s’en procurer. Il est aujourd’hui accusé d’avoir d’Utilisation d’un service ou d’une être quelque chose de très concret :
« rallié un groupe terroriste et de promouvoir ses idées ». application. La collecte de données votre nom, votre adresse, une photo
En effet, le gilet jaune, symbole d’une vague de manifesta- personnelles est une pratique si de vous en vacances, un rendez-vous
tions en France, est interdit à la vente en Égypte. courante qu’elle a donné naissance dans votre calendrier, les gens que
Sa famille et ses avocats n’ont pas su où il se trouvait ni ce à une industrie. Ces collectes vous suivez sur Instagram… Cela
qui lui était arrivé jusqu’à ce qu’il comparaisse le lendemain, d’informations peuvent devenir peut aussi être plus abstrait : une
pour des chefs d’inculpation tels qu’«  appartenance à un très intrusives et être détournées recherche effectuée sur Google, un
groupe interdit », « diffusion de fausses informations via les de leur finalité. Grâce au partage site que vous avez consulté plusieurs
réseaux sociaux » et « incitation à des troubles sociaux ». des photos, Facebook possède fois, l’appareil que vous utilisez, le
par exemple la base de données réseau wifi sur lequel vous vous êtes
de visages la plus importante au connecté, votre géolocalisation,
monde et a mis au point le logiciel de les différents comptes (identifiants
reconnaissance faciale le plus abouti. et mots de passe) mémorisés
Il faut également garder à l’esprit que dans votre navigateur… Tous ces
les informations que vous partagez sur éléments donnent des informations
Internet sont très difficiles à effacer : sur vous : ce sont vos données
une fois que vous avez posté une personnelles, elles parlent de vous
photo ou un document sur les réseaux et vous ne pouvez pas les contrôler.
sociaux par exemple, vous ne pouvez
plus contrôler qui la copie ou la publie Sans vous en rendre compte, vous
ailleurs : l’information est désormais disséminez ces informations à chaque
hors de votre contrôle. Avant de étape de votre vie numérique, et elles
partager une information sur Internet, sont récupérées par différents acteurs.
y compris de façon privée, il est
judicieux de considérer les dommages — Sur votre navigateur : celui-
qu’elle pourrait causer On ne compte ci enregistre votre historique de
plus les cas de licenciements pour navigation, les cookies des sites
visités, vos téléchargements, ou le réseau social de conserver et
vos recherches depuis la barre d’exploiter lui-même vos données

Quels sont Comment


d’adresse, et même votre position. personnelles mais cela permettra
de limiter leur dissémination.

les risques se protéger ?


— Sur les sites que vous visitez :
que ce soit un réseau social, un site

pour votre
de presse ou une boutique en ligne, Faites varier vos identifiants,
les sites web que vous consultez Votre survie numérique commence par pseudonymes et mots de passe

vie privée ?
enregistrent votre parcours, les pages la prise de conscience des informations
vues, le nombre de visites, la durée que vous partagez, volontairement et L’utilisation d’un pseudonyme ne
passée sur telle ou telle page… Ils ont involontairement, à travers l’ensemble vous rend ni anonyme ni protégé,
également accès aux cookies qu’ils Seules, vos données ne donnent de vos actions sur le web. De façon et peut même s’avérer dangereuse
ont placés sur votre ordinateur et aux pas nécessairement beaucoup générale, si vous n’utilisez pas des s’il s’agit toujours du même, car il
données que celui-ci peut transmettre. d’informations sur vous et peuvent services spécifiquement conçus pour devient possible de retracer votre
même vous paraître inutiles ou protéger vos informations grâce à présence sur l’ensemble des sites ou
— Sur votre moteur de recherche : futiles. Pourtant, le danger existe des méthodes cryptographiques des services que vous utilisez à partir
Il enregistre l’historique de vos car en reliant ces différentes (comme suggéré dans les chapitres de cet identifiant. Il est recommandé
recherches, mais également données, un tiers peut déduire suivants), vous devez considérer d’utiliser un pseudonyme, une
combien de fois et quand elles ont énormément de choses sur vous. que toute information échangée sur adresse email et un mot de passe
été effectuées ainsi que les résultats Internet pourra potentiellement être (qui peut lui aussi servir à traquer un
sur lesquels vous avez cliqué. Un exemple : Depuis un mois, accessible à des tiers, y compris dans individu) différent sur chaque site
votre téléphone vous localise tous le cadre privé d’une messagerie. où vous partagez des informations
— Sur les sites de stockage et les mercredis soir au café A. Vous Il n’en demeure pas moins utile personnelles ou sensibles.
les services cloud : vos informations avez également effectué plusieurs de prendre un certain nombre de
stockées dans le cloud ne sont pas recherches sur l’histoire politique, précautions pour limiter l’accès
protégées, et le site ou service peut vous êtes devenu ami sur un réseau à ces informations et réduire Surveillez et modérez
conserver avec qui vous partagez social avec 3 personnes qui ont vos traces au minimum. les informations personnelles
du contenu, à quel moment etc. indiqué aimer tel parti politique. publiées sur vous
Ces mêmes personnes fréquentent
— Sur les réseaux sociaux : le café au même moment que vous. Réglez systématiquement Avec des outils comme Google
ils enregistrent toutes les informations En regroupant ces données, un vos paramètres de confidentialité Alert qui permet de recevoir des
que vous publiez mais aussi vos système peut automatiquement alertes quand du contenu est
données comportementales: ce que vous classer comme opposant Les paramètres de confidentialité publié sur le web, vous pouvez
vous aimez, qui sont vos amis, quels politique actif et anticiper la date déterminent la quantité d’informations traquer les informations publiées
sont ceux avec qui vous interagissez de votre prochain meeting, sans que vous rendez publiques (c’est- par des tiers à votre sujet. Si un
le plus, ce qu’ils aiment, … qu’aucune action humaine ne soit à-dire accessibles par n’importe tiers publie une information que
nécessaire car un algorithme aura qui) lorsque vous utilisez un service vous souhaitez garder privée, il
— Sur les applications mobiles : effectué ces recoupements. donné. Ces paramètres varient en est parfois possible de signaler
en validant les CGU, vous acceptez de fonction du réseau social ou du la publication et de demander sa
partager certaines données : il s’agit service, et sont souvent réglés par suppression directement depuis
souvent de la localisation, l’identifiant défaut lors de l’inscription à un le site. À défaut, vous pouvez
du téléphone et les données du site ou une application. Il est donc contacter par voie électronique
compte (sans que cela soit toujours nécessaire de les modifier vous- ou courrier l’organisme ou le
justifié par la finalité de l’application). même : dans la plupart des cas, service concerné (dans les sections
vous pourrez choisir de restreindre « Politique de confidentialité » ou
— Enfin, tout ce que vous publiez la visibilité de vos informations et « Mentions légales » du site), et
volontairement en ligne et qui est lié parfois leur transmission à des tiers. demander également aux moteurs
de près ou de loin à votre identité. Cela n’empêchera pas le service de recherche de déréférencer un
lien afin qu’il n’apparaisse plus fortiori de façon automatique comme ces données ne sont pas publiques, Effacez régulièrement
dans les résultats de recherche. de nombreux services le proposent. elles peuvent être exploitées, parfois les traces de votre navigation
Quand vous sauvegardez par exemple analysées (par exemple avec des
les données de votre smartphone outils de reconnaissance faciale) Il est important de vider le cache
Évitez de stocker vos données dans le cloud (avec un service ou bien encore piratées par des de votre navigateur (les données
dans le cloud comme Google Photos ou iCloud), personnes mal intentionnées. de navigation conservées sur votre
toutes les données sont transmises machine) et les cookies régulièrement.
Evitez de stocker vos fichiers et conservées dans des serveurs Il est également recommandé
personnels sur un service en ligne, a que vous ne maîtrisez pas. Même si Choisissez attentivement d’utiliser un navigateur respectueux
les services et logiciels de vos données (Brave, Waterfox,
que vous utilisez Firefox ou TORBrowser), en évitant
les navigateurs les plus utilisés tels
Privilégiez un moteur de recherche que Google Chrome ou Safari qui
qui s’engage à ne pas stocker ou conservent des données personnelles.
réutiliser vos données. Qwant, par Vous pouvez également utiliser des
exemple, est un moteur de recherche extensions qui aident à protéger votre
français qui n’enregistre aucun cookie vie privée : sur Firefox, on peut citer
et aucune information sur l’utilisateur. uBlock Origin (bloqueur de publicité) ;
DuckDuckGo est un outil qui n’utilise Privacy Badger (qui identifie les
aucune donnée utilisateur et propose trackers), HTTPS Everywhere (qui
des résultats basés sur des sites garantit que les sites visités utilisent
de référence comme Wikipedia, le protocole HTTPS, un protocole
Bing et Yahoo. Les logiciels open- de connexion sécurisée), NoScript
source sont des logiciels dont le (qui bloque les scripts Java et Flash
code source est public, ce qui offre utilisés par les pirates), Disconnect
davantage d’assurance sur le fait que (qui révèle et supprime les traces
ces derniers ne transmettront pas laissées par la navigation) etc.
secrètement vos données à des tiers.

Différentes ressources existent en ligne pour en savoir plus sur l’utilisation


de vos données.

Vous permet de visualiser tout ce qu’un site web sait de vous


sur privacy.net/analyzer

Ce que votre navigateur web dit de vous sur webkay.robinlinus.com

Ce que Google sait de vos intérêts sur adssettings.google.com

Tous vos trajets enregistrés par Google sur google.com/maps/timeline


2
Naviguer
sur le web
anonyme-
ment
etc.) peuvent agir. Le risque le plus
courant est que ces informations que

Qu’est-ce que
vous laissez derrière vous soient utilisées
à des fins publicitaires, mais elles

ça veut dire ?
peuvent également être interceptées
par une tierce personne et utilisées à
des fins malveillantes.
Protéger ses données personnelles En naviguant de manière anonyme
est une précaution essentielle sur sur Internet, vous empêchez ces
Internet. Mais parfois, prendre des acteurs de relier ces données à
précautions pour effacer ses traces sur votre ordinateur et donc à votre
son ordinateur ne suffit pas. Naviguer identité. Cela permet également de
de façon anonyme, c’est s’assurer de masquer votre localisation, et donc
ne pas laisser de traces pendant et de contourner certains types de
Toutes et tous concerné.es après sa navigation. Naviguer de façon censure (de nombreux Etats exigent
anonyme, c’est donc faire en sorte des fournisseurs d’accès qu’ils
En août 2016, le réseau Internet Égyptien était perturbé qu’une personne extérieure ne puisse bloquent certains sites dans leur pays
par une série d’anomalies, indiquant que les services de pas relier votre activité sur Internet - Youtube et Netflix sont par exemple
sécurité ciblaient l’infrastructure du réseau afin, selon les à votre identité. C’est un moyen inaccessibles depuis la Chine).
experts techniques, d’installer un système permettant supplémentaire de protéger votre vie Naviguer de manière anonyme consiste
une interception de masse des communication en ligne. privée et votre liberté. donc à cacher et rendre indéchiffrable
Des militants d’opposition, des écrivains, mais également vos données à chaque étape de la
des personnes LGBTI font l’objet d’une surveillance et navigation. En effet, il suffit qu’une
d’une intimidation constante. Selon l’Initiative Égyptienne faille existe chez l’un des acteurs de
pour le Droit de Personnes (EIPR), le Ministère de l’Inté- la chaîne pour que tous vos efforts de
rieur utilise une méthode boule de neige pour trouver des discrétion soient compromis.

Quels sont les


cibles, créant une base de données avec les noms et nu-
méros de cartes d’identité des personnes qui contactent

risques quand
ou rendent visite à des individus arrêtés précédemment
pour « débauche ».

je navigue sur
Les citoyens font l’objet d’une surveillance massive de leur

Comment
activité en ligne, qui est immédiatement reliée à leur iden-

le web  ?
tité, permettant de les cibler et les catégoriser selon leurs

naviguer
recherches, leurs habitudes et leurs relations sociales.

de manière
Pour savoir de quoi on se protège
il faut déjà comprendre comment

anonyme ?
fonctionne le web.

Quand vous accédez à un site web,


votre requête passe par différents Aucune solution parfaite n’existe mais
acteurs, avant de revenir vers votre voici les plus recommandées :
ordinateur avec les informations
demandées. À chaque fois que votre
requête passe par un acteur, elle lui Utilisez un VPN
laisse des informations sur vous : ce sont
des points de vulnérabilité sur lesquels Un VPN (acronyme de « Virtual Private
des acteurs extérieurs (hackeurs, Etats, Network ») est un intermédiaire qui
permet d’anonymiser et de chiffrer (Safari, Internet Explorer, Firefox,
vos communications. Cela fonctionne Brave, Waterfox, etc.), sauf que celui-ci
comme un tunnel privé qui chiffre vos passe automatiquement par le réseau
données, vous permettant de faire sécurisé ToR.
transiter votre trafic internet au travers
du tunnel. Il existe néanmoins des limites à
l’utilisation de ToR. Tout d’abord, les
Lorsque vous effectuez une requête requêtes passant par une multitude de
depuis votre navigateur, toutes les nœuds, votre connection devient très
données sont chiffrées, et envoyées lente. Le visionnage de vidéos et le
au serveur du VPN. Le serveur du téléchargement de fichiers lourds sont
VPN déchiffre ces données, effectue donc limités. De plus, si un ou plusieurs
la requête pour vous auprès du site noeuds sont compromis ou observés,
web, puis vous renvoie les données intercepter les données et remonter
de manière chiffrée. Ainsi, si elles sont à l’internaute n’est pas impossible
interceptées, elles sont impossibles (par exemple pour une agence
à lire. gouvernementale).

Cette solution a tout de même des Le logiciel de navigation Tor Browser


limites : les VPN sont des services privés. est disponible sur la clé USB fournie
Si vos données sont inaccessibles à avec ce kit ou téléchargeable à
toute personne tierce, elles ne le sont l’adresse suivante :
pas pour l’entreprise fournissant le www.torproject.org/download
VPN. Il faut donc savoir auprès de quel
acteur placer sa confiance.

Utilisez Tor

TOR (acronyme de « The Onion


Router ») est un réseau mondial de
routeurs. La connexion d’un utilisateur
transite par plusieurs ordinateurs Pour aller plus loin :
dans le monde, appelés des nœuds.
Les connexions entre les nœuds sont Tails est un système d’exploitation, c’est-à-dire le logiciel qui vous permet d’utiliser
chiffrées. En somme, il devient très votre ordinateur (comme Windows, MacOS ou Linux). Sa particularité est de
difficile de retrouver l’internaute qui a pouvoir être lancé sur votre ordinateur depuis une clef USB. Une fois démarré,
lancé la requête initiale. c’est comme si vous utilisiez une machine à l’intérieur de votre machine. Tails est
donc un système d’exploitation sécurisé car il ne laisse aucune trace sur votre
Le réseau ToR est donc un moyen de ordinateur. Une fois que vous l’arrêtez, tout ce qu’il s’est passé sur votre ordinateur
vous rendre anonyme en « semant » disparait. De plus, toute connection à Internet passe automatiquement par
ceux qui tentent de vous tracker. le réseau ToR.
Il existe plusieurs méthodes pour s’y
connecter, pas toujours accessibles
aux néophytes. La plus simple est ATTENTION : Dans certains pays, le simple fait de posséder ces outils
d’utiliser le navigateur ToR Browser. ou logiciels peut être un motif d’arrestation. Renseignez-vous sur le contexte
C’est un navigateur, comme celui que sécuritaire de votre pays, ou des pays où vous vous rendez, avant de
vous utilisez pour aller sur Internet les installer et de les utiliser.

Créer
et gérer
des mots
de passe
sécurisés
possibles de caractères jusqu’à trouver
le bon mot de passe. Ces attaques

Qu’est-ce
réalisées par des ordinateurs peuvent
tester de quelques milliers à plusieurs

que ça veut
centaines de millions de combi­nai­sons
par seconde.

dire ?
Hameçonnage ou Phishing
Aujourd’hui, la sécurité de l’accès à
tous les services en ligne du quotidien L’hameçonnage (phishing en anglais)
repose essentiellement sur les mots de est une technique frauduleuse
passe. Il est donc nécessaire d’utiliser destinée à leurrer l’internaute pour
des mots de passe forts, et de gérer l’inciter à communiquer des données
ces informations avec précaution personnelles ou professionnelles
pour protéger vos données et vos (comptes d’accès, mots de passe...)
communications. Il existe en effet de en se faisant passer pour un tiers
eToutes et tous concerné.es nombreuses méthodes « pirates », de confiance. Il peut s’agir d’un faux
plus ou moins avancées, qui peuvent message, email, SMS ou appel
Au cours des dernières années, de nombreux activistes permettre d’identifier votre mot de téléphonique de banque, de réseau
renommés ont été la cible d’attaques en Égypte dites de passe et d’accéder aux services que social, d’opérateur de téléphonie, de
vous utilisez et à vos informations. fournisseur d’énergie, de site de com-
hameçonnage (« phishing »), visant à accéder à leurs mes-
merce en ligne, d’administrations, etc.
sageries et à contrôler à distance leurs ordinateurs en
récupérant leurs mots de passe par l’envoi de liens mal- — Comment ça marche ?
veillants puis en interceptant les codes envoyés par SMS
sur leurs téléphones portables. En mars-avril 2016, ce sys- Vous recevez, dans votre boîte

Quels sont
tème de piratage a été utilisé pour cibler le célèbre jour- email, un email d’un émetteur se
naliste et blogueur Wael Abbas, le graphiste et activiste faisant passer pour un organisme de

les risques
Mohamed Gaber, et l’avocate et journaliste Nora Younis. confiance, vous incitant fortement
à lire un message en cliquant sur

pour mes mots
un lien. Ce lien vous conduit vers
un site imitant le site officiel de

de passe ?
l’organisme. Ce site de phishing vous
demande d’entrer votre identifiant
et votre mot de passe sur une page
Pour pouvoir se protéger, il est d’authentification qui ressemble à la
nécessaire de connaître les risques page de connexion du site officiel.
et les différentes techniques qui
permettent de récupérer un mot — Comment éviter le piège
de passe. du Phishing ?

1 • Ne communiquez jamais


Attaque par force brute d’informations sensibles par
messagerie instantanée ou téléphone
L’attaque par force brute est une
méthode répandue qui consiste à 2 • Avant de cliquer sur un lien
essayer toutes les combinaisons douteux, positionnez le curseur
de votre souris sur le lien (sans cliquer) Windows ou Little Snitch sur Mac qui
pour afficher l’adresse vers laquelle il permettent de repérer le spyware

3 méthodes pour vous aider


pointe réellement afin d’en vérifier la quand celui-ci envoi des données.
vraisemblance

3 • Vérifiez l’adresse du site qui


s’affiche dans votre navigateur. Si cela — La méthode des premières lettres
ne correspond pas exactement au

Comment
site concerné, c’est très certainement Exemple : Un tiens vaut mieux que deux tu l’auras : 1tvmQ2tl’A
un site frauduleux. Parfois, un seul

protéger ses
caractère peut changer dans l’adresse
du site afin de mieux tromper la — La password card

mots de passe ?
victime. Vérifiez également que
l’adresse du site commence par Ce type de carte (à générer sur passwordcard.org) comporte un
« https » et non « http » : il s’agit tableau avec une combinaison unique générée au hasard de chiffres
du protocole sécurisé qui offre un Pour empêcher ce type d’attaque et de lettres. Tout ce que vous avez à faire est de vous souvenir d’une
certain niveau de protection contre et protéger vos informations et combinaison d’un symbole et d’une couleur pour lire votre mot de
le hacking. Au moindre doute, ne communications, il est essentiel de passe sur la carte.
fournissez aucune information et créer des mots de passe robustes et
fermez immédiatement la page sûrs, c’est-à-dire difficiles à retrouver à
correspondante. l’aide d’outils automatisés et à deviner — Un gestionnaire de mot de passe
par une tierce personne.
4 • Privilégiez votre méthode d’accès Il s’agit d’un logiciel qui génère des mots de passe complexes et
habituelle à un site (via vos favoris, Les bonnes pratiques à adopter pour sécurisés, et les conserve dans un coffre fort électronique crypté, se
un moteur de recherche ou en tapant créer et gérer vos mots de passe : chargeant de remplir automatiquement les formulaires de connexions.
directement l’adresse du site dans Tout ce dont vous devez vous souvenir est le mot de passe principal
votre navigateur) plutôt qu’en cliquant 1 • Utilisez un mot de passe unique (« masterpass ») - préférablement un mot de passe long type phrase
sur un lien reçu par email. pour chaque service. Ainsi en cas secrète - qui permettra de débloquer tous vos services.
de perte ou de vol d’un de vos mots
de passe, seul le service concerné
Installation d’un keylogger sera vulnérable.

La méthode du keylogger consiste à 2 • Votre mot de passe le plus précieux


installer un logiciel espion à votre insu est celui de votre boîte email. Il permet
sur votre ordinateur. Ce programme en effet souvent de réinitialiser le mot
enregistre les touches frappées sur de passe des différents services que Évitez également les suites logiques informatique unique ou sur un papier
le clavier et les transmet à un tiers vous utilisez. simples 1234567, azerty, abcdef qui facilement accessible ;
malveillant via Internet. Ce genre font partie des mots de passe les plus
de programme peut permettre de 3 • Créez des mots de passe courants et qui sont les premières 6 • Ne vous envoyez jamais vos
dérober vos identifiants et vos mots de complexes. Il est conseillé de créer combinaisons essayées dans le cas propres mots de passe sur votre
passe. L’installation d’un logiciel anti- un mot de passe qui comporte au des attaques par force brute. messagerie personnelle : si celle-ci est
virus adapté peut parfois permettre minimum 12 caractères mélangeant piratée, tous vos mots de passe seront
de détecter ce type de malware et des majuscules, minuscules, chiffres 4 • Ne communiquez jamais vos mots compromis.
le bloquer lorsque le logiciel inclut et caractères spéciaux. Évitez de créer de passe à des tiers. Un mot de passe
un firewall. La méthode alternative des mots de passe qui emploient des doit rester secret. 7 • Utilisez un gestionnaire de mots de
consiste à surveiller manuellement informations personnelles faciles à passe. Un gestionnaire vous permettra
l’activité du réseau avec des retrouver comme le prénom de vos 5 • Ne stockez pas les mots de de centraliser l’ensemble de vos codes
programmes comme GlassWire sur enfants, une date d’anniversaire… passe dans un fichier sur un poste dans une base de données, accessible
à partir d’un mot de passe principal. d’une fonction permettant de générer
Cette solution vous permettra ainsi des mots de passe complexes et
d’opter pour des mots de passe plus aléatoires.
longs et plus complexes pour tous vos
services en ligne et vos applications, Il est disponible sur la clé USB de ce kit
sans avoir besoin de les retenir ou téléchargeable à l’adresse suivante :
individuellement. Vous augmenterez https://keepass.info/
ainsi la sécurité pour chacun de
vos comptes. Cela revient toutefois
à confier à un tiers de confiance
l’ensemble de vos mots de passe.

Quel
gestionnaire
de mots de
passe choisir ?
Le logiciel Keepass est la référence
« open source » en matière de gestion
de mots de passe. Cette solution est
gratuite et permet de stocker en toute
sécurité vos mots de passe. Vous
pouvez conserver cet outil sur votre
bureau ou l’intégrer à votre navigateur
web. Le logiciel dispose également

Pour aller plus loin :

Installer Keepass étape par étape : securityinabox.org/fr/guide/keepass

Un guide de survie des « aventuriers d’Internet » sur : les-infostrateges.com

Savez-vous vraiment reconnaître un phishing ?


Faites le test en ligne : phishingquiz.withgoogle.com

Vos informations ont-elles été compromises par une faille publique ?


Faites le test avec votre adresse email sur : haveibeenpwned.com

Protéger
vos fichiers
sur votre
ordinateur
local ou le réseau Internet.

Un peu d’histoire...
Qu’est-ce que
3 • Les logiciels espions : un logiciel
espion est installé sur un ordinateur

ça veut dire ?
ou un appareil mobile dans le but de Le chiffrement remonte à la civilisation babylonienne environ
collecter et transférer des informations 300 ans avant notre ère. Plusieurs méthodes de chiffrement
personnelles, sans que l’utilisateur en ont existé (l’Atbsh des Hébreux (-500), la scytale à Sparte
Assurer la sécurité de vos données ait connaissance. (-400), le carré de Polybe (-125), …), la plus célèbre que
en ligne est essentiel. Pour autant, l’histoire retiendra étant le chiffre de Jules César. Ce dernier ne
vous n’êtes pas à l’abri en conservant 4 • Les chevaux de Troie : Le Cheval faisait pas confiance à ses messagers lorsqu’il devait envoyer
tous vos fichiers importants sur votre de Troie, ou trojan, est un programme des messages à ses généraux. Il décida donc de remplacer
ordinateur, car celui-ci est connecté invisible qui est caché au sein d’une les lettres A dans ses messages par des lettres D, les B par des
à Internet et donc vulnérable. application en apparence légitime. E et ainsi de suite. Cette méthode est une méthode dite de
Le programme contenu (ou téléchargé «chiffrement par substitution simple».
par la suite automatiquement) peut
alors inclure n’importe quel type de Exemple :
parasite : virus, keylogger, logiciel Alphabet clair : A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
espion... Alphabet Chiffré : D E F G H I J K L M N O P Q R S T U V W X Y Z A B C

Quels sont 5 • Les keyloggers : Déjà mentionné Texte clair : Errare humanum est, perseverare diabolicum

les risques ?
dans le chapitre précédent, Texte chiffré : Huuduh kxpdqxp hvw, shuvhyhuduh glderolfxp
le keylogger est un programme qui
enregistre toutes les touches frappées NB : cette méthode primitive de chiffrement est obsolète et ne
Il existe de nombreuses attaques qui au clavier sur l’ordinateur infecté, permet plus de sécuriser des données ou des communications.
permettent de récupérer les données et les envoie au pirate par Internet.
d’un ordinateur. La plus courante Son but est souvent d’intercepter
consiste à utiliser des logiciels les identifiants et mots de passe.
malveillants appelés « malwares » en
anglais. Ces logiciels ont pour but Le chiffrement consiste à transformer — Android offre le chiffrement
d’accéder à un appareil (ordinateurs, une donnée qui peut être lue par du disque entier lors de la
tablettes, smartphones ou objets n’importe qui (donnée dite « claire ») configuration initiale de votre
connectés) et d’altérer ou de récupérer en une donnée qui ne peut être lue que téléphone pour les appareils plus

Comment
les fichiers et les données personnelles par son créateur et son destinataire récents, ou n’importe quand par
qui s’y trouvent. Il existe de nombreux (donnée dite « chiffrée » ou encore la suite dans les paramètres de

protége ses
types de programmes qui permettent cryptogramme). « Sécurité » de tous les appareils.
d’accéder à votre appareil et à ce qu’il

fichiers ?
contient : Il est conseillé de chiffrer toutes — Les appareils Apple tels que l’iPhone
vos données plutôt que seulement ou l’iPad parlent de « protection des
1 • Les virus : Un virus informatique se quelques dossiers. Si vous possédez données » et l’activent quand vous
reproduit d’un fichier à un autre sur Pour assurer la sécurité numérique de certains fichiers particulièrement définissez un code.
le même ordinateur. C’est le type de vos données, la seule méthode efficace confidentiels, il est également
logiciel malveillant le plus ancien et le consiste à chiffrer vos données. recommandé de les placer dans un Pour les ordinateurs :
plus répandu. Chiffrer ses données revient à les fichier chiffré indépendant.
déposer dans un coffre-fort verrouillé — Apple propose une fonction intégrée
2 • Les vers : Un ver informatique et sécurisé. Seules les personnes qui La plupart des smartphones ou de chiffrement du disque entier
(worm en anglais) ne se reproduit disposent de la combinaison (une ordinateurs récents offrent désormais sur macOS appelée FileVault dans
pas d’un fichier à un autre mais d’un clé de chiffrement ou une phrase le chiffrement du disque entier comme « Préférences système ».
ordinateur à un autre, via un réseau secrète) peuvent accéder au contenu. option :
— Les versions de Linux offrent
habituellement le chiffrement
du disque entier lors de la
configuration initiale de votre système.

— Windows Vista et les versions


ultérieures proposent une fonction de
chiffrement du disque entier appelée
BitLocker.

Il existe également des outils


informatiques spécialisés pour chiffrer
vos données.

VeraCrypt

VeraCrypt est un logiciel libre, gratuit


et multi-plateforme (Windows, Mac
et Linux) qui permet de chiffrer vos
données, et celles de vos disques
durs ou clés USB. C’est une version
améliorée du projet TrueCrypt. C’est
un outil qui fonctionne comme un
coffre électronique dans lequel vous
pouvez conserver vos fichiers en toute
sécurité.
Veracrypt protège vos fichiers en
les codant à l’aide d’une phrase de
chiffrement. Il crée un espace sécurisé
sur votre ordinateur ou votre appareil
de stockage externe.
En revanche, si vous oubliez votre
phrase secrète, vous perdrez l’accès à
vos données. Il n’y a aucun moyen de
retrouver une phrase perdue. Gardez
également à l’esprit que l’utilisation
d’un chiffrement est illégale dans
certaines juridictions.
Il est aussi recommandé de mettre à
jour régulièrement les logiciels qui se
trouvent sur votre ordinateur, tablette
ou smartphone, car les mises à jour
comprennent des correctifs des failles
de sécurité. La mise à jour de vos
logiciels est indispensable si vous
voulez protéger vos données contre
les attaques.

Sécuriser
vos emails
personne malintentionnée peut
facilement modifier l’affichage de

Quels sont
son nom d’expéditeur ou créer
une adresse qui ressemble à s’y

les risques liés
méprendre à l’adresse habituelle de
votre interlocuteur. En cas de doute,

aux emails ?
cliquez sur le nom de l’expéditeur, et
vérifiez que l’adresse email qui s’affiche
correspond bien à une adresse
Moyen de communication et d’envoi connue, ne transmettez aucune
de fichiers utilisé par la majorité information sensible, et vérifiez par un
des entreprises et des particuliers, autre moyen de communication (par
les emails sont devenus le principal exemple le téléphone ou un autre outil
vecteur de transmission d’information. de messagerie) que vous échangez
Plus encore, les adresses emails sont avec le bon interlocuteur.
Toutes et tous concerné.es utilisées comme identifiant pour
la création de nombreux comptes Enfin, dans le cas d’espionnage ou de
António Capalandanda est défenseur des droits humains (réseaux sociaux, services en ligne, cybersurveillance d’un État, vos emails
et journaliste sur le site d’information Voz da América comptes en banque) et sont donc peuvent être interceptés à toutes les
(Voice of America) en Angola. Il enquête régulièrement souvent cibles d’attaques. Ce qu’il étapes de la chaîne de transmission :
sur des cas de violence politique, de violations des droits faut savoir, c’est que vos emails sont entre votre service d’email et le
humains et des affaires de corruption. par défaut « en clair ». Cela veut serveur, sur le serveur lui-même, entre
Début janvier 2013, António Capalandanda aurait été dire que votre email est comme une les serveurs, puis entre le serveur et le
suivi à plusieurs reprises par des hommes non identifiés carte postale envoyée par la Poste : service d’email de votre destinataire.
dans un véhicule, qui se seraient garés à proximité de sa si quelqu’un l’intercepte, il pourra Il devient alors très difficile de
résidence et l’auraient suivi dès qu’il serait parti travailler. lire le texte que vous avez écrit. Cela sécuriser vos emails, et impossible
Au cours de la même période que ces incidents, le cour- rend la surveillance très simple : vous de savoir s’ils peuvent être lus par un
rier électronique d’António Capalandanda a été piraté et n’avez pas besoin d’être directement tiers.
consulté par des inconnus selon son fournisseur de ser- ciblé, si votre interlocuteur l’est,
vice de courrier électronique. vos informations sont également
Toutes ses informations personnelles contenues dans sa compromises.
boite email ont été compromises. Lui et sa famille ont été
l’objet de multiples actes de harcèlement et de menaces La première cause de piratage d’un

Comment
de mort. compte email est l’erreur humaine :
c’est le plus souvent vous-même qui

s’en protéger ?
donnez accès à votre messagerie en
révélant votre mot de passe à un pirate
qui se fait passer pour un interlocuteur
de confiance (c’est la méthode du Avec autant de points de vulnérabilité,
phishing évoquée dans le chapitre 3). empêcher vos emails d’être interceptés
Assurez vous d’utiliser un mot de est quasiment impossible : vous
passe sécurisé et d’éviter les pièges du pouvez sécuriser la connexion entre
hameçonnage en vérifiant l’identité de votre machine et le serveur email, mais
l’interlocuteur. si votre interlocuteur ne fait pas de
même, vos communications peuvent
De la même façon, l’attaque peut être interceptées et lues.
consister à vous tromper sur l’identité
de votre interlocuteur réel : une S’il est virtuellement impossible
d’empêcher des messages d’être le courriel sera soit illisible (car un email envoyé à une personne l’une des méthodes de chiffrement
interceptés, l’une des solutions chiffré sans que l’interlocuteur ne est complexe, sécuriser un email les plus utilisées. Mais ces solutions
est d’empêcher qu’ils soient lus en puisse le décoder), soit envoyé « en envoyé à 20 personnes est utopique. nécessitent des connaissances
chiffrant le contenu des emails. clair » (non-chiffré). Vous pouvez C’est pourquoi l’on considère que la techniques et sont peu accessibles
Comme pour le chiffrement d’un prendre toutes les précautions de communication par email n’est pas aux utilisateurs non-confirmés.
fichier, il s’agit de rendre le texte votre côté, si votre interlocuteur ne une communication sécurisée et
totalement illisible par toutes les prend pas également du sien, vos recommandée, malgré sa popularité. Pour les néophytes, il existe des
autres personnes que celles qui communications sont vulnérables. Autant que possible, privilégiez les services d’email qui intègrent
possèdent la clef nécessaire pour Protéger vos emails exige une outils de messagerie instantanée directement le chiffrement dans leur
les déchiffrer. Toutefois, si l’un des sécurité parfaite à toutes les étapes sécurisés et dont les communications programme : si votre interlocuteur
interlocuteurs n’utilise pas une de transmission, de la part de tous sont chiffrées par défaut pour tous les utilise le même service, le contenu de
solution qui chiffre les emails, alors les interlocuteurs. Ainsi, si sécuriser utilisateurs. l’email sera chiffré (et sera donc illisible
pour un tiers), sans manipulation de
Il existe malgré tout plusieurs logiciels votre part.
qui permettent de chiffrer ses emails.
Le plus connu est GPG, un logiciel Parmi les solutions existantes, deux
open source basé sur l’OpenPGP, services open source sont intégrés
dans la clé USB de ce kit :

— Protonmail

Accessible directement depuis un


navigateur (sécurisé si possible),
Protonmail permet d’envoyer des
emails chiffrés aux autres utilisateurs
de Protonmail ou aux utilisateurs
de services similaires, à condition
d’importer leur clé de chiffrement, PGP
ou symétrique (il requiert dans ce cas
une configuration spécifique)

— Tutanota

Également open source et accessible


depuis un navigateur, ce logiciel
permet d’envoyer des emails chiffrés
aux autres utilisateurs. On peut aussi
envoyer des messages chiffrés de
bout en bout aux utilisateurs d’autres
messageries avec un chiffrement
symétrique à condition de partager la
clé par un autre moyen.
Tutanota n’intègre pas le standard
OpenPGP mais a l’avantage d’être
aussi disponible sur mobile avec une
application iOS ou Android.

Protéger
vos
discussions
instantanées
sur mobile
Parmi les différentes applications de
messagerie qui existent, Whatsapp est

Qu’est-ce que
numéro 1 dans le monde : 1,5 milliard
de personnes l’utilisent. En mai 2019,

ça veut dire ?
une faille de sécurité a été détectée
sur l’application. Elle pouvait permettre
d’installer, à l’insu de l’utilisateur, un
Les téléphones mobiles font partie logiciel espion sur son téléphone, si
intégrante de nos conversations l’utilisateur ne décrochait pas lorsqu’il
quotidiennes : appels, SMS/MMS, recevait l’appel « infecté ». Selon
messageries instantanées... le Financial Times, cette faille a été
Toutes et tous concerné.es Le nombre de fonctions incluses dans exploitée pour installer les logiciels
les téléphones mobiles a nettement espions Pegasus de l’entreprise
L’ONG de droits humains Amnesty International affirme augmenté au cours des dernières israélienne NSO Group qui fournit
qu’un de ses employés, travaillant sur l’Arabie Saoudite, années. Les « smartphones » sont ses logiciels aux forces de sécurité
a été pris pour cible par le logiciel Pegasus du groupe devenus des mini-ordinateurs de nombreux pays dans le monde,
israélien NSO alors qu’il mettait en place une campagne portables qui sont en permanence régimes démocratiques ou non.
pour la libération des femmes défenseures des droits hu- connectés à Internet et munis de Ce programme permet notamment de
mains injustement incarcérées dans le pays. Début juin fonctions de localisation avancées. collecter la géolocalisation de sa cible,
2018, un membre du personnel d’Amnesty International Dès lors que votre téléphone est lire ses messages et emails, déclencher
a reçu un message WhatsApp suspect rédigé en arabe. connecté à Internet, tout ce que vous à son insu le micro et la caméra de son
Ce texte comportait des informations détaillées au sujet y faites est vulnérable de la même téléphone.
d’une prétendue manifestation devant l’ambassade d’Ara- manière qu’un ordinateur.
bie Saoudite à Washington, et un lien vers un site web. Les WhatsApp, comme toutes les
investigations menées par les informaticiens d’Amnesty applications, n’est donc pas infaillible,
International ont montré que le fait de cliquer sur ce lien et sa popularité en a fait la cible
aurait, d’après leurs connaissances préalables, installé un des hackers. Il existe toutefois
« Pegasus », qui aurait infecté le smartphone de l’utilisa- d’autres applications spécialisées

Quels sont
teur, suivi les frappes au clavier, pris le contrôle de l’ap- qui permettent de sécuriser
pareil photo et du micro, et consulté la liste des contacts. vos conversations en utilisant

les risques ?
Un autre défenseur des droits humains saoudien basé à le chiffrement de bout-en-bout.
Londres, Yahya Assiri, le directeur de l’ONG ALQST, a lui
aussi reçu ce même message. Il était en contact fréquent
avec Jamal Khashoggi, le journaliste saoudien du Was- Vos communications, qu’elles soient
hington Post qui a été tué à l’ambassade d’Arabie Saoudite vocales ou écrites, ne sont presque
à Istanbul en octobre 2018. jamais sécurisées par défaut, et

Comment
peuvent donc être facilement
interceptées, lues, enregistrées,

protéger ses
modifiées. Les renseignements qui
passent par vos applications de

conversations
messagerie instantanée peuvent
compromettre votre sécurité mais

instantanées ?
également celle des personnes listées
dans votre carnet d’adresses ou
dans les différentes applications de
messagerie que vous utilisez, et dans Utilisez Signal pour chiffrer vos
les fichiers échangés. appels et vos messages textuels
Signal est une application gratuite, américain, ancien employé de la CIA et
sans publicité et open source qui la NSA l’utilise quotidiennement.
permet de chiffrer par défaut les
communications qui transitent par
l’application. Elle permet de chiffrer Utilisez Olvid, l’application qui
les communications écrites mais aussi protège vos donnée
vocales. Le service propose également
un mode d’auto-destruction des Ce nouveau service de messagerie
messages, c’est-à-dire la possibilité de instantanée français attaque le
rendre éphémères vos conversations problème à la racine : pour protéger
écrites (en effaçant les données après vos données, Olvid les chiffre
un certain temps). entièrement (métadonnées incluses),
Le « chiffrement de bout-en-bout » même sur ses propres serveurs. Cela
est la façon de rendre un message signifie que toutes les informations
secret. Personne d’autre que les deux stockées par le service de messagerie
correspondants n’est en mesure de sont chiffrées, et que lui-même ne peut
décrypter la conversation, et donc pas y accéder. En cas d’attaque ou de faille
même votre fournisseur d’accès mobile de leurs serveurs, les données et les
ou un « espion ». La seule faiblesse de conversations sont donc impossibles à
Signal est qu’il repose par défaut sur un lire. Olvid est ainsi la seule messagerie
« annuaire des utilisateurs », distribuant garantissant la sécurité totale des
la clé publique d’un utilisateur A à un données des utilisateurs. L’intégralité
utilisateur B. Opéré par le développeur des messageries actuelles, Signal
du logiciel, cet annuaire sert de tiers inclus, font reposer la sécurité
de confiance entre les utilisateurs, mais sur la confiance dans les serveurs
permet par là même au serveur — ou utilisés (annuaires centralisés), alors
à un tiers qui en prendrait le contrôle que ceux-ci sont structurellement
— de déchiffrer les communications vulnérables. Olvid s’affranchit de
entre A et B. Pour protéger totalement cette faille de sécurité. Avant tout
leur correspondance, les deux dédié aux entreprises, Olvid se base
utilisateurs ont la possibilité d’échanger sur un modèle payant, afin de n’être
directement entre eux une clé de dépendant d’aucune entité extérieure.
chiffrement. Cette chaîne de caractères Ce modèle de sécurité, pour l’instant
(ou safety numbers dans la terminologie sans faille connue, constitue sans
de Signal) doit être échangée doute l’avenir des communications
secrètement via un autre moyen sécurisées.
de communication. La procédure
est optionnelle mais fortement
recommandée pour tous les utilisateurs
qui se servent de Signal pour partager
des informations sensibles.

L’Electronic Frontier Foundation, une


ONG américaine spécialisée dans la
défense de la liberté d’expression sur
Internet, donne à l’application Signal la
note maximale en termes de sécurité
et Edward Snowden le lanceur d’alerte

Se
protéger
contre
l’espionnage
via vos
appareils
mobiles
gouvernementales ont depuis
longtemps la possibilité d’accéder aux

Qu’est-ce que
données recueillies par les opérateurs
téléphoniques en fonction de règles

ça veut dire ?
juridiques qui diffèrent selon les pays.
Un service de police ou une agence
de renseignement peut effectuer
Nos appareils mobiles contiennent une demande officielle auprès de
des données sur l’ensemble de notre l’opérateur pour récupérer les données
vie et de nos activités quotidiennes. ou utiliser un accès dérobé (appelé
De nombreux comptes sont reliés à backdoor) installée au niveau des
des applications sur notre téléphone, serveurs. Parmi ces données se trouve
Toutes et tous concerné.es qu’il s’agisse de Gmail, d’Amazon, de la géolocalisation : lorsqu’un appareil
Paypal ou d’AirBnb. Par ailleurs, tous les mobile est connecté au réseau, il est
En 2019, des journalistes ont révélé que les douaniers smartphones, tablettes et ordinateurs automatiquement localisé grâce aux
chinois de la frontière entre le Kirghizistan et la région portables sont équipés de caméras et antennes relais qui permettent de
du Xinjiang installent des logiciels espions sur les smart- de micros qui peuvent être facilement trianguler l’origine du signal, même
phones Android des touristes qui entrent en Chine. La transformés en outils de surveillance. si l’option « géolocalisation » est
procédure de vérification des terminaux est différente s’il Il ne s’agit pas d’un fantasme : les désactivée dans les paramètres de
s’agit d’un mobile Android ou d’un iPhone. Dans le cas du régies publicitaires se servent déjà des l’appareil. Les données échangées
système d’exploitation Android, une application de type micros des mobiles pour proposer des avec les serveurs de l’opérateur -
logiciel espion est installée. Pour les iPhones, le smart- publicités ciblées. À mesure que les localisation, SMS et data - sont toutes
phone est simplement branché à un lecteur. L’application usages mobiles évoluent, de plus en potentiellement accessibles à des
utilisée pour scanner le téléphone est en principe désins- plus d’attaques concernent les appareils tiers via les serveurs de l’opérateur.
tallée, mais il est apparu que cette ultime procédure était mobiles. L’attaque la plus courante, Utiliser les applications citées dans les
parfois oubliée par les douaniers. Le fait qu’elle soit reti- abordée dans les précédents chapitres, chapitres précédents peut permettre
rée après la procédure suggère qu’elle n’a pas vocation à est celle du phishing. L’usage d’un d’échanger des messages de façon
établir un pistage en temps réel par GPS de chaque indi- appareil mobile implique donc de sécurisée en faisant en sorte que
vidu — même si des informations techniques du mobile redoubler de vigilance et de garder l’opérateur n’accède qu’aux données
(adresse MAC, n°IMEI, numéro de téléphone etc.) sont à l’esprit qu’il s’agit toujours d’un chiffrées, mais cela ne protège en aucun
collectées au passage. Selon l’enquête, l’application est dispositif de surveillance potentiel, et cas du piratage de l’appareil lui-même.
surtout chargée de rechercher des contenus de propa- qu’aucune méthode réellement fiable
gande terroriste, mais aussi des passages du Coran, des n’existe pour se protéger du piratage
documents relatifs au Dalaï-Lama et même un groupe de de son appareil. Le piratage de votre appareil mobile
métal japonais appelé Unholy Grave (à cause d’une chan- grâce à un logiciel espion
son appelée Taïwan : Another China), soit tout ce qui pour-
rait compromettre l’autorité du pouvoir central. Les appareils mobiles, comme
n’importe quel ordinateur, fonctionnent
grâce à un système d’exploitation

Quels sont
qui est susceptible d’être infecté par
un logiciel malveillant. Ces petits

les risques ?
programmes appelés « malware »
peuvent être utilisés pour voler
des données contenues dans votre
La surveillance des données appareil. Les « spywares », ou logiciels
recueillies par les opérateurs espions, sont des types de « malware »
spécifiques, conçus pour espionner
Les agences de renseignements vos activités. Ces applications
peuvent être trouvées sur Internet et et enregistrer les conversations Le piratage de votre appareil mobile — Mettez à jour le système
ne nécessitent pas de connaissances téléphoniques, récupérer en temps grâce à un IMSI-catcher d’exploitation de vos appareils et
techniques particulières : une fois le réel les photos prises avec la caméra, vos différentes applications. Parce
spyware installé, les données sont accéder aux messages, quelle que soit Il est également possible de localiser que de nombreux hackers profitent
transmises à une plateforme web sur l’application utilisée. Il peut également un appareil mobile et d’accéder à ses des vulnérabilités des précédentes
laquelle l’espion peut se connecter permettre d’activer secrètement le données directement depuis l’endroit versions, les mises à jour permettent
anonymement. micro et la caméra, de restreindre les où il se trouve grâce à un « IMSI- de réduire les failles de sécurité.
appels entrants de numéros prédéfinis catcher », un appareil de surveillance
Un spyware donne potentiellement ou d’enregistrer l’écran et les mots utilisé pour intercepter localement le — Ne synchronisez pas vos appareils
accès à l’ensemble des données tapés sur le clavier, rendant même les trafic des communications mobiles mobiles avec des ordinateurs inconnus
contenues sur l’appareil et peut aller applications sécurisées inefficaces en simulant une fausse antenne-relais ou non protégés
jusqu’à développer des fonctionnalités pour protéger vos données. et en s’intercalant entre le réseau
de surveillance avancée : écouter de l’opérateur et l’appareil ciblé. — N’installez que des applications
L’acronyme « IMSI » fait référence connues et « validées », et seulement à
à l’International Mobile Subscriber partir des stores officiels (Google Play
Identity, un numéro unique qui Store, Apple Store, …).
identifie la carte SIM utilisée et son
propriétaire et permet de se connecter — Évitez autant que possible les
à l’appareil mobile. L’IMSI catcher a réseaux wifi publics et non sécurisés
besoin d’être placé à proximité de la qui peuvent permettre d’intercepter
cible pour fonctionner et peut être vos données et même d’installer un
utilisé pour surveiller l’ensemble malware. Si vous devez vous connecter
des données, installer un logiciel à un wifi public, utilisez un VPN et ne
espion et même simuler l’origine de communiquez aucune information
messages ou d’appels, faisant croire confidentielle.
à votre téléphone que le numéro qui
vous appelle ou le message que vous — N’activez votre Bluetooth que
recevez est celui d’un destinataire que lorsque vous vous en servez : il offre
vous connaissez alors qu’il provient un point d’entrée non sécurisé à votre
en réalité d’un ordinateur situé à appareil
proximité.
— Ne laissez pas vos applications et
les services web que vous utilisez sur
votre mobile en mode « auto-login »
(le mode qui retient votre mot de passe
et se connecte automatiquement,

Comment
souvent une case à cocher) : une fois
votre appareil piraté, ce sont tous vos

se protéger ?
comptes qui ne seront plus sécurisés.

— Si vous deviez confier votre


— Ne laissez jamais vos appareils sans téléphone à un tiers (autorités,
surveillance : s’il existe de nombreuses douanes, etc…), éteignez toujours
façons de les pirater à distance, il suffit complètement votre appareil. Certains
de brancher quelques secondes vos téléphones suppriment toute clé de
appareils pour les infecter avec un chiffrement lorsque l’appareil s’éteint,
malware. et imposent d’entrer son code PIN
avant tout nouveau déchiffrement.
— Installez des applications anti-virus ou de pirater ses données. Mais
qui sauront détecter les programmes attention, si l’appareil a été infecté par
malveillants, surveiller la navigation sur un spyware, il peut continuer à être
Internet et sauvegarder les données utilisé comme dispositif de surveillance
sensibles. Vous pouvez essayer grâce au micro qui peut enregistrer
CM Security et Avast! Mobile Security et transmettre les données lors de sa
& Antivirus (pour Android), capables de reconnexion au réseau après avoir été
verrouiller des applications, ou Lookout sorti du sac.
Antivirus & Securité (pour Android et
iOS) qui dispose en plus de fonctions
antivol. Se protéger contre le piratage
via des « IMSI catchers »

Se protéger contre le tracking et la Il n’existe aucun outil de protection


surveillance via vos appareils mobiles fiable contre les « IMSI catchers » :
dès lors que votre appareil est
La méthode la plus simple pour se connecté à un réseau, il est possible
protéger du tracking de votre appareil de le tromper avec une fausse
et du piratage de vos données consiste antenne relai et de le pirater. Certaines
à retirer sa batterie. Le téléphone est applications comme SnoopSnitch
alors totalement inactif, n’enregistre, prétendent être en mesure de détecter
ne reçoit et ne transmet plus aucune la présence de faux relais, mais cette
information. Mais de nombreux détection demeure imparfaite. Pour
appareils mobiles ne permettent pas diminuer les chances de ce type de
de le faire sans outil. Éteindre son piratage, il peut être utile de désactiver
téléphone - ou activer le mode avion - la 2G et le roaming sur les smartphones
ne suffit pas à garantir que l’appareil ne qui le permettent, de façon à ce que
pourra pas être localisé et transmettre l’appareil ne puisse se connecter qu’au
des données. Un appareil infecté réseau 3G ou 4G, davantage sécurisés.
pourra par exemple afficher un écran Ces mesures permettent d’éviter
éteint alors que certaines fonctions certains types d’IMSI catcher, mais ne
continuent d’être utilisées. constituent en aucun cas une réelle
La méthode alternative au retrait de protection. La seule méthode efficace
la batterie est celle du « air gapping » : pour ne pas être exposé à un IMSI
elle consiste à isoler entièrement catcher est de déconnecter totalement
un appareil du réseau, rendant alors son téléphone du réseau, en retirant
impossible un piratage à distance ou la batterie ou en le plaçant dans un
la localisation de l’appareil. Pour isoler Faraday bag.
un appareil, vous pouvez utiliser un
« faraday bag », un étui qui reproduit Pour aller plus loin :
le principe de la cage de Faraday,
bloquant le champ électromagnétique. Smartphone Surveillance And Tracking Techniques Understanding Threats,
Indices & Protection, en anglais sur medium.com
L’usage d’un « Faraday bag » garantit
que l’appareil ne pourra ni envoyer ni L’épisode « State of Surveillance » avec Edward Snowden et Shane Smith :
recevoir de signal. En plaçant votre VICE sur HBO : Saison 4, épisode 13
appareil mobile dans l’étui de ce kit,
il devient impossible de le localiser 12 ways to hack-proof your smartphone, en anglais sur The Guardian

Les limites
de la
protection
Le secret de la correspondance, et techniques de protection qui sont que le service protège vos données. décrites précédemment. L’appareil
un droit protégé dans de nombreux par nature imparfaits mais de rester La protection des données constitue ne doit jamais être connecté à
pays, est menacé par la nature même vigilant et conscient des risques que toujours un compromis entre confort un compte Google, Facebook ou
des communications numériques. vous prenez. Les méthodes décrites d’utilisation et sécurité. Ne sacrifiez tout autre compte qui pourrait
Respecter les bonnes pratiques dans les chapitres précédents ont pas la sécurité pour le confort : de permettre d’associer la machine à
décrites dans les chapitres précédents uniquement pour but et pour effet nombreux utilisateurs se servent des votre identité réelle. Vous pouvez
et comprendre les risques constitue de limiter ces risques : la notion fonctions d’auto-login ou confient également appliquer cette méthode
un point de départ pour survivre dans de sécurité absolue est illusoire à leur navigateur ou leurs appareils avec un appareil mobile dédié à vos
l’espace numérique et protéger autant en matière de communication la gestion des identifiants et mots conversations confidentielles.
que possible vos données et vos numérique. de passe, ce qui rend très facile le
échanges. piratage de leurs données. — Chiffrez vos échanges
Voici trois points à garder en tête afin d’informations
Toutefois, il est important de garder d’adopter une attitude vigilante : — Cloisonnez vos identités
à l’esprit qu’il n’existe aucune numériques Dès lors que vous naviguez sur le web
sécurité infaillible : les outils et les — Protégez vos données personnelles ou échangez des informations via des
machines électroniques n’ont pas L’ensemble de vos appareils, login / appareils numériques, vous partagez
été conçus pour protéger l’échange À partir du moment ou vous utilisez pseudo, adresse email, adresse IP, des données avec de multiples
d’informations. Dès lors qu’un un site, un service, une application constituent autant d’identifiants acteurs. Naviguer anonymement et
appareil est connecté à Internet, ou un logiciel, il détient une partie de uniques qui peuvent être reliés à communiquer via des outils sécurisés
il est potentiellement vulnérable vos informations personnelles. Utiliser votre identité. L’usage d’une seule qui chiffrent les données vous permet
et peut être transformé en outil une application ou un service en ligne, adresse email suffit à vous relier à de réduire les risques d’exploitation ou
de surveillance ; dès lors que vous c’est accepter de lui faire confiance. Il un grand nombre d’activités et peut de surveillance de vos informations,
échangez des informations, celles- devient alors important de connaître permettre de les espionner facilement. bien que cela ne constitue jamais
ci peuvent potentiellement être le type de données que ce service va Il est recommandé de cloisonner au une garantie absolue. Si par exemple
interceptées et manipulées par un conserver et exploiter, en lisant les maximum les données qui permettent votre machine est compromise,
tiers. L’important est donc de ne pas Conditions Générales d’Utilisation, et de vous identifier, en utilisant des tous vos efforts d’anonymat et de
se reposer entièrement sur des outils en s’assurant auprès de sources fiables adresses et des identifiants uniques sécurisation le sont également.
pour chaque application. Vous Sécuriser vos échanges d’informations
pouvez même séparer vos activités implique en réalité un effort constant
en utilisant par exemple, en plus de et commun de votre part et de celle
votre machine principale dévolue de vos interlocuteurs. Les logiciels
aux tâches courantes, un ordinateur de chiffrement bout-à-bout vous
spécialement dédié à toutes vos permettent simplement de compliquer
activités et échanges confidentiels. au maximum la tâche des potentiels
Il peut s’agir d’un simple PC portable espions, sans jamais échapper
d’occasion utilisant une IP distincte totalement au risque de surveillance. 
et un OS sécurisé comme Tails, en
appliquant l’ensemble des pratiques

Pour aller plus loin :

101 Data Protection Tips: How to Keep Your Passwords, Financial & Personal
Information Safe in 2019, en anglais sur digitalguardian.com

The Verge guide to privacy and security, en anglais sur theverge.com

A set of online guides to restore privacy, en anglais sur restoreprivacy.com