Sécuriser son informatique

En observant la pyramide au chapitre précédent consacré au modèle de menace, on peut en déduire que si on trouve le moyen de se protéger d'un état trop paternaliste à tendance autoritaire, on sera de facto protégé contre toutes les menaces des étages inférieurs.

C'est probablement vrai. Seulement, se protéger de l'inquisiteur implique l'utilisation de logiciels plutôt pointus tout en faisant l'exercice mental de considérer la paranoïa comme une attitude aussi saine que salutaire. Tout cela n'est pas très pratique s'il s'agit simplement d'acheter une cocotte-minute en ligne.

En se basant sur la nature des menaces on peut se risquer à proposer, pour chacune d'entre elles, les logiciels les mieux adaptés afin de contrer les risques qu'elles représentent à la vie privée ou à tout le moins, leur mettre quelques bâtons dans les roues. En d'autres termes ; agir plutôt que subir.

S'il est pour le moins paradoxal de faire une liste d'épicerie avant de savoir cuisiner, il ne sera quand même pas question ici de détailler la mise en place et le fonctionnement des outils logiciels évoqués dans ce chapitre. L'aspect technique de certains d'entre eux fera probablement l'objet de pages dédiées.

Configuration de base

Quel que soit votre modèle de menace, la configuration suivante est un strict minimum. Tellement minimum que tout le monde devrait la mettre en œuvre, même ... en absence de modèle de menace !

Pré-requis : proscrire les produits de type GAFAM

Liste non-exhaustive. Sevrage nécessaire.

Google

N'est plus le moteur de recherche sympa de la fin des années 90. Chrome, s'il n'est plus un navigateur cool et rapide, est en revanche très branché. Tous les services Google ne sont que des sous-produits d'une régie publicitaire nommée Alphabet qui trace le moindre de nos gestes afin de revendre ces informations.

Microsoft

N'a certes jamais été le champion de la vie privée mais surtout depuis Windows 10, a adopté corps et âme, sans équivoque, le fouinage systématique à la Google et dans une large mesure, de façon plutôt opaque. Il n'échappe à personne que Windows 10 c'est l'unification bureau/appareils mobiles. Quand un PC devient un « smartphone », c'est par définition le pistage qu'on installe sur son bureau.

Facebook

Facebook, une plateforme « privée » a lui aussi un modèle économique basé sur la captation d'informations personnelles. Celles données volontairement par les membres du réseau « social », mais aussi celles des autres internautes qui ne le souhaitent pas.

Je sais. Vous n'avez pas envie de passer pour une personne sociopathe. Admettons que si notre vie sociale repose sur le fait d'être ou non sur Facebook ; nous avons un problème. Le web offre par ailleurs d'autres moyens plus respectueux pour tous le monde de s'afficher garder contact avec ses ami(e)s.

Les Webmails gratuits (Gmail, Yahoo, Outlook/Hotmail)

Pour les mêmes raisons évoquées jusqu'à présent. Par exemple, utiliser Gmail est un peu comme envoyer une lettre par la poste en étant certain que notre courrier sera lu par le facteur. Yahoo! ne s'embarrasse pas en livrant votre correspondance directement à la NSA et les autres le font tout autant.

Privilégier les logiciels de confiance

La sincérité plutôt que le bling-bling. Il est impératif d’utiliser des outils informatiques qui apportent un niveau de confiance le plus élevé possible, quitte à ce qu'ils soient parfois moins « parfaits ».

On reconnaît un logiciel de confiance dès lors qu'il est Libre, que l'entité qui le développe privilégie sans équivoque ses utilisateurs plutôt que ses actionnaires, ne tente pas de se servir de sa puissance pour imposer ses normes, communique de façon transparente et va même jusqu'à saborder son service si la sécurité légitime des utilisateurs est compromise. Entre autres.

Système d'exploitation

GNU/Linux : de nombreuses distributions libres peuvent remplacer Windows sans aucun problème. Que ce soit Linux Mint, Ubuntu, Manjaro, Fedora, Trisquel; toutes fonctionnent parfaitement bien sur PC ou portable.

Ne pas hésiter à désactiver des services au démarrage et supprimer les logiciels dont vous n'avez pas l'utilité, (cela peut-être par exemple le Bluetooth, Samba, synthèse vocale, etc) et surtout garder son système et ses logiciels à jour !

Navigateurs

Firefox, QupZilla, Pale Moon, Midori, Chromium (la version open source de Chrome, sans les mouchards). Tous ces navigateurs libres ou Open source respectent votre vie privée et sont aussi rapides et simples à utiliser que Chrome et Edge.

Le navigateur est une pièce maîtresse dans votre stratégie de protection. Grâce à la philosophie de la Fondation Mozilla, Firefox et ses nombreuses extensions relatives à la vie privée est une référence en la matière. La liste ci-dessous n'est pas exhaustive.

De plus, Firefox (depuis la version 42, fin 2015), intègre nativement une protection contre le pistage lorsqu'il est en mode de navigation privée et il est profondément configurable grâce à about:config (pour voir de quoi on parle ici, entrez about:config dans la barre d'adresse de Firefox et cliquez sur « je prends le risque »).

Séparer votre navigation

Les cookies et l'historique de navigation étant stockés sur la base des profils, configurez plusieurs « utilisateurs » en fonction du type de navigation effectuée. Cela a l'avantage de scinder votre profil d'internaute suivant la nature des connexions effectuées. Concrètement, pour imager la chose, si votre club échangiste n'a pas besoin de savoir pour quel employeur vous travaillez (et vice-versa), Facebook et Google ont encore moins besoin de savoir à quelle banque vous confiez vos économies.

Par exemple, on peut mettre en place au minimum trois profils différents, un pour chaque usage tel que :

  1. Banque et autres sites auxquels on se connecte afin de réaliser des opérations relatives à nos finances personnelles.
  2. Administration publique, école.
  3. Tout le reste.

On peut judicieusement envisager jusqu'à cinq profils, en ajoutant informations (journaux, blogues) et achats en ligne.

Limitez tout de même le nombre de profils. Cela peut devenir assez fastidieux de les multiplier. Une autre bonne technique est d'associer un profil de navigation avec un navigateur précis, par exemple :

Toutes les combinaisons sont possibles, chaque profil correspondant à des paramètres différents au niveau du navigateur (mode privée avec exceptions ou non) et au niveau des extensions installées. Par exemple, un profil plus souple sera necessaire afin de réaliser des achats en ligne (essayez de le faire en mode navigation privée avec un bloqueur de requêtes...) alors que pour des raisons de vie privée, de publicités intrusives et de sécurité, toutes les requêtes tierces, y compris les cookies peuvent être bloqués pour consulter des journaux et blogues.

Techniquement, il est tout à fait possible d'utiliser un seul navigateur avec un seul profil dont les réglages sont paramétrés au plus fin, en fonction du type de navigation effectuée. Cette technique peut se révéler relativement lourde à gérer à la longue. Elle serait à envisager que si on visite peu de sites et qui sont presque toujours les mêmes.

Courriel

Utilisez un client lourd comme Thunderbird. Parce que vos messages devraient rester chez vous (sur votre disque dur), tout comme on ne laisse pas son courrier (ouvert) au bureau de poste. Un client lourd permet aussi de centraliser toutes vos adresses dans une seule interface.

Si vous ne pouvez pas vous passer d'un webmail, adoptez des services qui respectent votre vie privée et celle de vos correspondants :

Il est aussi pertinent d'acheter son propre nom de domaine. Beaucoup d'hébergeurs offrent en prime une ou plusieurs adresses email à l'achat d'un nom de domaine et c'est une opération qui est vraiment bon marché. Il n'est pas idiot d'envoyer un message à un membre de sa famille depuis une adresse qui serait par exemple premom@nom.fr, à condition que les autres membres aient aussi une adresse sur le même domaine ! Cette façon de communiquer se révélera un peu plus intimiste et - normalement - on évitera du même coup de passer par les serveurs de Google, Yahoo! ou Microsoft.

Dans le même esprit que les profils de navigateur(s), il est donc fortement recommandé d'utiliser plusieurs adresses courrielles distinctes en fonction de vos interlocuteurs. Ces adresses seront idéalement réparties sur des fournisseurs différents, par exemple :

Utiliser Yahoo! ou Outlook/Hotmail/msn uniquement comme boite mail « poubelle », c'est-à-dire pour s'inscrire sur un forum dont le sujet est anodin, commenter sur les blogues ou partout où il est demandé de fournir un courriel sans que cela semble justifié.

N'oublions pas l'adresse fournie par le fournisseur d'accès à Internet qui peut être réservé aux achats en ligne ou n'importe quel service qui fait que lorsqu'on change de FAI, les messages reçus à cette adresse sombrent dans les limbes sans que cela nous fasse sourciller.

Il existe aussi des services de courriels jetables qui permettent de créer très facilement des adresses à durée de vie très limitées. On peut citer par exemple guerillamail ou adresseemailtemporaire. Startmail offre aussi ce type de courriel temporaire.

Enfin, il est important de rappeler qu'il ne faut pas utiliser une adresse dédiée à un service pour autre chose que celui-ci. Par exemple, utiliser la même adresse pour sa banque et pour les commentaires qu'on laisse sur des sites est un peu comme chercher une corde pour se pendre.

Gestionnaire de mots de passe

Avec le Web, vient immanquablement la question de la gestion des mots de passe. Un bon mot de passe est défini par sa longueur, c'est le critère le plus important, et par le nombre d'alphabets (type de caractère) qu'il implique, donc sa complexité.

Un alphabet peut-être les 26 lettres en minuscule. Un autre alphabet est les 26 lettres en majuscules. Il y a aussi l'alphabet des nombres ainsi que celui des ponctuations et des caractères dits « spéciaux ».

Un mot de passe faisant obligatoirement intervenir les mathématiques, décrivons simplement le concept sous la formule suivante :

Longueur + Complexité = Force

Ce qu'il ne faut pas faire

Commençons par décrire les mauvaises pratiques en matière de gestion de mots de passe. Tout ce qui est écrit dans la liste suivante est à proscrire immédiatement.

Ajoutons qu'utiliser son nom ou prénom et sa date de naissance n'est pas nom plus l'idée du siècle. Pas plus brillants sont les mots de passe célèbres comme sésameouvretoi ou ... motdepasse.

Il y a trois grandes méthodes pour briser un mot de passe. La force brute qui consiste à essayer toutes les combinaisons possibles, d'où l'importance de la longueur du mot de passe. L'attaque par dictionnaire qui consiste à piocher dans des listes (disponibles sur le Web) les milliers ou dizaines de milliers de mots de passe les plus courants, d'où l'importance de la complexité et diversité. La troisième est un mélange des deux méthodes de base ci-dessus, c'est-à-dire qu'on essaie à la fois les mots d'une liste avec une combinaison probable ou courante, comme un chiffre à deux décimales à la suite d'un prénom (par exemple, Gerard69).

Un bon mot de passe

Pour constituer de bons mots de passe, un premier réflexe doit être d'utiliser un gestionnaire de mots de passe. Sans hésiter, on conseillera KeepassX ou Keepass2. Ces gestionnaires vont faire tout le travail à votre place : remplir eux-mêmes les identifiants de connexion, permettre de créer vos mots de passe et de voir leurs « force », mais surtout de faire en sorte que vous n'ayez plus qu'une seule phrase de passe à retenir plutôt qu'une ribambelle de mots de passe.

Grâce à un gestionnaire, on pourra facilement mettre en place ces bonnes pratiques :

Évidemment, certains sites refusent la création d'un mot de passe trop long (en 2016, il y en a encore qui limitent le nombre de caractères à 8 !), n'acceptent pas tous les caractères de ponctuation ni les caractères spéciaux et encore moins l'espace. Il faut donc faire preuve de jugement. Si c'est pour s'inscrire sur un forum qui traite de la tarte aux citrons, ce n'est peut-être pas si grave. En revanche, pour d'autres plateformes plus sensibles, si la possibilité de former des mots de passe longs et complexes n'est pas possible, la question de passer son chemin s'impose !

En résumé

Tout cela peut paraître lourd et complexe, mais en réalité, il n'en est rien. Il suffit de faire preuve d'un minimum d'hygiène numérique en utilisant d'autres logiciels tout aussi disponibles et performants que ceux des GAFAM et assimilés.

Et voilà !

Configurations suivant le modèle de menace

En fonction de son modèle de menace, on peut mettre en place des mesures de protection adéquates. En gardant en mémoire que ces outils (ou façon de faire) ne sont pas forcément spécifiques à la menace dans laquelle ils sont inclus ici. Un tel « classement » est par définition un peu maladroit, mais l'idée étant qu'on ne chasse pas la taupe à la mitrailleuse lourde.

Attention, rien n'est sûr à 100 % et l'informatique n'échappe pas à cette règle. Ce qui suit n'est donc pas une police d'assurance mais sur le Web, c'est novembre toute l'année : si veut avoir la moindre chance de rester au sec en se promenant à l'extérieur, il faut au minimum posséder un parapluie fonctionnel, ne pas l'oublier à la maison et savoir l'ouvrir.

Espionnage étatique

Contre les bandits 2.0

Protection physique

Le vol d'un ordinateur peut avoir de fâcheuses conséquences lorsqu'on réalise qu'il contient presque toujours des données très personnelles. Il est donc essentiel de protéger l'accès à nos machines.

La plupart des sécurités énumérées ci-dessus sont contournables par quelqu'un qui a des notions en informatique plus poussées que la moyenne de la population. Statistiquement parlant, on va considérer que notre voleur a une connaissance de l'informatique qui se situe dans la moyenne, ce qui devrait donc l'empêcher d'accéder aux données.

Pour une sécurité accrue, sinon totale (à condition de choisir une phrase de passe solide), optez pour le chiffrement complet du disque dur, à tout le moins, chiffrez vos dossiers sensibles avec encfs ou Veracrypt.

Archiver les fichiers importants sur une clef USB qui est facile à cacher et chiffrez la avec cryptsetup/luks.

Il est primordial de faire des sauvegardes très régulières de vos données et éventuellement de votre système au complet.

Protection en ligne

Réserver le nuage (cloud) pour les données qui ne sont pas si importantes (photos de vacances, de chats, de plats de spaghetti) ou utiliser Owncloud ou Cosy.

Utiliser une machine virtuelle dont on aura pris soin d'interdire l'accès à l'ordinateur principal (hôte).

La virtualisation est le fait d'utiliser un « ordinateur » invité qu'on installe « à l'intérieur » d'un ordinateur physique (hôte). Cette magie est possible à l'aide d'un logiciel comme VirtualBox.

Dans le navigateur Firefox, installer les extensions uBlock Origin, HTTPS Everywhere, NoScript et/ou RequestPolicy Continued.

Ne cliquez pas sur n'importe quoi :

Au niveau du courriel

Sur le Web

Si vous êtes sur un site inhabituel, vérifiez un lien avant de cliquer (en passant la souris dessus). Les URL raccourcies et les liens chiffrés ne sont pas (toujours) dignes de confiance.

Un lien chiffré est une URL comportant une suite hirsute de caractères, par exemple : un-site/url=hd3GIK37dvs3kjdjS210=k23V. Ces liens sont parfois souhaitables dans les cas sensibles comme des achats en ligne ou la navigation dans notre compte en banque. En revanche, ils peuvent aussi cacher un but moins glorieux comme une publicité intrusive, une « ressource » vérolée ou un moyen de pistage.

Justement ! Parlons un peu du pistage (tracking).

Pistage ou profilage commercial

Sur Firefox, installer l'extension Lightbeam vous permettra de visualiser les sites avec lesquels vous avez interagi de façon volontaire ou non. Cela aura pour effet de vous faire tomber à la renverse tout en faisant la démonstration que la toile mérite bien son nom.

Mettre en œuvre une configuration minimale telle que décrite en introduction de ce chapitre protège déjà grandement de l'espionnage orchestré par les entreprises sympas de la Silicon Valley. Voici quelques outils - on a déjà évoqué certain - qui aiderons à affiner notre protection.

Conclusion

La meilleur arme de défense contre les intrusions dans votre vie privée, c'est avant tout vous-même. Soyez critique envers les logiciels trop beaux, trop à la mode, trop populaires, trop dépendants de Wall Street et surtout soyez curieux. Comprendre comment les choses fonctionnent est sûrement votre meilleur atout.

Comprendre : cela n'implique pas d'être informaticien. Même les machines et les logiciels peuvent et doivent être analysés dans leurs dimensions sociales et économiques.

Ne mettez sous aucun prétexte tout vos œufs dans le même panier. Par exemple, rien ne vous oblige à utiliser systématiquement le moteur de recherche Google. Les autres feront tout aussi bien la plupart du temps. Le meilleur moyen pour garantir la liberté de choix, la liberté tout court, est encore de ne jamais laisser un monopole s'installer et à plus forte raison dans un domaine aussi intrusif que représente le numérique. La technologie n'est pas neutre !

S'il fallait ne retenir qu'une chose : ne pensez pas uniquement à vous. Pensez aux autres, à vos proches, car en vous exposant, vous les exposez aussi sans qu'ils en soit conscients et forcement d'accord !

Enfin, déconnectez le plus souvent possible. Allez jouer dehors.

Sans ordinateur dans votre poche.


Qui craindre ?