Comment ne pas être traqué avec vos ordinateurs

Si vous êtes malencontreusement arrivé sur cette page et que vous penser n'avoir "rien à cacher", LDN a fait une vidéo pour vous ! Si vous préférez le texte, vous pouvez lire la "Lettre ouverte à ceux qui n’ont rien à cacher" ou jenairienacacher.fr.

L'informatique est un formidable moyen de traquer/pister les gens. En effet, la majorité des gens ne s'en rendent pas compte ou ne savent jusqu'où cela peut aller. De plus, le pistage peut couter peu cher et être fait massivement.

Cet article est fait pous vous apprendre vaguement comme vous pouvez être espionné. Mais, il portera surtout sur les moyens généraux théoriques pour tenter de ne pas être traqué (il n'y a aucune méthode parfaite). Ces moyens généraux théoriques vous permettront d'avoir un esprit plus critique sur les solutions que vous pourriez envisager utiliser.

Les mots "ordinateur", "PC", "machine" et leurs synonymes sont à prendre au sens large du terme, c'est-à-dire au sens d'appareil utilisant de l'informatique (ordinateur de bureau, tablette, "smartphone", télévison numérique, etc). La définition de Wikipédia est plus précise : un ordinateur est une machine électronique qui fonctionne par la lecture séquentielle d'un ensemble d'instructions, organisées en programmes, qui lui font exécuter des opérations logiques et arithmétiques sur des chiffres binaires.

Les parties sont en grande partie indépendantes, ne soyez donc pas effrayer par la relative longueur de l'article.

L'article a été fait pour être lu par n'importe qui. Néanmoins, il n'a pas pour but d'expliquer tout de A à Z, les liens sont faits pour expliquer ou approfondir certaines notions. Si vous ne comprenez pas quelque chose malgré les liens, n'hésitez pas à me le signaler (tout comme les fautes d'orthographe ou de grammaire).

Internet

Le chiffrement

Une partie des échanges via Internet se fait en clair. Cela signifie que si quelqu'un récupère un message clair, il peut le lire et le modifier sans aucun problème.

Le chiffrement tente de palier ce problème. Les communications chiffrées utilisent un code/clé pour chiffrer et déchiffrer les messages. Généralement, on utilise (au moins au début) un chiffrement asymétrique : il y a une clé publique pour chiffrer et un clé secrète pour déchiffrer. Une clé est représentable sous la forme d'un grand nombre entier positif. La clé secrète peut être trouvée, mais un simple ordinateur peut créer une clé secrète qui pourrait mettre extrèment longtemps à être trouvée, même avec un supercalculateur (dont peut disposer un État ou de grands groupes).

Le Web

Le HTTPS pour le Web

On navigue sur le Web avec un protocle (une convention pour communiquer entre ordinateurs), le HyperText Transfer Protocol. Mais très vite, il a fallu inventé une version sécurisée pour de nombreux usages (mot de passe, paiement…), ainsi est néé le HyperText Transfer Protocol Secure. Quand vous êtes sur un site et que vous utilisez le HTTPS, il y a généralement un petit cadenas à gauche de l'URI. De nombreux sites sont accessibles en HTTPS : Wikipédia, Twitter, Google, etc. Cela peut être particulièrement utile sur un réseau WiFi public sans mot de passe. En effet, il est facile (même avec un ordinateur de poche) de sniffer ce qui se passe sur le WiFi et de tout récupérer toutes vos communications avec Internet (dont les mots de passe), mais les informations chiffrées ne seront pas exploitables.

HTTPS-everywhere

HTTPS-everywhere est une extension pour navigateur web. Elle permet de passer en HTTPS quand ce n'est pas le cas par défaut et que c'est possible.

Do Not Track pour le Web

L'option Do Not Track permet de demander aux applications web de pas être suivie/pistée. Malheureusement, les créateurs d'applications ne sont pas obligés de respecter votre choix. La majorité des navigateurs web supportent cette option (à activer dans les paramètres). Il faut néanmoins être conscient que dire que l'on veut ne pas être pisté peut faciliter le traquage (dans le cas où cette donnée est utilisée et qu'une majorité n'a pas le même comportement).

Les cookies sur le Web

Quand vous naviguez sur le Web, les sites web vous proposent des cookies (qui ne se mangent malheureusement pas) qui par défaut sont acceptés par de nombreux navigateurs web. Un cookie a un nom et contient une petite quantité d'informations. Cette petite quantité d'informations peut contenir un programme qui peut être éxécuté par un autre programme de votre navigateur web ayant accès à ce cookie, mais c'est très rare à cause de la faible taille maximale d'un cookie. Ils peuvent être utilisés pour pister, mais également pour retenir des préférences (identifiant, mot de passe…).

On pourrait penser que désactiver les cookies (c'est facilement faisable) permettrait de ne plus être pisté. Mais, il existe d'autres techniques pour pister. De plus, comme dit plus haut, cela vous enlèvera des possibilités/préférences. À vous de choisir entre du confort ainsi que des possibilités supplémentaires et un peu moins de pistage. Essayez ça ne coute rien et vous pourrez aisément réactiver les cookies. Une solution intermédiaire est de supprimmer tous les cookies de temps en temps. Vous pouvez aussi utiliser le plugin Self-Destructing Cookies qui détruit les cookies d'un site dès que vous le quittez.

Certains navigateurs web proprosent de refuser les cookies tiers (qui viennent d'un autre site que celui que vous visitez). C'est une option utile pour limiter le traquage de site en site.

Les moteurs de recherche

Une grande majorité des moteurs de recherche pistent leurs utilisateurs. Cela permet de proposer des publicités plus ciblées, mais également de meilleurs résultats de recherche (grâce à votre profil, vos habitudes…).
Il existe des moteurs de recherche collaboratifs, décentralisés et libres, comme YaCy et Seeks. Il y a aussi des moteurs de recherche centralisés qui disent ne pas pister leurs utilisateurs, c'est une belle parole qui est malheureusement invérifiable. Les résultats d'un de ces moteurs seront certainement moins bons (parce qu'ils ne savent rien sur vous) et n'ont pas autant de moyens que leurs concurrents qui traquent.

Certains moteurs de recherche proposent la recherche prédictive (par exemple pour "traq" ils vous proposent "traquer", "traqueur" et "traquenard"). Pour faire cela, il faut savoir en permanance ce qu'il y a dans le champ de recherche. Ainsi un moteur de recherche ne sait pas uniquement votre cherche, il sait également chaque caractère que vous avez tapé ou supprimmé dans quel ordre et quand. Certains moteurs de recherche permettent de désactiver la recherche prédictive, qui est certes une option pratique mais qui permet d'en savoir un peu plus sur vous. Même si une telle option est désactivée, le moteurs de recherche peuvent continuer à épier chacune de vos actions sur le clavier (sans vous donner des "propositions prédictives"), vous pouvez vérifier le respect de l'option en analysant les requêtes réseaux (ceux que vous pouvez rapidement apprendre à faire avec les outils pour développeurs intégrés à de nombreux navigateurs web).

Un autre bon moyen d'éviter au traquage des moteurs de recherche est tout simplement de moins les utiliser. Vous pouvez enregistrer en marques-pages/signets les sites web que vous consultez régulièrement. Wikipédia (qui est dirigé par une association à but non lucratif qui tient à la vie privée) peut dans certains cas remplacer un moteur de recherche (pour accéder à Wikipédia, pour avoir les résultats d'une compétition ou d'une élection, pour aller sur un site officiel, etc).

Les régies publicitaires sur le Web

La majorité des régies publicataires collecte des informations sur les gens de site en site. Cela leur permet de mieux les connaitre et donc de leur proposer des publicités plus adéquates et/ou de revendre les données. Désactiver les cookies ne suffit pas. Même avec le JavaScript désactivé, il y a encore des informations récupérables, même si elles sont bien moindres.

Pour ne pas télécharger les publicités tierces et donc ne plus être pisté par les régies publicitaires, il existe des outils. Il y a des plugins pour navigateur web, comme uBlock Origin. Il y a également des logiciels s'appliquant à un système d'exploitation, comme AdAway pour Android. Il existe des logiciels qui considèrent qu'il y a des publicités acceptables (comme AdBlock Plus), en prenant en compte uniquement l'impact visuel et marketing, donc si vous voulez conserver votre vie privée ces logiciels sont mieux que rien mais il y a plus efficace. Il y a aussi des logiciels qui remplacent des publicités par d'autres, sans garantie que cela soit plus sain pour la vie privée (c'est par exemple le cas de AdBlock Plus).

La navigation privée sur le Web

En navigation privée, le navigateur web ne conserve pas : l'historique (de navigation, de recherche, de téléchargement), les formulaires, les cookies et les autres fichiers temporaires. Tous les navigateurs web modernes ont cette fonctionnalité.

Faire attention aux plugins pour navigateurs web

Les plugins pour navigateurs web permettent d'élargir les possibilités du navigateur. Mais certains peuvent être dangereux.

Adobe Flash Player, Adobe Reader et le moteur Java web sont des plugins pour navigateurs web. Malheureusement, des failles de sécurité sont régulièrement découvertes dans ces derniers. Il est donc conseillé de les désactiver ou mieux les désinstaller.

Adobe Flash Player introduit également une alternative propriétaire aux cookies qui passe outre les préférences de votre navigateur web. De plus, il est beaucoup plus dur de les gérer (que les cookies traditionnels/standardisés).

Le JavaScript

Le JavaScript (différent de Java tout court) est un language de programmation. Sur le Web, il est utilisé pour rendre les pages dyanmiques (comme Flash, Java et Silverlight qui posent les mêmes problèmes). Il peut permettre de savoir beaucoup de choses sur votre ordinateur, votre système d'exploitation et votre navigateur web (résolution de l'écran, polices de caractères, niveau de la batterie, performance et bien plus). De plus, il permet d'envoyer des informations à un ordinateur autre que le votre (par exemple via des requêtes AJAX).
Ne pas activer ou désactiver JavaScript (ainsi que Flash, Java et Silverlight) ou utiliser un navigateur web qui ne le supporte pas permet d'éviter un grand nombre de moyens de vous traquer. Mais le JavaScript est utile dans beaucoup d'autres choses que le traquage, une solution intermédiaire est donc d'autoriser ou bloquer certaines sources de JavaScript (par exemple grâce au plugin NoScript).

Les boutons de traquage

Sur de nombreux sites, vous pouvez voir des boutons (Facebook, Google+, Twitter, Flattr, etc). Certains sont de simples images hébergées par le site web. D'autres sont de simples images hébergés par un tiers (comme Facebook ou LinkedIn) ou avec une interaction avec un tiers (le nombre de "J'aime" ou de "+1" par exemple), un tiers saura donc que vous avez visité tel page et quand. Ces boutons espions peuvent ne pas être téléchargés, en ajoutant une liste ou une règle personnalisée à un plugin anti-publicités ou d'une manière plus globale via le fichier hosts.

L'historique

Les navigateurs web conservent généralement par défaut votre historique de navigation et ce que vous avez téléchargé. Ceci peut vous être utile, mais peut également l'être pour d'autres, comme un logiciel malveillant ou plus simplement une autre personne physique ayant accès à votre ordinateur.
Vider votre historique de temps en temps ou après une activité que vous voulez garder secrète peut donc être utile. Certains navigateurs web proposent aussi des options pour gérer plus "finement" l'historique (par exemple le vider après la fermeture du navigateur web).

L'agent utilisateur

En 2015, par défaut la majorité des navigateurs web envoient qui ils sont (sans mentir) à chaque requête de page web. Ainsi, les webmasters peuvent savoir quel navigateur web (son nom et sa version) et quel système d'exploitation vous utilisez. On appelle cette information l'agent utilisateur ou user-agent en anglais.

Random Agent Spoofer

Random Agent Spoofer est un plugin (ou module complémentaire) pour contrôler son user-agent. Il est libre (le code source est disponible sur GitHub), gratuit et fonctionne avec Firefox et ses dérivés. Il intégre également des options non liés au user-agent pour protéger votre vie privée. Si vous ne voulez pas ses notifications à chaque fois qu'il change de user-agent, vous pouvez les désactiver pour ce plugin dans les préférences du menu plugin.

Les emails

Chiffrez vos emails

Il est possible de chiffrer le contenu de ses emails dont les pièces jointes avec PGP. Malheureusement, il n'est pas possible (en 2014) de chiffrer le sujet, ainsi que les adresses des émetteurs et destinataires.
Avec Thunderbird/Icedove, une extension convival nommé Enigmail vous simplifiera la vie. Sur Android, vous pouvez utiliser K-9 Mail avec APG. Pour en savoir plus, vous pouvez lire le guide pour chiffrer ses emails de la Free Software Foundation.

Le BitTorrent

Le BitTorrent est un protocole d'échange de fichiers.
Comme le HTTP/HTTPS ou tout autre protocole permettant de télécharger des fichiers, il peut permettre de télécharger des fichiers illégalement. Cela a donné l'idée à certaines entreprises du divertissent et à des gouvernements (sous l'impulsion de ces dernières) d'espionner ce que vous téléchargez et partagez via le BitTorrent. Heureusement, des logiciels de BitTorrent permettent simplement, dans les options, de forcer le chiffrement.

Anonymiser toute communication Internet avec un réseau anonymisant

Un réseau anonymisant a assez logiquement pour but d'anonymiser tout communication passant par Internet. Ces systèmes ne sont pas parfaits; mais hormis si quelqu'un (comme un État) vous veut quelque chose personnellement, il y a peu de probabilité qu'on mette à mal votre anonymat. Une solution très connue est Tor, qui peut être facilement utilisé avec Vidalia et Orbot pour Android.

Se protéger contre le sniffage des réseaux publics

Les réseaux publics (Wi-Fi en particulier) peuvent être facilement sniffés. Le sniffeur pourra ainsi récupérer tout contenu passant par le réseau (dont vos cookies, par exemple pour la connexion automatique). Il pourra facilement exploiter ce qui n'est pas chiffré. Les sniffeurs sont des outils légaux (même si comme un couteau, ils peuvent être utilisés pour des actes malveillants) et facile à se procurer, on peut par exemple citer WireShark. Il existe des logiciels qui tentent de vous protéger contre ces assaillants, comme DroidSheep Guard (Android).

Les logiciels malveillants

Les logiciels malveillants ou malware sont des programmes développés dans le but de nuire à un système informatique, sans le consentement de l'utilisateur infecté. Ces logiciels ne vous espionnent pas forcément. Mais, ils sont nocifs, il faut donc se protéger.

La première chose à faire est d'avoir des logiciels toujours à jour. Pour cela, préférez le(s) dépot(s) avec le gestionnaire de paquets par défaut de votre système. Sinon, les logithèques, "stores" ou "marketplaces" font la même chose, mais en moins bien. Si vous n'avez aucun de ces systèmes ou que le logiciel voulu n'est pas disponible avec ces outils, télécharger le logiciel sur le site web de son créateur d'une manière chiffrée et s'il y a une signature vérifiez la (si c'est une signature OpenPGP, Tails propose un tutoriel avec le logiciel libre et gratuit GnuPG).

Il est recommandé d'utiliser un système d'exploitation sans installation de logiciels tiers de sources douteuses, tel qu'une distribution GNU/Linux entièrement libre (comme Trisquel ou Debian ) ou un système presque entièrement libre basé sur BSD (comme PC-BSD ).

Si vous utilisez Windows et voulez continuer à l'utiliser, il est recommandé d'utiliser un pare-feu (celui par défaut est bon). De plus, il est préférable d'avoir un anti-virus (il en existe des gratuits), mais cela peut aussi en parti se retourner contre vous (par exemple si des options par défaut ne sont pas respectueuses de votre vie privée). Pour finir, il ne faut pas oublier que aucune solution technique ne pourra totalement protéger un utilisateur contre sa propre bêtise, hormis en muselant la liberté de l'utilisateur (qui se fait bien trop souvent par une confiance absolue et absurde dans une entité centrale opaque toute puissante, comme Apple avec ses iDevices).

Les logiciels espions

Certains logiciels installés sur votre machine peuvent vous espionner. Les logiciels honnêtes vous demanderont la permission (Autorisez vous le logiciel à récupérer des informations pour améliorer le logiciel ?) et respecteront votre avis. Le problème est que vous ne controlez pas ce que le logiciel récupère. Un logiciel peut récupérer des informations qui n'ont rien à voir avec son amélioration. Beaucoup de logiciels font cela pour dresser votre profil, généralement pour l'utiliser ou le vendre à des fins publicitaires.

Les logiciels propriétaires

Un logiciel propriétaire, privateur ou non libre est un logiciel dont l'usage, l'accès au code source, la modification ou la duplication est limité. Dans le cas où l'accès au code source est limité, on ne peut pas savoir comment le logiciel fonctionne, on peut donc penser (à tort ou à raison) que le logiciel peut avoir un comportement malveillant sans nous le dire Dans le cas où il n'est pas légal de le modifier, on ne peut pas corriger les failles de sécurité et les fonctionnalités malveillantes. Dans le cas où ou on ne peut pas partager les modifications, chacun devrait être un programmeur assez compétent pour corriger les problèmes.

Il est donc recommandé d'utiliser des logiciels libres et le moins possible de logiciels propriétaires. En effet, ces derniers garantissent que l'utilisation, l'étude, la modification et le partage sont permis, techniquement et légalement, afin de garantir certaines libertés induites (dont le contrôle du programme par l'utilisateur et la possibilité de partage entre individus).