Martin Untersinger, à l’époque journaliste à Rue89, expliquait en février 2012 :

« Naviguer sur Internet, c’est comme sauter à pieds joints dans du béton frais : on laisse des traces (presque) indélébiles partout. »



Silhouettes sur un pont - ebrkut/Flickr/CC

Près de deux années plus tard, le constat n’a pas changé. Naviguer sur Internet comporte des risques, et les outils dont on vous parlait en 2012 sont toujours parmi les plus efficaces pour vous en protéger.

Ainsi, l’utilisation du réseau Tor ou d’un proxy, par exemple, vous permettra toujours de vous assurer un anonymat relatif. Depuis le premier volet que nous avions publié, certains usages ont néanmoins évolué et certains nouveaux outils se sont développés.

1 Les conversations instantanées



Sur mobile

En deux ans, bon nombre d’entre nous échangent de plus en plus de messages instantanés sur mobile. Certains services se sont développés pour garantir l’anonymat sur téléphone.

Avec Whatsapp, Viber et Imessage, le SMS est presque passé de mode, et les messages transitent via Internet. Si Whatsapp a annoncé vouloir crypter ses messages, la sécurité des transmissions n’est pas pour autant garantie pour le moment sur ces applications.

TigerText est une application qui permet de communiquer avec ses collègues ou ses amis, en ayant l’assurance que les conversations seront cryptées. Non seulement les messages s’autodétruisent une fois qu’ils ont été consultés – à la manière de Snapchat –, mais ils ne peuvent pas non plus être lus par une personne tierce.

Pour l’installer, rendez-vous dans l’App Store si vous êtes sur iPhone, sur Google Play pour Android. Une fois l’appli installée, il vous sera demandé de renseigner votre adresse mail. Vous pouvez ainsi discuter avec n’importe quel numéro de votre carnet d’adresses, s’il possède l’application, le message s’affichera un temps donné, s’il ne l’a pas il recevra un SMS de notification (qui ne dévoile pas le contenu du message bien entendu).

D’autres applications du genre existent, comme Privatext ou Myenigma.

Sur ordinateur

Au bureau, vous utilisez Gtalk, le service de tchat de Google. Pour discuter avec vos proches, Facebook Messenger. Problème : ces messageries ne vous garantissent ni l’anonymat ni le chiffrage du contenu qui est échangé.

Un des moyens de s’assurer d’avoir une conversation instantanée en toute sécurité est d’utiliser un logiciel de messagerie qui exploite le protocole OTR (Off the Record) – on vous en avait déjà parlé.

En plus de vous assurer le chiffrement de vos conversations, il vous permet aussi d’être absolument sûr de l’identité de la personne avec laquelle vous échangez des messages, grâce à son système d’authentification. Lorsque l’on souhaite échanger avec une personne, il est demandé de partager une question dont lui seul connaît la réponse ou de renseigner un code convenu à l’avance.

Ainsi, installer par exemple le logiciel Pidgin OTR sous Windows, qui gère le protocole en question, vous assurera de pouvoir engager une conversation en toute sécurité – il est installé par défaut sur Ubuntu.

Si vous êtes sur Mac, Adium vous permettra également d’avoir des conversations privées tout en exploitant le protocole OTR. Ce logiciel permet aussi d’utiliser d’autres protocoles de chiffrement, comme le TLS/SSL ou le PGP.

2 La visio-conversation



Aujourd’hui, plusieurs services permettent d’appeler et de se voir avec une simple connexion internet. Les ordinateurs et téléphones s’étant majoritairement dotés de caméras frontales, rien de plus simple.

FaceTime d’Apple, Gtalk de Google, ou Messenger de Facebook : les géants du Net exploitent pour beaucoup ce service, démocratisé ces dernières années notamment grâce au logiciel Skype qui appartient désormais à Microsoft.

Quel problème à utiliser ces services ? En théorie aucun. Mais on ne peut être certain que vos conversations n’intéressent pas ces entreprises qui ne les cryptent pas, et offrent ce service gratuitement. D’autant que, la plupart d’entre elles font partie du programme de surveillance de la NSA, Prism.

Jitsi offre une solution libre pour tous ceux qui ont l’habitude de réaliser leurs appels visio via Skype ou un autre service. Développé à l’origine par l’université de Strasbourg, il assure des conversations cryptées par défaut.

Une fois installé sur votre ordinateur (Mac, Windows ou Linux), il vous sera demandé, comme sur Skype, de vous créer un compte. Vous pourrez alors choisir de communiquer via votre compte Facebook, Google ou bien en utilisant le protocole XMPP, plus sûr.

En utilisant le petit cadenas présent en haut à droite de la fenêtre de logiciel, vous vous assurez que vos conversations sont chiffrées.

Il permet en outre d’avoir une discussion instantanée, de réaliser un appel audio ou vidéo en duo ou à plusieurs, et d’appeler les mobiles et les fixes.

Si vous utilisez Firefox, les versions 34 ou 35 bêta du navigateur permettent de réaliser simplement des visio-conversations en intégrant la technologie WebRTC (Web Real-Time Conversation).

3 Les données d’applications



Nous utilisons sur nos smartphones des dizaines d’applications qui exploitent certaines de nos données. Le bon réflexe à avoir est de contrôler lesquelles ces données sont utilisées, et de désactiver celles que vous ne souhaitez pas partager. Pour ça, rendez-vous dans les réglages de votre téléphone Android ou iOS.

Il peut être important aussi de réinitialiser régulièrement le suivi publicitaire des applications présent sur nos téléphones, qui permet aux publicitaires d’affiner l’affichage des publicités sur mobile en fonction du profil et des habitudes de l’utilisateur. La Cnil explique la marche à suivre sur son compte Twitter.

Comment limiter le suivi publicitaire sur votre Iphone ? #IOS #Mobilitics pic.twitter.com/UP1bs5cYzO — CNIL (@CNIL) 15 Décembre 2014 Désactiver le suivi publicitaire sur iPhone

Comment limiter le suivi publicitaire sur votre smartphone #android #mobilitics pic.twitter.com/ey8W53PXAT — CNIL (@CNIL) 15 Décembre 2014 Désactiver le suivi publicitaire sur Android

Une chose importante surtout, pensez bien à désactiver l’exploitation de la fonction de géolocalisation du téléphone par certaines applications, qui peuvent en abuser. Selon le deuxième volet de Mobilitics publié par la Cnil en décembre 2014, les applications mobiles sont de plus en plus friandes des données de localisation :

« Entre un quart et un tiers des applications accèdent à la localisation. Mais ce qui retient l’attention, c’est la fréquence d’accès. Ainsi, une application de service de réseau social a pu accéder 150 000 fois en trois mois à la localisation d’un de nos testeurs. Cela représente un accès en moyenne par minute. En volume, la géolocalisation est aussi la donnée la plus collectée : elle représente à elle seule plus de 30% des évènements détectés, sans être toujours liée à des fonctionnalités offertes par l’application ou à une action de l’utilisateur. »



Guide pour désactiver la localisation sur Android - Cnil



Guide pour désactiver la localisation sur iOS 8 - Cnil

4 La connexion



Wifi public

Lorsque vous vous connectez sur un réseau, faites attention que celui-ci soit bien protégé. Se servir du wifi du Macdo ou de la gare, c’est sympa pour envoyer des fichiers ou checker ses mails, mais en exploitant ce type de réseau public non protégé, vous prenez un risque. Si une personne malveillante est présente sur le réseau, et qu’elle utilise un « renifleur » – qui comme son nom l’indique permet de renifler les réseaux wifi et de les analyser – elle pourra sans trop de problèmes récupérer vos identifiants et vos mots de passe.

Un journaliste du site PC World en avait fait l’expérience et était par exemple parvenu à recueillir les pages consultées par des personnes connectées à un wifi public, mais aussi les mails échangés via ce réseau.

Wifi personnel

Chez vous, si vous utilisez le wifi, pensez à protéger le réseau avec une clef – en général attribuée d’office par le fournisseur Internet. Privilégiez le recours à une clef WPA (Wifi Protected Access), qui n’est pas inviolable, mais offre un niveau de protection bien supérieur aux autres systèmes de protection.

Si vous ne le faites pas, et que vous laissez votre réseau libre, vous pourriez avoir de mauvaises surprises.

Pour savoir si le réseau que vous vous apprêtez à utiliser est protégé par une clef ou non, il suffit de regarder si un petit cadenas est présent en face de celui-ci ou non.