Parcours
|
Usages numériques

Protéger sa vie privée sur internet

10 min
8 juillet 2020
A partir du lycée
4h

Notions abordées :

  • Réduire son empreinte en ligne

  • Gérer ses accès sur internet

  • Se prémunir des cyberattaques

  • Limiter le tracking dans sa navigation

  • Sécuriser ses réseaux sociaux

  • La vie privée et la loi

Pré-requis :

  • Utiliser quotidiennement le web

  • Savoir installer un logiciel et des extensions

  • Avoir des notions de base du fonctionnement d’internet et du web

1. Introduction

“Je n’ai rien à cacher”. Voici souvent la réponse que l’on aurait tendance à donner lorsque l’on nous demande de faire attention à notre vie privée sur internet. Or dans un monde où l’exploitation des données personnelles est un modèle économique devenu banal et dans lequel la cybersurveillance s’installe dans certains pays, il ne suffit plus d’avoir “rien à cacher” pour s’inquiéter de la protection de sa vie privée.

Nous sommes de plus en plus connectés, c’est un fait et le web fait partie intégrante de notre vie sociale, professionnelle, administrative et citoyenne à un point de non retour. Il la facilite grandement mais cette facilité a un prix : le risque de retrouver sa vie dans ses moindres détails à la disposition d’individus ou corporations mal intentionnés.

La maîtrise de notre vie privée repose essentiellement sur notre capacité à gérer nos données personnelles, à la fois techniquement mais aussi dans nos usages. Il faut donc agir, mais comment ?

2. Réduire son empreinte en ligne

Les données personnelles sont une somme d’informations qui sont traitées informatiquement et peuvent être associées à un individu. Si certaines données peuvent permettre d’identifier immédiatement une personne (nom, prénom), le croisement de certaines données à priori inoffensives peut mener à son identification. 

a. Quelles données sont à risque ?

Une donnée personnelle constitue toute information se rapportant à une personne physique identifiée ou identifiable, on y distingue :

  • les données liées à l’identité

    Nom, prénom, genre,  adresse postale, adresse email, numéro de téléphone, numéro de carte d’identité et passeport,  numéro de sécurité sociale, et toute autre donnée qui peut mener à ces données et conduire à l’identification de l’individu.

  • les habitudes de navigation

    Il s’agit de données comportementales propre à notre usage du web sur ordinateur ou mobile. L’expérience utilisateur sur les sites, applications et autres réseaux sociaux est scrutée et optimisée dans le but de conserver le plus longtemps l’utilisateur sur le site et personnaliser les publicités auxquelles il va être soumis. Les fameux cookies et autres trackers stockées sur votre navigateur le permettent.

  • les contenus des messages que nous échangeons

    Les emails et messages envoyés via les messageries instantanées s’ils sont interceptés peuvent constituer une grave ouverture sur notre vie privée. Nous y partageons souvent des informations de l’ordre de l’intime et ils sont souvent liés à l’authentification sur le reste des services que nous utilisons.

  • les achats en ligne

    Toutes nos habitudes d’achats, nos commandes, nos paniers d’achat, les cartes de paiement sauvegardées.

  • les informations financières

    Les information de connexion à nos comptes bancaires, les cartes bancaires, les moyens de paiement alternatifs comme Paypal nécessitent une sécurisation maximale.

  • les informations de santé

    Les informations détenues par votre médecin, l’assurance maladie et autres mutuelles sont désormais numérisées. La captation de ces information par des sociétés ou individus malveillants pourraient avoir des conséquences désastreuses.

Contenus recommandés sur les données

b. Limiter sa production de données

Le traitement de masse de données s’appelle “big data” et cette pratique a explosé suite à la démocratisation de l’usage d’internet et des réseaux sociaux. En effet chaque individu est un émetteur de données qui cumulées et multipliées à des millions d’internautes constituent une manne exploitable. 

L’un des moyens le plus efficace pour limiter les risques est de ne pas produire de données. En effet, plus nous produisons de données, plus nous ouvrons de brèches sur notre vie privée. Cette solution est aussi simple que difficile à appliquer car nous utilisons quotidiennement des services qui reposent sur certaines de nos données. Il est nécessaire de trouver un juste milieu et de maîtriser au mieux les risques.

Se tester sur les données

Se tester sur les données

L’expérience "Une journée de données" vous permet de vous rendre compte de la quantité de données émises et exploitées dans le quotidien d’un individu lambda.

Se tester : L’expérience Une journée de données vous permet de vous rendre compte de la quantité de données émises et exploitées dans le quotidien d’un individu lambda.

3. Gérer ses accès

a. Maîtriser ses identifiants et mots de passe

S’il est aujourd’hui très connu qu’il est important de sécuriser ses accès en utilisant des mots de passe forts, cela reste encore aujourd’hui un des risques principaux d’obtention frauduleuse de données. En juillet 2020, une étude a montré que le mot de passe le plus utilisé était toujours 123456.

Voici un rappel de quelques règles d’utilisation des mots de passe pour limiter les risques :

  • Un mot de passe doit être long : le nombre de caractère minimum doit être de 8

  • Rendre complexe le mot de passe en utilisant des majuscules, minuscules, chiffres et caractères spéciaux,

  • Changer de mot de passe tous les 3 mois au minimum,

  • Ne jamais utiliser le même mot de passe sur plusieurs sites

  • Ne jamais donner son mot de passe : si quelqu’un ou un service vous le demande, c’est qu’il y’a tentative de fraude

  • Ne jamais noter ses mots de passe de manière identifiable quelque part

  • Ne pas sauvegarder automatiquement ses mots de passe dans son navigateur

Toutes ces règles sont difficiles à respecter et à maintenir car elle nécessite d’avoir son propre schéma de création de mot de passe, une discipline hors norme et une mémoire d’éléphant pour se souvenir de tous ses mots de passe enregistrés pour une liste de services utilisés grandissante.

Pour rendre simple cette tâche et sécuriser tous ses accès, vous pouvez utiliser un coffre fort numérique de mots de passe comme Lastpass, Dashlane, Onepassword ou encore Cosypass. Le principe est simple, tous les identifiants et mots de passe des services utilisés sont stockés et chiffrés dans un coffre fort accessible en ligne. Il ne suffit alors plus que de retenir qu’un seul mot de passe maître pour sécuriser tous les autres. Celui-ci doit être fortement complexe et être changé régulièrement. Certains de ces services proposent même un audit automatique en détectant les mots passe réutilisés et ceux ne respectant les règles minimales de sécurité. S’il peut être contre intuitif de mettre tous ses oeufs dans le même panier, il est aujourd’hui considéré cette méthode comme l’une des plus fiable pour gérer ses accès.

Services recommandés :

b. Vérifier les fuites de données

Il existe un marché noir des données personnelles ou s’échangent des identifiants et mots de passes volés. Chaque année, des centaines de failles sont exploitées par des pirates pour récupérer ces précieuses données auprès d’importants services et sociétés. (liste des failles les plus importantes - en anglais)

Pour savoir si l’un de nos identifiants et mots de passe a été compromis, il existe un service nommé Have I Been Pwned qui recense les données issues des failles rendues publiques. Ce n’est donc pas exhaustif mais c’est un premier pas pour faire une rapide vérification. L’application Mes datas et moi propose d’ailleurs ce service via son application pour vérifier fréquemment et vous prévenir si vos accès font partie de ces fuites publiques.

Services recommandés :

c. Activer l'authentification à deux facteurs (2FA)

Cette méthode permet d’ajouter une sécurité supplémentaire à un système d’authentification par mot de passe classique. Elle consiste à demander une vérification supplémentaire via un moyen alternatif choisi par l’utilisateur. La méthode la plus répandue (généralement utilisée par les banques avec 3D secure) est un code envoyé par SMS que doit entrer l’utilisateur pour confirmer l’authentification.

D’autres méthodes que le SMS existent comme : l’email alternatif, les clés physiques, les applications d’authentification comme Google Authenticator ou encore l’authentification biométrique par empreinte digitale.

Dès qu’un service offre la l’authentification à deux facteurs, il ne faut pas hésiter et la configurer car elle offre une barrière supplémentaire importante.

d. Sécuriser son smartphone

Aujourd’hui quotidiennement dans notre poche, le smartphone est le carrefour principal de transfert de toutes nos données. Il est donc primordial de contrôler l’accès à nos données depuis ce précieux terminal. Quelques moyens :

  • Verrouiller efficacement son smartphone :

  • Mettre à jour le système d’exploitation et les applications installées

  • Configurez la localisation de votre smartphone

  • Contrôlez l’accès des applications à vos données

Contenus utiles pour sécuriser son smartphone

3. Se prémunir des attaques

Les moyens pour vous voler vos données sont nombreux et les pirates et autre hackers peu scrupuleux regorgent d’inventivité et de techniques plus ou moins élaborées dont en voici quelques unes des plus courantes :

  • Le social engineering

Un appel, un faux profil sur les réseaux sociaux, une usurpation de l’identité d’un de vos amis, c’est une technique psychologique qui fait appel aux habitudes, la confiance, la crédulité de l’être humain pour récupérer des éléments d’identification.

  • Le brute force

Il s’agit d’une technique logicielle qui “force” les mots de passe en utilisant une grande puissance de calcul. Un algorithme va essayer un nombre important de combinaisons jusqu’à trouver le mot de passe ciblé. D’ou l’intérêt de choisir un mot de passe long et complexe.

  • Le phishing

En lien avec le social engineering, le phishing consiste à se faire passer pour un service utilisé par l’utilisateur pour lui soutirer des informations d’authentification. Il prend généralement la forme d’un faux email qui redirige vers une fausse page qui nous invite à nous connecter, les identifiants sont alors récupérés.

  • L’exploitation de wifi public

Il est peu recommandé d’utiliser les wifi’s publics car ceux-ci peuvent être usurpés par des pirates qui se positionnent entre le wifi et votre ordinateur / smartphone et est en capacité de récupérer tout ce qui transite.

  • Installation de logiciels malveillants

Naviguer sur des sites non identifiés peut conduire à télécharger et exécuter des petits logiciels malveillants qui pourront récupérer sur l’ordinateur ou le smartphone ciblé des informations confidentielles. Il est recommandé de redoubler de prudence en naviguant sur des sites nouveaux et de maintenir son antivirus et son système d’exploitation à jour.

Se tester : dans la peau d'un Hacker

Dans la peau d’un Hacker (expérience VR)

Cette expérience en réalité virtuelle propose de vous immiscer dans l’univers d’un pirate du web désireux d’obtenir, par tous les moyens possibles, les données personnelles d’utilisateurs. Un Oculus Rift est nécessaire pour faire fonctionner l'expérience.

Contenus utiles pour se prémunir des attaques

4. Limiter le tracking dans sa navigation

Nous les utilisons tous les jours sur notre ordinateur et notre smartphone pour consulter de très nombreux sites et services web, or ils sont souvent la cause de nombreuses fuites de données et posent des problèmes de confidentialité et de sécurité.

a. Sécuriser son navigateur

Le navigateur agit comme une passerelle entre vous et le web, cette passerelle servir à des attaques ou des opérations malveillantes.

Quelques principes à respecter :

  • Utiliser un navigateur récent

Quel que soit le navigateur, il est primordial de le mettre à jour pour que les correctifs de sécurité soient appliqués.

  • Vérifier la gestion des cookies

Les cookies sont ces petits bouts de code qui permettent de faire le lien entre l’internaute et les sites qu’il visite. Les cookies peuvent enregistrer tout type d’informations le concernant : sa navigation, ses achats, ses choix… Il est désormais interdit de récupérer des données sans votre consentement préalable et il existe des outils pour mesurer et prévenir de cookies invasifs et peux respectueux des données du visiteur.

  • Utiliser le https plutôt que le http

Il indique si le protocole utilisé pour transférer les informations entre l’internaute et le serveur du site visité est chiffré ou non. Aujourd’hui signalé par les navigateurs modernes, les sites en http se font rares de plus en plus rare et sont à éviter. Attention cependant, cela signifie uniquement que les données entre le navigateur et le serveur sont sécurisées mais il est tout à fait possible qu’un pirate crée un site de phishing avec https pour soutirer des données confidentielles.

Quelques outils pratiques :

b. Utiliser un navigateur alternatif qui respecte les données

Par défaut, les navigateurs standards tels que Chrome (Google), Edge (Microsoft), Safari (Apple) sont peu regardants quant au tracking des utilisateurs. Il existe des alternatives à ces navigateurs appartenants aux GAFAM qui proposent une expérience de navigation bien plus respectueuse des données personnelles en intégrant des outils de protection directement dans le navigateur :

  • Détection et suppression des trackers

  • Blocage des publicités

  • Blocage des scripts

Quelques navigateurs alternatifs :

c. Rechercher sur le web sans être pisté

Google est le moteur le plus puissant et le plus utilisé sur la planète. L’un des reproche qui est fait à Google aujourd’hui est de personnaliser les résultats en fonction d’un nombre de facteurs inconnus et liés aux données de l’utilisateur qui l’utilise. Google traque chaque utilisateur pour mieux lui proposer des contenus publicitaires au sein des résultats de recherche. 

Pour effectuer ses recherches sans être traqué, il est possible d’utiliser des alternatives qui rendent les recherche confidentielles et dont le modèle économique ne repose pas sur l’exploitation de données personnelles.

Quelques moteurs de recherches alternatifs :

d. Pourquoi et quand utiliser un VPN ?

Un VPN (pour Virtual Private Network) connecte votre ordinateur ou smartphone à un serveur quelque part sur la planète et vous permet de consulter internet en utilisant la connexion internet de ce serveur.

L’utilisation d’un VPN permet notamment de :

  • Contourner les restriction géographique de certains sites

  • Protéger vos données personnelles lorsque vous vous connectez sur des réseaux non connus (un wifi public par exemple)

  • Masquer sa position géographique réelle

  • Accéder à des réseaux sécurisés d’entreprise

Le VPN permet donc d’ajouter une couche de sécurité à votre navigation mais attention, il ne permet en aucun cas d’être anonyme sur le web. En effet si vous utilisez des services qui nécessitent l’usage de vos données personnelles comme des cookies, alors vous êtes trackés normalement. L’anonymat ne résiste alors qu’en fonction de votre activité en ligne.

Si vous souhaitez utiliser un VPN, il est fortement conseillé d’utiliser des services payants, les seuls permettant d’assurer une qualité de navigation et un respect de la vie privé.

Quelques VPN :

Contenus utiles sur le tracking

5. Sécuriser ses réseaux sociaux

Les réseaux sociaux font partie dans nos vies, ils nous permettent de communiquer, de nous informer, et sont de formidables outils qui peuvent contribuer au lien social entre les individus. Cependant ils reposent essentiellement sur les interactions entre les individus et si les risques quant à la vie privée sont déjà élevés pour une utilisation du web plus passive, il l’est d’autant plus pour le web social.

a. Se poser la question avant de partager

Chaque réseau a ses spécificités, ses codes d’utilisation et ses utilisateurs. Ainsi on ne communique pas de la même manière sur Facebook, Twitter, Snapchat ou encore Tiktok. Le fait de publier un contenu : une opinion, un article, commenter, poster une vidéo ou une photo semble banal mais constitue autant de données susceptibles de vous identifier.

Se tester sur les réseaux sociaux

Réseaux Sociaux, le test

Le test Twitter, Facebook et Instagram pour maîtriser sa réputation en ligne et la confidentialité de ses données.

a. Contrôler les autorisations d’accès à vos données

Les réseaux sociaux sont aussi un moyen de simplifier sa vie en les utilisant pour se connecter à d’autres services et applications. Il est plus simple d’utiliser un bouton “Se connecter avec Facebook” ou encore “Continuer avec Instagram” plutôt que de créer un nouveau compte, cependant cette connexion donne des autorisations entre le service et votre compte sur le réseau social concerné et peut ouvrir à l’exploitation de quasiment toutes les données de l’utilisateur : information du profil (nom, âge, genre, … ), messages postés, engagement (likes, commentaires, …), photos, localisation, etc. 

Cette exploitation des données via des applications connectées aux réseaux sociaux a créé un scandale retentissant avec l’affaire Cambridge Analytica en 2018 dans laquelle la société avait analysé via Facebook les données de dizaines de millions d’utilisateurs à leur insu.

Quelques contenus utiles pour se protéger sur les réseaux sociaux :

Quelques contenus utiles pour se protéger sur les réseaux sociaux :

6. Que dit la loi ?

Les entreprises qui traitent des données sont de plus en plus surveillées avec l'arrivée de réglementations telles que le règlement général sur la protection des données (RGPD) porté par l’Union Européenne, conçu pour responsabiliser les organismes publics et privés qui traitent des données et protéger la vie privée des internautes. Cependant le web est vaste et sa croissance exponentielle et ces réglementations sont difficiles à faire appliquer et leur respect à contrôler, le web reste un endroit peu régulé ou la vigilance est le réflexe clé à adopter.

Ressources utiles sur l'encadrement du numérique par la loi :