/dev/null

discard to the void

Outils pour utilisateurs

Outils du site

tech:vie_privee_et_securite

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
tech:vie_privee_et_securite [2025/12/04] – [Anonymat, sécurité et vie privée sur Internet] Mathieutech:vie_privee_et_securite [2025/12/04] (Version actuelle) – [Des ressources] Mathieu
Ligne 16: Ligne 16:
 Améliorer sécurité, vie privée et anonymat a parfois des conséquences notables sur les habitudes de navigation : Améliorer sécurité, vie privée et anonymat a parfois des conséquences notables sur les habitudes de navigation :
  
- * <wrap safety>zone 1</wrap> : Facile, impact négligeable, tout le monde devrait faire ça +  * <wrap safety>zone 1</wrap> : Facile, impact négligeable, tout le monde devrait faire ça 
- * <wrap caution>zone 2</wrap> : Impact sensible, nouvelle habitude à prendre, perte de fonctionnalité secondaire +  * <wrap caution>zone 2</wrap> : Impact sensible, nouvelle habitude à prendre, perte de fonctionnalité secondaire 
- * <wrap danger>zone 3</wrap> : Difficile, transforme et/ou limite votre usage d'internet de façon significative+  * <wrap danger>zone 3</wrap> : Difficile, transforme et/ou limite votre usage d'internet de façon significative
 </WRAP> </WRAP>
  
Ligne 30: Ligne 30:
 Les personnes, qu'elles le réalisent ou non, sont confrontées à plusieurs enjeux sérieux en la matière. En voici quelques-uns parmi les plus importants : Les personnes, qu'elles le réalisent ou non, sont confrontées à plusieurs enjeux sérieux en la matière. En voici quelques-uns parmi les plus importants :
  
-* **Protection des informations personnelles** : Les informations que vous partagez en ligne, intentionnellement ou non, sont exploitées à des fins lucratives et peuvent être utilisées de manière abusive. Cela inclut les données qui peuvent être collectées sur vous à votre insu lors de la navigation sur Internet, comme votre adresse IP, vos habitudes de navigation, les personnes avec qui vous échangez...+  * **Protection des informations personnelles** : Les informations que vous partagez en ligne, intentionnellement ou non, sont exploitées à des fins lucratives et peuvent être utilisées de manière abusive. Cela inclut les données qui peuvent être collectées sur vous à votre insu lors de la navigation sur Internet, comme votre adresse IP, vos habitudes de navigation, les personnes avec qui vous échangez...
  
-* **Risques de cybercriminalité** : L'hameçonnage, les logiciels malveillants, les //ransomwares// et autres formes de cybercriminalité sont des menaces sérieuses. Une mauvaise sécurité en ligne peut entraîner le vol de données personnelles, y compris des informations financières,+  * **Risques de cybercriminalité** : L'hameçonnage, les logiciels malveillants, les //ransomwares// et autres formes de cybercriminalité sont des menaces sérieuses. Une mauvaise sécurité en ligne peut entraîner le vol de données personnelles, y compris des informations financières,
  
-* **Surveillance et traçage** : Les gouvernements, les entreprises, voire des cybercriminels peuvent surveiller votre activité en ligne pour diverses raisons, mais probablement aucune que vous n'approuveriez,+  * **Surveillance et traçage** : Les gouvernements, les entreprises, voire des cybercriminels peuvent surveiller votre activité en ligne pour diverses raisons, mais probablement aucune que vous n'approuveriez,
  
-* **Discrimination basée sur les données** : Les entreprises utilisent parfois les données collectées en ligne pour prendre des décisions qui peuvent vous affecter, comme les tarifs d'assurance, les prêts, etc. Ces décisions peuvent parfois être discriminatoires,+  * **Discrimination basée sur les données** : Les entreprises utilisent parfois les données collectées en ligne pour prendre des décisions qui peuvent vous affecter, comme les tarifs d'assurance, les prêts, etc. Ces décisions peuvent parfois être discriminatoires,
  
-* **Publicité ciblée intrusive et profilage** : Basée sur votre comportement en ligne, les entreprises peuvent cibler des publicités spécifiques pour vous. Cela peut être perçu comme intrusif et également conduire à des décisions de consommation impulsives,+  * **Publicité ciblée intrusive et profilage** : Basée sur votre comportement en ligne, les entreprises peuvent cibler des publicités spécifiques pour vous. Cela peut être perçu comme intrusif et également conduire à des décisions de consommation impulsives,
  
 Être conscient de ces enjeux permet de mieux s'en prémunir. Au-delà de ces généralités, certaines personnes, en particulier des activistes, sont susceptibles d'être plus directement ciblées par de la surveillance, du profilage ou encore des attaques en ligne de la part d'entités hostiles, les gouvernements au premier chef. Être conscient de ces enjeux permet de mieux s'en prémunir. Au-delà de ces généralités, certaines personnes, en particulier des activistes, sont susceptibles d'être plus directement ciblées par de la surveillance, du profilage ou encore des attaques en ligne de la part d'entités hostiles, les gouvernements au premier chef.
Ligne 75: Ligne 75:
 === En utilisant un VPN grand public : === === En utilisant un VPN grand public : ===
  
-* Votre **fournisseur d'accès**, ou l'opérateur du **wifi public** ou privé auquel vous vous connectez ne pourront pas savoir ce que vous consultez sur Internet, ni lire vos mots de passe et autres données privées. Mais c'est aussi le cas avec un simple chiffrement https, et un VPN n'apporte qu'une sécurité marginale de ce point de vue, +  * Votre **fournisseur d'accès**, ou l'opérateur du **wifi public** ou privé auquel vous vous connectez ne pourront pas savoir ce que vous consultez sur Internet, ni lire vos mots de passe et autres données privées. Mais c'est aussi le cas avec un simple chiffrement https, et un VPN n'apporte qu'une sécurité marginale de ce point de vue, 
-* **Votre IP sera cachée aux sites que vous visitez**, et vous semblerez naviguer depuis l'IP du serveur VPN auquel vous êtes connecté, +  * **Votre IP sera cachée aux sites que vous visitez**, et vous semblerez naviguer depuis l'IP du serveur VPN auquel vous êtes connecté, 
-* De ce fait, **un VPN peut aider à contourner les restrictions géographiques** sur certains services((Attention cependant, beaucoup de VPN sont blacklistés par beaucoup de services de streaming, si c'est ce que vous avez en tête)), +  * De ce fait, **un VPN peut aider à contourner les restrictions géographiques** sur certains services((Attention cependant, beaucoup de VPN sont blacklistés par beaucoup de services de streaming, si c'est ce que vous avez en tête)), 
-* Cependant, **vous devez avoir une très grande confiance dans votre fournisseur de VPN**. Il a potentiellement accès à toutes vos transactions et données, et **peut les transmettre à la justice ou les vendre**. La plupart jurent évidemment ne pas le faire, ou même ne pas conserver de logs, mais plusieurs ont été pris à mentir à ce sujet, +  * Cependant, **vous devez avoir une très grande confiance dans votre fournisseur de VPN**. Il a potentiellement accès à toutes vos transactions et données, et **peut les transmettre à la justice ou les vendre**. La plupart jurent évidemment ne pas le faire, ou même ne pas conserver de logs, mais plusieurs ont été pris à mentir à ce sujet, 
-* Vous devrez aussi composer avec quelques inconvénients mineurs : votre géolocalisation sera fausse, et votre connexion sera plus lente((Plus ou moins, selon le fournisseur que vous utilisez)).+  * Vous devrez aussi composer avec quelques inconvénients mineurs : votre géolocalisation sera fausse, et votre connexion sera plus lente((Plus ou moins, selon le fournisseur que vous utilisez)).
  
 === Choisir un fournisseur de confiance === === Choisir un fournisseur de confiance ===
Ligne 98: Ligne 98:
 **Cette solution est - de loin - la plus sûre et la plus anonyme pour se connecter à Internet**. Cependant, cela vient avec des contraintes importantes : **Cette solution est - de loin - la plus sûre et la plus anonyme pour se connecter à Internet**. Cependant, cela vient avec des contraintes importantes :
  
-* Vous pouvez compter sur **un fort ralentissement de votre connexion**, +  * Vous pouvez compter sur **un fort ralentissement de votre connexion**, 
-* Certains sites et services blacklistent les nœuds de sortie TOR, que ce soit pour empêcher l'anonymat ou pour éviter des abus, +  * Certains sites et services blacklistent les nœuds de sortie TOR, que ce soit pour empêcher l'anonymat ou pour éviter des abus, 
-* Si TOR est très sécurisé par défaut, **il est facile de faire une erreur qui ruinera tous vos efforts** d'anonymat, par exemple si vous vous connectez à un service qui détient des données sur vous (votre banque, votre courriel, google, facebook...) +  * Si TOR est très sécurisé par défaut, **il est facile de faire une erreur qui ruinera tous vos efforts** d'anonymat, par exemple si vous vous connectez à un service qui détient des données sur vous (votre banque, votre courriel, google, facebook...) 
-* Outre les erreurs humaines, il existe des attaques contre lesquelles TOR ne protège pas, telles que les [[https://security.stackexchange.com/questions/147402/how-do-traffic-correlation-attacks-against-tor-users-work|attaques par corrélation de trafic]]. Ces attaques sont cependant rares, particulièrement difficiles à mettre en œuvre et réclament des moyens peu communs.+  * Outre les erreurs humaines, il existe des attaques contre lesquelles TOR ne protège pas, telles que les [[https://security.stackexchange.com/questions/147402/how-do-traffic-correlation-attacks-against-tor-users-work|attaques par corrélation de trafic]]. Ces attaques sont cependant rares, particulièrement difficiles à mettre en œuvre et réclament des moyens peu communs.
  
 Bref, TOR est la solution technique la plus efficace en termes de sécurité et d'anonymat, mais nécessite de bien comprendre les enjeux sous-jacents pour s'en servir d'une façon sécuritaire. Je ferai peut-être [[:tech:tor|une page sur le sujet]] dans le futur, mais à ce stade, il suffit de savoir que ça existe, et que ce n'est pas adapté aux situations ordinaires Bref, TOR est la solution technique la plus efficace en termes de sécurité et d'anonymat, mais nécessite de bien comprendre les enjeux sous-jacents pour s'en servir d'une façon sécuritaire. Je ferai peut-être [[:tech:tor|une page sur le sujet]] dans le futur, mais à ce stade, il suffit de savoir que ça existe, et que ce n'est pas adapté aux situations ordinaires
Ligne 141: Ligne 141:
 Plusieurs autres options existent, des navigateurs spécialisés dont le principal objectif est de fournir une expérience particulièrement sécurisée et anonyme. Plusieurs autres options existent, des navigateurs spécialisés dont le principal objectif est de fournir une expérience particulièrement sécurisée et anonyme.
  
-* **[[https://www.torproject.org/fr/download/|TOR Browser]]** : Il s'agit d'un navigateur((libre et basé sur Firefox)) préconfiguré pour un niveau maximum de sécurité et d'anonymat, et dont tout le trafic passe par le réseau TOR. Extrêmement sûr et extrêmement contraignant à la fois, il vous facilite l'accès au réseau TOR pour les situations qui le nécessiteraient. +  * **[[https://www.torproject.org/fr/download/|TOR Browser]]** : Il s'agit d'un navigateur((libre et basé sur Firefox)) préconfiguré pour un niveau maximum de sécurité et d'anonymat, et dont tout le trafic passe par le réseau TOR. Extrêmement sûr et extrêmement contraignant à la fois, il vous facilite l'accès au réseau TOR pour les situations qui le nécessiteraient. 
-* **[[https://mullvad.net/en/browser|Mullvad Browser]]** : Développé conjointement par le projet TOR et Mullvad, un opérateur de VPN((Généralement considéré comme l'un des plus fiables)), il s'agit en fait à peu de chose près de TOR Browser, sans TOR. +  * **[[https://mullvad.net/en/browser|Mullvad Browser]]** : Développé conjointement par le projet TOR et Mullvad, un opérateur de VPN((Généralement considéré comme l'un des plus fiables)), il s'agit en fait à peu de chose près de TOR Browser, sans TOR. 
-* **[[https://brainfucksec.github.io/firefox-hardening-guide|Hardened Firefox]], [[https://github.com/arkenfox|Arkenfox]], [[https://librewolf.net/|Librewolf]]...** Plusieurs projets visent à fournir des versions plus sûres et plus anonymes de firefox. Tous ont des priorités et des méthodes différentes, mais ce sont des projets que vous pouvez explorer si Brave ou Firefox ne vous conviennent pas.+  * **[[https://brainfucksec.github.io/firefox-hardening-guide|Hardened Firefox]], [[https://github.com/arkenfox|Arkenfox]], [[https://librewolf.net/|Librewolf]]...** Plusieurs projets visent à fournir des versions plus sûres et plus anonymes de firefox. Tous ont des priorités et des méthodes différentes, mais ce sont des projets que vous pouvez explorer si Brave ou Firefox ne vous conviennent pas.
  
 ===== Autres navigateurs ===== ===== Autres navigateurs =====
Ligne 149: Ligne 149:
 De nombreux autres navigateurs, peu connus, existent, aussi bien libres que propriétaires. Certains ont bien entendu un usage légitime, n'hésitez pas à lire à leur sujet. Attention cependant à 2 navigateurs propriétaires : De nombreux autres navigateurs, peu connus, existent, aussi bien libres que propriétaires. Certains ont bien entendu un usage légitime, n'hésitez pas à lire à leur sujet. Attention cependant à 2 navigateurs propriétaires :
  
-* [[https://www.opera.com/fr|Opera]] est à fuir comme la peste, étant propriétaire, peu configurable, et bourré de télémétrie. +  * [[https://www.opera.com/fr|Opera]] est à fuir comme la peste, étant propriétaire, peu configurable, et bourré de télémétrie. 
-* [[https://vivaldi.com/fr/|Vivaldi]] est un navigateur orienté sécurité, et de très bonne tenue. Cependant, son code source étant privé, il faut lui faire confiance aveuglément, ce qui est parfaitement contraire à nos principes élémentaires.+  * [[https://vivaldi.com/fr/|Vivaldi]] est un navigateur orienté sécurité, et de très bonne tenue. Cependant, son code source étant privé, il faut lui faire confiance aveuglément, ce qui est parfaitement contraire à nos principes élémentaires.
  
 ====== S'authentifier et protéger son identité ====== ====== S'authentifier et protéger son identité ======
Ligne 166: Ligne 166:
 Protéger son identité, sur le papier c'est assez simple, il //"suffit"// d'utiliser : Protéger son identité, sur le papier c'est assez simple, il //"suffit"// d'utiliser :
  
-* **des mots de passe forts** (pas ''LeNomDeMonChien'', ni ''L3N0mD3MonChien!'', mais bien ''3&m7wz$Eqq88&26hZ6DH!#&4''+  * **des mots de passe forts** (pas ''LeNomDeMonChien'', ni ''L3N0mD3MonChien!'', mais bien ''3&m7wz$Eqq88&26hZ6DH!#&4''
-* **des mots de passe uniques** pour chaque site (ou plutôt, chaque compte) sinon il suffit d'une brèche de sécurité sur un site pour compromettre tous les comptes utilisant le même mot de passe.+  * **des mots de passe uniques** pour chaque site (ou plutôt, chaque compte) sinon il suffit d'une brèche de sécurité sur un site pour compromettre tous les comptes utilisant le même mot de passe.
  
 {{:tech:bitwarden.png?nolink&100 |}} En pratique, cela signifie qu'il est impossible de se souvenir de ses mots de passe, et qu'il faut utiliser un **gestionnaire de mots de passe** pour le faire à notre place. Il s'agit de logiciels qui les stockent chiffrés, en sécurité, et nous permettent d'y accéder quand nous en avons besoin. {{:tech:bitwarden.png?nolink&100 |}} En pratique, cela signifie qu'il est impossible de se souvenir de ses mots de passe, et qu'il faut utiliser un **gestionnaire de mots de passe** pour le faire à notre place. Il s'agit de logiciels qui les stockent chiffrés, en sécurité, et nous permettent d'y accéder quand nous en avons besoin.
Ligne 193: Ligne 193:
 Il existe plusieurs implémentations de 2FA, et si **toutes sont plus sécurisées que l'authentification simple**, elles ne sont pas égales : Il existe plusieurs implémentations de 2FA, et si **toutes sont plus sécurisées que l'authentification simple**, elles ne sont pas égales :
  
-* **SMS** : Souvent imposée, par exemple par les banques, c'est l'implémentation la plus faible de 2FA. La sécurité et la confidentialité des SMS sont une vaste blague, et il est facile pour un attaquant d'y accéder. Cette implémentation pourrait aussi vous causer des problèmes pour vous connecter dans une zone sans réseau cellulaire, ou si vous avez perdu votre téléphone. Elle est souvent favorisée((à tort, à mon avis)) par les institutions parce que c'est une technologie facile d'accès, familière pour la plupart des gens +  * **SMS** : Souvent imposée, par exemple par les banques, c'est l'implémentation la plus faible de 2FA. La sécurité et la confidentialité des SMS sont une vaste blague, et il est facile pour un attaquant d'y accéder. Cette implémentation pourrait aussi vous causer des problèmes pour vous connecter dans une zone sans réseau cellulaire, ou si vous avez perdu votre téléphone. Elle est souvent favorisée((à tort, à mon avis)) par les institutions parce que c'est une technologie facile d'accès, familière pour la plupart des gens 
-* **Courriel** : Fonctionnant sur le même principe que la 2FA par SMS, elle est largement moins populaire, et nettement plus sécurisée +  * **Courriel** : Fonctionnant sur le même principe que la 2FA par SMS, elle est largement moins populaire, et nettement plus sécurisée 
-* **TOTP** : Vous connaissez peut-être [[https://fr.wikipedia.org/wiki/Google_Authenticator|Authenticator]], cette application développée par Google((mais entièrement libre)), qui vous donne pour chaque service enregistré des codes à 6 chiffres, qui changent à intervalles réguliers. Cette implémentation, appelée **TOTP**((Time based One-Time Password)), est **bien plus sécurisée que les SMS ou les courriels**, tout en étant assez répandue. Par ailleurs, vous n'êtes pas obligés d'utiliser l'application de Google. Bien qu'open source, cette dernière n'est pas très ergonomique. Je conseille [[https://2fas.com/|2FAS]], libre, plus ergonomique, et vous donnant plus de contrôle sur vos secrets. +  * **TOTP** : Vous connaissez peut-être [[https://fr.wikipedia.org/wiki/Google_Authenticator|Authenticator]], cette application développée par Google((mais entièrement libre)), qui vous donne pour chaque service enregistré des codes à 6 chiffres, qui changent à intervalles réguliers. Cette implémentation, appelée **TOTP**((Time based One-Time Password)), est **bien plus sécurisée que les SMS ou les courriels**, tout en étant assez répandue. Par ailleurs, vous n'êtes pas obligés d'utiliser l'application de Google. Bien qu'open source, cette dernière n'est pas très ergonomique. Je conseille [[https://2fas.com/|2FAS]], libre, plus ergonomique, et vous donnant plus de contrôle sur vos secrets. 
-* **Clefs physiques** : Vous pouvez enfin utiliser des clefs physiques, avec le protocole U2F((Universal 2nd Factor)) ou FIDO((Fast IDentity Online)), comme celles vendues par [[https://www.yubico.com/|Yubico]]. C'est sans conteste la méthode la plus simple à utiliser et la plus sûre, mais elle n'est pas prise en charge partout, loin de là. Attention, comme vos clefs de maison, **pensez à avoir un double!**+  * **Clefs physiques** : Vous pouvez enfin utiliser des clefs physiques, avec le protocole U2F((Universal 2nd Factor)) ou FIDO((Fast IDentity Online)), comme celles vendues par [[https://www.yubico.com/|Yubico]]. C'est sans conteste la méthode la plus simple à utiliser et la plus sûre, mais elle n'est pas prise en charge partout, loin de là. Attention, comme vos clefs de maison, **pensez à avoir un double!**
  
 <WRAP center round info 90%> <WRAP center round info 90%>
Ligne 223: Ligne 223:
 Une solution simple consiste plutôt à se tourner vers **un fournisseur de courriel sécurisé et respectueux de votre vie privée**. Ceux-ci sont peu nombreux, et souvent payants, mais ils font **une différence très significative** pour votre ASV. Une solution simple consiste plutôt à se tourner vers **un fournisseur de courriel sécurisé et respectueux de votre vie privée**. Ceux-ci sont peu nombreux, et souvent payants, mais ils font **une différence très significative** pour votre ASV.
  
-* {{ :tech:proton.png?nolink&150|}}[[https://proton.me/|Proton Mail]] est un service qui chiffre automatiquement vos courriels, permettant un chiffrement de bout en bout entre utilisateurs de la plateforme((et avec n'importe quel destinataire, pourvu qu'il sache utiliser GPG)), basé en Suisse((qui dispose d'une législation en matière de vie privée beaucoup plus protectrice que celle des USA)), et qui n'exige pas d'informations personnelles pour s'inscrire((Il est possible de payer anonymement si nécessaire)). Ils proposent un plan gratuit, sans doute suffisant pour la plupart des gens, et plusieurs plans payants, avec plus de stockage, la possibilité d'utiliser son propre nom de domaine, ce genre de choses. C'est un **excellent service**, il est facile d'y migrer depuis un autre fournisseur, //Gmail// en particulier, et très simple à utiliser. +  * {{ :tech:proton.png?nolink&150|}}[[https://proton.me/|Proton Mail]] est un service qui chiffre automatiquement vos courriels, permettant un chiffrement de bout en bout entre utilisateurs de la plateforme((et avec n'importe quel destinataire, pourvu qu'il sache utiliser GPG)), basé en Suisse((qui dispose d'une législation en matière de vie privée beaucoup plus protectrice que celle des USA)), et qui n'exige pas d'informations personnelles pour s'inscrire((Il est possible de payer anonymement si nécessaire)). Ils proposent un plan gratuit, sans doute suffisant pour la plupart des gens, et plusieurs plans payants, avec plus de stockage, la possibilité d'utiliser son propre nom de domaine, ce genre de choses. C'est un **excellent service**, il est facile d'y migrer depuis un autre fournisseur, //Gmail// en particulier, et très simple à utiliser. 
-* [[https://tutanota.com|Tutanota]] est un service du même type, disposant également d'un plan gratuit limité. Il est légèrement plus innovant((le chiffrement utilisé ne repose pas sur GPG, et tente d'en dépasser les limites)), mais aussi un peu plus difficile d'accès, faisant moins de concessions à l'accessibilité +  * [[https://tutanota.com|Tutanota]] est un service du même type, disposant également d'un plan gratuit limité. Il est légèrement plus innovant((le chiffrement utilisé ne repose pas sur GPG, et tente d'en dépasser les limites)), mais aussi un peu plus difficile d'accès, faisant moins de concessions à l'accessibilité 
-* [[https://riseup.net/fr|Riseup]] est un collectif militant, d'inspiration anarchiste, qui fournit des services de communication, gratuits et sécurisés, à destination des militants (de gauche!). C'est sans doute le seul fournisseur gratuit suffisamment solide pour être recommandé ici+  * [[https://riseup.net/fr|Riseup]] est un collectif militant, d'inspiration anarchiste, qui fournit des services de communication, gratuits et sécurisés, à destination des militants (de gauche!). C'est sans doute le seul fournisseur gratuit suffisamment solide pour être recommandé ici
  
 ==== Courriel anonyme et sécurisé ==== ==== Courriel anonyme et sécurisé ====
Ligne 235: Ligne 235:
 Cela ne donne pas pour autant accès au contenu de ses courriels aux autorités, mais peut très bien mettre en danger une personne, ou son activité. Si vous êtes préoccupés de ce type d'anonymat, et cherchez **quelque chose de plus absolu** que ce que proposent les fournisseurs précédents par défaut, voici quelques conseils : Cela ne donne pas pour autant accès au contenu de ses courriels aux autorités, mais peut très bien mettre en danger une personne, ou son activité. Si vous êtes préoccupés de ce type d'anonymat, et cherchez **quelque chose de plus absolu** que ce que proposent les fournisseurs précédents par défaut, voici quelques conseils :
  
-* Avec le **navigateur TOR**, connectez-vous au [[https://proton.me/tor|service onion de Proton mail]], et créez une boîte de courriel gratuite. Choisissez un identifiant sans la moindre connexion avec vous((Par exemple, un mot du dictionnaire au hasard, et un chiffre entre 0001 et 9999 : ''glacis9456'')) et un mot de passe fort, qui sera immédiatement stocké dans un gestionnaire de mots de passe, +  * Avec le **navigateur TOR**, connectez-vous au [[https://proton.me/tor|service onion de Proton mail]], et créez une boîte de courriel gratuite. Choisissez un identifiant sans la moindre connexion avec vous((Par exemple, un mot du dictionnaire au hasard, et un chiffre entre 0001 et 9999 : ''glacis9456'')) et un mot de passe fort, qui sera immédiatement stocké dans un gestionnaire de mots de passe, 
-* Ne révélez **à personne** l'existence de ce courriel, et encore moins sa connexion avec vous, +  * Ne révélez **à personne** l'existence de ce courriel, et encore moins sa connexion avec vous, 
-* N'utilisez **jamais** cette boîte de courriel en dehors de TOR, et utilisez **toujours** le service onion pour y accéder, +  * N'utilisez **jamais** cette boîte de courriel en dehors de TOR, et utilisez **toujours** le service onion pour y accéder, 
-* N'utilisez **jamais** cette boîte pour une activité liée à vous, même de très loin+  * N'utilisez **jamais** cette boîte pour une activité liée à vous, même de très loin
  
 Une boîte de courriel de ce type ne vous sera d'aucune utilité pour votre vie quotidienne, mais si vous avez besoin d'**un moyen de communiquer véritablement sécurisé et anonyme**, c'est sans doute l'une des méthodes les plus faciles et efficaces pour s'en approcher Une boîte de courriel de ce type ne vous sera d'aucune utilité pour votre vie quotidienne, mais si vous avez besoin d'**un moyen de communiquer véritablement sécurisé et anonyme**, c'est sans doute l'une des méthodes les plus faciles et efficaces pour s'en approcher
Ligne 258: Ligne 258:
 Il y a tout de même plusieurs problèmes avec cette approche : Il y a tout de même plusieurs problèmes avec cette approche :
  
-* **Toutes vos données seront scannées**, indexées, et utilisées pour vous profiler et en tirer du profit, +  * **Toutes vos données seront scannées**, indexées, et utilisées pour vous profiler et en tirer du profit, 
-* **Un service de synchronisation n'est pas une sauvegarde**, et ne peut pas s'y substituer. Effacez par erreur un fichier important, et il sera également effacé dans votre synchronisation en ligne. Si un //ransomware// chiffre vos données pour vous extorquer de l'argent en échange de la clef de chiffrement, ce chiffrement sera propagé à votre synchronisation+  * **Un service de synchronisation n'est pas une sauvegarde**, et ne peut pas s'y substituer. Effacez par erreur un fichier important, et il sera également effacé dans votre synchronisation en ligne. Si un //ransomware// chiffre vos données pour vous extorquer de l'argent en échange de la clef de chiffrement, ce chiffrement sera propagé à votre synchronisation
  
 Pour autant, **maintenir une sauvegarde à jour de ses données est crucial en termes de sécurité**, à moins de n'avoir aucune donnée importante sous forme numérique. Pour autant, **maintenir une sauvegarde à jour de ses données est crucial en termes de sécurité**, à moins de n'avoir aucune donnée importante sous forme numérique.
Ligne 265: Ligne 265:
 Plusieurs approches permettent de contourner ces difficultés : Plusieurs approches permettent de contourner ces difficultés :
  
-* Faire des sauvegardes sur **des supports physiques**, tels que des disques durs ou des clefs USB. Cette approche est viable, mais elle devient très complexe quand on considère la nécessité de faire des sauvegardes suffisamment régulières pour qu'elles soient utiles, et la nécessité de stocker cette sauvegarde sur un autre site, pour se prémunir de risques tels que le vol ou l'incendie. **Cela implique beaucoup de discipline et une rotation régulière des supports**, rendant cette stratégie fragile et difficile à mettre en œuvre+  * Faire des sauvegardes sur **des supports physiques**, tels que des disques durs ou des clefs USB. Cette approche est viable, mais elle devient très complexe quand on considère la nécessité de faire des sauvegardes suffisamment régulières pour qu'elles soient utiles, et la nécessité de stocker cette sauvegarde sur un autre site, pour se prémunir de risques tels que le vol ou l'incendie. **Cela implique beaucoup de discipline et une rotation régulière des supports**, rendant cette stratégie fragile et difficile à mettre en œuvre
  
-* Utiliser un service en ligne, tel que ceux cités plus haut, mais **en chiffrant ses données** avant de les pousser vers le service. C'est une approche parfaitement viable, mais un peu complexe. Vous ne pourrez pas vous reposer sur les automatismes de synchronisation des services grand public, et vous perdrez l'accès à leurs fonctions qui requièrent des fichiers non chiffrés (tels que le partage ou l'édition en ligne). Si c'est le chemin que vous prenez, utilisez plutôt un service de "bucket" à la AWS, qui vous reviendra moins cher et sera plus adapté à ce type d'usage. J'utilise personnellement [[https://www.backblaze.com/b2/cloud-storage.html|Backblaze B2]], {{ :tech:nextcloud_logo.svg.png?nolink&200|}}+  * Utiliser un service en ligne, tel que ceux cités plus haut, mais **en chiffrant ses données** avant de les pousser vers le service. C'est une approche parfaitement viable, mais un peu complexe. Vous ne pourrez pas vous reposer sur les automatismes de synchronisation des services grand public, et vous perdrez l'accès à leurs fonctions qui requièrent des fichiers non chiffrés (tels que le partage ou l'édition en ligne). Si c'est le chemin que vous prenez, utilisez plutôt un service de "bucket" à la AWS, qui vous reviendra moins cher et sera plus adapté à ce type d'usage. J'utilise personnellement [[https://www.backblaze.com/b2/cloud-storage.html|Backblaze B2]], {{ :tech:nextcloud_logo.svg.png?nolink&200|}}
  
-* <wrap danger>zone 3</wrap> Auto-héberger son propre service de stockage, synchronisation, partage, édition... de données, par exemple avec un outil comme [[https://nextcloud.com|NextCloud]]. Cette solution est de loin la plus complexe, mais c'est aussi celle qui vous donnera le meilleur des 2 mondes : le contrôle complet de la sécurité de vos données, avec les fonctionnalités d'édition, de partage en plus. Cette route est cependant **nettement plus difficile techniquement** que les 2 précédentes+  * <wrap danger>zone 3</wrap> Auto-héberger son propre service de stockage, synchronisation, partage, édition... de données, par exemple avec un outil comme [[https://nextcloud.com|NextCloud]]. Cette solution est de loin la plus complexe, mais c'est aussi celle qui vous donnera le meilleur des 2 mondes : le contrôle complet de la sécurité de vos données, avec les fonctionnalités d'édition, de partage en plus. Cette route est cependant **nettement plus difficile techniquement** que les 2 précédentes
  
 ====== Aller plus loin ====== ====== Aller plus loin ======
Ligne 281: Ligne 281:
 Les systèmes d'exploitation de nos ordinateurs et téléphones peuvent avoir un impact important sur notre sécurité ou notre vie privée : Les systèmes d'exploitation de nos ordinateurs et téléphones peuvent avoir un impact important sur notre sécurité ou notre vie privée :
  
-* **Windows est notoirement peu sécurisé**, même si la situation s'est grandement améliorée. Son code est aussi presque entièrement propriétaire, et il vous espionne sans vergogne. Bref, à fuir si l'on se préoccupe de ces questions,+  * **Windows est notoirement peu sécurisé**, même si la situation s'est grandement améliorée. Son code est aussi presque entièrement propriétaire, et il vous espionne sans vergogne. Bref, à fuir si l'on se préoccupe de ces questions,
  
-* **Mac OS est relativement bien sécurisé par défaut**, et en tout cas nettement plus que Windows. Pour ce qui est de la vie privée par contre, les pratiques d'Apple sont tout aussi questionnables que celles de Windows+  * **Mac OS est relativement bien sécurisé par défaut**, et en tout cas nettement plus que Windows. Pour ce qui est de la vie privée par contre, les pratiques d'Apple sont tout aussi questionnables que celles de Windows
  
-* <wrap caution>zone 2</wrap> Linux est peu commun sur les ordinateurs de bureau, et il est réputé difficile((pas tellement, en réalité, mais c'est certainement un nouveau paradigme à apprendre)). Il est libre, ce qui lui donne un avantage structurel, mais **pas particulièrement sécurisé par défaut**. C'est cependant **un très bon point de départ** pour sécuriser son système et contrôler ses données, par exemple en chiffrant l'installation complète.+  * <wrap caution>zone 2</wrap> Linux est peu commun sur les ordinateurs de bureau, et il est réputé difficile((pas tellement, en réalité, mais c'est certainement un nouveau paradigme à apprendre)). Il est libre, ce qui lui donne un avantage structurel, mais **pas particulièrement sécurisé par défaut**. C'est cependant **un très bon point de départ** pour sécuriser son système et contrôler ses données, par exemple en chiffrant l'installation complète.
  
-* <wrap danger>zone 3+</wrap> Certaines **distributions Linux sont spécialisées dans la sécurité et l'anonymat**. Par exemple [[https://tails.boum.org|Tails]], ou [[https://www.qubes-os.org/|Qubes OS]], **tous deux des systèmes extrêmement sécurisés et permettant un anonymat avancé**, au prix de contraintes importantes+  * <wrap danger>zone 3+</wrap> Certaines **distributions Linux sont spécialisées dans la sécurité et l'anonymat**. Par exemple [[https://tails.boum.org|Tails]], ou [[https://www.qubes-os.org/|Qubes OS]], **tous deux des systèmes extrêmement sécurisés et permettant un anonymat avancé**, au prix de contraintes importantes
  
-* **Sur les téléphones**, la situation est un peu plus complexe : +  * **Sur les téléphones**, la situation est un peu plus complexe : 
-  * Par défaut, **iOS est plus sécurisé que la plupart des systèmes Android** "constructeurs", +    * Par défaut, **iOS est plus sécurisé que la plupart des systèmes Android** "constructeurs", 
-  * Android "stock", tel que distribué par Google avec les appareils pixel, et occasionnellement par un ou l'autre constructeur tiers (One+, Oppo, Motorola) est d'un niveau de sécurité similaire à celui d'iOS, mais vous donne plus de liberté pour en faire plus, +    * Android "stock", tel que distribué par Google avec les appareils pixel, et occasionnellement par un ou l'autre constructeur tiers (One+, Oppo, Motorola) est d'un niveau de sécurité similaire à celui d'iOS, mais vous donne plus de liberté pour en faire plus, 
-  * <wrap danger>zone 3</wrap> Il existe **des rom Android tierces**, qui peuvent être installées sur certains appareils, et qui sont orientées sécurité : **[[https://grapheneos.org/|GrapheneOS]] et [[https://calyxos.org/|CalyxOS]] en particulier**. Ces systèmes sont a priori plus sécurisés qu'Android "stock", mais ce sont des petits projets qui vous exposent à des mises à jour tardives ou qui peuvent simplement disparaître sans crier gare, +    * <wrap danger>zone 3</wrap> Il existe **des rom Android tierces**, qui peuvent être installées sur certains appareils, et qui sont orientées sécurité : **[[https://grapheneos.org/|GrapheneOS]] et [[https://calyxos.org/|CalyxOS]] en particulier**. Ces systèmes sont a priori plus sécurisés qu'Android "stock", mais ce sont des petits projets qui vous exposent à des mises à jour tardives ou qui peuvent simplement disparaître sans crier gare, 
-  * **Le réseau cellulaire** lui-même est une faille de sécurité, en ce qu'il **vous localise en permanence**. Ces données de localisation ne sont pas difficiles à obtenir, et accessibles à tous pour une poignée de dollars +    * **Le réseau cellulaire** lui-même est une faille de sécurité, en ce qu'il **vous localise en permanence**. Ces données de localisation ne sont pas difficiles à obtenir, et accessibles à tous pour une poignée de dollars 
-  * <wrap caution>zone 2</wrap> Un //dumb phone// vous protège du profilage logiciel des apps et services de votre //smartphone//, mais ne vous protège pas de la localisation par le réseau cellulaire +    * <wrap caution>zone 2</wrap> Un //dumb phone// vous protège du profilage logiciel des apps et services de votre //smartphone//, mais ne vous protège pas de la localisation par le réseau cellulaire 
-  * <wrap danger>zone 3+</wrap> Si vous avez besoin d'un téléphone anonyme et difficile à localiser, vous pouvez envisager **un téléphone prépayé**, dont vous conservez le numéro secret, et dont la carte SIM ne vous sert qu'à accéder au réseau de données. Vous pouvez ensuite utiliser **un service de voip** sur ce réseau de données. Attention, vous êtes parfaitement localisable tout de même, cela ne fera que rendre plus difficile l'association entre vous et votre numéro de cellulaire+    * <wrap danger>zone 3+</wrap> Si vous avez besoin d'un téléphone anonyme et difficile à localiser, vous pouvez envisager **un téléphone prépayé**, dont vous conservez le numéro secret, et dont la carte SIM ne vous sert qu'à accéder au réseau de données. Vous pouvez ensuite utiliser **un service de voip** sur ce réseau de données. Attention, vous êtes parfaitement localisable tout de même, cela ne fera que rendre plus difficile l'association entre vous et votre numéro de cellulaire
  
 ==== Auto-hébergement ==== ==== Auto-hébergement ====
Ligne 318: Ligne 318:
 Appliquer ces conseils devrait vous donner une solide base et une bonne culture de sécurité en ligne, et vous permettre de les généraliser à d'autres situations. Les grands principes qui nous guident restent les mêmes, et des techniques similaires s'appliquent : Appliquer ces conseils devrait vous donner une solide base et une bonne culture de sécurité en ligne, et vous permettre de les généraliser à d'autres situations. Les grands principes qui nous guident restent les mêmes, et des techniques similaires s'appliquent :
  
-* Utiliser prioritairement des **logiciels et des protocoles libres**, +  * Utiliser prioritairement des **logiciels et des protocoles libres**, 
-* **Limiter les permissions** accordées à des tiers au strict minimum nécessaire, +  * **Limiter les permissions** accordées à des tiers au strict minimum nécessaire, 
-* **Limiter l'exposition** de vos données au maximum, +  * **Limiter l'exposition** de vos données au maximum, 
-* Identifier vos besoins, **modéliser les risques** que vous encourez, +  * Identifier vos besoins, **modéliser les risques** que vous encourez, 
-* **Connaître les limites** des mesures de sécurité sur lesquelles vous vous appuyez, +  * **Connaître les limites** des mesures de sécurité sur lesquelles vous vous appuyez, 
-* **Formaliser et systématiser** vos pratiques de sécurité, pour minimiser les erreurs humaines+  * **Formaliser et systématiser** vos pratiques de sécurité, pour minimiser les erreurs humaines
 ==== Modéliser le risque et élaborer des stratégies adaptées ==== ==== Modéliser le risque et élaborer des stratégies adaptées ====
  
Ligne 333: Ligne 333:
 Vous n'avez aucune activité particulière à cacher, ne manipulez pas de données sensibles, et vous ne voulez pas investir beaucoup de temps, d'effort ou d'argent dans cette question. Vous n'avez aucune raison d'être particulièrement ciblé, ni par un gouvernement, ni par un acteur privé. **Votre principale préoccupation est d'éviter un profilage trop intrusif, et de vous protéger des attaques crapuleuses**. Vous n'avez aucune activité particulière à cacher, ne manipulez pas de données sensibles, et vous ne voulez pas investir beaucoup de temps, d'effort ou d'argent dans cette question. Vous n'avez aucune raison d'être particulièrement ciblé, ni par un gouvernement, ni par un acteur privé. **Votre principale préoccupation est d'éviter un profilage trop intrusif, et de vous protéger des attaques crapuleuses**.
  
-* Utilisez un gestionnaire de mots de passe, et activez 2FA là où c'est disponible, +  * Utilisez un gestionnaire de mots de passe, et activez 2FA là où c'est disponible, 
-* Utilisez le navigateur Brave, ou configurez Firefox si vous préférez favoriser la diversité du web, +  * Utilisez le navigateur Brave, ou configurez Firefox si vous préférez favoriser la diversité du web, 
-* Transférez votre courriel vers Proton mail, +  * Transférez votre courriel vers Proton mail, 
-* Réfléchissez à un système de sauvegarde de vos données, sans oublier que sauvegarde et synchronisation sont deux choses différentes,+  * Réfléchissez à un système de sauvegarde de vos données, sans oublier que sauvegarde et synchronisation sont deux choses différentes,
  
 === Besoin de sécurité accrue === === Besoin de sécurité accrue ===
Ligne 343: Ligne 343:
 Vous avez des **activités militantes**, vous manipulez des **données sensibles**, vous êtes susceptible, pour une raison ou une autre, d'**être la cible d'acteurs malveillants** : Vous avez des **activités militantes**, vous manipulez des **données sensibles**, vous êtes susceptible, pour une raison ou une autre, d'**être la cible d'acteurs malveillants** :
  
-* Outre le gestionnaire de mots de passe, assurez-vous de n'utiliser que des services compatibles avec 2FA, et qui proposent soit TOTP, soit l'usage de clefs physiques, +  * Outre le gestionnaire de mots de passe, assurez-vous de n'utiliser que des services compatibles avec 2FA, et qui proposent soit TOTP, soit l'usage de clefs physiques, 
-* En plus de transférer votre courriel vers un service sécurisé, apprenez à utiliser [[https://fr.wikipedia.org/wiki/GPG|GPG]], et la notion de chiffrement asymétrique. Assurez-vous que vos interlocuteurs utilisent eux aussi des services sécurisés +  * En plus de transférer votre courriel vers un service sécurisé, apprenez à utiliser [[https://fr.wikipedia.org/wiki/GPG|GPG]], et la notion de chiffrement asymétrique. Assurez-vous que vos interlocuteurs utilisent eux aussi des services sécurisés 
-* Ayez des sauvegardes à jour, chiffrées et au moins une dans un site distant+  * Ayez des sauvegardes à jour, chiffrées et au moins une dans un site distant
  
 === Saine paranoïa === === Saine paranoïa ===
Ligne 352: Ligne 352:
 Si vous êtes atteint d'une saine paranoïa, que celle-ci soit justifiée par vos activités ou la surveillance que vous encourez, ou simplement par votre esprit tordu, les conseils de cette page sont bien sûr applicables, mais probablement pas suffisants. Vous devriez au minimum : Si vous êtes atteint d'une saine paranoïa, que celle-ci soit justifiée par vos activités ou la surveillance que vous encourez, ou simplement par votre esprit tordu, les conseils de cette page sont bien sûr applicables, mais probablement pas suffisants. Vous devriez au minimum :
  
-* **Chiffrer toutes vos données**, même localement, +  * **Chiffrer toutes vos données**, même localement, 
-* Maîtriser GPG, le chiffrement asymétrique, et appliquer une politique de chiffrement et de signature stricte, +  * Maîtriser GPG, le chiffrement asymétrique, et appliquer une politique de chiffrement et de signature stricte, 
-* Disposer d'**un courriel anonyme** créé et accédé exclusivement via TOR, +  * Disposer d'**un courriel anonyme** créé et accédé exclusivement via TOR, 
-* Utiliser **un système d'exploitation libre**, tel que Linux, **et** renforcer sa sécurité par défaut, avec TOR, SElinux, et de [[https://privsec.dev/posts/linux/desktop-linux-hardening/|nombreuses techniques dites de hardening]] +  * Utiliser **un système d'exploitation libre**, tel que Linux, **et** renforcer sa sécurité par défaut, avec TOR, SElinux, et de [[https://privsec.dev/posts/linux/desktop-linux-hardening/|nombreuses techniques dites de hardening]] 
-* Envisager d'utiliser **un système spécialisé pour la sécurité et l'anonymat, tel que [[https://tails.boum.org/|Tails]]** +  * Envisager d'utiliser **un système spécialisé pour la sécurité et l'anonymat, tel que [[https://tails.boum.org/|Tails]]** 
-* Quitter, ou au moins sévèrement compartimenter les réseaux sociaux, +  * Quitter, ou au moins sévèrement compartimenter les réseaux sociaux, 
-* Apprendre à utiliser **une cryptomonnaie orientée anonymat et sécurité**, aka [[https://www.getmonero.org/|Monero]], +  * Apprendre à utiliser **une cryptomonnaie orientée anonymat et sécurité**, aka [[https://www.getmonero.org/|Monero]], 
-* Faire une veille active concernant les technologies qui vous tiennent en sécurité. Si un algorithme de chiffrement ou un service que vous utilisez est compromis, vous voulez le savoir avant qu'un acteur malveillant ne l'exploite contre vous+  * Faire une veille active concernant les technologies qui vous tiennent en sécurité. Si un algorithme de chiffrement ou un service que vous utilisez est compromis, vous voulez le savoir avant qu'un acteur malveillant ne l'exploite contre vous
  
 ==== Des ressources ==== ==== Des ressources ====
Ligne 365: Ligne 365:
 Si vous cherchez des ressources pertinentes sur ces questions, vous pouvez regarder ici : Si vous cherchez des ressources pertinentes sur ces questions, vous pouvez regarder ici :
  
-* La [[https://www.eff.org/|Electronic Frontier Foundation]] est probablement la plus importante organisation à s'intéresser à ces questions +  * La [[https://www.eff.org/|Electronic Frontier Foundation]] est probablement la plus importante organisation à s'intéresser à ces questions 
-* Elle met en ligne plusieurs outils pratiques : +  * Elle met en ligne plusieurs outils pratiques : 
-  * [[https://atlasofsurveillance.org/|L'atlas de la surveillance]], +    * [[https://atlasofsurveillance.org/|L'atlas de la surveillance]], 
-  * [[https://ssd.eff.org/|Surveillance Self-Defense]], +    * [[https://ssd.eff.org/|Surveillance Self-Defense]], 
-  * [[https://coveryourtracks.eff.org/|Cover your tracks]], +    * [[https://coveryourtracks.eff.org/|Cover your tracks]], 
-* Vous pouvez aussi jeter un œil sur [[https://www.techlore.tech/|Techlore]] qui se donne pour mission de documenter et vulgariser sécurité et vie privée à destination du plus grand nombre+  * Vous pouvez aussi jeter un œil sur [[https://www.techlore.tech/|Techlore]] qui se donne pour mission de documenter et vulgariser sécurité et vie privée à destination du plus grand nombre
  
 {{tag>Web Cryptographie Sécurité Linux}} {{tag>Web Cryptographie Sécurité Linux}}
tech/vie_privee_et_securite.1764880888.txt.gz · Dernière modification : de Mathieu
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki