Analyse

Protéger ses données numériques. Partie 2/3 : La navigation.

Le 8 mai 2018 par Guillaume Demonet, Jérôme Freani, Hirotaka Kato, Choukri Omari, NC

Suite à la présentation la semaine dernière de la première partie du dossier sur la protection des données, nous allons aborder la seconde partie, qui concerne la navigation sur internet.

Première partie disponible ici.

Les moteurs de recherche web

L’expansion du web est un phénomène continu corrélé aux avancées technologiques dans l’installation des réseaux Internet car Internet est un réseau et le web est sa principale application. Le moteur de recherche est l’un des outils permettant de crawler (d’explorer) le web. Parmi les plus puissants d’entre eux, on trouve : Bing, Qwant, Yahoo, Exalead, DuckDuckGo, Yippy, Quora et Google.

Google et Bing figurent parmi les moteurs de recherche les plus connus, Google, moteur le plus utilisé, est connu pour la force de son algorithme, capable de générer un nombre considérable de résultats, classés par pertinence. Bing a été racheté par Microsoft ; il est, quant à lui, utilisé par certains internautes pour son efficacité dans l’interprétation de requêtes complexes employant des phrases  “humaines” ; exemple : « trouver les bonnes adresses ». Microsoft affirme qu’en 2017, seulement 19% des internautes français utilisent son moteur de recherche.

Aussi puissants soient-ils, les moteurs de recherche peuvent comporter des vulnérabilités et constituer un danger pour l’utilisateur. Il y a quelques années, en 2013, le cabinet de sécurité web Sucuri a révélé l’un des problèmes les plus sérieux ayant touché Google : certaines cyberattaques qui ont pu toucher les clients de Sucuri ont été menés par des hackers, via le robot d’indexation du moteur de recherche Google.

À moins de corriger la vulnérabilité du moteur de recherche, il n’existe pas de solution efficace. Dans ce cas, les navigateurs web interviennent pour constituer un autre palier de sécurité.

Certaines applications Google liées au moteur de recherche vont jusqu’à sauvegarder l’ensemble des activités qui transitent par ce dernier. Comme nous avons déjà évoqué “Google My Activity, Bing fonctionne de manière similaire. Le moteur de recherche conserve les données personnelles : historique des requêtes, adresses IP des appareils, cookies, etc. Pire, ce type de données a déjà fait l’objet d’une fuite dans l’affaire Prism évoquée en introduction de ce dossier.

Pour protéger les données personnelles qui pourraient être exploitées par les moteurs de recherche, la CNIL (Commission Nationale de l'Informatique et des Libertés) donne plusieurs consignes comme par exemple : exercer son droit d’accès aux informations personnelles et savoir dans quel but elles sont détenues, exercer son droit d’opposition et son droit au déréférencement (il est possible de demander à un moteur de recherche que nos informations ou que notre page web ne figurent plus dans les résultats de recherches), configurer les dispositifs de sécurité de son navigateur web (sauvegarde des cookies, etc.).

Aussi, eu égard à cette démarche de protection, on peut choisir d’effectuer nos recherches en mode  “Privé”. Qwant, moteur de recherche français totalement libre, revendique n'exercer aucun traçage sur ses utilisateurs et ne filtre aucun contenu sur leurs recherches Internet.

 

Plugins

Les Plug-ins ou add-ons sont des logiciels ajoutant de nouvelles fonctionnalités à un programme, notamment aux navigateurs tels que Firefox ou Google Chrome. Ces derniers sont disponibles en téléchargement sur les sites des éditeurs de plug-ins ou sur les pages dédiées des différents navigateurs (Chrome Web Store, Add-ons for Firefox) et couvrent une large gamme de services allant de la simple personnalisation cosmétique des pages à des fonctions très concrètes comme la gestion des onglets.

Dans cette partie, vous seront conseillés plusieurs plug-ins permettant de renforcer la sécurité de votre ordinateur lors de la navigation pour une meilleure protection de vos données.

L’un des plug-ins les plus téléchargés est le logiciel open sourceAdblock, édité par Adblock Plus dont la fonction principale est, comme son nom l’indique, de bloquer les publicités intrusives. Son utilité ne s’arrête cependant pas à cela puisqu’il empêche également la génération des fenêtres pop-ups et autres annonces frauduleuses, limitant ainsi, pour l’utilisateur, la tentation de cliquer sur un lien dangereux et soumettre alors sa machine à un risque d’infection.

D’autres éditeurs proposent des solutions semblables à celle d’Adblock ; elles peuvent être utilisées en complément de ce premier outil.

Le plugin Privacy Badger, édité par The Electronic Frontier Fondation (EFF) permet, par exemple, le blocage des publicitaires et autres partis-tiers “traquant” notre activité ou suivant secrètement notre présence sur les sites web sans autorisation. Privacy Badger a été développé sur la base du code d’Adblock Plus et, d’après son éditeur, s’en différencie en ne nécessitant pas de configuration manuelle contre le tracking.

Ghostery propose, comme les deux premiers, le contrôle des publicités et des technologies de “tracking”, mettant cette fois-ci l’accent sur l’optimisation des performances du navigateur. Cette solution protège les données utilisateurs en les anonymisant, pour le cas où un tracker aurait pu échapper au blocage du logiciel.

Pour aller plus loin dans la protection des données lors de la navigation, l’add-onHTTPS Everywhere, développé conjointement par EFF (éditeur de Privacy Badger) et The Tor Project  (présenté dans la partie suivante), permettrait de chiffrer les communications de l’utilisateur vers les sites web les plus fréquentés dont Facebook, Twitter, Google Search ou Wikipédia. De manière concrète, l’extension HTTPS Everywhere force la connexion chiffrée lorsque cela est possible, c'est-à-dire si le site en question propose une connexion HTTPS dont le protocole de communication est encrypté. Cette connexion, lorsqu’elle est disponible, n’est généralement pas proposée par défaut par certains sites particuliers car le chiffrement demande davantage de ressources au serveur. L’utilisation d’HTTPS (S pour sécurisé) plutôt qu’HTTP permet, dans une certaine mesure, de garantir la protection de la vie privée, l’intégrité des données échangées ainsi que l’authenticité des sites webvisités.

Certains plugins permettent d’installer un proxy sur notre navigateur. Un proxy est un serveur placé entre l’utilisateur et sa requête afin que cette dernière soit envoyée au site visité de manière indirecte, via le serveur. La requête est donc envoyée au proxy, lequel va l’envoyer au site, rendant ainsi anonyme la connexion. Pour autant, précisons que les proxys conservent un historique des demandes (des logs : il est donc possible retracer l’internaute) qui peut néanmoins être limité en multipliant le nombre de proxy et donc de serveurs intermédiaires, en contrepartie d’une connexion ralentie.

Outre l’anonymisation (ou presque) d’une connexion sur un site web, les proxys permettent également d’accéder à des services indisponibles depuis notre localisation (établie par l’adresse IP), tels que des vidéos sur YouTube ou certaines radios en ligne, en passant par un serveur étranger. C’est généralement pour cette fonctionnalité que les plugins tels que Hola!VPN sont téléchargées. Des précautions sont recommandées lors de l’utilisation de plugin tel qu’Hola!, ce dernier n’émettant pas les requêtes à partir de ses propres serveurs mais à partir des adresses d’autres utilisateurs du service, par peer-to-peer. Cela signifie qu’à moins d’utiliser la version pro payante d’Hola!VPN, d’autres utilisateurs peuvent accéder à Internetvia notre propre ordinateur ou smartphone.

Enfin, l’utilisation d’un proxy ne permet pas d’anonymiser l’ensemble de sa connexion mais seulement celle de l’application sur laquelle il est installé, ici le navigateur. Une connexion simultanée par une autre application sans proxy révélera donc la véritable adresse IP, de même que certaines applications à l’intérieur du navigateur (Flash, Java, etc.). La solution pour anonymiser l’ensemble du trafic d’une machine vers Internet, sans restriction d’application, est l’installation et la configuration d’un VPN.

 

VPN, Tor

Outils de recherche discrète : VPN et TOR

VPN est l'acronyme de « Virtual Private Network ». Il s’agit, en détail, d’un réseau logique et fermé sur lui-même. Les participants d’un réseau privé virtuel sont spatialement séparés les uns des autres mais ils sont cependant reliés entre eux via un tunnel IP sécurisé.

Les utilisateurs qui vont sur Internet via un logiciel VPN profitent de plusieurs avantages. Grâce à un chiffrement de haute qualité de toutes les connexions de données, ils peuvent surfer sur Internet de manière plus anonyme et sécurisée. L’utilisation du VPN permet de naviguer avec plus de sécurité et d’anonymat sur la toile et d’éviter les fuites d’information lors d’une connection à un réseau Wi-Fi public par exemple.

Avantages du VPN :

  • Les communications via un serveur VPN ne divulguent pas votre adresse IP attribuée par votre opérateur ;

  • Les communications entre l’ordinateur et le serveur VPN sont chiffrées, rendant ainsi totalement inopérante toute tentative d’identification et de surveillance ou de filtrage des communications, même réalisée au niveau des FAI ;

  • L’utilisation d’un VPN est légale (sauf en Chine) et conseillée ;

  • Le paramétrage sur le PC est facile, rapide et à la portée de tous ;

  • Le serveur VPN masque l’adresse IP sur les réseaux P2P (Peer to peer).

Inconvénients :

  • Les meilleurs VPN sont payants ;

  • Un ralentissement du débit est généralement constaté ;

  • Les serveurs VPN appartenant à des pays ayant signé les accords UKUSA (la Turquie, l'Autriche, la Thaïlande, le Japon, la Corée du Sud, la Norvège, le Danemark, l'Allemagne, l'Italie, la Grèce, l’Australie, la Nouvelle-Zélande, la Grande-Bretagne, les États-Unis et le Canada) conservent l’historique des recherches et des navigations (logs).

Conseils pour choisir son VPN :

La question est surtout de savoir qui paye si ce n'est pas nous ? Quel est le modèle économique du prestataire si le VPN est gratuit ? La revente de nos données ?

Une liste des VPN serait difficilement exhaustive. Aussi, nous nous restreindrons à certains d’entre eux qui présentent des caractéristiques très intéressantes, sachant que les meilleurs VPN sont payants :

 

Le réseau TOR

Qu’est-ce que le réseau TOR ?

TOR signifie The Onion Router ;  c’est une organisation à but non-lucratif concentrée sur la protection de la vie privée et l’anonymat des internautes sur le web. Aussi, le réseau TOR est conçu pour éviter que les gouvernements ou les entreprises privées puissent nous espionner.

Le réseau TOR fonctionne donc en faisant passer notre connexion par différents points-relais, gérés par des milliers de volontaires à travers le monde : c’est la nature décentralisée de TOR qui repose sur deux principes fondamentaux : le logiciel permettant la connexion au réseau et les internautes volontaires qui proposent des serveurs à travers le monde.

Qu’est-ce que l’onion routing ?

L’onion routing est une technique de communication anonyme sur un réseau. Les messages sont chiffrés en continu et sont envoyés via des nœuds de réseaux appelés des routeurs onions.

Chaque relais ajoute un niveau de chiffrement qui va changer lorsqu’il atteindra le prochain relais. Son avantage essentiel est de rendre le réseau totalement invisible.

Inconvénients :

  • Le réseau TOR ne protège pas les données lorsqu’elles quittent ce réseau. Aussi, pour être un très bon outil d’anonymat TOR doit être couplé à d’autres outils de chiffrement ;

  • TOR a pour principal inconvénient sa lenteur qui résulte du passage des informations par différents relais avant d’arriver à leur destination ;

  • Une mauvaise utilisation de TOR peut être néfaste : en effet, TOR est sécurisé mais pas le navigateur. Sans précautions prises en amont, une “agence” peut intercepter les données; l’utilisation de TOR ne servira donc plus à rien car elle pistera le navigateur.

 

Comparatif TOR/VPN :

Par comparaison à un VPN, TOR souffre de nombreuses limitations. Non seulement il y a l’inconvénient de la lenteur mais aussi la nécessité d’utilisation d’un navigateur spécialement conçu pour TOR n’autorisant pas l’utilisation d’applications comme Flash ou de Quicktime qui pourraient révéler notre véritable adresse IP.

De plus, un VPN propose une vitesse de connexion maximale, permettant l’échange de fichiers volumineux et chiffre sa connexion en passant par des serveurs ultra-performants et non des relais des utilisateurs.

L'utilisation de TOR pour une recherche discrète nous rend « signant » et nous signale aux autorités. Ce n’est pas le cas avec le VPN qui permet, en outre, l’opportunité de choisir un des serveurs répartis dans le monde et de changer d’adresse IP autant de fois que souhaité.

En conclusion, le réseau TOR permet de garder un certain anonymat mais le VPN permet l’utilisation du websans aucune restriction. À l’évidence, TOR est l’outil nécessaire pour une recherche sur le Darkweb alors que le VPN est à privilégier pour une recherche discrète.

Usurpation d'identité

Bien se protéger lors de la navigation sur Internet ne permet pas seulement la protection de son ordinateur ou smartphone contre les malwares et autres dangers pour votre machine. Si on insiste sur la nécessité de protéger sa vie privée en ligne, c’est également pour réduire les risques d’usurpation d’identité. On a tous, au moins une fois, eu affaire à un faux compte Facebook d’un proche ou au email d’un collègue provenant d’une fausse adresse. Le fait de se faire passer pour un autre personnalité, morale ou physique, afin d’obtenir des informations est appelé Phishing, activité illégale dans une majorité de pays, au même titre que l’usurpation d’identité. Ces pratiques sont plus courantes qu’on ne le soupçonne et permettent à une personne-tiers d’accéder à vos contacts et, dans les pires des cas, à vos finances ou bien de commettre un délit en votre nom.

La protection de nos données privées contre le vol ou l’usurpation d’identité ne passe pas seulement par l’installation et la configuration des outils présentés jusqu’à présent mais, aussi et surtout, par l’adoption d’un comportement attentif aux informations partagées pendant la navigation. Dans la mesure du possible, il est préférable de donner le minimum d’informations sur nous-même et nos contacts sur Internet, notamment sur les réseaux sociaux. D’autant plus qu’il est assez difficile, voire impossible, de supprimer définitivement une information une fois publiée sur Internet. Il faut donc éviter de partager de commentaires, photos, vidéos ou même la participation à des événements tout comme la géolocalisation, dès lors qu’ils présentent des informations que nous jugerions sensibles. Soit parce qu’elles permettraient d’accéder à nos comptes, à nos services bancaires ou de santé, mais aussi, et tout simplement, lorsqu’il s’agit d’une donnée privée à laquelle nous seul ou certaines connaissances (amis, famille, etc.) peuvent avoir accès.

En premier lieu, si l’on dispose de comptes sur les réseaux sociaux tels que Facebook, Instagram, Twitter, ou même LinkedIn, une attention particulière doit être portée à nos paramètres et publications.

D’autres personnes pouvant partager des informations sur votre propre personne sur Internet, notamment votre famille et vos amis, il est recommandé de sensibiliser son entourage autant que faire se peut ; par exemple en partageant l'article que vous êtes en train de lire (c’est juste une idée!) et d’autres ou encore aborder le sujet lors de repas de famille, au travail, avec les voisins, etc. Un nombre plus important d’internautes, informés et attentifs, contribue à limiter les risques de diffusion des malwares et le phishing.

Par ailleurs, une bonne gestion des informations personnelles partagées sur Internet permet, outre se protéger contre certaines attaques, de maîtriser son image ou e-réputation, toujours utile pour la recherche d’un emploi ou simplement pour conserver celui qu’on a déjà.

Une application française gratuite, Nothing to Hide (rien à cacher), analyse vos comptes Facebook, LinkedIn, Instagram et Twitter et évalue votre niveau d'expertise en e-réputation. Par ailleurs, elle permet de vous donner de précieux conseils pour maîtriser les paramètres de confidentialité afin de cacher ou montrer uniquement ce que vous aurez décidé.

Adresse email jetable

Toujours dans une logique d’anonymisation de la navigation sur Internet, il existe plusieurs services d’adresse email temporaire, dites adresses email jetables. Leur fonctionnement, très simple, consiste à proposer à l’internaute d’emprunter une adresse email à usage unique ou temporaire et d’accéder à sa boîte de réception. Ces services permettent d’éviter l’utilisation de sa propre adresse email lorsqu’on ne fait pas confiance à un site nécessitant une inscription pour certains accès ou que l’on ne souhaite pas s’identifier pour une quelconque raison, y compris personnelle.

Parmi les nombreux fournisseurs d’adresse email jetables, voici une liste réduite à titre indicatif:

  • Yopmail : un service d’adresse email temporaire, sans inscription ni mot de passe, permettant de générer une adresse @yopmail.com dont les messages sont conservés jusqu’à 8 jours.

  • ThrowAwayMail : est un service similaire, créant cette fois une adresse email aléatoire (les caractères avant et après le “@” sont aléatoirement définis, contrairement à Yopmail dont les adresses ont toujours la même extension), disponible sur une durée de 48 minutes.

  • 10MinuteMail: fonctionne de la même manière que ThrowAwayMail, avec une adresse email aléatoire disponible durant 10 minutes et la possibilité de renouvellement de ces 10 minutes si nécessaires (sans limitation).

L’usage des adresses emails jetables reste cependant limité, certains sites parvenant à les identifier et empêchant leur utilisation pour leurs services. Par ailleurs, si ces dernières permettent à l’internaute de ne pas communiquer à outrance son adresse email professionnelle ou personnelle et de rester relativement anonyme lors de l’usage ou l’inscription à certains services en lignes, elles ne permettent pas de protéger le contenu des emails. Il est donc déconseillé de les utiliser pour communiquer avec d’autres internautes et partager des informations sensibles.

La protection des données contenues dans les emails envoyés est, quant à elle, renforcée de différentes manières:

À savoir, la messagerie Gmail vous permet également de créer des alias à partir de votre adresse principale en ajoutant le symbole “+” afin de maîtriser davantage le flux d’emails reçu. Par exemple, un utilisateur dont l’adresse serait “thierry.dupont@gmail.com” qui souhaiterait créer un alias pour, disons, tout ce qui est lié à son vpn la rédigerait de la manière suivante “thierry.dupont+vpn@gmail.com”.

 

Retrouvez la troisième et dernière partie du dossier ici.

L’équipe de rédaction du Club Cyber AEGE :
Guillaume Demonet, Jérôme Freani, Hirotaka Kato, Choukri Omari, NC

Avec la participation de :
Le Club Webtechno de l’AEGE Anne-Elizabeth Maghinici
Le Club BigData & IA de l’AEGE représenté par Lucas Atton
Baptiste Fortin