Le réseau internet est de nos jours devenu un espace important voire vital dans la vie de certaines personnes. Les relations amicales ou familiales, le travail, le journalisme, l’activisme, le commerce, le marketing et bien d’autres domaines sont dorénavant liés profondément au numérique.
C’est ainsi que les individus sont amenés à fournir des informations personnelles, parfois sensibles, et plus encore parfois critiques : nom, prénom, adresse postale, date de naissance, numéro de sécurité sociale, photo d’identité, permis de conduire, numéro de carte bancaire...
La protection de ces données personnelles est aujourd’hui devenue un enjeu crucial. L’explosion d’internet, et par extension la convergence des réseaux depuis une vingtaine d’années - qui bien que bénéfiques sur le plan du partage du savoir et de la connaissance - a engendré des dérives auxquelles il est aujourd’hui urgent de remédier. En effet, ces dérives amènent non seulement des pirates informatiques malveillants ou des entités à fortes ressources (agences de renseignement, groupes de pirates subventionnés...) à récolter des données personnelles afin d’en tirer profit (économique ou social comme le profilage), mais il est de plus en plus évident que des gouvernements s’appuient sur cette problématique afin de mettre en oeuvre des politiques d’espionnage de masse, rendant la liberté de mouvement ou d’opinion de plus en plus restreinte.
Il devient donc indispensable aujourd’hui de se pencher sérieusement sur son environnement personnel numérique et sur les données que l’on fournit à des entreprises contre leurs services (courriers électroniques dits "courriels", navigation par géo-localisation, achats/ventes en ligne, voyages, restauration, etc.).
L’enjeu n’est plus seulement de faire attention à soi-même, mais devient de plus en plus un objectif collectif !
Une bonne entrée en matière afin d'appréhender les raisons est de visiter ce site internet :
Je n'ai rien à cacher !
Afin de reprendre la main sur votre espace numérique, cet article tente de vous guider en vulgarisant au maximum les terminologies techniques et le comportement à tenir afin d'arriver à une hygiène informatique plus saine._
¶ Comprendre les bases
Afin de bien comprendre les aspects évoqués tout au long de cet article il est essentiel de comprendre les bases du monde numérique, communément et par défaut appelé informatique, ainsi que ses tenants et ses aboutissants.
Attention, cette partie peut être copieuse et technique, bien que vulgarisée. Je vous conseille donc de prendre un café, un thé ou un chocolat (ou simplement de l’eau pour les plus pur(e)s d'entre nous), de respirer un bon coup et de vous concentrer lorsque vous lirez les sections suivantes (relire plusieurs fois les sections qui vous demandent plus d'attention) !
¶ Les réseaux
Par définition, un réseau désigne un ensemble de points reliés les uns avec les autres par le biais de liaisons afin d’établir des communications.
Pour bien comprendre comment nous nous interconnectons, il est indispensable de comprendre qu’internet est un réseau, et si l’on veut être plus précis encore : un « réseau de réseaux ». Un réseau donc, que l’on définit comme public, c’est-à-dire ouvert à tous.
Par analogie : le réseau routier où les points sont les maisons (avec leurs adresses postales), les liaisons sont les routes (départementales, nationales, autoroutes...). C’est exactement ce qu’il se passe avec internet : les points sont les boîtiers internet des fournisseurs d’accès (avec leur adresse « IP » - Internet Protocol), les liaisons sont les câbles reliant les points entre eux (câbles communaux, câbles sous marins...).
Nous voyons apparaître ci-haut une notion fondamentale d’un réseau informatique : l’adresse IP. Plus précisément cette adresse IP est dite « publique », tout comme internet l’est, car visible par tous. Par analogie encore et afin de bien appréhender cette notion : l’adresse IP publique est à l’environnement numérique, ce que l’adresse postale est à l’environnement réel. Cette adresse est un identifiant « numérique » pour votre vie digitale, tout comme votre adresse postale est un identifiant physique pour votre vie réelle. C’est par ce biais que vous pouvez communiquer avec n’importe qui sur la planète via internet. Mais c’est aussi par ce biais que vous êtes identifiable sur internet !
Cette adresse vous est fournie (obligatoirement) par un FAI ou Fournisseur d’Accès à Internet (Orange, Bouygues... pour la France, AT&T, Verizon... pour les USA etc.) - qui vous procure un boîtier spécifique (boîtier internet) et vous assigne automatiquement une adresse sur le réseau internet, afin d’y avoir accès. Vous ne pouvez donc pas vous-même vous attribuer une adresse IP publique.
Petite particularité : vous avez sûrement un téléphone portable, avec une connexion 3G, 4G... Ici le boîtier internet sera en fait le module réseau du téléphone, associé à la carte SIM que vous livrera l’opérateur téléphonique (qui en somme est un FAI). A cette carte SIM sera associée une adresse IP publique, afin d’accéder au réseau internet. Attention donc à ne pas confondre votre boîtier internet à la maison (avec son Wifi probablement), et votre téléphone portable avec sa connexion 3G/4G/5G !
D’ailleurs petite note technique : afin que le réseau 3G/4G/5G puisse vous offrir un accès au réseau internet, les antennes relais 3G/4G/5G sont elles-mêmes reliées aux câbles communaux.
Attention à ne pas confondre réseau internet, par essence public, et réseau privé qui correspond au réseau que vous créez "chez vous". Et qui est différent du réseau internet. Par exemple en activant le Wifi sur votre Box, celle-ci crée un réseau privé sur lequel vos équipements peuvent se connecter via le Wifi...
Par convention : une adresse IP se trouve par exemple, dans sa version actuelle la plus répandue, sous la forme suivante :
- 85.134.243.10
Pour les plus techniques d’entre vous : il s’agit bien sûr d’une représentation pour le protocole IP version 4, en attendant le basculement complet vers IP version 6, dont les adresses se présentent par exemple ainsi : 2001:db8:0:85a3:0:0:ac1f:8001.
Une petite astuce afin de connaître son adresse IP publique : vous pouvez visiter ce site : DNS Leak test.
¶ Chiffrement, kézako ?
Vous avez sûrement déjà entendu parler de « confidentialité des données » ou encore de « chiffrement des données », une terminologie en vogue aujourd’hui, surtout depuis l’application de la RGPD en 2016, le fameux Règlement Général sur la Protection des Données. Pourtant cette notion est très ancienne !
Mais qu’est-ce concrètement ce « chiffrement » et à quoi sert-il ?
Techniquement, chiffrer une information consiste à transposer un message, clair et compréhensible, en message incompréhensible et indéchiffrable, si l’on ne possède pas le moyen de le déchiffrer. Ce moyen est appelé « secret » et plus encore correspond à une « clé (de sécurité) ». Cette clé est utilisée afin d’appliquer une opération (dite cryptographique) sur la donnée ou sur la communication afin d’en protéger le contenu, opération que nous nommons « chiffrement » (et l’inverse pour le déchiffrement bien sûr).
Différents mécanismes de chiffrement existent, rapidement :
- Chiffrement basé sur la cryptographie symétrique, avec partage d’un même secret (clé), c’est-à-dire que la même clé est utilisée pour chiffrer et déchiffrer.
- Chiffrement basé sur la cryptographie asymétrique, avec l’utilisation d’une paire de clés : dans ce cas, une clé sert au chiffrement et la seconde au déchiffrement et plus généralement une clé pour une opération et une seconde pour l'opération inverse (car il est possible d'appliquer une autre forme de protection, la signature numérique).
Il est aussi tout à fait possible d’avoir un mécanisme hybride (cf. TLS ou PGP).
Nous ne rentrerons donc pas plus dans les détails des clés ou algorithmes et sur les aspects cryptographiques, qui sortent du cadre de cet article. Je vous renvoie donc aux articles dédiés au chiffrement (et à l'intégrité) afin d'y voir un peu plus clair sur ces sujets :
¶ Accès aux informations ou authentification
L’authentification est un mécanisme important qui permet de confirmer la légitimité de la demande d’accès à une information. Pour mieux comprendre, voici deux exemples :
- Vous souhaitez accéder à votre ordinateur, vous le démarrez et à l'écran vous est proposée une page d'authentification. En effet celui-ci est protégé par un mot de passe dit de session. Si vous entrez le bon mot de passe, la légitimité est donc prouvée et l’accès au bureau et à vos documents vous est donné (sinon l’accès vous est refusé, vous avez compris !). En ce sens, vous avez prouvé que vous CONNAISSEZ le secret pour avoir accès à votre session.
- C’est le même mécanisme lorsque vous souhaitez avoir accès à votre compte e-mail (ou à votre compte Telegram etc.). La seule différence ici est que vous prétendez être le titulaire d’une adresse courriel (ou bien n° de téléphone, ou n° de contrat, ou...). A vous de prouver, avec le bon mot de passe, que vous CONNAISSEZ le bon secret et ainsi avoir accès au compte.
Ces deux exemples ci-dessus constituent une authentification à 1 facteur, c'est-à-dire via un mot de passe.
Ce procédé est très ancien, mais la plupart des experts en sécurité de l’information se sont très vite aperçus qu’un seul facteur constituait une brèche dans le principe d’authentification : en effet, un mot de passe peut être aujourd’hui facilement connu ou déduit (par exemple en tentant toutes les combinaisons possibles jusqu'à l'obtenir - méthode "brute force"). Encore plus si celui-ci est faible (nous verrons plus loin comment gérer cet aspect !), et c'est malheureusement souvent le cas !
C’est pourquoi vous entendez souvent parler de « 2FA » ou « MFA » ; en anglais 2FA ou (2)Two Factor Authentication, MFA ou Multi Factor Authentication. Ces techniques permettent de renforcer la sécurité de la demande d’accès, en ajoutant des étapes supplémentaires. Cette notion s’appuie sur des « facteurs » d’authentification dont le schéma de détermination est le suivant :
- Quelque chose que vous CONNAISSEZ
- Quelque chose que vous DÉTENEZ
- Quelque chose que vous ÊTES
- Le LIEU où vous vous trouvez
Sachant qu’il est tout à fait possible d’activer un ou plusieurs facteurs en même temps (les 4 ne sont pas obligatoires).
Nous avons déjà appréhendé le premier facteur (l’exemple du mot de passe) plus haut, mais d’autres types de facteurs « que vous connaissez » existent : le code PIN par exemple.
Également, vous utilisez très souvent le mécanisme à 2 facteurs (2FA) sans probablement le savoir : votre carte bancaire associée à son code secret constitue en fait une 2FA : le facteur 1, que vous CONNAISSEZ, est le code secret (assimilable à un code PIN), et le facteur 2, que vous DÉTENEZ, est la carte bancaire.
Lorsqu’il s’agit de décrire le mécanisme qui permet de vérifier le facteur que vous DÉTENEZ, il est souvent mention de la carte bancaire. Mais ce n’est pas le seul item :
- une smartcard pour sécuriser l’authentification sur votre ordinateur professionnel
- un badge d’accès à votre entreprise
- une clé de sécurité (aussi appelé token physique de sécurité, YubiKey ou Nitrokey par exemple)
- un token logiciel (généralement un certificat)
Un autre exemple d’authentification à 2 facteurs : vous avez un compte sur un site de vente en ligne. Lorsque vous souhaitez payer un bien, vous utilisez votre carte bancaire. Lors de la transaction entre le site vendeur et votre banque, très souvent votre banque vous demandera de rentrer un numéro unique et temporaire de 4 à 6 chiffres reçu sur votre téléphone par SMS ou par e-mail. Le téléphone constitue ici le facteur que vous DÉTENEZ, et le numéro unique ce que vous CONNAISSEZ. Nous sommes bien ici en face d’une authentification 2FA (facteurs 1- et 2-).
Attention : ce procédé utilisant le SMS/e-mail est juste ajouté à des fins de compréhension, il s’agit d’un mécanisme en fait peu sécurisé. Nous en rediscuterons plus tard...
Le troisième facteur, le facteur d’inhérence, est souvent assimilé à l’empreinte digitale. Il s'agit ici de la biométrie : un ensemble de technologies et procédés de reconnaissance, d’authentification et d’identification des personnes à partir de certaines de leurs caractéristiques physiques ou comportementales. Ce facteur lié à l'inhérence n'est donc pas limité qu’à l’empreinte d'un doigt. Il est associé principalement à toute biométrie, incluant empreinte digitale, mais aussi reconnaissance faciale, reconnaissance vocale, reconnaissance d’iris... allant même jusqu’à inclure la reconnaissance par comportement biométrique (exemple : la démarche d'une personne), ou la dynamique de frappe sur un clavier.
Un exemple ici est le fait d’utiliser votre empreinte digitale pour déverrouiller votre téléphone : le téléphone correspond au facteur que vous DÉTENEZ, votre empreinte au facteur que vous ÊTES (facteurs 1- et 3-).
Note : concernant le facteur biométrique lié à l'empreinte digitale, et stocké sur votre appareil (votre téléphone par exemple) : il s'agit d'une représentation mathématique de l'empreinte de votre doigt, non pas d'une photo fidèle, pixel pour pixel de votre empreinte digitale. Néanmoins, au vu du caractère restreint du nombre de possibilités de changer son authentification biométrique sur smartphone (10! Pour les 10 doigts des deux mains), un PIN fort est plutôt recommandé pour ceux qui ont bonne mémoire. En effet, en cas de piratage du PIN, on peut changer son code plus de 10 fois, et les possibilité sont exponentielles.
Un dernier exemple pour vous montrer l’étendue des possibilités de l’authentification multifactorielle (MFA). Souvent aperçu dans les films d’action, certains procédés d’authentification existent bel et bien, pour des données extrêmement critiques (par exemple un OIV en France ou Organisme d’Importance Vitale).
Voici le scénario : un utilisateur souhaite accéder à un datacenter où des données critiques sont entreposées, voici ce qui pourrait être fait :
- L’utilisateur possède un badge d’accès : ceci constitue le facteur de possession (ce que vous détenez).
- Lors du badgeage à la porte d’entrée du datacenter, un appareil demande à l’utilisateur un code PIN à 9 chiffres : ceci constitue le facteur de savoir (ce que vous connaissez) ;
- Puis l’appareil laisse place à un second appareil, d’identification biométrique à reconnaissance d’iris : ceci constitue le facteur d’inhérence (ce que vous êtes).
Voici à quoi ressemblerait une 3FA !
Le dernier facteur est encore peu utilisé de nos jours, et seulement pour des situations sensibles ou des entreprises ayant des données critiques ou des personnes à protéger. Ce facteur s’appuiera sur l’adresse IP d’où part la demande d’authentification, voire sa géolocalisation.
Vous en avez assez ?
Ce n’est pas fini ! Prenez une pause, soufflez, et refaites-vous un café 
On continue...
¶ Quelques mécanismes à la mode expliqués !
Seront dans un premier temps présentés les outils orientés vie privée et/ou anonymat que sont le VPN ainsi que le réseau Tor, avant de poursuivre sur les outils utiles pour réaliser des communications privées (PGP), lutter contre la censure (les DNS et leur rôle), ainsi que la sécurité de l'information.
Concernant le réseau Tor et le VPN, des outils d'aide à la décision ont été développés par nos homologues anglophones de la chaîne Techlore. Les liens vers ces outils sont disponibles immédiatement après présentation de ces deux éléments.
¶ VPN
Démocratisé il y a quelques années et qui aujourd’hui fait couler beaucoup d’encre, le VPN ou « Virtual Private Network » (Réseau Privé Virtuel) est un mécanisme qui vous permet d’encapsuler vos données dans un « tunnel » sécurisé (on parle de tunneling, ou tunnélisation). Ce tunnel est initié entre le « client » qui est l’initiateur de la communication et un « serveur » qui va recevoir les informations protégées, et les router vers la bonne destination.
À l’origine les VPNs ont été conçus afin d’aider les grandes entreprises et agences étatiques à créer des « accès à distance » pour leurs collaborateurs, via une connexion hautement sécurisée, tout en passant par des réseaux publics. L'idée est de permettre un accès distant aux contenus d'une entité, que l'on soit à côté ou à l'autre bout du monde, le tout sur un réseau public (internet).
Ainsi par exemple : M. Smith, agent du renseignement basé à Bangkok, ayant besoin d’informations sensibles, se connecte sur son ordinateur par le biais d’un VPN, afin d’avoir accès aux serveurs de l’agence directement. Les serveurs étant basés à Brême. Ainsi il peut lire des documents comme s’il était à Brême, dans les locaux.
Ce mécanisme s’est étendu au grand public, et d’une façon un peu différente de celle d’origine : vous, le client, initiez une communication (un tunnel) avec un serveur d’une société mandataire qui vous a vendu un service VPN (NordVPN, Cyberghost VPN, ProtonVPN...). Ce mandataire est donc en charge de router vos informations vers la bonne direction.
Ainsi le destinataire auquel vous vous adressez reçoit une communication venant d’un serveur VPN avec l'adresse IP du serveur, et non de vous directement (et de votre adresse IP).
Mais tout cela s’accompagne d’inconvénients : ce mandataire, même s’il vous assure qu’il pratique une politique renforcée de confidentialité et de vie privée, qu'il vous assure un anonymat et/ou implémente une « no-log policy » (c’est-à-dire ne gardant pas les journaux de vos connexions et votre adresse IP sur ses serveurs), vous n’avez aucun moyen de confirmer ces dires, car vous ne pouvez avoir accès à ces sociétés. Celles-ci sont d’ailleurs tout à fait capables de changer de politique du jour au lendemain, ou pire, de vous mentir. Également, ce mandataire ne peut refuser de collaborer avec des agences étatiques si leurs serveurs sont présents dans des pays où les lois les y obligent (USA, UK, France, Allemagne par exemple), voire y adjoindre une politique d’espionnage.
Ainsi, si le concept de VPN grand public a permis à beaucoup de contourner le géoblocage et la censure, la confiance en ces mandataires s’est petit à petit érodée : ces entreprises, rachetées les unes par les autres par des consortiums, deviennent de plus en plus importantes et la confiance que nous pouvons leur accorder aujourd’hui n’est plus aussi grande que par le passé. Par ailleurs il s’est avéré que certains mandataires avaient menti sur leur politique « no-log ».
Le choix d'un VPN pour un particulier, est par conséquent une tâche qui nécessite de récolter un ensemble d'éléments permettant d'établir une confiance relative et raisonnable envers le service. Nous reviendrons sur ce point, après la présentation du réseau Tor.
Note 1 : Vous ne trouverez dans cet article aucune mention des services VPN présentés par des streamers comme Cyberghost, Surfshark, ExpressVPN, Kickmyass, Hide me, PureVPN (la liste est longue, mais grosso modo dès qu'un streamer en fait mention, vous pouvez être sûr que l'outil est plus marketing qu'autre chose) ; pour une raison évidente : ces services n'offrent pas le niveau de vie privée "minimal" attendu d'un tel service, de par la mécanique même du lien affilié = pistage via le lien affilié, courriel exigé pour bénéficier de la remise... De même, de nombreux services présentés par ces mêmes streamers ont une politique agressive, qui se reflète à travers leur politique de vie privée, le fait de ne pas utiliser de logiciel à code source ouvert, etc. Nous ne connaissons pas non plus complètement les personnes ou les groupes qui détiennent ces mandataires (via rachats successifs, cf. image ci-dessous), ni leurs intentions ; il est tout à fait possible qu’ils tracent les données afin de faire du profilage, même s’ils rétorquent le contraire. Qui peut vérifier ?!
Pour illustrer ces propos, ci-dessous une illustration qui montre le rachat successif de sociétés de VPN par le groupe Kape Technologies. Groupe initialement versé dans les logiciels publicitaires et de piratage de navigateurs :
Explications : le changement de direction de ce groupe s'est opéré en 2018 vers une entreprise dite de cybersécurité. C'est pourquoi avec un consortium qui a un tel passé, une politique de rachat aussi agressive, et des sites de revue de VPN clairement orientés - vu qu'incentivés - il est essentiel d'être vigilant dans le choix d'un VPN. Nous vous invitons à poursuivre cette partie, avec les conseils que nous prodiguons en fin de l'article sur le réseau Tor.
Également, un développeur nous propose une mindmap permettant de visualiser tous les liens qu'entretiennent les VPNs entre certaines entités. A peu près tous les VPNs du marché sont présents dans cette infographie.
Note 2 : NordVPN n’apparaîtra pas non plus. Ce mandataire est systématiquement mis en avant par les streamers : hormis la législation, en dehors des "14 eyes", 3 signaux d'alarme doivent attirer l'attention de l'audience :
(1) le code source de l'application NordVPN n'est pas ouvert : un logiciel propriétaire n'offrant pas de transparence sur les attendus de l'application, on ne peut s'assurer de l'honnêteté des pratiques de la firme.
(2) De plus la sécurisation de leur infrastructure est à questionner, ayant fait l’objet de quelques fuites de données récemment [1] mais aussi [2].
(3) Qui plus est ce n'est pas nécessairement celui qui fait le plus de bruit qui est le meilleur.
Certains services, comme Mullvad ou IVPN, beaucoup plus discrets, offrent à la fois anonymisation à la souscription et au règlement, transparence avec leur politique de vie privée et le choix de l'open-source, ainsi qu'un niveau de sécurité supérieur avec l'authentification à double facteur qui n'oblige pas l'utilisateur à utiliser un courriel.
Note 3 : Nous ne faisons pas non plus apparaître la solution ProtonVPN, car pour rappel Proton AG a été critiqué récemment pour avoir délivré des adresses IP d’activistes. Même si ce mandataire paraît être de confiance, il n’est plus forcément recommandé d’utiliser les solutions Proton quand on est exposé (politiquement ou journalistiquement, ainsi que pour les activistes !).
Nous reparlerons de ces services un peu plus loin...
¶ TOR
Tor pour « The Onion Router », vous allez comprendre pourquoi... À l’origine, ce réseau était utilisé par des agents du renseignement US ; le concept ayant en effet été développé dans des laboratoires militaires américains dans les années 90. Ce n’est qu’à partir de 2004 que cette technologie fut libérée au grand public, puis connue sous le nom de The Tor Project.
La technologie de « routage en oignon » repose sur le principe de routage via des relais, relais par lesquels l’information passe successivement. Dans ce mécanisme, les données sensibles de l’émetteur (adresse IP...) ne sont connues que par le premier relais (que l’on nomme noeud d’entrée), et la destination demandée par l’émetteur n’est connue que par le dernier relais (nommé noeud de sortie). Entre ces 2 relais, l’information passe par un relais intermédiaire et complique considérablement le traçage. Afin de protéger les informations en transit, le message est chiffré autant de fois que le nombre de relais (en l'occurrence ici 3 pour Tor), de sorte à obtenir une protection par couches, qui schématiquement ressemblent aux couches d’un ... oignon !
Cependant, comme tout mécanisme, le réseau Tor possède aussi ses inconvénients :
- le relais d’entrée sait potentiellement vous identifier, même s’il ne peut pas lire le contenu de l’information en transit car l’information est protégée (chiffrée par couches), il reçoit les quelques données non protégées comme votre adresse IP publique et quelques autres métadonnées.
- le relais de sortie connaît le destinataire, même s’il ne connaît pas l’émetteur (vous), et peut également potentiellement accéder au contenu car celui-ci a été dépourvu de toutes les couches de sécurité Tor, et donc potentiellement le contenu est non chiffré ; l’exception ici est si la communication est effectuée avec un protocole sécurisé de bout en bout (par exemple visiter un site en HTTPS (S pour Secure)), auquel cas cette partie de la communication sera protégée et non lisible par le noeud de sortie.
Vous comprenez donc que cette technique permet d’augmenter votre anonymat ; en effet le destinataire à qui vous vous adressez ne peut savoir que c’est vous qui lui parlez. Mais elle ne permet pas nécessairement de protéger de bout en bout les informations en transit, car tout dépend du protocole de départ.
Qui plus est, le réseau Tor n’utilise aucune infrastructure complexe et importante pour ses relais mais uniquement des personnes volontaires, qui hébergent des serveurs Tor afin de router les communications.
Bien que cette solution présente l'avantage certain - au contraire des mandataires VPNs - de ne pas avoir la même entreprise gérant tous les serveurs, elle possède cependant quelques inconvénients : il est vraisemblable que parmi ces volontaires, certains n’ont pas forcément des intentions louables. Ou que par exemple une personne étant désignée comme noeud de sortie fasse en fait l’objet d’espionnage, ou bien qu'une agence étatique monte une ribambelle de serveurs (de sorte à augmenter les probabilités que les échanges passent par ces serveurs !). Auquel cas, vos communications sont potentiellement compromises.
Également, le grand revers de la médaille de ce réseau est la lenteur des communications. De par les mécanismes utilisés, il est évident que faire transiter l’information par plusieurs endroits successifs avant d’arriver à bon port ne peut que rajouter de la latence dans les échanges.
Enfin, il n’est pas recommandé d’utiliser le réseau Tor pour vous connecter à des comptes utilisateurs, GAFAM ou autre... Par exemple : se connecter à Facebook ou à Gmail en utilisant le réseau Tor.
Attention cela ne veut pas dire que c'est impossible, mais ayez bien en tête que tout ce que vous ferez sur votre compte Facebook par exemple sera traçable et identifiable comme venant de vous, vu que personnellement identifié, avec photos, etc. En ce sens, vous cassez le principe du réseau Tor qui est l’anonymat.
Alors quelle différence entre Tor et VPNs me direz vous ?
Eh bien, assez schématiquement : Tor renforce votre anonymat (le « qui vous êtes »), un VPN renforce votre protection (le « ce que vous faites »).
Alors vous pourriez me dire : « Je viens de réfléchir et j’ai trouvé une solution : dans ce cas je vais utiliser un VPN + le réseau Tor et ainsi je serai 100% anonyme et sécurisé ! ».
A ceci je vous répondrai : ce n’est pas aussi simple que cela en a l’air !
Ce n’est pas parce que vous combinez différents mécanismes de sécurité que vous augmentez automatiquement votre niveau de sécurité : en revanche vous augmentez de fait significativement la complexité dans vos communications. Une mauvaise combinaison ou une mauvaise configuration VPN+Tor peut potentiellement engendrer une diminution dans le niveau de sécurité, voire induire des failles de sécurité critiques.
Concernant l'anonymat, même constat : une mauvaise utilisation ou configuration peut mener à une désanonymisation plus rapide.
Le seul cas dans lequel un VPN serait recommandé à l’usage de concert avec Tor est le cas du blocage de votre FAI des serveurs Tor. En effet la liste des serveurs est publique et il est tout à fait possible pour un FAI de bloquer les adresses IP publiques de ces serveurs ; dans ce cas, le seul moyen de contourner ce problème est d’utiliser un VPN pour naviguer sur Tor.
Cet article ne discute pas plus de cet aspect, en revanche si vous êtes intéressés par ce sujet :
- Les développeurs de Tor font un état des lieux sur cette utilisation ici : Tor Project - TorPlusVPN
- Whonix (distribution GNU/LInux "virtualisée", basée sur le réseau Tor) propose un article très détaillé sur cet aspect, que je vous conseille de lire très attentivement : Whonix.org - Introduction
- Tails (autre distribution GNU/Linux basée sur Tor, plébiscitée par les activistes et journalistes) propose également dans sa FAQ un avis sur la question : Tails
Également, voici les outils d'aide à la décision par la communauté Techlore :
- Ai-je besoin d'un VPN ? https://www.doineedavpn.com/
- Sélectionner un VPN selon mon profil et mes besoins : politique "no-log" avérée ? En dehors des coalitions contraignantes côté vie privée (cf. 14 eyes) ? etc.
Détail des principaux services VPN par ici (site en anglais : utiliser votre service de traduction favori) ; avec un accent particulier à mettre entre autres sur les colonnes suivantes :
- "14 eyes"
- "Analytics concerns"
- "Misleading Security Marketing"
- "Security History"
- "Privacy History"
- "Anon Payment"
- "Anon Signup"
Quoi qu'il en soit, rassurez-vous, nous avons fait le travail pour vous, comme expliqué à suivre.
Pour information, notre collectif ne recommande à ce jour que quatre services VPN (mentionnés dans les parties suivantes), qui combinent plusieurs aspects que nous estimons impératifs pour choisir son mandataire VPN. Voici les exigences à respecter :
¤ Application à code source ouvert : permet de s'assurer que l'application fait ce qu'on en dit
¤ Politique de vie privée et philosophie générale
¤ Pas d'antécédent ou déboire connu
¤ Possibilité de régler anonymement en espèces ou en cryptomonnaie Monero
¤ Possibilité de se connecter de façon pleinement privée, avec un identifiant qui n'est ni un courriel ni un numéro de téléphone.
¶ PROXY
Sûrement un mécanisme dont vous n'avez que très peu entendu parler. Et pourtant, cette technologie est celle qui est le plus plébiscitée pour les réseaux (entreprises, universités, personnels...).
Qu'est-ce qu'un proxy ?
Un proxy est un élément d'un réseau qui va jouer le rôle d' intermédiaire. Schématiquement il s'agit d'un élément par lequel nous allons faire transiter toutes nos données, entrantes et sortantes, impossible d'y échapper donc (s'il est bien configuré !) :
Techniquement, il ne s'agit ni plus ni moins que d'un serveur avec des règles de filtrage particulières sur plusieurs niveaux. Ses fonctionnalités et objectifs sont divers :
- L'anonymat (à un certain niveau) : il est tout à fait possible de faire appel à un proxy public afin de router le trafic via ce mandataire proxy. Ici donc, notre adresse IP est différente et il nous est possible donc de cacher la nôtre aux sites que l'on visite ! Attention cependant : ici le même problème que pour les VPN apparaît ; vous devez faire une absolue confiance en ce mandataire qui va réellement collecter votre adresse IP. Ce n'est donc pas un mécanisme recommandé pour atteindre l'anonymat.
- Le contournement de la géo restriction : si vous faites appel à un mandataire proxy dans un autre pays, vous allez obtenir une adresse IP dans ce pays, ce qui peut donc vous donner accès à des sites ou contenus exclusivement liés à ce pays. Ici encore attention à la sécurisation des données en transit, un proxy ne chiffrant pas les échanges (hormis exceptions !).
- La sécurité/le filtrage : imaginons que nous gérons une université, nous souhaitons donner accès à internet à nos étudiants (très utile pour eux !) mais nous souhaitons éviter qu'ils naviguent sur certains sites (porno par exemple)... Nous pourrons donc implémenter un proxy, avec des règles de filtrage sur des domaines liés à des sites pornographiques. Bon nous pourrions ici très bien nous contenter d'un pare-feu, mais un proxy viendra filtrer à plus haut niveau, et ainsi parfaitement utile. Vous l'aurez compris, un proxy est généralement utilisé dans une architecture réseau afin d'apporter une couche de sécurité, en parallèle d'autres mécanismes (pare-feu, IDS, VPNs...).
Cela ne vous rappelle rien ?
Eh oui, un proxy peut être une alternative dans une certaine mesure aux VPN grands publics et à la limite à Tor, le chiffrement en moins dans la plupart des cas !
¶ PGP / OpenPGP / G(nu)PG
PGP, pour Pretty Good Privacy, est un protocole de protection initialement créé pour protéger les échanges par courriels. Créé dans les années 90 aux États-Unis, par un activiste politique assez connu à l'époque, Phil Zimmermann [3], l’objectif était de fournir au plus grand nombre et surtout aux activistes, journalistes et partis politiques, un mécanisme de chiffrement et de signature, open-source - et donc accessible à tous - et de niveau militaire. D’ailleurs pour la petite histoire, le gouvernement US de l’époque ne voyait pas d’un très bon oeil l’arrivée de PGP, et a commencé à enquêter puis a décidé de reprendre sous son aile le principe. PGP était ainsi réputé pour être assez robuste.
Note intéressante : Phil Zimmermann a depuis rejoint les équipes du moteur de recherche Startpage [4] (cf. article sur les Moteurs de recherche)!
PGP est donc devenu un des mécanismes de protection des communications via courriels depuis quelques années, car son utilisation n’a cessé d’être étudiée et améliorée. En effet, il est aujourd’hui possible de générer soi-même ses paires de clés et de les utiliser dans ses échanges. L’utilisation est « pratiquement » transparente même si la configuration en amont est plutôt délicate.
Dans la pratique, quasiment tous les mandataires de courriels sérieux (s’ils ne le proposent pas, changez de mandataires !) proposent, soit la génération de clés de sécurité, soit l’import de ces clés : il conviendra donc dans le second cas d’utiliser un logiciel PGP basé par exemple sur le standard openPGP, afin de générer des clés sur votre machine et les importer dans le gestionnaire de courriels choisi. Sur Linux par exemple il existe une implémentation nommée GnuPG ou GPG.
Nous avons dédié un article spécifique sur l'utilisation de GPG/PGP pour vous aider, ainsi qu'une partie dans l'article sur le chiffrement. Nous vous invitons donc fortement à les lire.
¶ DNS
DNS ou « système de noms de domaine » (Domain Name System chez nos amis anglais) est un mécanisme particulièrement intéressant pour les réseaux.
Nous allons le voir, le DNS, c'est un peu l'annuaire inversé des sites internet : quand on sélectionne une URL, ou qu'on la tape dans une barre de recherche, le DNS se charge de la transcrire en adresse IP (exemple fictif : 127.126.12.22) pour contacter le site.
Rentrons dans les détails : nous allons nous intéresser plus particulièrement à l’utilisation sur le réseau internet, car son usage en est le parfait exemple. Lorsque nous naviguons sur internet, nous souhaitons visiter des sites internet. Pour y accéder, nous allons entrer un texte que nous appelons URL qui contient le nom du site. Mais comment savoir quel serveur contacter pour afficher le site en question ou autrement dit, comment retrouver l’adresse IP du serveur associée à ce nom du site ?
C’est ici qu’entre en jeu le DNS.
Le mécanisme en lui-même est assez simple : le DNS permet de traduire (on parle de « résolution ») des noms de sites, appelés noms de domaine, en adresses IP. Souvenez-vous lorsque nous parlions d’adresses IP : nous avons défini ces adresses avec des suites de chiffres (et maintenant de chiffres et de lettres pour IPV6 !) incompréhensibles ! Les noms de domaine vont donc être plus compréhensibles.
Par exemple : google.com, wikilibriste.fr sont des noms de domaine. Bien plus mémorisables et utilisables au quotidien que 8.8.8.8 ou 132.54.23.109 (adresse IP fictive pour wikilibriste).
Pour les petits malins : oui il est possible de procéder à l’inverse. C’est-à-dire résoudre une adresse IP vers un nom de domaine qui lui est associé ! Cela s’appelle une « résolution inverse » ou reverse DNS.
Alors comment retrouver l’adresse IP ? Prenons l’architecture même de 2 URLs :
-- www.google.com
-- wiki.wikilibriste.fr (URL fictive utilisée pour l'exemple, notre URL réelle étant wikilibriste.fr)
Nous allons la découper en plusieurs parties afin de bien comprendre la mécanique :
- Nous avons les domaines de premier niveau ou TLD (Top Level Domain) : ce sera les .com, .fr, .org, .de (on parle alors ici de domaines géographiques) voire des domaines plus exotiques comme .io, .tech, .tartanpion etc.
- Nous avons ensuite les domaines de second niveau : le nom du site ou nom de domaine en lui-même c’est-à-dire par exemple « google » ou « wikilibriste » dans notre cas.
- Puis nous avons les sous-domaines : généralement nous voyons « www » devant les URLs (c’est très courant), ceci afin d’identifier les serveurs web, mais nous pourrions tout à fait avoir d’autres sous domaines : mail, forum, wiki par exemple ! Eh oui, dans l’URL wiki.wikilibriste.fr, le sous-domaine associé est "wiki" afin d'identifier un serveur spécifique pour wiki.
Vous l’aurez compris, le DNS est une part essentielle d’internet. Sans lui, vous en seriez à entrer des adresses IP dans votre navigateur internet toute la journée ! Pas cool quand même...
Pour plus d'explications, vous pouvez voir la vidéo de "Paf LeGeek" à ce sujet :
- DNS La surveillance de masse facile
Alors pourquoi parlons-nous de DNS ?
Eh bien simplement car ce mécanisme bien que particulièrement utile n’est pas dénué de failles : il est tout à fait possible pour un attaquant de vous diriger vers une copie d’un site détourné afin de vous voler des informations personnelles. Des contre-mesures sont aujourd’hui mises en place mais elles ne couvrent pas tous les aspects de cette attaque. Sachant qu’aujourd’hui la majeure partie des échanges DNS est en clair (n’est pas chiffré), n’importe qui peut lire les requêtes DNS et ainsi réorienter une partie du trafic. Pour plus de détails vous pouvez faire vos recherches sur les concepts de "DNS poisoning" ou "spoofing".
- Vous avez sûrement entendu en 2016/2017 le nom d’un type d’attaque bien particulière : DOS (Denial Of Service) ou attaque par « déni de service ». Oui je sais c’est barbare ! Vous allez comprendre : cette attaque utilise des petits logiciels appelés botnet (voir plus loin partie Malware), et qui pour certains d'entre eux, chargés sur une machine cible permet de lancer une multitude de requêtes (1 million en 1 seconde par exemple) afin de le ralentir drastiquement, voire le faire tomber et l’ "ouvrir" afin d’obtenir des droits d’accès administrateur. Il existe même une attaque DDoS ou Distributed Denial Of Service ; celle-ci au lieu d’utiliser une seule machine hôte cible, utilise un ensemble de machines hôtes qui ensemble lancent les requêtes en même temps... Vous imaginez aisément les dégâts. C’est ce qu’il s’est passé en 2017 avec l’attaque via un botnet nommé Mirai [5] sur un mandataire de services DNS dynDNS par exemple : certains sites internet très connus (et surtout très utiles pour certaines sociétés) étaient tout simplement injoignables. Mais ce n’est pas la seule victime du botnet Mirai...
- Sans oublier nos chers amis institutionnels et Fournisseurs d'Accès Internet qui, du fait de l'architecture même du DNS, peuvent tracer vos requêtes et retrouver votre IP, voire faire du profilage y compris dans certains cas où vous utilisez un VPN (cf. "DNS leakage")...
La sécurisation des requêtes DNS est aujourd'hui même en plein chantier ; en effet, les organes de standardisation et de contrôle d'internet mettent à jour les standards, mais cela prend du temps. Pendant ce temps, nos requêtes DNS sont la plupart du temps transmises sans protection (en clair). Et les serveurs DNS utilisés (souvent ceux de votre FAI ! Mais nous pouvons citer les plus utilisés comme ceux de Google ou de Cloudflare) n'ont aucunement l'intention de respecter votre vie privée.
Néanmoins, oui je vais un peu vous rassurer après ce tableau noir , il est aujourd'hui possible d'apporter un peu de vie privée à ces requêtes et de confort, car des mandataires tiers aux objectifs louables ont créé des serveurs DNS respectant (a priori !) notre vie privée, ajoutant des listes noires d'IP publicitaires, et implémentant des mécanismes de sécurisation des échanges même si encore en cours de standardisation (cf. DNS over TLS ou DoT, DNS over HTTPS ou DoH, DNSCrypt, DNS over SSH etc. pour les intéressés).
Ainsi afin de contourner au maximum les faiblesses citées ci-dessus, il est de plus en plus recommandé d'ajuster notre utilisation des DNS :
(1) soit pointer directement vers des serveurs de mandataires tiers qui tiennent compte de notre vie privée, parmi lesquels des solutions dans l'esprit du libre CoreDNS, SDNS, Quad9. Côté instance à but lucratif, Mullvad DNS est à mentionner.
(2) soit héberger chez nous un serveur DNS de résolution capable de résoudre une partie des DNS (l'autre partie étant toujours traitée par des serveurs tiers), comme par exemple une solution PiHole (+ Unbound)
Pour les amateurs de tests et de performances, DNSPerf vous permettra de regarder les performances des différents serveurs DNS existants (libres et non libres), à titre indicatif bien entendu.
Comme toujours en cyber-sécurité, ces 2 solutions ne sont pas parfaites, et sont donc à ajuster en fonction de notre modèle de menaces - élément que nous allons détailler à suivre.
¶ Malware, Virus, Trojan...
Il est intéressant de savoir faire la différence entre les types de menaces que nous pouvons rencontrer, ou qui sont à l’origine d’une compromission : un « malware » (malicous software) est un terme anglais qui désigne un logiciel malveillant. Ici, le terme logiciel se rapporte à tout programme informatique, document ou fichier qui est stocké sur un disque dur ou transmis via un réseau.
Voici une idée des principaux types de malwares existants à ce jour :
- Les virus : qui sont des bouts de codes informatiques attachés à des programmes informatiques eux-mêmes. Un virus est créé pour infecter un équipement et se propager à d’autres équipements (finalement un peu à la manière d’un réel virus qui se propage dans le corps humain d'une personne à une autre !). L’idée est d’effectuer toutes sortes d’opérations afin de corrompre la ou les machines cibles : altération, réécriture, suppression de données... Le résultat est un équipement instable et lent.
- Les chevaux de Troie (« Trojan » en anglais) : un programme informatique qui a l’air tout à fait normal, à ceci près qu’il cache une fonction malveillante dans ses entrailles. Par exemple, une personne télécharge un lecteur vidéo d’un site internet inconnu, pensant trouver un outil capable de lire un format de fichier, mais donnant au final un accès complet à un attaquant sur la machine cible ; c'est l'idée d'un cheval de Troie.
- Les "rootkits" : un joli ensemble de programmes malveillants - dissimulés et vus comme normaux par des anti-virus, qui permet de donner un accès libre à distance à un attaquant. Alors, comme cela, la différence entre un Trojan et un Rootkit n'est pas évidente... Mais quand un trojan est plus susceptible d'être détecté par un anti-virus classique, un rootkit sait se dissimuler plus encore, et est très complexe à entièrement supprimer de la machine infectée. Il mérite un outil de détection particulier.
- Les rançongiciels (« ransomware » en anglais) : là encore un joli logiciel malveillant qui vient chiffrer vos données personnelles. Cela rend donc vos données illisibles, sauf si vous détenez la clé (de déchiffrement). C’est là que l’attaquant entre en jeu et vous demande de payer une somme (une rançon donc) en échange de la clé de déchiffrement ou du mot de passe. La menace sera souvent de diffuser publiquement les informations si vous n’acceptez pas de payer cette rançon. Voilà pourquoi c'est assez problématique pour les entreprises par exemple.
- Les logiciels espions (plus connus sous le nom de « spywares ») : sont des logiciels capables de collecter et transmettre toutes informations utiles sur un utilisateur ou un système : mots de passe, activité internet ou réseau privé, appuis sur les touches clavier, etc. Représentés par 2 types : les « keyloggers » ou enregistreur de frappes qui journalisent toutes les touches tapées sur votre système et les « adware » qui vont sournoisement vous afficher des publicités afin de vous pousser à cliquer sur l'une d'entre elle et ainsi voler des données confidentielles que vous pourriez donner (carte bancaire, etc.).
- Les bots et botnets : vous avez tous déjà entendu parler des "bots", ou plus simplement appelés "robots internet". Un robot est un logiciel qui automatise des tâches sur internet. Par exemple : il existe des bots pour les gamers, des bots sur Telegram, des socials bots... Il en existe de toutes sortes, mais ceux qui nous intéressent ici sont les bots malveillants. Des bots malveillants sont bien sûr conçus pour automatiser des tâches d'intrusion et de compromission d'une ou plusieurs machines ; dans le dernier cas on parlera de "botnets", car les bots sont reliés en réseau. Plusieurs types :
¤ des bots qui aspirent des pages internet et les données associées afin d'en générer des copies frauduleuses
¤ des bots servant à des attaques DoS ou DDoS (Denial of Service ou Distributed DoS)
¤ des bots qui scrutent les sites internet à la recherche d'adresses courriel en clair ou d'adresse postales...
¤ des spambots (affichage de publicités intempestives (spams))
¤ etc. - Il existe bien sûr d’autres types de malwares comme par exemple les backdoors, les fileless malwares, les logiciels malveillants sur téléphone portable...
Vous voyez ici qu’il ne faut pas confondre virus et malware qui sont deux notions différentes bien que liées : en effet, les virus sont une forme de malware (logiciel malveillant).
Par extension, nous utilisons souvent le terme d’anti-virus, bien que réducteur, car les anti-virus aujourd’hui sont capables de détecter bien plus que les virus. Mais nous voyons apparaître depuis quelques années maintenant des logiciels de type « anti-malware » : ces logiciels bien que pouvant se rapprocher des anti-virus détectent plus de types de malwares, via des mécanismes différents (signature vs méthode heuristique ; dont ce n’est pas l’objet de l’article). Ils sont de toute manière tout à fait complémentaires.
Nous reparlons de ces outils plus loin dans l'article...
Note : Vous avez maintenant les clés pour vous la péter avec vos amis !
¶ Les métadonnées, qu'est-ce que c'est ?
Nous entendons beaucoup parler de "métadonnées" de nos jours... Mais à quoi se raccroche ce terme ?
Tentons de définir cela : une métadonnée est une information concernant une donnée (en gros une donnée sur une donnée !).
Cette information peut inclure des choses comme :
- l'émetteur et le destinataire d'un message,
- la date de transmission et/ou d'envoi effectif,
- l'adresse IP,
- la géolocalisation
- des identifiants de machine ou équipements
- des versions de logiciels ou système d'exploitation
- d'autres informations...
Tout le trafic internet génère ce type de données, et nous dirions même que sans cela, internet ne pourrait pas tout à fait fonctionner.
La plupart du temps, ces données ne peuvent pas faire l'objet d'une protection ou tout du moins une protection complète, car celles-ci sont parfois primordiales pour communiquer ! Il n'est pas si évident de fournir des applications permettant de sécuriser ou tout du moins obfusquer [6] ces informations ; prenons un exemple pour illustrer cela : nous avons défini au début qu'une adresse IP était tout comme votre adresse postale sur internet, continuons sur ce chemin...
Mettons ici que vous souhaitez transmettre un message à votre cousin. Par analogie, vous souhaiteriez donc transmettre une lettre à l'intérieur d'une enveloppe. Votre écrit serait donc sécurisé, mais sur cette enveloppe vous allez devoir inscrire l'adresse postale de votre cousin, pour que La Poste puisse savoir qui est le destinataire...
Je pense que vous voyez où nous voulons en venir : oui, cette adresse postale est en fait une métadonnée ! Difficile ici de sécuriser (chiffrer par exemple) cette adresse, car La Poste pourrait ne pas pouvoir lire cette destination et donc votre lettre pourrait ne pas arriver.
Voilà pourquoi certaines informations ne peuvent être protégées, en tout cas de façon simple ! Il existe bien entendu des techniques pour sécuriser et limiter les métadonnées non protégées, et certaines applications peuvent y arriver par design : par exemple la messagerie "Signal" ne fournit que très peu de métadonnées non protégées : les serveurs stockent de façon permanente uniquement les numéros de téléphone associés à un compte Signal, et la dernière connexion avec ce compte. Rien de plus...
Il est important de noter ici que bien entendu si ce numéro de téléphone vous est attribué, il sera possible de savoir si vous utilisez Signal, même si personne ne pourra avoir le contenu de vos messages bien entendu (hormis potentiellement des entités à fortes ressources financières et logistiques !).
Le sujet des métadonnées est un sujet extrêmement débattu dans la communauté, car même si certains s'intéressent à leur sécurisation, d'autres au contraire militent pour ne pas protéger ces informations voire en ajouter certaines... Certains dénoncent même cette course à la métadonnée :
"We kill people based on metadata..." - Traduction : "nous tuons des gens grâce aux métadonnées...", d'après le Général Michael Hayden, ancien directeur de la NSA entre 1999 et 2005 et directeur de la CIA de 2006 à 2009.
Oui vous avez bien lu, un ancien directeur d'une agence étatique a bien évoqué cela ! Voilà pourquoi l'enjeu de la collecte des métadonnées est critique et important pour notre vie privée, mais aussi notre sécurité.
La bonne nouvelle est que nous sommes aujourd'hui capable de limiter cette collecte...
¶ Définir son modèle de menaces
Tenter de protéger TOUTES ses informations personnelles, TOUT le temps, de TOUT le monde, peut s'avérer être une tâche ardue voire épuisante ! Pas de panique, la sécurité numérique est un long '''voyage '''qui doit s'adapter à votre profil et évoluer selon vos utilisations. La sécurité numérique n'est pas limitée aux seuls outils ou services que vous utilisez, elle commence par l'anticipation et la compréhension des menaces existantes et de la façon de s'en prémunir. Par définition :
Un modèle de menaces ("Threat Model") correspond à l'identification et la compréhension des menaces les plus probables qui peuvent vous impacter. Ainsi vous serez plus à même de mettre en place les contre-mesures adéquates.
J'en conviens, c'est une définition un peu "barbare", mais tentons d'y voir plus clair sur ce sujet intéressant. En sécurité numérique :
- une menace se définit par un événement possible et redouté qui saperait vos efforts dans la protection de vos données.
- les contre-mesures sont toutes les actions entreprises afin d'écarter ces menaces.
Nous pouvons donc en déduire que grâce à l'identification des menaces que vous rencontrerez potentiellement, il sera possible d'y appliquer des actions récurrentes ou ponctuelles (grâce à des outils ou manuellement) sur votre vie numérique.
Mais avant tout cela, tentons de comprendre la finalité...
¶ Sécurité, vie privée et anonymat
Trois termes extrêmement importants lorsque nous cherchons à comprendre comment nous sommes interconnectés et comment les choses se déroulent dans notre sphère numérique ; trois concepts différents, qui se rejoignent pourtant, et dont voici une définition :
- La vie privée, ou appelée chez nos amis anglo-saxon « Privacy », se rapporte à tout ce qui à trait au contrôle de nos informations personnelles.
- La sécurité, ou « Security », se réfère à la protection de ces informations personnelles, globalement pour se prémunir d'accès non autorisés.
- L’anonymat, ou « Anonymity », représente le fait de cacher l’auteur d’un échange et des informations.
(A ne pas confondre avec pseudonymat qui est l'utilisation d'une identité fictive).
Afin d’atteindre un certain degré de sécurité, de vie privée et d’anonymat, il est essentiel aujourd’hui de se pencher véritablement sur nos activités numériques. Voyons ces 3 aspects comme 3 cercles qui se chevauchent, les centres de ces 3 cercles représentant le degré maximal de protection :
Oui, alors on ne se moque pas : je ne suis pas webdesigner 
!
Assez schématiquement, nous pouvons nous apercevoir qu'il va être extrêmement difficile si ce n'est impossible de se placer à l'interjection des 3 axes de protection en espérant le 100% sur chaque pan de protection.
Pour illustrer :
- Une méthode pour protéger sa vie privée pourrait être une fonction anti-traceurs dans un navigateur (uBlock),
- Une méthode pour assurer un niveau de sécurité pourrait être un mot de passe,
- Et enfin l'utilisation de Tor pourrait être un outil afin d'obtenir un relatif anonymat.
Souvent, les personnes confondent Vie Privée et Sécurité ; la frontière est mince, mais ces notions renvoient tout de même à des aspects différents de la protection des données : la protection de notre vie privée concerne ce que nous sommes prêts à donner comme informations sur nous aux autres personnes, tandis que la sécurité concerne ce que nous allons entreprendre pour rendre inaccessible nos informations ; deux aspects différents, deux objectifs bien distincts...
De fait, multiplier les mécanismes pro-vie-privée, multiplier les équipements ou applications de sécurité (pare-feu, IDS/IPS, honeypot, anti-malware, proxy, host IDS, etc.) et autres procédés d’anonymat ne signifie pas automatiquement une plus grande protection des données, de vie privée et une amélioration de l'anonymat. Au contraire, parfois, complexifier votre approche en terme de cyber-sécurité est le meilleur moyen pour faire grossir la liste des potentielles failles de sécurité ou vulnérabilités. On appelle cela augmenter sa surface d'attaque : Plus vous avez d'équipements, de services ou de logiciels, plus le nombre de vulnérabilités augmente, donc plus la probabilité d'avoir une faille exploitable augmente également.
Plutôt que d'avoir l'objectif d'atteindre le triptique vie privée intégrale + sécurité intégrale + anonymat intégral, l'idée est d'établir des compromis entre sécurité, vie privée, anonymat et facilité d'utilisation.
Souvent vous souhaitez utiliser l'outil le plus sécurisé et à la mode, néanmoins vous n'êtes pas prêt à accepter le côté austère et compliqué de l'outil, ni les conditions d'utilisation drastiques ! En d'autres termes, si votre objectif est d'utiliser les outils les plus sécurisés du moment, vous devrez sacrifier énormément sur le côté simplicité et facilité d'utilisation au quotidien. Et quand bien même, rien ne sera totalement sécurisé...
Voilà pourquoi établir son modèle de menaces peut nous aider à identifier les outils et les procédés les plus adéquats pour notre profil de sécurité.
Vous allez donc devoir porter votre attention sur les menaces les plus probables que vous pourriez rencontrer dans votre vie numérique de tous les jours et celles qui vous semblent les plus importantes à vos yeux (attention ici à ne pas non plus entrer dans une paranoïa excessive !).
¶ Établir son modèle de menaces
Établir son modèle de menaces n’est pas aisé, mais nous allons tenter de simplifier ensemble cette procédure afin de vous y aider...
¶ Contre qui ?
La première question à se poser sera : contre qui je souhaite me protéger ?
Évidemment ici, il est assez compliqué pour celui qui ne se tient pas informé du monde numérique de connaître et encore moins de comprendre les potentiels adversaires auxquels nous pourrions faire face. A tout le moins, nous pouvons nous dire qu'il existe des hackers malveillants qui peuvent en avoir après nos données, mais pour la suite, cela reste flou...
Voici pourquoi nous vous avons fait une liste des adversaires auxquels nous pourrions faire face dans la vie de tous les jours :
- Votre patron ou vos collègues
- Votre ex ( ) ou votre famille
- Des entreprises (type petite ou moyenne entreprise, moyens limités)
- Des multinationales (type GAFAM, BATX, à fort pouvoir de collusion)
- Des gouvernements (par le biais d'agences gouvernementales)
- Des cybercriminels (que ce soient des script-kiddies, hackers malveillants seuls ou en groupe)
¶ Quelles données ?
Ensuite vient la question des éléments, que nous qualifions à suivre d' "items", que vous allez devoir protéger des yeux curieux et/ou malveillants. Faites une liste exhaustive des données qui, perdues ou volées, constitueraient un problème.
Voici une liste d'éléments :
- vos courriels
- votre liste de contact
- vos messageries instantanées
- votre position géographique
- vos fichiers (ou certains d'entre eux)
- votre réseau local (wifi, routeurs, NAS, etc.)
- vos métadonnées
- vos stockages de données en ligne ("clouds")
- votre ordinateur (ou vos partitions...)
- vos photos/vidéos
¶ Analyse des risques
Un "risque" se définit comme la probabilité qu'une menace spécifique ait un impact sur l'un de vos items.
Ouch, c'est un peu barbare je vous l'accorde ! Voici la traduction par un exemple : votre opérateur téléphonique a la capacité d'accéder à des données vous concernant, mais cela dit le risque qu'ils viennent les dévoiler publiquement sur un réseau social afin de détruire votre réputation en ligne est plutôt faible, vous en conviendrez.
Vous l'aurez sûrement compris, après avoir répondu aux deux premières questions, il est important de distinguer entre
- ce qui pourrait arriver
- et la probabilité que cela arrive réellement
Exemple : il existe la menace que votre immeuble puisse s'effondrer, mais le risque que cela arrive est plus important au Japon, car plus sujets aux tremblements de terre qu'en France !
Évaluer le risque est également quelque chose de personnel et subjectif ; certains vont trouver des menaces inacceptables peu importe la probabilité d’occurrence, d'autres vont choisir d'ignorer les risques de type faible, car ils estimeront que la menace n'est pas un problème pour eux. L'idée est donc de lister quelles sont pour vous les menaces les plus importantes, celles que vous allez prendre en compte sérieusement, et celles au contraire trop rares ou trop compliquées à combattre pour s'inquiéter.
C'est ici la question la plus complexe, elle doit coller au maximum à votre profil (vos menaces, vos usages...).
Un très bon guide est déjà en ligne, sur guide.boum.fr/choisir les réponses adaptées. Inutile de paraphraser donc ce guide qui est très complet du point de vue d'un utilisateur lambda.
Ce guide doit être lu avec recul sans forcément parler d'outils pour le moment. L'idée est ici de comprendre la logique globale de la réflexion à avoir afin d'établir une stratégie : évaluer les menaces sera donc une analyse concernant les données à protéger, ainsi que sur le type d'acteurs qui pourraient concrètement en avoir après nos données. A partir de là, nous pouvons établir les moyens potentiels de nos adversaires, et donc créer notre propre stratégie de protection.
Les sections suivantes pourront justement vous donner un aperçu des possibilités et outils afin de mettre en place cette stratégie...
¶ Devenez difficile à compromettre
Rendez-vous ici.
¶ Devenez difficile à tracer
Rendez-vous ici.
¶ Pour aller plus loin...
Cette partie est dédiée à toute personne souhaitant aller plus loin dans la sécurisation de ses données, de ses communications, et son anonymat. Elle représente un aperçu des possibilités associées aux « bonnes pratiques ».
Nous faisons ici état d’outils qui sont actuellement parfois en phase de recherche ou de tests. Il convient en priorité d’être à l’aise avec l’outil informatique en général, sur les aspects réseau, intrusion, vulnérabilités. Encore une fois, utiliser des outils que l’on ne maîtrise pas engendre une augmentation de sa surface d'attaque et donc potentiellement une diminution dans son niveau de sécurité ! Lisez les documentations...
¶ Chiffrer ses données
Suivant son modèle de menaces et parce que nous souhaitons éviter que des informations sensibles ou personnelles stockées (photos, photocopie de carte d'identité, etc.) puissent être divulguées, il est possible d'appliquer un chiffrement sur des fichiers, des répertoires et même sur des partitions/disques entiers.
Le chiffrement du disque est par exemple particulièrement recommandé pour les personnes ayant un modèle de sécurité moyen à élevé (comme les journalistes d'investigation, ou les avocats, les activistes, etc.). Cela dit, ceci s'accompagne d'inconvénients à gérer au quotidien.
Voici un état des lieux :
- Avantages :
- Protection renforcée de son disque. Ce qui implique qu'un vol d'ordinateur ou de disque ralentisse considérablement voire bloque l'attaquant qui souhaite atteindre vos données.
- Inconvénients :
- Un nouveau mot de passe fort à créer et à retenir, et à entrer à chaque démarrage de la machine. Ce qui pousse certains à baisser leur vigilance car trop fastidieux, voire à créer des mots de passe faibles qui augmente le risque de casse du mot de passe.
- Procédures récurrentes de sauvegardes de ses données à mettre en place. En effet, en cas de panne, il est extrêmement compliqué de récupérer ses données sur des partitions chiffrées. Il est donc essentiel d'avoir une politique de sauvegarde de ses données afin de palier ce problème.
Généralement, il est recommandé spécifiquement aux personnes qui se déplacent beaucoup avec un ordinateur portable sensible de chiffrer son disque (ou ses disques), en prenant bien compte les inconvénients à l'usage.
Nous vous renvoyons ici à l'article dédié à ce sujet : Le chiffrement.
¶ Stockage de données et "clouds" sécurisés
La difficulté aujourd'hui dans le fait de stocker toutes sortes de fichiers ou programmes, que ce soient nos photos de mariage ou d'anniversaire, nos documents de compte, etc. réside dans les capacités dudit stockage. Il s'agit d'une problématique très sérieuse, et qui peut s'avérer extrêmement coûteuse (notamment pour les entreprises). A titre personnel, vous estimez que dépenser des centaines d'euros dans un disque dur de 8 To (Téraoctet, qui correspond à 1 024 Gigaoctets) voire dans une solution NAS ("Network Attached System"), difficile à configurer n'est pas à l'ordre du jour. Vous souhaitez donc peut-être faire appel à un tiers afin de pouvoir stocker vos fichiers personnels, en toute sécurité.
Pour être honnête avec vous, nous ne recommandons sérieusement pas cette solution. En effet, faire appel à un tiers pour ce service revient à peu de choses près aux problématiques des VPNs actuels : assez peu en qui donner une confiance relative, après avoir fait sa petite étude sérieuse du sujet.
Dans la plupart des cas, on se retrouve avec une entreprise, qu'on ne ne connaît pas entièrement, dont on ignore les méthodes, et sur lesquelles on n'a pas le contrôle en pratique : centralisation des données, gestion des serveurs de stockage... On n'en sait rien, on n'est pas en situation de contrôle !
Les 2 solutions pertinentes, et viables en terme de vie privée sont :
- L'utilisation de plusieurs disques durs externes de bonne capacité : aujourd'hui le coût de ces disques a fortement chuté, et il est tout à fait possible de se procurer des disques à des prix intéressants. Voir large, penser long terme : une capacité d'un minimum de 2 To est à envisager, avoir 2 disques est le minimum. Maintenant, nous sommes d'accord, cela implique que vous y pensiez de façon récurrente (tous les mois par exemple), et que vous vous souveniez des manipulations à faire ; oui on sait c'est embêtant, qui plus est vous êtes tributaire d'une possible panne d'un de vos disques (d'où l'idée d'en avoir plusieurs pour éviter des pertes de données) !
- Il existe une autre manière, qui requiert là encore de mettre "les mains dans le cambouis" et à un certain coût : les NAS. Ces petites et plus grosses bêtes, connectées sur notre réseau privé (en local donc), permettent de stocker d'importantes quantités de données et d'assurer une haute disponibilité dans le cas où les disques tombent en panne (nous vous renvoyons au principe des disques montés en RAID par exemple). Cela dit, là encore vous devrez configurer correctement cet équipement en termes de sécurité et de durcissement, afin qu'on ne s'y introduise pas. D'un autre côté, il est tout à fait possible d'automatiser les sauvegardes !
C'est à vous de décider quelle peut être la façon de faire, suivant vos besoins et votre modèle de menaces.
Si toutefois vous décidiez de faire confiance à certains tiers, il existe des bonnes pratiques à respecter scrupuleusement :
- Adieu les Google Drive, Microsoft OneDrive, Apple iCloud et autres "drives" ou "clouds" comme Dropbox. Ou en lien avec les GAFAM et BATX (Xiaomi etc.), dont on ne sait rien puisque propriétaire, et surtout ayant fait l'objet ces dernières années d'attaques et de vols de données. Sans parler des solutions faisant l'objet d'une surveillance massive...
- Chiffrer avec un logiciel libre comme Cryptomator systématiquement ses documents ou répertoires avant de les transférer sur un cloud public, qui ne propose pas de protection particulière mais pourrait être de confiance. Le contenu de nos données est ainsi protégé, qui plus est nous serons seul propriétaire de nos clés de sécurité et ne serons pas tributaire d'une entité tierce. Pour des entités de confiance, nous recommandons :
-
Pour des documents et de la collaboration en ligne : Cryptpad
-
Pour de petits documents, photos... (max 100Mo gratuit) : Crypt.ee
-
Pour une solution tout-en-un :
- Nextcloud
- Ksuite de Infomaniak : copié-collé des solutions propriétaires existantes, avec des petits plus (à l'heure où cet article est écrit, en offre gratuite de base [légende : cette solution est rendue possible de par leur offre payante auprès des entreprises en parallèle : un modèle économique solide évite les dérives en termes de monétisation des données] : 15 go de stockage, mail, vidéo-conférence (basée sur Jisti Meet), messagerie instantanée (prochainement))... Le tout hébergé en Suisse, et fourni avec des applications sous licence libre, et de bonnes pratiques en termes de vie privée. Le bémol : à la différence de Nextcloud, nécessite de lier un numéro de téléphone pour des raisons avancées de sécurité (double authentification), plutôt que d'utiliser la technologie OTP (à chacun d'anticiper l'évolution éventuelle de leur politique de gestion des données).
-
Pour un stockage de sauvegardes et autres fichiers lourds : Filen.io
-
- Une autre solution, qui comporte, cela dit, un certain coût financier ou en temps, ainsi que de solides connaissances, serait de soi-même héberger une solution Nextcloud :
- Si malgré tout, vous persistez à vouloir utiliser vos clouds Google, Microsoft, etc... et à ne pas vouloir générer et gérer vos clés de sécurité, une dernière alternative est possible, bien que moins pertinente : utiliser Cryptomator afin de protéger vos données stockées sur ces clouds.
Évidemment, vous l'aurez bien compris, nous vous recommandons les solutions autres que celles propriétaires, ne serait ce qu'en termes de sécurité offerte par les communs libres (un code source ouvert permet des correctifs plus rapides), d'éthique et de modèle de société : rester sur un statu quo ne change pas le paradigme actuel d'une société fondée sur le capitalisme de surveillance. Quoi qu'il en soit, le choix final vous revient, notre rôle est avant tout pédagogique et non coercitif.
¶ DVPN - Decentralized VPN
Pour ceux qui souhaitent utiliser pleinement les capacités du web 3.0 (je ne rentrerai pas dans les détails du web3 dans cet article), l’utilisation d’un « decentralized VPN » (VPN décentralisé ou dVPN) peut être envisagé. En somme, il s’agit d’utiliser la blockchain afin de fournir un service VPN, dans lequel vous êtes partie prenante ; en effet, l'accès aux réseaux décentralisés de ces outils nécessitera une contrepartie :
- soit moyennant des micro-paiements en cryptomonnaie,
- soit en hébergeant des serveurs.
Néanmoins, ce mécanisme en est encore à ses balbutiements et nous n’avons pas assez de recul. Qui plus est, vous devrez comprendre le fonctionnement des cryptomonnaies et les risques inhérents.
Si vous êtes tout de même intéressé(e), voici quelques réseaux dont les communautés sont actives :
- Sentinel : réseau de DVPN et son client Velocity VPN. Basé sur le token COSMOS.
- Mixnet : Nym en est son application. Basé sur le token NYM.
- Mysterium : et son client Mysterium VPN, le plus connu. Basé sur le token MYST, même si ils acceptent d'autres tokens comme BTC, ETH, LTC.
- Deeper DPN : Solutions hardware proposées à la vente pour la participation au réseau (attention plutôt onéreuses !) et afin d'accéder à leur réseau. Basé sur le token DPR.
- Orchid : réseau de routage en oignon, et client VPN multi bonds. Basé sur le token OXT.
¶ I2P - L'autre Tor
Afin de bien comprendre en quoi I2P peut nous être utile, intéressons-nous tout d'abord aux applications d'internet et donc principalement aux WEBs.
Oui vous avez bien lu, j'ai ajouté un "s" à Web (nous vous renvoyons ici au glossaire pour la terminologie).
Pour rappel la différence entre internet et le Web :
- Comme nous l'avons déjà défini, internet est un réseau (de réseaux)
- Le Web quant à lui est l'outil d'inter-connexion des sites internet
Concernant le Web, il en existe donc plusieurs :
- Web visible (aussi appelé Web surfacique) : correspond à tout ce qui est indexé par les moteurs de recherche, et donc recherchable et accessible sur n'importe quel moteur de recherche. Par exemple : wikipedia.com ou encore orange.fr etc.
- Web invisible : représente toute la part des sites et pages internet qui ne sera jamais indexée par les moteurs de recherche et donc inaccessible publiquement.
Voici comment nous représentons généralement le Web :
Vous vous apercevez ici que le "Web visible" que vous connaissez bien ne représente qu'une petite partie du réseau mondial, c'est-à-dire entre 4 et 5% : "c'est le côté visible de l'iceberg" !
Nous y venons donc, le "Web invisible" est quant à lui également découpé en plusieurs parties. Il est communément admis de représenter ces parties ainsi :
- Le Web profond (Deep Web en anglais) : est une partie du Web invisible, pour ne pas dire une très grande partie (90%) qui gère tous les contenus non indexables de tous les sites internet : il peut s'agir par exemple de votre page d'accès à votre mandataire de courriel comme Gmail ou ProtonMail (imaginez que l'on puisse tous accéder à cette page et voir vos courriels !), ou bien des pages spécifiques liées à votre banque en ligne. Ou bien des contenus éducatifs d'universités qu'il ne faut pas rendre public forcément... Toutes ces pages ou sites ne seront jamais indexés et donc non recherchables et non accessibles. Ce qui se comprend...
- Les dark Webs (pas forcément de traduction française !) : ils contiennent toute la part cachée d'internet (environ 5-6%), également bien entendu non indexée par des moteurs de recherche habituels ; il y a du bon et du moins bon.
Le bon côté de ces dark Webs est le fait que certaines personnes puissent avoir la capacité de contourner les censures mises en place dans des pays autoritaires et donner un peu de liberté, et surtout d'anonymat.
De l'autre côté, le plus sombre, certaines zones des dark Webs sont en effet liées à la cyber-criminalité, où l'on peut retrouver des sites marchands illégaux et d'autres choses peu reluisantes."Tirer sur l'ambulance", en ne mettant en avant que l'aspect sombre du darkweb serait néanmoins contre-productif : ce serait omettre le rôle essentiel que les outils qui y sont liés (les "darknets", détaillés plus bas) jouent dans la société, étant donné que de nombreux journalistes et lanceurs d'alerte utilisent par exemple Tor. Notamment via l'outil Tails (voir : Devenez difficile à tracer/Parlons Technique/Anonymat avancé plus haut), ou via les messageries chiffrées.
Mettre un terme à ce genre de réseau signifierait un nouveau coup contre la liberté d'expression (ce serait par ailleurs difficile à réaliser, de par son aspect décentralisé). La décentralisation est l'amie des libertés publiques; il faut donc savoir raison garder et ne pas réagir sur le coup de l'émotion. Par ailleurs, on n'est pas en mesure de savoir quelle part des "dark-markets" est réelle, et quelle part propose des services qui sont des arnaques plutôt que de véritables services criminels...
Faire des dons, ou militer pour l'usage de Tor - ou tout autre darknet - reste un enjeu démocratique.
Note : la terminologie dark Web peut varier de temps en temps, et il est parfois admis qu'il existe encore plus profond que le Dark Web !
Mais quelle est la raison de tout ce blabla ?
Car afin d'accéder à ces dark Webs, il faut obligatoirement utiliser des services spécifiques, via des domaines de premiers niveaux spécifiques (allez relire la partie sur les DNS !) - non accessibles sur l'internet "classique" (la résolution DNS ne fonctionnera pas ici) - sur des réseaux spécifiques (vous vous souvenez, internet, réseau de réseaux...) appelés DARKNETs. Voici donc les services et réseaux les plus connus :
- Tor : Eh oui, le plus connu de ces réseaux bien entendu, afin de surfer anonymement sur le web classique. Mais également accéder au darknet confidentiel Tor, avec des URL qui terminent en .onion (ce que l'on appelle des Top Level Domain - TLD)
- I2P : tiens donc, le voilà ! Tout comme Tor, il permet de naviguer sur le web classique de façon anonyme. Mais il fournit également des services plus confidentiels de forum, courriel, etc sur le darknet I2P avec ses TLD en .i2p
Bien entendu, ces deux darknets ont chacun leurs avantages et leurs inconvénients.
D'autres darknets existent bien sûr. Ils ne sont pas forcément utilisés pour rendre la navigation anonyme sur l'internet classique, mais plus pour avoir accès à leur réseau, en dehors de l'espace surfacique du net. Parmi les plus connus, citons :
- Freenet, l'un des plus robustes et plus recommandés des darknets.
- Lokinet, maintenant devenu Oxen (sur lequel la messagerie décentralisée Session se base !)
- GNUnet
- AnonNet
- Riffle
Et bien d'autres...
¶ The end... ?
Nous arrivons enfin à la fin de cet article, très dense...
En espérant que vous n'avez pas trop mal à la tête !
¶ Ce qu'il faut retenir
La complexité des mécanismes en jeu dans la protection de ses données poussent la plupart des personnes à abandonner leur protection ou à donner mandat à un/des tiers afin d’assurer cette protection.
Ceci doit être aujourd'hui reconsidéré...
S'il ne devait y rester qu'un leitmotiv à se remémorer tous les matins en se brossant les dents :
- Chiffrement de bout en bout (E2EE) partout
- Aucune confiance à aucun service extérieur
- Pseudonymat au maximum
- Contrôle perpétuel de ses données
- Mise à jour régulière de votre modèle de menaces
En tout cas, bravo ! Nous avons passé le plus dur, en faisant un tour d'horizon qui se veut le plus exhaustif, tout en étant le plus vulgarisé possible.
Nous sommes conscients que cette débauche d'informations nouvelles ne peut pas être retenue et assimilée en une seule fois. C'est pourquoi nous allons à présent passer du pourquoi au comment. Vous allez le voir, en faisant les choses, on passe rapidement d'un aspect théorique qui peut paraître complexe, à des nouvelles habitudes qui deviennent des automatismes, ancrées dans notre quotidien.
Maintenant que nous avons vu le théorique, nous allons passer au pratique. La suite de ce wiki a vocation à être le plus complet possible. Aussi nous aurons pré-sélectionné les solutions logicielles réputées accessibles à tous niveaux - ou catégorisées par niveau - et éprouvées. Pour autant, n'hésitez surtout pas à devenir acteur ou actrice de votre libération numérique : sentez-vous libre d'explorer d'autres solutions, en vérifiant à chaque fois philosophie (logiciel sous licence libre ou non), politique de vie privée [légende : certains outils aident à comprendre la politique de vie privée des organismes, en fournissant un résumé des conditions d'utilisation] et réputation de son éditeur logiciel.
Il est essentiel aujourd'hui de reprendre la main sur son espace numérique et sur la manière dont nous utilisons les outils numériques mis à notre disposition.
A ce titre, il est important de garder en tête qu'aucun mécanisme ni aucune technologie ne nous assurera une sécurité optimale de l'information, tout en assurant une vie privée et un anonymat à 100%. On parlera plutôt de vie privée et d'anonymat relatifs, et ces aspects dépendent aussi avant tout de nous-mêmes et de l'hygiène numérique que nous adoptons.
Également, tous les outils proposés ici sont à l'instant T ceux que nous jugeons comme fiables et que nous recommandons pour leur modèle. Nous ne connaissons pas le futur et rien n'indique que ce modèle n'évolue pas, positivement comme négativement.
Pour conclure, nous avons en début d'article mentionné que la protection de notre sphère numérique était un voyage et non une destination ; si tout ce que vous avez fait jusqu'alors ne correspond pas aux précédentes sections, ne vous blâmez pas !
L'important est d'y aller par étapes successives, et de choisir les outils et mécanismes qui correspondent le plus à vos besoins. Vous ferrez des erreurs, tant mieux, mais vous apprendrez surtout à maîtriser votre espace numérique, tout comme maîtriser sa voiture ou son vélo est essentiel afin d'utiliser le réseau routier (et ne s'apprend pas du jour au lendemain) !
Enfin, nous terminerons par la fameuse maxime à ne jamais oublier :
"Si c'est gratuit (en tout cas pour les logiciels propriétaires), il y a de fortes chances que vous soyez le produit !" (Citation bien connue)
Par Ayo
Botnet mirai : origine et attaques DDOS. ↩︎