Bienvenue dans le quatrième épisode de notre mini-série sur l'hygiène numérique au quotidien. Dans les articles précédents, nous avons posé les bases de l'hygiène numérique, l'importance de rendre robuste la manière de s'authentifier sur vos comptes (mots de passe et 2FA) et appris comment éviter les menaces. Penchons nous maintenant sur un sujet essentiel : votre vie privée en ligne. Chaque fois que vous utilisez une application, chaque fois que vous naviguez sur internet, vous laissez des traces - comme des empreintes dans le sable - qui peuvent bien entendu être suivies, collectées voire exploitées. Ces traces s'appellent cookies, pisteurs (trackers) et métadonnées.

Mais, de quoi tu parles Ayo ? Je mange des cookies en effet, mais que viennent-ils faire dans mon ordinateur ?

Pas de panique, nous allons vous expliquer étape par étape, avec des solutions accessibles.

Les cookies : ces petits espions

Nous aimons les analogies chez wikilibriste, alors nous ne dérogerons pas à la règle, pour faciliter la compréhension : imaginez donc rentrer dans un café où le serveur se souvient de vos habitudes "Bonjour X, un cappuccino, comme d'habitude ?"

Sur internet, cela fonctionne de la même manière, au travers de ces fameux cookies. Ce sont des petits fichiers que les sites stockent sur votre machine pour mémoriser des informations sur vous (exemple pour Windows ici). Ils peuvent contenir par exemple un panier d'achat, des préférences de langue ou des préférences utilisateurs, des identifiants pour faciliter la reconnexion automatique, des informations liées à la lecture d'un courriel ou encore l'installation d'une application mobile sur votre téléphone ou votre console de jeu vidéo...

A quoi servent ces 🍪 ?

Les cookies rendent votre navigation internet plus fluide et pratique. Mais même si une grande partie des cookies sont nécessaires au bon fonctionnement des applications ou sites internet, ces petits fichiers ont un côté bien moins sympathique : ils peuvent faciliter votre pistage. Ils ont par exemple les capacités d'enregistrer les sites que vous visitez, les publicités que vous regardez ou les produits qui vous intéressent ! Utilisés par des entreprises de marketing peu scrupuleuses, ces informations sont vendues par la suite à d’autres entreprises de type publicitaire, qui vous ciblent ensuite avec des annonces ultra personnalisées.

Vous avez cherché des béquilles pour votre cousine qui s'est cassé le pied ? Hop, des pubs de béquilles partout !

Aller plus loin...

Ces données, accumulées d’année en année, peuvent constituer une mine d’informations sur votre personne et par conséquent des pans entiers de votre vie ; ceci parfois sans votre consentement, ou non porté à votre connaissance.

Il n’est donc pas impossible non plus que ces données tombent entre de mauvaises mains, comme nous l’entendons régulièrement, chez LinkedIn par exemple ou encore Microsoft.

Enfin, si nous allons encore plus loin, il n'est pas impossible non plus que des agences de renseignement fassent du profilage grâce à ces données, surtout depuis les lois qui donnent pleins mandats à ces agences, et votées depuis quelques années sur fond de terrorisme.

Toutes ces pratiques forment ce que certains appellent le Capitalisme de surveillance que Shoshana Zuboff décrit dans son ouvrage.

Comment les dompter ?

  • Soyez sélectif : une habitude ultra simple à prendre dès maintenant : quand un site vous demande d'accepter les cookies (vous savez, les bandeaux en bas de page à la visite du site web), prenez 2 secondes pour vérifier les options. Vous pouvez également REFUSER systématiquement ceux qui ne sont pas indispensables.
    Voire cliquer sur TOUT REFUSER.
  • Faites le ménage : si vous vous sentez à l'aise avec votre navigateur, vous pouvez également jeter un oeil à la liste des cookies stockés sur votre machine, et les supprimer le cas échéant.
  • Naviguez incognito : vous pouvez éventuellement utiliser la navigation privée de vos navigateurs, même si nous savons qu'elle ne bloque qu'une petite partie des cookies. Cela peut être une solution minimale pour certaines recherches.

Les pisteurs : ces détectives numériques

Les pisteurs (ou trackers, terme anglais mais communément utilisé y compris en français) sont des outils très discrets et bien plus sournois que les cookies. Leur objectif ? Observer votre comportement en ligne afin de créer un profil détaillé de votre personne. Il existe plusieurs types de pistages :

  • Le Fingerprinting : terme que vous avez sûrement dû lire au moins une fois. C'est une méthode qui va permettre d'identifier votre appareil grâce à des détails spécifiques (type de navigateur, résolution d'écran, langue utilisée, etc.) qui marqueront une unicité de la machine. Et ceci même si vous supprimez les cookies !
  • Les Pixels espions : moins connus, mais tout aussi sournois. Ce sont de petites images invisibles ajoutées dans des pages web ou des courriels. Ces items signalent quand vous consultez les pages ou vous ouvrez les courriels.

Pourquoi s'en préoccuper ?

Il est important de prendre conscience de l'existence de ces méthodes. Celles-ci créent un profil complet de vos activités, suivant vos informations et vos habitudes. Ces informations sont souvent revendues à des agences publicitaires ou marketing ou à des courtiers en données, qui les utilisent pour vous cibler ou pire, pour des manipulations plus sournoises.

Il n'est pas non plus impossible que des acteurs malveillants ou étatiques utilisent ces méthodes à des fins de pistage de masse.

Comment s'en protéger ?

  • L'utilisation d'extensions anti-pistage sur les navigateurs : des outils comme uBlock Origin ou Privacy Badger permettent de bloquer les trackers avant qu'ils ne s'activent et permettent le suivi.
  • L'utilisation d'un navigateur internet éthique : des navigateurs comme Mullvad Browser ou Brave intègrent nativement des protections efficaces contre le suivi.
  • Désactivez la publicité ciblée : vérifiez vos paramètres de confidentialité, dans toutes les applications ou vos systèmes d'exploitation, que ce soit sur téléphone ou sur ordinateur
💡
Certaines études révèlent que certaines applications de "santé" partagent vos données avec des pisteurs, ce qui expose ces informations sensibles sans votre consentement !
Attention donc avec toutes ces applications.

Les métadonnées : ces empreintes cachées

Nous entendons beaucoup parler de "métadonnées" de nos jours... Mais à quoi se raccroche ce terme ?

Tentons de définir cela : les métadonnées sont des informations qui accompagnent vos données principales. En somme, une donnée sur une donnée ! Par exemple :

  • Une photo peut contenir des métadonnées comme la date, l'heure voire le lieu où elle a été prise.
  • Un courriel inclut l'expéditeur, le destinataire et l'heure d'envoi, ainsi que plusieurs autres métadonnées.
  • Un appel téléphonique contient le numéro d'appel, la date et la durée.
  • etc.

Aller plus loin...

Ces données peuvent donc inclure des informations comme :

  • l'émetteur et le destinataire d'un message,
  • la date de transmission et/ou d'envoi effectif,
  • l'adresse IP,
  • la géolocalisation
  • des identifiants de machine ou équipements
  • des versions de logiciels ou système d'exploitation
  • d'autres informations...

Tout le trafic internet génère ce type de données, et nous dirions même que sans cela, internet ne pourrait pas tout à fait fonctionner.

La plupart du temps, ces données ne peuvent pas faire l'objet d'une protection ou tout du moins une protection complète, car elles sont parfois primordiales pour communiquer. Il n'est pas si évident de fournir des applications permettant de sécuriser ou tout du moins obfusquer ces informations ; prenons un exemple pour illustrer cela : une adresse IP est tout comme votre adresse postale, mais sur internet. Mettons ici que vous souhaitez transmettre un message à votre cousin. Par analogie, vous souhaiteriez donc transmettre une lettre à l'intérieur d'une enveloppe. Votre écrit serait donc sécurisé, mais sur cette enveloppe vous allez devoir inscrire l'adresse postale de votre cousin, pour que La Poste puisse savoir qui est le destinataire...

Vous voyez où nous voulons en venir : oui, cette adresse postale est en fait une métadonnée ! Difficile ici de sécuriser (chiffrer par exemple) cette adresse, car La Poste pourrait ne pas pouvoir lire cette destination et donc votre lettre pourrait ne pas arriver.

Voilà pourquoi certaines informations ne peuvent être protégées, en tout cas de façon simple ! Il existe bien entendu des techniques pour sécuriser et limiter les métadonnées non protégées, et certaines applications peuvent y arriver par design : par exemple la messagerie "Signal" ne fournit que très peu de métadonnées non protégées : les serveurs stockent de façon permanente uniquement les numéros de téléphone associés à un compte Signal, et la dernière connexion avec ce compte. Rien de plus... Il est important de noter ici que bien entendu si ce numéro de téléphone vous est attribué, il sera possible de savoir si vous utilisez Signal, même si personne ne pourra avoir le contenu de vos messages bien entendu (hormis potentiellement des entités à fortes ressources financières et logistiques).

Pourquoi c'est important ?

Seules, ces informations peuvent paraître anodines. Mais en les combinant, elles peuvent donner beaucoup d'informations utiles sur vous : déplacements, achats, relations, habitudes... Souvent collectées par les fournisseurs de services (FAI par exemple), les réseaux sociaux, et peuvent être exploitées et même piratées (car ces informations sont très utiles aux attaquants).

Aller plus loin...

Hacking, piratage, ne pas confondre !

Une bonne fois pour toute, remettons l'église au milieu du village 😄

Le piratage fait référence à toute activité visant à compromettre un ordinateur, téléphone, une machine en usine, un serveur, un réseau informatique entier, voire une personne (cas de l'ingénierie sociale). Au contraire de ce que la plupart des gens pensent, le piratage n’est pas systématiquement malveillant, mais une partie est en effet effectuée par des cybercriminels et a pour conséquence de compromettre la vie privée de la (ou des) cible(s).

Le « hacking » se rapporte à toute activité permettant de détourner un objet de sa fonction première. Un hacker s’intéresse avant tout au détournement, à la bidouille, au jeu, aux défis intellectuels...

Eh oui, vous voyez, un hacker n’est pas forcément un pirate informatique ! Vous trouverez par exemple beaucoup de personnes détournant des objets de la vie quotidienne pour une autre utilité : ces personnes sont aussi des hackers et on les appelle des « life-hackers ». Cette confusion vient en partie des journalistes et autres pseudo-experts qui ont utilisé ce terme afin de désigner les cybercriminels uniquement, en omettant toute la partie bienveillante ou positive. Ce terme est resté ancré dans l’inconscient collectif, en des termes négatifs. Attention donc à la confusion avec la terminologie :

  • Un cybercriminel est un pirate informatique malveillant.
  • Un pirate informatique peut être bienveillant (un "pentester" par exemple - penetration testing = tests d'intrusion : auditer la sécurité informatique).
  • Un hacker peut être un pirate informatique (cf. terminologie White Hat / Grey Hat / Black Hat du glossaire).
    Il peut néanmoins être un "bidouilleur", qui installe un système alternatif à la place de celui d'un robot cuiseur, une calculatrice ou une imprimante, pour relever le défi d'y jouer à des jeux vidéos

Le sujet des métadonnées est un sujet extrêmement débattu dans la communauté, car même si certains s'intéressent à leur sécurisation, d'autres au contraire militent pour ne pas protéger ces informations voire en ajouter certaines... Certains dénoncent même cette course à la métadonnée :

"We kill people based on metadata..." - Traduction : "nous tuons des gens grâce aux métadonnées...", d'après le Général Michael Hayden, ancien directeur de la NSA entre 1999 et 2005 et directeur de la CIA de 2006 à 2009.

Oui vous avez bien lu, un ancien directeur d'une agence étatique a bien évoqué cela ! Voilà pourquoi l'enjeu de la collecte des métadonnées est critique et important pour notre vie privée, mais aussi notre sécurité.

La bonne nouvelle est que nous sommes aujourd'hui capable de limiter cette collecte...

Comment les minimiser ?

  • Désactivez la géolocalisation : un reflexe très simple, sur votre téléphone, dans les paramètres de votre application photo, désactivez tous les paramètres de géolocalisation pour éviter de révéler les positions.
  • Restez discret en ligne : eh oui, c'est simple comme assertion, mais pas toujours évident de parler discrétion sur internet. De manière générale, évitez de donner trop d’informations personnelles sur des sites internet qui n’en ont pas réellement besoin (âge, date de naissance, adresse postale, lieu de naissance, numéro de sécurité sociale, etc.).
    • Twitter par exemple n’a pas besoin de votre adresse postale, pourquoi la donnez-vous ?
    • Google non plus.
    • Facebook n’a pas besoin de savoir non plus de quelle ville vous venez actuellement.
    • Votre « Forum des choses pratiques » n’a pas non plus besoin de savoir quel âge vous avez...

Cela est valable pour tous les sites, et encore plus pour les réseaux sociaux, car aucun de ces sites n’est et ne sera à l’abri d’une fuite de données (même s’ils prétendent le contraire). Protéger votre identité et votre vie privée est crucial.

Aller plus loin...

Adresse postale

Il est préconisé également de ne pas donner votre adresse postale sur tous les sites. Entrer votre adresse sur Twitter, ou Facebook, ou bien sur un forum de jeux vidéo n'est pas une obligation. Dans ce cas, ne le faites pas ! En revanche, pour une partie des sites notamment de commerces en ligne, cela reste compliqué en France. Dans ce cas, et si possible, préférez donner une adresse postale d’un point relais ou d’une boîte postale (vous pouvez louer une boîte postale) lorsque vous le pouvez.

Cela évite lors de fuites de données de retrouver votre adresse postale un peu partout sur les sites d'échanges entre pirates malveillants.

Une dernière chose, on évitera de rentrer ses adresses postales de domicile et de travail dans des applications de géolocalisation (type GPS), voire dans votre système de navigation de voiture (Tomtom, etc.) ! Mais ça, vous le faisiez déjà, n’est-ce pas ?

Les fameuses questions de sécurité

Nous voyons depuis quelques années des sites internet qui demandent à ses utilisateurs de sélectionner parmi un nombre de questions pré-établies et d’y adjoindre une réponse personnelle, ceci afin de renforcer la sécurité. Par exemple : quel est le nom de jeune fille de votre mère ? Quel est votre animal préféré ? Et bien d'autres. Par réflexe, nous avons pratiquement toujours l'habitude de dire la vérité...

Mais vous êtes-vous déjà demandés si vous étiez véritablement obligés de répondre avec de réelles informations ? La réponse est, vous vous en doutez : NON, absolument pas !

Vous n’êtes pas tenus de donner une information personnelle véridique, vous pouvez tout simplement inventer une réponse. En ce sens, ne pas donner trop d’informations personnelles peut éviter qu’une fuite de données puisse avoir un impact négatif sur votre vie privée (même ordre d'idée que pour les adresses postales). Ne donnez jamais de réponses secrètes en lien avec vous ou votre vie privée (nom de jeune fille de votre mère, sport favori, dessert préféré, cocktail favori...). Préférez utiliser des réponses aléatoires, et éventuellement celles-ci peuvent être stockées sur votre gestionnaire de mots de passe.

Les petites annonces

Arrêtez de mettre vos adresses courriels ou vos numéros de téléphone dans le texte de vos petites annonces : vous vous exposez à des campagnes de spam à volonté, voire pire !

  • Il est également tout à fait possible voire conseillé d'intervenir sur les fichiers eux-mêmes et d'y supprimer toutes métadonnées : photos, vidéos, documents... Pour des documents par exemple, vérifiez que vos nom/prénom, ou même initiales et autres, ne sont pas inscrits dans les propriétés du document. Pour les photos, que la géolocalisation a bien été supprimée... Voici quelques outils utiles pour vos fichiers PDF, documents, vidéos (tous les outils suivants ne traitent pas les vidéos...), photos :
    • ExifCleaner (Fonctionne aussi sur les documents Microsoft Office !) qui utilise la librairie ExifTool et offre une interface graphique
    • PDFparanoia outil complet pour le nettoyage des fichiers PDF
    • Mat2 (Metadata Anonymisation Tool v 2 - Outil d'anonymisation de Métadonnées version 2) nettoyeur de métadonnées niveau intermédiaire ou avancé
      ➡️ Attention c'est un outil qui nécessite quelques connaissances ; à lancer dans une machine virtuelle par exemple pour plus d'anonymat
  • Enfin, utilisez des messageries sécurisées : il existe des applications bien plus confidentielles que Whatsapp ou même SMS bien sûr, qui chiffreront vos messages de bout en bout et limiteront drastiquement l'utilisation des métadonnées.

Nous évoquons dans les détails ce sujet important des messageries sécurisées.

Les messageries

Reprenez le contrôle de vos données

Ne subissez plus cette collecte de données. Surtout que les gestes concrets à poser sont, somme toute, assez simples :

Utilisez un navigateur éthique

  • Mullvad Browser
  • Librewolf
  • Brave Browser

Ces navigateurs font l'objet d'un article dédié.

Les navigateurs

Utilisez des outils anti-pistage

  • uBlock Origin
  • I still don't care about cookie
  • Decentraleyes

Bien sûr, certains navigateurs sont déjà préconfigurés avec uBlock Origin, donc vérifiez bien.

Ces extensions font l'objet d'un article dédié.

Les extensions navigateurs

Contrôlez les permissions

  • Vérifiez régulièrement les autorisations des applications que vous utilisez. Une application de météo n'a pas besoin d'accéder à vos contacts par exemple, ou une application de prise de notes n'a pas besoin d'accéder à votre appareil photo...

Réflechissez avant de partager

  • Toujours réfléchir avant de poster des photos/vidéos ou un statut ou toute autre information sur des réseaux publics. Demandez-vous toujours si ces données peuvent révéler trop d'informations (habitudes, adresses, âge...).

Testez votre niveau de traçabilité

  • Vous pouvez tester à quel point votre navigateur est unique et/ou traçable, avec des outils en ligne : CoverYourTrack, développé par EFF (organisation bien connue du monde numérique éthique), permet d'identifier et d'ajuster vos paramètres.

Pour résumer : vos données, vos règles

Ainsi donc, les cookies, pisteurs et métadonnées sont omniprésents, mais vous avez toujours le pouvoir d'en limiter leur impact. Votre vigilance et les outils que nous recommandons sont autant de moyens de réduire votre exposition et ainsi naviguer plus sereinement. Pensez votre vie privée comme le jardin de votre petite maison numérique : un peu d'entretien régulier suffit amplement pour que votre pelouse reste sous contrôle 😉

Dans le prochain article, nous aborderons la façon de protéger vos communications et vos connexions grâce à des méthodes simples et efficaces. D'ici là, prenez grand soin de vos données !

Par ici pour continuer notre mini-série...

Communications et Connexions