Vous êtes sur la page 1sur 30

Couverture

En juillet 2018, la FIDH publiait l’ensemble des citoyens partout dans


conjointement avec le Cairo Institute le monde — à de réels dangers et
(CIHRS), la Ligue des Droits de violations de leurs droits. La prise de
l’Homme (LDH) et l’Observatoire des conscience est désormais largement
Armements (OBSARM) un rapport partagée mais une question demeure :
explosif sur la vente par la France à comment se protéger d’intrusions aussi
l’Égypte d’armes et de technologies de pernicieuses que discrètes ?
surveillance. L’objectif de ce guide est de répondre
Un matériel vraisemblablement à ce besoin d’information. Comprendre
utilisé par le régime d’Abdel Fattah quels sont ces dangers est un premier
Al-Sissi pour arrêter, poursuivre et pas nécessaire. Mais ce guide va plus
réprimer les opposants politiques, loin et propose aussi un certain nombre
défenseurs des droits humains, d’outils concrets pour s’équiper et se
journalistes, écrivains. former.
Un peu plus tôt, en janvier 2018 Il n’y a pas de solution infaillible
la FIDH, via L’observatoire pour la et définitive pour résister aux
Protection des Défenseurs des Droits violations de nos vies privées dans
de l’Homme, publiait un autre rapport le cyber espace. Ou pour contrer la
sur la situation catastrophique des commercialisation globalisée de nos
femmes défenseures en arabie données personnelles. Mais nous
Saoudite. Avec un focus particulier sur pouvons tous collectivement accroître
la traque systématique menée par les notre devoir de vigilance. Avec ce
autorités saoudiennes sur les prises de guide, à destination des défenseurs
position de ces femmes courageuses des droits humains de son réseau
sur les réseaux sociaux. mais pas seulement, la FIDH entend
Un constat s’impose : leur activité participer à ce devoir de vigilance.
digitale expose les défenseurs de Nous sommes tous acteurs de notre
notre Fédération — comme d’ailleurs sécurité digitale.
1
Protéger
votre vie
privée
des photos postées sur Facebook,
ou d’arrestations arbitraires liées à

Qu’est-ce que
des publications condamnées par
un régime autoritaire.

ça veut dire ? Qu’est-ce qu’une donnée,


et qui y a accès ?
Protéger sa vie privée, c’est prendre
conscience que l’ensemble de vos Les définitions varient selon la loi
actions numériques laissent des traces de chaque pays, mais on considère
qui peuvent être récupérées par des qu’une donnée personnelle
tiers. Il n’est pas nécessaire de pirater correspond à toute information
Toutes et tous concerné.es votre ordinateur pour avoir accès relative à une personne physique
à un grand nombre d’informations identifiée ou qui peut être identifiée,
Mohamed Ramadan est avocat égyptien, spécialisé dans la liées à votre vie privée. La plupart des directement ou indirectement, par
défense des droits humains. données personnelles sont rendues référence à un numéro d’identification
Le 10 décembre 2018, alors qu’il descendait d’un bus et ren- publiques par les utilisateurs eux- ou à un ou plusieurs éléments qui
trait chez lui, il est arrêté par trois agents en civil de l’Agence mêmes : vous les partagez en publiant lui sont propres. De manière plus
nationale de sécurité. des contenus sur un réseau social générale une donnée est tout ce qui
Le motif de son arrestation ? Mohamed a partagé sur Face- ou vous les offrez gracieusement en contient une information. Cela peut
book une photo de lui portant un gilet jaune, expliquant com- acceptant les Conditions Générales être quelque chose de très concret :
ment s’en procurer. Il est aujourd’hui accusé d’avoir « rallié d’Utilisation d’un service ou d’une votre nom, votre adresse, une photo
un groupe terro riste et de promouvoir ses idées ». En effet, application. La collecte de données de vous en vacances, un rendez-vous
le gilet jaune, symbole d’une vague de manifestations en personnelles est une pratique si dans votre calendrier, les gens que
France, est interdit à la vente en Égypte. courante qu’elle a donné naissance vous suivez sur Instagram… Cela
Sa famille et ses avocats n’ont pas su où il se trouvait ni ce à une industrie. Ces collectes peut aussi être plus abstrait : une
qui lui était arrivé jusqu’à ce qu’il comparaisse le lendemain, d’informations peuvent devenir recherche effectuée sur Google, un
pour des chefs d’inculpation tels qu’«  appartenance à un très intrusives et être détournées site que vous avez consulté plusieurs
groupe interdit », « diffusion de fausses informations via les de leur finalité. Grâce au partage fois, l’appareil que vous utilisez, le
réseaux sociaux » et « incitation à des troubles sociaux ». des photos, Facebook possède réseau wifi sur lequel vous vous êtes
par exemple la base de données connecté, votre géolocalisation,
de visages la plus importante au les différents comptes (identifiants
monde et a mis au point le logiciel de et mots de passe) mémorisés
reconnaissance faciale le plus abouti. dans votre navigateur… Tous ces
Il faut également garder à l’esprit que éléments donnent des informations
les informations que vous partagez sur sur vous : ce sont vos données
Internet sont très difficiles à effacer : personnelles, elles parlent de vous
une fois que vous avez posté une et vous ne pouvez pas les contrôler.
photo ou un document sur les réseaux
sociaux par exemple, vous ne pouvez Sans vous en rendre compte, vous
plus contrôler qui la copie ou la publie disséminez ces informations à chaque
ailleurs : l’information est désormais étape de votre vie numérique, et elles
hors de votre contrôle. Avant de sont récupérées par différents acteurs.
partager une information sur Internet,
y compris de façon privée, il est — Sur votre navigateur : celui-
judicieux de considérer les dommages ci enregistre votre historique de
qu’elle pourrait causer On ne compte navigation, les cookies des sites
plus les cas de licenciements pour visités, vos téléchargements,
vos recherches depuis la barre d’exploiter lui-même vos données
d’adresse, et même votre position. personnelles mais cela permettra

Quels sont Comment


de limiter leur dissémination.
— Sur les sites que vous visitez :

les risques se protéger ?


que ce soit un réseau social, un site Faites varier vos identifiants,
de presse ou une boutique en ligne, pseudonymes et mots de passe

pour votre
les sites web que vous consultez
enregistrent votre parcours, les pages Votre survie numérique commence par L’utilisation d’un pseudonyme ne

vie privée ?
vues, le nombre de visites, la durée la prise de conscience des informations vous rend ni anonyme ni protégé,
passée sur telle ou telle page… Ils ont que vous partagez, volontairement et et peut même s’avérer dangereuse
également accès aux cookies qu’ils involontairement, à travers l’ensemble s’il s’agit toujours du même, car il
ont placés sur votre ordinateur et aux Seules, vos données ne donnent de vos actions sur le web. De façon devient possible de retracer votre
données que celui-ci peut transmettre. pas nécessairement beaucoup générale, si vous n’utilisez pas des présence sur l’ensemble des sites ou
d’informations sur vous et peuvent services spécifiquement conçus pour des services que vous utilisez à partir
— Sur votre moteur de recherche : même vous paraître inutiles ou protéger vos informations grâce à de cet identifiant. Il est recommandé
Il enregistre l’historique de vos futiles. Pourtant, le danger existe des méthodes cryptographiques d’utiliser un pseudonyme, une
recherches, mais également car en reliant ces différentes (comme suggéré dans les chapitres adresse email et un mot de passe
combien de fois et quand elles ont données, un tiers peut déduire suivants), vous devez considérer (qui peut lui aussi servir à traquer un
été effectuées ainsi que les résultats énormément de choses sur vous. que toute information échangée sur individu) différent sur chaque site
sur lesquels vous avez cliqué. Internet pourra potentiellement être où vous partagez des informations
Un exemple : Depuis un mois, accessible à des tiers, y compris dans personnelles ou sensibles.
— Sur les sites de stockage et votre téléphone vous localise tous le cadre privé d’une messagerie.
les services cloud : vos informations les mercredis soir au café A. Vous Il n’en demeure pas moins utile Surveillez et modérez
stockées dans le cloud ne sont pas avez également effectué plusieurs de prendre un certain nombre de les informations personnelles
protégées, et le site ou service peut recherches sur l’histoire politique, précautions pour limiter l’accès publiées sur vous
conserver avec qui vous partagez vous êtes devenu ami sur un réseau à ces informations et réduire
du contenu, à quel moment etc. social avec 3 personnes qui ont vos traces au minimum. Avec des outils comme Google
indiqué aimer tel parti politique. Alert qui permet de recevoir des
— Sur les réseaux sociaux : Ces mêmes personnes fréquentent Réglez systématiquement alertes quand du contenu est
ils enregistrent toutes les informations le café au même moment que vous. vos paramètres de confidentialité publié sur le web, vous pouvez
que vous publiez mais aussi vos En regroupant ces données, un traquer les informations publiées
données comportementales: ce que système peut automatiquement Les paramètres de confidentialité par des tiers à votre sujet. Si un
vous aimez, qui sont vos amis, quels vous classer comme opposant déterminent la quantité d’informations tiers publie une information que
sont ceux avec qui vous interagissez politique actif et anticiper la date que vous rendez publiques (c’est- vous souhaitez garder privée, il
le plus, ce qu’ils aiment, … de votre prochain meeting, sans à-dire accessibles par n’importe est parfois possible de signaler
qu’aucune action humaine ne soit qui) lorsque vous utilisez un service la publication et de demander sa
— Sur les applications mobiles : nécessaire car un algorithme aura donné. Ces paramètres varient en suppression directement depuis
en validant les CGU, vous acceptez de effectué ces recoupements. fonction du réseau social ou du le site. À défaut, vous pouvez
partager certaines données : il s’agit service, et sont souvent réglés par contacter par voie électronique
souvent de la localisation, l’identifiant défaut lors de l’inscription à un ou courrier l’organisme ou le
du téléphone et les données du site ou une application. Il est donc service concerné (dans les sections
compte (sans que cela soit toujours nécessaire de les modifier vous- « Politique de confidentialité » ou
justifié par la finalité de l’application). même : dans la plupart des cas, « Mentions légales » du site), et
vous pourrez choisir de restreindre demander également aux moteurs
— Enfin, tout ce que vous publiez la visibilité de vos informations et de recherche de déréférencer un
volontairement en ligne et qui est lié parfois leur transmission à des tiers. lien afin qu’il n’apparaisse plus
de près ou de loin à votre identité. Cela n’empêchera pas le service dans les résultats de recherche.
ou le réseau social de conserver et
Évitez de stocker vos données Quand vous sauvegardez par exemple ces données ne sont pas publiques, Effacez régulièrement
dans le cloud les données de votre smartphone elles peuvent être exploitées, parfois les traces de votre navigation
dans le cloud (avec un service analysées (par exemple avec des
Evitez de stocker vos fichiers comme Google Photos ou iCloud), outils de reconnaissance faciale) Il est important de vider le cache
personnels sur un service en ligne, a toutes les données sont transmises ou bien encore piratées par des de votre navigateur (les données
fortiori de façon automatique comme et conservées dans des serveurs personnes mal intentionnées. de navigation conservées sur votre
de nombreux services le proposent. que vous ne maîtrisez pas. Même si machine) et les cookies régulièrement.
Choisissez attentivement Il est également recommandé
les services et logiciels d’utiliser un navigateur respectueux
que vous utilisez de vos données (Brave, Waterfox,
Firefox ou TORBrowser), en évitant
Privilégiez un moteur de recherche les navigateurs les plus utilisés tels
qui s’engage à ne pas stocker ou que Google Chrome ou Safari qui
réutiliser vos données. Qwant, par conservent des données personnelles.
exemple, est un moteur de recherche Vous pouvez également utiliser des
français qui n’enregistre aucun cookie extensions qui aident à protéger votre
et aucune information sur l’utilisateur. vie privée : sur Firefox, on peut citer
DuckDuckGo est un outil qui n’utilise uBlock Origin (bloqueur de publicité) ;
aucune donnée utilisateur et propose Privacy Badger (qui identifie les
des résultats basés sur des sites trackers), HTTPS Everywhere (qui
de référence comme Wikipedia, garantit que les sites visités utilisent
Bing et Yahoo. Les logiciels open- le protocole HTTPS, un protocole
source sont des logiciels dont le de connexion sécurisée), NoScript
code source est public, ce qui offre (qui bloque les scripts Java et Flash
davantage d’assurance sur le fait que utilisés par les pirates), Disconnect
ces derniers ne transmettront pas (qui révèle et supprime les traces
secrètement vos données à des tiers. laissées par la navigation) etc.

Pour aller plus loin :

Différentes ressources existent en ligne pour en savoir plus sur l’utilisation


de vos données.

Vous permet de visualiser tout ce qu’un site web sait de vous


mini lien

Ce que votre navigateur web dit de vous


mini lien

Ce que Google sait de vos intérêts


mini lien

Tous vos trajets enregistrés par Google


mini lien
2
Naviguer
sur le web
anonyme-
ment
etc.) peuvent agir. Le risque le plus
courant est que ces informations que

Qu’est-ce que
vous laissez derrière vous soient utilisées
à des fins publicitaires, mais elles

ça veut dire ?
peuvent également être interceptées
par une tierce personne et utilisées à
des fins malveillantes.
Protéger ses données personnelles En naviguant de manière anonyme
est une précaution essentielle sur sur Internet, vous empêchez ces
Internet. Mais parfois, prendre des acteurs de relier ces données à
précautions pour effacer ses traces sur votre ordinateur et donc à votre
son ordinateur ne suffit pas. Naviguer identité. Cela permet également de
de façon anonyme, c’est s’assurer de masquer votre localisation, et donc
ne pas laisser de traces pendant et de contourner certains types de
Toutes et tous concerné.es après sa navigation. Naviguer de façon censure (de nombreux Etats exigent
anonyme, c’est donc faire en sorte des fournisseurs d’accès qu’ils
En août 2016, le réseau Internet Égyptien était perturbé qu’une personne extérieure ne puisse bloquent certains sites dans leur pays
par une série d’anomalies, indiquant que les services de pas relier votre activité sur Internet - Youtube et Netflix sont par exemple
sécurité ciblaient l’infrastructure du réseau afin, selon les à votre identité. C’est un moyen inaccessibles depuis la Chine).
experts techniques, d’installer un système permettant supplémentaire de protéger votre vie Naviguer de manière anonyme consiste
une interception de masse des communication en ligne. privée et votre liberté. donc à cacher et rendre indéchiffrable
Des militants d’opposition, des écrivains, mais également vos données à chaque étape de la
des personnes LGBTI font l’objet d’une surveillance et navigation. En effet, il suffit qu’une
d’une intimidation constante. Selon l’Initiative Égyptienne faille existe chez l’un des acteurs de
pour le Droit de Personnes (EIPR), le Ministère de l’Inté- la chaîne pour que tous vos efforts de
rieur utilise une méthode boule de neige pour trouver des discrétion soient compromis.

Quels sont les


cibles, créant une base de données avec les noms et nu-
méros de cartes d’identité des personnes qui contactent

risques quand
ou rendent visite à des individus arrêtés précédemment
pour « débauche ».

je navigue sur
Les citoyens font l’objet d’une surveillance massive de leur

Comment
activité en ligne, qui est immédiatement reliée à leur iden-

le web  ?
tité, permettant de les cibler et les catégoriser selon leurs

naviguer
recherches, leurs habitudes et leurs relations sociales.

de manière
Pour savoir de quoi on se protège
il faut déjà comprendre comment

anonyme ?
fonctionne le web.

Quand vous accédez à un site web,


votre requête passe par différents Aucune solution parfaite n’existe mais
acteurs, avant de revenir vers votre voici les plus recommandées :
ordinateur avec les informations
demandées. À chaque fois que votre Utilisez un VPN
requête passe par un acteur, elle lui
laisse des informations sur vous : ce sont Un VPN (acronyme de « Virtual Private
des points de vulnérabilité sur lesquels Network ») est un intermédiaire qui
des acteurs extérieurs (hackeurs, Etats, permet d’anonymiser et de chiffrer
vos communications. Cela fonctionne passe automatiquement par le réseau
comme un tunnel privé qui chiffre vos sécurisé ToR.
données, vous permettant de faire
transiter votre trafic internet au travers Il existe néanmoins des limites à
du tunnel. l’utilisation de ToR. Tout d’abord, les
requêtes passant par une multitude de
Lorsque vous effectuez une requête nœuds, votre connection devient très
depuis votre navigateur, toutes les lente. Le visionnage de vidéos et le
données sont chiffrées, et envoyées téléchargement de fichiers lourds sont
au serveur du VPN. Le serveur du donc limités. De plus, si un ou plusieurs
VPN déchiffre ces données, effectue noeuds sont compromis ou observés,
la requête pour vous auprès du site intercepter les données et remonter
web, puis vous renvoie les données à l’internaute n’est pas impossible
de manière chiffrée. Ainsi, si elles sont (par exemple pour une agence
interceptées, elles sont impossibles gouvernementale).
à lire.
Le logiciel de navigation Tor Browser
Cette solution a tout de même des est disponible sur la clé USB fournie
limites : les VPN sont des services privés. avec ce kit ou téléchargeable à
Si vos données sont inaccessibles à l’adresse suivante :
toute personne tierce, elles ne le sont www.torproject.org/download
pas pour l’entreprise fournissant le
VPN. Il faut donc savoir auprès de quel
acteur placer sa confiance.

Utilisez Tor

TOR (acronyme de « The Onion


Router ») est un réseau mondial de
routeurs. La connexion d’un utilisateur
transite par plusieurs ordinateurs
dans le monde, appelés des nœuds.
Les connexions entre les nœuds sont Pour aller plus loin :
chiffrées. En somme, il devient très
difficile de retrouver l’internaute qui a Tails est un système d’exploitation, c’est-à-dire le logiciel qui vous permet d’utiliser
lancé la requête initiale. votre ordinateur (comme Windows, MacOS ou Linux). Sa particularité est de
pouvoir être lancé sur votre ordinateur depuis une clef USB. Une fois démarré,
Le réseau ToR est donc un moyen de c’est comme si vous utilisiez une machine à l’intérieur de votre machine. Tails est
vous rendre anonyme en « semant » donc un système d’exploitation sécurisé car il ne laisse aucune trace sur votre
ceux qui tentent de vous tracker. ordinateur. Une fois que vous l’arrêtez, tout ce qu’il s’est passé sur votre ordinateur
Il existe plusieurs méthodes pour s’y disparait. De plus, toute connection à Internet passe automatiquement par
connecter, pas toujours accessibles le réseau ToR.
aux néophytes. La plus simple est
d’utiliser le navigateur ToR Browser.
C’est un navigateur, comme celui que ATTENTION : Dans certains pays, le simple fait de posséder ces outils
vous utilisez pour aller sur Internet ou logiciels peut être un motif d’arrestation. Renseignez-vous sur le contexte
(Safari, Internet Explorer, Firefox, sécuritaire de votre pays, ou des pays où vous vous rendez, avant de
Brave, Waterfox, etc.), sauf que celui-ci les installer et de les utiliser.

Créer
et gérer
des mots
de passe
sécurisés
tester de quelques milliers à plusieurs
centaines de millions de combi­nai­sons

Qu’est-ce que
par seconde.

ça veut dire ?
Hameçonnage ou Phishing

L’hameçonnage (phishing en anglais)


Aujourd’hui, la sécurité de l’accès à est une technique frauduleuse
tous les services en ligne du quotidien destinée à leurrer l’internaute pour
repose essentiellement sur les mots de l’inciter à communiquer des données
passe. Il est donc nécessaire d’utiliser personnelles ou professionnelles
des mots de passe forts, et de gérer (comptes d’accès, mots de passe...)
ces informations avec précaution en se faisant passer pour un tiers
pour protéger vos données et vos de confiance. Il peut s’agir d’un faux
communications. Il existe en effet de message, email, SMS ou appel
nombreuses méthodes « pirates », téléphonique de banque, de réseau
plus ou moins avancées, qui peuvent social, d’opérateur de téléphonie, de
Toutes et tous concerné.es permettre d’identifier votre mot de fournisseur d’énergie, de site de com-
passe et d’accéder aux services que merce en ligne, d’administrations, etc.
Au cours des dernières années, de nombreux activistes re- vous utilisez et à vos informations.
nommés ont été la cible d’attaques dites de hameçonnage (« — Comment ça marche ?
phishing »), visant à accéder à leurs messageries et à contrô-
Vous recevez, dans votre boîte
ler à distance leurs ordinateurs en récupérant leurs mots de
email, un email d’un émetteur se
passe par l’envoi de liens malveillants puis en interceptant faisant passer pour un organisme de
les codes envoyés par SMS sur leurs téléphones portables.
Quels sont
confiance, vous incitant fortement
En mars-avril 2016, ce système de piratage a été utilisé pour à lire un message en cliquant sur

les risques
cibler le célèbre journaliste et blogueur Wael Abbas, le gra- un lien. Ce lien vous conduit vers
phiste et activiste Mohamed Gaber, et l’avocate et journa- un site imitant le site officiel de

pour mes mots
liste Nora Younis. l’organisme. Ce site de phishing vous
demande d’entrer votre identifiant

de passe ?
et votre mot de passe sur une page
d’authentification qui ressemble à la
page de connexion du site officiel.
Pour pouvoir se protéger, il est
nécessaire de connaître les risques — Comment éviter le piège
et les différentes techniques qui du Phishing ?
permettent de récupérer un mot
de passe. 1 • Ne communiquez jamais
d’informations sensibles par
Attaque par force brute messagerie instantanée ou téléphone

L’attaque par force brute est une 2 • Avant de cliquer sur un lien
méthode répandue qui consiste à douteux, positionnez le curseur de
essayer toutes les combinaisons votre souris sur le lien (sans cliquer)
possibles de caractères jusqu’à trouver pour afficher l’adresse vers laquelle il
le bon mot de passe. Ces attaques pointe réellement afin d’en vérifier la
réalisées par des ordinateurs peuvent vraisemblance
3 • Vérifiez l’adresse du site qui 4 • Ne communiquez jamais vos mots
s’affiche dans votre navigateur. Si cela de passe à des tiers. Un mot de passe
doit rester secret.
Comment Quel
ne correspond pas exactement au
site concerné, c’est très certainement
5 • Ne stockez pas les mots de
protéger ses gestionnaire
un site frauduleux. Parfois, un seul
caractère peut changer dans l’adresse passe dans un fichier sur un poste
informatique unique ou sur un papier
mots de passe ? de mots de
du site afin de mieux tromper la
victime. Vérifiez également que facilement accessible ;

passe choisir ?
l’adresse du site commence par
« https » et non « http » : il s’agit Pour empêcher ce type d’attaque 6 • Ne vous envoyez jamais vos propres
du protocole sécurisé qui offre un et protéger vos informations et mots de passe sur votre messagerie
certain niveau de protection contre communications, il est essentiel de personnelle : si celle-ci est piraté, tous Le logiciel Keepass est la référence
le hacking. Au moindre doute, ne créer des mots de passe robustes et vos mots de passe seront compromis. « open source » en matière de gestion
fournissez aucune information et sûrs, c’est-à-dire difficiles à retrouver à de mots de passe. Cette solution est
fermez immédiatement la page l’aide d’outils automatisés et à deviner 7 • Utilisez un gestionnaire de mots de gratuite et permet de stocker en toute
correspondante. par une tierce personne. passe. Un gestionnaire vous permettra sécurité vos mots de passe. Vous
de centraliser l’ensemble de vos codes pouvez conserver cet outil sur votre
4 • Privilégiez votre méthode d’accès Les bonnes pratiques à adopter pour dans une base de données, accessible bureau ou l’intégrer à votre navigateur
habituelle à un site (via vos favoris, créer et gérer vos mots de passe : à partir d’un mot de passe principal. web. Le logiciel dispose également
un moteur de recherche ou en tapant Cette solution vous permettra ainsi d’une fonction permettant de générer
directement l’adresse du site dans 1 • Utilisez un mot de passe unique d’opter pour des mots de passe plus des mots de passe complexes et
votre navigateur) plutôt qu’en cliquant pour chaque service. Ainsi en cas longs et plus complexes pour tous vos aléatoires.
sur un lien reçu par email. de perte ou de vol d’un de vos mots services en ligne et vos applications,
de passe, seul le service concerné sans avoir besoin de les retenir Il est disponible sur la clé USB de ce kit
Installation d’un keylogger sera vulnérable. individuellement. Vous augmenterez ou téléchargeable à l’adresse suivante :
ainsi la sécurité pour chacun de https://keepass.info/
La méthode du keylogger consiste à 2 • Votre mot de passe le plus précieux vos comptes. Cela revient toutefois
installer un logiciel espion à votre insu est celui de votre boîte email. Il permet à confier à un tiers de confiance
sur votre ordinateur. Ce programme en effet souvent de réinitialiser le mot l’ensemble de vos mots de passe.
enregistre les touches frappées sur de passe des différents services que
le clavier et les transmet à un tiers vous utilisez.
malveillant via Internet. Ce genre
de programme peut permettre de 3 • Créez des mots de passe
dérober vos identifiants et vos mots de complexes. Il est conseillé de créer Pour aller plus loin :
passe. L’installation d’un logiciel anti- un mot de passe qui comporte au
virus adapté peut parfois permettre minimum 12 caractères mélangeant Des ressources en ligne
de détecter ce type de malware et des majuscules, minuscules, chiffres
le bloquer lorsque le logiciel inclut et caractères spéciaux. Évitez de créer Installer Keepass étape par étape
un firewall. La méthode alternative des mots de passe qui emploient des mini lien
consiste à surveiller manuellement informations personnelles faciles à
l’activité du réseau avec des retrouver comme le prénom de vos Fiche pratique sur les mots de passe
programmes comme GlassWire sur enfants, une date d’anniversaire… mini lien
Windows ou Little Snitch sur Mac qui Evitez également les suites logiques
permettent de repérer le spyware simples 1234567, azerty, abcdef qui Savez-vous vraiment reconnaître un phishing ? Faites le test en ligne :
quand celui-ci envoi des données. font partie des mots de passe les plus https://phishingquiz.withgoogle.com/
courants et qui sont les premières
combinaisons essayées dans le cas Vos informations ont-elles été compromises par une faille publique ?
des attaques par force brute. Faites le test avec votre adresse email sur https://haveibeenpwned.com/
3 méthodes pour vous aider

• La méthode des premières lettres


Exemple : Un tiens vaut mieux que deux tu
l’auras : 1tvmQ2tl’A

• La méthode phonétique
Exemple : J’ai acheté huit CD pour cent euros cet
après-midi : ght8CD%E7am

• La password card
Une password card est une carte qui vous permet
de créer des mots de passe complexes et de les
retrouver rapidement. Il existe plusieurs formes
mais le principe reste le même: sur la carte se
trouvent les lettres de l’alphabet. À chaque
lettre de l’alphabet, une nouvelle lettre ou suite
de caractères est assignée aléatoirement. Par
exemple B devient « Q8a », O devient « 6-e », etc.
Choisissez un mot dont vous allez vous souvenir
(par exemple « bonjour), et remplacez chaque
lettre par la suite de caractères correspondante
sur la carte. Vous pouvez ainsi facilement vous
rappeler de votre mot de passe (« bonjour »), tout
en le traduisant grâce à la carte en une suite de
caractères complexe et sécurisée.

Protéger
vos fichiers
sur votre
ordinateur
local ou le réseau Internet.

Qu’est-ce que
3 • Les logiciels espions : un logiciel
espion est installé sur un ordinateur

ça veut dire ?
ou un appareil mobile dans le but de
collecter et transférer des informations
personnelles, sans que l’utilisateur en
Assurer la sécurité de vos données ait connaissance.
en ligne est essentiel. Pour autant,
vous n’êtes pas à l’abri en conservant 4 • Les chevaux de Troie : Le Cheval Un peu d’histoire...
tous vos fichiers importants sur votre de Troie, ou trojan, est un programme
ordinateur, car celui-ci est connecté invisible qui est caché au sein d’une Le chiffrement remonte à la civilisation
à Internet et donc vulnérable. application en apparence légitime. Le babylonienne environ 300 ans avant notre ère.
programme contenu (ou téléchargé Plusieurs méthodes de chiffrement ont existé
par la suite automatiquement) peut (l’Atbsh des Hébreux (-500), la scytale à Sparte
alors inclure n’importe quel type de (-400), le carré de Polybe (-125), …), la plus
parasite : virus, keylogger, logiciel célèbre que l’histoire retiendra étant le chiffre de
espion... Jules César. Ce dernier ne faisait pas confiance

Quels sont
à ses messagers lorsqu’il devait envoyer des
5 • Les keyloggers : Déjà mentionné messages à ses généraux. Il décida donc de

les risques ?
dans le chapitre précédent, le remplacer les lettres A dans ses messages
keylogger est un programme qui par des lettres D, les B par des E et ainsi de
enregistre toutes les touches frappées suite. Cette méthode est une méthode dite de
Il existe de nombreuses attaques qui au clavier sur l’ordinateur infecté, «chiffrement par substitution simple».
permettent de récupérer les données et les envoie au pirate par Internet.
d’un ordinateur. La plus courante Son but est souvent d’intercepter les Exemple :
consiste à utiliser des logiciels identifiants et mots de passe. Alphabet clair : A B C D E F G H I J K L M N O P Q R
malveillants appelés « malwares » en STUVWXYZ
anglais. Ces logiciels ont pour but Alphabet Chiffré : D E F G H I J K L M N O P Q R S T
d’accéder à un appareil (ordinateurs, UVWXYZABC
tablettes, smartphones ou objets
connectés) et d’altérer ou de récupérer Texte clair : Errare humanum est, perseverare

Comment
les fichiers et les données personnelles diabolicum
qui s’y trouvent. Il existe de nombreux Texte chiffré : Huuduh kxpdqxp hvw,

protége ses
types de programmes qui permettent shuvhyhuduh glderolfxp
d’accéder à votre appareil et à ce qu’il

fichiers ?
contient : NB : cette méthode primitive de chiffrement
est obsolète et ne permet plus de sécuriser
1 • Les virus : Un virus informatique se des données ou des communications.
reproduit d’un fichier à un autre sur Pour assurer la sécurité numérique de
le même ordinateur. C’est le type de vos données, la seule méthode efficace
logiciel malveillant le plus ancien et le consiste à chiffrer vos données.
plus répandu. Chiffrer ses données revient à les
déposer dans un coffre-fort verrouillé
2 • Les vers : Un ver informatique et sécurisé. Seules les personnes qui
(worm en anglais) ne se reproduit disposent de la combinaison (une
pas d’un fichier à un autre mais d’un clé de chiffrement ou une phrase
ordinateur à un autre, via un réseau secrète) peuvent accéder au contenu.
Le chiffrement consiste à transformer Il existe également des outils
une donnée qui peut être lue par informatiques spécialisés pour chiffrer
n’importe qui (donnée dite « claire ») vos données.
en une donnée qui ne peut être lue que
par son créateur et son destinataire VeraCrypt
(donnée dite « chiffrée » ou encore
cryptogramme). VeraCrypt est un logiciel libre, gratuit
et multi-plateforme (Windows, Mac
Il est conseillé de chiffrer toutes et Linux) qui permet de chiffrer vos
vos données plutôt que seulement données, et celles de vos disques
quelques dossiers. Si vous possédez durs ou clés USB. C’est une version
certains fichiers particulièrement améliorée du projet TrueCrypt. C’est
confidentiels, il est également un outil qui fonctionne comme un
recommandé de les placer dans un coffre électronique dans lequel vous
fichier chiffré indépendant. pouvez conserver vos fichiers en toute
sécurité.
La plupart des smartphones ou Veracrypt protège vos fichiers en
ordinateurs récents offrent désormais les codant à l’aide d’une phrase de
le chiffrement du disque entier comme chiffrement. Il crée un espace sécurisé
option : sur votre ordinateur ou votre appareil
de stockage externe.
— Android offre le chiffrement du En revanche, si vous oubliez votre
disque entier lors de la configuration phrase secrète, vous perdrez l’accès à
initiale de votre téléphone pour les vos données. Il n’y a aucun moyen de
appareils plus récents, ou n’importe retrouver une phrase perdue. Gardez
quand par la suite dans les paramètres également à l’esprit que l’utilisation
de « Sécurité » de tous les appareils. d’un chiffrement est illégale dans
certaines juridictions.
— Les appareils Apple tels que l’iPhone Il est aussi recommandé de mettre à
ou l’iPad parlent de « protection des jour régulièrement les logiciels qui se
données » et l’activent quand vous trouvent sur votre ordinateur, tablette
définissez un code. ou smartphone, car les mises à jour
Pour les ordinateurs : comprennent des correctifs des failles
de sécurité. La mise à jour de vos
— Apple propose une fonction intégrée logiciels est indispensable si vous
de chiffrement du disque entier voulez protéger vos données contre les
sur macOS appelée FileVault dans attaques.
« Préférences système ».

— Les versions de Linux offrent


habituellement le chiffrement du
disque entier lors de la configuration
initiale de votre système.

— Windows Vista et les versions


ultérieures proposent une fonction de
chiffrement du disque entier appelée
BitLocker.

Sécuriser
vos emails
personne malintentionnée peut
facilement modifier l’affichage de

Quels sont les


son nom d’expéditeur ou créer
une adresse qui ressemble à s’y

risques liés aux


méprendre à l’adresse habituelle de
votre interlocuteur. En cas de doute,

emails ?
cliquez sur le nom de l’expéditeur, et
vérifiez que l’adresse email qui s’affiche
correspond bien à une adresse
Moyen de communication et d’envoi connue, ne transmettez aucune
de fichiers utilisé par la majorité information sensible, et vérifiez par un
des entreprises et des particuliers, autre moyen de communication (par
les emails sont devenus le principal exemple le téléphone ou un autre outil
vecteur de transmission d’information. de messagerie) que vous échangez
Plus encore, les adresses emails sont avec le bon interlocuteur.
Toutes et tous concerné.es utilisées comme identifiant pour
la création de nombreux comptes Enfin, dans le cas d’espionnage ou de
António Capalandanda est défenseur des droits humains (réseaux sociaux, services en ligne, cybersurveillance d’un État, vos emails
et journaliste sur le site d’information Voz da América comptes en banque) et sont donc peuvent être interceptés à toutes les
(Voice of America) en Angola. Il enquête régulièrement souvent cibles d’attaques. Ce qu’il étapes de la chaîne de transmission :
sur des cas de violence politique, de violations des droits faut savoir, c’est que vos emails sont entre votre service d’email et le
humains et des affaires de corruption. par défaut « en clair ». Cela veut serveur, sur le serveur lui-même, entre
Début janvier 2013, António Capalandanda aurait été dire que votre email est comme une les serveurs, puis entre le serveur et le
suivi à plusieurs reprises par des hommes non identifiés carte postale envoyée par la Poste : service d’email de votre destinataire.
dans un véhicule, qui se seraient garés à proximité de sa si quelqu’un l’intercepte, il pourra Il devient alors très difficile de
résidence et l’auraient suivi dès qu’il serait parti travailler. lire le texte que vous avez écrit. Cela sécuriser vos emails, et impossible
Au cours de la même période que ces incidents, le cour- rend la surveillance très simple : vous de savoir s’ils peuvent être lus par un
rier électronique d’António Capalandanda a été piraté et n’avez pas besoin d’être directement tiers.
consulté par des inconnus selon son fournisseur de ser- ciblé, si votre interlocuteur l’est,
vice de courrier électronique. vos informations sont également
Toutes ses informations personnelles contenues dans sa compromises.
boite email ont été compromises. Lui et sa famille ont été
l’objet de multiples actes de harcèlement et de menaces La première cause de piratage d’un

Comment
de mort. compte email est l’erreur humaine :
c’est le plus souvent vous-même qui

s’en protéger ?
donnez accès à votre messagerie en
révélant votre mot de passe à un pirate
qui se fait passer pour un interlocuteur
de confiance (c’est la méthode du Avec autant de points de vulnérabilité,
phishing évoquée dans le chapitre 3). empêcher vos emails d’être interceptés
Assurez vous d’utiliser un mot de est quasiment impossible : vous
passe sécurisé et d’éviter les pièges du pouvez sécuriser la connexion entre
hameçonnage en vérifiant l’identité de votre machine et le serveur email, mais
l’interlocuteur. si votre interlocuteur ne fait pas de
même, vos communications peuvent
De la même façon, l’attaque peut être interceptées et lues.
consister à vous tromper sur l’identité
de votre interlocuteur réel : une S’il est virtuellement impossible
d’empêcher des messages d’être courriel sera soit illisible (car chiffré un email envoyé à une personne des méthodes de chiffrement les plus
interceptés, l’une des solutions est sans que l’interlocuteur ne puisse est complexe, sécuriser un email utilisées. Mais ces solutions nécessitent
d’empêcher qu’ils soient lus : on le décoder), soit envoyé « en clair » envoyé à 20 personnes est utopique. des connaissances techniques et sont
appelle cela chiffrer ses emails. (non-chiffré). Vous pouvez prendre C’est pourquoi l’on considère que la peu accessibles aux utilisateurs non-
Comme pour le chiffrement d’un toutes les précautions de votre communication par email n’est pas confirmés.
fichier, il s’agit de rendre le texte côté, si votre interlocuteur ne les une communication sécurisée et
totalement illisible par toutes prend pas également du sien, vos recommandée, malgré sa popularité. Pour les néophytes, il existe des
autres personnes que celles qui communications sont vulnérables. Autant que possible, privilégiez les services d’email qui intègrent
possèdent la clef nécessaire pour Protéger vos emails exige une outils de messagerie instantanée directement le chiffrement dans leur
les déchiffrer. Toutefois, si l’un des sécurité parfaite à toutes les étapes sécurisés et dont les communications programme : si votre interlocuteur
interlocuteurs n’utilise pas une de transmission, de la part de tous sont chiffrées par défaut pour tous les utilise le même service, le contenu de
solution qui chiffre les emails, alors le les interlocuteurs. Ainsi, si sécuriser utilisateurs. l’email sera chiffré (et sera donc illisible
pour un tiers), sans manipulation de
Il existe malgré tout plusieurs logiciels votre part.
qui permettent de chiffrer ses emails.
Le plus connu est GPG, un logiciel Parmi les solutions existantes, deux
open source basé sur l’OpenPGP, l’une services open source sont intégrés
dans la clé USB de ce kit :

— Protonmail

Accessible directement depuis un


navigateur (sécurisé si possible),
Protonmail permet d’envoyer des
emails chiffrés aux autres utilisateurs
de Protonmail ou aux utilisateurs
de services similaires, à condition
d’importer leur clé de chiffrement, PGP
ou symétrique (il requiert dans ce cas
une configuration spécifique)

— Tutanota

Également open source et accessible


depuis un navigateur, ce logiciel
permet d’envoyer des emails chiffrés
aux autres utilisateurs. On peut aussi
envoyer des messages chiffrés de
bout en bout aux utilisateurs d’autres
messageries avec un chiffrement
symétrique à condition de partager la
clé par un autre moyen.
Tutanota n’intègre pas le standard
OpenPGP mais a l’avantage d’être
aussi disponible sur mobile avec une
application iOS ou Android.

Protéger
vos
discussions
instantanées
sur mobile
Parmi les différentes applications de
messagerie qui existent, Whatsapp est

Qu’est-ce que
numéro 1 dans le monde : 1,5 milliard
de personnes l’utilisent. En mai 2019,

ça veut dire ?
une faille de sécurité a été détectée
sur l’application. Elle pouvait permettre
d’installer, à l’insu de l’utilisateur, un
Les téléphones mobiles font partie logiciel espion sur son téléphone, si
intégrante de nos conversations l’utilisateur ne décrochait pas lorsqu’il
quotidiennes : appels, SMS/MMS, recevait l’appel « infecté ». Selon
messageries instantanées... le Financial Times, cette faille a été
Toutes et tous concerné.es Le nombre de fonctions incluses dans exploitée pour installer les logiciels
les téléphones mobiles a nettement espions Pegasus de l’entreprise
L’ONG de droits humains Amnesty International affirme augmenté au cours des dernières israélienne NSO Group qui fournit
qu’un de ses employés, travaillant sur l’Arabie Saoudite, années. Les « smartphones » sont ses logiciels aux forces de sécurité
a été pris pour cible par le logiciel Pegasus du groupe devenus des mini-ordinateurs de nombreux pays dans le monde,
israélien NSO alors qu’il mettait en place une campagne portables qui sont en permanence régimes démocratiques ou non. Ce
pour la libération des femmes défenseures des droits hu- connectés à Internet et munis de programme permet notamment de
mains injustement incarcérées dans le pays. Début juin fonctions de localisation avancées. collecter la géolocalisation de sa cible,
2018, un membre du personnel d’Amnesty International Dès lors que votre téléphone est lire ses messages et emails, déclencher
a reçu un message WhatsApp suspect rédigé en arabe. connecté à Internet, tout ce que vous à son insu le micro et la caméra de son
Ce texte comportait des informations détaillées au sujet y faites est vulnérable de la même téléphone.
d’une prétendue manifestation devant l’ambassade d’Ara- manière qu’un ordinateur.
bie Saoudite à Washington, et un lien vers un site web. Les WhatsApp, comme toutes les
investigations menées par les informaticiens d’Amnesty applications, n’est donc pas infaillible,
International ont montré que le fait de cliquer sur ce lien et sa popularité en a fait la cible
aurait, d’après leurs connaissances préalables, installé un des hackers. Il existe toutefois
« Pegasus », qui aurait infecté le smartphone de l’utilisa- d’autres applications spécialisées

Quels sont
teur, suivi les frappes au clavier, pris le contrôle de l’ap- qui permettent de sécuriser
pareil photo et du micro, et consulté la liste des contacts. vos conversations en utilisant le

les risques ?
Un autre défenseur des droits humains saoudien basé à chiffrement de bout-en-bout.
Londres, Yahya Assiri, le directeur de l’ONG ALQST, a lui
aussi reçu ce même message. Il était en contact fréquent
avec Jamal Khashoggi, le journaliste saoudien du Was- Vos communications, qu’elles soient
hington Post qui a été tué à l’ambassade d’Arabie Saoudite vocales ou écrites, ne sont presque
à Istanbul en octobre 2018. jamais sécurisées par défaut, et

Comment
peuvent donc être facilement
interceptées, lues, enregistrées,

protéger ses
modifiées. Les renseignements qui
passent par vos applications de

conversations
messagerie instantanée peuvent
compromettre votre sécurité mais

instantanées ?
également celle des personnes listées
dans votre carnet d’adresses ou
dans les différentes applications de
messagerie que vous utilisez, et dans Utilisez Signal pour chiffrer vos
les fichiers échangés. appels et vos messages textuels
Signal est une application gratuite, permet par là même au serveur — ou
sans publicité et open source qui à un tiers qui en prendrait le contrôle
permet de chiffrer par défaut les — de déchiffrer les communications
communications qui transitent par entre A et B. Pour protéger totalement
l’application. Elle permet de chiffrer leur correspondance, les deux
les communications écrites mais aussi utilisateurs ont la possibilité d’échanger
vocales. Le service propose également directement entre eux une clé de
un mode d’auto-destruction des chiffrement. Cette chaîne de caractères
messages, c’est-à-dire la possibilité de (ou safety numbers dans la terminologie
rendre éphémères vos conversations de Signal) doit être échangée
écrites (en effaçant les données après secrètement via un autre moyen
un certain temps). de communication. La procédure
Le « chiffrement de bout-en-bout » est optionnelle mais fortement
est la façon de rendre un message recommandée pour tous les utilisateurs
secret. Personne d’autre que les deux qui se servent de Signal pour partager
correspondants n’est en mesure de des informations sensibles.
décrypter la conversation, et donc pas
même votre fournisseur d’accès mobile L’Electronic Frontier Foundation, une
ou un « espion » . La seule faiblesse de ONG américaine spécialisée dans la
Signal est qu’il repose par défaut sur un défense de la liberté d’expression sur
« annuaire des utilisateurs », distribuant Internet, donne à l’application Signal la
la clé publique d’un utilisateur A à un note maximale en termes de sécurité
utilisateur B. Opéré par le développeur et Edward Snowden le lanceur d’alerte
du logiciel, cet annuaire sert de tiers américain, ancien employé de la CIA et
de confiance entre les utilisateurs, mais la NSA l’utilise quotidiennement.

Utilisez Olvid, l’application qui garantissant la sécurité totale des


protège vos donnée données des utilisateurs. L’intégralité
des messageries actuelles, Signal
Ce nouveau service de messagerie inclus, font reposer la sécurité
instantanée français attaque le sur la confiance dans les serveurs
problème à la racine : pour protéger utilisés (annuaires centralisés), alors
vos données, Olvid les chiffre que ceux-ci sont structurellement
entièrement (métadonnées incluses), vulnérables. Olvid s’affranchit de
même sur ses propres serveurs. Cela cette faille de sécurité. Avant tout
signifie que toutes les informations dédié aux entreprises, Olvid se base
stockées par le service de messagerie sur un modèle payant, afin de n’être
sont chiffrées, et que lui-même ne peut dépendant d’aucune entité extérieure.
y accéder. En cas d’attaque ou de faille Ce modèle de sécurité, pour l’instant
de leurs serveurs, les données et les sans faille connue, constitue sans
conversations sont donc impossibles à doute l’avenir des communications
lire. Olvid est ainsi la seule messagerie sécurisées.

Se
protéger
contre
l’espionnage
via vos
appareils
mobiles
Les agences de renseignements
gouvernementales ont depuis

Qu’est-ce que
longtemps la possibilité d’accéder aux
données recueillies par les opérateurs

ça veut dire ?
téléphoniques en fonction de règles
juridiques qui diffèrent selon les pays.
Un service de police ou une agence
Nos appareils mobiles contiennent de renseignement peut effectuer
des données sur l’ensemble de notre une demande officielle auprès de
vie et de nos activités quotidiennes. l’opérateur pour récupérer les données
De nombreux comptes sont reliés à ou utiliser un accès dérobé (appelé
des applications sur notre téléphone, backdoor) installée au niveau des
Toutes et tous concerné.es qu’il s’agisse de Gmail, d’Amazon, serveurs. Parmi ces données se trouve
de Paypal ou d’AirBnb. Par ailleurs, la géolocalisation : lorsqu’un appareil
En 2019, des journalistes ont révélé que les douaniers tous les smartphones, tablettes et mobile est connecté au réseau, il est
chinois de la frontière entre le Kirghizistan et la région ordinateurs portables sont équipés automatiquement localisé grâce aux
du Xinjiang installent des logiciels espions sur les smart- de caméras et de micros qui peuvent antennes relais qui permettent de
phones Android des touristes qui entrent en Chine. La être facilement transformés en outils trianguler l’origine du signal, même
procédure de vérification des terminaux est différente s’il de surveillance. Il ne s’agit pas d’un si l’option « géolocalisation » est
s’agit d’un mobile Android ou d’un iPhone. Dans le cas du fantasme : les régies publicitaires se désactivée dans les paramètres de
système d’exploitation Android, une application de type servent déjà des micros des mobiles l’appareil. Les données échangées
logiciel espion est installée. Pour les iPhones, le smart- pour proposer des publicités ciblées. avec les serveurs de l’opérateur -
phone est simplement branché à un lecteur. L’application À mesure que les usages mobiles localisation, SMS et data - sont toutes
utilisée pour scanner le téléphone est en principe désins- évoluent, de plus en plus d’attaques potentiellement accessibles à des
tallée, mais il est apparu que cette ultime procédure était concernent les appareils mobiles. tiers via les serveurs de l’opérateur.
parfois oubliée par les douaniers. Le fait qu’elle soit reti- L’attaque la plus courante, abordée Utiliser les applications citées dans les
rée après la procédure suggère qu’elle n’a pas vocation à dans les précédents chapitres, est chapitres précédents peut permettre
établir un pistage en temps réel par GPS de chaque indi- celle du phishing. L’usage d’un appareil d’échanger des messages de façon
vidu — même si des informations techniques du mobile mobile implique donc de redoubler sécurisée en faisant en sorte que
(adresse MAC, n°IMEI, numéro de téléphone etc.) sont de vigilance et de garder à l’esprit l’opérateur n’accède qu’aux données
collectées au passage. Selon l’enquête, l’application est qu’il s’agit toujours d’un dispositif de chiffrées, mais cela ne protège en
surtout chargée de rechercher des contenus de propa- surveillance potentiel, et qu’aucune aucun cas du piratage de l’appareil
gande terroriste, mais aussi des passages du Coran, des méthode réellement fiable n’existe lui-même.
documents relatifs au Dalaï-Lama et même un groupe de pour se protéger du piratage de son
métal japonais appelé Unholy Grave (à cause d’une chan- appareil. Le piratage de votre appareil mobile
son appelée Taïwan : Another China), soit tout ce qui pour- grâce à un logiciel espion
rait compromettre l’autorité du pouvoir central.
Les appareils mobiles, comme
n’importe quel ordinateur, fonctionnent
grâce à un système d’exploitation

Quels sont
qui est susceptible d’être infecté par
un logiciel malveillant. Ces petits

les risques ?
programmes appelés « malware »
peuvent être utilisés pour voler
des données contenues dans votre
La surveillance des données appareil. Les « spywares », ou logiciels
recueillies par les opérateurs espions, sont des types de « malware »
spécifiques, conçus pour espionner
vos activités. Ces applications de surveillance avancée : écouter Le piratage de votre appareil mobile — Mettez à jour le système
peuvent être trouvées sur Internet et et enregistrer les conversations grâce à un IMSI-catcher d’exploitation de vos appareils et
ne nécessitent pas de connaissances téléphoniques, récupérer en temps vos différentes applications. Parce
techniques particulières : une fois le réel les photos prises avec la caméra, Il est également possible de localiser que de nombreux hackers profitent
spyware installé, les données sont accéder aux messages, quelle que soit un appareil mobile et d’accéder à ses des vulnérabilités des précédentes
transmises à une plateforme web sur l’application utilisée. Il peut également données directement depuis l’endroit versions, les mises à jour permettent
laquelle l’espion peut se connecter permettre d’activer secrètement le où il se trouve grâce à un « IMSI- de réduire les failles de sécurité.
anonymement. micro et la caméra, de restreindre les catcher », un appareil de surveillance
appels entrants de numéros prédéfinis utilisé pour intercepter localement le — Ne synchronisez pas vos appareils
Un spyware donne potentiellement ou d’enregistrer l’écran et les mots trafic des communications mobiles mobiles avec des ordinateurs inconnus
accès à l’ensemble des données tapés sur le clavier, rendant même les en simulant une fausse antenne-relais ou non protégés
contenues sur l’appareil et peut aller applications sécurisées inefficaces et en s’intercalant entre le réseau
jusqu’à développer des fonctionnalités pour protéger vos données. de l’opérateur et l’appareil ciblé. — N’installez que des applications
L’acronyme « IMSI » fait référence connues et « validées », et seulement à
à l’International Mobile Subscriber partir des stores officiels (Google Play
Identity, un numéro unique qui Store, Apple Store, …).
identifie la carte SIM utilisée et son
propriétaire et permet de se connecter — Évitez autant que possible les
à l’appareil mobile. L’IMSI catcher a réseaux wifi publics et non sécurisés
besoin d’être placé à proximité de la qui peuvent permettre d’intercepter
cible pour fonctionner et peut être vos données et même d’installer un
utilisé pour surveiller l’ensemble malware. Si vous devez vous connecter
des données, installer un logiciel à un wifi public, utilisez un VPN et ne
espion et même simuler l’origine de communiquez aucune information
messages ou d’appels, faisant croire confidentielle.
à votre téléphone que le numéro qui
vous appelle ou le message que vous — N’activez votre Bluetooth que
recevez est celui d’un destinataire que lorsque vous vous en servez : il offre
vous connaissez alors qu’il provient un point d’entrée non sécurisé à votre
en réalité d’un ordinateur situé à appareil
proximité.
— Ne laissez pas vos applications et
les services web que vous utilisez sur
votre mobile en mode « auto-login »
(le mode qui retient votre mot de passe
et se connecte automatiquement,

Comment
souvent une case à cocher) : une fois
votre appareil piraté, ce sont tous vos

se protéger ?
comptes qui ne seront plus sécurisés.

— Si vous deviez confier votre


— Ne laissez jamais vos appareils sans téléphone à un tiers (autorités,
surveillance : s’il existe de nombreuses douanes, etc…), éteignez toujours
façons de les pirater à distance, il suffit complètement votre appareil. Certains
de brancher quelques secondes vos téléphones suppriment toute clé de
appareils pour les infecter avec un chiffrement lorsque l’appareil s’éteint,
malware. et imposent d’entrer son code PIN
avant tout nouveau déchiffrement.
— Installez des applications anti-virus l’appareil a été infecté par un spyware,
qui sauront détecter les programmes il peut continuer à être utilisé comme
malveillants, surveiller la navigation sur dispositif de surveillance grâce au micro
Internet et sauvegarder les données qui peut enregistrer et transmettre les
sensibles. Vous pouvez essayer CM données lors de sa reconnexion au
Security et Avast! Mobile Security & réseau après avoir été sorti du sac.
Antivirus (pour Android), capables de
verrouiller des applications, ou Lookout Se protéger contre le piratage
Antivirus & Securité (pour Android et via des « IMSI catchers »
iOS) qui dispose en plus de fonctions
antivol. Il n’existe aucun outil de protection
fiable contre les « IMSI catchers » :
Se protéger contre le tracking et la dès lors que votre appareil est
surveillance via vos appareils mobiles connecté à un réseau, il est possible
de le tromper avec une fausse
La méthode la plus simple pour se antenne relai et de le pirater. Certaines
protéger du tracking de votre appareil applications comme SnoopSnitch
et du piratage de vos données consiste prétendent être en mesure de détecter
à retirer sa batterie. Le téléphone est la présence de faux relais, mais cette
alors totalement inactif, n’enregistre, détection demeure imparfaite. Pour
ne reçoit et ne transmet plus aucune diminuer les chances de ce type de
information. Mais de nombreux piratage, il peut être utile de désactiver
appareils mobiles ne permettent pas la 2G et le roaming sur les smartphones
de le faire sans outil. Éteindre son qui le permettent, de façon à ce que
téléphone - ou activer le mode avion - l’appareil ne puisse se connecter qu’au
ne suffit pas à garantir que l’appareil ne réseau 3G ou 4G, davantage sécurisés.
pourra pas être localisé et transmettre Ces mesures permettent d’éviter
des données. Un appareil infecté certains types d’IMSI catcher, mais ne
pourra par exemple afficher un écran constituent en aucun cas une réelle
éteint alors que certaines fonctions protection. La seule méthode efficace
continuent d’être utilisées. pour ne pas être exposé à un IMSI
La méthode alternative au retrait de catcher est de déconnecter totalement
la batterie est celle du « air gapping » : son téléphone du réseau, en retirant
elle consiste à isoler entièrement la batterie ou en le plaçant dans un
un appareil du réseau, rendant alors Faraday bag.
impossible un piratage à distance ou
la localisation de l’appareil. Pour isoler Pour aller plus loin :
un appareil, vous pouvez utiliser un
« faraday bag », un étui qui reproduit Smartphone Surveillance And Tracking Techniques Understanding Threats,
le principe de la cage de Faraday, Indices & Protection
bloquant le champ électromagnétique. mini lien

L’usage d’un « Faraday bag » garantit ‘State of Surveillance’ with Edward Snowden and Shane Smith (VICE on HBO:
que l’appareil ne pourra ni envoyer ni Season 4, Episode 13)
recevoir de signal. En plaçant votre mini lien
appareil mobile dans l’étui de ce kit, il
devient impossible de le localiser ou de The Guardian - 12 ways to hack-proof your smartphone
pirater ses données. Mais attention, si mini lien

Les limites
de la
protection
Le secret de la correspondance, se reposer entièrement sur des outils Conditions Générales d’Utilisation, et appliquant l’ensemble des pratiques
un droit protégé dans de nombreux et techniques de protection qui sont en s’assurant auprès de sources fiables décrites précédemment. L’appareil
pays, est menacé par la nature même par nature imparfaits mais de rester que le service protège vos données. ne doit jamais être connecté à
des communications numériques. vigilant et conscient des risques que La protection des données constitue un compte Google, Facebook ou
Respecter les bonnes pratiques vous prenez. Les méthodes décrites toujours un compromis entre confort tout autre compte qui pourrait
décrites dans les chapitres précédents dans les chapitres précédents ont d’utilisation et sécurité. Ne sacrifiez permettre d’associer la machine à
et comprendre les risques constitue uniquement pour but et pour effet pas la sécurité pour le confort : de votre identité réelle. Vous pouvez
un point de départ pour survivre dans de limiter ces risques : la notion nombreux utilisateurs se servent des également appliquer cette méthode
l’espace numérique et protéger autant de sécurité absolue est illusoire fonctions d’auto-login ou confient avec un appareil mobile dédié à vos
que possible vos données et vos en matière de communication à leur navigateur ou leurs appareils conversations confidentielles.
échanges. numérique. la gestion des identifiants et mots
de passe, ce qui rend très facile le — Chiffrez vos échanges
Toutefois, il est important de garder Voici trois points à garder en tête afin piratage de leurs données. d’informations
à l’esprit qu’il n’existe aucune d’adopter une attitude vigilante :
sécurité infaillible : les outils et les — Cloisonnez vos identités Dès lors que vous naviguez sur le web
machines électroniques n’ont pas — Protégez vos données personnelles numériques ou échangez des informations via des
été conçus pour protéger l’échange appareils numériques, vous partagez
d’informations. Dès lors qu’un À partir du moment ou vous utilisez L’ensemble de vos appareils, login / des données avec de multiples
appareil est connecté à Internet, un site, un service, une application pseudo, adresse email, adresse IP, acteurs. Naviguer anonymement et
il est potentiellement vulnérable ou un logiciel, il détient une partie de constituent autant d’identifiants communiquer via des outils sécurisés
et peut être transformé en outil vos informations personnelles. Utiliser uniques qui peuvent être reliés à qui chiffrent les données vous permet
de surveillance ; dès lors que vous une application ou un service en ligne, votre identité. L’usage d’une seule de réduire les risques d’exploitation ou
échangez des informations, celles- c’est accepter de lui faire confiance. Il adresse email suffit à vous relier à de surveillance de vos informations,
ci peuvent potentiellement être devient alors important de connaître un grand nombre d’activités et peut bien que cela ne constitue jamais une
interceptées et manipulées par un le type de données que ce service va permettre de les espionner facilement. garantie absolue. Si par exemple votre
tiers. L’important est donc de ne pas conserver et exploiter, en lisant les Il est recommandé de cloisonner au machine est compromise, tous vos
maximum les données qui permettent efforts d’anonymat et de sécurisation le
de vous identifier, en utilisant des sont également. Sécuriser vos échanges
adresses et des identifiants uniques d’informations implique en réalité un
pour chaque application. Vous effort constant et commun de votre
pouvez même séparer vos activités part et de celle de vos interlocuteurs.
en utilisant par exemple, en plus de Les logiciels de chiffrement bout-à-
votre machine principale dévolue bout vous permettent simplement de
aux tâches courantes, un ordinateur minimiser les risques d’interception et
spécialement dédié à toutes vos de compliquer au maximum la tâche
activités et échanges confidentiels. des potentiels espions, sans jamais
Il peut s’agir d’un simple PC portable échapper totalement au risque de
d’occasion utilisant une IP distincte surveillance.
et un OS sécurisé comme Tails, en

Pour aller plus loin :

101 Data Protection Tips: How to Keep Your Passwords,


Financial & Personal Information Safe in 2019
mini lien