vie privee

Cet article est sponsorisé par ExpressVPN. Consultez notre charte.

Une illusion commune voudrait qu’Internet soit un espace de libertés, affranchi des frontières, où l’on ne risque rien si l’on n’a rien à se reprocher. Mais la surveillance y est bel et bien installée, menaçant la sécurité de notre anonymat et nos données privées.

On pense évidemment à la surveillance des États, dans le cadre de la sécurité nationale et internationale. Mais elle concerne également le pistage de nos activités en ligne par des entreprises dont le modèle économique repose sur la collecte et l’exploitation d’informations personnelles. Quelle qu’elle soit, cette surveillance est rendue possible par des usages web très (trop ?) transparents qui permettent aux entités tierces d’identifier rapidement les internautes et leurs habitudes de navigation.

Qui peut suivre vos activités en ligne ?

De facto, on pense aux services et sites web visités ainsi qu’aux annonceurs. En réalité, la liste est beaucoup plus longue.

Les FAI

Lorsque l’on se connecte à Internet, le fournisseur d’accès à Internet attribue une adresse IP publique à l’appareil utilisé. Il peut s’agir d’un PC, d’un smartphone, d’une tablette, d’une imprimante réseau, en bref de tout matériel informatique connecté au réseau.

Qu’elle soit fixe ou dynamique, l’adresse IP consiste en un numéro d’identification unique à partir duquel le FAI peut retrouver les nom, prénom et localisation de l’utilisateur. Plus encore : grâce à l’IP, il accède aux données de connexion telles que la date, l’heure et la durée de session, le matériel utilisé pour se connecter à Internet, le navigateur et le moteur de recherche, la liste des sites et pages web visités, les fichiers téléchargés.

Dans le cadre de la loi française, le FAI a pour obligation de journaliser et conserver ces informations pendant un an. Sur réquisition de l’autorité judiciaire, elles pourront être transmises à la police et au renseignement.

Les sites web et les annonceurs

Ces deux-là travaillent généralement en tandem. Au cours d’une session web, la plupart des sites collectent de nombreuses données privées relatives à l’identité et au comportement des utilisateurs (adresse IP, coordonnées, pages visitées, liens cliqués). Revendues à des annonceurs, elles leur permettent de déployer des campagnes publicitaires ciblées. C’est ainsi qu’après avoir lu un article, une régie publicitaire commune à plusieurs entreprises peut proposer des publicités identiques sur plusieurs sites et services sans lien apparent. Il en va de même pour les adresses mail saisies dans certains formulaires ou à la création de comptes : cédées aux annonceurs, elles sont ensuite intégrées à un fichier clients et font l’objet de spams promotionnels.

Entré en vigueur en 2016 et applicable depuis 2018, le règlement général sur la protection des données (RGPD) a mis en place un garde-fou contre la collecte et l’utilisation abusives des données privées. Néanmoins, la nécessité de désactiver manuellement les cookies et annonceurs auxquels sont transmises les données pousse souvent les utilisateurs à tout accepter par défaut et à faire une croix sur la confidentialité de leurs informations. Dans les cas les plus répréhensibles, certains sites peu scrupuleux font fi de la règlementation et continuent de revendre les données qu’ils recueillent, malgré l’absence de consentement de l’utilisateur.

rgpd

Les hackers

Ce n’est une surprise pour personne : les cybercriminels représentent clairement une menace pour la sécurité des données privées. On ne parle plus seulement d’identification de l’utilisateur et de pistage de ses visites, mais de vols d’identifiants, de mots de passe, de numéros de carte bancaire. Un siphonnage de données qui peut conduire au piratage d’une ancienne boîte mail pour les situations les moins extrêmes, à l’usurpation d’identité et à tout ce que cela entraîne dans les cas les plus graves : pillage de comptes bancaires, transactions frauduleuses, infractions et crimes commis au nom de l’utilisateur piégé.

S’ils peuvent aisément s’introduire sur les réseaux privés domestiques, la plupart des hackers n’iront pas plus loin que sur les réseaux publics. Mine d’or d’informations non chiffrées, les Wi-Fi gratuits que l’on trouve dans les cafés, les restaurants, les écoles, les entreprises, les hôtels, les aéroports, sont tout sauf sécurisés. N’importe quel individu mal intentionné est en mesure d’intercepter le trafic et d’aspirer les données de connexion comme de saisies.

Les applis mobiles

Gourmandes en autorisations, les applications mobiles participent à la collecte et à l’exploitation des données privées. Bien qu’il soit la plupart du temps possible de désactiver les accès aux informations non pertinentes, certaines applis refusent de fonctionner sans les autorisations requises.

Parmi les autorisations susceptibles de transmettre des données personnelles aux applications, on peut citer les demandes d’accès au micro, au Bluetooth, à la localisation, aux fichiers médias, aux contacts enregistrées, au téléphone ou encore aux SMS.

La navigation privée pas si privée

Conscients des risques auxquels sont exposées les données qui transitent en ligne, d’aucuns se tourneraient vers la navigation privée. Aisément accessible depuis tous les navigateurs existants, ce mode serait la réponse simple et idéale au pistage et à la collecte des informations personnelles. Mais la réalité est toute différente.

La navigation privée permet aux internautes de surfer incognito localement. L’historique de navigation, les cookies, les données de sites et les informations saisies sont automatiquement supprimés du navigateur une fois la fenêtre fermée. En d’autres termes, les autres utilisateurs de l’appareil n’auront jamais accès au détail de l’activité.

En revanche, ouvrir une fenêtre de navigation privée n’empêche ni l’enregistrement des favoris, ni la conservation des téléchargements. Par là même, le FAI continue d’accéder à l’adresse IP de l’utilisateur et de loguer ses données de connexion, tout comme les sites web et les administrateurs système traquent ses activités en ligne.

Un VPN pour surfer incognito

L’une des solutions les plus simples et rapides à mettre en place consiste à opter pour un VPN. Pour rappel, le VPN (Virtual Private Network, ou réseau privé virtuel en français) joue le rôle d’intermédiaire entre un PC, un smartphone ou une tablette et le réseau Internet. Le trafic initialement géré par les fournisseurs d’accès à Internet est alors redirigé vers les serveurs du service via un tunnel chiffré. Dans la majorité des cas, les données de connexion sont chiffrées sur l’appareil de l’utilisateur, ce qui empêche les FAI d’y accéder, puis déchiffrées sur les serveurs du VPN qui se charge d’attribuer une nouvelle IP à l’appareil et d’atteindre la destination de la connexion.

Attention toutefois : la redirection du trafic n’empêche pas les FAI d’attribuer aux utilisateurs une adresse IP et de déterminer l’origine des connexions. Les FAI sont donc parfaitement en mesure d’identifier les utilisateurs recourant à un VPN et de savoir quand ils se connectent à un VPN. En revanche, ils sont incapables de prendre connaissance des données échangées (sites et pages visités, temps de connexion) entre l’utilisateur, le service et, par extension, le reste du réseau Internet.

Comment choisir son VPN ?

L’offre VPN est particulièrement dense, et il n’est pas toujours aisé de s’y retrouver. De façon générale, on oublie les services gratuits. Un éditeur non rémunéré sera soit incapable d’assurer une maintenance correcte de ses produits (failles, performances revues à la baisse, serveurs down), soit amené à loguer et exploiter les données déchiffrées sur ses serveurs, soit les deux. Sécurité et anonymat recherchés sont a priori largement compromis.

Contrairement à un réseau distribué comme Tor ou Freenet, le VPN a l’avantage de couvrir l’ensemble des logiciels, applications et services utilisés pour se connecter à Internet. D’où l’intérêt de se tourner vers une protection multiappareil et multi-OS. À titre d’exemple, des éditeurs comme ExpressVPN déclinent classiquement leur solution sur Windows, macOS, GNU/Linux, Android, iOS, tout en garantissant une parfaite compatibilité avec des appareils plus spécifiques comme une console (Nintendo Switch, PS3 / PS4, Xbox 360 / One), une smart TV (Apple TV, Amazon Fire TV Stick, Samsung Smart TV, Nvidia Shield, Chromecast), une liseuse (Kindle Fire), ou encore un simple routeur.

Enfin, et c’est finalement là le plus important, il est impératif de faire confiance à son fournisseur de VPN. On le rappelle, bien que chiffrées à l’aide d’algorithmes tous plus recommandés par la NSA les uns que les autres, les données de connexion sont systématiquement déchiffrées sur les serveurs du VPN. En cela, l’anonymat n’est réel qu’au regard des sites web visités et la sécurité des données n’est effective qu’au moment de leur passage dans le tunnel VPN. Et bien que la plupart des éditeurs certifient une politique zero log invérifiable (collecte et journalisation des adresses IP, historiques de navigation, requêtes DNS, destination du trafic, etc.), de récentes actualités ont fait état d’entorses aux garanties promises. Les risques menaçant la sécurité de la vie privée en ligne (exploitation des données par les fournisseurs et saisies dans le cadre d’une information judiciaire pour les services basés dans les pays soumis à l’obligation de conservation des données) ne sont donc jamais totalement écartés, et il est important de s’en souvenir. Notre partenaire ExpressVPN garantit la sécurité de vos informations grâce à sa technologie TrustedServer