À propos de la confidentialité sur Internet
vendredi 25 octobre 2024
L'ère numérique a apporté un grand nombre d'opportunités à l'humanité et concerne de nombreux aspects de nos vies. Travail, études, shopping, relations, vie quotidienne etc., tout cela reposant sur le concept de « communication ». L'apparition d'Internet peut à juste titre être qualifiée de révolution de la communication dans ses différentes manifestations. Ces changements majeurs dans nos modes de relation et de vie ont mis en lumière deux concepts importants, l'anonymat et la sécurité. L'anonymat complet est-il possible ? Quelles données laissons-nous en ligne ? Qu'est-ce qui leur arrive et comment cela peut-il affecter nos vies ? Dans cette publication du projet Lumières sur la sécurité, nous parlons de la confidentialité en ligne.
Internet hier et aujourd'hui
D'un point de vue technique, Internet fonctionne presque exactement comme il le faisait il y a 30 ans. Deux dispositifs sont connectés et communiquent entre eux via une chaîne de nœuds intermédiaires. Pour ce faire, ils doivent disposer de certains identifiants (adresses ou noms) et connaître l'itinéraire par lequel les données seront transmises. Bien sûr, il faut avoir des canaux de communication, ainsi que les règles définissant les paramètres de la transmission.
Initialement, le World Wide Web n'offrait pas de mécanismes spéciaux pour assurer l'anonymat et la sécurité des transmissions. Pendant des années, les gens ont échangé des informations « en clair », c'est-à-dire sans l'utilisation du chiffrement. Au départ, tout le monde était plus intéressé par les possibilités qu’offrait Internet que par la sécurité. Par conséquent, peu de gens ont réfléchi aux moyens de masquer les adresses IP et leur emplacement, de crypter les messages et d'utiliser des canaux sécurisés. Au départ, Internet n’était pas utilisé à grande échelle. La volonté d'anonymat est apparue plus tard, notamment au moment où le lien a été établi entre l’identité de l'utilisateur et son profil virtuel. Dit autrement, il existait un sentiment d’anonymat car les internautes ne faisaient pas vraiment de corrélation entre leur profil en ligne et leur identité réelle : j’utilise un pseudo donc personne ne peut savoir qui je suis.
Aujourd'hui, Internet est un réseau mondial qui connecte des milliards d'appareils différents et affecte presque tous les domaines de l'activité humaine. La nécessité de protéger les communications a conduit à l'introduction de solutions techniques appropriées. Le chiffrement du trafic en fait partie. Dans le même temps, la valeur de l'information est devenue nettement plus élevée et son volume encore plus. Il est difficile d'imaginer la quantité de données créées, transmises et stockées sur Internet chaque jour. Pour autant, à chaque action générée par un être humain, il existe a priori un identifiant qui permet de déterminer son identité. De plus, lorsque l'on se connecte à Internet, on laisse, en règle générale, une empreinte dite numérique. En d'autres termes, les questions de la sécurité et de la vie privée sont maintenant complètement différentes.
Données personnelles et fuites d'information
Les données personnelles sont des informations qui, agrégées, permettent d'identifier une personne. Par exemple, le numéro de téléphone et le nom complet. Ce sont des données uniques, dans le sens où elles correspondent à un seul individu, qu’elles soient purement numériques (identifiants, adresse IP par exemple) ou génériques (nom de famille, adresse etc.). Il existe de très nombreuses « données personnelles ».
Durant notre vie numérique, nous donnons à de multiples reprises nos données personnelles, à de nombreuses entités. Nous le faisons pour pouvoir interagir avec les services publics, dont la plupart sont maintenant en ligne, et également pour utiliser les réseaux sociaux, effectuer des achats en ligne, s’abonner à divers services (tv en ligne) etc.
Nous n’avons pas forcément conscience du nombre et du type de données que nous « déposons » en ligne. Au hasard, adresse e-mail, adresse postale, numéro de sécurité sociale, identifiants divers, numéro de carte bleue. Nous déclarons et payons nos impôts en ligne, effectuons nos démarches d’identité (passeport, carte d’identité) en ligne, notre santé est en ligne via le dossier patient numérique, nous effectuons des achats en ligne, etc., etc.
Il est évident que les sites qui recueillent ces données mettent en place des mesures fortes de sécurité, mais dans l’absolu, il est tout de même intéressant de réaliser à quel point notre identité entière est déclinée, par fragments sur différents sites, sur Internet. Sans parler des photos et vidéos que nous publions.
Parmi les acteurs qui ont accès à nos données, et surtout qui stockent nos données, certains peuvent être parfois problématiques. FAI, fournisseurs de services, opérateurs VPN, écosystèmes IoT, et les GAFAM posent la question de la sécurité des données privées à nos sociétés mondiales par le truchement de leur responsabilité dans le traitement, l’utilisation et la protection de nos données. Et ils peuvent également être la cible de cybercriminels.
Malheureusement, tous les opérateurs n'adoptent pas une approche responsable du stockage des données de leurs utilisateurs. Parfois, il y a des fuites dues aux actions d'intrus, et l'attaque peut être commise à la fois de l'extérieur et de l'intérieur de l'entreprise. Les bases de données qui ont fait l'objet d'une fuite sont généralement « flottantes » sur le web ou vendues sur des sites du dark web. Par conséquent, découvrir qu'un certain utilisateur a accédé à certains services ou s'est inscrit sur un certain site n'est pas une tâche trop compliquée. Pour ce faire, il suffit de vérifier les informations disponibles sur la personne sur différentes bases de données. Le problème des fuites de données personnelles devient de plus en plus important à mesure que les attaques des cybercriminels contre le secteur des entreprises s'intensifient, ainsi qu'en raison d'une protection insuffisante des données par certains opérateurs.
Suivi des activités et empreinte numérique passive
Certains acteurs peuvent voir (et suivre) l'activité d'un utilisateur en ligne. Les connexions HTTPS sécurisées masquent le contenu de la communication, mais pas le fait que la transmission a lieu. Dans la plupart des cas, ils peuvent voir les adresses et les noms de domaine des ressources que l'utilisateur visite. Ces données ne seront pas visibles lors de l'utilisation d'un VPN ou d'outils de routage alternatifs, mais le fait d'utiliser ces outils sera connu. Bien sûr, il n'est pas logique que le fournisseur collecte délibérément des données sur l'utilisateur et surtout les utilise, et ce n’est sûrement pas la règle, mais il convient de tenir compte du fait que cela est techniquement possible.
Les fournisseurs de divers services Internet, qu'il s'agisse de services de livraison, d'opérateurs VPN ou d'écosystèmes IoT (par exemple, une maison intelligente), peuvent traiter et stocker toutes les informations que vous leur transmettez. Malheureusement, il ne peut être garanti que ces informations ne seront pas transmises à des tiers (intentionnellement ou à la suite d'une fuite) ou utilisées à des fins illégales.
Le bon fonctionnement de la collecte de données automatisée peut être évalué par une publicité ciblée. Un exemple classique : vous cherchiez un nouveau réfrigérateur et maintenant vous voyez des bannières publicitaires sur les frigos partout. Ceci est réalisé grâce à la collecte de données de base par des trackers publicitaires sur divers sites, ainsi que par des services d'analyse tiers qui coopèrent avec les opérateurs de données.
Il semblerait qu'il soit difficile de se faire remarquer sur Internet parmi des centaines de millions d'utilisateurs. Mais la croissance de la puissance de calcul, l'amélioration des algorithmes et le développement des réseaux de neurones nous permettent d'apprendre beaucoup et très rapidement sur l'utilisateur grâce à l'empreinte numérique.
Réseaux sociaux et divulgation volontaire
En plus d'une empreinte numérique passive, les utilisateurs divulguent souvent des informations les concernant sur les réseaux sociaux. Bien sûr, toute personne décide de ce qu'elle veut partager, mais il convient de rappeler que la publication sur Internet s'apparente à un message radio envoyé sur une fréquence ouverte — c'est-à-dire qu'il n'est pas uniquement disponible pour les destinataires directs. Et même si vous utilisez les paramètres les plus privés (par exemple, publier uniquement pour les amis), le message sera disponible au moins pour l'opérateur du réseau social. Et dans le cas d'une publication ouverte — également aux intrus potentiels.
En plus des publications elles-mêmes, il est possible de collecter et d'analyser d'autres activités comme les commentaires, réactions, « like » et « unlike »... La question n’est pas uniquement de savoir si ces activités pourraient être utilisées contre vous, mais de garder à l’esprit qu’elles « restent en vue ». Si nécessaire, il est tout à fait possible de recueillir l'image générale de l'utilisateur à partir de petits morceaux.
Vulnérabilités inconnues et logiciels malveillants
Même si nous supposons que les créateurs d'un messager « sécurisé » ou de tout autre service d'anonymisation ne divulgueront vos données en aucun cas, il n'existe aucune garantie de sécurité absolue. Le fait est que tout programme peut contenir une faille connue seulement d'un nombre limité de personnes. Une telle vulnérabilité, par exemple, peut permettre de lire la correspondance personnelle ou de surveiller les actions de l'utilisateur. Malheureusement, il est impossible de s'assurer qu'il n'y a pas de telles failles, vous devez donc supposer que votre communication peut être compromise à tout moment.
Dans un article sur ce sujet, il est évidemment impossible de faire l’impasse sur les logiciels malveillants. Logiciels espions, enregistreurs de frappe, programmes d'usurpation DNS et autres chevaux de Troie présentent tous un risque direct pour la sécurité. De nombreux programmes malveillants sont également utilisés pour pirater les appareils IoT équipés de caméras et ayant accès aux réseaux domestiques. Un utilisateur qui ne se soucie pas de la sécurité de ses appareils numériques augmente considérablement le risque que ses données personnelles tombent entre de mauvaises mains. Et c'est beaucoup plus dangereux que la publicité intrusive ou les fichiers logs de votre activité dans les archives du fournisseur.
Bilan de sécurité
L'anonymat absolu sur Internet est inatteignable, mais cela ne signifie pas que vous ne devez pas vous efforcer d'obtenir une confidentialité raisonnable. Beaucoup dépendra de combien l'utilisateur se permet de révéler son identité.
Les utilisateurs doivent d'abord se méfier des escrocs et des cybercriminels, dont l'activité est souvent basée sur le vol d'informations et les fuites. L'hameçonnage ciblé, par exemple, consiste à préparer une attaque en fonction des données collectées sur une personne.
Sinon, vous devez simplement garder à l'esprit le fait qu’aujourd’hui, les données nous concernant sont collectées et analysées par de nombreux systèmes sur le réseau. La plupart d'entre eux sont créés à des fins commerciales, d'autres appartiennent à des régulateurs et à des structures publiques. Dans le même temps, on ne sait pas exactement comment des données spécifiques seront utilisées ou si elles seront utilisées.
Le projet Lumières sur la sécurité recommande
- Nous devons penser à l'empreinte numérique et aux métadonnées que nous laissons sur Internet, même en dépit de l'utilisation de canaux de communication sécurisés. Techniquement, ils permettent de faire un portrait de l'utilisateur en fonction de ses actions sur le réseau et d'identifier la personne. Par exemple, en utilisant des paramètres temporaires.
- Les fuites de données font le jeu des attaquants qui utilisent les informations reçues dans le cadre de leurs activités illégales. Suivez les règles de base de l'hygiène numérique.
- Utilisez des mots de passe forts, modifiez-les périodiquement et essayez de ne pas utiliser le même mot de passe pour plusieurs systèmes et services. Utilisez également l'authentification à deux facteurs.
- Soyez conscient du faux sentiment de sécurité qui peut survenir lors de l'utilisation de divers services qui promettent l'anonymat sur le réseau. L'anonymat absolu sur Internet est un mythe.
- Utilisez une solution antivirus fiable pour protéger vos appareils contre les logiciels malveillants. Il faut garder à l'esprit qu'aucun antivirus ne peut effacer votre empreinte numérique.
- Et surtout, restez confiant et positif !
#anonymat #logiciel_malveillant #protection_contre_perte_de_données #Internet #Internet_des_objets #Messenger #données_personnelles #confidentialité
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.