En ces temps de Machine/Deep Learning, d’assistants vocaux, de patrons vérifiant les réseaux sociaux pour engager ou monitorer leurs employés (même dans leur vie privée) ou encore de la montée de l’autoritarisme/totalitarisme dans plusieurs démocraties, il est prudent de faire attention aux données qu’on partage aux différentes sociétés ainsi que des informations personnelles qu’on laisse en ligne.

Cela fait quelques années que graduellement je prends des mesures pour protéger ma vie privée au point d’être peu visible si on fait une recherche sur mon nom en ligne (et j’ai l’avantage d’avoir semble t-il un ou plusieurs homonymes relativement célèbres) et de limiter les informations que je partage avec les sociétés. Allons-y étape par étape.

Re-paramétrer Facebook

Il y a 7 ans (en 2011) j’avais déjà quasiment arrêté de poster sur Facebook à ce moment mais ce n’est qu’en 2013 que j’ai fais les changements suivants (avant d’arrêter d’y aller) :

  • Mettre les posts en “Amis seulement” par défaut
  • Passer le profil en “Amis seulement”
  • Être le seul à pouvoir voir ma liste d’amis
  • Me délister du moteur de recherche
  • Ne pas autoriser de me tagger sur les photos sans mon autorisation

Puis en début d’année je suis allé encore un peu plus loin (alors que déjà je n’ai rien posté dessus depuis 2013) en virant toutes les apps autorisées et en virant presque toutes les informations personnelles que j’y avais mis (séries/films/musique/pages que j’aime, mon numéro de téléphone, mon adresse, mes liens vers les autres réseaux sociaux, etc…).

Si j’ai toujours un compte Facebook c’est uniquement parce que j’en ai besoin pour le travail.

Adapter son comportement sur les réseaux sociaux

C’est assez dingue de devoir en arriver là mais il faut faire un minimum attention à ce que l’on poste sur les réseaux sociaux. Personnellement je me suis fixé quelques règles :

  • Ne pas poster des photos de mon visage (selfies ou autre, même s’il doit rester encore une ou deux vieilles photos trouvables sur Internet en fouillant bien) publiquement
  • Ne pas poster de photos de soirées
  • Ne pas poster de photos de lieux se trouvant près de chez moi
  • Ne pas poster de photos en plan large de l’intérieur de mon appartement
  • Ne pas indiquer où j’habite
  • Ne pas poster d’informations personnelles publiquement (numéro de téléphone, adresses mails, logins, etc…), c’est uniquement en DM en fonction de l’interlocuteur
  • Ne pas indiquer quand je pars en vacances ou quand je m’absente quelques jours de chez moi (et même la durée)
  • Des éléments permettant de trouver les réponses des questions permettant de réinitialiser les mots de passes sur les sites

Si je fais tout ça, c’est pour limiter les risques de vols d’identités, d’avoir des éléments pouvant se retourner contre moi si un jour je décide de quitter mon boulot et que les recruteurs de la boite suivante cherchent des choses pouvant invalider ma candidature (car ça reste très subjectif la perception de ce que vous faites même si c’est parfaitement légal et accepté par la majorité du public) et de limiter aussi les risques de vols et d’effraction chez moi.

Ça semble excessif mais il y a nombres d’histoires ces dernières années montrant des vols, licenciements et autres problèmes en partie à cause de l’utilisation, parfois maladroite, des réseaux sociaux (et de l’attitude plus que borderline des recruteurs et employeurs).

Prendre quelques mesures au niveau du navigateur internet

Déjà j’ai décidé de repasser sur Firefox, particulièrement depuis la mise à jour “Quantum” (version 57) en conjonction de plusieurs extensions :

  • uBlock Origin : Pour bloquer les pubs
  • Privacy Badger : Afin de bloquer les cookies (qui peuvent servir à faire de l’authentification cross-site et cibler votre comportement entre différents sites web)
  • HTTPS Everywhere : Pour forcer la connexion des sites en HTTPS
  • Firefox Multi-Account Containers : Permet d’isoler les sites en fonction d’un “contexte”, qu’on pourrait décrire comme une armoire. Par exemple il y a l’armoire normale, l’armoire “bancaire”, l‘armoire “Achats en ligne”, etc… Les cookies et autres éléments sont isolés des uns des autres, ce qui peut permettre par exemple d’être connecté avec un compte GMail différent sur chaque contexte (c’est un peu comme le comportement en navigation privée à l’exception que l’historique et les cookies sont sauvegardés). A noter qu’il faut ajouter chaque site manuellement dans un contexte.
  • Facebook Container : C’est la même chose que “Firefox Multi-Account Containers” à l’exception que toutes les requêtes pointant vers Facebook seront contenus dans un container “Facebook” à travers tous les contextes. Cela signifie aussi qu’il ne sera plus possible de se connecter aux sites en utilisant le “Facebook login” dans les autres contextes puisque la validation de la connexion n’atteindra pas les différents sites web dans les autres containers.
  • First-Party Isolation : Relie tous les cookies d’un site (qu’il soit First ou Tiers) au domaine indiqué dans la bar adresse. C’est un peu comme l’option “Bloquer les cookies des sites tiers” en un peu plus contrôlé. A noter que ça peut casser (car ce n’est pas systématique) les systèmes d’authentification passant par Google/Facebook.

Utiliser ces extensions permettra de grandement limiter les capacités de tracking des sites web (sinon vous pouvez prendre le chemin inverse et tout bloquer par défaut mais la navigation web pourrait être plus laborieuse).

Il y a d’autres choses que vous pouvez faire comme activer la résistance au fingerprinting en changeant la valeur “privacy.resistFingerprinting” à “true” dans le “about:config” (à taper dans la barre d’adresse, à partir de Firefox 60).

Une dernière chose possible est de limiter son utilisation de Google Search au profit de Qwant (car même si je trouve Qwant pas mal du tout, il manque encore quelques options et n’est pas forcément aussi pertinent au niveau des résultats que Google dans certains domaines).

S’éloigner de GMail

Cela fait deux ans que je me suis éloigné (mais que j’utilise toujours) GMail pour préférer ProtonMail.

ProtonMail est un service de mail chiffré sur lequel même le fournisseur n’a aucune information sur le contenu des boites mails et qu’ils ne demandent de base aucune informations personnelles (sauf au moment de payer l’abonnement si vous souhaitez opter pour une formule supérieure).

C’est différent de Google qui scanne tous les mails de votre compte afin de par exemple proposer les “cards” (les panneaux pouvant par exemple afficher le produit, le prix et le tracking d’une commande sans même ouvrir le mail ou encore d’ajouter automatiquement une réservation de train dans Google Calendar tout en prévoyant un itinéraire dans Google Maps).

De ce fait désormais j’utilise mes boites ProtonMail pour tout ce qui est personnel, pour mes commandes (Amazon/Fnac/etc…), administratif, médical, les newsletters “importantes”. GMail quand à lui est plus pour le “semi-spam” comme la plupart des newsletters, certaines boutiques en ligne, et les boutiques et services dont je n’ai pas envie qu’ils connaissent mon adresse ProtonMail.

J’ai également une autre adresse mail qui me sert de poubelle, pour les sites qui requiert d’une adresse mail pour fonctionner ou alors que je souhaite seulement tester le service sans vouloir donner trop d’informations.

Je vous conseillerais d’utiliser les alias autant que possible, qui se présentent sous la forme monmail+amazon@gmail.com au lieu de monmail@gmail.com dans les informations de contact de vos différents services (là pour Amazon dans l’exemple) pour connaitre la provenance des mails. Cela est pratique pour deux raisons :

  • De savoir qui a filé vos informations de contact à un tiers (si vous recevez des mails provenant d’un service/groupe dont vous vous êtes pas inscrit)
  • Pouvoir mettre en spam/supprimer directement tous les mails à destination de l’alias, ce qui sera bien plus efficace que de cibler l’expéditeur dans la plupart des cas

Malheureusement tous les formulaires d’inscriptions ne supportent pas forcément le caractère permettant l’utilisation d’alias (le “+”), le considérant comme un caractère invalide, ce qui peut être particulièrement ennuyant par moment. A noter que la plupart des services de mail supporte les alias (comme ProtonMail).

Et pour chatter ?

Ce ne sera pas une surprise, mais il vaut mieux éviter Facebook Messenger (surtout quand on voit un peu leur comportement), de même qu’Allo et Hangout par exemple. Quand je dis ça, en fait il faut surtout être tout à fait conscient que tout ce que vous dites/écrivez sur ces services sont enregistrés et analysés par les sociétés qui les possèdent.

Au risque d’en surprendre certains, je ne conseille pas non plus (mais c’est un peu mieux) Telegram et WhatsApp. Telegram parce que la sécurité et la confidentialité de base ne sont pas terribles sans compter du fait que le logiciel est closed-source et/ou non audité (donc vérifié par une société tierce dont c’est le travail). L’utiliser en mode “Secret Chat” est à priori mieux mais reste que les inquiétudes sont plus profondes.

Du côté de WhatsApp, les récents événements autour de la démission du créateur du service autour de la future gestion de la vie privée par Facebook, qui possède l’application, laisse craindre le pire (et qu’au final ce n’est pas si blindé que cela au niveau confidentialité et sécurité).

Je n’utilise plus Signal également, qui semblait reposer son infrastructure un peu trop sur Google et AWS pour limiter la censure et du fait que leur client bureau est pas mal en retard par rapport au client mobile en terme d’ergonomie (et potentiellement en fonctionnalités).

Au final je me suis tourné vers Wire (gratuit pour un usage personnel) qui semble très robuste au niveau sécurité et confidentialité, tout en ayant des clients mobiles et bureau correct ergonomiquement et ayant eu leur applications auditées assez récemment.

Néanmoins le plus dur reste d’encourager vos contacts à également changer de plateforme, ce qui est très compliqué.

Le smartphone dans tout ça ?

Je me suis moins penché sur cette utilisation même si j’ai pris de légères précautions :

  • Activer le GPS uniquement quand j’ai besoin d’utiliser Google Maps (sinon ça risque de faire un choc quand vous verrez sur votre compte Google tout vos déplacements avec précision sur plusieurs mois).
  • Faire attention aux droits que demande les applications à l’installation, surtout sur les apps un peu à la con (et même parfois sur des applications sérieuses où les mecs demandent des tonnes d’autorisations une app de reminder par exemple).
  • Ne pas oublier de désactiver l’enregistrement de la localisation dans les données des photos quand vous les prenez (ça vaut aussi quand vous twittez ou écrivez un post Facebook).

D’autres vont plus loin en réinstallant Android mais sans les applications et services Google et téléchargent directement les applications tierces (comme Netflix, Discord, Twitter, etc…) via les apk.

Ne pas oublier Windows

Par défaut Windows récupère pas mal d’informations sur l’utilisation du système qui sont envoyés à Microsoft. Heureusement il est possible de limiter très fortement la télémétrie du système ainsi que l’accès de certaines informations du système aux applications (Windows Store essentiellement).

Tout cela est possible en passant par le registre Windows mais il existe des applications qui permettent de faire les modifications de manière graphique comme O&O ShutUp. Cela fait quelques années que je l’utilise et il fonctionne très bien.

Je vous conseille quand même de regarder chacune des options.

Avec ce logiciel on peut désactiver OneDrive, Cortana, l’auto-installation d’applications du Windows Store, l’envoi de rapport à Microsoft de votre utilisation du système, différents niveaux de télémétrie, l’affichage de publicité dans l’explorateur, l’enregistrement d’actions, l’accès de différents matériels (comme le GPS, la caméra, le microphone, etc…), le fonctionnement de Windows Update en peer-to-peer, et d’autres choses. Bref indispensable.

Une autre chose est de changer les DNS de vos interfaces réseau puisque par défaut toutes vos requêtes Internet sont traités par votre fournisseur d’accès à Internet mais cela signifie du coup qu’ils savent tout ce que vous y faites. Cela vous rends également vulnérable à la censure qu’il peut y pratiquer ou d’une politique de gestion de réseau (comme le bridage de débit vers certains sites).

Pour court-circuiter tout ça, je vous recommande d’utiliser les DNS Quad9 (9.9.9.9) et/ou Cloudfare (1.1.1.1 ou 1.0.0.1 pour les utilisateurs d’Orange). Personnellement j’utilise les deux, l’un en principale et l’autre en secondaire de cette manière s’il y a un problème avec l’un des deux DNS, l’autre devrait être disponible (sinon c’est qu’il y a un problème avec ma connexion Internet ou un gros problème au niveau du réseau Internet). Il existe d’autres alternatives comme OpenDNS (208.67.222.222 & 208.67.220.220) et le DNS de la French Data Network (aussi appelé “FDN”).

Comme pour le reste, j’ai choisis ces deux là pour des questions de sécurité et de confidentialité. Vous pouvez également allez encore un peu plus loin en utilisant un VPN pour sûr de chiffrer entièrement ce qui transite sur votre connexion, au prix d’un abonnement relativement onéreux, une latence un peu plus élevée et une bande passante potentiellement moindre (il semble que les ténors du secteur ces temps-ci sont ExpressVPN et NordVPN en terme de confidentialité et de performance).

Le mot de la fin ?

Enfin si possible, privilégier les logiciels libres quand c’est possible (en terme de fonctionnalités, ergonomie et/ou besoin professionnel), cela peut être imprudent d’être captif d’une plateforme propriétaire, surtout au niveau professionnel (si la plateforme se fait hacker, fermer ou change brutalement du jour au lendemain ou presque).

Par exemple pour un développeur il serait intéressant de voir ce que propose GitLab par rapport à Github, ou encore de regarder Atom ou Visual Studio Code (qui je dois dire avance très bien et très vite) par rapport à SublimeText, tout comme choisir entre Slack et Mattermost ou Phabricator.

Le but n’est pas de dire que les logiciels propriétaires sont le mal, mais plutôt d’indiquer qu’il pourrait exister des alternatives opensource tout aussi efficaces qui pourrait permettre d’avoir un meilleur contrôle sur les plateformes que vous utilisez et/ou travaillez.

Mais je comprends aussi qu’on ne peut pas avoir le choix, personnellement je travaille avec un logiciel disponible uniquement sur Windows avec tout un écosystème utilisant les produits Microsoft, à partir de là ça limite les choix et il y a également le fait que je suis un gros joueur de jeux vidéo, donc voilà ^^.

Veiller aussi de toujours utiliser l’authentification à deux facteur (ou encore 2FA), que ce soit via SMS, email ou un token Google Authentificator (ou l’authentificator spécifique au service), de cette manière même si le mot de passe fuite ou qu’il est découvert par un hacker, il ne pourra se connecter au service en question pour y prendre le contrôle (et éventuellement faire des bêtises plus ou moins importantes avec).

Dernière chose, à mon sens je pense qu’il faut éviter les assistants vocaux de type Amazon Alexa/Google Assistant/Apple Siri/Microsoft Cortana et tous les autres qui sont closed-source et relié à Internet car ce sont des appareils qui écoutent tout ce qui se passe dans les lieux où ils sont présents (parce que pour activer “Hey Alexa!”, il faut bien qu’ils écoutent tout ce qui se raconte dans la pièce) et qui sont donc des potentiels appareils de surveillance.

Au final si vous décidez de suivre, même partiellement, une partie de ce que j’ai écris, vous regagnerez un peu le contrôle de vos données personnelles, ce qui est important.

De mon côté avec tout ce que j’ai entrepris, j’ai l’impression (mais ce n’est peut-être qu’une impression) d’un peu mieux contrôler mes données, je n’ai plus de spam sur ma boite principale, moins sur ma secondaire, les catégories de site sont regroupés en contexte sur mon Firefox pour ne pas qu’ils se nourissent les uns des autres (ce qui me vaut de devoir toujours faire les tests reCaptcha de Google, donc que ça doit fonctionner au moins partiellement étant donné la manière dont ça fonctionne).

De même que si quelqu’un doit chercher des informations en utilisant mon nom, sans trop trop trop pousser, elle ne trouvera pas grand chose. Mais j’ai également conscience que ce type de comportement pourrait être considéré comme suspect en fonction du type de société ou du gouvernement d’un pays pas très porté sur les valeurs de la liberté d’expression et d’opposition (de toute manière si le gouvernement me considère un jour comme un “indésirable”, ils auront des outils bien plus performants pour savoir ce que je fais comme les relevés de mon compte bancaire, utiliser les réseaux de vidéo-“protection” publics, l’historique de mon pass Navigo et d’autres choses par exemple. Le but de ce billet est de limiter le nombre d’informations que peut récupérer les boites sur Internet, pas de devenir invisible aux yeux du gouvernement).

S’il n’y aurait qu’un conseil que je donnerais, c’est de faire attention à ne pas donner des informations personnelles sur des réseaux entièrement publiques (comme Twitter mais aussi lorsque vous êtes connecté via un hotspot public sans VPN, qui pourrait être sniffé par n’importe qui dans les environs).

Attention à vos données ;)