Guide de protection numérique

Protéger ses activités en ligne

Nothing 2 Hide - 30 janvier 2023

Nous partageons aujourd’hui la deuxième partie du Guide de protection numérique réalisé par les camarades de l’association Nothing 2 Hide qui proposent de outils de sécurité et d’auto-défense numérique à destination de journalistes, militant·es, activistes et citoyen·nes à travers le monde.
La suite du guide sera publié sur enquetecritique.org au cours des prochaines semaines.

Sécuriser son surf en ligne

Naviguez en toute sécurité

Tout votre trafic web est potentiellement accessible par votre fournisseur d’accès. Et plus largement par tous intermédiaires qui se situent entre votre ordinateur et le site que vous visitez : borne wifi, routeurs, FAI, ordinateurs relais sur Internet, etc. Voici quelques solutions pour protéger votre activité web des regards indiscrets.

Sécurisez votre connexion avec https

Lorsque vous allez sur le web avec votre portable ou votre ordinateur, vous utilisez le protocole http (hyper texte transfer protocole). Un protocole est un ensemble de règles et de normes qui permettent à deux machines de communiquer ensemble. Https est la version sécurisée du protocole http. Lorsque vous visitez un site dont l’url commence par https vous êtes assuré de trois choses :

  • L’Authenticité du site visité : chaque site https dispose d’un certificat qu’il présente à votre navigateur lorsque celui-ci y accède. Votre navigateur dispose de son côté d’une base de données qui lui permet de vérifier la validité du certificat présenté. Le certificat correspond à la carte d’identité du site et est unique pour chaque site https.
  • La confidentialité des données : entre vous et le site visité, il existe de nombreux intermédiaires : le fournisseur d’accès, le ou les serveurs, un éventuel proxy, voire une personne malveillante (tout particulièrement lors de connexion sur des hotspots wifi ouverts). Une fois l’identité du site validée, un canal de communication chiffré est établi entre votre navigateur et le site vous garantissant qu’aucun intermédiaire entre vous et le site visité ne sera en mesure d’intercepter les informations échangées que ce soient les pages demandées, le contenu de celles-ci ou les mots de passe envoyés.
  • L’intégrité des données : L’utilisation du protocole https vous garantit également que personne ne peut modifier les données envoyées.

Comprendre les alertes https

Si vous cet avertissement sur le site que vous visitez :

cela signifie que votre navigateur ne peut authentifier le site que vous visitez. Pour afficher un site avec en navigateur avec une connexion sécurisée via https, les sites web ont besoin d’obtenir un certificat, ce serait l’équivalent de papiers d’identité, pour prouver aux navigateurs web (chrome, firefox, safari, etc.) que le site est be est bien celui qu’il prétend être. Si vous voyez l’avertissement ci-dessus, cela signifie que le certificat https a expiré. C’est pour cette raison que votre navigateur vous affiche une alerte de sécurité. En gros il vous dit “je ne peux pas certifié l’‘identité de ce site, cela pourrait tout aussi bien être une copie malveillante”.

Le site est toujours en ligne. Vous pouvez y accéder à vos risques et périls avec une connexion non sécurisée. C’est à dire en http tout court, sans le “s” qui signifie sécurisé. Puisque l’identité du site web ne peut être établie grâce au certificat, la connexion entre votre ordinateur / smartphone et le site ne peut être sécurisée et toutes les informations qui transitent sur Internet entre votre ordinateur ou votre smartphone et le site ne seront pas chiffrées. Cela signifie que si vous vous connectez à une interface d’administration et que vous entrez votre nom d’utilisateur et votre mot de passe, ces derniers voyageront sur Internet en clair et pourront être interceptés à tout moment.

Pour résoudre ce problème, il faut contacter votre l’hébergeur ou le webmaster du site web et lui demander de renouveler le certificat https de votre site.

Boostez votre navigateur

Il y a des cas où un site web offre à la fois une connexion HTTP et HTTPS mais sans imposer HTTPS par défaut. Un site peut aussi vous diriger sur une page en HTTPS puis vous faire diriger ensuite sur une page en HTTP, non sécurisée. Heureusement il existe des outils pour s’assurer de naviguer sur toutes les pages d’un site de manière sécurisée en HTTPS.

Pour vous assurer d’utiliser systématiquement la version sécurisée d’un site web lorsque celle-ci est disponible, Utilisez DuckDuckGo Smarter Encryption. Une fois activée dans votre navigateur web, cette extension sécurisera votre trafic web en forçant le chiffrement de la connexion chaque fois que cela est possible.

Sur ordinateur, installer l’extension Duck Duck Go Privacy Essentials :

Sur smartphone DuckDuckGo Smarter Encryption est intégrée à l’application de navigation DocuDuckGo Privacy. Pour l’installer :

Chiffrez votre surf

Le problème de https est que son activation ne dépend pas de vous mais du webmaster du site que vous visitez. tous les sites n’utilisent pas https et une grosse partie de votre surf n’est donc pas chiffrée. Heureusement, il existe des logiciels qui permettent de chiffrer votre connexion et de protéger votre identité en ligne. Pour ce faire, deux solutions :

  • utiliser un VPN
  • utiliser le navigateur Tor

L’utilisation de ces outils vous permettra également de laisser le moins de traces possibles sur Internet.

Protéger son trafic Internet à l’aide d’un VPN

Contourner la censure et protéger son surf avec un VPN

Cette technologie, très utilisée dans le monde de l’entreprise, permet de créer un tunnel (une liaison virtuelle), via Internet, entre deux réseaux physiques géographiquement distants et ce, de manière transparente pour ses utilisateurs. Eux seuls y ont accès (d’où son caractère privé) et les données envoyées au travers de ce tunnel sont chiffrées. Ceci garantit aux utilisateurs d’un VPN qu’en cas d’interception malveillante (espionnage, intrusion, etc), les données soient illisibles pour des tiers.

Cas pratique d’utilisation professionnelle

Un VPN permet d’aller d’un réseau à un autre réseau en traversant Internet via un tunnel sécurisé. À travers un VPN “classique”, vous rester dans un réseau fermé, en général celui de votre entreprise : votre navigateur Internet ne peut pas aller sur Google, votre client mail ne peut se connecter qu’au mail interne de votre entreprise, etc. Vous êtes à l’abri, mais isolés.

Utilisation d’un VPN en mode “évasion virtuelle et contournement de la censure”

Certains États surveillent et espionnent le contenu des connections de leurs populations et au besoin, n’hésitent pas à filtrer l’accès à certains sites ou services qu’ils jugent contraire à leurs intérêts.

Le schéma ci-dessous présente un cas de filtrage mis en oeuvre par un gouvernement pour empêcher les internautes de son pays d’y déposer des vidéos de manifestations. Voilà un contexte idéal pour utiliser un VPN afin de contourner ce filtrage.

Le schéma suivant présente l’utilisation d’un VPN comme moyen de contournement du filtrage mis en place.

Ici, votre poste de travail remplace la société A et le fournisseur de VPN remplace la société B. La différence majeure est que le fournisseur de VPN vous connecte “réellement” à Internet et, de ce fait, Internet vous voit désormais connecté depuis la Suède et non depuis votre pays. Ainsi, le filtrage mis en place par votre pays ne s’applique plus. En utilisant un outil légal, le VPN, vous pouvez publier votre vidéo sur Youtube, consulter vos emails, surfer où vous voulez de façon sécurisée etc. Votre pays ne verra plus l’utilisation que vous faites d’Internet car vous accédez désormais à Internet via un tunnel chiffré dont la sortie se trouve en Suède, un pays où le réseau Internet ne peut être contrôlé par votre gouvernement.

Un VPN contre les regards indiscrets

En plus de permettre de contourner la censure, un VPN vous permet de protéger toutes les connexions sortantes de votre ordinateur. Ainsi votre surf, vos connexions à votre fournisseur de mail, l’accès à des fichiers dans des services de cloud computing, etc… tout votre trafic Internet circulera via le tunnel créé par le VPN et ne sera donc pas accessibles aux regards indiscrets, que ce soit un wifi public, votre fournisseur d’accès ou tout autre potentiel attaque de type homme du milieu. Votre trafic sera acheminé chiffré jusqu’au serveur VPN (situé en Suède sur le schéma plus haut) et déchiffré par ce serveur. A noter : le chemin parcouru après le déchiffrement par le serveur VPN lui n’est plus chiffré.

Mettre soi-même en place ce type de service n’est pas chose aisée et demande une connaissance technique qui n’est pas à la portée de tous. Il existe heureusement des sociétés qui commercialisent ce type de services, rendant ainsi trivial la configuration et l’utilisation d’un VPN sur votre poste de travail.

Bien choisir son service de VPN

Un VPN protège votre trafic Internet de la surveillance sur le réseau public, mais il ne protège pas vos données du réseau privé que vous utilisez. Si vous utilisez un VPN d’entreprise, la personne qui gère le réseau de l’entreprise pourra voir votre trafic et vos données. Il en va de même pour un VPN commercial. Ainsi, un service VPN peu scrupuleux peut délibérément surveiller votre trafic afin de recueillir des informations personnelles ou d’autres données précieuses.

Fuyez les VPN gratuits. D’une manière ou d’une autre, ces services “gratuits” trouveront un moyen de vous faire payer. Un VPN gratuit peut par exemple avoir été mis en place avec pour seule finalité d’espionner tranquillement vos communications

Le gestionnaire d’un service VPN que ce soit commercial ou un VPN d’entreprise peut faire l’objet de pressions de la part de gouvernements ou de forces de l’ordre pour communiquer des informations sur votre trafic. Il faut impérativement consulter la politique de confidentialité de votre fournisseur de VPN pour obtenir des informations sur les circonstances dans lesquelles il peut transmettre vos données à un tiers.

Vous devez également prendre en considération le pays dans lesquels le fournisseur VPN opère. Celui-ci est soumis aux lois du pays, y compris celles régissant les demandes d’obtention d’information. Les lois varient d’un pays à l’autre et parfois celles-ci permettent parfois aux autorités de collecter des informations sans vous en informer ou sans vous donner la possibilité de les contester. Le fournisseur de VPN peut également être soumis à des demandes légales d’informations de la part de pays avec lesquels le pays dans lequel il opère a un traité d’assistance juridique.

Quelques exemples de service VPN

Voici quelques fournisseurs de VPN reconnus comme étant sûrs :

Le prix d’une connexion VPN varie entre 5 et 12 € mois.

La plupart des services VPN fournissent une documentation ainsi qu’un logiciel à installer sur votre poste de travail. Une fois abonnés à leurs services, vous recevez par mail vos identifiants de connexion : nom d’utilisateur & mot de passe (de la même manière que votre boite email).

Démarrez le logiciel fourni, entrez votre identifiant et mot de passe, le logiciel fera le reste pour vous. Il crée le fameux « tunnel » vers le pays que vous aurez préalablement choisi. Une fois la connexion établie vous voilà « virtuellement » dans un autre Pays.

Le VPN de Nothing2Hide

Nothing2Hide met à disposition gratuitement son serveur VPN aux membres de l’association, journalistes, militants et activistes qui nous font parvenir une demande motivée. Pour l’installer, suivez les instructions ci-dessous, selon votre plate-forme :

Une fois le logiciel installé, contactez-nous pour obtenir un nom d’utilisateur et un mot de passe et accéder à notre service.

Rester anonyme avec Tor

Téléchargement

Le guide en ligne

À lire chez les copain de Tails pour l’instant. On rajoute très vite un micro texte spécial journalistes et activistes :)

Et Tor plus VPN, c’est une bonne idée ?


Nous profitons de cet article pour annoncer la sortie de la sixième édition du Guide d’autodéfense numérique réalisée par d’autres camarades, entièrement mise à jour, afin de fournir conseils et recettes adaptées pour s’orienter dans les méandres parfois hostiles de la jungle numérique.

Cette réédition augmentée contient toujours deux tomes (regroupés en un seul ouvrage), et documente en particulier les dernières versions de Debian et de Tails. Elle inclut aussi de nombreuses actualisations sur les pratiques de surveillance numérique, sur les lois que nous subissons et sur les outils que nous utilisons, ainsi qu’un nouveau chapitre sur la réduction des risques appliquée au numérique.

La nouvelle édition du guide d’autodéfense numérique est d’ores et déjà accessible en version numérique. Sa version papier, publiée par les éditions Tahin Party, sera disponible en librairie à partir du 27 janvier 2023.