Tout d'abord, les menaces de toutes sortes qui pèsent sur la sécurité de l'internet ont évolué au-delà des prévisions de la plupart d'entre nous, et si vous avez été attentif, vous vous demandez ce que vous devriez vraiment faire en réponse. Mon téléphone a récemment été piraté et mon mot de passe Google réinitialisé. Les menaces peuvent provenir de criminels, d'ennemis idéologiques et de personnes animées d'une vendetta ou d'une mission (quelle qu'elle soit), de puissances étrangères et, ce qui préoccupe particulièrement certains d'entre nous, des services omniprésents et massivement intrusifs des géants de la technologie.

Deuxièmement, les géants de la Silicon Valley ont décidé d'aller au-delà de la simple modération des comportements objectivement abusifs et de la fermeture d'organisations terroristes (vraiment évidentes), pour commencer à s'engager dans la censure des points de vue des conservateurs et des libertaires. En tant que libertaire de la liberté d'expression qui a vécu en ligne une grande partie de sa vie, ces développements sont profondément inquiétants. Les coupables sont les sociétés dites FAANG (Facebook, Apple, Amazon, Netflix, Google), mais il faut ajouter à cette liste YouTube, Twitter et Microsoft. Nous sommes nombreux à dire que nous devons nous soustraire aux mains de ces réseaux, mais il est manifestement difficile de savoir exactement comment le faire. Pourtant, je suis motivé pour essayer.

Une troisième raison est que ces mêmes grandes entreprises technologiques, dont Facebook et Google sont peut-être les pires contrevenants, ont vendu notre vie privée. Non seulement cette pratique est profondément choquante et je refuse d'y participer, mais elle met également en danger ma sécurité et celle de ma famille, en créant de nouvelles "surfaces d'attaque" (pour utiliser le jargon de la sécurité informatique) que les entreprises doivent protéger en notre nom. Il se peut qu'elles ne fassent pas un bon travail à cet égard. De même, les gouvernements ont pris l'initiative de nous surveiller systématiquement - pour notre sécurité, bien sûr. Mais si vous êtes comme moi, vous vous sentirez moins en sécurité, pas plus, car nous ne savons pas quels sont les mauvais acteurs à l'œuvre dans des gouvernements par ailleurs honnêtes, nous ne savons pas ce que des gouvernements plus corrompus pourraient faire des informations lorsque nous voyageons à l'étranger, et nous ne connaissons pas l'avenir de nos propres gouvernements.

À l'origine de tous les problèmes, il y a simplement le fait que l'efficacité et la simplicité fantastiques de la technologie informatique ont été rendues possibles par notre participation à des réseaux et par l'acceptation de contrats d'utilisation proposés par des sociétés massivement riches et puissantes. Naturellement, parce que ce qu'elles offrent est si précieux et parce qu'il est offert à des prix raisonnables (souvent, gratuitement), elles peuvent exiger beaucoup d'informations et de contrôle en échange. Cette dynamique a conduit à ce que nous (la plupart d'entre nous) leur envoyions des cargaisons de nos données. C'est un pot de miel pour les criminels, les autoritaires et les spécialistes du marketing, comme je l'ai expliqué plus en détail.

La seule chose que nous puissions faire contre cette surveillance et ce contrôle systématiques est d'arrêter de laisser les géants de la technologie le faire pour nous. C'est pourquoi je veux les chasser de ma vie.

Les menaces qui pèsent sur la sécurité de nos informations et sur notre vie privée sapent certains principes de base de l'Internet décentralisé qui s'est développé dans les années 90 et a connu un véritable boom dans les années 2000. L'Establishment s'est emparé de ce qui était autrefois un phénomène de société civile sans centre et respectueux de la vie privée, pour le transformer en quelque chose de centralisé, invasif, risqué et contrôlant. Ce qui était autrefois la technologie de l'autonomie personnelle a permis - comme jamais auparavant - la cybercriminalité, la collectivisation, la loi du plus fort et la censure.

 

Le plan

Une certaine réglementation est peut-être nécessaire. Mais je ne propose pas d'essayer de mener un combat politique. Je veux simplement savoir ce que je peux faire personnellement pour atténuer mes propres risques. Je ne veux pas emprunter la voie facile ou même légèrement difficile pour protéger ma vie privée ; je veux être hardcore, voire extrême.

Je ne suis pas sûr de la liste complète des choses que je devrais faire , mais depuis que j'ai commencé à travailler sur ce projet de protection de la vie privée en janvier 2021, j'ai rassemblé de nombreuses idées et j'ai agi sur la quasi-totalité d'entre elles à la date de la présente édition. J'examinerai certaines d'entre elles plus en profondeur avant de passer à l'action, mais d'autres, je les ai déjà mises en œuvre.

Arrêter d'utiliser Chrome. (C'est fait.) Google collecte des quantités massives d'informations sur nous via son navigateur. La bonne nouvelle est que vous n'êtes pas obligé de l'utiliser, si vous faites partie des 62 % de personnes qui l'utilisent. J'ai utilisé Firefox, mais cela ne m'a pas plu. L'organisation Mozilla, qui gère le navigateur, est manifestement dominée par la Silicon Valley. Franchement, je ne leur fais pas confiance. J'ai opté pour Brave, le nouveau navigateur d'Eich, axé sur la protection de la vie privée. J'ai eu une bien meilleure expérience en l'utilisant dernièrement que lorsque je l'ai essayé pour la première fois il y a un an ou deux, alors qu'il était encore à la pointe de la technologie. Brave bloque automatiquement les publicités, les trackers, les cookies tiers, crypte vos connexions et, contrairement à Google, ne possède pas de profil sur vous (enfin, il ne quitte jamais votre machine ; la société Brave n'y a pas accès). En tant que navigateur, il est très bon et agréable à utiliser. Il vous paie également en crypto pour l'utiliser. Il peut y avoir quelques rares problèmes (peut-être liés à JavaScript), mais lorsque je soupçonne qu'il y a un problème avec le navigateur, j'essaie ce que j'essaie de faire dans une version verrouillée de Firefox, qui est maintenant ma solution de rechange. Il n'est absolument pas nécessaire d'utiliser Chrome pour autre chose que des tests, et ce uniquement si vous travaillez dans le domaine du développement Web. Au fait, l'application Brave pour iOS est également très intéressante.

Arrêtez d'utiliser Google Search. (Je comprends que parfois, pour obtenir la bonne réponse, il faut utiliser Google, car il donne généralement les meilleurs résultats de recherche. Mais j'obtiens des résultats étonnamment bons avec DuckDuckGo (DDG), que j'utilise depuis un certain temps déjà. Comme Brave et contrairement à Google, DDG ne vous suit pas et respecte votre vie privée. Vous n'êtes pas le produit. Il est facile d'aller dans la page des paramètres de votre navigateur et de changer. Voici une astuce que j'ai apprise, pour les cas où les résultats de DDG sont décevants (peut-être 10 % du temps pour moi) : J'utilise une autre recherche privée, StartPage (anciennement Ixquick), qui est apparemment basée sur les résultats de recherche de Google, mais je vois des différences sur certaines recherches, donc ce n'est pas seulement un frontal privé pour Google. Vous pouvez préférer StartPage à DDG, mais dans l'ensemble, je préfère toujours DDG. Mais je devrais peut-être faire des recherches plus approfondies sur les différences.

Commencez à utiliser un (meilleur) logiciel de gestion des mots de passe. Ne laissez pas votre navigateur stocker vos mots de passe. Et n'utilisez plus jamais de connexion sociale. (C'est fait.) Vous devez pratiquer une bonne "hygiène des mots de passe". Si vous faites partie de ces personnes qui utilisent le même mot de passe pour tout, surtout s'il s'agit d'un mot de passe simple, vous êtes un imbécile et vous devez arrêter. Mais si vous devez conserver un million de mots de passe forts différents pour un million de sites différents, comment faire ? Un logiciel de gestion des mots de passe. Pendant de nombreuses années, j'ai utilisé le logiciel gratuit et open source KeePass, qui est sûr et fonctionne, mais qui ne s'intègre pas bien aux navigateurs, ou qui ne me permet pas de sauvegarder la date de mes mots de passe en toute sécurité dans le nuage (ou peut-être mieux, sur la blockchain). J'ai donc trouvé un meilleur gestionnaire de mots de passe et je l'ai configuré sur tous mes appareils. Je suis passé à EnPass. C'est essentiel pour verrouiller ma cyber-vie. Dans le même ordre d'idées, il y a deux autres choses que vous devriez faire, et que j'ai faites : configurer mes navigateurs pour qu'ils cessent de suivre mes mots de passe, et ne jamais les laisser enregistrer un autre de mes mots de passe. (Sachez toutefois que votre capacité à vous connecter à un site est plus sûre si le site utilise un cookie, appelé jeton, pour le faire ; cela n'inclut pas un mot de passe stocké en texte clair. Lorsqu'un site web me demande si je veux me connecter automatiquement, à l'aide d'une case à cocher dans le formulaire de connexion, je dis oui ; mais lorsqu'un navigateur me demande si je veux qu'il se souvienne de mon mot de passe, la réponse est toujours non. Enfin, l'une des façons dont Facebook, LinkedIn, etc. s'insinuent dans nos cyber-vies est de nous donner un moyen facile de nous connecter à d'autres sites. Mais cela leur permet de nous suivre plus facilement partout. Si vous installez un bon gestionnaire de mots de passe, vous n'avez pas besoin de dépendre des services de connexion sociale (basés sur la norme OAuth). Il suffit de les ignorer et d'utiliser l'option omniprésente de "connexion par e-mail" à chaque fois. (Je n'ai pas encore rencontré de site web qui nécessite absolument les connexions aux médias sociaux). Votre gestionnaire de mots de passe rendra la connexion à peu près aussi facile que celle des services de médias sociaux.

Arrêtez d'utiliser gmail. (C'est fait.) Cela a été plus difficile, et la conception et l'exécution de la logistique ont été une corvée : il fallait changer tous les comptes, en particulier les comptes importants, qui utilisent mon adresse gmail. J'avais envie de le faire depuis un certain temps, mais le nombre d'heures qu'il fallait pour effectuer les changements nécessaires était décourageant (et j'avais raison : cela a pris pas mal d'heures en tout). Mais j'étais totalement déterminée à franchir le pas, alors je l'ai fait. Une autre raison est que je me suis dit que je pourrais avoir une seule adresse électronique pour le reste de ma vie. Voici comment j'ai choisi un service d'hébergement d'e-mails pour remplacer Gmail. Et voici comment j'ai configuré un hébergement d'emails privé pour ma famille.

Arrêtez d'utiliser iCloud pour synchroniser les données de votre iPhone avec celles de votre ordinateur de bureau et de votre ordinateur portable ; remplacez-le par une synchronisation par wi-fi. (Fait.) Si vous devez utiliser un smartphone, et si (comme le mien) c'est un iPhone, alors arrêtez au moins de mettre toutes vos précieuses données sur les serveurs d'Apple, c'est-à-dire sur iCloud. C'est très facile de s'y mettre. Après avoir fait cela, vous pouvez aller dire à iTunes de synchroniser vos contacts, calendriers et autres informations via le wi-fi ; voici comment. Et je suis désolé de vous le dire, mais Apple n'est vraiment pas tout ça. Au fait, quelques mois après avoir écrit ce qui précède, j'ai regardé plus attentivement la zone de réglages de mon iPhone pour les données stockées dans iCloud ; il s'avère que je devais supprimer chaque catégorie de données une par une, et je ne l'avais pas encore fait. Il n'est pas facile de les désactiver complètement, mais je pense que c'est fait maintenant.

S'abonner à un VPN. (Fait.) Cela peut sembler très difficile et technique à première vue, mais en fait, c'est l'une des choses les plus simples que vous puissiez faire. J'ai configuré le mien en quelques minutes ; ce qui m'a pris quelques heures, c'est de chercher lequel choisir. Mais pourquoi un VPN ? Eh bien, les sites Web peuvent toujours obtenir pas mal d'informations sur vous à partir de votre adresse IP et votre FAI (ou les gouvernements qui demandent les données) peuvent écouter toutes les données qui se trouvent en clair via votre connexion Web. Les VPN résolvent ces problèmes en rendant votre connexion à Internet anonyme. L'un des problèmes des VPN est qu'ils ralentissent légèrement votre connexion Internet ; d'après mon expérience, c'est rarement suffisant pour faire une différence. Ils ajoutent également un peu de complexité à votre vie, et il est possible que les sociétés de VPN fassent de fausses déclarations sur ce qu'elles font avec vos données (certaines des déclarations de certains VPN ont été testées, cependant). Mais c'est une excellente étape à franchir si vous êtes sérieux au sujet de la vie privée, et si vous n'êtes pas gêné par la légère baisse de votre vitesse de connexion. Les fenêtres privées intégrées à Brave, qui fonctionnent sur le réseau Tor, constituent une solution de rechange intéressante, car elles fonctionnent sur un principe similaire à celui des VPN.

Obtenez une protection contre le vol d'identité. (Fait.) S'abonner à un service de protection contre le vol d'identité. Si vous ne savez pas ce qu'est le vol d'identité ou si vous ne vous en souciez pas, c'est probablement parce que vous n'avez jamais vu de frais bizarres apparaître sur votre carte, ni vu votre carte bloquée par votre banque, etc.

Passez à Linux. (Fait.) J'ai utilisé une machine virtuelle Linux (Ubuntu) pour la programmation pendant un certain temps. Linux est stable et utilisable pour la plupart des usages. Il a encore de très petits problèmes d'utilisation pour les débutants. Si vous êtes à la hauteur, dans ce cas, il est tout simplement meilleur que Windows ou Mac, point final, dans presque tous les domaines. Tout compte fait, les problèmes des débutants sont loin d'être aussi graves que ceux associés à l'utilisation des produits de Microsoft et d'Apple. J'ai installé Ubuntu sur une partition de ma station de travail et j'en ai fait mon environnement de travail principal. J'ai également donné mon ordinateur portable Mac et acheté un nouvel ordinateur portable, sur lequel j'ai fait une installation propre, également d'Ubuntu. Linux est généralement plus sûr, donne plus de contrôle à l'utilisateur et, surtout, n'est pas soutenu par une multinationale géante qui veut prendre et vendre vos informations.

Abandonner les médias sociaux, ou du moins mettre en place une politique d'utilisation des médias sociaux raisonnable. (Fait.) Je suis extrêmement ambivalent quant à mon utilisation continue des médias sociaux. J'ai fait une pause de plus d'un mois (ce qui était agréable), mais j'ai décidé qu'il était trop important pour ma carrière d'être connecté aux réseaux les plus courants. Si je dois les utiliser, j'ai l'impression qu'il me faut établir un ensemble de règles à suivre pour ne pas me laisser entraîner. Je veux aussi reconsidérer la façon dont je pourrais utiliser les réseaux sociaux alternatifs, et les outils de médias sociaux qui facilitent la publication et l'archivage de mes messages. L'un de mes principaux problèmes avec tous les réseaux de médias sociaux est qu'ils rendent extrêmement difficile le téléchargement et le contrôle de vos propres données - comment osent-ils ? Il existe des outils pour s'occuper de cela...

Arrêtez d'utiliser le stockage en Cloud public. (Fait.) "Maintenant," vous allez me dire, "vous devenez déraisonnable. C'est hors de contrôle. Ne pas sauvegarder sur Dropbox, iCloud, Google Drive, Box ou OneDrive ? Ne pas avoir la commodité d'avoir les mêmes fichiers sur toutes mes machines de manière égale ? Vous êtes fou ?" Je ne suis pas fou. Vous ne vous rendez peut-être pas compte de ce qui est désormais possible sans les grands services de "Cloud public". Si vous êtes sérieux à propos de la protection de la vie privée et que vous n'avez plus confiance en Big Tech - ce qui est le cas - alors oui. C'est également nécessaire. Une option est Resilio Sync, qui déplace les fichiers entre vos appareils via des réseaux profondément cryptés (via une version modifiée du protocole BitTorrent), les fichiers n'atterrissant jamais ailleurs que sur vos appareils. Une autre option consiste à utiliser un NAS (Network Attached Storage Device), qui est en fait votre propre serveur cloud permanent auquel vous êtes le seul à pouvoir accéder, mais vous pouvez y accéder de n'importe où via une connexion Internet cryptée. Il existe également des concurrents open source de Dropbox qui utilisent le cloud (le terme à rechercher est "cryptage à connaissance zéro"), mais qui sont sans doute plus sûrs ; en tout cas, vous en avez le contrôle. Une autre option consiste à faire fonctionner un serveur en nuage à partir de votre bureau (s'il est toujours allumé), en utilisant quelque chose comme NextCloud. Au début, j'ai décidé d'opter pour Resilio Sync. Puis j'ai changé d'avis, parce que c'était pénible de ne pouvoir synchroniser que lorsque les deux appareils sont allumés, alors j'ai fait le grand saut et j'ai acheté un NAS après tout. Il m'a fallu un certain temps pour réfléchir au type de solution à adopter (après Resilio) et pour choisir un NAS spécifique. Cela a pris plusieurs heures en tout, mais cela s'est avéré très utile.

Mettez au point un plan de sauvegarde. (Fait.) Si vous voulez éviter d'utiliser autant de logiciels centralisés et en cloud, vous devez penser non seulement à la sécurité mais aussi à la sauvegarde de vos données. J'avais l'habitude d'utiliser un disque de sauvegarde monstrueux, mais je ne faisais même pas de sauvegardes régulières. En fin de compte, j'ai décidé, une fois encore, d'installer un NAS. Celui-ci fournit de l'espace de stockage et permet de faire une sauvegarde complète de tout ce qui se trouve sur mon ordinateur de bureau (et d'un sous-ensemble de fichiers que je mets sur mon ordinateur portable) et sur les autres ordinateurs de la maison (qui ont besoin d'être sauvegardés ; peut-être pas tous). Il permet également de sauvegarder instantanément les fichiers à la Dropbox (voir le point suivant). Mais même cela n'est pas suffisant. Si vous voulez vraiment être protégé contre le feu et le vol, vous devez avoir une sauvegarde hors site. Pour cela, j'ai décidé de prendre le taureau par les cornes et d'opter pour un service de cryptage à connaissance zéro relativement simple, iDrive, qui fonctionne bien avec mon système NAS. Il sauvegarde simplement l'ensemble du NAS. Cela me dérange que leur logiciel ne soit pas open source (je dois donc leur faire confiance pour que le code utilise réellement le cryptage à connaissance zéro), mais je ne sais pas quelle autre solution raisonnable j'ai, si je veux une sauvegarde hors site.

Prendre le contrôle de mes listes de contacts et d'amis. (Partiellement fait.) J'ai donné à Google, Apple et Microsoft trop d'autorité pour gérer mes contacts à ma place, et j'ai trop partagé mes listes d'amis Facebook et autres. Je ne suis pas sûr de vouloir que ces contacts connaissent mes contacts et mes amis, point final ; la commodité et la valeur que j'ai tirées du partage de ces listes ont eu une valeur très limitée pour moi, mais évidemment une grande valeur pour Big Tech. Je ne sais pas ce qu'ils font de ces informations, ni avec qui ils les partagent, vraiment. De plus, si mes amis jouent avec les paramètres de confidentialité, ma vie privée peut en pâtir, et vice-versa. Je gère donc désormais mes propres contacts, merci beaucoup, et j'ai entièrement supprimé les listes que j'avais données à Google, Microsoft et Apple (sur iCloud). Le problème, c'est que vous pouvez perdre tous vos contacts s'ils ne se trouvent que sur vos propres appareils et que vous ne les synchronisez nulle part. Vous avez donc intérêt à sauvegarder vos contacts, si vous suivez mes conseils. Idéalement, l'étape suivante consisterait à commencer à utiliser le serveur de contacts intégré de mon NAS, qui permet de synchroniser les informations de contact sur tous vos appareils à l'aide de votre propre serveur personnel.

Arrêter d'utiliser Google Agenda. (Fait.) Je ne fais tout simplement pas confiance à Google pour ces informations et, franchement, Gcal n'est pas si bien que ça. Je veux dire, c'est OK. Mais il est clair qu'ils lisent votre calendrier (en utilisant un logiciel, c'est-à-dire que les données du calendrier ne sont pas cryptées sur leurs serveurs, comme elles devraient l'être). Après avoir obtenu mon propre serveur NAS, j'ai donc pu installer un serveur de calendrier auquel je pouvais accéder et que je pouvais synchroniser à partir de tous mes appareils. J'ai dû transférer mes données de Gcal vers le serveur, ce qui n'a pas été très difficile. Le plus difficile, c'est que j'ai dû apprendre à un collègue à prendre des rendez-vous pour moi à l'aide du nouveau système.

Étudiez et utilisez les options de confidentialité des sites web/services/appareils. (Fait de façon semi-régulière.) Google, Apple, Facebook, Twitter, YouTube, etc., ont tous des politiques et des options de confidentialité à la disposition de l'utilisateur. Il est temps de les étudier et de les revoir régulièrement, et de mettre des boucliers au maximum. Bien sûr, il vaut mieux que je puisse passer à des services qui ne présentent pas de menaces pour la vie privée ; c'est généralement la solution que j'ai choisie, mais j'ai examiné un grand nombre d'options de confidentialité et lu les politiques de confidentialité afin de faire preuve de diligence raisonnable quant à la manière dont mes informations sont utilisées.
Étudiez également la confidentialité d'autres catégories de données. Les données bancaires, les données de santé, les données de voyage (via Google, Apple, Uber, Yelp, etc.), les données d'achat (Amazon, etc.), même les données automobiles (ordinateur de bord/réseau) - tout cela présente des vulnérabilités uniques dont il est important de prendre conscience. Je ne suis pas sûr d'avoir fait tout ce que je pouvais pour les verrouiller. Je veux donc le faire, même si (comme cela semble très probable) je ne peux pas encore tout verrouiller de manière satisfaisante.

Trouver comment changer mes mots de passe régulièrement, peut-être. (Je n'ai pas commencé.) Je pourrais faire une liste de tous mes mots de passe importants et les changer tous les trimestres partout, comme une sorte de cyber-hygiène. Pourquoi n'avons-nous pas l'habitude de le faire ? Parce que c'est une corvée et que la plupart des gens ne savent pas comment utiliser un logiciel de gestion des mots de passe, voilà pourquoi. En outre, les experts en sécurité déconseillent de changer régulièrement de mot de passe, mais c'est surtout parce que la plupart des gens ne savent pas créer et conserver des mots de passe sûrs. Si vous utilisez des gestionnaires de mots de passe, cette partie n'est pas si difficile. Mais c'est aussi parce que nous n'avons pas vraiment de plan réaliste pour le faire ; peut-être que la principale chose à faire est de changer régulièrement quelques mots de passe importants de temps en temps, pas tous. Je vais y réfléchir.

Envisager d'utiliser PGP, l'ancien protocole de cryptage (ou une version actualisée, comme GNU Privacy Guard) avec les collègues de travail et la famille qui s'y intéressent. (Je n'ai pas commencé.) Pensez-y : lorsque votre courrier électronique transite de votre appareil à celui de son destinataire, il passe par un certain nombre d'autres machines. Les pirates ont la possibilité de visualiser votre courrier à différents moments de son parcours. En théorie, ils peuvent même le modifier, et vous (et votre destinataire) n'en sauriez rien. Ne vous affolez pas et ne vous méprenez pas : je ne dis pas que le courrier électronique (en supposant que les serveurs entre vous et vos destinataires utilisent le protocole TLS, ou Transport Layer Security, standard) n'est pas parfaitement utile au quotidien. Mais si vous faites quelque chose de vraiment important et sensible, n'utilisez pas le courrier électronique ou utilisez une norme de cryptage plus élevée, car le courrier électronique de base n'est pas sûr. Je suis conscient que certains pensent que PGP est dépassé ou trop complexe (c'est pourquoi je ne m'y suis jamais intéressé, pour être honnête), mais l'idée générale de chiffrer plus fortement votre courrier électronique ne se démode pas, et les améliorations du protocole PGP sont toujours activement maintenues. Néanmoins, lorsque la sécurité des informations est importante, il peut être plus facile de faire ce que je fais maintenant : utiliser un outil de chat avec un cryptage de bout en bout intégré.


Plus d'infos sur la vie privée. Examinez les diverses autres mesures que vous pouvez prendre pour protéger votre vie privée. Envisager un nouveau téléphone sécurisé, ou un autre téléphone respectueux de la vie privée. Envisager une clé de sécurité physique pour l'ordinateur portable et de bureau. Crypter les disques durs. Crypter les disques du NAS. Etc., etc.

 

Allez-vous vous joindre à moi dans ce mouvement en faveur d'une vie privée et d'une autonomie accrues ?