Le guide Motherboard pour se protéger du hacking

Vous voulez empêcher les fâcheux de pirater votre compte Gmail ? Vous estimez que la CNIL ne fait pas son boulot ? Vous n'aimeriez pas trop que quelqu'un fouille dans votre historique ? Motherboard est là pour répondre à toutes vos questions.

|
27 Novembre 2017, 2:21pm

Image : Lia Kantrowitz

Nos lecteurs nous adressent souvent la même question : "Comment faire pour ne pas se faire hacker ?"

Vivre dans une société moderne, c’est dépendre plus ou moins volontairement d'une myriade d’entités tierces. Du coup, notre réponse est : pas grand-chose. Presque la moitié de la population des États-Unis a été touchée par le piratage d’Equifax, en mai dernier. L'ironie, c’est que la plupart des victimes n’avaient jamais souscrit aux services de cette entreprise d'évaluation de la fiabilité des crédits.

Aujourd’hui, les hackers volent des centaines de millions de mots de passe et causent d'importantes coupures de courant en appuyant sur quelques touches. Les choses ne semblent pas parties pour s’arranger : plus le temps passe, plus le jour où les hacks de grande envergure auront des conséquences désastreuses IRL se rapproche. Les robots domestiques homicidaires, les hijacking d’ordinateurs aéroportés et les vols de génome ne sont plus très loin non plus.

Pour ne rien arranger, le système de surveillance passive auquel nous avons accepté de nous soumettre continue à s’étendre. Notre vie privée est plus menacée que jamais.

Tout ceci ne signifie pas que nous sommes déjà perdus. À votre niveau, vous pouvez faire beaucoup de choses pour compliquer la tâche des hackers et des espions qui aimeraient mettre le nez dans votre multivers numérique. Ce guide vous guidera pas à pas dans votre quête de sécurité.

On peut considérer qu’il existe deux types de hacks : ceux contre lesquels les vous ne pouvez rien et ceux contre lesquels vous pouvez vous prémunir. Nous voulons vous aider à limiter les dégâts causés par les premiers et éviter les seconds.

En tant qu’utilisateur individuel, vous ne pouvez rien faire pour empêcher le piratage de votre banque en ligne ou de votre service de messagerie. Par contre, vous pouvez éviter les tentatives de phishing et vous débrouiller pour qu’un mot de passe volé pendant un hack ne soit pas réutilisé sur un autre de vos comptes.

Ce guide n’est pas exhaustif et il n’est pas conçu pour s’adapter à votre manière d’utiliser Internet. Il n’y a pas de sécurité parfaite, pas de bouclier universel. Cependant, nos conseils vous serviront peut-être de tremplin vers les plus hautes sphères de la self-defense numérique. Nous avons fait tout notre possible pour qu’ils soient accessibles au premier internaute venu.

Un grand nombre de journalistes et d’experts ont participé à la création de ce guide. Lorenzo Franceschi-Bicchierai, Joseph Cox, Sarah Jeong, et Jason Koebler en ont rédigé la majeure partie. Les conseils qu’il dispense sont issus d’années d’expérience et de recherche en cyber-sécurité.

Considérez ce guide comme en perpétuelle évolution. Il recevra au moins une mise à jour majeure par an et nous l'updaterons à chaque fois qu'une nouvelle vulnérabilité sera découverte. Nous tenons à remercier Matt Mitchell de Crypto Harlem et Eva Galperin de l’Electronic Frontier Foundation pour avoir relu et corrigé ce guide.

Maintenant, passons aux choses sérieuses. Bienvenue dans le guide anti-hacking de Motherboard.

Modéliser la menace

Chacune des entrées de ce guide commence par la “modélisation de menace”. Dans le domaine de la cybersécurité, on utilise ce terme pour désigner les méthodes d’évaluation du risque de hack ou de surveillance auquel vous êtes exposé.

Quand vous songez à sécuriser vos communications numériques, vous devez commencer par identifier ce que vous voulez protéger et les menaces qui vous inquiètent. Si vous interrogez un expert en sécurité informatique à propos des logiciels et applications les plus sûrs, vous aurez sans doute droit à la réponse classique : “Tout dépend de votre modèle de menace.”

De manière générale, la réponse à toute question concernant la “meilleure” solution de sécurité est : “Ça dépend.”

Tous les plans défensifs sont différents. Le genre de protection qui vous convient dépend de la menace que vous redoutez. La mauvaise nouvelle, c’est que l’arme ultime n’existe pas ; la bonne nouvelle, c’est que la plupart des gens ont un modèle de menace qui ne les contraindra pas à vivre comme des ermites pour préserver leur intégrité sur Internet.

Du coup, avant d’avancer dans ce guide, vous devriez concevoir votre modèle de menace. Que cherchez-vous à protéger et contre qui ?

L’Electronic Frontier Foundation recommande de répondre à cinq questions pendant la modélisation de menace :

  • Que voulez-vous protéger ?
  • Contre qui voulez-vous le protéger ?
  • Le risque d’attaque est-il haut ?
  • Quelles seraient les conséquences d’une attaque réussie ?
  • Jusqu’où êtes-vous prêt à aller pour vous prémunir contre une attaque réussie ?

La menace qui vous guette prend-elle la forme d’un ex-conjoint qui cherche à s’introduire dans votre compte Facebook ? En tout premier lieu, vous devriez vous assurer qu’il ne connaît pas votre mot de passe. La meilleure solution reste de ne jamais partager ce genre d’information avec qui que ce soit, même vos proches. L’autre bonne idée est de ne jamais utiliser deux fois le même mot de passe. De la même manière, évitez de partager trop de détails privés sur les réseaux sociaux : des doxxers opportunistes pourraient bien trouver une utilité à votre date de naissance, par exemple.

L’identification à deux facteurs est un bon moyen de faire reculer des criminels plus sérieux. Cette méthode demande un petit effort, mais c’est ainsi : si vous êtes un activiste, un journaliste ou que vous avez la moindre raison de croire que vous êtes surveillé par un gouvernement, un état ou un organe public quel qu’il soit, vous allez devoir vous plier à des mesures de sécurité exigeantes.

Quoi qu’il arrive, ne surestimez pas la menace. Utiliser des systèmes d’exploitation obscurs, des machines virtuelles et des outils excessivement techniques quand ce n’est pas nécessaire (ou que vous ne savez pas comment faire) est une perte de temps et d’énergie. Dans certains cas, cela peut même vous mettre en danger. Au mieux, vous mettrez beaucoup de temps à accomplir les tâches les plus simples ; au pire, vous vous enfermerez dans une impression de sécurité trompeuse. Entouré d’appareils et de services dont vous n’avez pas besoin, vous louperez l’essentiel et révélerez vos failles à l’ennemi.

Ce guide propose des mesures de sécurité adaptées à des menaces sophistiquées. Cependant, il est d’abord conçu pour aider les personnes qui souhaitent apprendre les bases de la sécurité informatique. Si votre modèle de menace comprend la NSA ou des pirates d’État façon Fancy Bear, nous vous recommandons de vous adresser à un professionnel.

Gardez vos applications à jour

C’est l’une des mesures de protection les plus basiques et importantes qui soient : utilisez les dernières versions de vos logiciels. Mettez votre système d’exploitation et toutes vos applications à jour, maintenant. Updatez aussi le firmware de votre routeur et tous vos appareils connectés.

Sachez que vous n’êtes pas obligé d’utiliser le dernier-né de votre ligne de systèmes d’exploitation préférée. Dans certains cas, même des OS vieillissants continuent à recevoir des mises à jour. Ce n’est malheureusement pas le cas de Windows XP, arrêtez de l’utiliser ! Le plus important, c’est que votre système continue à recevoir des mises à jour et que vous preniez soin de les installer.

Si vous ne devez retenir qu’une seule leçon de ce guide, c’est celle-ci : updatez, updatez, updatez ou, au moins, patchez, patchez, patchez.

La plupart des cyber-attaques basiques reposent sur des failles dans des logiciels dépassés : vieux navigateurs web, liseuses pour fichiers .pdf et tableurs, outils de traitement de texte... En gardant tous vos outils à jour, vous limiterez les risques d’infection. Les updates servent à ça. Quand une nouvelle faille est détectée, les concepteurs et développeurs se dépêchent de patcher leurs produits pour le protéger contre cette menace.

Bien souvent, hacker consiste à trouver la voie de moindre résistance. Les cibles molles et faciles seront toujours les premières visées. Le ransomware WannaCry a été conçu pour toucher les internautes qui n’avaient pas installé une mise à jour de sécurité disponible depuis des semaines. En choisissant cette cible, ses créateurs savaient qu’ils ne pouvaient que réussir leur coup. On pourrait dire que leurs victimes n’avaient pas changé leur serrure alors que le monde entier avait accès à leur clé.

Mots de passe

Nous avons tous trop de mots de passe. Certaines personnes choisissent donc de réutiliser le même, encore et encore. C’est une mauvaise idée. Imaginez qu’un pirate mette la main sur votre mot de passe Spotify ou Netflix et qu’il s’en serve pour accéder à vos comptes ou à votre application de covoiturage. En dépit du fait que notre cerveau se prête plutôt bien à la mémorisation de mots de passe, il est presque impossible de se souvenir de dizaines de logins uniques et solides.

Bonne nouvelle, il existe une solution à ça : les gestionnaires de mots de passe. Ces applications ou extensions pour navigateurs vous permettent de garder une trace de tous vos mots de passe sans avoir à les retenir. Certains créent même automatiquement des mots de passe solides. Si vous utilisez l’un de ces outils, vous n’avez qu’un seul mot de passe à garder à l’esprit, celui qui protège tous vos autres logins.

Ce mot de passe de tous les mots de passe a intérêt à être solide. Oubliez les majuscules, les symboles et les nombres. Le meilleur moyen de sécuriser une telle application est de vous faire une phrase de passe : plusieurs mots aléatoires mais prononçables et donc plus faciles à mémoriser.

Vous pensez peut-être qu’il n’est pas très malin d’entreposer tous ses mots de passe au même endroit. Et si un hacker s’introduisait dans votre ordinateur ou votre gestionnaire de mots de passe ? Mieux vaut tout garder dans ma tête, non ? En réalité, pas vraiment : il y a plus de risques qu’un pirate réutilise un mot de passe volé qu’il ne s’attaque directement à votre coffre-fort à logins.

Certains gestionnaires de mots de passe entreposent vos informations dans le cloud. De cette façon, vos mots de passe resteront en sécurité même en cas de hack de l’entreprise qui a développé le programme. Le gestionnaire LastPass a été piraté au moins deux fois, mais les pirates ne sont jamais parvenus à repartir avec les mots de passe des utilisateurs. Aujourd’hui, LastPass reste un outil de choix. Ceci dit, permettez-nous de vous rappeler que tout dépend de votre modèle de menace.

Conclusion : s’il vous plaît, utilisez un gestionnaire de mots de passe. L’offre est pléthorique. 1Password, LastPass, KeePass... Vous n’avez aucune raison de ne pas le faire. Grâce à ces outils, vous serez plus en sécurité et nous aussi. La vie vous semblera même plus simple.

Votre employeur vous demande peut-être de changer de mot de passe régulièrement pour des raisons de sécurité. N’hésitez pas à lui signaler que c’est une mauvaise idée. Si vous utilisez un gestionnaire de mots de passe, l’identification à deux facteurs et des logins solides, vous n’avez pas besoin de procéder à de tels changements (sauf en cas de faille backend ou de vol de mot de passe, évidemment).

Identification à deux facteurs

Avoir des mots de passe uniques et solides, c’est super. Malheureusement, ils peuvent être volés quand même. Pour cette raison, vos comptes les plus importants (Facebook, Twitter, sites bancaires, service d’email…) devraient être protégés à l’aide de l’identification à deux facteurs (2FA). Aujourd’hui, beaucoup de services proposent ce système. L’activer partout où c’est possible ne peut pas faire de mal. Vous pouvez consulter la liste de tous les services qui proposent la 2FA sur le site twofactorauth.org.

Une fois la 2FA activée, vous aurez besoin de plus qu’un mot de passe pour accéder à vos comptes. La plupart du temps, le “deuxième facteur” est une suite de chiffres envoyée par SMS sur votre téléphone. Vous pouvez aussi récupérer ce code dans une application dédiée, ce qui est bien pratique si votre portable ne capte pas assez pour recevoir un message. Troisième et dernière option, une clé physique à brancher à votre ordinateur quand vous voulez vous connecter.

La fiabilité des SMS comme deuxième facteur a fait l'objet d'un débat agité l’année dernière. Le numéro de téléphone de Deray McKesson a été hijacké en juin 2016, ce qui signifie que des hackers sont parvenus à mettre la main sur les codes de sécurité supposés protéger les comptes de l’activiste. Il y a quelques semaines, le National Institute of Standards and Technologies (NIST) américain s’est prononcé contre l’utilisation de la 2FA via SMS.

L’attaque qui visait Deray a sans doute été réalisée grâce à la technique du social engineering. Dans ce cas précis, le criminel a manipulé un employé d'opérateur téléphonique pour un obtenir un clone de la carte SIM de l'activiste. Cela signifie que le SMS contenant le deuxième facteur a fini sous ses yeux lorsqu'il a utilisé le mot de passe de Deray pour se connecter à son compte. C’est une tactique de plus en plus courante.

Il est difficile de se défendre contre une attaque de ce genre. C’est triste, mais aucun dispositif n’est inviolable. Pour mieux protéger votre portable, vous pouvez tout de même adopter les mesures préventives que nous détaillons un peu plus bas.

L’identification à deux facteurs via SMS peut être contournée. De la même manière, il est possible d’exploiter des faiblesses dans les infrastructures de communication ou d’utiliser un IMSI-catcher, ou Stingray, pour espionner vos conversations orales et écrites. Nous n’écrivons pas tout ça pour vous faire peur, vous devez savoir que la 2FA est utile mais pas invulnérable. Dans l’idéal, vous devriez utiliser une application d’authentification (Google Authenticator, DUO Mobile, Authy) ou une clé physique. Laissez tomber les SMS dès que possible.

N’utilisez pas Flash. Flash est l’un des logiciels les plus vulnérables de l’histoire et les hacker l'adorent pour ça. Heureusement, le web l’a largement abandonné. Vous n’avez plus vraiment besoin de lui pour profiter d’une expérience de navigation hérissée de vidéos. Pensez à vous en débarrasser ou à changer les options de votre navigateur pour qu’il vous demande d’autoriser l’utilisation de Flash dès que nécessaire.

Utilisez un antivirus. Oui, vous le savez déjà. Ça reste vrai, en général. L'ironie, c’est que ces logiciels sont souvent pleins de failles. Cependant, si vous n’êtes pas la cible d’une campagne de hacking étatique ou d’une équipe de hackers particulièrement doués, adopter un antivirus est plutôt une bonne idée. Gardez tout de même à l’esprit que ces programmes ne sont pas des panacées et qu’ils sont très invasifs par nature : pour vous protéger efficacement, ils doivent être autorisés à fouiller loin dans votre machine. Cette portée peut être exploitée par des individus mal intentionnés. Le gouvernement des États-Unis accuse le très réputé Kaspersky d’avoir dérobé des documents stockés sur l’ordinateur de l’un de ses clients pour les livrer au gouvernement russe, par exemple.

Utilisez des plugins de sécurité. Parfois, tout ce dont un hacker a besoin pour vous mettre à sa botte est de vous orienter vers un site bourré de malwares. De fait, mieux vaut utiliser des add-ons simples, vite installés et vite oubliés. Les bloqueurs de publicités qui vous protègent des virus dissimulés dans des publicités font de bon alliés, tant dans les coins les moins fréquentables que sur des sites perçus comme plus légitimes. (On en profite pour vous signaler qu’on aimerait bien vous voir désactiver votre adblocker quand vous passez chez Motherboard, ça nous permet de payer les factures.)

L’autre plugin qui mérite votre attention s’appelle HTTPS Everywhere. Cet outil crypte automatiquement votre connexion (quand le site que vous souhaitez visiter le permet, au moins). Cela ne vous sauvera pas d’une page confite de malwares, mais peut vous éviter de finir sur une page contrefaite et vous protéger des attaques qui visent vos tentatives de connexion à un site légitime.

Utilisez un VPN. Les réseaux privés virtuels créent un canal sécurisé entre votre machine et Internet. Quand vous utilisez un VPN, vous vous connectez à lui puis à l’Internet. Cette méthode renforce votre sécurité et votre anonymat. Quand vous utilisez Internet dans un lieu public type Starbucks, aéroport, ou même dans un Airbnb, vous partagez votre connexion avec des inconnus. Si l’un d’entre eux est branché hacking, il peut s’attaquer à votre connexion, voire à votre ordinateur.

Comme tous les VPN ne se valent pas, mieux vaut faire quelques recherches avant de faire votre choix. La plupart des services gratuits ne protègent pas vraiment votre vie privée. Nous recommandons Freedome, Private Internet Acess ou, si vous connaissez un peu de technique, Algo.

Désactivez les macros. Des pirates peuvent utiliser des macros insérés dans des documents Microsoft Office pour infecter votre ordinateur. Depuis quelques mois, cette vieille méthode fait un retour en force chez les distributeurs de ransomware. N'attendez pas, désactivez les macros !

Faites des sauvegardes. Première nouvelle ! Si vous avez peur que vos fichiers ne soient détruits ou pris en otage par des pirates, vous devriez prévoir un backup. Dans l’idéal, procédez à cette opération sur un disque dur externe et hors-connexion. Si vous êtes victime d’un ransomware, ce disque de secours vous sauvera.

Ne vous mettez pas à découvert. Certaines personnes aiment documenter toute leur vie sur les réseaux sociaux. Pourquoi pas, mais par pitié, écoutez-nous : ne partagez jamais de photographie de votre carte de crédit ou de votre carte d’embarquement. En règle générale, vous avez tout intérêt à garder à l’esprit que poster du contenu sur les réseaux sociaux revient souvent à l’exposer au monde entier. Quiconque consulte votre profil peut récupérer des informations précises sur vos habitudes et votre vie. Deviner une adresse à partir de publications un peu trop révélatrices peut s’avérer remarquablement facile.

Vos informations personnelles (votre adresse postale ou le lycée que vous avez fréquenté, par exemple) peuvent être utilisées contre vous grâce au social engineering. Plus votre agresseur dispose de renseignements à votre sujet, plus il à même de s'emparer de l'un de vos comptes. Maintenant que vous êtes au courant, n’hésitez pas à vérifier vos paramètres de confidentialité sur les réseaux sociaux.

N’ouvrez pas de pièce jointe sans précautions. Les cybercriminels cachent des programmes malveillants dans les fichiers Word et PDF depuis des décennies. Les antivirus ne sont pas toujours capables de déjouer ces menaces. Une fois de plus, la meilleure parade reste le bon sons : si vous recevez un mail étrange, inattendu ou signé d'une personne que vous ne connaissez pas, n'ouvrez pas ses pièces jointes et ne cliquez pas sur ses liens. Et si vous tenez vraiment à en avoir le coeur net, ouvrez tout ça dans Chrome sans télécharger quoi que ce soit. Encore mieux : sauvegardez le fichier dans Google Drive et ouvrez-le là. Google l'ouvrira pour vous, pas votre ordinateur.

Nous vivons dans un monde où les smartphones sont nos "machines à Internet" principales. Nous les utilisons plus que nos ordinateurs de bureau et nous les gardons sur nous quasiment tout le temps. Il semble donc tout naturel que les hackers s'attaquent de plus en plus à nos téléphones.

La bonne nouvelle, c'est qu'il est tout à fait possible de se protéger de leurs assauts en quelques instants et sans trop d'efforts.

Modélisation de menace mobile

La plupart des gens utilisent des codes, des mots de passe ou des figures de verrouillage pour fermer leur téléphone. Si ce n'est pas votre cas, nous ne pouvons que trop vous conseiller de vous lancer dès maintenant. Sachez juste que les figures de verrouillage sont plus facile à identifier ou "shoulder surfer" que les codes PIN et les mots de passe.

L'une des plus grandes menaces à l'intégrité de nos smartphone est proche de nous : ce sont les gens qui peuvent accéder à notre téléphone et le déverrouiller. Vous êtes aussi fort que votre point le plus faible ; votre téléphone vaut autant que votre code de sécurité.

Si possible, mieux vaut éviter de révéler votre mot de passe à qui que ce soit ou d'utiliser des codes faciles à deviner (anniversaires, adresses...). Un code simple peut tout à fait résister aux attaques d'un pickpocket ou d'un voleur à l'arraché mais pas à celles d'un conjoint abusif.

Maintenant que vous savez tout ça, voici quelques astuces basiques.

Achetez un iPhone

Dans la cybersécurité, tout le monde ou presque pense que les iPhone sont les téléphones les plus sûrs du marché. (Tous les ingénieurs qui travaillent sur Android ne sont pas de cet avis, mais tant pis.) Il y a plusieurs raisons à cela. iOS, le système d'exploitation mobile d'Apple, est complètement bouclé ; les applications disponibles sur l'App Store ont été inspectées en profondeur ; des mesures de sécurité solides sont en vigueur : les applications ne peuvent pas aller chercher très loin dans d'autres applications.

Toutes ces mesures compliquent considérablement la tâche des hackers qui visent les parties les plus vulnérables du système d'exploitation. Apple contrôle l'infrastructure iOS : les iPhone bénéficient de mises à jour de sécurité et de patches immédiats et réguliers. Les utilisateurs d'Android attendent parfois des semaines, voire des mois avant d'obtenir une mise à jour de sécurité cruciale. Même l'iPhone 5s, une machine lancée en 2013, a toujours droit à des updates.

Si vous êtes du genre paranoïaque, l'iPhone est le meilleur smartphone prêt à l'emploi au niveau sécurité. Cependant, à moins que vous n'ayez vraiment une bonne raison de le faire, ne le jailbreakez pas. En dépit du fait que les jailbreakers ont beaucoup contribué à rendre l'iPhone plus sûr, jailbreaker un iPhone en 2017 vous exposera à des risques inutiles. Sachez que des hackers sont déjà parvenus à cibler uniquement des iPhone jailbreakés.

Sachez aussi qu'aucun appareil n'est "in-hackable". Certains gouvernements possèdent des outils de hacking conçus pour percer les défenses des iPhone, des outils coûteux qui ont peut-être déjà été dérobés par quelques criminels de haut-vol. À moins que vous n'ayez de bonnes raisons de craindre ce genre d'agresseurs, respirez, achetez un iPhone, installez les mises à jour, ne le jailbreakez pas et tout devrait bien se passer.

Mais j'aime Android !

Décentralisé, open-source et présent sur un grand nombre de téléphone à bas prix, Android est le système d'exploitation mobile le plus populaire du monde. D'une certaine façon, la dimension open-source de l'OS peut être perçu comme son péché originel : Google a préféré les parts de marché au contrôle et donc à la sécurité. Du coup, les mises à jour dépendent des opérateurs et des concepteurs de téléphones. Le problème, c'est qu'on ne peut pas leur faire confiance.

Au moins, la situation s'est beaucoup améliorée ces deux dernières années. Google encourage ses partenaires à réaliser des updates mensuelles et prend grand soin de ses téléphones de pointe, qui profitent désormais de mesures de sécurité et de mises à jour régulières similaires à celles d'Apple pour les iPhone.

Si vous tenez vraiment à Android, mieux vaut vous équiper d'un téléphone Pixel ou Nexus ; leur sécurité ne dépend que de Google. Et si vous ne voulez vraiment pas avoir à faire à Google, consultez cette liste de téléphones connus pour recevoir des updates de sécurité régulières.

Quel que soit la marque de votre téléphone Android, restez vigilant quand vous traînez sur le Play Store. De nombreux hackers sont déjà parvenus à glisser des applications malveillantes dans la plateforme de distribution. N'installez pas d'applications méconnues et assurez-vous que vous ne téléchargez pas de contrefaçons dangereuses. Un peu plus tôt cette année, un faux WhatsApp a été installé par plus d'un millions d'utilisateurs d'Android.

Contentez-vous du Play Store. Les plate-formes alternatives ont toutes les chances d'être mauvaises pour votre téléphone - et donc pour vous. Sur la plupart des Android, l'installation d'applications tierces est désactivée par défaut. N'allez pas l'activer, c'est mieux ainsi.

Pour protéger les données de votre téléphone Android, assurez-vous aussi que le chiffrement des données est activé. Pour ce faire, cliquez sur paramètres, "sécurité" et choisissez "chiffrer le téléphone". Si l'option n'est pas disponible, direction Google pour savoir quoi faire.

Enfin, bien que cela ne soit pas obligatoire, sachez qu'installer un antivirus mobile comme Lookout ou Zips peut être une bonne idée. Ces logiciels ont ce qu'ils faut pour contrer la plupart des malwares criminels mais ils n'arrêteront probablement pas des hackers d'État.

Verrouillez votre carte SIM

En octobre 2017, Motherboard a révélé que des hackers avait exploité une vilaine faille de sécurité sur le site de T-Mobile pour voler les opérations personnelles de ses utilisateurs. Leur but était d'usurper l'identité de leurs victimes à l'aide de ces informations afin d'obtenir de nouvelles cartes SIM auprès de l'opérateur. Ce genre d'attaque est connu sous le nom de SIM swapping ou SIM hijacking. Grâce à lui, des criminels peuvent prendre le contrôle de votre numéro de téléphone portable. La 2FA par SMS est déconseillée à cause du SIM swapping.

Votre numéro de téléphone donne sans doute accès à de nombreuses parties de votre vie numérique : mail, compte en banque, sauvegardes iCloud. Il doit être protégé.

En tant que consommateur, vous ne pouvez pas faire grand-chose contre les bugs que laisse traîner votre opérateur téléphonique. Aux États-Unis, il est possible de compliquer la tâche des aspirants usurpateurs en créant un mot de passe qui vous sera demandé à chaque communication avec votre opérateur. Il semble qu'un tel dispositif n'existe pas en France.

De nombreux gouvernements surveillent les activités numériques de leurs administrés. Cette forme d'espionnage est difficile à contrecarrer. Même les meilleurs systèmes de cyber-sécurité du monde ne peuvent rien pour préserver vos communications avec un interlocuteur qui ne se protège pas.

Les gouvernements disposent d'armes inaccessibles aux criminels : les textes de loi. Les conseils dispensés dans cette section vous aideront à faire face aux requêtes légales et au hacking étatique, mais aussi à quiconque essaierait de vous espionner.

Pas besoin de vous transformer en expert de l'infosec. Pensez aux menaces qui planent au-dessus de vous et ne vous laissez pas intimider par la technique. La sécurité est un apprentissage permanent. Menaces et défenses évoluent en permanence, l'une contre l'autre. Ce changement perpétuel peut être source de confusion. Cependant, suivre les conseils ci-dessous ne peut que vous être utile.

Modélisation de menace - édition vie privée et surveillance

Gardez bien à l'esprit qu'à chaque menace correspond un outil. Si vous n'identifiez pas la menace, vous allez vite être étourdi par le nombre d'outils disponibles. La modélisation de menace dans le domaine de la surveillance ressemble fort à la modélisation de menace dans le domaine du hacking, à quelques nuances près.

Il est trop facile de dire "utilisez Signal, utilisez Tor." Pour certaines personnes, ce n'est pas la solution. L'une de nos connaissances a longtemps communiqué avec ses amis par le biais du jeu Words With Friends pour se protéger d'un conjoint abusif qui lisait ses messages et ses chats Google. La messagerie internet de Words With Friends n'est pas particulièrement sécurisée mais, contrairement à Signal ou Hangout, elle n'attirait pas l'attention du conjoint jaloux.

Face à des espions d'État, il peut être intéressant de concevoir la surveillance comme une menace bi-dimensionnelle. La surveillance des métadonnées s'intéresse à votre identité, à vos interlocuteurs, aux heures auxquelles vous communiquez... La surveillance des contenus s'intéresse à ce que vous dites. Bien sûr, comme dans tous les domaines, les choses ne sont pas si simples et ce diptyque ne résiste pas à une analyse plus poussée. Cependant, si c'est la première fois que vous entendez parler de tout cela, c'est un bon début.

Commencez par penser à ce qui est à découvert et à ce que vous pouvez protéger. Parfois, accepter qu'un canal de communication particulier est presque impossible à sécuriser est la meilleure chose à faire. Si les choses tournent mal, vous devrez vous débrouiller sans.

Signal

Signal est un service de messagerie chiffré pour smartphones et ordinateurs de bureau. Pour beaucoup de gens, elle suffira largement à déjouer toute tentative de surveillance. Les autorités ont le nécessaire pour intercepter les messages électroniques pendant leur transmission. De fait, vous devez faire en sorte d'utiliser le chiffrement de bout en bout le plus souvent possible.

Signal est facile à utiliser. Vous pourrez le trouver sur l'App Store et le Play Store, où il porte le nom de Signal Private Messenger. Son développeur est Open Whisper Systems.

Si vous avez le numéro de téléphone de quelqu'un, vous pouvez le contacter via Signal. Tant que l'individu en question dispose lui aussi de Signal, vos échanges textuels et audio seront automatiquement chiffrés. Vous ne vous en rendrez même pas compte.

Signal dispose aussi d'un logiciel pour ordinateur. Rendez-vous sur le site officiel de l'application pour télécharger la version qui correspond à votre système d'exploitation. Tout ce que vous avez à faire, c'est suivre les instructions. Faites-nous confiance, c'est facile.

Signal a beaucoup de fonctionnalités intéressantes. Vous pouvez programmer vos messages pour qu'ils s'auto-détruisent au bout d'un certain temps, par exemple. Bien pratique pour les journalistes qui souhaitent protéger leurs sources ou garder privées leurs conversations avec leur rédacteur en chef. Cependant, ce ne sont pas elles qui nous poussent à vous la recommander.

iMessage et WhatsApp utilisent elles aussi le chiffrement end-to-end. Cependant, elles ont des faiblesses que n'a pas Signal.

Nous déconseillons WhatsApp parce qu'elle est détenue par Facebook et qu'elle est connue pour partager les données de ses utilisateurs avec lui. S'il ne s'agit que de méta-data, l'application ne partageait pas ce genre d'informations lorsqu'elle était encore indépendante. Nous considérons ce changement comme révélateur : l'entreprise ne mérite pas notre confiance.

Le fait que le service iMessage d'Apple utilise le chiffrement de bout en bout est une très bonne chose. Cependant, iMessage créé aussi des sauvegardes de vos communications sur l'iCloud. C'est cette fonctionnalité (activée par défaut) qui vous permet de retrouver vos messages sur tous vos appareils Apple. Le problème, c'est qu'Apple est connu pour répondre favorablement aux demandes de renseignement du gouvernement américain.

La rubrique vie privée du site d'Apple affirme que "les iMessage et SMS sont sauvegardés sur iCloud pour votre confort". Vous pouvez désactiver cette fonctionnalité. Cependant, Apple pourrait être forcé de dévoiler les iMessage que vous avez envoyés à des personnes qui ne l'ont pas désactivée.

A l'inverse, Signal conserve très peu d'informations. L'année dernière, le développeur Open Whisper Systems n'a eu d'autre choix que de se soumettre à un subpoena du gouvernement américain. Les données dont il disposait étaient si maigres qu'elles n'ont pas pu servir à grand-chose aux autorités : l'application enregistre le numéro de téléphone de l'utilisateur, la date de création du compte et l'heure de la dernière connexion. Par dessein, elle n'enregistre rien d'autre. Ce n'est pas rien, mais ce n'est pas grand-chose.

Bien sûr, il est toujours possible d'utiliser des applications plus dangereuses qu'iMessage et WhatsApp. Vous devriez éviter de parler de choses sensibles sur Telegram en toutes circonstances. À moins que vous ne preniez les mesures nécessaires pour le chiffrer, votre chat Google est comme un livre ouvert pour l'entreprise.

D'innombrables applications de messagerie alternatives comme Wire sont accessibles. Cependant, le fait qu'elles aient été développées par des organisations à but non-lucratif nous inquiète. Dans le futur, ces produits seront peut-être monétisés aux dépends de la vie privée de leurs utilisateurs. Signal est un projet open-source et à visée non-commerciale. Ce genre d'indépendance a un prix : l'application n'est pas aussi jolie à regarder qu'iMessage et elle n'a pas les moyens de se payer une grosse équipe de sécurité. N'hésitez pas à faire un petit don en téléchargeant l'application.

Vous devez savoir que Signal vous demandera forcément votre numéro de téléphone. Cela signifie que vous devez avoir assez confiance en vos interlocuteurs pour leur communiquer votre numéro de téléphone. Si vous en avez les moyens, vous pouvez esquiver ce problème à l'aide d'un dummy phone. Sinon, laissez tomber Signal.

Souvenez-vous qu'une communication chiffrée de bout en bout n'est pas invisible. Elle est juste chiffrée entre les deux interlocuteurs : émetteur et récepteur peuvent voir le message, c'est tout. S'il est intercepté pendant son voyage, il apparaîtra comme une bouillie de caractères à l'intercepteur.

Si l'un des téléphones est volé, perquisitionné, piraté ou si votre interlocuteur prend des captures d'écran de vos messages, tout cela ne sert à rien. Aucun des "bouts" ne doit être compromis.

Le chiffrement ne casse pas automatiquement toute tentative d'espionnage du gouvernement, il rend juste la tâche plus compliquée. L'idée, c'est que plus vous introduisez de friction dans l'équation, mieux c'est.

Médias sociaux

Qui identifiez-vous dans vos publications ? Utilisez-vous la localisation ? Qui photographiez-vous et pourquoi ? Soyez particulièrement attentif lorsque vous partagez des informations concernant une manifestation ou un rassemblement politique. Les technologies de reconnaissance faciale sont plus sophistiquées que jamais. Même si vous ne taggez personne, un algorithme pourrait identifier les visages qui apparaissent sur vos photographies. Les suggestions de tag de Facebook le montrent bien.

Si vous êtes un activiste, pensez à utiliser un pseudonyme. Et si vous postez sur les réseaux sociaux en général, prenez garde à préserver la vie privée et à la sécurité de vos semblables.

Quand vous photographiez quelqu'un lors d'un rassemblement, assurez-vous que vous ne violez pas leur droit à l'image et qu'ils ont conscience de ce que cela implique.

Appareils photo et micros

Y'a-t-il des caméras autour de vous ? Si vous utilisez un système de vidéosurveillance connecté ou une webcam, assurez-vous qu'ils sont sécurisés : changez le mot de passe d'usine et couvrez-les quand vous ne les utilisez pas.

Si vous avez un ordinateur portable ou un smartphone, utilisez un autocollant pour couvrir la caméra frontale. Rien ne vous oblige à arrêter les Facetime et les selfies, mais mieux vaut vous assurer que personne ne vous regarde quand vous n'en avez pas conscience ou envie.

Il y a une astuce infaillible pour s'assurer que votre micro ne vous enregistre pas sans votre consentement. Si vous avez peur d'avoir été mis sur écoute, éteignez votre téléphone et mettez-le dans votre micro-onde. N'allumez pas le micro-onde, évidemment. Vous pouvez aussi le laisser dans une autre pièce. L'éteindre ne garantit pas votre protection ! Vous pouvez aussi penser à laissez tous vos appareils en dehors de votre chambre quand vous couchez avec votre partenaire.

En 2012, la journaliste azerbaïdjanaise Khadija Ismayilova a été victime d'un chantage à la sextape. Le maître-chanteur menaçait de diffuser la vidéo si elle ne cessait pas de publier des articles critiques du gouvernement. Ismayilova a riposté en dévoilant la tentative de chantage et la vidéo a été postée sur Internet. En 2015, le gouvernement azerbaïdjanais l'a condamnée à sept années et demi de prison pour évasion fiscale. Elle est actuellement en liberté conditionnelle.

De nombreux gouvernements ont utilisé des méthodes similaires pour faire taire les voix dissonantes. Gardez-le à l'esprit et protégez votre intimité.

Écran de verrouillage

Verrouillez vos appareils à l'aide d'un mot ou code de passe. Ne vous contentez pas d'un verrouillage par empreinte digitale, plus facile à contourner dans la loi.

Utilisez OTR pour discuter (si nécessaire)

Signal est la meilleure application de discussion instantanée pour ordinateur de bureau. Cependant, il existe une alternative particulièrement utile pour les journalistes.

Fermez votre fenêtre Gmail et utilisez OTR (Off The Record) pour chatter. Gardez bien à l'esprit que vous ne pouvez utiliser OTR que si votre interlocuteur l'utilise lui aussi. Sur Mac, vous devrez passer par Adium ; sur PC (et sur Linux) vous devrez installer Pidgin et le plugin OTR.

Vous pouvez utiliser votre adresse Gmail comme identifiant dans OTR. En fait, OTR permet d'ajouter une couche de chiffrement au chat Google. Tout ce que vous avez à faire, c'est ouvrir une fenêtre de discussion et cliquer sur le petit cadenas pour activer le chiffrement. Et n'oubliez pas de désactiver l'archivage des conversations dans les options.

Une fois de plus, n'oubliez pas que le chiffrement end-to-end ne fait pas de miracles. Si votre interlocuteur enregistre vos conversations, tous vos efforts auront été inutiles. Si vous êtes vraiment inquiet, demandez à vos amis de faire le nécessaire.

Le navigateur Tor

Le navigateur Tor est conçu pour "diluer" votre connexion en la faisant passer par plusieurs autres ordinateurs. De cette façon, quand vous accédez à un site, celui-ci ne sait pas où vous vous trouvez réellement. Le plus simple est d'installer directement le Tor Browser, qui est un navigateur semblable à Firefox, Chrome ou Internet Explorer, mais en plus lent. La protection de la vie privée est à ce prix.

Utiliser Tor comme navigateur par défaut vous donnera un gros avantage de sécurité. Sachez qu'il est tout de même un peu difficile à manier et qu'il ne vous permettra pas de regarder Netflix, par exemple.

Avez-vous vraiment besoin de Tor ? Évaluez vos besoins pour en décider. N'oubliez jamais que votre adresse IP est publique si vous ne l'utilisez pas.

Il y a quatre bonne raisons d'utiliser Tor :

  • Vous essayez de rester anonyme ;
  • Vous utilisez beaucoup le Wi-Fi public ;
  • Vous essayer de contourner une censure gouvernementale ;
  • Vous protéger les gens qui utilisent Tor.

Si vous êtes un activiste qui essaye de camoufler son identité, vous pouvez utiliser Tor pour cacher votre adresse IP. Bien sûr, vous devez rester vigilant : si je me connecte à mon compte Twitter depuis Tor et que je tweete "Salut tout le monde, je vous écris depuis les bureaux de Vice, à Paris", je suis stupide.

Si vous vous connectez souvent à des réseaux publics, vous devriez utiliser Tor. Le navigateur vous donnera des avantages similaires à ceux d'un VPN, sans la plupart des inconvénients.

Tor peut aussi vous aider à contourner une éventuelle censure gouvernementale du web.

Plus les utilisateurs de Tor sont nombreux, plus ils sont difficile à identifier. Si vous utilisez Tor tous les jours, vous aidez les gens qui en ont vraiment besoin tout autour du monde.

Évidemment, Tor a des faiblesses. Le navigateur n'est pas imparable. Le gouvernement américain s'en est déjà pris à ses utilisateurs, comme il s'en est déjà pris aux utilisateurs de VPN. Seul, Tor ne réduit pas le risque d'être piraté. Tor est conçu pour protéger la vie privée, par pour combattre les intrusions. De plus, s'il complique le traçage de votre connexion, il ne le rend pas impossible. Le risque d'être découvert planera toujours au-dessus de vous.

Les ordinateur qui composent le réseau Tor, ceux qui redirigent votre connexion, appartiennent à des volontaires, institutions et organisations basés dans le monde entier. Pour certains, ces activités présentent un risque légal. D'ailleurs, rien ne garantit qu'ils n'enregistrent pas le trafic qui passe par eux. Le risque est tempéré par le fait que chaque noeud n'a qu'une connaissance limitée du trafic qui le traverse et que personne ne peut s'arroger un accès simultané à l'IP d'un utilisateur et à son trafic non-crypté.

Pour enregistrer une portion de trafic assez importante pour être révélatrice un acteur malveillant devrait administrer un très grand nombre de noeuds Tor. Or, les responsables du Tor project font le nécessaire pour que cela n'arrive jamais.

Si vous cherchez à éviter la surveillance d'État, Tor est mieux qu'un VPN et un VPN est mieux que rien.

La survie de Tor n'est pas assurée. Le navigateur existe en partie grâce à des dons du gouvernement des États-Unis : comme bon nombre de technologies de pointe, il a été développé par l'armée américaine. Il n'est pas exclu qu'il cesse bientôt de recevoir toute subvention. Un don ne ferait sans doute pas de mal.

Les réseaux privés virtuels (VPN)

Certaines entreprises affirment qu'elles n'enregistrent pas les données clients. Méritent-elles votre confiance ? À vous d'en décider. Si vous cherchez à vous protéger d'espions dépêchés par votre gouvernement, nous vous recommandons de vous contenter de Tor.

PGP

Il n'y a qu'une seule méthode de chiffrement efficace pour les mails : le logiciel PGP, Pretty Good Privacy. Malheureusement, PGP est incroyablement difficile à utiliser. Même son créateur, Phil Zimmermann, a décidé d'arrêter de l'utiliser, en partie parce qu'il ne fonctionne pas sur téléphone.

Le pire, c'est que les personnes avec lesquelles vous souhaitez correspondre via PGP vont devoir apprendre à s'en servir elles aussi. Autant vous dire tout de suite que c'est l'enfer et qu'il est bien plus facile de télécharger Signal. Cependant, une fois de plus, tout dépend de votre modèle de menace.

Si vous devez absolument chiffrer un mail, ce guide PGP vous sera utile. Vous êtes prévenu, c'est une tâche compliquée. Assister à une crypto-party ou à une rencontre entre activistes pourra sans doute vous aider à vous lancer.

Les serveurs mail privés

2016 a accompli au moins une chose : prouver au monde entier qu'il ne fallait jamais faire tourner son propre serveur mail. Laissez ça à Google et à ceux qui savent faire. Et si vous craignez que ces entreprises ne fassent parvenir vos échanges aux autorités, ce qu'elles sont tenues de faire, vous pouvez faire appel au chiffrement.

Si vous chiffrez vos mails, Google ne pourra pas accéder à grand-chose : les noms des interlocuteurs et les objets des messages, c'est tout. Comme chiffrer ses mails est une authentique galère, essayez plutôt de communiquer toute information sensible par ce biais. Préférez les chaînes de discussion privée chiffrées de bout en bout. N'abandonnez pas votre compte mail tiers pour autant, sachez juste que le gouvernement peut fourrer son nez dedans sans trop de difficultés.

Chiffrez votre disque dur

Bonne nouvelle ! Chiffrer son disque dur n'est plus aussi difficile qu'auparavant. Cette opération effectuée, votre disque dur sera verrouillé et inaccessible sans mot de passe ou clé spéciale.

Beaucoup de smartphones sont commercialisés avec un disque dur chiffré. Si vous possédez un iPhone dont le système d'exploitation a été mis à jour au moins une fois au cours des trois dernières années, vous êtes au beurre.

Si vous avez un Android, il est peut-être déjà chiffré lui aussi. C'est le cas des Google Pixel, par exemple. Sinon, vous allez devoir débrouiller tout seul : à notre connaissance, il n'existe aucun tutoriel de chiffrement des smartphones Android. Et si vous avez un Windows Phone, Dieu puisse vous venir en aide.

Pour les ordinateurs, on l'a dit, c'est simple : vous n'avez qu'à utiliser l'outil de chiffrement fourni avec votre système d'exploitation. Pour les MacBooks équipé de Lion ou postérieur, il suffit d'activer FileVault.

Pour Windows, c'est beaucoup plus compliqué. Certains utilisateurs sont équipés d'une machine où le chiffrement est activé par défaut. D'autres peuvent l'activer, mais on ne va pas vous mentir, c'est difficile. Et si vous utilisez le Bitlocker de Microsoft, vous allez devoir régler beaucoup de paramètres supplémentaires pour sécuriser votre installation.

Apple ne s'arroge pas le droit, ni même la capacité de déverrouiller votre équipement. Si le gouvernement décide de s'en prendre à votre iPhone, Apple ne peut tout simplement pas l'aider - à moins de créer un hack qui n'affecterait tous les iPhone de la planète. Microsoft ne fait pas ça. Dans certains cas, il pourra utiliser une "key escrow" pour décrypter votre machine. Si vous souhaitez vous blinder, vous devrez prendre des mesures de sécurité additionnelles.

Si vous utilisez Microsoft, procurez-vous VeraCrypt. Beaucoup d'anciens vous recommanderont plutôt TrueCrypt, mais c'est un logiciel dépassé. VeraCrypt a longtemps été apparenté à TrueCrypt, l'histoire de leur séparation est un genre de soap opera confit de raccourcis titanesques qui n'a pas sa place dans ce guide. En bref, vous pouvez faire confiance à VeraCrypt, les experts approuvent. Mais si vous en avez la possibilité, préférez-lui l'outil de chiffrement de votre système d'exploitation.

Si vous utilisez Linux, votre distro quelle qu'elle soit comprend sans doute une solution de chiffrement. Vous n'avez qu'à suivre les instructions pendant l'installation.

Notes pour les journalistes

Vous voulez protéger vos sources ? Vos notes, vos échanges Slack, vos chats Google, votre Google Drive, votre Dropbox, vos interview enregistrées, vos retranscriptions et tout ce que vous avez écrit peut être déballé devant une cour de justice. La nature des poursuites peut invalider tout procédé de chiffrement.

N'attendez pas que des poursuites vous menacent pour supprimer tout ce que vous avez. C'est peut-être illégal, et vous risquerez peut-être de finir en prison. Chaque situation est différente : vos notes peuvent vous tirer d'un mauvais pas, par exemple. Si vous êtes du genre à couvrir des carnets, ayes conscience des risques, parlez à un avocat et agissez raisonnablement.

Le futur (?)

Tout ceci nous amène à cette constatation un peu bateau : nous ne savons pas ce que nous réserve l'avenir. Ce guide a écrit en regard de la situation actuelle. Rien ne garantit que tout va rester tel quel. Peut-être que le chiffrement va devenir illégal. La France va peut-être se mettre à censurer la censure comme le fait la Chine. Peut-être que nous serons bientôt contraints d'avoir une "carte d'identité" numérique qui nous empêchera de poster en ligne anonymement.

Au moins, ces dispositifs sont difficiles à mettre en place : ils ne seront pas là demain.

Il n'est pas impossible que le gouvernement tente un jour ou l'autre de faire disparaître Signal et ses semblables chiffrés. Ce guide ne restera peut-être pas valable si longtemps que ça. Raison de plus pour vous protéger contre la surveillance dès maintenant, quitte à vous adapter aux futurs changements.

Déconnectez

Beaucoup de lieux publics sont équipés de caméras de surveillance, certains sont mêmes dotés de micros. Il n'est pas impossible que vous soyez ciblé individuellement. Quoi qu'il en soit, il est toujours plus difficile de surveiller quelqu'un IRL que de collecter les communications d'un grand nombre d'individus en même temps.

Éloignez-vous du monde d'Internet, rencontrez des gens en chair et en os. Si vous êtes trop loin de vos semblables, vous ne serez pas entendu. Vous serez oublié avant même d'avoir été remarqué.

Si vous nous avez lu jusqu'ici, vous avez sans doute besoin d'un câlin.

Retrouvez vos amis, vérifiez vos clés Signal, échangez des câlins. Vous avez plus besoin d'êtres humains que de technologie.

Sortez et restez blindé

C'est tout pour l'instant. Nous le répétons : tout ceci n'est qu'un guide basique à destination des gens qui utilisent un ordinateur. Si vous êtes un activiste des droits de l'Homme qui travaille dans un pays dangereux ou dans une zone de guerre ou un employé d'un organisation qui installe du matériel informatique, tout ça ne suffit pas.

Les astuces partagées ici ne sont qu'une base, un trait de bon sens que nous devrions tous connaître.

Bien sûr, certains d'entre vous sauteront sur l'occasion de souligner tout ce qui n'a pas été dit dans ce guide. Tant mieux : nous voulons entendre vos retours. La sécurité informatique est un monde qui change en permanence. Les bons conseils d'aujourd'hui sont les directives catastrophiques de demain. Nous voulons garder ce guide à jour. N'hésitez pas à nous contacter si vous avez le moindre conseil.

Et souvenez-vous : restez toujours vigilant !