Affaire Snowden : quelles leçons en tirer sur la protection de la sphère privée sur Internet ?

image_pdfimage_print

Après plusieurs jours de tempête médiatique autour de la sécurité informatique, de l’espionnage et de la protection de la sphère privée sur Internet, un résumé des épisodes précédents s’impose afin de bien cerner l’actualité (Section I et II) et les conséquences des événements de l’affaire Edward Snowden. Afin d’apporter une ébauche de solution, quelques conseils sur la protection de sa navigation sur Internet sont fournis (Actes 3 et 4).

Dans cet article, je parle du film fascinant CitizenFour, le reportage sur Edward Snowden et le moment de ses révélations.

___________________________________

ACTE  1 – AFFAIRE EDWARD SNOWDEN : LES FAITS

Le scandale éclate le dimanche 9 juin 2013.

Edward Snowden, ex-consultant pour l’agence américaine de sécurité nationale (NSA), accordait une interview au journal The Guardian depuis un hôtel à Hong-Kong, dans lequel il s’était réfugié depuis le 20 mai 2013. Dans cet entretien, il révèlait l’existence de deux programmes d’espionnage sur Internet et de surveillance des télécommunications élaborés par le gouvernement américain, sous l’administration Bush, puis poursuivie par celle d’Obama.

Le premier programme concerne la récolte, depuis 2006, des données d’appels téléphoniques aux Etats-Unis par l’opérateur Verizon, et vraisemblablement d’autres opérateurs. Le second, appelé PRISM, vise à intercepter les communications d’internautes étrangers, se situant hors des Etats-Unis, sur les neuf grands réseaux sociaux appartenant aux firmes suivantes : Google, Facebook, Microsoft, Apple, Yahoo, AOL, YouTube, Skype et PalTalk.

Edward Snowden, qui s’expose à faire l’objet d’une demande d’extradition vers les Etats-Unis, au même titre que Julian Assange, est considéré depuis quelques jours comme l’un des Whistleblowers les plus recherchés du moment. Depuis 2007, Edward Snowden opérait comme espion basé à Genève pour le compte de la NSA, jusqu’à ce qu’il craque et qu’il révèle au grand jour ce qu’il a pu constater dans le cadre de son rôle.

Un résumé chronologique des événements de cette affaire peut être consulté ici ainsi que des références sur le site de la Radio Télévision Suisse romande.

___________________________________

ACTE 2 – GLENN GREENWALD : SUCCESSEUR DE JULIAN ASSANGE ?

Ces révélations n’auraient pas pu être possibles sans l’intervention de Glenn Greenwald, qui travaille actuellement pour le quotidien britannique indépendant The Guardian. Cet avocat journaliste américain a fait beaucoup parler de lui par ses révélations chocs en dénonçant les pratiques des États-Unis en matière de surveillance d’Internet et du contenu des télécommunications. Depuis les remous de l’affaire Wikileaks, Glenn Greenwald est devenu le nouveau Julian Assange de la presse à scandale sur Internet. Il n’a d’ailleurs pas hésité à publier des articles basés sur des documents confidentiels, fournis par Edward Snowden, et à rendre public des documents permettant de comprendre les possibilités techniques du programme Boundless Informant, logiciel d’analyse de données récoltées grâce au logiciel PRISM par la NSA.

Un résumé du parcours professionnel de Glenn Greenwald et de ses révélations peut être lu ici.

___________________________________

ACTE 3 – SURVEILLANCE  ET PROTECTION DE SES INFORMATIONS SUR INTERNET

Les pratiques d’espionnage des communications par l’Etat américain (PRISM) et leur analyse, posent une fois de plus la question de la sécurité des données personnelles sur Internet, dans le contexte des lois nationales sur la surveillance.

Mais ce que nous apprend Edward Snowden n’est pas nouveau. Cela met toutefois en lumière que les pratiques de certains Etats pour surveiller leurs citoyens, ainsi que des citoyens d’autres nations dépassent parfois le cadre des investigations policières et de la coopération internationale qui reste très limitée. Depuis les événements Snowden, les Etats ont vu leurs pratiques considérablement freinées par des techniques de cryptage par les géants d’Internet.

Vie privée sur Internet. Lorsque l’on parle de vie privée sur Internet, il peut s’agir de données personnelles (adresse IP, fichiers personnels au sens de la loi sur la protection des données “LPD” et du RGPD), du contenu de nos emails (scanné par Google, Microsoft, etc.), de nos fichiers privés ou professionnels stockés dans le nuage (Dropbox, Sugarsync, Skydrive, etc.), ou de nos données de navigation sur Internet notamment par des cookies (date et heure de connexion, langue, fuseau horaire, adresse IP, plug-in utilisés, etc.).

Aux Etats-Unis, le Foreign Intelligence Surveillance Act (FISA) a été promulgué. Il s’agit d’une loi du Congrès des États-Unis datant de 1978 et qui décrit les procédures des surveillances physiques et électronique, ainsi que la collecte d’information sur des puissances étrangères soit directement, soit par l’échange d’informations avec d’autres puissances étrangères. Cette loi a été modifiée à plusieurs reprises, notamment suite aux événements du 11 septembre 2001 avec le Patriot Act du 24 octobre 2001 qui permet au gouvernement américain d’utiliser tous les moyens nécessaires à la recherche de personnes susceptibles de commettre un attentat terroriste. Cette loi donne la possibilité au gouvernement américain d’obtenir toute information située sur sol américain qui serait susceptible de représenter une menace pour la sécurité nationale américaine. Cela comprend bien évidement les serveurs qui hébergent des données aux Etats-Unis ou dont les données sont sous-traitées aux Etats-Unis concernant n’importe quel utilisateur dans le monde.

L’article 702 du FISA Act permet au Procureur général des États-Unis et au Directeur du renseignement national d’autoriser conjointement le ciblage des personnes censées être raisonnablement situées à l’extérieur des États-Unis, mais elle est limitée au ciblage des personnes non américaines. Une fois autorisées, ces acquisitions de données (SIGINT) peuvent durer pendant des périodes allant jusqu’à un an. Cet article 702 autorise l’usage des programmes de surveillance utilisés par la National Security Agency (NSA) et le FBI, comme PRISM tel que révélé par Snowden en 2013.

Protection de la sécurité nationale. Si le but des sociétés privées est de récolter nos données à des fins de marketing et de publicité ciblée, le but des Etats est de protéger leur sécurité nationale. L’individu lambda qui n’a que des notions basiques d’informatique peut-il se protéger contre la collecte à son insu de ses données ?

Pour tenter de répondre à cette question, le site Internet de la RTS a Recueilli, notamment de spécialistes des nouvelles technologies, dix conseils pour mieux se protéger contre les atteintes à la vie privée. Voici un résumé de ces conseils avec certains ajouts personnels (intitulés “ndlr”).

___________________________________

ACTE 4 – DIX CONSEILS POUR SE PROTÉGER SUR INTERNET ?

1. Limiter sa présence sur les réseaux sociaux

Un commentaire quelconque au sujet du cannabis ou une mauvaise blague sur le gouvernement américain sur Facebook pourrait rendre plus difficile une demande d’obtention de VISA pour les Etats-Unis.

2. Consommer local

Éviter à tout prix les adresses électroniques sur des serveurs américains, ou sur des serveurs situés aux Etats-Unis à l’instar d’un Hotmail ou d’un Gmail. En optant pour une alternative européenne ou suisse, l’internaute pourra plus facilement et plus rapidement se retourner en cas de violation des données en raison d’une législation plus stricte.

  • ndlr : Il faut également s’assurer que le prestataire suisse qui stocke et traite les données ne sous-traite pas à son tour les données aux USA.
  • ndlr : Le logiciel gratuit Wuala propose des services de cloud computing sécurisés avec stockage des données en Suisse, France, Allemagne. A l’instar de ses concurrents, il offre également des solutions professionnelles payantes.

3. Privilégier l’Open Source

Plutôt que passer par des entreprises tierces (DropBox, SugarSync, Google Drive, Skydrive, etc.), on peut aussi opter pour des alternatives libres telles que OwnCloud ou SeaFile.

  • ndlr : une recherche rapide permet souvent de trouver des logiciels aussi performants que les plus connus, mais bien plus sûrs et souvent gratuits.

4. Protéger sa connexion et ses courriels

Il est possible de surfer en toute discrétion grâce à des logiciels comme Tor qui empêchent de remonter jusqu’à l’adresse IP et donc jusqu’à l’auteur. Autre option: installer des extensions et plugins permettant de le chiffrement des courriels en utilisant GPG/PGP, comme par exemple Enigmail pour Mozilla Thunderbird.

  • ndlr : l’excellent plugin Ghostery permet d’éliminer une bonne parties des logiciels qui traque les informations des utilisateurs lors de leur navigation sur Internet.
  • ndlr : il est également possible de passer par un serveur proxy gratuit, voire un logiciel comme Privoxy, pour surfer sans être limité à une zone géographique.
  • ndlr : le site Internet panopticlick, élaboré par la Electronic Frontier Foundation, permet de calculer le nombre de traces que l’on laisse sur notre passage en surfant sur Internet avec la configuration actuelle de notre navigateur (Mozilla, Internet Explorer, Safari, Chrome, etc.).
  • ndlr : il faut éviter d’enregistrer son mot de passe et ses données de connexion, même sur son ordinateur personnel.
  • ndlr : n’utiliser qu’un seul ordinateur pour effectuer ses paiements sur Internet par eBanking ou cartes de crédit et vérifier que l’adresse que l’on visite est sécurisée (https).
  • ndlr : il faut encore adopter le même comportement sur tous les ordinateurs et smartphones que l’on utilise. Des logiciels pour Firefox permettent de synchroniser ses plugins avec les autres ordinateurs que l’on utilise (p.e. : Siphon).

5. Utiliser un pseudonyme

La création de plusieurs adresses électroniques sous un pseudo, dont certaines qui servent de “poubelles”, permet de limiter la publicité et la diffusion de ses informations personnelles.

6. Se méfier des homonymes

Taper son nom régulièrement dans des moteurs de recherche ou installer une alerte Google permet de surveiller son identité numérique et de réagir vite en cas de contenu indésirable.

7. Toiletter son identité numérique

Afin d’éviter qu’un homonyme ou quelqu’un de mal intentionné n’utilise votre identité, certains recommandent de créer soi-même des comptes à son nom sur les réseaux sociaux, même ceux qu’on n’utilise pas.

On peut en outre contrôler les premières informations qui apparaîtront sur un moteur de recherche en créant son propre site bien référencé ou même en faisant une utilisation “intelligente” de réseaux sociaux comme LinkedIn.

8. Contourner les moteurs de recherche

Beaucoup d’informations transitent par les moteurs de recherche, qui sont de vrais cafteurs. Mais il est possible d’éviter Google, Bing et Yahoo en utilisant https://duckduckgo.com.

Ce méta-moteur utilise en fond d’autres moteurs mais s’arrange pour ne laisser passer aucun cookie ou autres.

  • ndlr : en complément du logiciel Ghostery, l’installation du module complémentaire pour désactiver Google Analytics limite le risque que l’on soit ensuite ciblé par de la publicité.

9. S’informer

Avant de s’inscrire sur un réseau social ou d’ouvrir une nouvelle adresse électronique, rien ne vaut la lecture des “conditions d’utilisation”.

D’autres informations sont disponibles sur la politique de certaines entreprises en matière de vie privée, comme par exemple ce rapport publié par l’Electronic Frontier Foundation fin avril.

10. Surveiller son smartphone

L’utilisateur n’a pas vraiment la main sur son smartphone, mais il peut limiter la casse.

L’application Clueful de l’éditeur Bit Defender permet d’examiner les applications présentes sur un mobile et alerte sur celles présentant un risque éventuel.

  • ndlr : sur les smartphones récents, il est possible de surfer en navigation privée (Mozilla sous Android, dans les options de navigation pour iOS). Cette manipulation permet de limiter la transmission spontanées de toutes nos données de navigation.

V. Conclusion

Même si l’on sait que les géants d’Internet ont des intérêts financiers, il y a en arrière plan d’autres intérêts bien plus grands, ceux des Etats, ce qui contraint à se poser des questions fondamentales de respect de la vie privée des utilisateurs d’Internet face à la sécurité nationale. De même, de telles questions touchent également au domaine de la souveraineté nationale qui pourrait, le cas échéant être considérée comme violée. Sur cette question, le chef du Département des affaires étrangères en Suisse, Didier Burkhalter, a renoncé à se prononcer sur la question pour le moment.

Bien des moyens existent pour limiter la diffusion de nos informations sur Internet. Toutefois, pour une navigation avertie sur Internet, cela suppose de s’efforcer de chercher les informations nécessaires à se protéger, lire les conditions générales d’utilisations, installer des modules complémentaires ou l’utilisation de logiciels tiers etc. Démarches lourdes qui nécessite un brin de connaissances informatiques si l’on ne veut pas être immédiatement découragé.

Rien que l’installation du logiciel Ghostery contribue déjà à supprimer une parties des informations que l’on transmets lors de notre navigation Internet, toutefois, plus on restreint les informations que l’on donne plus la navigation sur Internet devient difficile. Par exemple, si l’on bloque l’activation des cookies, flash et Java-script l’accès à Internet devient presque impossible.

Une navigation 100% anonyme sur Internet est souvent presque incompatible avec une navigation 100% libre sur Internet.

____

Par Gabriel Avigdor | NTIC.ch