Affaire Snowden : quelles leçons en tirer sur la protection de la sphère privée sur Internet ?

Après plusieurs jours de tempête médiatique autour de la sécurité informatique, de l’espionnage et de la protection de la sphère privée sur Internet, un résumé des épisodes précédents s’impose afin de bien cerner l’actualité (Section I et II) et les conséquences de ces événements.

Afin d’apporter une ébauche de solution, quelques conseils sur la protection de sa navigation sur Internet sont fournis (Section III et IV).

I. L’affaire Edward Snowden

Le scandale éclate le dimanche 9 juin 2013.

Edward Snowden, ex-consultant pour l’agence américaine de sécurité nationale (NSA), accordait une interview au journal The Guardian depuis un hôtel à Hong-Kong, dans lequel il s’était réfugié depuis le 20 mai 2013. Dans cet entretien, il révèlait l’existence de deux programmes d’espionnage sur Internet et de surveillance des télécommunications élaborés par le gouvernement américain, sous l’administration Bush, puis poursuivie par celle d’Obama.

Le premier programme concerne la récolte, depuis 2006, des données d’appels téléphoniques aux Etats-Unis par l’opérateur Verizon, et vraisemblablement d’autres opérateurs. Le second, appelé PRISM, vise à intercepter les communications d’internautes étrangers, se situant hors des Etats-Unis, sur les neuf grands réseaux sociaux appartenant aux firmes suivantes : Google, Facebook, Microsoft, Apple, Yahoo, AOL, YouTube, Skype et PalTalk.

Edward Snowden, qui s’expose à faire l’objet d’une demande d’extradition vers les Etats-Unis, au même titre que Julian Assange, est considéré depuis quelques jours comme l’un des Whistleblowers les plus recherchés du moment. Depuis 2007, Edward Snowden opérait comme espion basé à Genève pour le compte de la NSA, jusqu’à ce qu’il craque et qu’il révèle au grand jour ce qu’il a pu constater dans le cadre de son rôle.

Un résumé chronologique des événements de cette affaire peut être consulté ici ainsi que des références sur le site de la Radio Télévision Suisse romande.

II. Glenn Greenwald : successeur de Julian Assange ?

Ces révélations n’auraient pas pu être possibles sans l’intervention de Glenn Greenwald, qui travaille actuellement pour le quotidien britannique indépendant The Guardian. Cet avocat journaliste américain a fait beaucoup parler de lui par ses révélations chocs en dénonçant les pratiques des États-Unis en matière de surveillance d’Internet et du contenu des télécommunications. Depuis les remous de l’affaire Wikileaks, Glenn Greenwald est devenu le nouveau Julian Assange de la presse à scandale sur Internet. Il n’a d’ailleurs pas hésité à publier des articles basés sur des documents confidentiels et à rendre public des documents permettant de comprendre les possibilités techniques du programme Boundless Informant, logiciel d’analyse de données récoltées grâce au logiciel PRISM par la NSA.

Un résumé du parcours professionnel de Glenn Greenwald et de ses révélations peut être lu ici.

III. Comment protéger ses informations sur Internet ?

Les pratiques d’espionnage des communications par l’Etat américain (PRISM) et leur analyse, posent une fois de plus la question de la sécurité des données personnelles sur Internet.

Il peut s’agir de données personnelles (adresse IP, fichiers personnels au sens de la loi sur la protection des données « LPD »), du contenu de nos emails (scanné par Google, Microsoft, etc.), de nos fichiers privés ou professionnels stockés dans le nuage (Dropbox, Sugarsync, Skydrive, etc.), ou de nos données de navigation sur Internet notamment par des cookies (date et heure de connexion, langue, fuseau horaire, adresse IP, plug-in utilisés, etc.).

Suite aux événements du 11 septembre 2001, le Patriot Act du 24 octobre 2001 permet au gouvernement américain d’utiliser tous les moyens nécessaires à la recherche de personnes susceptibles de commettre un attentat terroriste. Cette loi donne la possibilité au gouvernement américain d’obtenir toute information située sur sol américain qui serait susceptible de représenter une menace pour la sécurité nationale américaine. Cela comprend bien évidement les serveurs qui hébergent des données aux Etats-Unis ou dont les données sont sous-traitées aux Etats-Unis concernant n’importe quel utilisateur dans le monde.

Si le but des sociétés privées est de récolter nos données à des fins de marketing et de publicité ciblée, le but des Etats est de protéger leur sécurité nationale. L’individu lambda qui n’a que des notions basiques d’informatique peut-il se protéger contre la collecte à son insu de ses données ? Pour tenter de répondre à cette question, le site Internet de la RTS a Recueilli, notamment de spécialistes des nouvelles technologies, dix conseils pour mieux se protéger contre les atteintes à la vie privée.

Voici un résumé de ces conseils avec certains ajouts personnels (intitulés « ndlr ») :

IV. Dix conseils pour se protéger sur Internet :

1. Limiter sa présence sur les réseaux sociaux

Un commentaire quelconque au sujet du cannabis ou une mauvaise blague sur le gouvernement américain sur Facebook pourrait rendre plus difficile une demande d’obtention de VISA pour les Etats-Unis.

2. Consommer local

Éviter à tout prix les adresses électroniques sur des serveurs américains, ou sur des serveurs situés aux Etats-Unis à l’instar d’un Hotmail ou d’un Gmail. En optant pour une alternative européenne ou suisse, l’internaute pourra plus facilement et plus rapidement se retourner en cas de violation des données en raison d’une législation plus stricte.

  • ndlr : Il faut également s’assurer que le prestataire suisse qui stocke et traite les données ne sous-traite pas à son tour les données aux USA.
  • ndlr : Le logiciel gratuit Wuala propose des services de cloud computing sécurisés avec stockage des données en Suisse, France, Allemagne. A l’instar de ses concurrents, il offre également des solutions professionnelles payantes.

3. Privilégier l’Open Source

Plutôt que passer par des entreprises tierces (DropBox, SugarSync, Google Drive, Skydrive, etc.), on peut aussi opter pour des alternatives libres telles que OwnCloud ou SeaFile.

  • ndlr : une recherche rapide permet souvent de trouver des logiciels aussi performants que les plus connus, mais bien plus sûrs et souvent gratuits.

4. Protéger sa connexion et ses courriels

Il est possible de surfer en toute discrétion grâce à des logiciels comme Tor qui empêchent de remonter jusqu’à l’adresse IP et donc jusqu’à l’auteur. Autre option: installer des extensions et plugins permettant de le chiffrement des courriels en utilisant GPG/PGP, comme par exemple Enigmail pour Mozilla Thunderbird.

  • ndlr : l’excellent plugin Ghostery permet d’éliminer une bonne parties des logiciels qui traque les informations des utilisateurs lors de leur navigation sur Internet.
  • ndlr : il est également possible de passer par un serveur proxy gratuit, voire un logiciel comme Privoxy, pour surfer sans être limité à une zone géographique.
  • ndlr : le site Internet panopticlick, élaboré par la Electronic Frontier Foundation, permet de calculer le nombre de traces que l’on laisse sur notre passage en surfant sur Internet avec la configuration actuelle de notre navigateur (Mozilla, Internet Explorer, Safari, Chrome, etc.).
  • ndlr : il faut éviter d’enregistrer son mot de passe et ses données de connexion, même sur son ordinateur personnel.
  • ndlr : n’utiliser qu’un seul ordinateur pour effectuer ses paiements sur Internet par eBanking ou cartes de crédit et vérifier que l’adresse que l’on visite est sécurisée (https).
  • ndlr : il faut encore adopter le même comportement sur tous les ordinateurs et smartphones que l’on utilise. Des logiciels pour Firefox permettent de synchroniser ses plugins avec les autres ordinateurs que l’on utilise (p.e. : Siphon).

5. Utiliser un pseudonyme

La création de plusieurs adresses électroniques sous un pseudo, dont certaines qui servent de « poubelles », permet de limiter la publicité et la diffusion de ses informations personnelles.

6. Se méfier des homonymes

Taper son nom régulièrement dans des moteurs de recherche ou installer une alerte Google permet de surveiller son identité numérique et de réagir vite en cas de contenu indésirable.

7. Toiletter son identité numérique

Afin d’éviter qu’un homonyme ou quelqu’un de mal intentionné n’utilise votre identité, certains recommandent de créer soi-même des comptes à son nom sur les réseaux sociaux, même ceux qu’on n’utilise pas.

On peut en outre contrôler les premières informations qui apparaîtront sur un moteur de recherche en créant son propre site bien référencé ou même en faisant une utilisation « intelligente » de réseaux sociaux comme LinkedIn.

8. Contourner les moteurs de recherche

Beaucoup d’informations transitent par les moteurs de recherche, qui sont de vrais cafteurs. Mais il est possible d’éviter Google, Bing et Yahoo en utilisant https://duckduckgo.com.

Ce méta-moteur utilise en fond d’autres moteurs mais s’arrange pour ne laisser passer aucun cookie ou autres.

  • ndlr : en complément du logiciel Ghostery, l’installation du module complémentaire pour désactiver Google Analytics limite le risque que l’on soit ensuite ciblé par de la publicité.

9. S’informer

Avant de s’inscrire sur un réseau social ou d’ouvrir une nouvelle adresse électronique, rien ne vaut la lecture des « conditions d’utilisation ».

D’autres informations sont disponibles sur la politique de certaines entreprises en matière de vie privée, comme par exemple ce rapport publié par l’Electronic Frontier Foundation fin avril.

10. Surveiller son smartphone

L’utilisateur n’a pas vraiment la main sur son smartphone, mais il peut limiter la casse.

L’application clueful de l’éditeur Bit Defender permet d’examiner les applications présentes sur un mobile et alerte sur celles présentant un risque éventuel.

  • ndlr : sur les smartphones récents, il est possible de surfer en navigation privée (mozilla sous android, dans les options de navigation pour iOS). Cette manipulation permet de limiter la transmission spontanées de toutes nos données de navigation.

V. Conclusion

Même si l’on sait que les géants d’Internet ont des intérêts financiers, il y a en arrière plan d’autres intérêts bien plus grands, ceux des Etats, ce qui contraint à se poser des questions fondamentales de respect de la vie privée des utilisateurs d’Internet face à la sécurité nationale. De même, de telles questions touchent également au domaine de la souveraineté nationale qui pourrait, le cas échéant être considérée comme violée. Sur cette question, le chef du Département des affaires étrangères en Suisse, Didier Burkhalter, a renoncé à se prononcer sur la question pour le moment.

Bien des moyens existent pour limiter la diffusion de nos informations sur Internet. Toutefois, pour une navigation avertie sur Internet, cela suppose de s’efforcer de chercher les informations nécessaires à se protéger, lire les conditions générales d’utilisations, installer des modules complémentaires ou l’utilisation de logiciels tiers etc. Démarches lourdes qui nécessite un brin de connaissances informatiques si l’on ne veut pas être immédiatement découragé.

Rien que l’installation du logiciel Ghostery contribue déjà à supprimer une parties des informations que l’on transmets lors de notre navigation Internet, toutefois, plus on restreint les informations que l’on donne plus la navigation sur Internet devient difficile. Par exemple, si l’on bloque l’activation des cookies, flash et Java-script l’accès à Internet devient presque impossible.

Une navigation 100% anonyme sur Internet est souvent presque incompatible avec une navigation 100% libre sur Internet.