La création active d’espaces de sécurité ne peut pas laisser de côté les technologies numériques et Internet. La sécurité doit se penser comme un ensemble de pratiques qui englobent nos identités physiques et électroniques, les deux facettes de la même monnaie. Si la sécurité peut être interprétée comme l’absence de risque ou comme la confiance en quelque chose ou quelqu’un, elle doit aussi être interprétée comme un processus multidimensionnel. Cette vision signifie savoir protéger son corps (là où ce n’est que nous qui décidons), défendre notre droit à l’expression, à la coopération, à l’anonymat, mais aussi notre droit à apprendre à manier des outils et applications qui nous protègent. Cela nécessite aussi de comprendre quelles alternatives existent et comment on peut les utiliser, les défendre, les appuyer.
La perception de la sécurité dépend de comment nous nous connectons, naviguons, échangeons mais aussi du type de technologies que nous utilisons et avec qui nous les utilisons. Les systèmes opératifs, hardware, FAI, les XISP, les serveurs, les routeurs entrent en jeu. Nos finalités sociales et politiques influencent aussi le type de sécurité dont nous aurons besoinet à quel point nous chercherons à dépister, masquer ou exposer nos traces. Parfois nous chercherons l’anonymat, l’authentification, la preuve de l’intégrité de nos communicationsou bien nous chercherons à masquer nos contenus, parfois même toutes ces dimensions ensemble.
Néanmoins, le paradoxe de la vie privée montre que les personnes ont généralement tendance à affirmer qu’elles se préoccupent de leur intimité, mais lorsque vous leur demandez quelles mesures elles prennent pour la protéger, vous vous rendez vite compte qu’elles n’en prennent aucune ou presque. Aux débuts d’Internet, il existait cette idée que nous pouvions y être et y devenir n’importe qui. [2], comme l’avait dessinée Steiner en 1993 : « On the Internet, nobody knows you’re a dog » [3]. Cette époque de l’Internet est aujourd’hui révolue. Maintenant, nous y sommes étiquetés, profilés, monitorés, analysés. Nous sommes ce que dit notre graph social et ceux qui ne développent pas des pratiques pour se défendre s’y retrouvent totalement exposée. Mis à nu sur le net : « Oui mais euh… la sécurité, c’est difficile ».
Ou non, pas tant que ça en fait. Si vous prenez un minimum de temps pour vous y intéresser, le temps de retaper votre mot de passe pour éviter qu’on puisse accéder à vos données si on vous vole votre ordinateur ou smartphone. Le temps de lever la tête pour voir s’il y a une caméra de surveillance à proximité. Le temps de vous poser les bonnes questions comme, par exemple, vous demander à quels risques vous êtes exposés et comment pouvez vous réduire ces dangers et vous en prémunir. Ou encore le temps de vous demander comment vos pratiques sur le net exposent la vie privée de vos amis ou du collectif avec lequel vous vous êtes engagés pour changer le monde (en mieux).
Améliorer vos pratiques sur le Net, c’est aussi être plus « libres » de ses opinions et pouvoir les exprimer en sécurité. Plus libres de faire son travail lorsque l’on est journaliste par exemple. J’ai tendance à m’énerver aujourd’hui quand je lis « interview réalisée par Skype » avec des gens qui vont peut-être mourir à cause de ce que je qualifie de négligence. Parce que, oui, on matraque, on mitraille, on répète à longueur de temps ce qui est déjà connu et le danger que cela représente en termes de protection des sources. En tant que journaliste, j’avais aussi mon clicodrome et quoique pleine de bonne volonté et faisant beaucoup d’efforts, j’étais totalement à côté de la plaque par méconnaissance. Et puis j’ai découvert, j’ai lu, j’ai échangé avec des « sachants ». Aujourd’hui, j’ouvre de grands yeux quand la personne avec qui je parle ne sait pas ce qu’est le Deep Packet Inspection [4] mais, à vrai dire, il y a un peu plus de deux ans, je ne le savais pas non plus. Alors on explique, on répète, toujours et encore. Car prendre le temps d’expliquer ces notions et ces outils à ses proches, mais aussi à des inconnus, est une contribution fondamentale à l’avancement d’un Internet et une société plus justes pour tous. Apprendre à se protéger et à ne pas mettre les autres en danger prend du temps, nécessite de l’attention mais donne des automatismes qui seront salvateurs au quotidien.
Prise de conscience
Aujourd’hui, on ne peut plus ignorer l’espionnage en ligne. S’agissant des révélations d’Edward Snowden concernant la NSA ou des arrestations répétées d’opposants politiques avant et pendant les révolutions de 2011, on ne peut plus ne pas savoir que l’on peut potentiellement être surveillés, peu importe la raison. Cette situation opère aussi off-line avec la vidéo-surveillance. Si je me déplace sur une grande avenue avec des amis à proximité de commerces, il y aura forcément une trace de ce passage, alors que mon image, mon sourire, ce moment d’intimité ou de camaraderie n’a rien à faire dans une base de données. C’est ma vie.
Dédramatiser
La protection de la vie privée n’est pas réservée à une élite technophile et passe souvent par de petites gestes quotidiens et, avant tout, par une prise de conscience. Nous avons tous, y compris (et surtout) moi, révélé des miettes de notre vie sur le web par méconnaissance des conséquences. Nous avons tous, avant de prendre conscience du mal qu’on pouvait leur faire, parlé de la vie privée de nos amis en ligne, possiblement posté des photos de nous, parce qu’on avait des déguisements cool, parce qu’on était heureux, parce qu’on s’aimait et qu’on ne pensait pas que ces moments finiraient sur le bureau d’une agence de marketing ou dans un dossier des services de renseignements.
Choisir
Nous ne sommes pas les apôtres du bien faire, du mieux vivre, ni les messagers de la sacro-sainte protection des données. Nous aspirons juste, avec la technique que nous connaissons, riches des erreurs que nous avons commises, à vous donner quelques conseils simples pour vous aider à vous protéger ou, au moins, vous faire réfléchir sur ce que vous n’avez (pas) à montrer. Vous vous apercevrez rapidement qu’entre confort et liberté, il faudra souvent faire un choix, mais comme le disait Benjamin Franklin « Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux. »
Alors au travail ! Pour échapper à la surveillance de manière très simple et sans douleur, juste en remplaçant ses outils du quotidien par des outils sécurisés. Prism Break [5] propose, peu importe votre OS (oui, oui, même si on utilise Windows), des outils permettant de contourner la surveillance électronique. Enfin, pour éviter la vidéosurveillance, le projet sous-surveillance [6], lancé par une poignée de Français, vous permet de consulter les plans des villes où vous vous trouvez : Minsk, Moscou, Seattle, Montréal, Paris... Ainsi, vous pouvez donner rendez-vous à vos sources, vos amis, vos camarades d’action là où il n’y a pas de caméra et ainsi éviter le regard pesant de Big Brother.
De l’importance de s’approprier les outils
A chaque pratique/personne/besoin correspond un outil. On ne choisira pas de s’anonymiser de la même manière si l’on est un chercheur qui souhaite récupérer des cours et si l’on est un adolescent qui cherche à télécharger de la musique à la mode. S’intéresser à son ordinateur, à comment il fonctionne, c’est aussi comprendre qu’il n’y a pas de remède miracle ou d’outil révolutionnaire.
S’intéresser c’est aussi s’interroger sur quels sont les logiciels qui peuvent être malveillants. Par exemple, pourquoi une application de dessins sur smartphone demande-t-elle à avoir accès à mon répertoire ou à mes archives SMS ? Pourquoi une application de prise de notes a-t-elle besoin de me géolocaliser ? Vous pouvez vous apercevoir de la manière dont les créateurs de certaines applications s’octroient des privilèges sur votre machine très facilement. Il suffit juste d’en lire les caractéristiques avant de cliquer sur « installer ». Encore une fois, pas besoin de compétences techniques pour se protéger, sinon une curiosité vis-à-vis des outils que vous utilisez.
Discipline
On peut apprendre à lancer et utiliser tel ou tel logiciel, créer une partition chiffrée avec Truecrypt [7], mais si l’on n’est pas conscient des risques que l’on fait courir aux gens en leur passant un coup de fil ou en leur envoyant un mail en clair, la technologie ne sert à rien. Plus que le rude apprentissage des outils, c’est une discipline qu’il faut aussi acquérir, être conscient de ce que l’on fait ou de ce que l’on ne fait pas et des répercussions que cela peut avoir. C’est une prise de conscience quotidienne. Il est important de créer des moments collectifs d’apprentissage, d’échange, afin de penser la sécurité dans un inter-réseau personnel où vos amis et proches adoptent ces pratiques avec vous de manière à créer une boucle vertueuse où chacun stimule les autres. Échanger des mails chiffrés, choisir d’utiliser une adresse mail qui ne dépend pas d’une entreprise commerciale ou encore travailler ensemble sur des tutoriels ou des manuels représentent des chouettes dynamiques pour s’épauler.
Anonymat, pourquoi ? comment ?
Au delà des solutions techniques, l’anonymat et le pseudonymat peuvent aussi être des alternatives très faciles à la surveillance. Le pseudonymat, c’est afficher une autre identité sur Internet, qu’elle soit de longue ou de courte durée, qu’elle vous serve pour un chat de quelques minutes ou pour vous identifier sur des forums sur lesquels vous échangerez tous les jours pendant des années. L’anonymat, c’est ne laisser aucune trace. Des outils simples d’utilisation le permettent. Tor, par exemple, fait réaliser des sauts de puces à votre requête d’un serveur à un autre. Résultat ? C’est l’adresse IP d’un de ces serveurs par lesquels votre requête à transité qui sera retenue, pas celle de votre connexion.
La cryptographie, un jeu d’enfants
Envoyer un email « en clair » équivaut à envoyer une carte postale. Le facteur peut la lire sur le chemin, regarder la photo, peut se moquer… Votre carte postale part aux quatre vents sans grande protection contre la pluie ou les regards indiscrets. Pour vos emails, c’est la même chose. Sauf si, comme dans le système postal, vous placez votre courrier dans une enveloppe. Là, le postier ne peut rien voir, même si vous y glissez un chèque ou votre numéro de compte ou des photos coquines. L’enveloppe numérique, on l’obtient en utilisant la cryptographie.
Lorsque nous étions enfants, nous en avons tous fait à petite échelle lorsque l’on s’envoyait des messages secrets entre amis. En choisissant un code type « décaler de trois lettres », « Adam est beau » devenait « Dgdp hvw ehdx ». Aujourd’hui, nous sommes adultes et ce n’est guère plus compliqué. La différence, c’est que les machines travaillent à notre place et rendent le chiffrement encore plus compliqué, plus difficile à casser, avec des caractères spéciaux, des algorithmes qui chiffrent un message sans aucune concordance avec le prochain message qu’ils créeront.
De la servitude volontaire
Dans le cas des emails, un message qui part quand on clique sur « envoyer » est en fait stocké en quatre exemplaires.
1. Le premier, dans la boite d’envoi de l’expéditeur, qu’il trouve facilement en cliquant sur « mails envoyés » avec l’historique de tes autres envois.
2. Le second, dans la boite de réception du destinataire. A cela, rien d’anormal. Sauf que…
3. Sauf que la troisième version est stockée dans un serveur chez Monsieur Google, Madame Yahoo, peu importe, suivant la société à laquelle l’expéditeur a confié ses emails. A ce propos, n’importe qui ayant accès à ces serveurs, travaillant pour ces compagnies ou non, peut avoir accès à ce mail.
4. Et ce n’est pas fini puisque la quatrième copie est stockée chez Madame Google, Monsieur Yahoo, peu importe la boîte qui héberge le service mail du destinataire. Donc n’importe qui ayant accès à ces serveurs, travaillant pour ces compagnies ou non, peut aussi avoir accès à ce mail.
Effacer les messages de la boîte de réception ou de la boîte d’envoi dans l’interface ne les supprime en rien de ces serveurs, ils sont stockés et ils y restent. Tout ceci, aussi moche que ce soit vis-à-vis de la vie privée, c’est nous qui leur donnons la possibilité de le faire.
Conclusion
Protéger sa vie privée, celle de ses contacts, celle de ses amis, ne s’improvise pas, mais cela ne relève pas non plus de défis insurmontables. Il suffit parfois simplement de réfléchir avant de cliquer, avant d’installer une application. Le reste, quoique plus technique, est aussi accessible à tout le monde, l’essentiel étant de le vouloir.
Quelques guides et tutoriels pour débuter
Security in a box : Un guide qui vous explique quel outil utiliser selon des situations bien définies. Existe en 13 langues : https://securityinabox.org/
How to bypass Internet censorship : l’installation de la plupart des outils de sécurité expliquée étapes par étapes via des captures d’écran. Existe en 9 langues http://howtobypassinternetcensorship.org/
Prism Break : Se protéger sur mobile et sur ordinateur en remplaçant ses outils du quotidien par des outils sécurisés : https://prism-break.org/
Cryptocat : un logiciel de tchat sécurisé via son navigateur https://crypto.cat/