Vie privée Numérique
le 8 novembre 2021
Cet article traite de notre empreinte numérique, des données que l'on est mené partager ou enregistrer sur Internet. L'idée ici est de faire un constat, puis de montrer un exemple d'installation de son poste et de ses outils numériques pour allier théorie et pratique. A la lecture de l'article, il y a un partage de liens visant des services informatique ou SAAS. Le sujet ici, n'est pas forcément de faire la promotion de tel ou tel service ou d'en favoriser un plutôt qu'un autre, car il est possible de trouver des alternatives aux services, mais aussi chaque service a sa particularité et sa façon de penser lorsqu'on est mené à l'utiliser.
Le mois dernier, j'ai été pas mal confronté à la redefinition de ma vie privée numérique. En effet, cette dynamique était surtout liée au besoin de me sécuriser, protéger mes données personnelles, mon emprunte numérique, sécuriser mes comptes internets et dans se sens sécuriser mon environnement informatique et numérique.
Prenons un cas d'exemple simple. Lorsque ou quelqu'un marche va faire ses courses dans un marché. Cette personne capte en continue tout un tas d'information de données sensorielle (les yeux et la vision, le nez avec l'odorat, la bouche avec le gout, les oreilles et l'ouie, le toucher avec les doigts), mais aussi de données culturelles comme le langage en discutant avec d'autres commercants ou passants. En une matinée de marché, cette personne pourrait très bien monter un blog et le publier sur internet pour parler de son expérience, ou bien de prendre des photos et faire une publication sur les réseaux sociaux et rien de l'empêche dans l'absolu. Il y a plusieurs points à remarquer. Le premier est le fait de capter de l'information, dans se sens il est difficile de savoir quelles sont les informations privées et quelles sont les informations publiques qui en ressortent. Dans privées, je pense à des informations qui sont propres à la personnes comme parler de sa semaine avec un passant que l'on connait. Dans public, je pense aux informations telles que les enseignes des différents commercants qui permettent d'identifier leur activité. Il y a alors une frontière plutôt ambigue dans la classification des données d'ordre publiques ou privées. Dans une autre manière de voir les choses, la personne a techniquement tous les droits de capter ces informations. Un autre point concerne donc l'acquisition des données et donc cela peut être vu plus comme des capteurs, plus on est muni de capteurs et plus l'acquisition peut être diverse et variée, dans l'exemple, j'ai omis le fait par exemple de prendre des photos, et couremment maintenant géolocalisées, sur son téléphone. Le dernier point est donc l'intension. La personne rentre du marché a cumulé un nombre incroyable de données. L'intention de cette personne est ici de faire une publication de son expérience. Et l'intension à mon sens est la frontière de : qui a l'information et qui fait quoi de l'information. Par exemple, dans certaines structures d'entreprises, avoir l'information sur des collègue peut être aussi vu comme avoir une donnée de plus sur les autres, et décider de donner ou pas ces informations a des répercutions sur l'échange, mais aussi la connaissance, et la vie privée. Si cette personne décide donc de publier un blog sur son expérience du marché, quelque part, elle peut omettre des droits a l'image ou de donner des détails privatif d'autres personnes. Idéalement la publication d'un blog ouvert à des personnes inconnues devrait se porter sur des informations à titre publique uniquement. Un dernier point concerne le traitement des données, il y a une différence entre publier son blog sur un se rveur pour lequel on contrôle ses données, et publier un blog sur des plateformes de réseau sociaux, quelque part, on fait travailler des plateformes et nos données restent sur des serveurs qui ne nous appartiennent pas.
Juste par cet exemple, il y a un gros travail à faire sur différentes échelles. Et donc, le mois dernier a été consacré, pour ma part, à repenser ce qu'est ma vie privée et comment je peux la définir. Il est simple de contacter une personne, a partir du moment où quelqu'un a accès à un numéro de téléphone, une adresse email. La question est donc, comment se prémunir pour que je sois en mesure d'être assurer de parler virtuellement à des proches en toute sécurité et confiance, en utilisant des systèmes de cryptographies de bout en bout pour éviter l'attaque de l'homme du milieu mais aussi de limiter l'impact d'usupation de mon identité grâce à l'utilisation de mot de passe et authentification à deux facteurs tout en me prémunissant que n'importe qui est accès à mon identité et donc des données qui restent sur internet comme mon adresse email, les cookies que j'accèptes sur les sites internets, celle que j'enregistre dans les base de données des sites internet en sauvegardant les informations de mon profil. Et comment réduire cette emprunte pour que les personnes puissent m'identifier, cela fait référence à la possibilité de faire du multi-compte voire des faux comptes en vue de virtualiser son identitées, être atteignable via différents canneaux virtuels, et donc d'être moins sujet à atteinte.
Cepandant il est possible de faire du multi-compte, comme par exemple proposer différents profils ou faux profils virtuels qui nous identifierait. Cela peut s'avérer énergie-vore et au final on pourrait passer plus de temps à vitualiser son image, plutôt que finalement proposer une seule image propre et réelle qui serait protégée à son unique cercle de connaissance et dans se sens réduire notre emprunte carbone sur Internet. Un interet que j'ai trouvé à faire du multi-compte serait plutôt de prendre l'exemple d'être identifié comme possédant plusieurs facettes, c'est à dire que l'on pourrait définir plusieurs profils nous représentant. En exemple si l'on prend le cas d'une personne qui aime faire de l'aquarelle les soirs et du poney le weekend, du coup cette personne pourrait alors être conduite à dissocier ces deux activités à travers des profils spécialisés qui l'identifieraient. Pour parler de poney à cette personne, il est donc plus approprié de la contacter avec son profil 'poney' et vice versa pour parler d'aquarelle.
Si l'on creuse cette idée de multi-facette, on retrouve les problématiques de vie privée à travers des réseaux sociaux tels que, pour ne pas le citer, Facebook. En effet, il y a dix ans, Facebook était le précuseur pour connecter les identités des persones. Avec l'accroissement des canneaux d'informations, publiber un publication sur Facebook, c'est potentiellement exposer cette information à toutes les personnes de notre réseau. Et cela ne peut pas forcément être adapté car je n'ai pas forcément envie que tout le monde voit certaines de mes publications. Un solution serait alors de restreindre la portée de chaque publication, ce qui est possible sur Facebook, cepandant, cela peut être aussi prenant (time consuming). Du coup, de nouveaux services se sont développés tels que Slack ou Discord pour la messagerie instantanés ou Mastodon un réseau social décentralisé. Ces services ont en commun le fait de décentraliser l'information, notemment en constituant des communautées. Et il y a donc plus de sens d'intégrer plusieurs communautés, pour lesquel il sera possible de partager de manière plus ciblée des informations.
Après la théorie, la pratique, et partir de cette base, et le mois passé dernier, j'ai expérimenté le fait de réinstaller mon ordinateur, c'est à dire que je l'ai entièrement formaté puis remis un système d'exploitation à neuf. J'ai listé brièvement les étapes que j'ai réalisées et les différents outils que j'ai installé au fur et à mesure qui vont dans le sens de ce je qualifie de "protection de la vie privée".
- Formater le disque dur avant de réinstaller le système
Lors du formatage du disque dur, il faut penser à cocher la case : "formater plusieurs fois" afin que physiquement le disque dur grave de vrai zéro et éventuellement évite à un individu mal intentionné de retrouver les données précédentes qui n'ont pas été vraiment effacée. Une vidéo à ce sujet peut être vue sur la chaine d'Underscore : https://www.youtube.com/watch?v=R9RHIa22yms Il est aussi possible d'ajouter l'option de crypter le disque dur ce qui permet de sécuriser les données physique. Dans ce cas, il est recommandé d'écrire le mot de passe sur un papier par exemple, au moins d'avoir une trace du mot de passe, sinon il ne sera plus possible de récupérer ses données dans le cas d'oubli du mot de passe. - Installer une distribution : Debian ou Ubuntu (interface)
- IOT
- Toute clef USB doit être controllée dans un appareil isolé dédié à ca : https://hogo.eu
- Article de Elie on the internet sur le sujet : https://elie.net/publication/users-really-do-plug-in-usb-drives-they-find/
- Opensource Hosting : Gitlab (https://about.gitlab.com/company/) or Github (Microsoft)
Pour le choix d'open sourcer ses données j'en saurais plus à se sujet lors de ma participation au SIDO Paris pour la conférence : Share your code and not your secrets- An open platform for building developer portals : https://backstage.io
- Et possiblement trop de vie privée tue la vie privée, car éventuellement plus personne n'arrivera à vous contacter !
Resources :
- Les coulisses des disques dur : https://www.youtube.com/watch?v=R9RHIa22yms
- Ten simple steps for keeping your laptop secure : https://elie.net/blog/privacy/ten-simple-steps-for-keeping-your-laptop-secure/
- Linux installation from scratch : https://wiki.archlinux.org/title/Installation_guide
- recommandation générales : https://wiki.archlinux.org/title/General_recommendations
- liste de logiciels pouvant être utilisés dans un OS : https://wiki.archlinux.org/title/List_of_applications
- Graphical linux : https://wiki.archlinux.org/title/General_recommendations
- Top linux distributions : https://distrowatch.com
- manjaro, Ubuntu, popos : ont des installeurs graphiques.
- archlinux, il y a des script, ainsi qu'un installeur graphique pour automatiser ca.
- Liste des programmes nécessaire à un système « minimaliste » : https://www.fr.linuxfromscratch.org/view/lfs-stable/prologue/package-choices.html
- Tailos https://tails.boum.org : a été utilisé par Edouar Snowden et cela aide à assez bien sécuriser sa manière d'être anonyme sur internet en installant la distribution sur une clef USB par exemple.
- Portage des différentes applications et jeux sur Linux : https://www.protondb.com
- Navigateur internet Librewolf : https://librewolf-community.gitlab.io/
- Messagerie :
- Elements : messagerie sécurisée pour discuter https://element.io
- Signal : messagerie pour discuter américain : https://signal.org
- Telegram : messagerie russe : https://telegram.org/
- Gestionnaire de mot de passe open source : Keepass XC
- Editeur de texte opensource
- Libreoffice https://fr.libreoffice.org/
- Openoffice https://www.openoffice.org/fr/Telecharger/
- Gestionnaire d'application : https://opengapps.org
- VPN
- OpenVPN
- Proton VPN : https://protonvpn.com/fr/
- Mail & Messagerie
- protonmail : https://www.heidi.news/innovation-solutions/protonmail-remporte-une-victoire-contre-la-surveillance-etatique
- Courrier postal.
- Pigeon voyageur : https://en.wikipedia.org/wiki/IP_over_Avian_Carriers
- Chiffrer ses messages à la main.
- session pas de mail pas de num rien ca passe par tor
- Signal chiffré de bout en bout, ne connais que le numéro de téléphone et qui tu cherches à contacter. https://medium.com/@justinomora/ demystifying-the-signal-protocol-for-end-to-end-encryption-e2ee-ad6a567e6cb4
- Decentralized network for communication standard : https://matrix.org/
- Share, freely and privately, peer to peer, decentralisée : https://jami.net
- https://jitsi.org, https://framatalk.org utilise Jitsi.
- Jabber : XMPP
- Omemo logiciel d'échange en grille informatique (différent de pair à pair): https://fr.wikipedia.org/wiki/Omemo
- Faire son propre serveur de mail : beaucoup de bots, ne pas se planter sur les DNS
- Protocol de messagerie avec des pigeons : https://en.wikipedia.org/wiki/IP_over_Avian_Carriers
- Hébergement
- https://www.ovh.com (france)
- https://www.gandi.net (france)
- https://www.infomaniak.com/fr (suisse)
- Héberger son Opensource
- Bypassing required reviews using GitHub Actions : https://medium.com/cider-sec/bypassing-required-reviews-using-github-actions-6e1b29135cc7
- GitHub Copilot : ce que reprochent les développeurs à l’assistant de programmation : https://www.blogdumoderateur.com/github-copilot-reproches-developpeurs/
- Popular NPM Package Hijacked to Publish Crypto-mining Malware : https://thehackernews.com/2021/10/popular-npm-package-hijacked-to-publish.html
- Développement de sites internet et sécurité
- Bac à sable à outil pour tester les failles de sites internet https://owasp.org/www-project-juice-shop/
- Plateforme qui indexe les failles de sites internet : https://leakix.net
- PENETRATION TESTING PRACTICE LAB - VULNERABLE APPS / SYSTEMS : https://www.amanhardikar.com/mindmaps/Practice.html
- Vie privée, sécurité et gouvernance : https://www.onetrust.fr/