Contournement

Du rien à cacher au rien à montrer

Développer ensemble des pratiques plus sûres sur le net

Julie Gommes

J’aime beaucoup quand les gens me disent qu’ils n’ont rien à cacher: « Alors je peux te filmer sous la douche? » regard interloqué. Mais non ! « Et sinon, je peux venir enregistrer quand tu ronfles, la nuit? Ou alors, au moins lire ton dossier médical? Non, même pas?… Mais en fait t'aurais des trucs à cacher?». Il y aura toujours certains aspects de notre vie que nous voulons garder dans l'intimité pour des raisons englobant depuis la pudeur, la peur ou encore le plaisir d'avoir un jardin secret et un monde à soi. De plus si vous n'avez rien à cacher, cela veut aussi dire que personne ne peut vous confier de secret. C'est problématique. Comment faites-vous pour avoir des amis?. Cette idée de transparence radicale ¹ promut par les tenants du web social commercial est un piège pour nos libertés individuelles. D'autant plus que cet effort de transparence ne semble pas devoir s'appliquer à nos « représentants » politiques, ni aux entreprises. Alors pourquoi la population devrait-elle être tenue de s'exposer continuellement pour prouver qu'elle n'a rien (de mal) à cacher?

La création active d'espaces de sécurité ne peux pas laisser de côté les technologies digitales et Internet. La sécurité doit se penser comme un ensemble de pratiques qui englobent nos identités physiques et électroniques, les deux facettes de la même monnaie. Si la sécurité peux être interprétée comme l'absence de risque ou comme la confiance en quelque chose ou quelqu'un, elle doit aussi être interprétée comme un processus multidimensionnel. Cette vision signifie depuis savoir protéger ton corps (là où ce n'est que toi qui décides !), défendre ton droit à l'expression, à la coopération, à l'anonymat, mais aussi ton droit à apprendre des outils et applications qui te protègent. Cela nécessite aussi de comprendre quelles alternatives existent et comment tu peux les utiliser, les défendre, les appuyer.

La perception de sécurité dépend de comment nous nous connectons, naviguons, échangeons mais aussi du type de technologies que nous utilisons et avec qui nous les utilisons. Les systèmes opératifs, hardware, FAI, les XISP, les serveurs, les routeurs rentrent en jeu. Nos finalités sociales et politiques incident aussi sur le type de sécurité que nous nécessiterons et combien nous chercherons à dépister, masquer ou exposer nos traces. Des fois nous rechercherons l'anonymat, l'authentification, la preuve de l'intégrité de nos communications, masquer nos contenus, et d'autres fois nous chercherons toutes ces dimensions ensemble.

Néanmoins, le paradoxe de la privacy montre que les personnes ont généralement tendance à affirmer qu'elles se préoccupent de leur intimité, mais lorsque vous leur demandez quelles mesures elles prennent pour la protéger, vous vous rendez vite compte qu'elles n'en prennent aucune ou presque. Aux débuts d'Internet il existait cette idée que nous pouvions y être et y devenir n'importe qui ² comme l'avait dessiné Steiner en 1993: « On the Internet, nobody knows you're a dog ». ³ Cette époque de l'internet est pour l'instant révolue. Maintenant nous y sommes étiquetés, profilés, monitorés, analysés. Nous sommes ce que dit notre graph social de nous et celles qui ne développent pas des pratiques pour se défendre s'y retrouvent totalement exposées. Toutes nues dans le net: « Oui mais euh… la sécurité, c’est difficile »*.

Ou non, pas tant que ça en fait. Si on prend un minimum de temps pour s’y intéresser, le temps de retaper sa phrase de passe pour éviter qu’on puisse accéder à vos données si on vous vole votre ordinateur ou « smartphone », le temps de lever la tête pour voir s’il y a une caméra de surveillance à proximité. Le temps de se poser les bonnes questions comme par exemple, se demander a quelles risques vous êtes exposés et comment pouvez vous réduire et vous prémunir contre ces dangers. Ou encore, vous demandez comment vos pratiques dans le net expose la vie privée de vos amis ou du collectif avec lequel vous vous êtes engagés pour changer le monde (en mieux).

Améliorer ses pratiques sur le Net, c'est aussi être plus « libre » de ses opinions et pouvoir les exprimer en sécurité. Plus libre de faire son travail lorsque l'on est journaliste par exemple. J’ai tendance à m’énerver aujourd’hui quand je lis « interview réalisée par Skype » avec des gens qui vont mourir peut-être à cause de ce que je qualifie de négligence. Parce que oui, on matraque, on mitraille, on répète à longueur de temps ce qui est déjà connu et le danger que cela représente en termes de protection des sources. En tant que journaliste, j’avais aussi mon clicodrome et quoi que pleine de bonne volonté et faisant beaucoup d’efforts, j’étais totalement à côté de la plaque par méconnaissance. Et puis j’ai découvert, j’ai lu, j’ai échangé avec des sachants. Aujourd’hui, j’ouvre de grands yeux quand la personne avec qui je parle ne sait pas ce qu’est le Deep Packet Inspection ⁴ mais à vrai dire, il y a un peu plus de deux ans, je ne le savais pas non plus. Alors on explique, on répète, toujours et encore. Car prendre le temps d'expliquer ces notions et ces outils à ses proches, mais aussi à des inconnus, est une contribution fondamentale à l'avancement d'un internet et une société plus juste pour tous. Apprendre à se protéger et à ne pas mettre les autres en danger prend du temps, nécessite de l'attention mais donne des automatismes qui seront salvateurs au quotidien.

Prise de conscience

Aujourd'hui, on ne peut plus ignorer l’espionnage en ligne. S’agissant des révélations d'Edward Snowden concernant la NSA ou des arrestations répétées d'opposants politiques avant et pendant les révolutions de 2011 , on ne peut plus ne pas savoir que l'on peut potentiellement être surveillés, peu importe la raison. Cette situation opère aussi off-line avec la vidéo-surveillance. Si je me déplace sur une grande avenue avec des amis à proximité de commerces, il y aura forcément une trace de ce passage , alors que mon image, mon sourire, ce moment d'intimité ou de camaraderie n'a rien à faire dans une base de données. C'est ma vie.

Dédramatiser

La protection de la vie privée n’est pas réservée à une élite technophile et passe souvent par des petites gestes quotidiens et avant tout, par une prise de conscience. Nous avons tous, y compris (et surtout) moi, révélé des miettes de notre vie sur le web par méconnaissance des conséquences. Nous avons tous, avant de prendre conscience du mal qu’on pouvait leur faire, parlé de la vie privée de nos amis en ligne, possiblement posté des photos de nous, parce qu’on avait des déguisements cool, parce qu’on était heureux, parce qu’on s’aimait et qu’on ne pensait pas que ces moments finiraient sur le bureau d’une agence de marketing ou dans un dossier des services de renseignements.

Choisir

Nous ne sommes pas les apôtres du bien faire, du mieux vivre, ni les messagers de la sacro-sainte protection des données. Nous aspirons juste, avec la technique que nous connaissons, riches des erreurs que nous avons commises, à vous donner quelques conseils simples pour vous aider à vous protéger ou au moins, vous faire réfléchir sur ce que vous n’avez (pas) à montrer. Vous vous apercevrez rapidement qu’entre confort et liberté, il faudra souvent faire un choix mais comme le disait Benjamin Franklin « Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux. »

Alors au travail ! Pour échapper à la surveillance de manière très simple et sans douleur, juste en remplaçant ses outils du quotidien par des outils sécurisés. Prism Break ⁵ propose, peu importe votre OS (oui, oui, même si on utilise Windows) des outils permettant de contourner la surveillance électronique. Enfin, pour éviter la vidéosurveillance, le projet sous-surveillance ⁶, lancé par une poignée de Français, vous permet de consulter les plans des villes où vous vous trouvez: Minsk, Moscou, Seattle, Montréal, Paris... Ainsi, vous pouvez donner rendez-vous à vos sources, vos amis, vos camarades d'action là où il n'y a pas de caméra et ainsi éviter le regard pesant de Big Brother.

De l'importance de s'approprier les outils

A chaque pratique/personne/besoin correspond un outil. On ne choisira pas de s'anonymiser de la même manière si l'on est un chercheur qui souhaite récupérer des cours et si l'on est un adolescent qui cherche à télécharger de la musique à la mode. S'intéresser à son ordinateur, à comment il fonctionne c'est aussi comprendre qu'il n'y a pas de remède miracle ou d'outil révolutionnaire.

S'intéresser c'est aussi s'interroger sur quels sont les logiciels qui peuvent être malveillants. Par exemple, pourquoi une application de dessins sur smartphone demande-t-elle à avoir accès à mon répertoire ou à mes archives SMS? Pourquoi une application de prise de notes a-t-elle besoin de me géolocaliser?. On peut s'apercevoir de comment les créateurs de certaines applications s'octroient des privilèges sur votre machine très facilement. Il suffit juste d'en lire les caractéristiques avant de cliquer sur « installer ». Encore une fois, pas besoin de compétences techniques pour se protéger, sinon une curiosité vis à vis des outils que vous utilisez.

Discipline

On peut apprendre à lancer et utiliser tel ou tel logiciel, créer une partition chiffrée avec Truecrypt ⁷, mais si l’on n’est pas conscient des risques que l’on fait courir aux gens en leur passant un coup de fil ou en leur envoyant un mail en clair, la technologie ne sert à rien. Plus que le rude apprentissage des outils, c’est une discipline qu’il faut aussi acquérir, être conscient de ce que l’on fait ou ce que l’on ne fait pas et des répercussions que cela peut avoir. C’est une prise de conscience quotidienne. Il est important de créer des moments collectifs d'apprentissage, d'échange, afin de penser la sécurité dans un inter-réseau personnel où vos amis et proches adoptent ces pratiques avec vous de manière à créer une boucle vertueuse où chacun stimule les autres. Échanger des mails chiffrés, choisir d'utiliser une adresse mail qui ne dépend pas d'une entreprise commerciale, ou encore travailler ensemble sur des tutos ou des manuels représentent des chouettes dynamiques pour s'épauler.

Anonymat, pourquoi? comment?

Au delà des solutions techniques, l'anonymat et le pseudonymat peuvent aussi être des réponses très facile à la surveillance. Le pseudonymat, c'est afficher une autre identité sur Internet, qu'elle soit de longue ou de courte durée, qu'elle vous serve pour un chat de quelques minutes ou pour vous identifier sur des forums sur lesquels vous échangerez tous les jours pendant des années. L'anonymat, c'est ne laisser aucune trace. Des outils simples d'utilisation le permettent. Tor, par exemple, fais réaliser des sauts de puces à votre requête d'un serveur à un autre. Résultat? C'est l'adresse IP d'un de ces serveurs par lesquels votre requête à transité qui sera retenue, pas celle de votre connexion.

La cryptographie, un jeu d'enfants

Envoyer un email « en clair » équivaut à envoyer une carte postale. Le facteur peut la lire sur le chemin, regarder la photo, peux se moquer… Votre carte postale part aux quatre vents sans grande protection contre la pluie ou les regards indiscrets. Pour vos emails, c’est la même chose. Sauf si, comme dans le système postal, vous placez votre courrier dans une enveloppe. Là, le postier ne peut rien voir, même si vous y glissez un chèque ou votre numéro de compte ou des photos coquines. L'enveloppe digitale on l'obtient en utilisant la cryptographie.

Lorsque nous étions enfants, nous en avons tous fait à petite échelle lorsque l'on s'envoyait des messages secrets entre amis. En choisissant un code type « décaler de trois lettres », « Adam est beau » devenait « Dgdp hvw ehdx ». Aujourd'hui, nous sommes adultes et ce n'est guère plus compliqué. La différence, c'est que les machines travaillent à notre place et rendent le chiffrement encore plus compliqué, plus difficile à casser, avec des caractères spéciaux, des algorithmes qui chiffrent un message sans aucune concordance avec le prochain message qu'ils créeront.

De la servitude volontaire

Dans le cas des emails, un message, qui part quand on clique sur « envoyer » est en fait stocké en quatre exemplaires.

1. Le premier, dans la boite d’envoi de l'expéditeur, qu'il trouve facilement en cliquant sur « mails envoyés » avec l’historique de tes autres envois.

2. Le second, dans la boite de réception du destinataire. A cela, rien d’anormal. Sauf que…

3. Sauf que la troisième version est stockée dans un serveur chez Monsieur Google, Madame Yahoo, peu importe, suivant la société à laquelle l'expéditeur a confié ses emails. A ce propos, n’importe qui ayant accès à ces serveurs, travaillant pour ces compagnies ou non, peut avoir accès à ce mail.

4. Et ce n’est pas fini puisque la quatrième copie est stockée chez Madame Google, Monsieur Yahoo, peu importe la boite qui héberge le service mail du destinataire. Donc n’importe qui ayant accès à ces serveurs, travaillant pour ces compagnies ou non, peut aussi avoir accès à ce mail.

Effacer les messages de la boite de réception ou de la boite d’envoi dans l'interface ne les supprime en rien de ces serveurs, ils sont stockés et ils y restent. Tout ceci bien que moche vis à vis de la vie privée, c’est quand même nous qui leur donnons la possibilité de le faire.

Conclusion

Protéger sa vie privée, celle de ses contacts, celle de ses amis, ne s'improvise pas, mais cela ne relève pas non plus de défis insurmontables. Il suffit parfois simplement de réfléchir avant de cliquer, avant d'installer une application. Le reste, quoi que plus technique, est aussi accessible à tout le monde, l'essentiel étant de le vouloir.

Quelques guides et tutos pour débuter

Security in a box: Un guide qui vous explique quel outil utiliser selon des situations bien définies. Existe en 13 langues: https://securityinabox.org/

How to bypass Internet censorship: l'installation de la plupart des outils de sécurité expliquée étapes par étapes via des captures d'écran. Existe en 9 langues: http://howtobypassinternetcensorship.org/

Prism Break: Se protéger sur mobile et sur ordinateur en remplaçant ses outils du quotidien par des outils sécurisés: https://prism-break.org/

Cryptocat: un logiciel de tchat sécurisé via son navigateur. https://crypto.cat/

Julie Gommes: Analyste en cyber-sécurité et journaliste qui code et parle à son ordinateur en ligne de commande. Julie Gommes a vécu et travaillé au Moyen-Orient et en Asie du Sud-Est. Elle participe au travail de divers collectifs autour de la Neutralité du Net et contre la société de surveillance.

Blog en français: http://seteici.ondule.fr

PGP D7484F3C et @jujusete sur twitter.

¹. Voir http://www.ippolita.net/fr/libro/la-confidentialit%C3%A9-n%E2%80%99est-plus-l%E2%80%99id%C3%A9ologie-de-la-transparence-radicale ↩

². Voir fameuse image du New Yorker. https://upload.wikimedia.org/wikipedia/en/f/f8/Internet_dog.jpg ↩

³. https://fr.wikipedia.org/wiki/On_the_Internet,_nobody_knows_you%27re_a_dog ↩

⁴. Voir: https://fr.wikipedia.org/wiki/Deep_packet_inspection ↩

⁵. Dans 26 langages, Prism Break propose de se protéger sur mobile et sur ordinateur en remplaçant ses outils du quotidien par des outils sécurisés: https://prism-break.org/en/ ↩

⁶. Cartographie collaborative de la videosurveillance: http://www.sous-surveillance.net ↩

⁷. http://www.truecrypt.org/ ↩