Reprenez vos données en main

Je suis vraiment sur sidéré. Non pas après avoir lu cet article du Monde qui explique que le FBI a accès à toutes les données, ça, ça n’est pas une grande nouvelle, mais après avoir lu les réactions des gens.

« KEUWA! Des gens peuvent lire mes mails ?! Je quitte Yahoo! ».

Mais mec, tu t’attendais à quoi ?!

Déjà, cela prouve que tu n’as aucune idée de comment fonctionne le réseau que tu utilises. Tous les e-mails envoyés ne sont que des cartes postales, n’importe qui peut la lire en un instant. Ensuite, mais qu’est-ce que tu crois quand tu t’inscris chez une société américaine qui t’offre un service gratuit ?!. Ils font ça par plaisir ?

Je suis désespéré…

Bon allez, quand même, un petit récap ne fait jamais de mal… Allons-y !

Il y a deux problèmes concernant l’accessibilité (et la protection) des données sur le réseau Internet :

  1. Où sont-elles stockées
  2. Comment sont-elles accédées

Pour le premier, c’est simple. Le niveau minimum, c’est d’éviter les entreprises américaines (ou russes ou chinoises hein ?) et de travailler avec des entreprises européennes (les normes Européennes, bien que ridicules, sont déjà plus respectueuses de l’utilisateur que les normes internationales). Donc, première étape, on évite tous les grands : Amazon, Microsoft, Google, Facebook, Apple, Yahoo, Dropbox et compagnie. Pas de compte chez aucune de ces entreprises, c’est vraiment le minimum. Si vous avez du mal à vous en convaincre, vous pouvez lire ce billet concernant Facebook. Pas de photos, pas de message, pas d’e-mail, RIEN que vous ne souhaiteriez pas voir public afficher en grand dans la rue.

Quelles solutions alors ? La moins bonne, c’est de travailler avec des boites européennes. Il existe des entreprises qui fournissent gratuitement (moyennant de la pub) un compte e-mail, un espace d’échange de photos, etc. C’est déjà mieux ainsi, mais à la vitesse où vont les choses, ça reviendra très rapidement au même qu’être aux USA. Pour être tranquille, il faut donc avoir son serveur. La meilleure solution, c’est de l’avoir chez soi. Quand on est pas geek, on a autre chose à faire (et même quand on est geek, bien souvent), mais on a sûrement un copain assez geek dans son entourage. Parlez-lui en, il saura. Sinon, la solution la plus commode, c’est de prendre un serveur chez un hébergeur en France. Même si les autorités peuvent avoir accès aux données, il faut en France l’accord explicite d’un juge, ce qui implique que 1. les données ne peuvent pas être fouillées aléatoirement au petit bonheur la chance, ni faire des croisements 2. Vous avez fait quelque chose de particulier pour qu’on s’intéresse à votre cas. Ca fait déjà une très grosse différence. Ensuite, j’ai personnellement plus confiance en des sociétés comme OVH qui a refusé de couper Wikileaks quand le gouvernement Français l’a ordonné, affirmant qu’ils n’avaient à obéir qu’à un juge. Et puis, avoir un serveur, c’est être une petite entité, ce n’est pas être dans une immense base de données très facile à parcourir.

Un nom de domaine coûte une dizaine d’euros par an et un compte mail est bien souvent fourni avec. 10 euros pour garder le contrôle du stockage de ses données (et se la péter avec une adresse mail votreprénom@votrenom.fr personnalisée), c’est peu cher payé. Un serveur pour installer OwnCloud (en attendant CozyCloud =P) est déjà plus cher, mais cela permettra de garder un contrôle du stockage de données plus variées (photos, etc), et c’est disponible en pré-installé.

Conclusion de ce premier point : garder le contrôle du stockage de ses données, c’est faisable avec un coût correct et des compétences techniques limitées !

Nous arrivons maintenant au deuxième point : contrôler nos données pendant l’échange, donc la communication entre les ordinateurs. Si vous avez appliqués les recommandations ci-dessus, vos données sont maintenant stockées dans votre serveur, donc il est difficile de mettre la main dessus. Pour autant, il reste facile de les intercepter quand elles en rentrent ou qu’elles en sortent. Pour empêcher ça, une seule solution : chiffrer les données pendant leur transit.

Déjà, naviguer le plus possible en https. Pour vous y aider, l’Eletronic Frontier Fondation a fait un joli addon pour Firefox (et chrome, mais si vous protégez vos données, on avait dit que vous évitiez Google, donc vous n’utilisez pas Chrome, mais Firefox :D d’ailleurs, vous évitez aussi Microsoft et Apple, donc vous n’utilisez ni Windows ni Mac OS, mais GNU/Linux (ou BSD pour les téméraires).) Hum, bref, avec cet addon, votre navigateur passera automatiquement sur la version chiffré du site que vous consultez si celui-ci en propose une. C’est déjà ça. Au niveau des petites choses faciles à faire, vous pouvez aussi configurer votre client mail (Thunderbird donc :p) pour qu’il se connecte à votre serveur mail en TLS afin que la communication entre les deux soit chiffrée. Attention, votre mail n’est pas chiffré pour autant, il pourra toujours être lu entre votre serveur et le serveur de votre destinataire, mais l’étape d’avant, de votre ordinateur à votre serveur, elle, sera chiffrée.

Si vous voulez passer au niveau du dessus (le niveau précédent n’étant que les précautions de base) et être réellement anonyme, vous pouvez utiliser le logiciel Tor. De même, pour vos e-mails, vous pouvez les chiffrer avec GPG ou S-Mime, mais là, ça devient plus technique. Ceux que ça intéressent sauront trouver des informations en tapant ces mots dans duckduckgo (bah oui, vous n’utilisez plus Google :))

En tout cas, la chose à retenir, c’est que tout ce que vous faîtes sur Internet est accessible. Gardez ça en mémoire, et ne tombez pas des nues quand on vous l’annonce !

  1. Un billet à faire circuler !

  2. Pourquoi ?

    Je suis geek, et j’utilise quasiment tous les services de Gmail.

    Pourquoi ?

    Car qu’est ce que ça peut bien faire que Google, Facebook, le FBI, la NSA, les RGs, ou qui sais je d’autre puissent lire mes mails ?

    Ils vont apprendre que j’hésite entre merguez et poulet mariné pour mon prochain BBQ, que j’ai acheté 2 billets pour aller à Istambul, que je parle avec ma sœur du cadeau de la fête des pères..

    Super !

    Ils vont voir mes photos de vacances ? Si ça peut les amuser

    Après tout, je paie rien du tout et je fais beaucoup de chose grâce à leurs services

    Mon compte en banque, mes différents projets webs, eux sont hébergés par moi même, bien sécurisés..

    Il faut arrêter d’être parano.. Je me demande si d’autre geek pense comme moi ?

    • http://www.internetactu.net/2010/05/21/lettre-ouverte-a-ceux-qui-nont-rien-a-cacher/

      Je rajouterai les dérives du profiling avec les employeurs, les banques, les assurances, même la police…

    • Geek ou pas, votre position est celle de la majorité qui préfère confort à sécurité. Oui, nous sommes contraints à choisir entre une meilleure sécurité ou un meilleur confort. Il est triste de constater que la plupart des fleurons de l’Internet soient quasiment tous américains grâce à une logique entrepreneuriale forte, innovation, excellence et moyens importants. Il suffit de comparer laposte.net avec gmail. Quant à l’argument du logiciel ouvert, que j’aime et auquel je participe depuis 1991, c’est bien moins rose qu’en apparence. Côté confort c’est moins bien (que ça plaise ou pas, windows est plus confortable que Linux, Office plus que OpenOffice etc…). Firefox est une bonne exception mais qui le finance ? et qui finance les autres gros projets open source (apache / …) ? Le plus souvent c’est… Microsoft, Yahoo, Google, IBM, … ça en dit long sur la faiblesse de l’argument sécuritaire de l’open source. Finalement, si le code de l’open source permet d’être lu, la quasi totalité des environnements industriels ou pas, ici ou ailleurs, ne le font JAMAIS car ils n’ont pas la compétence, ni les moyens, ni la volonté. Sans parler des probables failles de sécurité dans les moyens de cryptage les plus profond utilisées par la quasi totalités des logiciels du monde, open source en premier.
      Bref, sécuriser son environnement informatique n’est pas aussi aisé que prétend l’auteur.

      • Sécuriser réellement son environnement informatique est loin d’être aisé, je vous rejoins. Ce qui est intéressant, c’est de voir les pistes où il est facile d’intervenir. Les petits efforts qui feront gagner beaucoup, en mettant de côté les gros efforts que peu de gens accepteront de faire. Il faut que l’environnement de travail de l’utilisateur ne change pas ou peu, mais qu’il gagne en sécurité. Et ce qui est intéressant de voir, c’est qu’en comparaison avec il y a dix ou vingt ans, le Libre s’est incroyablement amélioré. Je parle vraiment du côté confort. Vous citez Firefox largement meilleur qu’Internet Explorer, mais VLC est aussi beaucoup mieux que Windows Media Player ou autre player ultra lourd, un Evince fait aussi bien qu’Acrobat Reader en beaucoup plus léger, Thunderbird est pour 95% des gens équivalents à Outlook, et la bonne nouvelle, c’est qu’avec Windows 8, on peut enfin dire que GNU/Linux est réellement devant en terme d’utilisabilité. Il reste LibreOffice qui pour moi n’est pas encore au point face à MS Office, mais les versions s’enchaînent et je ne doute pas que ce n’est l’affaire que de quelques mois, au pire années. Niveau mobile, Cyanogenmod n’a rien à envier aux autres ROM Android, et Firefox OS est bel et bien là, mais si encore très jeune donc avec des choses à améliorer.

        Le fait est que si les logiciels sont une chose (c’est après tout la base, rien ne sert de surfer en https si votre navigateur ou votre OS envoie les données ailleurs avant l’étape du chiffrement), ce qui inquiète beaucoup dans les révélations de PRISM, c’est l’interception des données lors des échanges et du stockage « cloud », pas directement dans notre ordinateur. Et même s’il est difficile de se passer de certains services, changer ne nécessite pas de réinstaller quoi que ce soit. Il y a donc des petites astuces très facile à mettre en place et qui augmente beaucoup la sécurité en ligne : httpseverywhere pour surfer en chiffrer le plus souvent possible, ghostery (ou disconnect.me pour les libristes) pour bloquer les trackeurs, y compris les réseaux sociaux… C’est ce genre de choses qu’il faut présenter aux gens. Facile à mettre en place, et très utile !

  3. « la chose à retenir, c’est que tout ce que vous faîtes sur Internet est accessible. Gardez ça en mémoire, et ne tombez pas des nues quand on vous l’annonce ! »

    Oui mais ça n’empêche pas de se révolter contre cet état de fait. Tomber des nues c’est le début de la prise de conscience.

    • Oui mais ça n’empêche pas de se révolter contre cet état de fait

      Oui, bien au contraire !

      Tomber des nues c’est le début de la prise de conscience.

      C’est justement ce qui me frappe, avoir besoin de scandales comme ça pour avoir une prise de conscience. Elle aurait dû être là au moment où les personnes se sont inscrits sur ces services.

  4. Ca permet de controler nos donnees soit, mais faut il abandonner tout contact avec nos amis qui utilisent toujours les dites compagnies americaines?

    • Il faut plutôt leur expliquer pourquoi vous avez fait ce choix, pourquoi ils devraient le faire aussi et les accompagner dans ce changement.

  5. Plus ou moins d’accord c’était pas si évident que ça. Quand la NSA nous dit clairement qu’elle confirme PRISM ça fait peur tout de même.

  6. onceuponaban

    Si vous voulez passer au niveau du dessus (le niveau précédent n’étant que les précautions de base) et être réellement anonyme, vous pouvez utiliser le logiciel Tor

    Bonne idée, mais malheureusement utiliser Tor fait que vous aurez une connexion très lente. On ne peut donc pas avoir Tor activé H24…

  7. Tor, avec un noeud de sortie européen hein ;) parce que sinon, la sécurité est la meme que d’avoir un serveur hébergé aux USA : confiance relative…

    Sinon, comme « gros » webmail euro, Opera ?

  8. Cela fait quelques mois que j’ai lancé une initiative : un recensement multi-critières et progressif de tels services, ceux non installés aux USA. https://monwiki.accessibilisation.net/pmwiki-2dot2dot36/pmwiki.php?n=Divers.PourquoiChoisirUnServiceWebNonLi%C3%A9AuxEUA

    Suite à dees risques de vandalisme j’ai du arrêter de laisser les pages éditables par tout un chacun mais n’importe qui peut remprendre l’idée, à sa guise, et à sa sauce ! :D

  9. Encore mieux, prendre un nom de domaine chez un registrar français, incluant un compte mail

  10. C’est certes un très bon billet qui fait constat de deux choses:

    -On nous espionne (on s’en était douté);
    -On peut s’en protéger.

    C’est sur le deuxième point que j’aimerais m’attarder. J’ai beau avoir des « connaissances » en informatique tout ça moi j’y comprends pas grand chose…
    On va surement me dire « suffit de chercher » mais quand on cherche, justement, on trouve de tout et n’importe quoi. C’est soit on ne sait pas par où commencer, soit on vous indique comment faire mais au final on n’est pas plus avancé puisque la moitié du jargon pour nous expliquer tout ça je ne le comprends pas.

    Par exemple sur le shaarli de sebsauvage que je suis quotidiennement (désolé pour la pub) je le vois souvent justement reprendre ces propos quant à la sécurité de nos données, que tout fuite, qu’il faut utiliser ceci ou cela mais finalement le sentiment qui en ressort quand je lis tout ça c’est que seul ceux qui s’y connaissant pas mal en programmation peuvent s’en sortir…….

    Je comprends que c’est grave ce qui se passe aujourd’hui mais si il pouvait y avoir, quelque part un vrai « tutoriel pour les noobs » si je puis dire sur comment protéger nos données ça serait pas mal.

    Néanmoins très bon billet.

    • Je te propose de travailler avec moi sur ce tutoriel. Je suis tout à fait pour la vulgarisation et je peux très bien le poster ici. Mais je ne suis pas dans la tête des Mme Michu. Alors dis moi ce que tu souhaiterais découvrir dedans ?

      • Je suis prenant. Je n’ai pas beaucoup de temps (dois finir une thèse dans 3 mois), mais j’ai déjà perdu des heures (relatif: j’ai appris quand même beaucoup de choses). C’est terrifiant mais entre mes collègues chercheurs (sciences sociales) il y a une énorme ignorance à propos de la sécurité des donnés!
        Des niveaux à considérer:
        1)Webmail ou Thunderbird
        Le webmail a donné aux Mme Michu la sensation de ne plus perdre ses mails pendant un crash d’ordi. Si nous utilisons Thunderbird comment faire avec tout ses mails dedans l’ordi (bon, on peut toujours laisser une copie dans le serveur, mais…). Association avec enigmail j’ai lu quelque part(?)
        Si webmail, c’est facile: opera, mailoo, etc permettent d’avoir une adresse hébergé en Europe et sans être pisté. QUestion de jouer un peu avec chaque interface et choisir.
        2- Avoir son serveur mail et son propre cloud. Depuis 2 ans j’ai un NAS synology. J’ai un domaine chez OVH aussi. J’étais sur linux (mint). Je n’ai pas réussit à mettre en place les configurations. Suis donc revenu sur windows, mais je n’ai pas encore réussit à avoir un serveur mail ni un VPN, et même pas le site web ou l’accès aux fichier par le OS. Juste le ftp,le Webdav, les fichiers dedans et quelques autres configurations. Je souhaite vraiment revenir sur linux (même si je ne sais pas utiliser la ligne de commandes je m’en sortais très bien et j’ai perdu la patiente par rapport à windows), mais je risque d’avoir le NAS inutilisable jusqu’à pouvoir me mettre longtemps à étudier le truc. Et pourtant les renseignements préalables à l’achat m’ont fait penser que j’étais capable. Il y a peut être un problème de vocabulaire, la signification et le fait que le vocabulaire change souvent par rapport aux interfaces des routers des FAI, des machines, logiciels utilisés, etc.
        3- le chiffrement
        Là ça devient plus compliqué. ça sert à quelque chose quand 100% de nos contacts n’a jamais entendu parler? Par exemple, c’est quoi le S-mime (mime est un terme que j’entendais souvent quand j’avais encore outlook dans les années 90).
        4- On peut bien avoir tout ça mais comment on se protège des intromissions dans notre réseau. Les WIFI ne sont pas faciles à dérober?

      • Je ne saurais pas vraiment par où commencer…
        Par exemple:
        -Comment crypter ses données ?
        -Comment s’autohéberger ? (En fait comment s’affranchir de toutes les sociétés américaines…)
        -Comment utiliser un VPN ? A quoi est-ce que ça sert exactement ? Est-ce vraiment utile ?
        -Quelle est la meilleure méthode à employer pour être le moins dépendant de services extérieur ?

        Il y a tellement de chose ^^.
        Mais merci de ta réponse !

      • Est-ce que vous savez utiliser IRC ? Vous pouvez passer sur #diaspora-fr ou sur #geexxx sur irc.freenode.net

        Je traine souvent sur ces canaux ;)

  11. Bien dit !

  12. Un nom de domaine coûte une dizaine d’euros par an et un compte mail est bien souvent fourni avec.

    Des exemples de fournisseurs qui ont une bonne réputation ?

    • Je cite OVH dans mon billet, personnellement je suis chez eux, je voulais pas faire de pub particulière. Mais pour une dizaine d’euros tu as un nom de domaine en .fr avec un compte mail et de nombreux alias (qui permettent donc d’avoir pas mal d’adresses mails qui redirigent vers ce compte). Tu peux ensuite consulter tes mails de manière sécurisée sur ssl0.ovh.net. Donc en gros, tu as quasiment le même service que gmail, yahoo ou hotmail en gardant tes mails en France pour 10 euros, perso, je valide :)

    • John Sausage

      Gandi.net a aussi des offres pas mal.

      • Bon, je suis prêt à acheter un nom de domaine maintenant. :)

        Par contre j’hésite toujours entre Gandi et OVH. Gandi offre cinq compte emails, contrairement à OVH qui n’en offre qu’un, mais OVH offre un hébergement 10 Mo. Et un nom de domaine .net coûte 6€ chez OVH contre 12€ chez Gandi (mais bon, je ne suis pas à 6€ près par an…).

  13. Reprenez vos données en main | Libre de ... - pingback on 10/06/2013 at 16:04
  14. Reprenez vos données en main | Libert&ea... - pingback on 10/06/2013 at 16:26
  15. Bernard Monttiel

    Superbe billet.

    Par contre Mozilla c’est plus Américain ?

    • La fondation Mozilla est bien déclarée aux États-Unis, mais ils ne stockent jamais nos données, et leur navigateur étant Open Source, on peut voir qu’il ne transmet rien à personne :)

  16. Est-ce que quelqu’un peut m’expliquer l’intérêt d’avoir son propre compte mail si 99% des gens avec qui on échange sont chez gmail, hotmail, free et compagnie ?
    La seule réponse valable c’est une réponse politique ou alors de n’avoir que des amis geek et responsable sinon c’est beaucoup d’effort pour rien : vos potes non geek posterons des photos de vous sur facebook, partagerons votre numéro de téléphone, adresse mail et adresse tout court via leur smatphone, etc….

    • C’est vrai, si on écrit à des adresses gmail, hotmail ou outlook.com, de toute manière, nos données seront accessibles. La première réponse, c’est qu’il faut bien que quelqu’un commence, et c’est à ceux qui se sentent touchés par ces problématiques de le faire.

      Ensuite, dans le domaine du mail, il y a encore beaucoup de gens qui ne sont pas chez Google, Yahoo ou Microsoft. laposte.net, orange.fr, free.fr (les adresses de tous les FAI en fait), son adresse professionnel ou encore de l’école pour les étudiants, du labo pour les chercheurs… Beaucoup de gens ne sont pas chez les américains pour leurs mails, il faut en profiter !

  17. On aura bon avoir un service mail sur son propre serveur, nous allons bien à un moment ou un autre communiquer avec des gens qui, eux, seront sur Gmail (par exemple)… c’est le but du mail, communiquer.

    Donc je peux prendre toutes les précautions du monde, mes amis sur Gmail qui recevront mes mails donneront toutes mes infos à Google.

    Donc sauf si je ne communique qu’avec des gens qui eux-mêmes ont leur propre serveur, ma vie (mes mails et historique) arrivera bien à un moment chez un des géants Google/Microsoft/Facebook/Yahoo ou autre.

    Bref, ça sert à rien de vouloir créer un bunker si on laisse la porte ouverte

  18. Je pourrais ma passer de tous ces services américains (windows, google, gmail etc.) sauf de google drive que je trouve super. Lorsque je me deplace je retrouve toujours mes données. un simple navigateur suffit. y a-t-il l’equivalent en libre ?

    • Bien sûr : google drive n’est rien de plus qu’un disque dur connecté à internet. Louer un hébergement mutualisé coûte quelques dizaines d’euros par ans tout au plus, et permet d’avoir beaucoup d’espace pour stocker tout ce que l’on veut sur internet, accessible partout, tout le temps…

  19. Franchement j’ai beau passer pour un con, mais n’ayant rien à cacher et n’ayant pas honte de mater ma dose de porn journalière ou hebdomadaire selon les périodes, franchement je préfère prendre les choses les plus simples. Ouais un hébergement mutualisé c’est pas cher, oui c’est facile de faire des mails cryptés, mais pourquoi?

    Faut pas se voiler la face les mecs, on est des êtres humains lamba, espionner nos vies n’a aucun sens. S’imaginer le contraire, c’est limite nombriliste et/ou parano compulsif.

    • Il n’y a pas que la NSA qui regarde ce qui se passe sur Internet. Donc réponse à la question « J’ai rien à cacher pourquoi je m’embêterais ? » :

      Exemple 1 : Tu veux acheter un billet d’avion. Tu vas sur un site de comparaison des prix, tu regardes le prix du billet, il est à 100 euros. Tu reviens le lendemain. Grâce aux cookies et autres mécanismes, le site est capable de savoir que tu as consulté ce billet la veille. Il t’affiche maintenant un prix de 120 euros. Le surlendemain, il sera peut-être à 150.

      Réaction du commun des mortels : « Les prix augmentent, il faut vite que j’achète !! ». Sauf que depuis un autre ordinateur avec une autre IP, le site n’est pas capable de savoir que tu as déjà consulté ce billet, et le prix est toujours à 100 euros.

      Voici un exemple simple de pourquoi laisser des informations en ligne pose problème à tout le monde, et pas qu’au pédo-terroristes.

Laisser un commentaire

NOTE - Vous pouvez utiliser les éléments et attributs HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="">

Trackbacks and Pingbacks: