Internet - En finir avec la paranoïa
La peur est mauvaise conseillère, dit-on… Non, je ne parle pas d’élections mais de quelques idées en vogue, notamment dans le milieu du libre, et qui voudraient que tous les utilisateurs d’internet se protègent par bien des moyens.
Quand je parle de moyens, je parle surtout de deux sujets : Autohébergement pour maîtriser où l’on met ses données, et Chiffrement pour maîtriser comment transitent nos données. Avec les révélations de Julian Assange et Edward Snowden, on est entré dans une période de paranoïa généralisée mais qui conduit à mélanger tout, et à s’en remettre à la technique avant de s’en remettre au comportement. Pour illustrer cela, je vous conseille vivement la lecture de cette interview de Jean-Marc Manach et d’aller au delà de la personnalité des hommes cités, si parfois elle a pu vous rebuter.
J’ai pu, par le passé, être critique sur des conférences< de sbires de la Direction Générale de la Sécurité Intérieure, car il me semble qu’elles faisaient plus peur que donner des solutions applicables. Je me suis aussi penché sur le chiffrement qui peut avoir son intérêt, tout en rappelant qu’il fallait bien différencier ses mails selon ses utilisations. Pour mémoire, on se rappellera des soucis d’Hillary Clinton et de sa directrice de cabinet qui ont confondu un peu trop les genres. On pense chiffrement pour se protéger de quoi ou qui d’abord ? Le coeur de la question est là mais il faut d’abord faire un tri entre deux choses : L’Espionnage des services de renseignement **et La Collecte des données des entreprises du Web.**
oh le vilain echelon
Pour le premier des sujets, on cite souvent Julian Assange ou Edward Snowden comme les “lanceurs d’alerte” qui ont permis de savoir. En réalité, pour qui s’intéressait un minimum au sujet, l’espionnage était connu et il faut être bien hypocrite pour découvrir d’un seul coup que des pays espionnent leurs alliés. La France espionne les siens et vice versa, c’est le jeu du renseignement. En dehors de tout aspect de la personnalité trouble de Assange, rendons lui plutôt grâce d’avoir mis en ligne avec d’autres “hackers” une plateforme qui a permis et permettra de mettre en lumière d’autres scandales dans les domaine de la politique ou de la finance. Snowden a bizarrement été un déclencheur d’une prise de conscience chez certains du besoin de se protéger dans ses communications, croyant à tort à une sorte d’aspirateur à données universelles. La réalité d’aujourd’hui montre le besoin de surveillances ciblées et d’infiltration et pas de “filets dérivants” à données.
Mais avec cette idée de surveillance de tout, on se munit d’outils trop souvent inutiles, mais très en vogue dans la presse informatique. Aujourd’hui on a des petits cons qui viennent troller des blogueurs en se masquant derrière TOR, ce qui n’est pas le but de cet outil (ça existait déjà dès le début des forums avec des proxy “anonymes”). On utilise du VPN pour tout et n’importe quoi (par exemple le téléchargement illégal), et surtout chez n’importe qui. Si je voulais encore militer sur un sujet qui titillait un ancien premier ministre, j’aurais peut-être été tenté d’utiliser un outil de chiffrement pour me protéger. Demain, rien ne dit qu’on ne sombrera pas dans une dictature comme en connaissent d’autres pays, même en Europe. Mais heureusement, ce n’est pas encore le cas. Je n’ai donc pas l’utilité de ces outils aujourd’hui pour me protéger. Donc je ne me vois pas parler de TOR ou autres systèmes du genre ici, car ça suppose, pour être vraiment efficace, des contraintes que peu de personnes sont prêtes à supporter. Rien que le fait de changer de mot de passe régulièrement est vu parfois comme insupportable.
Maintenant, il y a un secteur d’activité où j’ ai besoin de ces techniques et où je l’utilise :** Mon activité professionnelle. J’ai accès à des documents qui peuvent intéresser des concurrents de ma boîte. Il y a donc des niveaux de sécurité dans la diffusion des informations avec **des clés GPG dans notre messagerie, des disques durs chiffrés, etc… C’est très imparfait encore du fait du recours aux sous-traitants et à différentes décisions stupides de nos dirigeants…. Mais là on va aborder plus tard le comportemental plutôt que le simple outil. Pas sûr, par contre, que mon boulanger, mon plombier, mon garagiste aient besoin d’outils de cette nature. Ils auront, par contre, besoin de quelques bases sur la sauvegarde de leurs données clients ou fournisseurs. Certains maîtrisent déjà mal l’outil informatique alors ne rajoutons pas quelque chose d’inutile. Idem pour le besoin d’avoir un site auto-hébergé pour leur boite : S’ils préfèrent blogger, wordpress, tumblr ou même facebook, c’est leur droit…. Enfin jusqu’à certaines limites.
Car vient le deuxième sujet et le risque de voir des interférences entre nos “différentes vies”. Car nous avons différentes vies : La vie professionnelle, la vie personnelle, la vie familiale et on peut avoir des jardins secrets. C’est là que sont souvent les failles. Il peut-être intéressant de connaître des éléments personnels d’une personne que l’on rencontre dans la vie professionnelle. Cela peut-être par séduction, pour éviter des gaffes lors d’un appel d’offre ou bien des motifs bien pires comme l’espionnage industriel ou pour déclencher un scandale personnel autour d’un dirigeant. Si je n’utilise pas mon vrai nom, si je n’apparaît dans aucun réseau social, c’est aussi pour que personne ne puisse faire un quelconque rapport entre vie professionnelle et vie personnelle. Je n’ai pas envie non plus que certains amis connaissent des opinions et des goûts personnels, c’est mon problème. Je ne m’amuse pas à mettre des éléments de mon travail ou des données confidentielles. J’essaie juste parfois d’expliquer ce que j’en connais. Il en est de même pour les mails : chaque adresse a bien son usage défini et je m’assure de ne pas laisser trainer des données sur mes mots de passe dans mes boites mails pour ne pas permettre de remonter jusqu’aux endroits les plus secrets. Là encore, on répond souvent : “je n’ai rien à cacher”.Faux : On a tous quelque chose, ne serait-ce que l’identité de ses enfants, par exemple, qui sont un des premiers moyen de pression. Mais là encore, la vraie question est de savoir si nous serons impacté un jour.
Pour une personne jeune, qui va chercher du travail, il faut penser à ce que l’on partage avec ses amis sur les réseaux sociaux. Je ne parle pas du footballeur qui raconte des conneries sur Periscope mais parfois d’une vieille photo d’une soirée étudiante prise par un ami. On n’imagine pas, malheureusement, ce que font les services de recrutement… Je l’ai appris plus tard, à une époque où Internet n’existait pas.Mais ça peut être aussi le petit message prévenant qu’on part en vacance et qui intéressera des personnes malhonnêtes. Le problème qui intervient ensuite, c’est chez qui on partage certaines des données. C’est là que certains parlent “autohébergement”, ce qui a plusieurs sens. Il y a le serveur qu’on va monter chez soi avec sa petite connexion de merde en upload mais qui fonctionnera déjà pas mal. Autant le dire tout de suite, malgré tous les owncloud, yunohost et openmediavault, ou les NAS tous faits, ce n’est ni accessible à tout le monde, ni recommandé sans quelques précautions de sécurité. Je ne développerai pas ici comment faire bien, ça s’apprend. Mais quand on voit déjà le bordel que l’on a quand on file un simple PC à un néophyte, alors imaginez un serveur ouvert sur le net. Il peut y avoir aussi l’appel à un professionnel de l’hébergement qui prendra en charge l’aspect sauvegarde et sécurité, enfin, une partie. D’expérience, j’ai vu que c’est dur de trouver un truc sérieux, pas trop ruineux et adapté à un semipro mais ça existe. Mais là aussi, il faut s’y connaître un minimum, ce qui fait que la plupart iront sur des solutions simples, clés en main. Je l’ai connu pour une présidente d’association qui a fini par “se retrouver à l’étroit”.Il faut penser sauvegarde perso, tout de même et ne pas mettre n’importe quoi, n’importe où. Et il y a toujours le problème de la confiance. Bizarrement, les gens ont plus confiance dans des grands groupes comme google et facebook qui n’expliquent pas ce qu’ils font de nos données (où sont elles réellement?), plutôt qu’un petit hébergeur à quelques kilomètres, ou même un ami. La simplicité d’accès fait souvent le reste. Et puis, aujourd’hui, il faut rappeler que chez les utilisateurs de smartphone, bien peu sauront installer un OS alternatif du genre de Lineage (ex cyanogenmod) qui permet de se passer de google. Ok, ça s’apprend mais il faut le matériel éligible. Si en plus c’est pour qu’ils installent facebook dessus parce qu’ils en sont drogués, ça n’a pas d’utilité.
Pour pas être le pigeon, la solution est dans le pigeon
Oui, depuis les révélations des personnes citées plus haut, on sait que ces grosses boites se font du fric sur …. votre dos, et quand même ce qu’il reste du mien. Ce qui conduit là encore à une paranoïa généralisée et donc à miser sur des services “libres”. Ok, pourquoi pas, mais j’ai tendance avec l’age à chercher stabilité et fiabilité. Or ce qu’on propose, ce sont des solutions transitoires ou à héberger, à quelques exceptions, ce qui n’arrive pas à convaincre l’utilisateur lambda. Je pense aussi qu’on fait fausse route dans cette pléthore de produits qui deviennent gadgets. Après avoir essayé Pocket, Wallabag, Sharlii, Evernote ou ses équivalents libres, je m’aperçois que je reviens à des documents simples, des listes de formats standards et que je ne sème pas n’importe où. Idem dans mon travail que je ne ramène pas n’importe où, ce qui conduirai aussi à en parler n’importe quand avec les risques cités plus haut. Bref, question partage de médias, ça limite pas mal mes besoins, donc mes risques et ça me fait donc quitter toute paranoïa. Je n’irai donc aucunement m’amuser à partager des trucs sur facebook, google+ et même twitter, si j’avais la vanité d’intéresser quelqu’un de plus par quelques traits d’esprit en 140 caractères. Le profilage client a déjà bien d’autres sources aujourd’hui, cookies et Bigdata en étant le prolongement.Là encore, on peut trouver des alternatives simples en changeant son comportement (exemple, les moteurs de recherche, les achats de tous les jours…) sans sortir des protections techniques délirantes.
Car l’internet d’aujourd’hui, à part qu’il est plus peuplé qu’hier, reste un truc avec des dangers, mais pas mortels si on en connait les règles du jeu. Le problème est de les apprendre. Alors je vois des blogueurs parler de commandes unix, d’outils connus de happy few. Cool, ça intéressera effectivement quelques personnes… mais bon, ça va changer quoi à la défiance ou aux comportements inappropriés ? Je m’interroge et me dis qu’il y a des basiques à rappeler, des trucs que les “spécialistes” font naturellement, bien sûr, mais peu connus. Tiens, rien que lire un email, ça paraît tout con… et pourtant, on se fait avoir par du phishing/hameçonage, donc après on prend peur et on croit trouver refuge dans des solutions leurres. Je m’étais étonné de quelques tutoriels remis au goût du jour chez Cyrille, mais il a raison, il faut revoir les basiques et pas partir dans des délires de solutions du genre Napalm pour tuer une punaise. Donc je vais continuer à parler de trucs simples mais en collant avec les usages d’aujourd’hui, à savoir l’utilisation d’un mobile, d’une tablette, ou les rares trucs qu’on fait encore sur PC.
Bon, je termine ce long panorama qui tient plus au comportement que l’on a sur le réseau plutôt qu’aux outils. J’ai cité pas mal de petites choses qui peuvent justement faire peur mais très loin du méchant espion américain/russe/chinois/français/…* La solution réside juste à être sur internet comme on est dans la vie réelle. On ferme sa porte à clé en partant sans la laisser à 5 voisins, on met une enveloppe cachetée pour son courrier, on n’affiche pas la photo du petit dernier sur la clôture, etc… Et puis surtout, on ne vit pas (encore?) dans un état totalitaire, même si bien sûr, il faut mesurer les risques en cas de dérive autocratique. Mais là, on entre dans le domaine de la culture politique et on en parle ailleurs.
’* rayez la mention inutile