Guide d’autodéfense numérique

Il n’existe pas de solution unique afin de demeurer sécurisé en ligne. La sécurité digitale ne traite pas des outils que vous utilisez, il s’agit plutôt de comprendre les menaces auxquelles vous devez faire face et comment y faire face. Afin d’être plus sécurisé, vous devez déterminer ce que vous devez protéger et contre qui vous devez le protéger. Les menaces varient en fonction de votre emplacement, de vos activités et des personnes avec lesquelles vous travaillez. En conséquence, afin de déterminer les solutions qui s’adapteront le mieux à vos besoins, vous devez effectuer une évaluation de votre modèle de menace.

Voici les cinq questions à vous poser pour évaluer votre modèle de menace

1. Que souhaitez-vous protéger ?
2. Contre qui souhaitez-vous le protéger ?
3. Quelle est la probabilité que vous ayez besoin de le protéger ?
4. Quelles seraient les conséquences si vous échouiez ?
5. Quels désagréments êtes-vous disposé à affronter afin de vous en prémunir ?

En ce qui concerne la première question, nous faisons souvent référence aux actifs ou aux choses que vous tâchez de protéger. Un actif est quelques chose à quoi vous attachez de la valeur et souhaitez protéger. Lorsque nous parlons de sécurité digitale, les actifs en question consistent normalement en des informations. Par exemple, vos e-mails, vos listes de contacts, vos messages instantanés et vos fichiers, tous sont considérés comme des actifs. Vos dispositifs sont également des actifs.

Écrivez une liste de données que vous rangez, où vous la rangez, qui y a accès et les mécanismes qui évitent que les autres y aient accès.

Afin de répondre à la deuxième question, “Contre qui souhaitez-vous le protéger,” il est important de comprendre qui est susceptible de vous avoir ciblé ou ciblé vos informations, ou qui est votre adversaire. Un adversaire est toute personne ou entité qui représente une menace pour votre actif ou vos actifs. Exemples d’adversaires potentiels : votre chef, votre gouvernement ou un pirate informatique sur un réseau public.

Faites une liste de ceux qui seraient susceptibles de souhaiter s’approprier de vos données ou communications. Il peut s’agir d’une personne, une agence du gouvernement ou une corporation.

Une menace est une catastrophe pouvant être subie par un actif. Il existe de nombreuses manières pour un adversaire de menacer vos données. Par exemple, un adversaire peut lire vos communications privées tandis qu’elles sont transmises sur le réseau, ou effacer ou corrompre vos données. Un adversaire peut également désactiver votre accès à vos propres données.

Les motifs des adversaires diffèrent largement, ainsi que leurs attaques. Un gouvernement tâchant de prévenir la propagation d’une vidéo montrant la violence policière peut tout simplement souhaiter effacer ou restreindre la disponibilité de cette vidéo, tandis qu’un opposant politique peut souhaiter avoir accès à un contenu secret et le publier sans que vous en ayez connaissance.

Écrivez ce que votre adversaire est susceptible de vouloir faire avec vos données privées.

La capacité de votre attaquant est également une chose importante à prendre en compte. Par exemple, votre prestataire de téléphonie portable a accès à tous les enregistrements de votre téléphone donc, dispose de la capacité d’utiliser ces données contre vous. Un pirate informatique sur un réseau Wi-Fi libre peut avoir accès à vos communications non chiffrées. Votre gouvernement peut posséder des capacités encore plus importantes.

La dernière chose à envisage est le risque. Le risque consiste en la probabilité qu’une certaine menace contre un actif en particulier ne survienne, ce qui va de pair avec la capacité. Votre prestataire de téléphonie mobile dispose de la capacité d’avoir accès à toutes vos données, mais le risque de publier vos données privées en ligne afin de porter atteinte à votre réputation est faible.

Il est important de distinguer entre les menaces et les risques. La menace est une catastrophe qui peut survenir, tandis que le risque est la probabilité que la menace survienne. Par exemple, votre immeuble est menacé de s’effondrer, mais le risque de cette survenance est beaucoup plus important à San Francisco (où les tremblements de terre sont habituels) qu’à Stockholm (où ils ne le sont pas).

Effectuer une analyse de risque est un processus à la fois personnel et subjectif, tout le monde n’a pas les mêmes priorités ni ne visualise les menaces de la même manière. De nombreuses personnes trouvent certaines menaces inacceptables peu importe le risque, car la seule présence de la menace, quelle que soit sa probabilité, n’en vaut pas la chandelle. Dans d’autres cas, les personnes ignorent les risques importants car ils ne visualisent pas la menace comme un problème.

Dans un contexte militaire, par exemple, il peut être préférable pour un actif d’être détruit plutôt que de tomber entre les mains ennemies. Au contraire, dans de nombreux contextes civils, il est plus important pour un actif tel qu’un service e-mail d’être disponible et non confidentiel.

Maintenant, exerçons le modèle de menace.

Si vous souhaitez maintenir votre maison et vos possessions à l’abri, voici quelques questions que vous devez vous poser :

• Dois-je verrouiller ma porte ?
• Dans quelle sorte de verrou ou verrous dois-je investir ?
• Ai-je besoin d’un système de sécurité plus avancé ?
• Quels sont les actifs dans ce scénario ?
  • L’intimité de ma maison
  • Les éléments à l’intérieur de ma maison
• Quelle est la menace ?
  • Quelqu’un peut entrer par effraction.
• Quel est le risque réel de voir quelqu’un entrer par effraction ? Est-il probable ?

Une fois que vous vous êtes posé ces questions, vous êtes en situation d’évaluer les mesures à prendre. Si vos possessions sont de valeur mais le risque d’effraction est faible, vous n’investirez pas dans un verrou coûteux. Au contraire, si le risque est élevé, vous souhaiterez vous munir des meilleurs verrous existant sur le marché et, peut-être, ajouter un système de sécurité.

Le site AccessNow, qui défend la liberté d’accès à Internet, avait écrit un guide pour mieux comprendre les différents modèles de menace de différentes personnes. La page de référence en anglais est là : accessnow.org/first-look-at-digital-security. Là aussi la traduction en français est parfois approximative, je la copie telle-quelle :

Intro

Cette brochure d’Access Now a été créée par Kim Burton et Sage Cheng.

Cette brochure est créée pour vous aider à identifier ce dont vous devez protéger dans votre univers numérique. Elle est faite pour être lue entièrement. Chaque personnage a des caractéristiques que vous pouvez partager, ou des craintes dont vous aurez entendus parler auparavant. Mais clairement, ces personnages d’animaux ne sont pas le centre d’intérêt de cette brochure, le plus important, c’est plutôt les dangers de sécurité numérique auxquels ils font face et les pratiques qu’ils suggèrent.

Cette brochure n’est que le début de la conversation: un point de commencement. Si vous êtes intéressés pour mettre en place les pratiques, susmentionnées, ou vous avez d’autres questions sur vos défis et contexte personnels, contactez Access Now Digital Security Helpline au help@accessnow.org ou visitez l’une des ressources mentionnées au dos de cette brochure.

SAVANT LA JOURNALIST

Savant est une journaliste qui communique avec les survivants “ des usines à chiots”. Les contacts de Savant ont des informations secrètes sur une usine qui pourrait l’arrêter. Des personnes malveillantes ont déjà essayé de connaître ces informations. Maintenant, Savant fait attention et chiffre toutes ses communications et quand elle collabore sur un article, elle utilise des options de partages de documents chiffrés.

Qu’est ce qui peut être protégé?:

1. Les sources: Les noms, les communications et les contacts
2. Les correspondances avec l’éditeur
3. Les recherches qui peuvent varier selon la période
4. Les brouillons et les articles impliquant des collaborateurs.

Savant compte beaucoup sur son téléphone mobile pour les communications pendant ses voyages. Elle collabore souvent avec d’autres sur des articles futurs et des documents. Savant est connue pour ses articles qui remettent en question le statu quo. Plusieurs personnes influentes sont intéressées par ce travail.
Pour pallier à ces vulnérabilités:

• Savant chiffre les emails destinés à ses sources à partir de son ordinateur portable pour s’assurer de la confidentialité de leurs messages.
• En se connectant à ses sources, elle utilise le chiffrement des SMS et les applications de conversation vocale sur son téléphone mobile.
• Quand Savant se trouve à utiliser un réseau wifi partagé ou public (comme un café), elle utilise un Réseau Virtuel privé (VPN) pour sécuriser son accès à internet.
• Pour chatter sur un ordinateur portable ou un PC, Savant utilise une messagerie instantanée et “voice client” chiffrée.
• Son travail de collaboration est fait sur des documents partagé et chiffrés.
• Quand elle doit passer par des points de contrôle de sécurité, elle éteint son PC pour s’assurer que le chiffrement totale de son disque dur est actif.

MAYA, L’ACTIVISTE

Maya est une activiste est bloggueuse qui attire l’attention sur les effets de l’augmentation des températures des océans sur les pingouins du littoral. Le travail de Maya dérange certains lobby et ses comptes en-ligne sont souvent menacés de piratage et de dégradation.

Dernièrement, et suite à des tensions toujours grandissantes, Maya a peur de se faire voler son appareil. Elle décide de chiffrer tous ses disques durs pour mieux s’assurer de la sécurité de leurs contenus.

Qu’est ce qui peut être protégé?:

1. Les recherches et les données sur les disques durs.
2. Les comptes en-ligne
3. Les communications avec les autres activistes

Soigneusement cultivé durant des années de travail, les comptes des médias sociaux en-ligne de Maya et son blog sont sa vie. Leur intégrité est de la plus grande importance pour elle, ainsi que ses lecteurs et ses contacts. Des recherches importantes, des données et des plans sont sauvegardés dans les disques durs. Elles ont peur qu’ils ne tombent dans des mauvaises mains.
Pour pallier à ces vulnérabilités:

• Tous leurs comptes en-ligne sont gardés par une authentification à deux étapes.
• Maya garde la trace du PC duquel elle a accédé à ses comptes et d’où, avec les contrôles de sécurité offerts par Google et Facebook.
• Des mots de passe robustes sont utilisés pour tous ses comptes: plus que 30 caractères, tous uniques avec des chiffres et des caractères spéciaux gérés par un gestionnaire de mots de passe.
• Maya s’assure que sur tous ses appareils l’option de chiffrement du disque en entier est activée.
• Elle chiffre tous les fichiers sensibles, et les supports externes comme les flashs et les disques durs.
• Maya examine les URLs réduits qu’elle trouve sur les médias sociaux afin de savoir à l’avance où les liens vont la conduire.
• Elles utilisent des conversations privées pour organiser des événements et des rencontres.

JULIO : LE MILITANT DES DROITS DE L’HOMME

Julio travaille dans une ONG des droits civils. Bien qu’il ne travaille pas directement avec des clients, il sait que ses habitudes personnelles protège ses collègues et par extension, les collaborateurs aussi. Julio travaille très dur pour assurer que son hygiène informatique est suffisamment bonne pour protéger de façon responsable son organisation.
Qu’est ce qui peut être protégé?

1. Des informations financières des bailleurs de fonds et des employés
2. La liste des contacts des partenaires et des clients
3. L’intégrité et la confiance que l’organisation a bâtie
4. Des documents privés comme les communiqués des clients et les stratégies de plaidoyer

Julio est vulnérable durant ses voyages fréquents à cause des wifi non protégés, les contrôles aux frontières et les multiples hôtels de séjour. Il est de nature très extravertie et veut se sentir utile. Il n’est pas très méfiant et fait confiance aux autres très vite. Son organisation est très connue pour son travail, et il est leur visage public. Il est souvent contacté par des étrangers pour assistance ou conseil.
Pour pallier à ces vulnérabilités:

• Julio garde ses logiciels à jour.
• Il a un gestionnaire de mots de passe qui génère des mots de passe uniques et robustes avec plus de 30 caractères. Il ne faut jamais utiliser des mots qui peuvent être trouvés dans les dictionnaires mais qui comportent des chiffres et des caractères spéciaux.
• Quand il est sur un réseau Wifi inconnu (comme dans un café), Julio utilise un réseau privé virtuel (VPN) pour créer une ligne sécurisée pour accéder à internet.
• Quand il lit ses emails, Julio fait attention à ne pas ouvrir les liens ou les fichiers joints de sources inconnue, avant de s’assurer qu’il connaît l’identité de l’envoyeur en les appelant ou en leur envoyant un SMS.
• Quand il doit passer par des points de contrôle de sécurité à la frontière, Julio éteint son PC pour s’assurer que le chiffrement total de leur disque est actif, pour empêcher tout accès non autorisé à ses informations.
• Il est conscient que ce qui est affiché en dehors du travail peut aussi nuire à l’ONG. Il utilise des posts réfléchis sur ses comptes personnels pour s’assurer que rien ne puisse être utilisé contre lui (méfiant ne pas spécifier les endroits d’affichage, des dates précises, son adresse personnelle etc.)

JAHA, L’ETUDIANTE

Jaha est étudiante en dernière année d’université. Elle serait intéressée de rejoindre le mouvement des grenouilles qui sont contre la consommations des insectes; chose qui reste tabou dans son environnement. Beaucoup de ressources sur ce mouvement sont bloquées par son université. En plus, si on venait à le savoir, elle sera stigmatisée et suspectée. Jaha a besoin de rester anonyme et garder son navigateur privé quand elle navigue sur internet.

Qu’est ce qui peut être protégé?:

1. Sa vie privée
2. Contrôler son identité
3. Accès à un flux d’information gratuit
4. Séparation des identités en-ligne

Jaha ne veut pas que sa famille ou ses cercles sociaux aient connaissance de ses choix pour le moment. Elle veut avoir la liberté de se découvrir elle-même sans avoir à se sentir vue et affronter les jugement des autres. Jaha a créé une nouvelle identité en-ligne et ne veut pas risquer une exposition en public avant d’y être prête, néanmoins, elle voudrait garder l’accès aux ressources que l’université a censurées.
Pour pallier à ces vulnérabilités:

• Jaha utilise des outils de contournement et anonymat pour faire confondre son identité et éviter la censure.
• Elle utilise des extensions dans son navigateur qui améliore la confidentialité et qui évitent les publicités qui pourraient révéler certains de ses intérêts.
• Régulièrement, Jaha efface son historique de conversation pour éviter tout accès malveillant à ses conversations antérieures.
• La messagerie instantanée anonyme a permis à Jaha de se connecter à d’autres partageant les mêmes intérêts qu’elle.
• Elle maintient des identités en-ligne séparées pour ne pas faire confondre sa vie personnelle et celle académique. Elle fait très attention pour éviter d’être identifiée.
• Jaha utilise des posts réfléchis pour s’assurer que ce qu’elle publie en-ligne ne peut pas être remonté à elle (méfiante de ne pas spécifier sa géolocalisation, des dates précises, son adresse personnelle etc.)

Conclusion

Ressources qui peuvent aider à mettre en place les bonnes pratiques mentionnées dans ce livre:

• https://ssd.eff.org/fr/
• https://securityinabox.org