On parlera dans ce guide d’attaques pour obtenir des données numériques que l’on souhaiterait garder privées. On présentera d’abord les attaques les plus courantes, celles liées aux erreurs humaines. On parlera ensuite des attaques spécifiques aux supports physiques que l’on utilise : téléphone et ordinateur. Nous finirons par les attaques spécifiques à l’utilisation d’Internet, plus précisément à la navigation web, à la messagerie instantanée et aux mails.
Il va sans dire que si vous utilisez un téléphone portable pour consulter une messagerie instantanée, vous pouvez subir des attaques spécifiques aux téléphones ainsi que des attaques spécifiques à la messagerie instantanée.
Pour chaque attaque, nous présenterons des méthodes pour se protéger. Ces méthodes ne seront pas toujours elles mêmes fiables mais peuvent améliorer vos défenses face à un attaquant. Mettre en place une mesure de protection numérique de manière efficace, c’est comprendre en quoi elle nous protège d’une certaine attaque mais aussi de ses limites face à d’autres types d’attaques.
Avec ces mesures de protection, on souhaite complexifier le fichage, éviter la récupération de données en cas de perquisitions et éviter de fournir des preuves judiciaires. Viser l’anonymat total serait beaucoup trop ambitieux. Ce guide n’est qu’un guide de survie, il ne présente que quelques attaques potentielles et quelques contre-mesures et est loin d’être exhaustif.
Pour les personnes pressées, on pourra lire uniquement les conseils de la dernière section « En pratique, que faire ? » qui répète les principales méthodes de protection de la brochure.
Table des matières de la brochure
1. Les attaques liées aux erreurs humaines
- Le shoulder surfing
- Les données sensibles qui traînent
- La mauvaise gestion des mots de passe
- Les réseaux sociaux
- Les métadonnées des fichiers
- Le social engineering
2. Attaques spécifiques aux téléphones portables
- Les données accessibles via les opérateurs téléphoniques : géolocalisation et métadonnées
- Données accessibles via les applications de vos téléphones
- Prise de contrôle à distance d’un téléphone
- Conclusion : le téléphone, un objet que l’on peut difficilement protéger.
- . En pratique, que faire et quel prix
3. Attaques spécifiques aux ordinateurs
- Les virus
- Les perquisitions
- En pratique, que faire et quel prix
4. Attaques spécifiques à l’utilisation d’Internet
- Données de votre fournisseur d’accès Internet
- Attaques spécifiques à la navigation web
5. Attaques spécifiques aux systèmes de messagerie instantanée
- Transfert des mails
- Hébergeur d’adresse mails
- Signal, WhatsApp, Telegram, XMPP, Matrix
- Fiabilité des mécanismes de chiffrement
6. En pratique, que faire ?
- Prendre au sérieux la surveillance numérique
- Bien choisir son système d’exploitation pour son ordinateur
- Faire des sauvegardes régulières de vos données
- Sécuriser ses échanges mails
- Les téléphones
- Bien gérer ses mots de passe et options de confidentialité
- Limiter notre dépendance aux plateformes capitalistes
7. Par où commencer ?
- Pour les ordinateurs
- Pour les téléphones
- Autres ateliers
8. Ressources utiles
Notes de la version 2024 par rapport à la version 2021
Ces notes sont incomplètes. Il y a eu de nombreuses reformulations et corrections apportées tout le long de la brochure. Voici les quelques points qui nous semblent importants :
- On a passé la police de 12pt à 14pt pour être plus lisible en format brochure. C’est la principale raison qui explique que la brochure est passée de 32 à 40 pages.
- On a ajouté à de multiples endroits dont l’introduction que la sécurité numérique est un enjeu collectif et non individuel histoire de bien insister sur le sujet.
- On parlait implicitement de modèles de menace dans la brochure de 2021, on a choisi d’expliciter et d’expliquer le terme dans l’introduction de la brochure de 2024
- Nouvelle sous partie dans les erreurs humaines : les objets informatiques / documents qui trainent et qui n’attendent qu’à être perquisitionnés.
- Réécriture complète de la partie sur les mots de passe. Le tableau que nous avions mis dans la version de 2021 sur la durée pour craquer les mots de passe en fonction de la longueur était très critiquable et avait été débunké (notamment parce que le caractère aléatoire du choix des caractères joue un grand rôle dans la robustesse d’un mot de passe). Nous avons donc modifié fortement la partie mot de passe afin de conseiller de choisir des phrases de passe avec plus de 5 mots (en conseillant la méthode Diceware pour choisir les mots) et d’utiliser des gestionnaires de mot de passe.
- Quelques coquilles et imprécisions ont été corrigées dans le chapitre 2 sur la téléphonie mobile (notamment pour ne plus parler de « vraie » identité et de « fausse identité » mais plutôt d’identité civile ou choisie imaginaire ou numérique).
- Nous avons ajouté une image issue de la brochure Téléphonie mobile parue en 2023 pour la recommander dans le chapitre 2.
- Des coquilles et imprécisions ont été corrigées dans le chapitre 3 sur les ordinateurs. On a rajouté une note de bas de page pour expliciter les différentes attaques rendues possible par l’accès physique à un ordinateur sans surveillance.
- Le chapitre 4 a été remanié pour mieux différencier l’utilisation d’Internet de la navigation sur le web. Le titre est ainsi passé de « Attaques spécifiques à la navigation web » vers 4. « Attaques spécifiques à l’utilisation d’Internet »
- Nous avons explicitement ajouté dans la partie sur les clients mails que l’on déconseillait l’utilisation de protonmail pour diverses raisons et avons explicitement parlé de autistici.org, immerda.ch et disroot.org comme alternatives à riseup pour l’hébergement d’adresses mails.
- Nous avons modifié les prénoms des exemples dans le chapitre 5 pour le chiffrement des communications : Alice et Betty sont devenu.es Louise et Michel.
- Nous avons modifié la partie sur les applications de messagerie instantanée pour mettre moins en avant Signal et de conseiller plutôt des protocoles de messageries instantanées décentralisées comme XMPP et Matrix. Nous avons insisté sur les problèmes que posent les outils centralisés de manière générale (réseaux sociaux, Signal, etc.) comme par exemple les attaques par déni de service et les risques vis à vis de la censure d’état.
- Dans le chapitre 6 de résumé, nous avons ajouté un conseil sur le fait de ne pas laisser traîner les appareils numériques et de les éteindre quand on ne les utilise pas (notamment les téléphones).
- Nous avons modifié les ressources utiles en ajoutant des brochures publiées entre 2021 et 2024 comme la brochure Téléphonie mobile et la brochure Comment se protéger et protéger nos luttes. Nous avons également ajouté des liens vers le projet évasion et le No trace project. Afin que la partie ressources reste sur une page, nous avons supprimé quelques liens que nous considérons moins importants.
Pour toute remarque, contactez nous à guidesurvienum [at] riseup [point] net