{{description>Comment fonctionne une navigation sur internet et comment se protéger ?}} ====== Sécurité, anonymat et confidentialité en ligne ====== Nous allons comprendre comment fonctionne une navigation sur internet et comment se protéger. Pour comprendre comment bien se protéger sur internet, prenons le temps de saisir son fonctionnement. Ainsi, nous allons d'abord expliquer le fonctionnement de quatre protocoles aux rôles essentiels dans la sécurité, l'anonymat et la confidentialité en ligne : * Le protocole HTTPS * Le DNS Over HTTPS (ou DoH) * Le cookie * L'empreinte numérique (ou la Fingerprint) Enfin, nous recommanderons deux navigateurs et nous intéresserons aux VPN, un système qui tend à se démocratiser auprès du grand public cherchant à améliorer son anonymat sur internet. ===== Quatre protocoles essentiels ===== ==== Le protocole HTTPS ==== Le HTTPS est un protocole qui sécurise les échanges de données **entre vous et un site internet** en créant un **tunnel chiffré**. \\ Depuis quelques années les navigateurs signalent à l'internaute un site en HTTP afin d'encourager les sites internets à installer le HTTPS. Ainsi, vous avez sûrement déjà reçu un avertissement de votre navigateur vous indiquant qu'un site n'est pas sécurisé. {{ :proteger:https.png?nolink&200 |Logo du HTTPS}} Comme vous pouvez le voir dans [[faq:chiffrement|le chapitre qui explique ce qu'est le chiffrement]], le HTTPS chiffre les données échangées avec un site internet grâce un échange de clés de chiffrement hybride (symétrique et asymétrique) et est validé par des certificats gérés par des autorités de certification. \\ (Si vous n'avez pas lu l'article qui explique le chiffrement, c'est normal de n'avoir rien compris :-) ) Ce qu'il faut retenir, c'est qu'heureusement, votre navigateur fait ça tout seul sans aucune démarche de votre part ! En effet, il stocke la liste de toutes les autorités de certification afin de gérer les échanges de clé et de certificats pour vous lorsque vous naviguez en ligne. Cependant, c'est vous qui naviguez sur internet et il est important de vérifier qu'un site internet avec lequel on échange des données (mots de passe, CB, fichiers ...) soit bien équipé du protocole HTTPS, donc du petit cadenas à côté de la barre d'adresse ! (voir image ci-dessus). Ce petit cadenas signifie que le navigateur a pu vérifier les clés et les certificats du site internet et que tous les échanges de données avec ce dernier seront chiffrés. \\ Un site qui est équipé du protocole HTTPS ne veut pas dire qu'il est honnête ! Ça veut simplement dire qu'il chiffre les échanges de données avec vous. Un site équipé du HTTPS peut très bien échanger de fausses informations avec vous ou voler vos données. Le HTTPS empêche essentiellement un tiers d'accéder à vos échanges. * 83% des pages visitées sur internet ont utilisé le HTTPS((https://letsencrypt.org/stats/#percent-pageloads)) (70% en avril 2018) * 60% des sites internet ont installé le HTTPS((https://w3techs.com/technologies/details/ce-httpsdefault)) (31% en avril 2018) * Sur les 150 000 sites internet les plus visités, 90% ont installé le HTTPS mais seulement 24% l'ont installé de façon optimale en proposant essentiellement le dernier protocole à jour((https://www.ssllabs.com/ssl-pulse/)) * {{fa>check-square}} **HTTPS** + **je connais et j'ai confiance dans le site internet** = * {{fa>question-circle}} **HTTPS** + **je ne connais pas le site internet ou je n'ai pas confiance** = sur internet ou autour de moi avant de m'y connecter. * {{fa>exclamation-triangle}} **HTTP** + **peu importe** = J'essaye de rajouter le "s" dans l'adresse pour voir si ça marche sinon, je laisse tomber ! Si je connais la personne ou l'entité qui gère le site internet, je la préviens afin qu'elle règle le problème.* *Le problème est récurrent pour des sites internet qui ne sont plus entretenus depuis des années car les protocoles de sécurités ne sont plus à jours. Dans ce cas, votre navigateur vous découragera surement d'ouvrir une page de l'un d'entre eux. Vous pouvez cependant le faire, mais à vos risques et périls. En effet, un site que l'on connait pourtant bien mais qui a été laissé à l'abandon peut soudainement être piraté et présenter des risques. ==== Le DNS Over HTTPS (ou DoH) ==== Dans [[faq:domaine|cet article]], je vous explique que lorsque vous demandez à votre navigateur de visiter un site internet - soit en cliquant sur un lien, soit en rentrant le nom de domaine dans la barre d'adresse - le navigateur effectue une requête à un serveur DNS. Pour résumer : lorsque vous voulez visiter un site internet, vous y accédez grâce à son nom de domaine : wikipedia.fr par exemple. Votre navigateur demande alors à un serveur DNS (un gros annuaire) de lui communiquer l'adresse IP du serveur où est hébergé en ce moment wikipedia.fr Et bien par défaut, cette requête n'est pas chiffrée. Qu'est-ce que cela veut dire ? Et bien lorsque vous visitez le site de votre banque, vos échanges avec ce dernier sont chiffrés grâce au protocole HTTPS que la banque aura installé. Cependant, **la requête** que vous avez faite à votre navigateur pour accéder à ce site (via un marque page, ou en tapant l'adresse dans la barre de recherche) et qui est envoyée à un serveur DNS, **n'est pas chiffrée**. \\ Ainsi, votre FAI, votre navigateur et tout autre intermédiaire peuvent connaitre votre requête et la réponse du serveur DNS. Il existe une option disponible dans TOUS les navigateurs pour activer ce chiffrement. **Elle n’est pas activée par défaut pour ne pas fâcher les FAI.** \\ Cette option, c'est le protocole **DNS-Over-HTTPS ou DoH**. \\ **Comment ça marche ?** Et bien le principe est de faire passer le trafic de la requête DNS sur un protocole sécurisé HTTPS, comme lorsque l'on est sur un site internet. Ainsi, les échanges entre le navigateur et le serveur DNS sont chiffrés et ne peuvent pas être interceptés par un tiers. \\ **Mais pourquoi cette option n'est pas activée par défaut ?** \\ Car nos requêtes DNS sont des informations précieuses pour les entreprises du numériques mais aussi pour les gouvernements. Elles se retrouvent ainsi au cœur d'enjeux économiques et politiques importants. Je vous donne plus de détails dans [[:faq:domaine#qui_peut_voir_mes_requetes_dns|cet article]]. \\ **Comment l'activer ?** Cet article explique comment l'activer sur tous les navigateurs :-) ==== Les cookies ==== Le cookie est une suite d’informations, généralement de petite taille et identifié par un nom, qui peut être transmis à votre navigateur par un site web sur lequel vous vous connectez. Votre navigateur web le conservera pendant une certaine durée, et le renverra au serveur web chaque fois que vous vous y reconnecterez. A la base, le cookie n'est pas bien méchant, il est même plutôt utile ! En effet, il vous permet par exemple d'ajouter quelque chose dans votre panier sur un site internet et de continuer votre navigation avant d'effectuer la commande. \\ ...c'est que le cookie est devenu pour les sites internets une source de monétisation, et les sites internet recueillent des informations à votre sujet et sur votre activité en ligne d’une manière qui peut sembler malhonnête et peu transparente. Grâce aux cookies, le site web peut suivre vos actions de navigation : quels articles prenez-vous le temps de lire et lesquels préférez-vous ignorer ou simplement survoler ? En somme, ce qui vous fait cliquer. \\ Les données utilisateurs deviennent rapidement une ressource de plus en plus précieuse et les méthodes pour les recueillir deviennent de plus en plus sophistiquées. \\ Cette mine d'informations devient alors une source de monétisation pour un site internet, qui décide de les vendre à des régies publicitaires ou de les transmettre à des entreprises en l'échange de ressources nécessaires au bon fonctionnement du site. \\ Ces régies publicitaires et ces entreprises de Data-Mining peuvent ainsi cibler leur clientèle ou établir des profils comportementaux pour influencer les idées, les recherches ou revendre ces profils à d'autres entreprises intéressées. Les sites internet que l'on visite envoient ainsi ces cookies à plusieurs régies publicitaires mais aussi à de nombreuses entreprises fournissant des ressources liées au fonctionnement du site. \\ Grâce à l'extension pour Firefox appelée [[https://addons.mozilla.org/fr/firefox/addon/lightbeam-3-0/|Lightbeam]], je peux visualiser toutes les connexions effectuées vers des tiers lorsque je visite un site internet. \\ J'ai pris l'exemple du site **Famileo**. \\ Lightbeam me montre des connexions vers 18 sites différents rien qu'en me connectant sur la page d'accueil de Famileo ! Plusieurs d'entre eux sont des sites d'Amazon (qui lui fournissent l'espace de stockage) et Google (qui fournissent des ressources externalisées, mais aussi des régies publicitaires !). \\ Si je fait le test avec le site **LeMonde.fr**, l'extension détecte plus de 100 connexions et la majorité vers des régies publicitaires ! \\ J'ai ensuite activé la protection de Firefox, et celle des extensions qui sont présentées ci-après : lightbeam ne détecte plus que 3 connexions externes sur LeMonde.fr. ==== L'empreinte digitale numérique (ou Fingerprint) ==== On appelle empreinte digitale numérique (ou Fingerprint) la collecte systématique d'informations associées à un appareil (un téléphone ou un ordinateur) dans un objectif d'identification. C'est une technique qui, à la différence des cookies qui sont stockés sur votre appareil, permet de collecter des empreintes de navigateur à partir de toutes les informations que ce navigateur possède : types et versions des navigateurs web et du système d'exploitation, résolution de l'écran, type d'architecture utilisée, liste des polices et des plugins, microphone et caméra, etc. \\ La pratique des empreintes digitales numériques vous permet d’être suivi·e·s pendant des mois, même lorsque vous effacez le stockage de votre navigateur ou utilisez le mode de navigation privée. Malgré un accord presque complet entre les organismes de normalisation et les fournisseurs de navigateurs selon lequel les empreintes digitales numériques sont nuisibles, son utilisation sur le Web a régulièrement augmenté au cours de la dernière décennie. C'est une méthode de pistage très répandue et très insidieuse ! Elle est de plus en plus utilisée face à l'application grandissante de réglementations sur les cookies et la démocratisation des bloqueurs de publicités/traceurs. {{ :proteger:fingerpring.png?nolink&400 |Illustration de la Fingerprint}} D'ailleurs, Firefox a récemment renforcé sa protection contre l'empreinte digitale numérique dans une mise à jour le 7 janvier 2020((https://blog.mozilla.org/firefox/fr/comment-bloquer-le-fingerprinting-avec-firefox/)). ===== Pourquoi Google Chrome est-il si critiquable ? ===== {{page>alternatives:navigateurs#pourquoi_google_chrome_est-il_si_critiquable&noheader&nofooter}} ===== Quel navigateur choisir ? ===== {{page>alternatives:navigateurs#quel_navigateur_choisir&noheader&nofooter}} ===== Et après ? Comment j'importe mes données de Google Chrome à Firefox ? ===== {{page>alternatives:navigateurs#et_apres_comment_j_importe_mes_donnees_de_google_chrome_a_firefox&noheader&nofooter}} ==== Les extensions et réglages que je recommande ==== {{page>alternatives:extensions#la_base&noheader&nofooter}} ==== Pour aller plus loin ==== ===== Et le VPN alors ? ===== Le but du VPN est de **masquer son adresse IP**. Exactement ! \\ **Une adresse IP est associée à chaque appareil connecté à internet**, que cela soit un serveur hébergeant le site wikipedia, un serveur DNS, votre ordinateur personnel ou votre TV connectée. \\ **Votre adresse IP est choisie par votre FAI**. C'est pourquoi une adresse IP peut être comparée à des coordonnées GPS dans le monde numérique, car à partir de votre adresse IP qui est publique, on connait votre FAI et si l'on demande à votre FAI à qui correspond cette adresse IP, **il peut communiquer vos coordonnées de client·e**. ==== Comment fonctionne un VPN ? ==== Le VPN va placer un de ses serveurs entre votre appareil et internet afin de cacher l'adresse IP fourni par votre FAI. {{ :proteger:fonctionnement-vpn-perso.png?nolink& |Illustration du fonctionnement d'un VPN}} \\ Ainsi, lorsque vous vous connectez à internet avec un VPN : - Votre FAI vous fournit une adresse IP pour vous connecter à internet. - Le logiciel du VPN va empêcher sur votre appareil toute connexion à internet et établir immédiatement une seule connexion chiffrée entre votre appareil et l'un des serveurs du VPN. - Lorsque vous êtes connecté·e·s à l'un de ses serveurs, le VPN va vous permettre d'accéder à internet en passant par celui-ci. En fait, vous naviguez sur internet en utilisant la connexion internet du serveur donc le FAI du VPN. Le VPN redirige toutes les données par la connexion chiffrée que vous avez établie entre votre appareil et le VPN. {{fa>arrow-right}} Ainsi, aux yeux d'internet, votre adresse IP n'est plus celle que vous attribue votre FAI, mais celle du serveur hébergé par le VPN. ==== Que voient le FAI, le gouvernement, ou une entreprise malveillante ? ==== La seule connexion qui est réalisée avec l'adresse IP fournie par votre FAI et qui permet de vous identifier comme client·e, donc de vous localiser, est la connexion établie avec le serveur du VPN. Celle-ci étant chiffrée, le FAI, le gouvernement ou toute autre entreprise ne peuvent que constater que vous êtes connecté·e au VPN, la durée de cette connexion et la quantité de données qui y transitent. Mais ils ne peuvent pas voir le contenu de ces données. ==== Mais attention, un VPN ne protège pas entièrement ce que l'on fait sur internet. ==== === Règle n°1 : un bon VPN ne sait rien de vous et ne vous dénoncera pas === En cas de réquisition légal, le FAI peut donc donner les références de votre VPN aux autorités judiciaires qui demanderont au VPN de révéler l'identité de son.sa client.e. Pour ce faire, le VPN peut conserver des registres de connexion que l'on appel dans le jargon les "logs". * {{fa>check-square-o}} Un bon VPN fait exprès de ne pas conserver les LOGS ainsi, il n'a rien à fournir aux autorités. * {{fa>check-square-o}} Un bon VPN fait exprès de baser son siège à l’étranger, ainsi les autorités françaises doivent être munies d’une commission rogatoire internationale. * {{fa>check-square-o}} Un bon VPN autorise l'inscription avec un paiement alternatif à la CB ou à Paypal et avec l'utilisation d'un faux nom. Les bons VPN ne sont pas nombreux. Beaucoup profitent même de la connexion qu'ils établissent avec vous pour récolter des données afin de les revendre. \\ C'est pourquoi vous trouverez plus bas plusieurs références de VPN sérieux. === Règle n°2 : un bon VPN protège votre adresse IPv4 et IPv6 === Vous connaissez les adresse IPv4 (version 4), ce sont les adresses IP que l'on a l'habitude de croiser et qui se caractérisent par quatre nombres entiers séparés par des points comme 193.43.55.67. Les adresses IPv6 sont introduites depuis 2017 par les FAI afin de palier à la saturation du nombre d'adresses IPv4 dans le monde. Les adresse IPv6 ressemblent à ça : 2001:0db8:0000:85a3:0000:0000:ac1f:8001. Un VPN va donc vous fournir l'adresse IP de son serveur et celle-ci sera le plus souvent en IPv4. Le logiciel du VPN est donc capable de fonctionner essentiellement sur le protocole IPv4 de votre appareil. * {{fa>exclamation-triangle}} Un mauvais VPN va ignorer votre adresse IPv6 et votre appareil pourra continer à l’émettre en se connectant sur internet. Elle sera donc visible par tous les sites internets et tous les services que vous utilisez en ligne qui choisissent votre adresse IPv6 plutôt que votre adresse IPv4. * {{fa>check-square-o}} Un bon VPN, avec son logiciel, va bloquer techniquement sur votre appareil le protocole IPv6 et n'utiliser le que le protocole IPv4. Ainsi, votre adresse IPv6 ne sera pas utilisée. === Règle n°3 : un VPN ne masque que votre adresse IP, pas le reste === Imaginez que vous demandier à votre moteur de recherche : "Quelle est la taille moyenne d'une aubergine ?", que vous trouviez le site ''grossir-mon-aubergine.com'', et que vous achetiez de l'engrais sur ce site. Cet engrais est illégal en France mais vous le commandez quand même. De toute façon, vous êtes protégé·e par le VPN ? Malgré tout, vous recevez chez vous une visite de la police pour achat de produits illicites sur internet. Que s'est-il passé ? \\ En effet, le VPN est un masque. Il cache seulement votre adresse IP ; soit vos coordonnées numériques. Mais il ne cache pas forcément les requêtes DNS entre le navigateur et le serveur DNS lorsque appelez le nom de domaine ''grossir-mon-aubergine.com''. En effet, comme expliqué ci-dessus, pour chiffrer ses requêtes DNS il faut utiliser le protocole DNS-Over-HTTPS. De plus, votre FAI est souvent à l'origine du choix de serveur DNS afin d'en contrôler les connexions, c'est pourquoi un bon VPN va aussi vous fournir un serveur DNS en vous connectant à son serveur. Ainsi, vos connexions et vos requêtes DNS passeront par le même serveur. \\ Autrement, le FAI peut tout à fait connaitre vos activités en ligne. \\ (Voir image ci-dessous) \\ {{ :proteger:schema-fuite-dns.jpg?nolink |Illustration d'une "fuite DNS"}} Vous avez acheté votre engrais et votre carte bancaire à été piratée. Deux raisons possibles : * Le site n'était pas équipé du protocole HTTPS pour chiffrer vos communications avec lui et un virus a intercepté les informations bancaires de votre transaction. * Le site, malgré le protocole HTTPS installé, était un site malveillant et vous a arnaqué. Vous êtes connecté·e avec un VPN mais vous recevez du spam et de la publicité ciblée. Sachez que le VPN ne masque pas votre empreinte digitale numérique ! Que vous soyez connecté·e·s sur un serveur de VPN localisé au Japon ou chez vous sans VPN, votre navigateur envoie les mêmes informations aux sites qui tracent votre "fingerprint" et qui récoltent vos données. ==== Conclusion ==== Attention aux mauvais VPN qui ne vous masquent qu'à moitié ou qui exploitent vos données !((https://securite.developpez.com/actu/307273/Sept-VPN-gratuits-ont-expose-les-donnees-personnelles-de-20-millions-d-utilisateurs-via-un-serveur-Elasticsearch-non-securise/)) Enfin, **un VPN cache vos coordonnées numériques (adresse IP) mais ne masque pas votre identité** qui elle, peut-être **détectée par l'empreinte digitale numérique ou les cookies**. === Quel VPN Choisir ? === Pour ce faire, je vous redirige vers la page des VPN dans la liste des alternatives : \\ ===== Résumé ===== ==== Pour préserver sa confidentialité en ligne ==== Il faut cumuler le **HTTPS** + le **DoH** + les **extensions de Firefox**. Cela vous permet déjà une confidentialité très grande, et d'emmerder les GAFAMS et les Data Brokers((plus d'infos sur les Data Brokers dans [[proteger:gafam|l'article sur les GAFAM]])) ! ==== Pour obtenir un anonymat quasi complet et une meilleure confidentialité ==== (Attention il peut toujours y avoir des failles et on ne se connecte pas à internet qu'avec son ordinateur et navigateur) Il faut ajouter un **VPN**. Le site de la CNIL a aussi rédigé un article pour apprendre à se protéger des traceurs sur internet : https://www.cnil.fr/fr/nouvelles-methodes-de-tracage-en-ligne-quelles-solutions-pour-se-proteger