Sécurité, anonymat et confidentialité en ligne

Le HTTPS est un protocole qui sécurise les échanges de données entre vous et un site internet en créant un tunnel chiffré.
Depuis quelques années les navigateurs signalent à l'internaute un site en HTTP afin d'encourager les sites internets à installer le HTTPS. Ainsi, vous avez sûrement déjà reçu un avertissement de votre navigateur vous indiquant qu'un site n'est pas sécurisé.

Comme vous pouvez le voir dans le chapitre qui explique ce qu'est le chiffrement, le HTTPS chiffre les données échangées avec un site internet grâce un échange de clés de chiffrement hybride (symétrique et asymétrique) et est validé par des certificats gérés par des autorités de certification.
(Si vous n'avez pas lu l'article qui explique le chiffrement, c'est normal de n'avoir rien compris )

Ce qu'il faut retenir, c'est qu'heureusement, votre navigateur fait ça tout seul sans aucune démarche de votre part ! En effet, il stocke la liste de toutes les autorités de certification afin de gérer les échanges de clé et de certificats pour vous lorsque vous naviguez en ligne.

Cependant, c'est vous qui naviguez sur internet et il est important de vérifier qu'un site internet avec lequel on échange des données (mots de passe, CB, fichiers …) soit bien équipé du protocole HTTPS, donc du petit cadenas à côté de la barre d'adresse ! (voir image ci-dessus). Ce petit cadenas signifie que le navigateur a pu vérifier les clés et les certificats du site internet et que tous les échanges de données avec ce dernier seront chiffrés.

Mais attention !
Un site qui est équipé du protocole HTTPS ne veut pas dire qu'il est honnête ! Ça veut simplement dire qu'il chiffre les échanges de données avec vous.

*Le problème est récurrent pour des sites internet qui ne sont plus entretenus depuis des années car les protocoles de sécurités ne sont plus à jours. Dans ce cas, votre navigateur vous découragera surement d'ouvrir une page de l'un d'entre eux. Vous pouvez cependant le faire, mais à vos risques et périls. En effet, un site que l'on connait pourtant bien mais qui a été laissé à l'abandon peut soudainement être piraté et présenter des risques.

Dans cet article, je vous explique que lorsque vous demandez à votre navigateur de visiter un site internet - soit en cliquant sur un lien, soit en rentrant le nom de domaine dans la barre d'adresse - le navigateur effectue une requête à un serveurOrdinateur connecté 24h/24h sur internet et qui héberge le plus souvent un ou plusieurs sites internet. DNS.

Qu'est-ce que cela veut dire ? Et bien lorsque vous visitez le site de votre banque, vos échanges avec ce dernier sont chiffrés grâce au protocole HTTPS que la banque aura installé. Cependant, la requête que vous avez faite à votre navigateur pour accéder à ce site (via un marque page, ou en tapant l'adresse dans la barre de recherche) et qui est envoyée à un serveur DNS, n'est pas chiffrée.

Définition des cookiesUn cookie est un petit fichier déposé par un site internet dans votre navigateur pour garder en mémoire la trace de votre passage. Il peut s'avérer utile (conserver votre panier d'achat) ou servir à des fins publicitaires. par la CNIL

A la base, le cookie n'est pas bien méchant, il est même plutôt utile ! En effet, il vous permet par exemple d'ajouter quelque chose dans votre panier sur un site internet et de continuer votre navigation avant d'effectuer la commande.

Grâce aux cookies, le site web peut suivre vos actions de navigation : quels articles prenez-vous le temps de lire et lesquels préférez-vous ignorer ou simplement survoler ? En somme, ce qui vous fait cliquer.
Les données utilisateurs deviennent rapidement une ressource de plus en plus précieuse et les méthodes pour les recueillir deviennent de plus en plus sophistiquées.
Cette mine d'informations devient alors une source de monétisation pour un site internet, qui décide de les vendre à des régies publicitaires ou de les transmettre à des entreprises en l'échange de ressources nécessaires au bon fonctionnement du site.
Ces régies publicitaires et ces entreprises de Data-Mining peuvent ainsi cibler leur clientèle ou établir des profils comportementaux pour influencer les idées, les recherches ou revendre ces profils à d'autres entreprises intéressées.

Les sites internet que l'on visite envoient ainsi ces cookies à plusieurs régies publicitaires mais aussi à de nombreuses entreprises fournissant des ressources liées au fonctionnement du site.

Prenons un exemple
Grâce à l'extension pour Firefox appelée Lightbeam, je peux visualiser toutes les connexions effectuées vers des tiers lorsque je visite un site internet.
J'ai pris l'exemple du site Famileo.
Lightbeam me montre des connexions vers 18 sites différents rien qu'en me connectant sur la page d'accueil de Famileo ! Plusieurs d'entre eux sont des sites d'Amazon (qui lui fournissent l'espace de stockage) et Google (qui fournissent des ressources externalisées, mais aussi des régies publicitaires !).
Si je fait le test avec le site LeMonde.fr, l'extension détecte plus de 100 connexions et la majorité vers des régies publicitaires !
J'ai ensuite activé la protection de Firefox, et celle des extensions qui sont présentées ci-après : lightbeam ne détecte plus que 3 connexions externes sur LeMonde.fr.

On appelle empreinte digitale numérique (ou Fingerprint) la collecte systématique d'informations associées à un appareil (un téléphone ou un ordinateur) dans un objectif d'identification. C'est une technique qui, à la différence des cookies qui sont stockés sur votre appareil, permet de collecter des empreintes de navigateur à partir de toutes les informations que ce navigateur possède : types et versions des navigateurs web et du système d'exploitation, résolution de l'écran, type d'architecture utilisée, liste des polices et des plugins, microphone et caméra, etc.
La pratique des empreintes digitales numériques vous permet d’être suivi·e·s pendant des mois, même lorsque vous effacez le stockage de votre navigateur ou utilisez le mode de navigation privée. Malgré un accord presque complet entre les organismes de normalisation et les fournisseurs de navigateurs selon lequel les empreintes digitales numériques sont nuisibles, son utilisation sur le Web a régulièrement augmenté au cours de la dernière décennie. C'est une méthode de pistage très répandue et très insidieuse ! Elle est de plus en plus utilisée face à l'application grandissante de réglementations sur les cookies et la démocratisation des bloqueurs de publicités/traceurs.

D'ailleurs, Firefox a récemment renforcé sa protection contre l'empreinte digitale numérique dans une mise à jour le 7 janvier 2020⁽⁴⁾.

Le VPN va placer un de ses serveurs entre votre appareil et internet afin de cacher l'adresse IP fourni par votre FAI.

Voici un schéma explicatif

Ainsi, lorsque vous vous connectez à internet avec un VPN :

1. Votre FAI vous fournit une adresse IP pour vous connecter à internet.
2. Le logiciel du VPN va empêcher sur votre appareil toute connexion à internet et établir immédiatement une seule connexion chiffrée entre votre appareil et l'un des serveurs du VPN.
3. Lorsque vous êtes connecté·e·s à l'un de ses serveurs, le VPN va vous permettre d'accéder à internet en passant par celui-ci. En fait, vous naviguez sur internet en utilisant la connexion internet du serveur donc le FAI du VPN. Le VPN redirige toutes les données par la connexion chiffrée que vous avez établie entre votre appareil et le VPN.

Ainsi, aux yeux d'internet, votre adresse IP n'est plus celle que vous attribue votre FAI, mais celle du serveur hébergé par le VPN.

La seule connexion qui est réalisée avec l'adresse IP fournie par votre FAI et qui permet de vous identifier comme client·e, donc de vous localiser, est la connexion établie avec le serveur du VPN. Celle-ci étant chiffrée, le FAI, le gouvernement ou toute autre entreprise ne peuvent que constater que vous êtes connecté·e au VPN, la durée de cette connexion et la quantité de données qui y transitent. Mais ils ne peuvent pas voir le contenu de ces données.

Règle n°1 : un bon VPN ne sait rien de vous et ne vous dénoncera pas

En cas de réquisition légal, le FAI peut donc donner les références de votre VPN aux autorités judiciaires qui demanderont au VPN de révéler l'identité de son.sa client.e. Pour ce faire, le VPN peut conserver des registres de connexion que l'on appel dans le jargon les “logs”.

• Un bon VPN fait exprès de ne pas conserver les LOGS ainsi, il n'a rien à fournir aux autorités.
• Un bon VPN fait exprès de baser son siège à l’étranger, ainsi les autorités françaises doivent être munies d’une commission rogatoire internationale.
• Un bon VPN autorise l'inscription avec un paiement alternatif à la CB ou à Paypal et avec l'utilisation d'un faux nom.

Les bons VPN ne sont pas nombreux. Beaucoup profitent même de la connexion qu'ils établissent avec vous pour récolter des données afin de les revendre.
C'est pourquoi vous trouverez plus bas plusieurs références de VPN sérieux.

Règle n°2 : un bon VPN protège votre adresse IPv4 et IPv6

Vous connaissez les adresse IPv4 (version 4), ce sont les adresses IP que l'on a l'habitude de croiser et qui se caractérisent par quatre nombres entiers séparés par des points comme 193.43.55.67. Les adresses IPv6 sont introduites depuis 2017 par les FAI afin de palier à la saturation du nombre d'adresses IPv4 dans le monde. Les adresse IPv6 ressemblent à ça : 2001:0db8:0000:85a3:0000:0000:ac1f:8001.

Un VPN va donc vous fournir l'adresse IP de son serveur et celle-ci sera le plus souvent en IPv4. Le logiciel du VPN est donc capable de fonctionner essentiellement sur le protocole IPv4 de votre appareil.

• Un mauvais VPN va ignorer votre adresse IPv6 et votre appareil pourra continer à l’émettre en se connectant sur internet. Elle sera donc visible par tous les sites internets et tous les services que vous utilisez en ligne qui choisissent votre adresse IPv6 plutôt que votre adresse IPv4.
• Un bon VPN, avec son logiciel, va bloquer techniquement sur votre appareil le protocole IPv6 et n'utiliser le que le protocole IPv4. Ainsi, votre adresse IPv6 ne sera pas utilisée.

Règle n°3 : un VPN ne masque que votre adresse IP, pas le reste

Exemple n°1

Que s'est-il passé ?
En effet, le VPN est un masque. Il cache seulement votre adresse IP ; soit vos coordonnées numériques. Mais il ne cache pas forcément les requêtes DNS entre le navigateur et le serveur DNS lorsque appelez le nom de domaine grossir-mon-aubergine.com.

En effet, comme expliqué ci-dessus, pour chiffrer ses requêtes DNS il faut utiliser le protocole DNS-Over-HTTPS. De plus, votre FAI est souvent à l'origine du choix de serveur DNS afin d'en contrôler les connexions, c'est pourquoi un bon VPN va aussi vous fournir un serveur DNS en vous connectant à son serveur. Ainsi, vos connexions et vos requêtes DNS passeront par le même serveur.
Autrement, le FAI peut tout à fait connaitre vos activités en ligne.
(Voir image ci-dessous)

Exemple n°2

Deux raisons possibles :

• Le site n'était pas équipé du protocole HTTPS pour chiffrer vos communications avec lui et un virus a intercepté les informations bancaires de votre transaction.
• Le site, malgré le protocole HTTPS installé, était un site malveillant et vous a arnaqué.

Exemple n°3

Sachez que le VPN ne masque pas votre empreinte digitale numérique ! Que vous soyez connecté·e·s sur un serveur de VPN localisé au Japon ou chez vous sans VPN, votre navigateur envoie les mêmes informations aux sites qui tracent votre “fingerprint” et qui récoltent vos données.

Enfin, un VPN cache vos coordonnées numériques (adresse IP) mais ne masque pas votre identité qui elle, peut-être détectée par l'empreinte digitale numérique ou les cookies.

Quel VPN Choisir ?

Pour ce faire, je vous redirige vers la page des VPN dans la liste des alternatives :
Voir la page des VPN dans la liste des alternatives