Guide débutant confidentialité des données & cyber-sécurité

Quelques informations pour essayer de conserver sa vie privée... privée !


Préambule

De plus en plus de problèmes de sécurité et de confidentialité se posent en raison de l'augmentation du nombre d'endroits (sites web, applications...) où nous laissons des données personnelles, de la trop faible sécurité de leur stockage et accès, ainsi que le manque de formation généralisé à ces problématiques.
Il convient donc de prendre quelques mesures pour :
  1. limiter la quantité de données que nous laissons derrière nous.
  2. améliorer la sécurité avec lesquelles ces données sont protégées.
Il s'agit de 2 notions différentes (sécurité / respect de la vie privée) mais en pratique les deux sont souvent intimement liées : on ne peut pas avoir de respect de la vie privée sans sécurité. Les mesures prises pour l'un des points améliorent généralement l'autre, donc autant ne pas s'en priver.

Tout le monde aujourd'hui se retrouve sur l'autoroute sans avoir passé le moindre permis : internet, smartphone, stockage "dans le cloud", ... pour mieux comprendre ce qui se passe il faut forcément passer par un peu d'apprentissage et de technique, c'est à mes yeux vital. Il faut juste trouver l'équilibre, car je me doute que tout le monde n'a pas vocation à devenir ingénieur sécurité.
Les personnes déjà pointues trouveront peut-être ce guide imprécis, plein d'erreurs et de raccourcis, qu'il manque de sources... ça n'est pas grave, le texte ne leur est pas dédié, il est pensé pour vous, les débutants, et déjà pour vous, ça va être un TRES gros morceau à intégrer, je me permets donc parfois de survoler ou d'omettre des détails pour conserver le message plus clair, au détriment de la précision absolue !

Mais je ne veux pas commencer par des concepts trop théoriques, ça viendra au fil du texte. Rentrons donc directement dans le vif du sujet avec probablement le problème numéro 1 actuellement : les mots de passe !

0. Zéro connaissance en informatique ?

Avant d'aller plus loin, si déjà vous avez du mal à différencier un "navigateur internet" de "google", d'une" application" et d'un "fichier", peut-être que passer par ce petit glossaire serait nécessaire.
Voir / masquer le glossaire

Les mots de passe

⚠ important
Actuellement le plus gros problème n'est plus trop la trop faible complexité des mots de passe (même si ça reste totalement d'actualité), mais plutôt leur réutilisation massive entre différents sites web. Si "X7e#rV3g@17ch-s9z" fuite, même si c'est un mot de passe fort, il n'offrira plus aucune sécurité s'il est utilisé partout, sur tous les sites sur lesquels vous avez des comptes !
Typiquement si quelqu'un intercepte votre couple email/mot de passe utilisé sur un site web (par exemple via une tentative de phishing, voir plus bas) ET que vous avez le même mot de passe pour votre boîte mail (donc même email, même mot de passe), alors cette personne pourra accéder à vos emails. Même chose si c'est la base de données d'un site mal conçu qui fuite.
A partir de là l'attaquant peut lancer la réinitialisation de tout un tas de mots de passe et accéder à un paquet de comptes (impôts, téléphonie (factures détaillées), vos historiques de commandes partout, donc récupérer votre adresse postale...). Elle peut alors facilement commencer à usurper votre identité, aller demander de l'argent ou des services à vos contacts en leur faisant croire qu'il s'agit réellement de vous...

En conséquence les règles suivantes devraient être appliquées :

Gestionnaire de mots de passe

Pour générer et mémoriser ses mots de passe, l'outil que je recommande c'est keepassXC (quelques captures d'écran ici / nota : le français est disponible dans l'application).
Il est open source, gratuit, et PAS en ligne (pas de risque de fuite de données). Son principe est simple, lorsque vous lancez le logiciel pour la première fois, vous créez une base de mots de passe, il s'agit d'un simple fichier chiffré (crypté), protégé par un mot de passe (oui encore un, et celui-là il faudra qu'il soit balaise ET le mémoriser) dans lequel vous stockerez au fil du temps les mots de passe des comptes que vous créez. Il propose également un générateur de mots de passe (menu outil - générateur de mot de passe / ou icône "dé") qui vous permet d'éviter de vous prendre la tête pour en créer des bons ! Ce générateur est paramétrable pour inclure ou non des majuscules, caractères spéciaux, définir une longueur...
Lorsque vous aurez besoin de saisir un mot de passe, vous le cherchez dans keepass (il y a un moteur de recherche intégré) et le copiez-collez dans le site qui vous le demande.

Il y a des déclinaisons pour smartphone Android et iOS.
Transférez votre base de temps en temps sur votre smartphone (sur android il suffit de brancher le smartphone à l'ordinateur via un câble USB), et vous pourrez ainsi accéder à vos mots de passe depuis votre smartphone si besoin.
Si vous stockez la base de mots de passe (un fichier .kdbx) dans Dropbox (ce que je déconseille mais fait pourtant) vos mots de passes seront automatiquement sauvegardés ET accessibles et synchronisés sur votre smartphone, ce qui est pratique.
Je déconseille car s'il n'y a pas de risque à le faire actuellement (c'est-à-dire que même si votre compte Dropbox est hacké le hacker ne pourra rien faire de votre base de mots de passe), si un jour une faille est découverte dans keepass et que cette base a été gardée au chaud par votre hacker entre temps, il pourra alors l'exploiter. Si vous ne faites pas n'importe quoi avec Dropbox, le risque reste néanmoins limité.

Sauvegardez également régulièrement cette base !!!
C'est un tout petit fichier, et il est chiffré, donc mettez-le sur une clé USB avec vos clés ET une autre dans votre coffre-fort ou ce qui s'y rapproche le plus. De temps en temps mettez les à jour (il suffit d'écraser le fichier kdbx de la clé par le nouveau que vous utilisez au quotidien) pour inclure vos comptes les plus récents.

Si vous le souhaitez, il existe également une extension pour les navigateurs internet (pour Firefox, Brave [genre de Chrome plus respectueux]...)
Sa mise en place est un peu complexe (il faut apairer le logiciel et l'extension) mais ensuite vous pourrez automatiquement ajouter depuis votre navigateur les mots de passe dans keepass et inversement (les charger automatiquement sans devoir faire de copier-coller lorsqu'un site vous demande de vous identifier).

Et si vous avez peur de perdre le mot de passe maître de votre base keepass, notez-le sur un papier, sans dire de quoi il s'agit et stockez le dans un endroit sûr.
Vous pouvez faire de même avec 2/3 autres mots de passe cruciaux si vous voulez. Vous avez beaucoup plus de risques à utiliser et réutiliser des mots de passe simples que vous arrivez à mémoriser qu'à stocker sur papier quelques mots de passe très compliqués.
Ne laissez juste pas le papier juste à côté de votre ordi !
A l'inverse, ne mettez jamais le couple "email/mot de passe" d'un site en clair dans un document non chiffré sur votre ordinateur (dans un mail, dans un fichier texte quelconque...). En cas de hack de votre ordi (ou d'une de ses sauvegardes) vous facilitez encore plus le travail du hacker.

En alternative à Keepass, si tout ce que je viens de dire vous semble trop compliqué, vous pouvez utiliser un gestionnaire de mots de passe en ligne.
J'aime bien Bitwarden car il y a aussi une version Open source qu'on peut héberger soi-même pour les geeks.
Même si on n'a pas la certitude que le code utilisé sur leur site soit exactement celui auquel on a accès pour analyse c'est une démarche rassurante. L'entreprise est également régulièrement auditée par des sociétés indépendantes, et jusqu'à présent c'est plutôt du tout bon. Les mots de passes sont chiffrés en local sur votre ordi/smartphone AVANT d'être transmis via internet, donc les risques sont très réduits.
Le modèle économique de l'entreprise est également cohérent avec ce qu'elle annonce : ne gagne pas d'argent en analysant vos mots de passe (car elle n'y a pas accès de toute façon), par contre propose des modèles payants pour certaines fonctionnalités, les entreprises, ... mais la version gratuite est déjà pas mal !
Là encore il y a des applications et extensions pour vous faciliter la vie.
C'est une solution plus "clé en main" que keepass.
Personnellement je suis un chouilla moins fan (dépendance à une société qui peut disparaître, donc il faudrait régulièrement exporter sa base de mots de passe et la garder en sécurité ce qui est un processus manuel), mais ça confie la gestion de toute cette problématique à un tiers dont la sécurité c'est le métier, c'est parfois pas mal aussi ! Même si c'est "en ligne" donc hackable, en pratique, une nouvelle fois, vous avez plus de risque à ne rien faire et continuer d'utiliser des mots de passe faibles que d'utiliser cette solution imparfaite.

OK, à ce stade vous vous dites peut-être : stocker tous mes mots de passe, au même endroit, et potentiellement en ligne, c'est pas justement la pire des choses à faire ? Et si on me hacke mon accès à mon gestionnaire de mots de passe ?

Enregistrer les mots de passe dans son navigateur ?

C'est possible, mais seulement si vous avez un système d'exploitation chiffré (voir plus bas à la section ordinateur) et bien sûr un mot de passe à l'ouverture de votre session.
Cela implique également de ne pas laisser sans surveillance un ordinateur avec une session déverrouillée.

Pour Firefox il est également recommandé d'activer le "mot de passe maître" (Dans Firefox : Paramètres - Vie privée et sécurité - Section "identifiants et mots de passe", cocher "utiliser un mot de passe principal").
A chaque lancement du navigateur si vous voulez pouvoir utiliser un mot de passe enregistré il faudra au préalable (1 seule fois) saisir ce mot de passe. Ainsi si vous laissez votre ordinateur (navigateur non lancé) sans surveillance, personne ne pourra voir les mots de passes des sites sur lesquels vous avez enregistré des comptes.
Pour Brave sur PC, les mots de passe sont nativement stockés d'une manière plus sécurisée (via les fonctions de sécurité de Windows), et leur "réaffichage" nécessite de connaître le mot de passe de la session sur ordinateur.
Globalement c'est malgré tout moins sécurisé, si votre ordinateur est compromis, les mots de passes stockés dans votre navigateur risquent de fuiter !

Au passage, utiliser les systèmes de synchronisation des mots de passe via les comptes liés aux navigateurs est une mauvaise idée (on rajoute une couche de risque).

Vous l'avez compris, personnellement je n'aime pas trop cette solution, notamment car elle a tendance à vous rendre fainéant et à vous faire oublier de mettre vos mots de passe importants dans keepass. En cas de crash de votre ordinateur vous perdez aussi tout cet historique. C'est rarement critique (on lance des réinitialisations des mots de passe par email) mais pas super agréable et perd pas mal de temps.
Enfin tous mes mots de passe ne sont pas liés à internet, je veux un outil où je peux mettre le code de mes cartes bancaires, le code PIN de mes cartes SIM, le numéro de licence de tel ou tel logiciel acheté... et pour ça rien ne remplace un gestionnaire de mots de passe dédié.

Générateur de mots de passe

Si vous n'utilisez pas le générateur intégré à Keepass (ou à certains navigateurs), je vous ai conconcté des générateurs de mots de passe avec différentes approches.


En générer un nouveau Avec minuscules, majuscules, chiffres et caractères spéciaux.
Parfait pour un site web pour lequel vous n'avez pas besoin de mémoriser le mot de passe.



En générer un nouveau Une "phrase de passe" est plus faciles à retenir tout en assurant une sécurité aussi importante. 6 mots piochés dans un dictionnaire (de plusieurs milliers, qui peuvent être connus, ça n'est pas grave) c'est à peu près l'équivalent d'un mot de passe de 12-14 caractères aléatoires.
J'ai ajouté les traditionnels (maj/min/chiffre/caractère spécial) de la manière la plus simple possible pour satisfaire les vérificateurs un peu pénibles. Vous pouvez adapter un peu le résultat généré (espace au lieu des tirets, ordre des mots, accords, rajouter un petit mot de liaison...). Ca réduit un peu la sécurité (et encore c'est discutable), mais reste de toute façon tellement meilleur que ce que vous auriez utilisé naturellement, que c'est plutôt ça qui compte !


En générer un nouveau Même si l'attaquant connaissait le principe de génération de ce type de mot de passe (groupes de 5 caractères de type identique : minuscules, majuscules, chiffres), la sécurité reste très importante compte tenu de la longueur finale du mot de passe.
Ces 2 derniers générateurs sont imparfaits, mais laaargement suffisants pour 99% des usages.
N'hésitez donc pas à les utiliser lorsque vous en avez besoin (mettez ce lien en favori).
Aucun mot de passe généré n'est stocké, c'est donc sûr de ce côté là. Tout est même généré en local dans votre navigateur, aucun mot de passe ne circule entre vous et nos serveurs. Vous pouvez même le faire vérifier par quelqu'un qui s'y connait (le code est en clair et commenté en bas du code source de cette page). Vous pouvez aussi débrancher le câble réseau ou mettre votre ordinateur/smartphone en mode avion et générer un nouveau mot de passe pour vérifier.

L'authentification à 2 facteurs (2FA)

De plus en plus de sites vous proposent ce système : 2 facteurs c'est par exemple :
L'idée est qu'il faut ces 2 points pour accéder à un compte. C'est contraignant mais bloque énormément les tentatives de hacking. Typiquement si votre email/mot de passe se retrouve dans la nature, un attaquant ne pourra pas accéder à votre compte car s'il essaye de se connecter par exemple à votre boîte mail, il sera bloqué à l'étape qui lui demande de saisir un code qui n'arrive que sur votre smartphone... qu'il ne possède pas.
Dès que possible activez ce système. En général il faut aller dans les paramètres du compte créé pour l'activer.
C'est surtout important pour les comptes qui sont reliés à votre identité réelle, à vos emails, à vos cartes de paiement, banque...

Le 2FA via l'envoi de SMS n'est pas super sécurisé. C'est 1000 fois mieux que rien, mais quelqu'un qui vous en voudrait personnellement pourrait très facilement avoir accès à vos SMS. Un bien meilleur système existe : l'utilisation d'une application d'authentification sur smartphone (aussi appelée TOTP). Sur Android j'aime bien Aegis (open source, gratuit). Sur iOS vous pouvez utiliser FreeOTP. Attention il y a plein de "fausses" applications nommées "Authenticator quelque chose", n'en prenez pas une au pif, souvenez-vous : Aegis ou FreeOTP, point.
Parfois dans les paramètres des sites on a le choix entre "SMS" ou "Google Authenticator". Ce second choix est un abus de langage. En pratique en choisissant Google Authenticator on peut utiliser n'importer quelle application d'authentification à 2 facteurs.
Le principe d'une telle application est donc : lors du premier paramétrage d'un site internet, un QRcode est affiché à l'écran. Vous le scannez avec l'application du smartphone et un échange de clés est ainsi effectué. Désormais votre application proposera un code qui change toutes les 30 secondes.
Lorsque vous vous connectez, ce code vous est demandé, il faut donc recopier celui que vous voyez dans l'application sur votre smartphone. Ne stressez pas trop, si vous terminez de taper un code et que son temps vient d'expirer vous avez de la marge, le site accepte le code précédent même si son temps est expiré.
De temps en temps n'oubliez pas de sauvegarder cette "base de clés" sur un autre support. Vous pouvez également restaurer cette sauvegarde sur un vieux smartphone pour avoir une copie fonctionnelle à tout moment, facilement accessible en cas de casse/perte/vol de votre smartphone principal.
Stockez également dans keepass les "codes de récupération" qui sont généralement affichés lorsque vous activez ce mode de 2FA. Cela vous permettra en cas de perte (ou non accès) à votre application dédiée de pouvoir malgré tout vous connecter grâce à l'un de ses codes.

En alternative aux SMS et applications, il existe des clés USB spécifiques (qu'on trouve sous le nom U2F ou FIDO) permettant d'éviter de recopier un code. C'est pratique, mais il faut toujours en avoir au moins 2 pour palier à leur éventuelle casse, perte ou vol.
C'est encore plus sécurisé, plus pratique (pas de code à taper ni de base à sauvegarder, juste une clé USB à brancher et à toucher lorsque vous voulez accéder à un service) et efficace que l'application, mais demande de trimbaler sa clé, ne jamais l'oublier sur une prise usb. C'est également un coût et malheureusement il y a encore trop de services (sites) qui ne les acceptent pas... Ici une liste des plus gros services supportant les clés physiques.

Néanmoins pour les têtes en l'air c'est vraiment LA solution pour se protéger du phishing. Prenons un exemple concret :
Vous recevez un email convainquant de votre banque, avec votre nom prénom dedans, écrit en bon français et qui vous informe qu'ils mettent en place un meilleur système pour sécuriser votre compte et qu'il faut que vous mettiez ça en place avant le 31 du mois pour continuer à avoir accès à votre compte.
Il y a un lien marqué www.mabanque.com pour lancer le processus.
OK, allons voir. Vous cliquez, et atterrissez sur www.maƄanque.com qui est la page d'accueil de votre banque... ou pas. Regardez bien le b que j'ai utilisé... ça n'est pas un b mais un Ƅ, un caractère latin utilisé dans l'alphabet Zhuang entre 1957 et 1986 ! passionnant... mais problématique dans notre cas ! On vous demande "comme d'habitude" votre numéro de compte et votre mot de passe. OK c'est normal. Comme vous n'avez pas vu le "faux b", qu'il y a un petit cadenas vert, vous saississez les informations demandées.
Ensuite il faut saisir le code reçu par SMS. Ah justement il vient d'arriver, en provenance du numéro habituel utilisé par votre banque, avec exactement le même message que d'habitude, à la lettre près. Ca confirme que vous êtes bien sur le site de votre banque non ?
Non ?
Je vous répondrai plus tard. Continuons. Vous tapez votre code reçu par SMS, ça mouline 5 secondes pour vous faire croire que quelque chose est fait et le site vous félicite pour avoir participé à la mise en place de la nouvelle solution et que grâce à cette action vous participez à créer un internet plus sécurisé. Vous pouvez fermer votre navigateur et retourner à vos occupations.
Il peut y avoir des variantes, avec plusieurs codes à saisir selon la banque, mais vous avez compris le principe.
Quelques jours plus tard vous découvrez le massacre avec des achats en votre nom, des virements pour vider vos comptes...

Que s'est-il passé exactement ?
Tout d'abord dans un email (et sur tout site web) le texte cliquable et le lien vers lequel il pointe sont 2 choses différentes. Je peux très bien écrire www.google.com (cliquez, ça n'est pas google).
Donc même si le texte de l'email disait mabanque.com vous avez atterri sur maƄanque.com. Le petit cadenas vert indique juste un échange sécurisé entre vous et le serveur de maƄanque.com. Tout le monde peut en obtenir un, c'est gratuit et anonyme.
Ensuite lorsque vous avez saisi votre numéro de compte + mot de passe sur le faux site, en arrière plan une personne malveillante a reçu ces informations et s'est connectée avec ces identifiants au vrai site de votre banque. Cela a déclenché l'étape suivante : l'envoi par votre vraie banque d'un SMS sur votre smartphone. Vous avez alors saisi ce code non pas sur le site de votre banque mais sur le site de phishing. Le principe aurait été le même avec un code à 6 chiffres fourni par une application d'authentification. En arrière plan le site de phishing a donc reçu et utilisé ce code à votre place pour finaliser sa connexion à votre vraie banque. A partir de maintenant la personne malveillante a accès open bar à vos comptes comme si c'était vous qui étiez connecté.
Il est alors possible d'ajouter des comptes pour initier des virements pour exfiltrer votre argent, payer une grosse commande par prélèvement, ...
Pour simplifier c'est comme si un ami (un mauvais alors :-p) prenait son ordinateur, allait sur le site de votre banque, vous demandait vos informations pour se connecter et que vous lui donniez sans broncher, avec le sourire.
AVEC une clé U2F, le "second facteur" ne fonctionne QUE sur le site sur lequel il a été prévu pour fonctionner. Donc si - sur le site de phishing - on vous demandait de toucher votre clé pour lancer la seconde authentification, il ne se serait rien passé car vous n'avez pas enregistré votre clé pour fonctionner pour ce faux site).

Bref, même si ces clés semblent bien compliquées pour les néophytes ou les personnes pas très compétentes sur l'aspect techniques, ce sont justement ces personnes là qui en profiteront le plus !
Achetez donc 2 exemplaires de cette clé et ajoutez la à tout ce qui peut la supporter !

Les "questions de sécurité"

Certaines plateformes vous demandent lors de la création de comptes de renseigner des informations du type "quel est le nom de jeune fille de votre mère ?", "quel était le nom de la rue où vous habitiez quand vous étiez enfant"...
Je ne sais pas qui a eu une idée aussi stupide, car pour la majeure partie des questions, la réponse est facilement trouvable en faisant un peu de recherche via internet sur la personne (données publiques, généalogie, réseaux sociaux...).
Heureusement ce système tend à disparaître, mais si on vous impose encore ce genre d'ineptie, répondez un ou deux mots au hasard (le générateur de "phrase de passe" de keepass peut vous aider), un mot de passe quelconque fait aussi l'affaire. Stockez bien ces réponses dans keepass, dans le champ notes de l'entrée que vous avez créé pour la plateforme en question.
En théorie vous n'aurez jamais besoin de ces réponses (car vous n'oubliez plus vos mots de passe vu qu'ils sont stockés dans keepass), mais si c'est par exemple pour vous identifier au téléphone auprès d'un service bancaire, ben pas le choix. "Oui oui uEx9r5ez est le nom de mon premier animal de compagnie, que ça vous plaise ou non !".

On active l'utilisation des empreintes digitales ou pas ?

"Normalement" (officiellement en tout cas) l'empreinte digitale ne quitte jamais l'appareil sur laquel elle a été mémorisée. Ca n'est pas non plus une photo qui est stockée, les risques d'avoir un hacker l'imprimer en 3D pour aller... heu... déverrouiller votre coffre-fort qui fonctionne aussi à empreinte (?) sont proches de zéro. Un pied de biche est beaucoup plus efficace !
Comme toujours, ça n'est pas l'idéal, mais le risque est très faible par rapport à tout le reste.
Bref, si votre outil d'authentification à 2 facteurs (typiquement Aegis) vous permet l'accès aux codes avec votre empreinte plutôt que de devoir taper systématiquement votre mot de passe de 20 caractères, honnêtement ne vous en privez pas. Il vaut mieux utiliser ce système plutôt que pas de 2FA du tout parce que c'est trop contraignant !
Il faut savoir que les applications installées sur le smartphone n'ont pas accès à l'empreinte digitale, elles demandent juste au système du smartphone de s'en occuper. Le smartphone transmet simplement à l'application la réponse "ok l'empreinte est bonne" (ou mauvaise). Donc cela limite fortement les risques de fuite.
Malgré tout, il faut voir l'utilisation de l'empreinte comme un système de "simplification" d'une sécurité qui doit forcément être plus forte en arrière plan. Car l'empreinte digitale (ou faciale) est plutôt un mauvais outil de sécurité en soi dans la mesure où on ne peut pas les changer ! Donc s'ils sont compromis (si une technique simple venait à être découverte pour utiliser une capture 3D de votre visage faite à votre insu par un scanner tel qu'on en trouve de nos jours dans les iPad Pro), ils permettraient le contournement de tout un pan de sécurité. Pour éviter ça, Aegis par exemple vous demandera toujours un mot de passe au premier lancement de l'application. Ainsi si on vous vole votre smartphone et qu'on utilise un moulage de votre visage (très film d'espionnage tout ça :-p ), cela ne fonctionnera pas si votre téléphone est éteint, rebooté, ou que vous avez pris l'habitude de "tuer" les applications qui tournent en arrière plan lorsque vous vous rendez dans des lieux un peu risqués.
Certains systèmes (Graphene OS) vous permettent également de redémarrer automatiquement votre téléphone s'ils sont laissé plus de quelques heures sans que vous l'ayé déverouillé. Ainsi si on vous vole votre smartphone, si les voleurs mettent plus de quelques heures avant d'essayer de le hacker (ce qui est plutôt fréquent car la personne qui vole est rarement la personne compétente techniquement), entre temps votre téléphone aura rebooté et sera dans un état de verrouillage nettement plus important qu'auparavant.

Encore 2 ou 3 petites choses sur le sujet


Phishing

⚠ crucial à comprendre

Par email / SMS

Comme expliqué plus haut, le phishing c'est le concept de vous pousser à faire une bêtise pour obtenir des informations du type identifiant/mot de passe, numéro de carte bancaire, code de vérification quelconque...
L'approche la plus classique c'est le mail ou SMS se faisant passer pour votre banque ou une société quelconque avec qui vous avez peut-être un contrat en cours.
En envoyant au hasard un email à des millions d'adresse email françaises, on tombe forcément sur des personnes ayant un compte à la BNP ou un colis en transit via Chronopost.

Le premier réflexe à avoir à mon sens c'est d'écouter votre instinct : si ça vous semble étrange, c'est que C'EST ETRANGE.

Chronopost vous réclame un complément car le colis que vous attendez est insuffisamment affranchi, en 2024 ça vous semble normal ? Si ça n'est pas vous qui avez affranchi le colis, ça n'est pas vous le client, pourquoi serait-ce à vous de payer le complément ?
Le numéro de colis est-il mentionné ? Y-a-t'il des détails sur ce colis (expéditeur, code postal ou ville de livraison) ?

Il y a aussi pas mal de petits détails classiques de l'arnaque :

Quelques points peuvent également vous mettre la puce à l'oreille :

Que faire ?
Donc déjà, je le répète, si ça a l'odeur du bizarre, ne cherchez pas, ça l'est !

Au moindre doute : on ne clique pas sur un lien de mail ou de SMS mais on se connecte MANUELLEMENT à la vraie adresse du site évoqué : Soit en tapant soi-même l'adresse officielle dans la barre d'adresse de son navigateur, soit en cliquant sur le premier lien (non publicitaire) d'un résultat de recherche sur le nom de la société.
Là on se connecte avec ses identifiants et mots de passe habituels (qui sont probablement pré-enregistrés alors qu'ils ne le sont pas sur le site de phishing) et on voit si on arrive à recroiser l'information avec ce qu'on a reçu par mail, sms, ...

Si on doit contacter un numéro de téléphone, soit on appelle le VRAI numéro qu'on connait (sa banque par exemple) soit on tape le numéro qu'on est sensé appeler dans un moteur de recherche et on voit ce qui ressort.
Si c'est une arnaque on le repère très vite (il y a des forums de discussions qui en parlent, des sites spécialisés dans l'origine des numéros ou les arnaques...)

Même chose pour les pièces-jointes d'origine un peu étranges dans les emails, on n'ouvre pas, et on contacte directement la société qui est sensée être à l'origine de l'envoi.
Si c'est une personne que vous connaissez qui vous envoie un email du genre "j'ai besoin de te parler, est-ce que tu peux répondre à ce mail...", que ça vous semble bizarre, appelez-là au téléphone, découvrez qu'elle vient de se faire hacker sa boîte email et donnez lui l'adresse de ce guide :)

Si malgré tout on a cliqué sur un lien (reçu par email ou SMS), se poser 10 secondes avant de faire quoi-que-ce soit et être très critique :
Au moindre doute, on copie-colle l'adresse (celle en haut dans la barre d'URL) dans le champ d'un moteur de recherche et on voit ce qui ressort.

Et on retient qu'il vaut mieux IGNORER une procédure qui s'avèrerait finalement légitime que de se risquer à laisser des informations réelles à un site de phishing.
Ne vous inquiétez pas, si votre banque a vraiment besoin que vous changiez un élément de sécurité important, elle vous enverra un courrier postal, elle vous appellera par téléphone ou plus traditionnellement elle le changera de son côté et vous préviendra de ce qu'elle a fait.
Je peux citer un exemple personnel récent d'une banque Française ayant pignon sur rue, et qui a détecté un accès qu'elle a jugé frauduleux (parce que je me suis connecté à l'interface depuis une adresse qu'elle considère comme inhabituelle). La banque a commencé par bloquer l'accès puis ensuite la conseillère financière habituelle du compte à appelé la co-titulaire du compte pour savoir ce qui se passait.
Bref, si vous avez un doute, aussi minime soit-il, commencez surtout par ne pas faire ce qu'on vous demande !

Si vous voulez découvrir l'envers du décor, et voir comment le petit monde du phising de CB fonctionne, je vous propose cette vidéo passionnante (et en français) sur le sujet.

En ligne sur internet

Si vous n'utilisez pas un navigateur qui bloque massivement les publicités, trackers et compagnie (voir plus bas à la section navigateurs), en naviguant sur un site quelconque (généralement des actualités pas bien perchées), vous pouvez parfois avoir en plein écran un gros message d'alerte qui apparait.
Les ficelles sont les mêmes que d'habitude : un GROS PROBLÈME a été détecté, genre VIRUS, il faut VITE intervenir sinon votre ordinateur SERA TOTALEMENT FICHU, appelez tel numéro de téléphone pour qu'on vous aide gentillement à solutionner tout ça. Ca clignote, voire-même vous parle, histoire de bien faire monter votre niveau de stress !
Ca ressemble à votre bureau Windows, avec des fenêtres normales, mais la petite croix pour les fermer ne fonctionne pas, vous ne pouvez plus rien faire, tout à l'air bloqué !

C'est encore arrivé à un membre de ma famille récemment, en démarrant sa navigation depuis les petites news intégrées à l'onglet de météo de Windows 10 ! Ouverture du site d'actus (via le navigateur intégré à Windows et non pas son Firefox habituel renforcé contre les pubs/trackers), clic sur une autre actualité qui ouvre un autre site et BAM gros message d'alerte en plein écran !

Pas de panique, c'est une tentative de phishing, jusque là aucun problème de sécurité n'existe réellement, pour simplifier c'est l'équivalent d'une image/photo dans un site internet qui a réussi à s'ouvrir en plein écran. Ca se produit quand vous cliquez sur le bouton "plein écran" d'une vidéo youtube, là c'est pareil, sauf que le déclencheur c'était le fait de cliquer sur un lien d'actu dans une page web d'un site peu recommandable et qu'au lieu d'une vidéo vous avez une fausse capture d'écran vous faisant croire que votre ordinateur est infecté !

Que faire ? Premier réflexe : connaître le raccourci clavier permettant de quitter le mode plein écran d'un navigateur internet : la touche F11 dans 99% des cas ! Là vous comprenez tout de suite mieux qu'il s'agit juste d'un onglet comme les autres dans votre navigateur.
Fermez l'onglet et continuez votre vie... enfin surtout commencez par ne pas utiliser le navigateur intégré à votre système d'exploitation.

Au passage, comprenez que si l'opération n'a pas été plus loin, c'est aussi :
  1. Parce que vous, vous n'êtes pas rentré dans le jeu qui vous a été imposé (pourquoi surfer sur un site compromettrait-il mon ordinateur ? je n'ai rien téléchargé, installé, ..)
  2. Parce que vous savez justement que ce genre de virus est très hautement improbable car votre ordinateur est à jour, vous utilisez une version de Windows encore supportée par Microsoft, un antivirus et un navigateur internet qui bloque ce type de menaces... Ah ça n'est pas le cas, ça le sera un peu plus tard dans ce guide, on en reparlera :-)

Par téléphone

On rentre encore un peu plus dans ce qu'on appelle le "social engineering" (l'ingénirie sociale en bon français), avec des arnaques qui consistent généralement en 2 phases :
  1. Se renseigner un peu sur vous (votre nom, votre adresse postale, ...) informations souvent très simples à obtenir via les réseaux sociaux par exemple, mais aussi potentiellement des données qu'on a pu acheter via des bases de données qui ont fuitées, par exemple pour récupérer un mot de passe que vous avez utilisé à un moment sur un compte.
  2. Vous appeler au téléphone en se faisant passer pour quelqu'un d'une entreprise légitime à vos yeux (votre fournisseur d'accès internet, de téléphonie, banque...).
L'idée sera alors de vous mettre en confiance en vous donnant des informations que vous pensez que seule l'entreprise en question peut savoir. Exemple de script : "Bonjour Monsieur Machin, je suis truc de l'entreprise Bidule, responsable sécurité blabla vous allez bien ? blablabla... Nos systèmes ont remonté le fait que vous avez utilisé le mot de passe XYZ, hors il se trouve que ce mot de passe à récemment fait l'objet d'une fuite dans une base de données et il n'est désormais plus sécurisé, je vais vous envoyer un lien pour le mettre à jour.
Mais avant ça par sécurité, j'aimerai confirmer votre identité : est-ce que vous habitez bien 32 rue du Pigeon ? Oui, parfait, et votre numéro de téléphone c'est bien le blablabla" (oui vu qu'il vous appelle à ce numéro c'était facile). Tout ça endort vos réflexes... vous recevez le lien, cliquez dessus, et vous lancez en toute confiance dans une action qui provoquera votre perte : par exemple la réinitialisation de votre mot de passe et votre interlocuteur vous en dicte un nouveau "totalement aléatoire" à mettre à la place "et à bien noter hein, ne l'oubliez surtout pas" ou encore la saisie d'un numéro de CB "vous comprenez c'est une procédure supplémentaire pour vérifier qu'il s'agit bien de vous car vous-seul avez ce numéro, rassurez-vous aucun prélèvement ne sera effectué, mais la sécurité est une valeur clé de notre entreprise"... Vous avez compris l'idée je pense.

Là encore : ne donnez jamais d'information à quelqu'un que vous n'avez pas vous-même appelé au numéro officiel. Votre banque peut vous appeler pour vous DONNER des informations personnelles, pas pour vous en demander.
Si vous avez un doute, que l'appel semble légitime, challengez votre interlocuteur : redemandez-lui son nom, de quelle branche exacte il fait partie, dites-lui que là tout de suite ça n'est pas possible, mais que vous allez rappeler l'entreprise (à son numéro d'agence / offciel) plus tard et demander à lui parler, demandez son numéro de poste interne pour le recontacter depuis le standard...
S'il s'agit d'un organisme ayant pignon sur rue, proposez un rendez-vous sur place (même si vous n'avez pas l'intention de le faire). Posez-lui des questions que seul un vrai employé de l'entreprise peut connaître : si quelqu'un se fait passer pour votre "conseiller financier", il doit avoir accès à l'intégralité de vos comptes, donc demandez-lui quel était le montant de votre dernière facture XYZ, bref vous aussi procédez à des vérifications de sécurité de sa légitimité !
Voyez comment votre interlocuteur réagit. S'il est mal à l'aise, que "ça n'est pas la procédure", qu'il devient plus agressif, que bizarrement la communication est mauvaise et coupe, ... vous avez démasqué la supercherie.
Si c'est légitime, votre interlocuteur comprendra et appréciera votre suspicion, acceptera un rappel, une visite physique ou l'envoi de la demande par courrier postal sans souci.

Sauf si on vous cible très spécifiquement, il est rare que les tentatives aillent beaucoup plus loin. Si vous demandez une confirmation de la validité de la demande par courrier, s'il s'agit de phishing vous ne recevrez jamais rien. Les auteurs de ce genre de tromperies cherchent les pigeons faciles, pas à perdre du temps ou s'exposer inutilement.

Bref, apprenez à déceler les indices et à ne JAMAIS communiquer d'information personnelle à une personne dont vous n'avez pas la certitude de la légitimité !. Et pas d'auto-flagellation si ça se produit, ça arrive (malheureusement) à tout le monde, et les arnaques sont toujours plus sophistiquées dans un mode numérique toujours plus complexe. Donc si jamais vous avez fait une bêtise, appelez tout de suite l'entreprise concernée (la vraie) et bloquez tout (changement de mot de passe, opposition bancaire...), ces entreprises ont désormais l'habitude. C'est beaucoup de temps perdu et parfois des mauvaises nuits (ils vont me rembourser les 3000 € d'achats illégitimes ?) mais en général ça se résoud assez bien.
Et pour faire une pause "humour" dans la lecture de ce guide, découvrez comment Vérino se fait arnaquer :-p

Les messageries instantanées (SMS...)

⚠ important
Les SMS sont envoyés en clair et peuvent être facilement interceptés par toute personne malveillante (ainsi que tout employé de téléphonie mobile).
En 2024 c'est donc à éviter autant que possible. Ca ne devrait également jamais être utilisé pour transmettre la moindre information personnelle ou sécuritaire (pas de mot de passe !).

Whatsapp est une passoire, et n'est qu'un outil permettant à Facebook (Meta) de collecter en permanence votre carnet de contacts, votre localisation, les relations que vous entretenez avec les autres...
Même s'ils vantent le chiffrement des messages de bout en bout (en gros un message est chiffré sur votre smartphone, transite par internet et n'est déchiffré que sur le mobile du destinataire), en pratique Meta collecte tout le reste (à qui vous écrivez, quand, à quelle fréquence, où vous êtes, ...) et techniquement, ils ont la possibilité de récupérer le contenu des messages déchiffrés. Et l'application n'étant pas Open Source, il n'y a aucun moyen de vérifier ce qu'ils font réellement.
L'histoire passée à malheureusement tendance à montrer à postériori que cette entreprise cherche plus à exploiter tout ce qui est techniquement possible à des fins de marketing et de contrôle des contenus que de préserver la vie privée de ses utilisateurs ! L'élection de Trump et le Brexit, c'est en partie le résultat de l'effort de ciblage électoral effectué sur ces plateformes. Si le sujet vous intéresse, une petite page wikipédia à lire avec votre café. Et ça continue...

Là encore en 2024 il n'y a AUCUNE raison cohérente d'utiliser une telle application lorsque des alternatives libres, gratuites et open source existent.

L'application Signal est quasiment identique à Whatsapp (échange 1 à 1, groupes, visio...) MAIS ne collecte et ne partage aucune donnée personnelle.
Elle demande simplement l'accès aux contacts du téléphone afin de faciliter l'identifaction des vos autres amis utilisant cette application.
Derrière l'application il y a une organisation à but non lucratif, le code utilisé pour créer l'application est Open Source, donc on peut vérifier ce qui est réellement fait avec les données (à savoir : rien).
Si jamais vous n'utilisez pas Signal régulièrement, il se peut que votre smartphone mette l'application en hibernation au bout d'un certain temps. Vous ne recevrez alors plus les messages ni les notifications. Pour éviter ce problème, il faut ajouter Signal à la liste des application "non optimisées" ou à ne jamais mettre en veille. Sur mon Samsung c'est dans "paramètres - Batterie et maintenance de l'appareil - Batterie - Limites utilisation arrière-plan - applications jamais en veille".
Il y a un logiciel Signal sur ordinateur qui se lie à votre compte sur mobile (lien via QR code à la première utilisation). Ainsi vous pouvez faire du chat, du téléphone et de la visio depuis votre ordi sans utiliser d'autre application peu respectueuse (genre skype, zoom, whatsapp).

Il y a mieux en terme d'anonymat si c'est ce que vous cherchez (Wire, Syphon, Matrix...) qui ne sont pas liés à un numéro de téléphone comme l'est Signal, mais le principal avantage de Signal est que vous n'avez pas besoin de créer de compte et que l'appli trouve instantanément parmi vos contacts ceux qui eux aussi l'utilisent.
Bref c'est pratique et efficace.

Les e-mails

⚠ moyennement important
Pour faire simple : un email n'a aucune garantie de sécurité, confidentialité, ... Il n'a pas été conçu pour ça et les solutions sécurisées sont loin d'être évidentes.
Si on résume : le mail, c'est zéro pointé en terme de confidentialité. Malgré tout on a tendance à stocker dans nos boîtes tout un tas d'informations très importantes et qu'on ne voudrait pas voir dans la nature et c'est aussi le moyen (via la réinitialisation de mot de passe) d'entrer dans tout le reste de votre vie numérique. Faites donc bien attention à ce que l'accès à votre boîte ne soit pas simple pour le premier hacker venu (mot de passe réutilisé ou trop faible), et ne transmettez rien de hautement personnel via mail.

J'aime beaucoup l'utilisation "d'alias". Par exemple sur Mailo, un fournisseur d'adresse mail alternatif plutôt correct que j'utilise au quotidien pour mes mails "tout venant", vous pouvez créer un compte avec un nom quelconque, par exemple toto32@mailo.com, définir un mot de passe, et vous avez une boîte. Ensuite dans les paramètres du site il est possible de créer des alias, par exemple venteenligne@mailo.com Une fois l'alias créé (il faut parfois faire beaucoup d'essais pour en trouver un libre) tous les emails envoyés à cette seconde adresse aterriront dans la même boîte que toto32@mailo.com.
L'intérêt c'est que seule la première adresse (toto32@) permet l'accès à l'interface web et donc au contenu de la bôte mail. S i vous ne communiquez jamais cette adresse mais utilisez seulement la seconde (venteenligne@), alors un hacker qui récupèrerait un couple adresse email/mot de passe sur un site qui aurait fuité, ne pourra jamais l'utiliser pour se connecter à votre compte mailo, car seule la première adresse (toto32@, vous suivez) permet de se connecter à la boîte mail, hors lui possède venteenligne@...
Avec plusieurs alias il est également possible d'en changer de temps en temps si on commence à recevoir beaucoup de spam sur un en particulier.

Il y a encore des tas d'autres approches sur ce principe (compte proton avec un nom de domaine dédié et une infinité d'alias, pour faire 1 alias par site) mais ça sort du guide "débutant" je pense :), déjà commencer par quitter gmail peut être une première étape !

Pour terminer sur ce sujet, j'aimerai vous inviter, si vous en avez la possibilité, à nettoyer régulièrement votre boîte mail. Je sais que personne n'a envie de faire ça, à défaut de prendre du temps pour trier, l'action la "moins pénible" que je conseille est la suivante :
L'idée derrière cette action est de ne plus rendre "en ligne", tous ces emails. Il ne seront désormais plus que sur votre ordinateur (et vos sauvegardes bien sûr :-). Ainsi si un jour un hacker accède à votre boîte mail il aura nettement moins de choses à se mettre sous la dent.
Si par exemple vous avez des sites (mauvaise pratique mais ça existe encore) qui lors de votre inscription vous ont envoyé un e-mail avec en clair le mot de passe que vous avez utilisé (ou qu'ils vous en ont attribué un arbitrairement et vous l'ont envoyé par email et que vous ne les avez jamais changé ensuite), ça permet à un hacker de se connecter facilement à ces sites.
Si votre boîte est quasi vide, ça lui donne moins d'indices pour savoir sur quel site vous avez des comptes.
Personnellement au début de chaque nouvelle année je déplace et archive les e-mails de l'année n-2. Ca me permet de continuer à avoir accès à tout ce qui est "en cours" aussi bien depuis mon smartphone que mon ordinateur mais tout le reste est archivé, facilement retrouvable via thunderbird mais hors de portée de potentiels hackers.
Au passage si vous utilisez un prestataire d'emails un peu léger en espace de stockage, ça vous permet de récupérer une partie de cet espace de stockage.

Quelques services pratiques

Typiquement lorsque je veux commander quelque chose d'un peu spécifique sur internet, il m'arrive de voir le produit disponible sur 3 ou 4 sites dont je n'ai jamais entendu parler auparavant. Bien sûr je ne peux pas avoir l'information des frais de port de la commande avant d'avoir créé un compte, saisi une adresse postale complète... Dans ce genre de cas je commence par créer un compte sur le site en mettant une adresse yopmail, un mot de passe au pif, une adresse postale du type 1 rue de Paris, 75001 PARIS et bam, je découvre que pour un machin à 5€ j'ai 19€ de frais de port via DHL... hop je passe au site suivant.
Au moins je n'ai pas laissé de données nominatives réelles dans un site qu'au final je n'utiliserai pas. Lorsque j'ai identifié le site sur lequel je commanderai finalement, je recréé alors un vrai compte avec des données (un peu plus) réelles. Je vous invite au passage à ne renseigner correctement que le strict minimum requis par rapport à l'achat. Votre date de naissance n'est pas une donnée nécessaire à la bonne exécution de la commande, vous n'avez aucune raison de la renseigner ou d'en renseigner une réelle.
C'est typiquement le genre de champ qui risque d'être utilisé par la suite en cas de revente de données ou de fuite pour faciliter le recoupement avec d'autres données. A titre d'exemple, une fuite récente de données de la CAF de Gironde (au pif car chaque jour à sa nouvelle fuite) : Hahaha ouf on est rassurés, les noms/prénoms des gens ne sont pas dedans... oui enfin avec la date de naissance, le lieu de naissance et la profession, déjà on peut probablement relier chaque compte à une personne unique. Seulement 3 points de données, alors vous imaginez avec les quelques 180 points de données associés, "désanonymiser" les données devrait être un jeu d'enfant pour n'importe quel data-broker (société spécialisée dans le regroupement et la revente de données personnelles) ou hacker !

Mes comptes sont-ils dans la nature ?

⚠ important
Un excellent outil pour vérifier si notre mail à fuité dans une base de données un jour, potentiellement avec des mots de passes, c'est d'aller voir haveibeenpwned. En français ça donnerait quelque chose comme "Ai-je été compromis ?". Là encore l'outil est très bon et on peut avoir confiance, vous pouvez mettre votre (ou vos) adresse(s) mail et voir si quelque chose ressort. Ah votre mail utilisé dans Skype en 2013 à fuité... ok... le mot de passe est toujours le même et c'est le même pour accéder à votre compte mail actuel ? Ca n'est qu'une question de temps avant que cette boîte mail soit hackée ;-( !
L'outil "password" de ce site permet également de vérifier si un de vos mot de passe ne se trouve pas déjà dans une base de mots de passe.
L'outil est super bien conçu (vous pouvez regarder le code source), le mot de passe que vous tapez ne sera jamais envoyé en clair via internet ni stocké quelque part. Je vous passe les détails, mais vous pouvez tester sans arrière pensée avec un vrai mot de passe.
Si votre mot de passe ressort (message rouge "Oh no — pwned!"), alors il est urgent de le changer partout où vous l'utilisez !

Ordinateur

⚠ important
Si possible activez toujours le chiffrement complet du ou des disques : Bitlocker sous Windows, FileVault sur Mac.
L'idée est la suivante : si votre ordinateur est volé, le voleur l'allume, mince ça demande un mot de passe.
Si le disque est chiffré : ben ça s'arrête là, il ne peut rien faire, il faut formater le disque et réinstaller Windows/MacOS en effaçant l'intégralité des données au passage.
Par contre si le disque n'est pas chiffré, il suffit de démarrer l'ordinateur avec un système sur une clé USB, un disque externe ou équivalent, voire de mettre le disque dur/ssd dans un autre ordinateur fonctionnel pour avoir accès à l'intégralité de vos fichiers en clair !
Documents, photos, éventuellement même les mots de passe stockés dans votre navigateur internet si vous n'avez pas activé de mot de passe "maître"... Une attaque très à la mode actuellement est également la récupération de cookies d'authentification. Explications : Quand vous vous connectez sur un site, même s'il y a un processus fort dans l'authentification (email, pass, 2FA), ça aboutit simplement à la création d'un numéro unique, compliqué, stocké dans un cookie (imaginez un fichier stocké sur le disque de votre ordinateur). A chaque fois que vous passez d'une page à l'autre, ce numéro unique est transmis et le site sait que c'est bien vous.
Imaginez maintenant que quelqu'un récupère ce cookie, le mette dans son navigateur et aille surfer sur le site en question... il devient instantanément vous. Pour éviter ce genre de problème, lorsque vous avez fini une action sur un site un peu critique (banque, achat en ligne, ...) déconnectez-vous via la fonction prévue pour sur le site. Cela assure la destruction du cookie et de sa reconnaissance par le site et empêchera donc tout usage ultérieur de ce cookie s'il était intercepté à un moment quelconque.

Bref, récupérer le contenu en clair de votre disque dur c'est la situation parfaite pour usurper votre identité. Pour peu qu'un petit scan de votre pièce d'identité traine dans le dossier "Mes documents", ça peut faire très mal ! En vous faisant voler votre ordinateur portable par exemple, vous risquez bien plus que le simple montant de l'ordinateur.


Si vous voulez aller plus loin, il y a des alternatives libres et open-source aux solutions de chiffrement des grandes sociétés. On peut ainsi se prémunir des grandes oreilles, mais ça devient plus technique.
Je cite Veracrypt qui permet de chiffrer un disque entier ou de créer un "conteneur", un gros fichier qui ne peut s'ouvrir que via ce logiciel (et avec un mot de passe) et dans lequel vous pourrez stocker en toute sécurité les informations que vous souhaitez garder confidentielles.
Le principe est que dans le logiciel vous "montez" ce fichier en tant que lecteur, en gros après saisie du mot de passe, vous avez comme une nouvelle clé usb (de la taille que vous avez choisie lors de la création du conteneur) pour y mettre tous les fichiers que vous voulez. Lorsque vous démontez le lecteur ou éteignez votre ordinateur, le conteneur est reverrouillé, et plus personne n'a accès aux données.
Vous pouvez créer un conteneur même sur un disque dur déjà protégé par Bitlocker ou Filevault, pas de souci.
Attention par contre aux sauvegardes de ces conteneurs. Si vous utilisez les solutions citées plus bas (section sauvegardes), ces fichiers ne seront sauvegardés que la première fois car même lorsqu'on ajoute ou modifie des fichiers à l'intérieur, la date de modification du conteneur reste inchangée. Date inchangée = fichier jamais mis à jour par la suite dans la sauvegarde, même si le contenu a été modifié. Il vaut mieux les copier manuellement à chaque sauvegarde ou paramétrer votre système de backup pour "utiliser une méthode de détection de modification de fichier plus fiable mais plus lente" (verbatim de Syncback). Je l'ai appris à mes dépends il y a quelques années ;-(

Navigateurs internet

⚠ important
Il faut bien comprendre que Chrome est désormais avant tout un outil d'analyse comportementale pour Google. Tous les sites que vous visitez en utilisant ce navigateur servent à enrichir votre profil pour mieux les revendre aux annonceurs publicitaires, mieux vous montrer des contenus en ligne avec vos opinions (effet d'enfermement et de biais cognitif) ou à vous influencer (vous montrer des contenus pour vous faire changer d'avis parce que ça ferait de vous un meilleur client pour telle ou telle marque / entreprise / ...).
C'est le même principe que Facebook : Si vous ne prenez pas des mesures drastiques, tout site qui intègre un bouton "like" facebook permet à Facebook d'être au courant que vous visitez ce site. Si en plus vous êtes connecté avec un compte Facebook (dans un autre onglet, même plusieurs jours plus tôt), le lien est fait.
Bref il est vital d'utiliser un navigateur respectueux de votre vie privée.
Les 2 que je recommande sont : Utilisez l'un de ces navigateurs par défaut, ajoutez l'extension uBlock Origin afin de bloquer massivement les publicité et autres trackers.
De temps en temps peut-être qu'un site vous pourrira la vie à cause de vos blocages agressifs. Vous pouvez déactiver ponctuellement certaines fonctionnalités (uBlock par exemple a un bouton on/off).
Si ça ne suffit pas et que vous ne pouvez pas faire autrement, alors à ce moment là utilisez par exemple le navigateur intégré à votre système : Edge sous Windows, Safari sur Mac. Ca n'est pas idéal mais vous permettra de consulter ce site sans lien avec ce que vous avez fait sur d'autres sites en parallèle.

Revenons également un peu sur les extensions. Chaque extension de navigateur a besoin de "permissions" pour effectuer certaines tâches, malheureusement on ne peut pas les choisir individuellement et le développeur peut demander des permissions très larges. A partir de là une extension peut potentiellement avoir accès à TOUT ce que vous faites dans le navigateur. Voir tous les sites visités, toutes les touches appuyées (mots de passe inclus), éventuellement accéder à votre géolocalisation... et bien entendu les transmettre silencieusement à des serveurs via internet pour les stocker/analyser/croiser/revendre/...
Vous imaginez un peu les dégats lorsque c'est utilisé par une entreprise spécialisée dans la collecte de données (data broker). C'est d'ailleurs un sport actuellement en vogue : les data brokers contactent les développeurs d'extensions ayant déjà des millions d'utilisateurs, pour les racheter, dans le but de rajouter silencieusement des outils de tracking dans leur code. Récemment, par exemple, une grosse entreprise à racheté la très populaire et réputée extension "I don't care about cookies"... Heureusement, étant open source et sous licence ouverte, d'autres développeurs ont repris le développement (I STILL don't care about cookies) mais l'extension originale n'a plus aucune crédibilité !
Une extension de ce type (elle retire les fenêtres popups "pour continuer vous devez accepter les cookies blablbla") a besoin d'une autorisation d'accès à tous les sites pour fonctionner, c'est légitime, mais la rend également très dangereuse si elle est mal utilisée ! A l'inverse une extension rajoutant une fonctionnalité sur amazon n'aura besoin d'une autorisation pour fonctionner que sur les pages en amazon.com ou fr. Si elle est bien faite elle devrait avoir des permissions en ce sens... mais ça lui permettra malgré tout potentiellement savoir et exfiltrer tout ce que vous faites sur Amazon !
La leçon à retenir c'est donc qu'on n'installe que des extensions extrêmement réputées, pas le premier truc un peu fun venu. On prend le temps de regarder la notation, lire les commentaires, aller voir la page originale du projet, essayer de voir si on trouve des articles qui en parlent en mal... car installer une extension c'est potentiellement avoir en permanence quelqu'un qui regarde par dessus son épaule tout ce qu'on fait !

Sur Smartphone Android (sur iOS il n'y a rien), n'utilisez pas le navigateur intégré (qui cafte généralement tout ce que vous faites à la marque du téléphone) mais installez Firefox ou Brave. Bromite est également très bien mais souffre parfois d'un peu de retard en terme de mises à jour.

Personnellement j'aime bien avoir plusieurs navigateurs car ils permettent une segmentation, éventuellement d'être connecté à un compte dans un navigateur et à un autre compte (ou pas du tout) dans un autre.
N'hésitez donc pas à installer Firefox ET Brave. Parfois un site récalcitrant dans l'un fonctionne nickel dans l'autre. C'est aussi pratique pour installer des extensions probablement très bavardes sur un navigateur dédié. Par exemple j'ai installé Vivaldi (un autre navigateur) que je dédie au shopping. Dessus j'ai quelques extensions de suivi d'historique et de comparaisons de prix. C'est pratique mais je ne veux pas que ces extensions suivent mon activité au quotidien.

Cookies

⚠ Information complémentaire
"ah ras-le-bol" de ces cookies... mais c'est quoi au fait ?
Ce sont des donnée stockées sur votre ordinateur lorsque vous visitez un site internet.
C'est normal et souvent nécessaire car c'est le seul moyen pour un site web pour par exemple associer votre panier d'achat à votre ordinateur au fil des pages visitées.

Un cookie n'est lisible QUE par le site qui l'a créé.
Au départ tout était simple, un site avait besoin de savoir que c'était bien vous, il écrivait 1 cookie (un numéro de client en quelque sorte) et se débrouillait de son côté pour tout le reste.
Malheureusement ça a "un peu beaucoup" dérapé, et la consultation d'un site génère en réalité la création de cookies sur de multiples sites d'un coup, même si vous ne les consultez pas directement.
Par exemple en allant sur les-super-news.fr un script dans la page d'accueil va faire "comme si" vous consultiez aussi grosseregiepublicitaire.com et réseausocialàlamode.com Ces sites vont chacun créer un cookie (lisible que par eux), et stocker sur leurs serveurs toute l'activité que vous allez faire sur les-super-news.fr.
Quand vous irez sur ah-ma-zone.fr s'il y a les mêmes scripts, ces 2 mêmes sites sauront que vous consultez AUSSI ce site de vente en ligne là. Et ainsi de suite. Petit à petit votre profil s'enrichit, et est proposé aux publicitaires, policitiens, ... qui feront des publicités ou messages ciblés pour tels ou tels profils.
Ce sont des bons gros mouchards qui savent tout ce votre navigation. Comme la majorité des sites incluents des scripts liés à Google, Facebook et compagnie, vous vous doutez ce que ça peut donner.

Que faire ?

La première chose c'est de paramétrer vos navigateurs internet pour refuser tous les cookies "tiers". C'est à dire autre que ceux associés directement au site que vous consultez.
Sur Firefox et Brave c'est désormais plutôt le cas par défaut, vous pouvez néanmoins aller faire un tour dans les Paramètres à la section "vie privée" pour voir ce que vous pouvez améliorer. Dans mon firefox c'est réglé sur "Stricte" et les sites fonctionnent encore généralement très bien.
Au passage profitez-en pour installer l'extension "I still don't care about cookies" (Firefox / Brave). Cela supprimera la majorité des bandeaux et autres popup vous demandant si vous voulez accepter tel ou tel type de cookie.
Vous avez configuré votre navigateur pour refuser tous les cookies tiers, pas besoin de vous demander si vous voulez les accepter sur tel ou tel site.

Comme plus haut, si un site se révèle récalcitrant et que vous ne pouvez pas faire autrement (réserver un billet de train par exemple), vous pouvez soit assouplir ponctuellement la sécurité de votre navigateur, soit utiliser un autre navigateur (par exemple Edge, livré avec Windows), dans une fenêtre de navigation privée, comme ça en quittant tout sera effacé et votre prochaine utilisation de ce navigateur ne sera pas (trop) liée à la précédente.

Autres logiciels sur ordinateur

⚠ Informations complémentaires
Tout comme les navigateurs, les logiciels qu'on installe sur son ordinateur sont de plus en plus des passoires vis-à-vis de votre vie privée. Même les logiciels historiquement réputés comme la suite Office (Word, Excel...) ou les anti-virus (j'en parlerai plus loin) sont désormais à étudier avec soin.
Plutôt que Microsoft Office (désormais banni des écoles Allemandes pour collecte illégale de données personnelles) pour la majorité d'entre-nous utiliser LibreOffice une suite bureautique libre et gratuite, est largement suffisant.
Si vous avez peur de vous faire arracher la tête par votre boss ou vos contacts, il y a juste 1 paramétrage à faire : spécifier le format "docx" et "xlsx" comme format à utiliser par défaut pour Writer (le remplaçant de Word) et Calc (celui d'Excel) et voilà.
Il reste quelques petits bugs parfois pénibles (le point du pavé numérique qui n'est pas une virgule dans le tableur [on peut le changer, mais il devient une virgule aussi dans le traitement de texte, ce qui est pénible]), ou crashs (parfois quand on laisse ouvert un document plusieurs jours), mais pour 99% d'entre-nous ça fait parfaitement l'affaire au quotidien. On évite au passage Google Docs, pour les mêmes raisons que pour les e-mails.

Avant d'acheter ou d'installer un logiciel commercial, essayez de chercher s'il n'y a pas une version libre et open-source recommandée par les geeks d'internet. Soyez particulièrement aux logiciels "gratuits" mais dont les fonctionnalités utiles ne seront accessible qu'après paiement. Typiquement les utilitaires de récupération de fichiers effacés. C'est gratuit pour vous montrer que oui on peut récupérer ces photos super importantes... mais il faut payer pour les récupérer. Comme vous êtes aux abois, vous payez ! C'est dommage car il y a d'excellents programmes libres et open source qui font ça très bien : PhotoRec par exemple.

Applications sur smartphone

⚠ important
De plus en plus de services vous poussent à installer leur application pour utiliser leur service. Certaines entreprises vont même jusqu'à vous payer pour le faire (Amazon ou Aliexpress vous "offrent" par exemple quelques euros de réduction si vous passez commande via leur application).
En pratique peu d'applications proposent un meilleur service que leur site internet en version mobile.
Par contre l'intérêt pour l'entreprise est énorme : en vous faisant installer l'application ils disposent de droits bien plus élevés sur votre smartphone.
Certains droits ne sont accessibles qu'après une popup de demande (accès aux contacts, à la localisation GPS...) mais d'autres (accès à internet, à différents capteurs du téléphone...) sont automatiquement accordés. Bref dès le départ, l'application peut donc communiquer h24 entre votre téléphone et ses serveurs. Lors de chaque échange les serveurs de l'entreprise en face connaissent votre adresse IP, éventuellement le nom de votre point d'accès wifi, des détails sur votre smartphone... et peuvent donc vous géolocaliser assez grossièrement. Bref en 10 minutes je peux faire une application qui ne vous demandera aucune autorisation particulière mais qui suivra votre position géographique grossière toutes les 30 minutes. Je peux au passage utiliser une fonction basée sur votre fond d'écran (sans récupérer l'image elle-même, mais juste en demandant "ses couleurs principales") qui en pratique me permettra de savoir au fil du temps que c'est bien toujours vous (car votre fond d'écran est probablement unique).
Je vous laisse imaginer ce que peut faire une grosse entreprise avec des moyens et du temps...
Par ailleurs beaucoup d'applications vont vous demander des autorisations plus spécifiques, de manière totalement justifiée (et difficilement évitable) : Uber a besoin de votre localisation GPS pour vous envoyer un chauffeur là où vous êtes, Leboncoin veut vous envoyer des notifications pour vous prévenir de vos ventes ou d'annonces correspondant à vos critères, voir demande l'accès à votre appareil photo et vos photos pour prendre une photo de l'objet que vous voulez vendre. Ca semble légitime.
Si ça s'arrêtait là oui, mais leurs conditions générales d'utilisation précisent que les données en question peuvent être accédées à tout moment, être revendues à n'importe qui, ... Bref Uber peut savoir où vous êtes h24, croiser ces données avec les autres utilisateurs, savoir que vous passez tant de temps dans tel magasin, hotel, ou à proximité de telle ou telle autre personne... Vous ne pensiez pas avoir signé pour ça ? C'était pourtant clairement écrit, là vous savez, en tout petit au milieu de 200 paragraphes de texte juridique...

Vous avez donc compris, autant que possible utilisez les versions "site web" des sites que vous aimez et non pas les application installées via le Play Store / App Store ! Vous pouvez même ajouter une icône de raccourci sur l'écran de votre téléphone : allez sur le site qui vous intéresse, affichez le menu avec les 3 points verticaux (souvent en haut à droite) et choisissez "ajouter à l'écran d'accueil".

Facebook, Whatsapp, Instagram, ... n'ont que pour rôle principal la collecte massive de vos données, carnets d'adresse, photos perso, ... pour améliorer leur ciblage commercial, revendre des services à d'autres entreprises, partis politiques,... c'est comme ça qu'elles gagnent de l'argent !
Je n'aime pas trop cette expression entendue ad nauseam mais tristement trop réelle : "si c'est gratuit c'est vous le produit".
La bonne nouvelle c'est que cette phrase n'est réelle que si derrière il y a une entreprise et non pas une association ou un individu seul dans un coin.
Il existe en effet d'excellentes alternatives aux applications courantes : gratuites et SANS tracking !
Certaines entreprises ont également un modèle économique plus clair qui ne repose pas sur la revente de vos données. Vous pouvez - par exemple - avoir un produit en version gratuite limitée + des services payants qui aident à financer l'ensemble. Typiquement Protonmail fonctionne sur ce principe : vous pouvez avoir une adresse email sécurisée chez eux, gratuitement, avec un peu de stockage. Si vous voulez plus de stockage, ajouter des alias, ... vous devez passer par un petit abonnement.
Quelques exemples d'applications "alternatives" que j'aime bien :

* Les applications "Simple" quelquechose (SMS, Gallery, Calendar...) ne sont plus recommandées car le concepteur vient de les revendre à une entreprise réputée pour l'ajout de publicité, tracking et abonnement très cher. Mais étant open source, la communauté à repris son travail pour créer "Fossify", c'est la même chose mais les icônes sont vertes désormais :)

C'est quoi Droid-ify ?

C'est un "app store" alternatif pour Android, qui permet d'installer des applications autres (majoritairement open source, gratuites...) sans passer par le store Google.
Lien pour le télécharger. Il faut télécharger le fichier .apk depuis son stmartphone et l'installer. Votre téléphone va probablement couiner parce que c'est une source "non autorisée", mais ça se paramètre pour l'autoriser quand même.
Ensuite en lançant l'application Droid-ify vous allez avoir une liste d'application, vous pouvez utiliser le moteur de recherche pour par exemple taper "OSMAnd" ou "Fossify SMS".
Comme n'importe quel "store", vous consultez la fiche de l'application et pouvez l'installer en 1 clic. Là encore la première fois vous allez avoir une alerte car Droid-ify n'a pas encore le droit d'installer d'autres applications, mais une fois accepté ça sera silencieux pour les autres applications.
Il y a un autre store plus connu, nommé f-droid, mais son approche est un peu controversée. D'un côté il y a du bon car f-droid recompile lui-même toutes les applications distribuées, s'assurant donc que le code source publié sur le site original (souvent github) est bien le même qui est utilisé pour créer l'application (rien n'est ajouté entre les deux). Cela ajoute donc un genre de "tiers certificateur"... très bien si on a confiance, mais celà veut aussi dire à l'inverse qu'il s'agit d'une entité unique plus facile à cibler (vol de clés de sécurités de f-droid = on peut compromettre toutes les applications du store, insertion forcée de backdoor via une requête d'un gouvernement...). Cela entraine aussi du retard dans les mises à jour (car il faut que f-droid s'en occupe), ce qui peut parfois être critique si le développeur corrige une faille de sécurité par exemple. Bref il y a du bon et du moins bon, mais avec droid-ify c'est plus simple/efficace.

Sur le même principe vous avez "Aurora", qui permet l'accès à l'intégralité du catalogue Google Play Store SANS avoir de compte Google. A titre informatif, sachez donc qu'on peut donc utiliser un smartphone Android SANS aucun compte Google !

Ca existe un smartphone respectueux de la vie privée ?

⚠ Compliqué
C'est... compliqué. Nativement non, mais il y a des solutions :
Aujourd'hui le meilleur modèle c'est d'acheter... un téléphone Google ! Oui, oui ! la série des Pixel (du moins cher au plus haut de gamme : 6A, 7A, 7, 7 Pro, 8, 8 Pro).
Ca semble totalement contre-intuitif... mais laissez-moi vous expliquer : Android - même s'il est conçu et principalement développé par Google - est libre et open-source. Donc n'importe quel fabricant peut s'en emparer et l'adapter à ses téléphones. Google n'est qu'un de ces fabricants parmi les autres.
Google rajoute donc ses applications et sa couche de tracking, comme Xiaomi ou Samsung.
La différence c'est que quasiment tous les fabricants verrouillent à mort leurs téléphones ensuite, rendant leur "sanitation" très compliquée. A l'inverse Google laisse beaucoup de liberté pour déverrouiller le téléphone, faire plein de modifications et le reverrouiller derrière pour qu'il soit très sécurisé (qu'une application ne puisse pas faire ce qu'elle veut et piquer tout le contenu sans votre autorisation).
Donc le meilleur moyen d'éviter le tracking de Google c'est d'acheter un téléphone Google... ET d'installer dès sa réception un système alternatif.
Actuellement le plus efficace c'est Graphene OS, c'est un Android sans aucun lien avec Google, avec des applications natives qui ne caftent rien à personne et des fonctionnalités renforcées d'isolation des applications. Par exemple on peut nativement empêcher n'importe quelle application d'accéder à internet (donc d'aller transmettre des informations à des tiers. Par exemple une application de calculatrice n'a aucunement besoin d'accéder à internet, une application de gestion de SMS, un enregistreur audio ou un lecteur de MP3 non plus !).
En alternative on a CalyxOS qui - outre les Google Pixel - fonctionne également sur le Fairphone 4 (et bientôt 5), un téléphone nettement plus éthique et réparable que la moyenne.
Tout le reste (les autres marques) c'est un peu kif-kif. On peut pas mal "dégoogliser" son téléphone, mais ça demande trop de compétences et c'est souvent assez risqué pour être conseillé.
Bref, si vous pouvez vous offrir un Pixel avec la quantité de stockage et l'appareil photo adapté à vos envies, n'hésitez pas. L'installation de Graphene OS sur ces téléphones n'est pas très compliquée et très bien expliquée sur leur site.
Plus le téléphone sera récent, plus la durée de vie et de support par GrapheneOS sera longue, c'est à intégrer dans le calcul du prix (plus cher mais qu'on gardera plus longtemps)...

Apple ? Ca dépend un peu de ce qu'on cherche. Apple se veut plus respectueux que la moyenne, qui aspire tout ouvertement (Xiaomi ou Samsung par exemple) et est globalement plus sécurisé que la moyenne, mais ça reste une grosse boîte qui analyse au maximum les données de ses utilisateurs. Il n'y a qu'a voir le scandale de l'analyse des photos pour détecter de la pédo-pornographie... pour ceux qui n'ont pas suivi, Apple a mis en place une analyse "sur le téléphone" de vos photos pour détecter si c'est ok ou non avec ses valeurs... et si ça ne lui plait pas, hop on vous dénonce aux autorités. en terme de respect de la vie privée on a vu mieux.
Il me semble qu'ils n'ont pas réussi à aller jusqu'à l'implémentation finale car c'était assez mal passé auprès des utilisateurs, je crois qu'ils ont dû fait machine arrière depuis, mais ça vous donne une idée des pratiques et de l'état d'esprit de la marque.

Il me faut un antivirus ?

⚠ A noter
Pour Windows 10 et 11, le système de protection nativement intégré par Microsoft est suffisant ! Il n'y a besoin de rien d'autre.
En parallèle, les anti-virus sont eux-aussi devenus des agents d'exfiltration de vos données personnelles. Les "gratuits" type Avast, historiquement l'une des meilleures solutions pour protéger un peu son ordinateur dans les années 2000, sert désormais plutôt à analyser vos usages et tout faire pour vous faire migrer vers une version payante.
Il faut comprendre qu'un anti-virus, par essence (et réelle nécessité), à un accès TOTAL à l'ensemble de vos données, c'était trop tentant pour les entreprises de ne pas exploiter cette intrusion dans votre vie privée :-(

De nombreux autres outils se vantent comme dédiés à améliorer votre sécurité. Oubliez-les, n'installez rien d'autre que les mises-à-jour de votre Windows, qui devrait TOUJOURS être une version encore supportée par Microsoft (si vous êtes sous XP, Vista, Windows 7 ou 8, il est plus que temps de migrer !).

Mac et Linux, sont moins ciblés par les virus.
Par contre, contrairement aux croyances, ces systèmes ne protègent pas mieux contre les virus, car en pratique c'est quasiment toujours vous qui leur permettez de s'installer.
Exemple typique : vous allez sur un site qui vous promet l'accès gratuit à quelque chose qui normalement devrait être payant, il vous suffit d'installer telle ou telle application.
Ca peut aussi être une fenêtre qui s'ouvre sur un site et qui vous dit que votre ordinateur risque d'être infecté, qu'il faut vite installer cet anti-virus magique pour bloquer l'attaque.
Vous téléchargez un fichier .exe (ou .dmg sur Mac), le lancez. Votre système d'exploitation vous alerte que le programme que vous allez installer requiert des droits administrateurs, comme d'habitude, sans trop lire, vous dites ok, voire même tapez votre mot de passe (Mac/Linux) pour l'autoriser.
Voilà, le logiciel malveillant vient d'être installé, grâce à votre autorisation explicite. Même si le système a bloqué au départ l'installation et vous a averti, c'est vous qui l'avez malgré tout forcé à l'accepter.

Bref la règle générale c'est avant tout de ne pas télécharger ou installer d'application qui ne provient pas d'un site réputé et/ou recommandé par une personne en qui vous avez confiance.
Si à l'installation un logiciel fait afficher cette fameuse fenêtre d'alerte, posez-vous la question 5 secondes : est-ce que c'est cohérent qu'un logiciel censé faire XYZ ait besoin d'un accès total et sans aucune restriction à mon ordinateur, ce qui inclue le fait de se lancer tout seul au démarrage, l'accès à tous vos fichiers, la capacité de modifier les réglages d'autres logiciels, de faire des captures d'écran ou des vidéos de ce que vous faites et les envoyer vers l'extérieur...
Pour certains c'est nécessaire, pour d'autres c'est peu probable... Je me doute que souvent vous n'êtes pas en capacité de trancher, dans ces cas là, recherchez plus d'information sur ce programme avant d'aller plus loin.


Que de mises-à-jour !

⚠ important
Windows demande à se mettre à jour, Android ou iOS aussi, les applications il n'y a pas une journée sans qu'elles vous affichent une notification pour être mises à jour... c'est fatiguant... mais nécessaire !
D'une manière générale il est recommandé à de mettre à jour tout ce qui vous le demande, dans un délai relativement court.
Vous n'êtes pas spécialiste en sécurité et n'avez aucune vocation à le devenir, donc il est difficile de savoir si une application doit être mise à jour à cause d'une faille critique ou si c'est sans grand intérêt... donc dans le doute il vaut mieux le faire.
Il arrive qu'une faille critique soit découverte et rapidement exploitée par des personnes malveillantes. Toute personne continuant à utiliser une version non à jour prend des risques... qui peuvent parfois être importants (genre accès open-bar à l'intégralité de vos données)... bof bof !
Les mises à jour concernent évidemment votre ordi et smartphone, mais n'oubliez pas tous les bidules connectés, qui sont des usines à failles...

Mises à jour après mises à jour, surcouche après surcouche, cela participe généralement à ce qu'au fil du temps votre téléphone ou ordi qui fonctionnait super bien il y a 4 ans devienne de plus en plus lent.
Les applications deviennent également de plus en plus complexes et nécessitent de plus en plus de ressources (ram, stockage...), votre téléphone d'un temps n'est donc plus forcément adapté aux sites et applications d'aujourd'hui.
Même si ça n'était pas le cas, c'est le support par le fabricant qui a cessé et qui rend donc votre outil potentiellement vulnérable aux nouvelles failles de sécurité qui apparaissent au fil du temps.
Faille non corrigée + exploitée par des hackers = risque pour vos données.
C'est moche et écologiquement très dommage, mais c'est malheureusement une réalité avec laquelle il faut vivre à partir du moment où on veut utiliser des outils numériques.

Sauvegardes

⚠ Crucial !!!
Je ne compte plus le nombre de personnes autour de moi qui sont "sans filet", qui ont bien conscience que s'ils perdent leur ordi ou smartphone c'est toutes les photos d'une vie qui disparaissent... mais qui n'ont pourtant pris aucune action pour essayer d'améliorer la situation !
C'est en effet complexe de savoir dans quelle direction aller : cloud, disque dur externe, quel programme... ce qui à tendance à pousser à l'inaction :-(

Avant de rentrer plus dans les détails : Différentes approches sont possibles, ça dépend de vos compétences en informatique, vos moyens...
Etant très "lié" aux ordinateurs, j'aime bien les solutions qui commencent par rapatrier les donnée sur un ordinateur (typiquement smartphone->mon pc) puis ensuite avoir une sauvegarde de tout ça.
Je sais que de plus en plus d'utilisateurs zappent la case ordinateur et concentrent le gros de leur activité électronique sur leur smartphone, les recommandations sont un peu différentes dans ce cas là.

Commençons par l'ordinateur

Les solutions les plus simples à mettre en place sont : Avec 1 solution en ligne + 2 disques externes en rotation régulière dont un stocké en dehors de chez vous, vous avez une protection efficace de tout ce qui pourrait être important sur votre ordinateur.
Ca prend 2-3 heures à mettre en place, mais le jour où votre ordinateur ne démarre plus, vous serez contents d'avoir pris ce temps là pour assurer la pérénité de vos données !

Et sur smartphone

Je ne suis pas fan des solutions "cloud" des fabricants, soit c'est cher (Apple), soit c'est pas top en terme de vie privée (Google...), soit ça disparait quasiment du jour au lendemain (Samsung !), soit un mélange de tout ça.
Chez Apple, malgré tout leur solution iCloud a le mérite de commencer ENFIN à proposer un chiffrement des sauvegardes. Il était temps.
Sur Android, on ne va pas se mentir, c'est le bazard.
A titre personnel j'utilise Nextcloud, en version auto-hébergée (j'ai un ordi qui tourne h24 chez moi et qui fait [entre-autre] office de serveur "cloud"). Dès que j'ai du wifi d'accessible, mon smartphone sauvegarde automatiquement mes dernières photos avec mon serveur. Nextcloud sert aussi à synchroniser mes contacts et mes agendas (sans passer par ceux de Google, comme dit plus haut mon téléphone Android n'est pas lié à un compte Google, et ça fonctionne très bien). On peut aussi trouver des "instances" Nextcloud prêtes à l'emploi, par exemple chez Hetzner. Environ 5€ par mois pour 1 To de stockage. On peut créer plusieurs utilisateurs, donc pour une famille on peut se partager ce téra octet pour sauvegarder plusieurs téléphones avec 1 seul abonnement. Si 1 To de données c'est plus qu'il ne vous en faut pour l'intégralité de votre vie numérique, vous pouvez aussi utiliser Nextcloud pour la sauvegarde des données de votre ordinateur à la place de Backblaze.
Mais sur Android, le plus simple c'est de brancher son smartphone régulièrement sur son ordinateur, d'y accéder via l'explorateur de fichiers, d'aller dans le dossier DCIM (pour les photos), de trier les fichiers par date si besoin et de copier par exemple 1 fois par mois (ou trimestre) toutes les photos de ce mois là (ou trimestre là) dans un dossier de son ordi.
Comme on a mis en place une sauvegarde de son ordinateur un peu plus haut, ça sera automatiquement sauvegardé sur les autres supports !
Si vous n'avez pas d'ordinateur, vous pouvez acheter une très grosse clé USB type C et utiliser le gestionnaire de fichiers de votre smartphone (ou Fossify File Manager, gratuit sur Droid-ify) pour copier des fichiers depuis votre smartphone vers la clé usb. Ca marche aussi avec un disque dur externe si vous le branchez avec un câble USB-C. C'est un peu délicat pour le copier/coller mais techniquement c'est faisable.

J'aime également bien le logiciel Syncthing gratuit, open source, pour synchroniser des fichiers un peu dans tous les sens entre différents supports.
Attention synchronisation ne veut pas dire sauvegarde. Si vous avez par exemple le dossier "photos" de votre smartphone synchronisé (sans fil, via wifi) avec un dossier sur votre ordinateur et que vous supprimez toutes les photos de votre smartphone par erreur, elles seront rapidement supprimées de votre ordinateur également.
Généralement les logiciels proposent des fonctionnalités de "rétention" afin de restaurer par exemple les fichiers supprimés il y a moins de X jours, mais ça n'est pas toujours le cas ni activé par défaut. Soyez prudents et avant de vous lancer pleinement, testez toujours dans tous les sens sur des copies de données pour voir ce qui se passe.

C'est quoi un VPN ?

⚠ Quelques connaissances supplémentaires
En anglais Virtual Private Network, mais ça ne vous avance pas beaucoup ;-( Pour la partie qui nous concerne, un VPN c'est un moyen de mettre en place un espèce de tunnel sécurisé entre notre ordinateur (ou smartphone) et un serveur quelque part sur internet. D'autres utilisateurs font la même chose depuis leur ordinateur à eux et ce même serveur, et donc quand vous surfez sur internet : Malheureusement ce dernier point est de plus en plus mis à mal : en 4G vous n'avez plus une IP par personne. Chez certains FAI fixes (Free en tête) c'est pareil. Cela rend l'IP mauvaise pour le ciblage. Mais - outre les cookies dont on a déjà parlé - les publicitaires et tout le milieu de la data ont développé d'autres instruments bien plus fiables, basés sur un genre d'empreinte digitale fournie par votre terminal ou navigateur. Quand vous installez Chrome, une numéro unique est généré et Google saura donc systématiquement qu'il s'agit de vous par exemple sur votre ordinateur portable, que vous soyez connecté ou non à un compte Google, que vous soyez en wifi à la maison ou en 4G en mode "modem" via votre smartphone. Si vous vous connectez à votre compte depuis différents terminaux (ordi, smartphone), Google agrègera ces identifiants uniques et donc vous pourrez chercher une information sur votre smartphone et ensuite avoir une pub en rapport sur votre ordinateur. Si vous activez un VPN alors que vous êtes connectés à votre compte Google, Facebook ou autre, ces entreprises continueront à vous tracker et à agréger les données issues de vos navigations via différentes adresses IP. Bref le VPN n'apporte rien dans ce cas.
Le "fingerprinting" est une science complexe, en constante évolution pour améliorer encore et encore les recoupements de données. Absolument tout peut être utilisé pour ça. J'ai déjà parlé plus haut des couleurs principales de votre fond d'écran, ça peut aussi être la liste des polices que vous avez installé sur votre ordinateur, la résolution d'écran, le fuseau horaire, la langue... tout ce qui peut être différent d'une personne à une autre peut permettre d'aboutir au fait que même si vous semblez anonyme, vous êtes unique lorsqu'on croise suffisament de points d'analyse.
Un exemple pour tester à quel point vous êtes unique ici.
Pour moi c'est vite vu, j'ai un écran atypique, ça me met déjà dans un groupe qui représente 0.16% des personnes ayant fait le test. En 1 point de test on a élimité 99,84 % des gens ! De 1 personne perdue parmi 1,2 millions je passe à 1 parmi 1960.
Il suffit de croiser simplement un ou deux autres paramètres supplémentaires et hop je suis unique. Donc imaginons une grosse entreprise quelconque, ça peut être Facebook qui a pignon sur rue et des boutons "j'aime" sur tous les sites du monde, ou une régie publicitaire en arrière plan. Cette entreprise créé un identifiant en une vingtaine de ces points, elle pourra me suivre de site en site, même si je n'ai pas de compte chez elle, même si je bloque les cookies tiers et même si j'utilise un VPN.
Que faire ? déjà en utilisant uBlock dans tous vos navigateurs, vous bloquez la très grande majorité de ces scripts. Idéalement il faudrait le coupler à une autre technique, qui s'appelle le filtrage DNS (j'en parle au chapitre suivant) qui s'appliquera au delà de votre navigateur internet (dans les applications mobiles notamment)... et probablement d'autres choses encore. Chaque surcouche rajoute un peu de difficulté pour vous suivre, tout est bon à prendre :)
Si vous devez retenir une chose c'est qu'un VPN c'est bien, ça serait chouette d'en avoir partout, mais pour en avoir un "fiable" et pas bavard il faut le payer, et qu'en pratique son intérêt reste restreint face aux problématiques que vous rencontrez et que ça n'ira probablement pas en s'arrangeant.
Bref ça n'est pas prioritaire !

Et les DNS c'est important ?

⚠ Quelques connaissances supplémentaires
Les principe du DNS (pour Domain Name Server), c'est que quand vous tapez www.jaimeleschaussures.com il faut qu'une autorité soit capable de vous dire "ok pour ce nom là il faut aller sur tel serveur physique pour afficher sont contenu".
Il y a des "chefs", qui connaissent "la vérité", mais en général on ne leur demande pas directement la réponse car si tout le monde faisait ça ils seraient assiégés de requêtes et/ou ça serait super lent.
A la place on délègue cette réponse à d'autres entités qui font ça généralement très bien et qui se tiennent régulièrement à jour auprès des "chefs"... sauf qu'au passage, de plus en plus se font un plaisir d'enregistrer que vous aimez les chaussures. En croisant ça avec les autres sites que vous consultez, à quelle fréquence, ... il y a moyen de faire un profil assez précis de qui vous êtes. Et ça, ça se vend très bien !

Comme d'habitude il y a des solutions pour limiter ça : ne pas utiliser les serveurs DNS qui vous sont généralement plus ou moins imposés et à la place en choisir des qui s'engagent sur le respect de la vie privée.
Actuellement 2 sortent un peu du lot : NextDNS et Quad 9.
Sur Android le paramétrage est très simple : Paramètres → Réseau et Internet → Paramètres avancés → DNS privé : et là on saisit l'adresse proposée, genre https://toto123.dns.nextdns.io (toto123 vous étant donnée dans votre compte NextDNS) / ou https://dns.quad9.net/dns-query pour Quad9. Sur iOS / Windows / Mac, c'est un peu plus compliqué mais expliqué sur les sites en question (très bien détaillé et en français pour NextDNS, une fois le compte créé).
Chez certains fournisseurs d'accès (mais pas Orange par exemple) on peut également spécifier le DNS au niveau des paramètres de sa box internet (pour que ça s'applique à tous les ordinateurs/périphériques connectés lorsqu'on est chez soi), ce qui est pratique pour les appareils plus difficiles à configurer que les smartphones/ordinateurs (genre domotique), mais c'est moins efficace (vos requêtes DNS passent totalement en clair donc même si elles ne lui arrivent plus directement, votre FAI peut potentiellement continuer à les voir passer et les analyser). Disons que si vous pouvez le faire ne vous en privez pas, mais faites le également manuellement sur vos smartphones/ordis, c'est nettement plus sécurisé (les échanges entre votre périphérique et le serveur DNS sont chiffrés).

Cette manipulation un peu contraignante augmente grandement le respect de la vie privée, mais il manque encore (en ce début 204) un maillon important dans la chaine. La manière dont les échanges se font entre votre ordinateur ou smartphone et le site internet que vous consultez laisse 2 traces à tous les intermédiaires :
- l'adresse IP du serveur sur lequel vous vous connectez. Certains serveurs sont mutualisés, c'est-à-dire que si vous allez sur un site de l'adresse 1.2.3.4 peut-être que vous consultez jaimeleschaussures.com mais peut-être aussi lafinlandecestbeau.fr Ca c'est pratique parce qu'il est impossible de vous profiler sur cette base. Mais en pratique c'est souvent l'inverse qui se produit : C'est plutôt toute une plage d'adresses IP qui est utilisée par un seul site. Tous les gros sites ont plusieurs serveurs rien que pour eux. Donc 1.2.3.5 et 1.2.3.6 et 1.2.3.7 c'est peut-être des ip systématiquement utilisées par grossitedevpc.fr donc même si votre fournisseur d'accès internet ne voit plus passer votre demande de résolution "grossitedevpc.fr -> 1.2.3.6", il peut facilement savoir que 1.2.3.6 c'est grossitedevpc.fr car il n'y a que ce site qui utilise cette adresse là. :( Ca on n'y pourra probablement jamais rien, c'est inhérent à la manière dont est concu internet. Disons qu'au moins on ne facilite pas la tâche et que le système n'est que partiellement fonctionnel (pas de profiling possible pour les serveurs mutualisés).
- le second point (qui lui devrait changer d'ici quelques mois/années), c'est le fait que lorsque votre navigateur appelle l'ip du serveur dont il veut la page web, il transmet encore en clair au passage (dans la même requête) le nom du site qu'il veut. Donc votre fournisseur d'accès internet peut techniquement encore savoir que vous allez voir 1.2.3.4 mais s'il filtre le contenu de cette demande, il peut voir que vous souhaitez accéder à jaimeleschaussures.com. Un protocole est en cours de développement pour empêcher ça (chiffrer ce nom) mais ça n'est pas encore vraiment en place :(
Donc vous l'autre compris : une fois de plus, il ne faut pas hésiter à mettre en place des solutions pour "limiter" l'empreinte qu'on laisse sur internet, mais cela demande un peu de bidouille, et l'efficacité est très loin d'être parfaite. Le plus gros avantage d'une solution comme NextDNS est de vous permettre en quelques clics la mise en place d'une solution de filtrage massif des publicités et autres trackings publicitaires, que vous soyez chez vous en wifi ou en 4G sur votre smartphone.

Si c'est Open Source c'est forcément bien ?

⚠ Quelques connaissances supplémentaires
Réponse courte : non, pas forcément, mais c'est une approche initiale très positive malgré tout.
De manière plus détaillée : Open Source c'est donc que l'auteur (que ce soit une personne physique, un groupe ou une entreprise) met le code qui a servi à la conception du logiciel ou de l'application en accès libre.
N'importe qui, avec quelque connaissances en programmation, peut aller comprendre (plus ou moins selon son niveau) ce que fait (et ne fait pas) l'application.
D'une manière générale, lorsqu'il s'agit d'applications largement utilisées, on a une grosse probabilité que des programmeurs chevronnés aient été dépiauter tout ça pour s'assurer que l'application fait bien ce qu'on lui demande, qu'elle le fait du mieux possible et qu'elle ne fait QUE ça.
Grosse probabilité mais aucune certitude.
Il faut aussi comprendre qu'un développeur seul dans son coin, qui fait une petite application sur son temps libre, n'a pas forcément les connaissances et les ressources de faire aussi sécurisé q'une équipe spécialisée, à plein temps, dans une grosse entreprise.
C'est bien là toute la différence entre sécurité et respect de la vie privée : Google est une entreprise très sécurisée. A ma connaissance (à part l'accès open-bar il y a quelques années par la NSA révélé en 2013 par Edward Snowden) il n'y a jamais eu de fuite de données via Google.
Par contre l'entreprise se fait une spécialité d'analyser tous vos faits et gestes pour améliorer sa réussite commerciale au détriment du respect de votre vie privée.

Bref choisir des logiciels libres et Open Source (FOSS en anglais) c'est faire le choix de confier ses données à des entités : J'ai par exemple évoqué Bromite plus haut, un navigateur internet pour Android assez sympa... mais qui manque de ressources (personnes, argent) pour être en permanence à la pointe pour prendre en compte les corrections de failles de sécurité. Ils en sont conscients, le mettent même en avant dès qu'ils ont un train de retard (bandeau d'alerte). A vous de voir s'il vaut mieux utiliser le produit d'un groupe de développeurs passionnés qui parfois sont un peu à la bourre et le disent ou un produit commercial parfois encore moins à jour (navigateur intégré du fabricant du smartphone), qui ne dit rien à personne ou encore un produit commercial (Chrome) qui sera à la pointe en terme de sécurité mais une passoire en terme de respect de la vie privée...

En guise de conclusion

On me dit souvent "il ne faut pas être parano non plus"... malheureusement la réalité montre année après année que :
Bref, faire "un peu" est mieux que rien du tout ! Toute trace qui ne reste pas ne pourra pas être exploitée contre vous par la suite :
Enfin je voudrais terminer sur une note positive, parce que j'imagine qu'à l'issue de cette lecture vous vous dites quelque chose comme "c'est une montagne à mettre en place, c'est que des trucs négatifs, des attaques, des voleurs de données...". Prenez un peu de recul et voyez plutôt les choses à l'envers : en prenant un tout petit peu de temps pour mettre en place les quelques points les plus importants (mots de passe, authentification à 2 facteurs, sauvegardes), vous allez ensuite pouvoir avoir l'esprit beaucoup plus libre et aborder votre relation au numérique de manière beaucoup plus apaisée, vous ne risquerez plus de tout perdre à tout moment, et ça, ça fait toute la différence !

Il faut commencer par quelque chose, allez donc maintenant télécharger un gestionnaire de mots de passe et modifier les quelques mots de passe les plus importants : boîte mail, sites de vente en ligne où vous avez votre CB d'enregistrée, ...



Pour aller plus loin "en français", je vous recommande la lecture de "Flicage Brouillon", le brouillon du livre "surveillance://" de Tristan Nitot, en accès libre, et qui - même s'il commence à accuser son âge (2016) - est une excellente introduction au sujet et à sa problématique (typiquement tout ce qui concerne le "c'est quoi le problème ? Je n'ai rien à cacher", l'exploitation des données par les GAFAM...).

En anglais The new oil est une référence. Pourquoi "Nouveau Pétrole" ? C'est la masse de pognon générée par la revente dans tous les sens de l'ensemble des données personnelles que vous offrez aux entreprises en créant des comptes, utilisant leurs applis, ...
Peut-être que cette page évoluera en une traduction française de The New Oil, je ne sais pas trop, on verra...
Je mettrai à jour cette page dans le temps... bookmarquez la si vous voulez.

A propos de l'auteur

Pour l'instant je préfère rester (relativement) anonyme. Sachez juste qu'il s'agit de quelqu'un d'assez concerné par les problématiques de sécurité informatique dans le cadre de son travail, qui se forme en permanence sur le sujet et qui fait face à un certain nombre de menaces potentielles sur des sites web, applications en ligne... et qui doit donc se tenir informé afin de maintenir aussi protégées que possible les données de son entreprise.
A titre personnel, c'est aussi "monsieur informatique" à qui on fait appel dès qu'on a un problème avec son smartphone, son ordinateur... Depuis quelques années les demandes que je reçois migrent de plus en plus de "comment installer ce fichu scanner ?" vers "je me suis fait hacker mon compte, à l'aide, je fais quoi ?"
J'ai donc voulu écrire ce guide pour ces personnes, peu au fait des problématiques de sécurité et de confidentialité, afin de pouvoir leur fournir une réponse posée, claire, un guide à suivre...
Pour l'instant c'est un peu brouillon, mais j'affinerai au fil du temps. Comme je l'ai dit plus haut pour vous, même si c'est imparfait, c'est mieux que de ne rien faire :)

Vous ne me connaissez pas, je pourrai très bien vous avoir raconté n'importe quoi depuis le début, ayez donc toujours l'esprit critique et je vous invite à recroiser ce que j'ai pu écrire avec d'autres sources. Elles sont malheureusement rares en Français, mais par exemple la traduction automatique de The New Oil peut être un bon moyen de voir si ce qui est écrit là-bas recoupe ce que je vous ai raconté. Vous avez également les recommandations de l'ANSSI à destination des TPE/PME (la majorité des conseils s'appliquent également aux particuliers).

Enfin je ne pourrai en aucun cas être tenu pour responsable des éventuelles pertes d'accès ou de données consécutives à la mise en place de mauvaises pratiques de votre côté suite à la lecture de ce guide. Si vous stockez des données critiques dans keepass et oubliez le mot de passe maitre, tant pis pour vous.

Nota : certains liens liens vers des sites tiers peuvent contenir un paramètre d'affiliation. Si vous cliquez sur un lien et commandez un des produits recommandés, vous le payez le prix normal et moi je reçois une petite commission, ce qui aide à maintenir ce site. En aucun cas je ne recommande spécialement l'achat via Amazon, c'est juste une manière pratique pour vous montrer un produit, son prix réel... achetez-le où vous voulez, aucun souci.

Si vous avez des questions, des suggestions pour ce guide, remonter des fautes de frappe ou d'orthographe...

It’s not that I have something to hide. I have nothing I want you to see

Anon (2018)



©2024 guide-securite.fr / 764