Comment se protéger facilement de la curiosité de Facebook, Google, Amazon et Microsoft etc.

... et d’autres intrusions

Mardi 6 février 2018, par Emmanuel Barthe // Logiciels, Internet, moteurs de recherche

Nous autres parents reprochons souvent à nos ados le temps qu’ils passent sur leurs écrans. Mais avons-nous conscience du temps que nous, nous y passons ? Nous avons tous regardé un jour autour de nous dans le métro en allant au travail : 70-80% des passagers sont sur leur portable.

Pourquoi se protéger de Facebook et des autres

Grâce à cette connexion plusieurs heures par jour, nos fournisseurs de messagerie, cloud, réseaux sociaux et autres jeux en ligne nous espionnent, avec notre consentement — vous savez, le fameux contrat de x pages de long [1] que, bien obligé, vous avez validé lors de la création de votre compte.

JPEG - 64 ko
Facebook conditions d’utilisation et politique de confidentialité

Puisque c’est gratuit, c’est nous le produit : ce sont nos données de navigation, nos contacts, nos préférences, nos achats, nos opinions, nos intentions, nos émotions que les membres du GAFAM (Google, Amazon, Facebook, Microsoft mais aussi Twitter, LinkedIn et d’autres) analysent (pour développer de l’IA et étendre leur marché) et vendent.

N’oubliez pas que Google a votre autorisation pour scanner en permanence tous vos mails, tous vos fichiers stockés sur Drive, toutes les pages web où vous êtes passé [2]. De nombreuses coïncidences m’ont fait comprendre que LinkedIn accède au carnet d’adresse [3]. C’est exact : LinkedIn fait absolument *tout* pour récupérer votre carnet d’adresses [4], y compris vos nouveaux contacts. La plupart des commentateurs avisés sur Internet estiment que les réseaux sociaux et applications utilisent deux moyens principaux pour trouver vos contacts [5] :

  • si vous avez un smartphone Android, votre carnet d’adresse est quasi-certainement chez Google et quantité d’applications Android, dont LinkedIn, exigent d’y accéder pour fonctionner. Et Android ne vous donne même pas la possibilité de contrôler les autorisations données aux applis (c’est tout ou rien), contrairement à iOS (le système d’exploitation des iPhones)
  • si vous n’avez jamais installé cette app ni une autre du même groupe (pour mémoire, Facebook a racheté WhatsApp ...), le réseau social/l’appli possède votre adresse email et numéro de téléphone tout simplement grâce à vos amis et contacts, qui eux ont autorisé l’appli à télécharger leurs contacts ...

De tous les réseaux sociaux, de toutes les sociétés Internet, Facebook est le plus indiscret, le plus intrusif. Dans le cadre de sa fonctionnalité suggérant des "amis FB" appelée "People You May Know" (PYMK), il scanne toutes les listes de contacts de toutes les personnes qui utilisent ses services ou ceux de ses filiales (notamment WhatsApp). FB sait aussi repérer avec qui vous passez du temps sans même utiliser le GPS de votre smartphone. Facebook génère plus de 1300 catégories dans lesquelles sont projetés ses utilisateurs en fonction des attributs de personnalité déduits de leur activité sur le réseau social et sur les données collectées à partir des sites internet qui lui sont affiliés [6]

Quant à Twitter, il vend l’entièreté de sa base de données, y compris les lieux et heures de vos tweets et vos plus vieux tweets — auxquels vous ne pouvez plus accéder et que vous ne pouvez donc plus effacer si besoin est.

Ce n’est pas vraiment ici le sujet, mais vous noterez au passage que les principaux réseaux sociaux, et plus encore leurs applications pour smartphone, sont conçus pour créer et maintenir une addiction à travers une culture du plaisir immédiat et, plus grave encore, qu’elles tendent à priver leurs utilisateurs du bonheur (par opposition au plaisir, qui n’est pas sur la durée) des relations IRL (in real life), dont l’effet positif a été prouvé bien plus grand.

PNG - 9.8 ko
A Twitter database

Parmi le GAFAM et Twitter, j’exclus Apple de la liste des sociétés qui fouillent trop dans vos données. Il fait son chiffre d’affaires dans le logiciel et les matériels, quasiment pas dans la data. Mais les data peuvent un jour devenir son business model. C’est un basculement que Microsoft, encore peu dans le data business, est en train de faire.

Enfin, n’oubliez pas que si un virus ou un hacker mal intentionné rentre dans votre ordinateur, le pillage de vos données personnelles risque d’être beaucoup plus important encore. D’où antivirus et firewall.

Faut-il vraiment protéger ses données ?

Vous allez me dire : « Mais je n’ai rien à cacher ! »

Voici ce qu’en dit Glen Greenwald, le reporter qui a le plus travaillé sur les révélations d’Edward Snowden [7] :

« Au cours des 16 derniers mois, alors que je discutais de ce problème dans le monde entier, chaque fois que quelqu’un me disait : "Je ne m’inquiète pas vraiment des atteintes à la vie privée parce que je n’ai rien à cacher". Je leur dis toujours la même chose : "Voici mon adresse e-mail : lorsque vous arrivez à la maison, envoyez-moi les mots de passe de tous vos comptes e-mail. Tous. Je veux vraiment me promener à travers ce que vous faites en ligne, lire ce que je veux lire et publier ce que je trouve intéressant, Après tout, si vous n’êtes pas une mauvaise personne, si vous ne faites rien de mal, vous n’avez rien à cacher." Eh bien, pas une seule personne n’a relevé mon défi. »

Vous allez aussi me dire : « Et si je vendais mes données ? Ca me rapporterait, non ? » [8]

Eh bien ... non, comme le montrent deux chercheurs de l’Institut national de recherche en informatique (INRIA), Serge Abiteboul et Gilles Dowek :

  • « première idée fausse : cela poserait un problème aux géants du Web. Une fois notre propriété établie, une clause des contrats qu’ils nous feront signer nous la fera céder pour bénéficier de services »
  • deuxième idée fausse : la valeur de nos données. « Dans les systèmes de "crowd sourcing" comme Amazon Mechanical Turk, des foules d’internautes produisent déjà sur le Web mais pour de très faibles sommes [9]. » Il y a déjà eu des expériences de vente de leurs données par des particuliers. Elles indiquent qu’il n’est guère possible de faire plus 300 USD par an. Et que les données actuelles de beaucoup de particuliers de base ne valent guère plus d’1 USD
  • « enfin, plus profondément, il n’existe que peu de données numériques individuelles. La plupart de ces données sont "sociales". Vous postez une photo sur Facebook : est-elle à vous, aux personnes que vous avez photographiées, aux personnes qui vont la tagger, ou à celles qui vont la commenter, la diffuser ? Parmi vos données les plus utilisées dans la publicité figurent vos courriels. À qui appartient un courriel ? À la personne qui l’écrit, à celles qui le reçoivent, aux personnes en copie ? Si le courriel parle de vous, en êtes-vous un peu propriétaire ? »

C’est donc pour moi un souci constant que d’éviter de laisser trop de traces au GAFAM. Autrement dit, j’essaie d’assurer un minimum de sécurité et de protection à mes données et ma vie privée.

Comment je fais ? Lisez la suite.

Quelques recommandations et précautions pour diminuer les risques pour votre vie privée

Voici les précautions que je prends et que je recommande — si vous ne les connaissez pas déjà. Attention : ce n’est pas une protection parfaite. C’est un compromis et du "faute de mieux".

1. Videz tous les jours les données personnelles de votre navigateur web, que ce soit sur sur ordinateur ou sur smartphone. Sur Firefox ça s’automatise dans les Options (ordinateur, Android). Sur Google Chrome, comme par hasard, il faut le faire à la main ...
NB : inutile de supprimer les mots de passe et les données de saise automatique.

Google Chrome > Paramètres > Confidentialité

JPEG - 43.1 ko
Google Chrome > Paramètres > Confidentialité > Effacer les données de navigation

2. Dans les paramètresde votre navigateur, activez la fonctionnalilté "Interdire le suivi" (Do not track / Ne pas pister) (Chrome, Firefox).

Vous avez parcouru un site marchand et après, de la publicité pour les produits que vous avez consultés est affichée sur les sites que vous visitez ? La fonctionnalité Do Not Track (DNT) est censée bloquer ce comportement.

3. Si vous avez un compte Google, supprimez le suivi de votre activité. Connectez-vous-y, cherchez Google Dashboard puis videz un par un les historiques de chaque application et interdisez leur pour le futur de continuer à mémoriser votre activité.

4. Utilisez la messagerie Telegram ou le courrier papier en cas de besoin de confidentialité absolue. Ce sont les recommandations de journalistes d’investigation. Aux dernières nouvelles, le chiffrement des messages sur Telegram n’a toujours pas été cassé.

Logo de l'application de messagerie Telegram

5. N’utilisez plus Facebook et désactivez ou supprimez votre compte. Si les liens précédents ne marchent pas, cherchez sur le web comment faire, car FB ne le met pas du tout en avant.
Si vous avez juste besoin d’une messagerie et que vous ne correspondez jamais avec plus de 10 personnes, utilisez le mail. Si vous voulez vraiment une messagerie instantanée ou que vous correspondez avec de plus grands groupes, utilisez plutôt Messenger ou WhatsApp. Même si ce sont des filiales de Facebook, leur "empreinte sur la vie privée" est moindre. Mais pas nulle : par exemple, si vous installez WhatsApp, Facebook a accès à votre liste de contacts ...

6. Tous les mois, tapez vos nom et prénom dans Google et ceux des membres de votre famille. En cas de publication de données personnelles ou d’informations privées, contactez l’adresse de contact et en cas de refus d’effacer, invoquez la loi CNIL et le règlement européen sur la protection des données personnelles (RGPD). Double refus ? Signalez-le à la CNIL.

7. Sur votre ordinateur :

  • utilisez un pare-feu en permanence ("firewall"). Surtout si vous surfez sans routeur, c’est-à-dire sans "box". Par exemple avec un ordinateur portable doté d’une clé 4G [10]. Sous Windows, depuis la version 7, il est activé par défaut. D’autres pare-feux gratuits sont disponibles, mais celui de Microsoft fait correctement son travail. Il est en revanche très difficile à paramétrer. Donc, pour des besoins précis ou évolutifs, préférez-lui un concurrent : ZoneAlarm, Comodo, TinyWall, Avast ... NB : un pare-feu ne peut être installé sur un smartphone que si on a "rooté" (Android) ou "jailbreaké" (iOS) celui-ci, mais son intérêt est moindre que sur un ordinateur
  • ayez un antivirus et tenez le à jour. Avast est un des meilleurs et il est gratuit pour les particuliers. Sinon, F-Secure, BitDefender, Kaspersky, McAfee, Trend Micro ou Norton de Symantec font bien le job. NB : pour l’instant, les antivirus sont inutiles sur les smartphones.

8. Ayez partout un mot de passe différent et complexe (avec des chiffres, des caractères non alphabétiques etc., voir ces recommandations très complètes). Vous pouvez le faire générer par un générateur de mot de passe solides. Si retenir et saisir tous ces mots de passe vous fatigue, utilisez un gestionnaire de mots de passe.
Parmi les gestionnaires de mots de passe recommandés : LastPass, Dashlane et KeePass. Ce dernier est de surcroît open source et recommandé par l’Etat français. Autrement dit, il dispose de la certification de l’autorité nationale de sécurité informatique (ANSSI). Mais il ne dispose pas de version mobile. Pour les deux premiers, la version smartphone est payante. Si vous êtes sous Mac, utilisez 1Password.

D’autres recommandations de protection de vos données et de vos appareils sont disponibles sur un site sérieux et réputé : Privacy Tools.

Vous avez d’autres pratiques de protection de votre vie privée à recommander ? Les commentaires sont ouverts.

Emmanuel Barthe

Notes de bas de page

[1De son vrai nom "conditions d’utilisation et règles de confidentialité". En anglais "terms of service (TOS) and privacy policy".

[2Il n’a normalement pas le droit de les révéler, sauf plainte ou réquisition d’un Etat.

[3J’ai plusieurs fois eu des suggestions de LinkedIn de me mettre en relation avec des personnes dont la seule connexion avec moi était un message GMail échangé récemment.

[5Pour ne pas parler de ceux qui utilisent des moyens totalement cachés et illégaux.

[6What Facebook knows about you, vidéo par J. Angwin, T. Parris Jr. et S.Mattu, ProPublica, 28 septembre 2016. Cité in La protection des données personnelles face aux algorithmes prédictifs, par Jean-Marc Deltorn, Revue de droit des libertés fondamentales (RDLF) 2017, chronique n°12.

[7Traduction par nos soins.

[8C’est la thèse défendue dans Le Monde daté du 6 février 2018 par plusieurs signataires, dont le député LRM Bruno Bonnell (investisseur et dirigeant dans la robotique), le (très) libéral dirigeant de think tank Génération Libre Gaspard Koenig et l’informaticien Jaron Lanier (« Nos données personnelles nous appartiennent : monétisons-les ! »). Voir aussi Faire payer les données : le pavé dans la mare de Gaspard Kœnig, Le Point.fr 24 janvier 2018.

[9Selon le Monde.fr : Transcrire une vidéo de 35 secondes, 5 cents. Ecrire la description commerciale d’un produit, 12 cents. Noter des photos d’hommes pour un site de rencontres, 3 cents. Répondre à une étude scientifique, 10 cents. Une étude publiée par l’ACM (Association for Computing Machinery, une des sociétés savantes d’informatique les plus réputées) explique que les "turkers" sont payés en moyenne moins de 50% du salaire minimum américain. The Labor Economics of Paid Crowdsourcing, par John Horton, Lydia Chilton, Proceedings of the 11th ACM conference on Electronic commerce, 2010 : 209. arXiv:1001.0627.

[10Le routeur installé dans votre box Internet fait déjà office de filtre, avant même le parefeu de votre ordinateur.

Répondre à cet article