Comment se protéger facilement de la curiosité de Facebook, Google, Amazon, LinkedIn etc.

... et d’autres intrusions

Jeudi 21 février 2019, par Emmanuel Barthe // Logiciels, Internet, moteurs de recherche

[NB : cet article a été rédigé et mis en ligne dans sa version initiale le 1er février 2018, soit avant que le scandale Facebook/Cambridge Analytica ne soit rendu public. Il est régulièrement mis à jour.]

Nous autres parents reprochons souvent à nos ados le temps qu’ils passent sur leurs écrans. Mais avons-nous conscience du temps que nous, nous y passons ? Nous avons tous regardé un jour autour de nous dans le métro en allant au travail : 70 à 80% des passagers visibles sont sur leur portable.

Vous êtes pressé ou déjà convaincu et le pourquoi ne vous intéresse pas ? Filez directement aux recommandations pratiques à la fin de ce billet.

Pourquoi se protéger de Facebook et des très, très nombreux autres sites qui collectent des données sur nous

Grâce à cette connexion plusieurs heures par jour, nos fournisseurs de messagerie, cloud, réseaux sociaux et autres jeux en ligne nous espionnent, avec notre consentement — vous savez, le fameux contrat de x pages de long [1] que, bien obligé, vous avez validé lors de la création de votre compte. Et soyons clair : même si ces "policies" et "terms of service" disent expressément protéger vos données personnelles, la façon dont c’est rédigé et la réalité peuvent rendre ces déclarations très relatives [2].

Facebook conditions d’utilisation et politique de confidentialité

Puisque c’est gratuit, c’est nous le produit : ce sont nos données de navigation, nos contacts, nos préférences, nos achats, nos opinions, nos intentions, nos émotions que les membres du GAFAM (Google, Amazon, Facebook, Microsoft mais aussi Twitter, LinkedIn et d’autres) et BATX (Baidu, Alibaba, Tencent, Xiaomi) analysent (pour développer de l’IA et étendre leur marché) et vendent.

Selon une plainte en matière de "privacy", l’industrie de la publicité en ligne saurait depuis longtemps que le profilage et le partage massif de données ne sont pas conformes à la loi européenne [3], c’est-à-dire au règlement général sur la protection des données personnelles (RGPD), qui exige qu’un consentement informé et explicite précède toute captation et/ou exploitation de vos données personnelles [4].

N’oubliez pas que Google a votre autorisation pour scanner en permanence tous vos fichiers stockés sur Drive, toutes les pages web où vous êtes passé [5] (mais il ne scanne plus vos mails et vous pouvez interdire aux tiers d’en faire autant). Même sans que votre GPS soit activé, Google vous géolocalise en permanence, sauf si vous savez très bien paramétrer votre compte Google (voir infra) — et encore ...

De nombreuses coïncidences m’ont fait comprendre que LinkedIn accède — indirectement, par le biais de mes contacts qui ont laissé LinkedIn copier leur carnet d’adresses — au carnet d’adresses de mon smartphone Android [6]. LinkedIn fait absolument *tout* pour récupérer votre carnet d’adresses [7], y compris vos nouveaux contacts.

La plupart des commentateurs avisés sur Internet estiment que les réseaux sociaux et applications utilisent deux moyens principaux pour trouver vos contacts [8] :

  • si vous avez un smartphone Android, votre carnet d’adresses est quasi-certainement chez Google et quantité d’applications Android, dont LinkedIn, exigent d’y accéder pour fonctionner. Et jusqu’à il y a peu Android ne vous donnait même pas la possibilité de contrôler les autorisations données aux applis (c’était tout ou rien), contrairement à iOS (le système d’exploitation des iPhones)
  • si vous n’avez jamais installé cette app ni une autre du même groupe (pour mémoire, Facebook a racheté WhatsApp...), le réseau social/l’appli possède votre adresse email et numéro de téléphone tout simplement grâce à vos amis et contacts, qui eux ont autorisé l’appli à télécharger leurs contacts ...

De tous les réseaux sociaux, de toutes les sociétés Internet, Facebook est le plus indiscret, le plus intrusif [9]. Dans le cadre de sa fonctionnalité suggérant des "amis FB" appelée "People You May Know" (PYMK), il scanne toutes les listes de contacts de toutes les personnes qui utilisent ses services ou ceux de ses filiales (notamment WhatsApp [10]). FB sait aussi repérer avec qui vous passez du temps sans même utiliser le GPS de votre smartphone. Facebook génère plus de 1300 catégories dans lesquelles sont projetés ses utilisateurs en fonction des attributs de personnalité déduits de leur activité sur le réseau social et sur les données collectées à partir des sites internet qui lui sont affiliés [11].

Pendant longtemps, comme le scandale Cambridge Analytica l’a montré, Facebook n’exerçait aucun contrôle réel sur ce que les appli FB extrayaient comme données sur ses utilisateurs [12]. Lors de seconde audition de Mark Zuckerberg devant le Congrès, une parlementaire démocrate de la Silicon Valley, lui a demandé s’il était prêt à modifier son modèle d’affaires ("business model") de manière à protéger la vie privée ("individual privacy"). La réponse du dirigeant fondateur propriétaire de Facebook est édifiante : « Mme la député, je ne suis pas certain de comprendre ce que cela veut dire » [13]. Une façon de botter en touche qui laisse clairement entendre que FB n’entend pas toucher à son business model, fondé sur l’exploitation des données de ses utilisateurs.

Voici les derniers développements importants de l’affaire Facebook Cambridge Analytica :

  • la société Palantir a travaillé sur les données Facebook qui ont été acquises par Cambridge Analytica, selon le lanceur d’alerte Christopher Wylie. Palantir a été cofondé par le milliardaire Peter Thiel, qui est également membre du conseil d’administration de Facebook. Palantir agrège des données encore bien plus précises, diverses et puissantes (comme les comptes bancaires, le casier pénal, les trajets en voiture ...) que Facebook. Ses logiciels phares, sont nommés Gotham et Metropolis. Divers organismes fédéraux des secteurs de la défense et des services secrets sont des clients de Palantir, ainsi que des polices locales, comme celles de Los Angeles, qui l’utilise notamment pour de la police prédictive. À l’été 2016, un contrat de 10 millions d’euros a été conclu avec la DGSI. Des formateurs ont été recrutés et déployés au siège de la DGSI, à Levallois [14]
  • le Twitter thread de Wolfie Christl dévoile énormément de choses sur ce que Facebook vend comme tracking aux entreprises de publilcité et de profilage et ce qu’elle va modifier, sans pour autant véritablement cesser ses pratiques [15].

Les mouchards de Google (Google Analytics et ses cookies), expliquent les Décodeurs du Monde, « sont présents sur quasi deux tiers des pages visitées par les participants à une étude menée à grande échelle par Clikz, loin devant Facebook, qui est pourtant proche de suivre ses membres sur presque un tiers des pages qu’ils visitent sur Internet » [16].

Quant à Amazon, pour être plus discret que ses rivaux du GAFAM/BATX sur le plan médiatique, il n’en amasse pas moins, tout comme eux, des tonnes de données personnelles traitées à l’intelligence artificielle (IA) puisque sa plateforme de commerce électronique comptait au 1er trimestre 2016 310 millions de clients [17] et plus de 100 millions d’abonnés à son service d’abonnement Prime en avril 2018 [18]. De plus, c’est peu connu, la société de Jeff Bezos travaille bel et bien dans la publicité en ligne [19].


Extrait de l’infographie des Echos Dans la jungle d’Amazon.

Les enceintes connectées Echo d’Amazon, Google Home, Home Pod d’Apple, Invoke et Djingo — l’assistant franco-allemand d’Orange et Deutsche Telekom — [20] posent de nombreuses questions de sécurité et de respect de la vie privée. Comme l’écrit le journal La Tribune, « le véritable enjeu n’est pas de faire du business avec [ces] enceintes mais bien de s’introduire dans tous les foyers pour s’assurer la plus grosse part du gâteau de la maison connectée, un marché au potentiel énorme qui pourrait peser 138 milliards de dollars en 2023 d’après le cabinet d’étude de marché MarketsandMarkets. Tout en recueillant des masses de données comportementales livrées volontairement par les adeptes du vocal. [...] Votre [voix] peut renseigner sur votre âge, votre état de santé et vos émotions. [...] De plus, les enceintes sont vulnérables aux cyberattaques » [21]. Selon la Commission nationale de l’informatique et des libertés (CNIL), « les requêtes vocales restent enregistrées dans le cloud, de la même manière qu’elles le seraient si l’utilisateur les tapait au clavier dans certains moteurs de recherche », et que ces appareils sont en veille permanente (et donc susceptibles de vous enregistrer).

Quant à Twitter, il vend l’entièreté de sa base de données, y compris les lieux et heures de vos tweets et vos plus vieux tweets — auxquels vous ne pouvez plus accéder et que vous ne pouvez donc plus effacer si besoin est.

Ce n’est pas tout à fait le sujet ici (quoique ...), mais vous noterez au passage que les principaux réseaux sociaux, et plus encore leurs applications pour smartphone, sont conçus pour créer et maintenir une addiction à travers une culture du plaisir immédiat et, plus grave encore, qu’elles tendent à priver leurs utilisateurs du bonheur (par opposition au plaisir, qui n’est pas sur la durée) des relations IRL (in real life), dont l’effet positif a été prouvé bien plus grand.

A Twitter database

Parmi le GAFAM et Twitter, en matière de données personnelles, il faut noter le positionnement particulier d’Apple [22]. Il fait une bonne part de son chiffre d’affaires dans le logiciel et les matériels, moins dans la data que les autres, mais surtout Apple ne vend pas de données sur ses utilisateurs et clients. La meilleure illustration de ce "respect" de la vie privée des clients d’Apple (oui, on parle là, très largement, d’utilisateurs *payants*) est l’étude scientifique Google Data Collection réalisée par Douglas C. Schmidt, professeur d’informatique à l’Université Vanderbilt [23] qu’on peut résumer ainsi : Google collecte vos données même quand vous n’utilisez pas votre smartphone [24].

Mais la vente de data pourrait un jour devenir le business model d’Apple. On note ainsi que de nombreuses applications populaires pour iPhone (Expedia, Abercrombie & Fitch, Hotels.com, Air Canada, Singapore Airlines ...) enregistrent sans vous le dire toutes vos actions sur l’appli (technologie Glassbox) [25].

La vente de données est un basculement que Microsoft, encore peu dans le data business, est en train de faire [26].

Mais Facebook, Amazon, Google, Apple et Microsoft ne sont pas les seuls, très loin de là : c’est presque tout l’écosystème actuel d’Internet qui, en échange de sa gratuité, collecte des données sur nous [27]. Le problème du pillage de nos données par le tracking par les "adtech" n’est pas limité au GAFAM :

  • par exemple, l’ensemble de la presse et des publications d’éditeurs vendent nos profils [28]
  • et les pouvoirs publics français ne sont pas en reste : plateforme de conservation et consultation des données de connexion, pose de "fourchettes" sur les câbles sous-marins français, participation d’Orange au travail de la DGSE. Au niveau de la loi, si l’article L. 34-1 du Code des postes et des télécommunications pose un principe d’effacement ou d’anonymisation des données de connexion collectées par les fournisseurs d’accès Internet, c’est pour prévoir une dérogation immédiate. Il impose aux intermédiaires techniques de conserver les données pour une durée d’un an. Et ce, malgré l’arrêt Télé2 du 21 décembre 2016 de la Cour de justice de l’Union européenne qui dit que les États membres ne peuvent prévoir une obligation *indiscriminée* de conservation des données de connexion pour les échanges téléphoniques et électroniques passés sur leur territoire [29].

Comme le résume Hubert Guillaud sur Internet-Actu [30] :

« La plupart des sites web financés par la publicité tracent leurs utilisateurs pour tirer de la valeur et améliorer le ciblage publicitaire. Comme l’avait déjà expliqué Zuckerman en 2014 [31], c’est le modèle publicitaire même de l’internet qui est un modèle d’affaires dangereux et socialement corrosif puisque par nature, il vise à mettre les utilisateurs sous surveillance constante. [...]
Tous les médias où se sont exprimés ceux qui condamnent les médias sociaux ou Cambridge Analytica, [...] le New York Times, le New Yorker, comme les autres, divulguent des données de leurs lecteurs à des tiers. Chaque fois qu’une annonce est chargée sur une page, le site envoie l’adresse IP du visiteur, l’URL qu’il consulte et des informations sur son appareil à des centaines d’entreprises (des courtiers de données [32]) qui enchérissent les uns contre les autres pour montrer de la publicité au visiteur (voir ces explications en vidéo pour en saisir le fonctionnement) »

Pour l’expert américain en cybersécurité Bruce Schneier, qui s’exprimait à une conférence en 2014 déjà, « la surveillance de masse est devenue le modèle économique de l’Internet » [33], d’où l’expression d’« économie de la surveillance ».

Cette surveillance de masse est telle que le très respecté journal américain New York Times a consacré en avril 2019 un long dossier au phénomène où il prend clairement parti pour un recul de cette surveillance et une réglementation (aux USA, il n’y a pas de RGPD) [34].

Enfin, n’oubliez pas que si un virus ou un hacker mal intentionné rentre dans votre ordinateur, le pillage de vos données personnelles risque d’être beaucoup plus important encore. D’où antivirus et firewall.

Faut-il vraiment protéger ses données ?

Vous allez me dire : « Mais je n’ai rien à cacher ! »

Voici ce qu’en dit Glen Greenwald, le reporter qui a le plus travaillé sur les révélations d’Edward Snowden [35] :

« Au cours des 16 derniers mois, alors que je discutais de ce problème dans le monde entier, chaque fois que quelqu’un me disait : "Je ne m’inquiète pas vraiment des atteintes à la vie privée parce que je n’ai rien à cacher". Je leur dis toujours la même chose : "Voici mon adresse e-mail : lorsque vous arrivez à la maison, envoyez-moi les mots de passe de tous vos comptes e-mail. Tous. Je veux vraiment me promener à travers ce que vous faites en ligne, lire ce que je veux lire et publier ce que je trouve intéressant, Après tout, si vous n’êtes pas une mauvaise personne, si vous ne faites rien de mal, vous n’avez rien à cacher." Eh bien, pas une seule personne n’a relevé mon défi. »

Vous allez aussi me dire : « Et si je vendais mes données ? Ca me rapporterait, non ? » [36]

Eh bien ... non, comme le montrent deux chercheurs de l’Institut national de recherche en informatique (INRIA), Serge Abiteboul et Gilles Dowek :

  • « première idée fausse : cela poserait un problème aux géants du Web. Une fois notre propriété établie, une clause des contrats qu’ils nous feront signer nous la fera céder pour bénéficier de services »
  • deuxième idée fausse : la valeur de nos données. « Dans les systèmes de "crowd sourcing" comme Amazon Mechanical Turk, des foules d’internautes produisent déjà sur le Web mais pour de très faibles sommes [37]. » Il y a déjà eu des expériences de vente de leurs données par des particuliers. Elles indiquent qu’il est quasiment impossible de faire plus de 300 USD par an. Et que les données actuelles de beaucoup de particuliers de base ne valent guère plus d’1 dollar US. Par exemple, le journaliste Gregory Barber de Wired a fait le test en décembre 2018 et le résultat est peu concluant : en vendant certaines de ses données médicales sur Doc.Ai, ses données de géolocalisation sur Datum et ses infos biographiques Facebook sur Wibson, il a obtenu au total, tout compris ... 0,3 cents (0,03 USD) ! [38] C’est l’agrégation de vos données et leur recoupement avec d’autres données qui leur donnent réellement de la valeur et c’est ça que les entreprises sont prêtes à acheter — mais ça, ce n’est pas à la portée des particuliers
  • « plus profondément, il n’existe que peu de données numériques individuelles. La plupart de ces données sont "sociales". Vous postez une photo sur Facebook : est-elle à vous, aux personnes que vous avez photographiées, aux personnes qui vont la tagger, ou à celles qui vont la commenter, la diffuser ? Parmi vos données les plus utilisées dans la publicité figurent vos courriels. À qui appartient un courriel ? À la personne qui l’écrit, à celles qui le reçoivent, aux personnes en copie ? Si le courriel parle de vous, en êtes-vous un peu propriétaire ? » [39]
  • sur le plan politique, on peut ajouter ce qu’en dit un des pionniers du web français, Tristan Nitot, ancien de Netscape et Mozilla : « Je ne crois pas à la patrimonialité des données, au droit de les revendre, tout simplement parce que la marge de manœuvre de l’individu face à ces plateformes est ridicule. On notera que dans le scandale Cambridge Analytica, plusieurs milliers d’utilisateurs ont perçu 1 ou 2 dollars pour avoir installé l’application. C’est absolument ridicule par rapport aux dégâts causés : une élection démocratique sous influence. » [40]. A noter que l’utilisation du "data analytics"/"big data" sur des données nominatives en politique a commencé avec Dan Wagner pour la deuxième campagne d’Obama en 2012 [41]. Wagner n’utilisait pas des données issues de réseaux sociaux, mais d’interviews téléphoniques, comptes bancaires, données d’achats etc. Cela permit aux Démocrates de connaître quasiment personnellement chacun de leurs votants et sympathisants.

Pour vous faire une idée très concrète de ce que Facebook et Google ont sur vous — et donc sur le type d’informations et de données qu’ils vendent (même si ce n’est pas exactement ces données-là qu’ils vendent [42]) —, téléchargez donc l’archive de vos données chez eux. Si, si ! Allez-y, c’est très instructif :

  • Google : Téléchargez vos données : laissez tout coché, sélectionnez tout puis cliquez en bas sur Créer une archive. Un mail vous sera envoyé avec un lien. Cliquez sur ce lien, téléchargez puis dézippez l’(les) archive(s)
  • Facebook : sur un ordinateur (pas une tablette ou un smartphone), connectez-vous à votre compte FB, puis dans Paramètres (petite flèche en haut à droite), cliquez sur "Téléchargez une copie de vos données Facebook". FB vous envoie un e-mail quand le contenu est prêt. Téléchargez. Dézippez. Lisez.

La création d’archives est longue : l’email peut arriver des heures voire 48h après. Surtout, avoir entre 1 et 10 Go — pourtant déjà compressés — à télécharger est assez fréquent : le téléchargement de(s) archive(s) prend donc couramment plusieurs heures. Pendant ce temps, ne fermez surtout pas votre navigateur web, sinon vous interromprez le téléchargement.

Comme le suggère un geek et chercheur à l’ARCEP, Vincent Toubiana, vous pouvez demander à Google la liste des annonceurs qui vous ciblent via Customer Match. Il explique que,concernant la liste des annonceurs, Google indique ne pas gérer de base de données avec toutes les publicités vues par un utilisateur particulier. Cela ne signifie pas que Google n’a pas cette information, mais simplement qu’elle n’est pas facilement restituable [43].

Considérez également ceci : Google s’autorise à analyser le contenu de vos mails GMail, y compris les propos de vos correspondants, « alors que ceux-ci n’ont jamais donné leur consentement et n’ont même jamais été informés de cette surveillance » [44].

C’est donc pour moi un souci constant que d’éviter de laisser trop de traces au GAFAM. Autrement dit, j’essaie d’assurer un minimum de sécurité et de protection à mes données et ma vie privée. Pas un maximum, car je n’ai aucune illusion : à moins de ne jamais aller sur Internet, de ne pas avoir de smartphone et de ne rien acheter en supermarché ni par carte bancaire, il est impossible de ne pas laisser de traces.

Comment je fais ? Lisez la suite.

Recommandations et précautions pour diminuer les risques pour votre vie privée

Voici les précautions que je prends et que je recommande — si vous ne les connaissez pas déjà. Attention : ce n’est pas une protection parfaite. C’est un compromis et du "faute de mieux".

Ne vous affolez pas : parmi ces 11 précautions, 9 se mettent en place une fois pour toutes. Et vous pouvez le faire progressivement, une par une.

1. Videz tous les jours les données personnelles de votre navigateur web, que ce soit sur sur ordinateur ou sur smartphone. Sur Firefox ça s’automatise dans les Options (ordinateur, Android). Sur Google Chrome, comme par hasard, il faut le faire à la main ...
NB : inutile de supprimer les mots de passe et les données de saisie automatique. En revanche, si ce n’est pas votre ordinateur, là, pensez à le faire.

Google Chrome > Paramètres > Confidentialité

Google Chrome > Paramètres > Confidentialité > Effacer les données de navigation

2. Dans les paramètres de votre navigateur, activez la fonctionnalilté "Interdire le suivi" (Do not track / Ne pas pister) (Chrome, Firefox).

Vous avez parcouru un site marchand et après, de la publicité pour les produits que vous avez consultés est affichée sur les sites que vous visitez ? La fonctionnalité Do Not Track (DNT) est censée bloquer ce comportement.

3. Si vous avez un compte Google :

4. Testez des alternatives à Google Drive [45]. Notamment SpiderOak (sécurité et "privacy" radicaux), Digiposte ou le nouveau service Cozy Cloud créé par le pionnier du Web français Tristan Nitot (5 Go gratuits et des fonctionnalités inédites).

5. Utilisez les messageries cryptées Telegram ou Signal [46] ou le courrier papier en cas de besoin de confidentialité absolue. Ce sont les recommandations de journalistes d’investigation et de spécialistes reconnus de la sécurité informatique [47].

Aux dernières nouvelles, le chiffrement des messages sur Telegram n’a toujours pas été cassé mais la pression russe est intense sur le développeur fondateur Pavel Dourov [48].

Logo de l'application de messagerie Telegram

6. N’utilisez plus Facebook et désactivez ou supprimez votre compte [49]. Si les liens précédents ne marchent pas, cherchez sur le web comment faire, car FB ne le met pas du tout en avant.

Si vraiment vous ne pouvez pas vous en passer :

  • apprenez au moins comment paramétrer Facebook pour limiter les dégâts [50]
  • et utilisez le navigateur Firefox avec l’extension Facebook Container [51]. Une fois téléchargée, l’extension empêche la moisson des données de navigation associées à votre compte sur le réseau social. Facebook Container stocke les informations dans un récipient virtuel. Si vous surfez sur d’autres sites, vos informations ne migrent pas avec vous, elles restent bloquées dans le container.

Si vous avez juste besoin d’une messagerie et que vous ne correspondez jamais avec plus de 10 personnes, utilisez le mail. Si vous voulez vraiment une messagerie instantanée ou que vous correspondez avec de plus grands groupes, utilisez plutôt Messenger ou WhatsApp. Même si ce sont des filiales de Facebook, leur "empreinte sur la vie privée" est moindre. Mais pas nulle : par exemple, si vous installez WhatsApp, Facebook a accès à votre liste de contacts ... Personnellement, j’ai supprimé WhatsApp de mon smartphone.

7. Lisez et refusez si nécessaire les autorisations demandées par les app de votre smartphone.

Comme l’explique François Charron, un spécialiste québécois des sites web pour PME et excellent vulgarisateur [52] :

« En installant une application sur votre téléphone, vous lui donnez le droit d’accéder à certaines informations : votre carnet de contact, vos photos, vos textos, votre emplacement, l’appareil photo, le microphone, les informations de connexion, Wi-Fi et Bluetooth, etc. [...]

Pourquoi une lampe de poche aurait besoin d’accéder à votre agenda ? Pourquoi un jeu doit être autorisé à accéder au micro ? [...]

Sur iPhone (iOS 8 ou plus récent), vous pouvez accéder aux applications ayant demandé un accès à un type de données en allant dans Réglages > Confidentialité. Seules les apps ayant demandé un accès apparaissent.
Appuyez sur une app pour voir la liste complète de ses permissions et les modifier.

Sur Android (Android Marshmallow 6.0 ou plus récent) vous pouvez voir les autorisations demandées par une app en allant dans Paramètres > Applications.
Appuyez sur une app, puis sur Autorisations pour voir la liste complète de ses permissions et les modifier.
Vous pouvez aussi savoir quelles apps ont accès à votre caméra, vos contacts, votre position ou une autre données en allant dans Paramètres > Applications. Appuyez sur l’engrenage, puis sur Autorisations de l’application. Sélectionnez ensuite une donnée pour voir la liste des apps qui y ont accès. »

8. Ajoutez un module/extension/addon anti-tracking (ce qui comprend généralement l’anti-pub) à votre navigateur web. Les meilleurs sont : Ublock Origin [53], AdBlock Plus (ABP), Ghostery et Privacy Badger (qui lui n’est orienté que anti-tracking, pas anti-pub). Pour un comparatif et plus de détails, voir How to stop browser tracking : 6 free anti-tracking browser extensions, par Aimee O’Driscoll, Comparitech, 15 juillet 2017.

Problème : sur un smartphone, que ce soit sous Android ou iPhone, il n’existe pas de module de ce type pour Chrome. Il vaut donc mieux utiliser Firefox ou Safari avec une des extensions supra.

Si vous ne voulez ou pouvez pas utiliser un "ad blocker" — par exemple, parce que certains sites vont refuser l’accès à ceux qui ne veulent pas voir de publicité —, paramétrez au moins le site pour qu’il vous "flique" le moins possible. Depuis que le Règlement général de protection des données (RGPD) est applicable, les sites web sont tenus (sauf s’ils ne collectent rien sur vous) de vous demander votre consentement.


Exemples de trackers bloqués par Ublock Origin sur une page du site Le Point.fr

9. Tous les mois, tapez vos nom et prénom dans Google, ainsi que ceux des membres de votre famille. En cas de publication de données personnelles ou d’informations privées, contactez l’adresse de contact et en cas de refus d’effacer, invoquez la loi CNIL et le règlement européen sur la protection des données personnelles (RGPD). Double refus ? Signalez-le à la CNIL.

10. Sur votre ordinateur :

  • utilisez un pare-feu en permanence ("firewall"). Un firewall ferme automatiquement les "portes" électroniques et logicielles ("ports") inutilement ouvertes de vos appareils. Il est particulièrement utile si vous surfez sans routeur, c’est-à-dire sans "box" [54]. Par exemple, si vous utilisez un ordinateur portable doté d’une clé 4G, vous avez clairement besoin d’un parefeu. Sous Windows, depuis la version 7, il est activé par défaut. D’autres pare-feux gratuits sont disponibles, mais celui de Microsoft fait correctement son travail. Il est en revanche très difficile à paramétrer. Donc, pour des besoins précis ou évolutifs, préférez-lui un concurrent : ZoneAlarm, Comodo, TinyWall (qui améliore le parefeu de Windows, particulièrement sur le plan du paramétrage), Avast ... NB : un pare-feu ne peut être installé sur un smartphone que si on a "rooté" (Android) ou "jailbreaké" (iOS) celui-ci, mais son intérêt est moindre que sur un ordinateur
  • ayez un antivirus et tenez le à jour. Avast est un des meilleurs et il est gratuit pour les particuliers. Sinon, F-Secure, BitDefender, Kaspersky, McAfee, Trend Micro ou Norton de Symantec font bien le job. NB : pour l’instant, les antivirus sont inutiles sur les smartphones.

11. Ayez partout un mot de passe différent et complexe (avec des chiffres, des caractères non alphabétiques etc., voir ces recommandations très complètes). Vous pouvez le faire générer par un générateur de mot de passe solides.

Si retenir et saisir tous ces mots de passe vous fatigue, utilisez un gestionnaire de mots de passe. Parmi les gestionnaires de mots de passe recommandés : LastPass, Dashlane et KeePass/KeeFox. Ce dernier est de surcroît open source et recommandé par l’Etat français. Autrement dit, il dispose de la certification de l’autorité nationale de sécurité informatique (ANSSI). Mais il ne dispose pas de version mobile. Pour les deux premiers, la version smartphone est payante. Si vous êtes sous Mac, utilisez 1Password.

Biens sûr, comme rien n’est parfait en ce monde, vous prenez quand même un risque. Les gestionnaires de mots de passe ne sont pas totalement blindés contre des attaques [55]. Le gestionnaire de mots de passe OneLogin, par exemple, s’est fait pirater mi-2017. OneLogin comptait des millions de clients et parmi eux plus de 2000 entreprises dans une dizaine de pays ... [56] De ce point de vue, c’est probablement KeePass le plus secure (mais pas totalement [57]).

12. A propos des enceintes connectées, mon conseil est simple : n’en achetez pas. Car non seulement vous risquez d’oublier d’éteindre le micro de ce mouchard, mais en plus, vous pouvez faire faire la même chose avec les applications de votre smartphone, qui se comporte déjà comme un super mouchard.

Si vous tenez absolument à acheter une enceinte connectée [58], la CNIL, dans un guide récent [59] conseille de :

  • ne pas partager de données personnelles avec l’assistant vocal de l’enceinte (« Chérie, c’est quoi déjà le numéro de la CB du compte commun ? » ...)
  • quand elle n’est pas utilisée, couper le micro de l’enceinte (pour Google Home et Amazon Echo, il y a un bouton physique, mais pour le Home Pod d’Apple, il faut désactiver cela via son iPhone ou en disant « Dis, Siri, arrête d’écouter »), ou même carrément l’éteindre
  • avertir les tiers/invités de l’enregistrement potentiel des conversations (ou couper le micro lorsqu’il y a des invités)
  • encadrer les interactions des enfants avec ce type d’appareils (rester dans la pièce, éteindre le dispositif lorsqu’on n’est pas avec eux).

13. Allez un pas plus loin :

  • réclamez une application stricte et systématique de la nouvelle réglementation RGPD (le nouveau règlement européen de protection des données), voire son amélioration. Car le consentement est trop souvent donné sans lire les conditions d’utilisation de x pages de long. Et il est devenu très difficile de se passer d’Internet. Comme le soutient par exemple Zeynep Tufekci, enseignante à l’Université de Caroline du Nord et Harvard et chroniqueuse au NY Times, considérer la défense de l’intimité et de la vie privée et de nos données ("data privacy") comme une responsibilité individuelle n’est plus adéquat : celles-ci devraient désormais être considérées comme un bien public, comme l’air, ou encore comme une liberté publique, telle la liberté d’expression [60]
  • appuyez une évolution du droit de la concurrence en matière de pratiques anticoncurrentielles. Ça n’a rien que de normal : aux Etats-Unis, entre les deux guerres, les pratiques de la Standard Oil amenèrent les politiciens américains à réguler plus avant les monopoles et oligopoles. Un des tout premiers investisseurs de Facebook et spécialiste du secteur du Big Data, Roger McNamee, réclame une telle évolution dans le Financial Times [61]
  • si vous êtes un épargnant avisé, un investisseur ou un entrepreneur geek, soutenez ou créez les entreprises technologiques européennes de demain, aussi bien celles respectueuses de la vie privée que celles, surtout, qui la protègeront. Car comme l’explique Bernard Benhamou, secrétaire général de l’Institut de la souveraineté numérique, un institut privé, sinon, nous sommes condamnés à vivre avec le business modèle de la surveillance [62].

D’autres recommandations et outils pour protéger vos données et vos appareils sont disponibles sur :

Pour aller plus loin en sécurité informatique (dite aussi cybersécurité), vous pouvez :

Vous avez d’autres pratiques de protection de votre vie privée à recommander ? Les commentaires sont ouverts.

Emmanuel Barthe

Notes de bas de page

[1De son vrai nom "conditions d’utilisation et règles de confidentialité". En anglais "terms of service (TOS) and privacy policy".

[2Tech Companies Say They Care, par Charlie Warzel et Stuart A. Thompson, New York Times, 10 avril 2019. Cet article fait partie d’une série du NYT nommée The Privacy Project.

[3New evidence to regulators : IAB documents reveal that it knew that real-time bidding would be “incompatible with consent under GDPR”, 20 février 2019. Extrait :

« De nouvelles preuves, extraites de documents de Google et de l’IAB (Interactive Advertising Bureau, l’organisme de normalisation du secteur), montrent que le système de vente aux enchères en ligne [pour acheter des emplacements publicitaires sur des pages web] diffuse des données extrêmement sensibles sur les utilisateurs du Web. Cela se produit des centaines de milliards de fois par jour. Aucun contrôle technique n’empêche des milliers d’entreprises recevant ces données de surveiller ce que chaque internaute lit, surveille et écoute en ligne.

Le "cadre de transparence et de consentement" de l’IAB (règles de l’IAB) est devenu de facto le système de consentement RGPD pour les principaux sites web. Mais ces nouvelles preuves révèlent également que l’IAB :

  • savait que les enchères en temps réel seraient "incompatibles avec le consentement en vertu du RGPD" avant même d’avoir lancé le système
  • et craignait de surcroît que ses règles relatives aux enchères publicitaires, qui régissent le secteur de la vente aux enchères en ligne en temps réel (qui représente un chiffre d’affaires de 12 milliards d’euros en Europe), soient non conformes au RGPD.

[...] Il y a une solution simple à tout cela. Le système IAB RTB permet à 595 types différents de données d’être inclus dans une demande d’offre. 4% de ceux-ci devraient être interdits ou tronqués. [...] "Nous voulons réformer les technologies informatiques et non pas les tuer", a déclaré le Dr Johnny Ryan de Brave. Ces nouveaux éléments mettent en lumière la faille informatique massive au cœur du système de publicité en ligne. L’IAB et Google a le pouvoir de résoudre ce problème."

"L’industrie de la publicité en ligne a répandu le mythe selon lequel le fonctionnement actuel du système est le seul moyen possible. C’est tout simplement faux", a déclaré Michael Veale de l’University College de Londres. "Un système meilleur, plus sécurisé et moins invasif est à la portée de la main et les régulateurs doivent être à l’avant-garde de sa réalisation. Les infrastructures matérielles et logicielles en ligne doivent être conçues en visant dès le départ la protection de la vie privée et des données personnelles." »

Les éléments de preuves ont été présentés par Jim Killock, directeur exécutif de l’Open Rights Group, par Michael Veale de l’University College de Londres et par le Dr Johnny Ryan de Brave, un navigateur web. Cela fait partie d’une importante action en justice contre le système de vente aux enchères en ligne en cours au Royaume-Uni, en Pologne et en Irlande. Voir sur https://brave.com/update-rtb-ad-auction-gdpr/

[4Le consentement explicite et positif dans le RGPD, LegalPlace. Le consentement explicite et positif de la personne concernée par le traitement des données n’est pas requis s’il existe une raison définie d’avance par la loi au traitement des données. Le consentement n’est donc généralement pas obligatoire dans les cas suivants :

  • existence d’un contrat entre l’entreprise traitant les données et la personne concernée par le traitement
  • obligation légale pour l’entreprise de traiter des données personnelles
  • traitement de données réalisé par les pouvoirs publics
  • intérêts légitimes du traitement des données pour le responsable du traitement.

[5Il n’a normalement pas le droit de les révéler, sauf plainte ou réquisition d’un Etat.

[6J’ai plusieurs fois eu des suggestions de LinkedIn de me mettre en relation avec des personnes dont la seule connexion avec moi était un message GMail échangé récemment.

[8Pour ne pas parler de ceux qui utilisent des moyens totalement cachés et illégaux.

[9J’ai fouillé dans les données que j’ai envoyées à Facebook depuis onze ans (et le résultat m’a donné le vertige), par Vincent Matalon, France Télévisions, 25 mars 2018. En avril 2018, à l’occasion des auditions de Mark Zuckerberg au Courant, le New York Times a publié trois articles très instructifs sur la collecte de données personnelles par FB : I Downloaded the Information That Facebook Has on Me. Yikes, How Facebook Lets Brands and Politicians Target You, What You Don’t Know About How Facebook Uses Your Data. Par exemple, le premier de ces articles explique que la plupart des informations de base, comme la date d’anniversaire, ne peut être retirée. Plus important, les données que l’auteur trouve contestables, comme la liste des personnes qu’il a "unfriendées" (notamment ses ex-petites amies), ne peuvent pas non plus être ôtées de FB. Le second article fait froid dans le dos : il explique très concrètement le type de critères et le niveau de précision avec lequel sont ciblées les publicités grâce aux outils que Facebook fournit à ses clients. Facebook peut par exemple cibler, pour n’importe quel annonceur ou parti politique, toutes les personnes vivant à Philadelphie, étudiant la philosophie à l’université, ayant 21 ans, ayant acheté un T-shirt bleu l’année dernière, névrosé, gagnant moins de 28 000 $ par an, projetant d’acheter un minivan dans les six prochains mois, s’intéressant au camping et dont les intérêts s’alignent sur ceux des Afro-Américains. Et fournir en plus tous les utilisateurs Facebook ressemblant à ce profil.

[10WhatsApp to start sharing user data with Facebook, par James Vincent, The Verge, 25 août 2016.

[11What Facebook knows about you, vidéo par J. Angwin, T. Parris Jr. et S. Mattu, ProPublica, 28 septembre 2016. Cité in La protection des données personnelles face aux algorithmes prédictifs, par Jean-Marc Deltorn, Revue de droit des libertés fondamentales (RDLF) 2017, chronique n° 12.

[12How Trump Consultants Exploited the Facebook Data of Millions, par Matthew Rosenberg, Nicholas Confessore, Carole Cadwalladr, New York Times, 17 mars 2018. C’est un des deux articles d’origine qui ont mis le feu aux poudres, avec le reportage de Channel4. L’autre est celui de The Observer, l’hebdomadaire britannique du Guardian.

[13Zuckerberg hearing : Facebook founder atacked by US politcians for site’s "bias and failure to protect users - As it happened, par Anthony Cuthbertson et Andrew Griffin, The Independent.co.uk, 11 avril 2018. Le patron de Facebook est — on parle ici de réalité, pas de communication — suffisamment peu coopératif sur ce sujet pour qu’un avocat ancien de la CNIL et spécialiste des données personnelles dise tout haut ce que beaucoup pensent tout bas : à savoir que FB (et donc son patron actuel) gagnerait à ce qu’il en quitte la direction.

[14Sources : Palantir worked with Cambridge Analytica on the Facebook data it acquired, whistleblower alleges, CNBC 27 mars 2018. Palantir Knows Everything
About You
, par Peter Waldman, Lizette Chapman et Jordan Robertson, Bloomberg, 18 avril 2018. Palantir, l’encombrant ami américain du renseignement français, par Olivier Tesquet, Telerama.fr, 27 janvier 2017.

[15Ce thread est également disponible sur Thread Reader.

[16Cookies, mouchards : comment vous êtes suivis sur Internet, Le Monde.fr (Les Décodeurs), 30 mars 2018.

[18Amazon Has Over 100 Million Prime Members, par Jonathan Vanian, Fortune.com 19 avril 2018.

[19Dans la jungle
d’Amazon
, Les Echos.fr, 18 février 2019. Infographie de Dominique Muller, textes de Sophie Amsili, Lucas Mediavilla et Nicolas Richaud. Développement : Jules Grandin. Supervisé par Pascal Pogam.

[20Samsung s’apprête également à vendre ses propres enceintes, tant ce marché est prometteur.

[21Faut-il avoir peur des enceintes connectées dans nos maisons ?, par Patrick Cappelli, La Tribune, 15 décembre 2018.

[22Why Microsoft and Apple don’t need to sell your data, par Leonid Bershidsky, 3 avril 2018.

[2356 pages, PDF, 15 août 2018. Publiée et résumée par Digital Content Next (DCN), ex-Online Publishers Association sur leur site. Version française du résumé sur Presse-Citron, 27 août 2018.

[24Google Is Collecting Your Data—Even When Your Phone Isn’t in Use, par Kelsey Sutton, 21 août 2018. Extraits (traduction par nos soins) : « Un appareil Android inactif a envoyé 900 échantillons de données à Google en 24 heures. [...] La plupart de ces précieuses données personnelles et de localisation sont collectées alors que les utilisateurs ne sont pas informés de leur collecte ou qu’ils n’utilisent même pas activement leur téléphone. Les chercheurs ont constaté que même si les consommateurs évitent les applications Google et les appareils Android, Google est toujours en mesure de collecter une quantité considérable de données d’utilisateurs à l’aide des outils de publicité numériques fournis aux annonceurs et aux éditeurs. Et même si les utilisateurs Android désactivent le Wi-Fi sur les appareils Android, l’emplacement de l’appareil est toujours suivi et envoyé à Google. [...] Si un utilisateur décide de renoncer à l’utilisation de tout produit Google et ne visite que des pages web non Google, le nombre de fois que les données sont communiquées aux serveurs de Google reste étonnamment élevé. [...] Au cours du dernier trimestre, plus de 85% des revenus d’Alphabet, la société mère de Google, provenaient de la publicité, selon les documents déposés par la société. »

[25Many popular iPhone apps secretly record your screen without asking, par Zack Whittaker, TechCrunch 6 février 2019.

[26Derrière les assistants vocaux, des humains vous entendent, La Quadrature du Net, 18 mai 2018.

[30La mauvaise utilisation des données est une caractéristique pas un bug !, par Hubert Guillaud, Internet-Actu, 5 avril 2018.

[31The Internet’s Original Sin, par Ethan Zuckerman, directeur du Centre pour les médias civiques au MIT, The Atlantic, 30 août 2014.

[32En anglais : data brokers. Aux Etats-Unis, on dénombre entre 2500 et 4000 courtiers de données qui font des affaires en achetant et vendant des données personnelles.

[33Surveillance is the Business Model of the Internet : Bruce Schneier, par Fahmida Y. Rashid, SecurityWeek, 9 avril 2014.

[34The Privacy Project, The New York Times, 12 avril 2019. Accès limité à quelques articles gratuits.

[35Traduction par nos soins.

[36C’est la thèse défendue dans Le Monde daté du 6 février 2018 par plusieurs signataires, dont le député LREM Bruno Bonnell (investisseur et dirigeant dans la robotique), le (très) libéral dirigeant du think tank Génération Libre Gaspard Koenig et l’informaticien Jaron Lanier (« Nos données personnelles nous appartiennent : monétisons-les ! »). Voir aussi Faire payer les données : le pavé dans la mare de Gaspard Kœnig, Le Point.fr 24 janvier 2018. C’est aussi l’objet social de la start-up tricolore Weward, qui s’est lancée en mars 2019.

[37Selon le Monde.fr : Transcrire une vidéo de 35 secondes, 5 cents. Ecrire la description commerciale d’un produit, 12 cents. Noter des photos d’hommes pour un site de rencontres, 3 cents. Répondre à une étude scientifique, 10 cents. Une étude publiée par l’ACM (Association for Computing Machinery, une des sociétés savantes d’informatique les plus réputées) explique que les "turkers" sont payés en moyenne moins de 50% du salaire minimum américain. The Labor Economics of Paid Crowdsourcing, par John Horton, Lydia Chilton, Proceedings of the 11th ACM conference on Electronic commerce, 2010 : 209. arXiv:1001.0627.

[38I sold my data for crypto. Here’s how much I made, par Gregory Barber, Wired, 17 décembre 2018. Comment (mal) gagner sa vie en vendant ses données, par Marine Protais, L’ADN, 8 mars 2019.

[39Valoriser ses données personnelles ? 3 scénarios, par Alain Rallet, Université Paris XI-Sud, Département d’économie, 2018.

[40Tristan Nitot : Facebook a « laissé faire » Cambridge Analytica, propos recueillis par Guillaume Grallet et Guerric Poncet, Le Point.fr 22 mars 2018. Vous pouvez aussi lire cette intervention de T. Nitot à la Rencontre nationale des Directeurs de l’innovation (Cloud, vie privée et surveillance de masse, juin 2015) et son ouvrage surveillance :// publié en 2016.

[41How Obama’s Team Used Big Data to Rally Voters, par Sasha Issenberg, MIT Technology Review, janvier-février 2013.

[42Pour être précis, les GAFA ne vendent pas "vos" données, mais des données résultant directement de vos données.

[43A la recherche des annonceurs qui me ciblent, par Vincent Toubiana, Unsearcher, 19 février 2019.

[47Comme Bruce Schneier, pour Signal.

[48Créateur de Vkontakte, le Facebook russe, Pavel Dourov a été contraint de le céder à des proches du Kremlin. Il a quitté la Russie en 2014.

[49Delete Facebook Account : LE guide pour supprimer son compte FB. Simple et déinitif. Avec un tutoriel vidéo.

[514 astuces pour planquer ses données aux GAFA, par Mylène Bertaux, L’ADN, 29 mars 2018.

[53Voir la partie Installation vers le bas de la page.

[54Le routeur installé dans votre box Internet fait déjà office de filtre, avant même le parefeu de votre ordinateur.

[56Le gestionnaire de mots de passe OneLogin s’est fait pirater, par Emmanuel Ghesquier, Presse Citron, 2 juin 2017.

[57Sécurité IT : les gestionnaires de mots de passe ont la mémoire fragile, par Clément Bohic, IT Espresso, 20 février 201

[60The Latest Data Privacy Debacle, par Zeynep Tufekci, New York Times, 30 janvier 2018.

[61Ever get the feeling you’re being watched ?, par Roger McNamee, Financial Times, 7 février 2019.

[62Bernard Benhamou : « La surveillance de masse est devenue le modèle économique de l’Internet », propos recueillis par Guillaume Grallet, Le Point.fr, 22 mars 2018.

Répondre à cet article

5 Messages