La protection de l'anonymat n'a JAMAIS été au centre des préoccupations des GAFA. La longue liste des scandales quant à l'absence de protection mais surtout de mesures efficaces destinées à enrayer les fuites de données à répétition ne fait que conforter cet état de fait. La seule priorité qui compte, c'est de "faire de l'argent" et de pérenniser les moyens d'en faire. La protection de la vie privée, apparaît à ce titre plus comme une entrave, que comme un support quelconque de cette priorité. Les GAFA consacrent des sommes astronomiques à la protection des protocoles de transaction / règlement en ligne en comparaison des sommes, à contrario, qu'ils allouent à la protection de votre identité, que vous soyez un particulier ou une entreprise.

 


Comment votre anonymat est-il rompu ?

Les Cookies :
Le plus courant est l'utilisation de cookies.
Son nom ne soulève pas la méfiance, mais pourtant ! !
Tous les systèmes d'exploitation et tous les navigateurs les utilisent. Ils sont omniprésents. Même votre banquier s'en gave...
L'accumulation de cookies au gré de votre navigation Internet est une mine d'or, autant pour ceux qui vous veulent du bien que pour ceux qui vous veulent du mal.
Explorez les ressources de cet outil pour vous en convaincre.
Il y a peu de chance que vos habitudes de navigation ne s'en trouvent pas impactées si vous mettez en perspective vos résultats à titre privé avec une exploitation professionnelle reliée à la responsabilité juridique qui va avec.

Ce ne sont pas les outils qui manquent, quelque soit l'environnement exploité (Windows, IOS, Android, Linux) pour leur faire la peau, ou juste les exploiter le temps nécessaire à leur fonction, quelque fois incontournable.

Les "jeunes applications" ou "jeunes produits" :

Ce sont les pires ennemis de votre vie privée. Pourquoi ?
Pour démontrer l'intérêt de son futur produit, un programmeur développe à toute vitesse pour éviter que son idée ne lui soit piquée et surtout pour pouvoir lever des fonds (à plus ou moins grande échelle) pour faire décoller son projet / produit.

Donc pour éviter de perdre du temps dans des réglages fins de droits d'accès, il développe du code en laissant des droits d'accès larges aux informations manipulées pour ne pas perdre de temps à chercher pourquoi certains processus de son application se retrouveraient bloqués. Projet devenu titanesque, ou fonds alloués au développement insuffisants, peu importe la cause, le résultat est que revenir en arrière c'est perdre du temps. Et donc on laisse des failles derrière soit...  Qui se paient cash de nos jours, car il existe des programmes tout fait conçus pour trouver ces failles et les exploiter.
Exemple au travers de cet article.


La géolocalisation permanente orchestrée sur les smartphones et tablettes :

Je vais certainement enfoncer une porte ouverte, pour certains, en écrivant ce paragraphe mais aujourd'hui avec une part de marché écrasante et un poursuivant qui applique les même méthodes, l'alternative est relativement mince et surtout sa non rentabilité joue contre votre vie privée.
En clair, il n'aura échappé à personne qu'avant même d'introduire une carte SIM dans un appareil Android, vous devez renseigner une adresse mail Google. Nous avons donc dès le départ une suite de liens dans les bases de données qui relie l'IMEI de votre appareil à vous même au travers de votre adresse mail. Une fois la carte SIM insérée, cette suite s'enrichit d'un numéro de téléphone et d'un numéro de série de carte SIM. Cette suite de liens vous suit partout. Toutes ces informations sont numériques et accessibles d'une manière ou d'une autre. Vous pouvez toujours essayer de redevnir anonyme dans ce système, c'est purement impossible. Voilà comment est contourné avec l'approbation de la majorité la rupture d'information qu'il y avait par le passé entre l'appareil et la ligne ouverte par le titulaire. Rupture qui garantissait votre anonymat "grâce" pour certains ; "à cause" pour d'autres de deux photocopies : une de votre pièce d'identité et une de votre justificatif de domicile. Aujourd'hui, tout est numérique et dans la même base en plus de transiter en quasi permanence sur les réseaux. Et comme on veut être sûr de ne pas vous perdre, on vous demande de renseigner un autre numéro de téléphone au cas où on vous volerait votre appareil Android (pour pouvoir le neutraliser à distance ou en reprendre la main). Astucieux non ? ! ? ... pour boucler la boucle.


Le BYOD :

Un nom barbare pour certains, mais certainement la pire "invention" qu'on n'est jamais faite pour se tirer une balle dans le pied.
BYOD signifie "Bring Your Own Device". En clair, la course à l'innovation (qu'on prend bien soin de nous enfoncer dans le crâne) amène les consommateurs à toujours vouloir les produits dernier cri et en général, des produits bien trop chers pour le budget de votre entreprise qui souhaite vous équiper des avantages de la mobilité.
On vous propose alors, moyennant une "participation" pour ceux qui ont cette chance, d'utiliser votre appareil personnel à des fins professionnelles.
Se retrouvent ainsi mélangés sur un seul et même support des applications perso et des applications professionnelles, faisant de votre fidèle "assistant" une mine d'or encore plus grande que celle évoquée ci-dessus.

 


Pourquoi vous avoir raconté tout cela ?   Pour 2 raisons.

La première est liée à la sûreté. La deuxième est liée... à la sûreté. Mon tout étant un non choix, comment me protéger ?

La première, c'est vous faire prendre conscience que si vous vous mettez dans la peau d'un "attaquant" [à choisir, j'aurai préféré que vous ayiez lu Sun Tzu  :-)  ], l'objectif de cet attaquant est de faire mouche. Donc quelque soit son but, à partir du moment ou n'avez plus de secret pour lui, vous êtes déjà en danger car il exploitera toutes les failles à sa disposition. On va prendre un exemple simple : vous transportez des oeuvres d'art à travers le monde pour le compte de musées ou de collectionneurs. L'attaquant connaît vos processus mais n'a pas accès au contenu de vos communications ou de vos échanges par écrits. Il a donc besoin de corrompre un ou plusieurs appareils dans votre entreprise pour pouvoir faire entrer un espion, couramment appelé un cheval de troie.
Selon ses compétences techniques, selon qu'il travaille / a travaillé même sporadiquement avec vous (ou pas), il va utiliser tout ou partie des failles exposées ci-dessus pour contourner les barrières techniques mises en place, en théorie, par votre entreprise et viser la faille humaine. En clair, il exploite tout ce qu'il connaît sur vous pour vous pousser à la faute : au choix, envoi d'un mail vérolé depuis une adresse qu'il sait avoir votre confiance et que vous ouvrirez sans aucune précaution.
Autre exemple : par le biais de votre identifiant de connexion à un réseau social il retrouvera dans une liste de données personnelles volées (voir le début de l'article) votre mot de passe. Statistiquement le nombre de personnes ayant un mot de passe par site étant quasi insignifiant, il réutilisera ce mot de passe sur tous les sites que vous visitez jusqu'à avoir suffisamment d'information pour casser une connexion à distance de l'entreprise. Puisque les mots de passe des salariés sont quasi exclusivement des prénoms, des mix de prénoms, des dates de naissance à l'endroit ou à l'envers, etc...
Mais tout cela c'était compliqué quand les attaquants n'avaient pas recours aux outils des services secrets. Maintenant que le contenu de la malette du parfait petit voleur US a été répandu sur la toile, ces attaques se sont grandement simplifiées !

La deuxième raison, c'est qu'une fois que vous avez lu les quatre points ci-dessus et que vous avez marié les effets, vous vous demandez comment casser la spirale infernale. On en revient à une règle simple et vieille comme le monde : ne jamais mettre tous ses oeufs dans le même panier. Règle une : ne surtout pas verser dans le BYOD, c'est un cocktail explosif qui ne laisse pas de trace à remonter. Règle 2 : mettre en place autant sur vos appareils perso que sur les pro des outils de nettoyage à faire tourner quotidiennement, voire plusieurs fois par jour si vous êtes un gros consommateur d'Internet. Règle 3 : ne restez pas connecté à des applis qui vous géolocalise en permanence quand ce n'est pas nécessaire dans le cadre professionnel.

La troisième raison se fait sous forme de constat : pourquoi les box Internet sont quasiment toutes équipées d'une fonction pare-feu (Firewall) alors que cette fonction est inexistante par nature dans les appareils mobiles, qui pour certains ne sont jamais éteints, alors qu'ils renferment souvent autrement plus d'informations sensibles que votre réseau personnel ?
Je vous donne une solution que certains trouveront sûrement trop contraignante pour la mettre en oeuvre, c'est d'investir dans un modem 4G LTE équiper d'une fonction pare-feu. La carte SIM n'est plus dans l'appareil Android en permanence et donc ce "mouchard permanent" voit sa capacité de nuisance fortement amoindrie. Une fois que vous avez coupé les connexions WiFi / Bluetooth / IR / etc et que vous avez éteint votre modem, çà devient très compliqué de vous trouver et encore plus de pomper ce qui se trouve dans l'appareil. Cerise sur le gâteau, lorsque le réseau est difficile à accrocher, c'est la batterie du modem qui se vide, pas celle de votre appareil Android... Mais il faut accepter d'avoir un téléphone... pour téléphoner (et uniquement pour cela - pas de connexion data ouverte en permanence). Et un appareil mobile pour Internet à qui on coupe la chique dès qu'on n'a plus besoin de la connexion.

J'espère que cette démonstration vous aura ouvert des horizons et que vous trouverez à mettre en oeuvre ces nouveaux acquis dans votre vie numérique quotidienne, qu'elle soit personnelle ou professionnelle.

Et n'oubliez jamais qu'en matière de sûreté c'est votre peau, au final, qui paiera la facture !

Donc si vous devez faire quelque chose pour réduire votre "traçabilité", c'est d'abord dans votre intérêt très personnel.

Quand on transporte de la "marchandise recherchée", c'est vous qui êtes encombrant ! ! Pas la marchandise...

La notion de "marchandise recherchée" varie dans le temps. Si j'ai inclus l'article ci-dessus, c'est qu'un chargement de sac de ciment est une marchandise convoitée dans un pays en guerre, y compris de l'autre côté de la frontière dans un pays en paix.

Les transports de denrées alimentaires en produits finis, avec un nombre croissant de migrants en errance permanente en Europe de l'Ouest ne vont pas tarder à devenir également membre officiel de la liste des "marchandises recherchées". Les vins et les alcools divers vont devoir bientôt partager la vedette avec des produits "discount".

 

Liens externes d'intérêt :

Comment choisir un bon mot de passe ?