Création de données

• Utilisation de logiciels(ex: Microsoft Word)
• Surf sur internet :
  • Sites visités, cliques, mots utilisés
  • Logiciels installés (lesquels, quand et avec quelles options) → identification
• Communication
  • Facebook, Twitter, Instagram, SnapChat, WhatsApp,
• Utilisation de portables
  • Appels, avec qui, quand, combien de temps, où
  • Localisation avec antenne la plus proche, GPS
• Utilisation de carte bleue
• Apple HomePod, Amazon Echo, Google Home

• Caméra : magasin, distributeur, dans la rue
• Dans la voiture : utilisation du frein, pression des pneus
• Appareil photo : position, date, heure, identification de l'appareil, ...
• Toutes transactions économiques : magasins, Uber, autoroutes
• Electroménager (ex: frigo, aspirateur, robot cuiseur)
• Domotique
• Trackers de fitness : bracelets, balances, ...
• Montres GPS pour le sport
• Liseuses (ex : Kindle)
• Internet of things
• Villes connectées (ex: Toronto)
• Toutes apps ou tout ce qui n'est pas OpenSource

Quantité de données

• Metadata, exemple :
  • Vos déplacements via Google
  • Votre historique de recherche
  • Votre historique Youtube
  → Démo plus générale sur ce que stocke Google

• Coût énergétique du stockage (pollution cachée)

Surveillance des données

• Basée sur metadonnées(bien pour population)
• Basée sur Google
  • Connaît petits secrets
  • Plus que soit-même
  • Ex : autocomplete
• Basée sur carnet d'adresse
  • Ex : affiliation politique
  • Ex : orientation sexuelle
• Basée sur caméras
  • Ex : reconnaissance de visages
  • Ex : reconnaissance de plaques d'immatriculation
• Etc

• Intérêt pour les gouvernements les entreprises
• Coût de la surveillance
  • 1 agent Stasi pour 66 civils (Cf La Vie des Autres)
  • Prix des accessoires ↓
• Très accessible :
  • Ex : logiciels espions pour portables (Spy, smSpy, lexiSpy, pyera, asySpy) → 1M d'utilisateurs

→ On se rapproche du féodalisme

Analyse des données

Ex : Histoire d'une personne achetant des produits où une IA détecte une grossesse

• Type de données = Big Data
• Extraction des données intéressantes = Data Mining
• Basé sur du Deep Learning

Exemple de Data Mining

→ Est-ce qu'un client va acheter quelque chose de cher ?

• Va se marier ?
• Va en vacances ?
• Achète une maison ?

Chercher des relations

• Metadonnées collectées par NSA avec degré de relation
  • Trouver des conspirations
  • NSA en 2013 : 117675 cibles → 20M pers surveillées
• Ex : Facebook montre mêmes pub aux amis des amis

Types de surveillance

• Surveillance cachée
  • Ex : Sites de commerce en ligne
  • Ex : Voitures
• Surveillance automatique
  • Ex : Facebook (likes, pris en photo par un tiers)
  • Ex : Gmail, même sans adresse mail Gmail
  • Ex : Mémorisation des mots de passe wifi par Apple
• Surveillance de masse
  • Moins chère que surveillance individuelle
  • Caméras à Londres enregistrent tout
  • Metadonnées sur tous les portables
  • Qualité des vidéos ↗

Gratuité

• Peu de choses sont réellement gratuites
• Le moindre service a un coût
• Le financement peut être basé sur:
  • Le don (ex : Wikipédia)
  • La publicité
  • Le profilage (acquisition de données utilisateurs) Ex : WiFi gratuit (hôtels, cafés, boutiques, ...)

Les cookies

• Petit fichier texte stocké chez l'internaute
• → Faciliter la navigation
• Info perso pouvant être exploitées par des tiers
• Même en évitant Google, sites utilisent Google Analytics
• Il est possible de les visualiser avec cookieviz

Usurpation d'identité

• En utilisant les cookies
• En surveillant l'activité sur les réseaux sociaux

Trouver l'information nécessaire pour : - Ouvrir un compte bancaire - Prendre une location - Obtenir des papiers au nom de la victime

→ Difficile de sortir rapidement indemne

Société exhibitionniste

• Voyeurisme → très naturel (Cf Fenêtre sur cours)
• Goût impudique de se montrer
  • Webcam ↑ nombreux internautes partagent leur intimité 24h/24
• Journaux intimes ↑ (ex : le journal de mort par Lu Youqing)
• Téléréalité ↑
• Devenir des indics (ex : observer la frontière mexicaine)

Google - plus d'un milliard d'utilisateurs

• Google Search : lieu, date, objet de la recherche
• Google Chrome : ce qui est fait en matière de navigation
• Google Analytics : navigation de l'internaute sur le web
• Google Currents : complément d'information qu'il recoupe
• GMail : analyse la correspondance
• YouTube : enregistre tout
• Google Maps : identifie où vous vous trouvez et quand
• Google adWords : ce que vous voulez vendre ou promouvoir
• Google Android : où vous êtes et ce que vous y faites

→ Informe le gouvernement américain et vend ces données

Référence : http://blog.axe-net.fr/...

Perte de la neutralité du web

• Google, Facebook et Amazon se sont accaparés le Web
  • Facebook = le social (+Whatsapp, Instagram...)
  • Facebook = source de trafic n°1 pour les médias
  • Google = l'IA
  • Amazon: part de marché en e-commerce US = $43,5% en 2017

Risques

• Avoir un forfait internet uniquement avec Google, Facebook et Amazon
• Perdre l'anonymat sur le web
• Plus de pages web mais des pages Facebook
• Sites de e-commerce rachetés par Amazon
• Plus de web, juste internet pour le "trinet"

Polarisation

• Dérives des algorithmes d'IA avec efficacité ↑
• Objectif : maintenir « engagés » sur Facebook, YouTube, Instagram ou Twitter.

• Impacts :
  • Polarisation des débats
  • Bulles de filtres qui nous mettent uniquement en relation avec des gens qui pensent comme nous
  • Addiction
  • Prime à la désinformation
  • Dépression

Responsabilités en tant que développeur

• Faire une place à la sécurité dans les discussions d'entreprise
  • Les données
  • La vérification de l'authentification
  • L'absence de "confiance" par défaut aux codes extérieurs

• Mettre en place des tests de comportements indésirables

• Prendre le temps nécessaire de s'occuper de la sécurité et de la vie privée dès le début d'un projet

→ Développer par design sans collecte d'information

→ Contribuer à rendre les applications plus privées

Source : Staying ahead in the cybersecurity Game

Références

• L'empire de la surveillance, Ignacio Ramonet, Galilée, 2015.
• Data and Goliath: The Hidden Battles to Collect Your Data,Bruce Schneier, WW Norton & Co,2016
• surveillance://, Tristan Nitot, C&F Editions, 2016
• Guide Juridique du RGPD, Gérard HAAS, ENI, 2018

La Grande Collecte pour l'agrégation

Le programme étatsunien PRISM (NSA) agrège et exploite les données collectées par :

Microsoft, Google, Yahoo !, Facebook, YouTube, Skype, Apple, Dropbox, Discord, ...

Leur philosophie

Si vous souhaitez que personne ne soit au courant de certaines des choses que vous faites, peut-être ne devriez-vous tout simplement pas les faire. Eric Schmidt (Google)

Si vous n'avez rien à vous reprocher, vous n'avez pas à avoir peur d'être filmés !Brice Hortefeux UMP

Si on n'a rien à cacher, il n'y a pas de problème à être écouté.Benoît Hamon PS

Je n'ai rien à cacher, mais...

Questionnaire

Ai-je des raisons de m'inquiéter ?

Ai-je des raisons de m'inquiéter ?

Etre suspect

Ai-je des raisons de m'inquiéter ?

• Je ne suis pas quelqu'un de suspect.

Rapport de la CNIL en 2008 sur le STIC : 1 million de personnes blanchies mais pour toujours suspectes la police, fautes de frappe, homonymies, etc.

• Acheter une cocotte minute et un sac d'engrais la même semaine est suspect.

• Utiliser un VPN est suspect.

Ai-je des raisons de m'inquiéter ?

• Je ne suis pas quelqu'un de suspect.
• Je veux qu’on me surveille pour me protéger.

La surveillance

Je veux qu'on me surveille pour me protéger

• 15% du temps sur les écrans de contrôle serait du voyeurisme (Noé Le Blanc)

• Les policiers eux-mêmes refusent d'être surveillés.

• La surveillance est passive et enregistre des gens qui apprennent à ne pas pouvoir être reconnus.

• L'absence de confidentialité m’interdit de témoigner sans me mettre en péril.

Ai-je des raisons de m'inquiéter ?

• Je ne suis pas quelqu'un de suspect.
• Je veux qu’on me surveille pour me protéger.
• Je pense que la loi doit toujours être respectée.

Respecter la loi

• Pourtant, je ne suis pas d'accord avec les règles d’autrefois.

• À quoi ressembleront la société et les lois dans 20 ans ?

• Comment mes propos d’aujourd’hui seront-il interprétés demain ?

• Comment la loi peut-elle évoluer en fonction de mœurs si elle est incontournable ?

Ai-je des raisons de m'inquiéter ?

• Je ne suis pas quelqu'un de suspect.
• Je veux qu’on me surveille pour me protéger.
• Je pense que la loi doit toujours être respectée.
• J'ai confiance en mon gouvernement.

Confiance au gouvernement

• L'appareil de surveillance sera récupéré par les prochains gouvernements, fascistes ou non.

• Exemple avec l'Afghanistan [1], [2], [3]

• Ai-je confiance dans les autres gouvernements (USA), que je ne peux pas élire et qui appliquent des lois sur lesquelles je n'ai aucun contrôle ?

Ai-je des raisons de m'inquiéter ?

• Je ne suis pas quelqu'un de suspect.
• Je veux qu’on me surveille pour me protéger.
• Je pense que la loi doit toujours être respectée.
• J'ai confiance en mon gouvernement.
• Je n'ai pas à me cacher, je ne fais rien d'illégal.

Ne rien faire d'illégal

• C'est illégal quand je m’isole pour téléphoner ?

• Mon journal intime cadenassé était-il illégal ?

• Que se passe-t-il si je suis tenu au secret professionnel ?

La vie privée, c'est comme un préservatif : si vous n'en utilisez pas, vous mettez aussi votre partenaire en Conseils danger.Jacob Appelbaum

Ai-je des raisons de m'inquiéter ?

• Je ne suis pas quelqu'un de suspect.
• Je veux qu’on me surveille pour me protéger.
• Je pense que la loi doit toujours être respectée.
• J'ai confiance en mon gouvernement.
• Je n'ai pas à me cacher, je ne fais rien d'illégal.
• Je suis prêt à tout pour ma sécurité !

La sécurité

• D'accord pour noter chaque rencontre, discussion, déplacement et fournir des rapports papiers à mon employeur ?

• D'accord pour que le facteur ouvre mes courriers, les lise, les photocopie et garde une copie à vie ?

Une attaque terroriste ne peut pas détruire le mode de vie d'un pays ; notre réaction à cette attaque, par contre, peut entraîner ce type de dommage.Bruce Schneier

• Quid des photocopies volées et mal protégées ?

Ai-je des raisons de m'inquiéter ?

• Je ne suis pas quelqu'un de suspect.
• Je veux qu’on me surveille pour me protéger.
• Je pense que la loi doit toujours être respectée.
• J'ai confiance en mon gouvernement.
• Je n'ai pas à me cacher, je ne fais rien d'illégal.
• Je suis prêt à tout pour ma sécurité !
• Peu importe, tant que ce sont des métadonnées.

Les métadonnées

• 12 points pour identifier quelqu'un avec ses empreintes digitales... seulement 4 (pour 95% des gens) via une base opérateur.

• Les métadonnées servent à construire et enrichir des graphes sociaux pour chacun d'entre nous.

• La NSA surveille systématiquement ceux qui communiquent avec un suspect.

• Nous sommes tous à 6 poignées de mains l'un de l'autre (moins de 4 relations sur Facebook/Twitter).

Ai-je des raisons de m'inquiéter ?

• Je ne suis pas quelqu'un de suspect.
• Je veux qu’on me surveille pour me protéger.
• Je pense que la loi doit toujours être respectée.
• J'ai confiance en mon gouvernement.
• Je n'ai pas à me cacher, je ne fais rien d'illégal.
• Je suis prêt à tout pour ma sécurité !
• Peu importe, tant que ce sont des métadonnées.

Ai-je des raisons de m'inquiéter ?

Ai-je des raisons de m'inquiéter ?

Ai-je des raisons de m'inquiéter ?

Loading...

Ai-je des raisons de m'inquiéter ?

YES, BECAUSE YOU ARE A TERRORIST!

Conclusion

1. On ne détermine pas soi-même si on est coupable.

2. Les règles peuvent changer.

3. Les lois doivent pouvoir ne pas être respectées pour évoluer.

4. La vie privée est un besoin humain fondamental.

Références

• Lettre ouverte à ceux qui n'ont rien à cacher, Jean-Marc Manach
• Big Data : pourquoi nos métadonnées sont-elles plus personnelles que nos empreintes digitales ?, Hubert Guillaud
• "I've Got Nothing to Hide" and Other Misunderstandings of Privacy, Daniel J. Solove
• La valeur sociale de la vie privée, Hubert Guillaud
• En 2008, la CNIL a constaté 83% d'erreurs dans les fichiers policiers, Jean-Marc Manach
• Émission du 13/01/09 des Amis d'Orwell, Noé Le Blanc
• L'affaire Brandon Mayfield : une surveillance terrifiante, aKa
• Comment la NSA vous surveille (expliqué en patates), Martin Vidberg et Olivier Clairouin
• Why "I Have Nothing to Hide" Is the Wrong Way to Think About Surveillance (vidéo), Moxie Marlinspike
• Pad Framasoft rien-a-cacher, initié par Luc Didry

Outils

https://www.privacytools.io :

Système d'exploitation

• Système d'exploitation et logiciels toujours mis à jour
• Système propre → antivirus actif (surtout sous Windows)
• Linux moins risqué que Mac OS moins risqué que Windows
• En général, éviter Windows (← collecte d'info ou utiliser ça)
• Compiler soi-même un noyau Linux, l'encrypter et mettre la partie du noyau qui décrypte sur une clé USB
• Meilleur : TAILS, utilisé par Edward Snowden S'installe sur une clé USB, connexion internet anonyme, aucune trace

Mots de passe

Mots de passe faciles à trouver :

• Ceux de la liste disponible ici

• Ceux basés sur dictionnaire

• Caractères aléatoires (>12 en 2021)

→ Quelques secondes

→ Longueur mieux que complexité

• Tester ici ou ici

• + de 12 caractères aléatoires, ou liste mots
• Pas commun à plusieurs comptes
• Changer régulièrement

• Logiciels dédiés dans des containers chiffrés

  Ex : https://www.keepassx.org

Suppression des données

• Lorsqu'on efface un fichier, Seule sa référence disparait
• Le contenu est toujours sur le disque

• Des outils (BleachBit, DBAN,Eraser) écrasent les données

  → La suppression est rarement parfaite

• Pour effacement total : utilisation d'un champ magnétique lourd

Chiffrement et MAC Spoofing

Le cryptage est une responsabilité civique, un devoir civique Edward Snowden

• Outils de Chiffrement intégrés dans les OS
• Pour aller plus loin, des logiciels comme EncFS, VeraCrypt ou des dérivés de TrueCrypt

• Cryptée un fichier :

  tar -cz your_dir | gpg -c -o your_archive.tgz.gpg

  Déballez le:

  gpg -d your_archive.tgz.gpg | tar xz

MAC Spoofing

• L'adresse MAC est l'identifiant d'une carte réseau

• Intervient dans processus pour obtenir adresse IP

• Est utilisée pour être tracé

  → Utilitaires pour modifier l'adresse MAC :

  • macchanger sous Linux

  • poofMAC pour tous les OS

Emails

• Usage de l'adresse perso aux personnes en qui on a confiance (amis, banques, etc)

• Utilisation de plusieurs adresses "poubelle" pour le reste

  → Brouiller les pistes

⚠ Fournisseurs comme Gmail sait faire le lien entre nos comptes

• Envoyer et recevoir des emails chiffrés, même si rien à cacher

  Ex : avec GPG ou avec ProtonMail

• Clients mails peuvent présenter des risques

Privilégier l'open source (ex : Thunderbird)

Précautions simples

• Comprendre comment l'informatique fonctionne, suivez des MOOC,suivez des sites sur la sécurité (http://www.zataz.com, cyber-warzone)

• Utilisez un et hautement configurable comme Firefox, Chromium, ou PaleMoon

• Utilisez des plug-ins comme AdBlock Plus ou Block Origin pour bloquer des publicités tierces sur les sites que vous consultez.

• Utilisation de la Navigation privé → protège l'historique de navigation

• Chiffrer son disque dure

A quoi sert la navigation privée ?

• Activable depuis n'importe quel navigateur

• Permet de ne pas enregistrer certaines informations :

  • L'historique des sites visités,

  • Vos mots de passe,

  • Les champs d'un formulaire que vous remplissez,

  • Les cookies traceurs déposés par les sites que vous avez visités.

• Sont néanmoins enregistrés :

  • Les sites que vous avez enregistrés dans vos favoris

  • Les téléchargements effectués dans le dossier téléchargements

Tester son navigateur

Utiliser anopticlick : https://panopticlick.eff.org/

Avec Chrome

Navigateurs plus sûr

• Epic Privacy Browser
• UR
• Iridium browser

Précautions plus contraignantes

• N'utiliser que des logiciels OpenSource → plus de vérifications et moins de contrôle
• Plugin de navigateurs:
  • Ghostery ou DoNotTrackMe pour bloquer les cookies
  • NoScript pour bloquer sélectivement les scripts
• Utilisation de :
  • https://DuckDuckGo.com
  • https://Qwant.com
• Utilisation d'un VPN (non gratuit):
  • Documentation d'installation de client VPN

⚠ Certains sites Web ne fonctionneront plus pour vous

Précautions très contraignantes

• Rejoindre les différentes associations qui luttent contre la surveillance (WikiLeak ou la Quadrature du Net)
• Mettre ses données plutôt sur un Pims que sur des plateformes comme Apple ou Google
• Utiliser Signal plutôt que WhatsApp, plutôt que Messenger
• Utiliser plutôt GnuSocial que Facebook
• Utiliser plutôt Mastodon que Tweeter
• Ne pas utiliser de disque dur, juste TAILS sur une clé USB)
• Masquer son IP (ex : avec le navigateur Tor), évitez le plein écran
• Effectuer ses transactions financières en Crypto-Monnaie comme Monero (video avec BitCoin)
• Partez pour un village perdu sans Internet

Le dark web - V1

• Niveau 0 : Le Web commun
• YouTube, Facebook, Wikipedia, etc.
• Niveau 1 : Le Web de Surface
  • Sites internet "sombres", services d'adresses Email temporaire, les bases de données MYSQL, etc
• Niveau 2 : Bergie Web
• Accéder avec un proxy / VPN, Tor ou en modifiant votre matériel
• Niveau 3 : Le Web profond
• Avec Tor: Drogue, Trafic d'êtres humains et les marchés noirs.
• Avec un système Shell fermé : la loi 13, les expériences de la 2ème guerre, etc.
• Niveau 5 : Le Marianas Web
• Avec falcighol dérivation polymère → informatique quantique

Source : n° 256 de la revue de la Gendarmerie Nationale

Le dark web -V2

Références

• https://theconversation.com/a-la-recherche-des-donnees-perdues-70806
• https://www.cnil.fr/fr/maitriser-mes-donnees
• http://www.zataz.com
  • http://www.zataz.com/vpn-la-protection-des-donnees-proposee-par-firefox/
  • http://www.zataz.com/navigateur-ur-securiser-surf/
  • http://www.zataz.com/iridium-browser-surfer-anonyme/
  • http://www.zataz.com/epic-privacy-browser-protegez-navigation-web/
• Darknet Mythes et Réalités, Jean-Philippe Rennard, Ellipses Marketing, 2016.

Bonus

1. Réfléchissez avant de publier

2. Respectez les autres

3. Ne dites pas tout

4. Sécurisez vos comptes

5. Créez plusieurs adresses e-mail

6. Attention aux photos et aux vidéos

7. Utilisez un pseudonyme

8. Attention aux mots de passe

9. Faites le ménage dans vos historiques

10. Vérifiez vos traces