Web and Sun

Pourquoi Messenger est dangereux pour vos données
Web

Pourquoi Messenger est dangereux pour vos données

Dans cet article, je voudrais vous parler d’un sujet qui me tient à cœur, la protection des données personnelles et plus particulièrement la protection des messageries. Cela m’amène évidemment à parler de Messenger. En ce début d’année, pourquoi ne pas prendre la résolution de protéger ses données ?

Le problème avec Messenger

Aujourd’hui, la majorité des gens utilisent Messenger, l’application de messagerie instantanée de Facebook. Cette appli est vraiment pratique, nous n’avons pas besoin d’avoir le numéro de la personne à qui on parle, elle est bien faite, accessible depuis l’application mobile, Facebook et messenger.com. Je ne vais pas lister tous ses avantages, nous les connaissons tous. Cependant il y a quand même un problème… Elle appartient à Facebook, et Facebook ne se gêne pas pour accéder ou donner accès à des entreprises tiers, à nos conversations. Ce n’est pas une fable, c’est un fait.

Quand on regarde les déclarations de Facebook sur cette affaire, on se rend compte que finalement, l’accès était « légitime » si je peux me permettre. Légitime dans le sens où si une personne veut écrire un message sur Messenger depuis Netflix, il faut bien que Netflix dispose des autorisations. Le problème ne s’arrête pas là. Ces derniers temps Facebook nous a habitués aux scandales sur l’utilisation de nos données. Dont un et pas des moindres, celui de Cambridge Analytica, ou encore plus récemment les applications qui envoient vos données à Facebook sans votre consentement.

Avec toutes ces histoires qui s’enchaînent sur l’utilisation de nos données, je ne comprends pas comment nous pouvons encore donner toujours plus d’informations à ce genre de plateformes. Personnellement, j’utilise encore Facebook mais plus comme je pouvais le faire il y a quelques années. Je ne partage rien, mes informations se limitent au strict minimum, je ne mets plus de photos, etc. Je m’acharne à me désabonner de toutes les pages à la con que j’ai aimées plus jeune. Bref je m’écarte du sujet.

Messenger propose quand même un service de messages cryptés (relativement anecdotique) via les conversations secrètes.

Nos données personnelles

Pour moi utiliser Messenger c’est comme aller donner un script de toutes mes conversations aux GAFAM (Google, Amazon, Facebook, Apple, Microsoft), aux services de renseignements etc. Des personnes comme Edward Snowden ou Julian Assange (pour ne citer qu’eux) ont risqué et risque encore leur vie pour nous mettre en garde. Quand je parle aux gens, j’ai l’impression que c’était un gravier dans la mare (je sais, on dit un pavé, mais un pavé contrairement à un gravier, ça éclabousse). Qu’il n’y a eu aucune prise de conscience.

La plus bête des réponses est celle-ci :

Je n’ai rien à cacher.

Everyone

Très bien. Donc si nous n’avons rien à cacher, pourquoi refuse-t-on de se faire implanter une puce GPS, un micro etc pour tout donner à l’État ?
Je n’ai qu’une citation à répondre à ce genre d’affirmation :

When you say I don’t care about the right to privacy because I have nothing to hide, that is no difference than saying ‘I don’t care about freedom of speech because I have nothing to say’ or freedom of the press because I have nothing to write.

Edward Snowden

Pour en avoir déjà parlé avec tout un tas de gens, nous sommes beaucoup à avoir déjà vu une publicité un peu spéciale dans l’application Messenger. Vous savez, cette publicité qui porte sur un sujet que vous n’avez seulement évoqué à l’oral et que vous n’avez pas encore cherché sur internet. Je travaille dans le SEA (AdWords ou Google Ads maintenant), et je peux vous dire que les moyens de ciblage sont très impressionnants. Si moi, dans mon travail, je peux cibler le segment de population que je veux, je vous laisser imaginer ce que peuvent faire les ingénieurs en interne chez les GAFAM.

Je le concède, dit comme ça on dirait une théorie du complot. Sauf qu’Edward Snowden a déjà dévoilé qu’il existe bien plus effrayant. Comme la NSA (entre autres) qui est capable de trouver quelqu’un juste avec un mot de passe unique (coucou XKeyscore), qui est seulement utilisé par une seule personne dans le monde. Facile quand on est branché directement sur les serveurs des GAFAM

Vous l’aurez compris, les données personnelles que nous mettons à disposition sur internet sont forcement utilisées. Trop peu de personnes en sont conscientes mais est-il normal de laisser des entreprises privées se servir de nos conversations ? De mon point de vue, non.

Heureusement, il existe des solutions pour se prémunir de tout ça. Tant au niveau des messageries instantanées qu’au niveau des emails.

Les alternatives

Telegram

Telegram est une application promettant de protéger votre vie privée via un système de cryptage des communications de bout en bout. Très en vogue, elle a fait la une des journaux notamment à cause des réseaux terroristes qui l’utilisent. Mais là n’est pas le problème, les réseaux terroristes ne sont que des conséquences de son succès. Le service dispose aussi d’un client pour ordinateur.

Le problème vient du fait que Telegram n’est pas une application open source. Ce qui veut dire que son code n’est pas disponible pour tout le monde. En théorie, personne ne peut vraiment savoir ce que l’application fait des données. Ni même si elles sont vraiment protégées.

Le second problème, découlant du premier, est que son algorithme de cryptage est lui aussi propriétaire. Il a été développé au sein de l’entreprise et demeure secret. Certaines études tendent à démontrer que cet algorithme n’est pas si sécurisé (en théorie). De plus, le cryptage n’est pas activé par défaut. Donc certains se croient protégés dès l’installation alors qu’en fait pas du tout.

WhatsApp

Contrairement à Telegram, WhatsApp utilise Signal Protocol. Le même protocole qui est utilisé par Signal, Google Allo (mode incognito), Messenger (mode conversation secrète). Le chiffrement est activé par défaut ce qui est une bonne chose.

Alors quel est le problème avec WhatsApp ? Bah WhatsApp c’est un peu comme un trou noir qui aspire la lumière. Sauf que la lumière c’est votre téléphone. WhatsApp aspire toutes les métadonnées.

Pour vous expliquer en quoi consiste la collecte de vos données, je vais citer le passage d’un article qui explique très explicitement ce que sont les métadonnées que WhatsApp récupère. Le lien est disponible à la fin de cet article. C’est d’ailleurs une citation de Kurt Opsahl, un avocat à la Electronic Frontier Foundation.

Ils savent que vous avez appelé un service téléphonique à caractère sexuel à 02:24 du matin et que la communication a duré 18 minutes. Mais ils ne savent pas de quoi vous avez parlé.


Ils savent que vous avez appelé un numéro d’assistance et de prévention du suicide depuis tel pont. Mais ils ne savent pas de quoi vous avez parlé.


Ils savent que vous avez appelé un laboratoire de dépistage du VIH, puis votre médecin, puis votre assurance santé dans la même heure. Mais ils ne savent pas de quoi vous avez parlé.

Pour résumer très simplement, quand vous envoyez une lettre, la métadonnée c’est l’enveloppe. Quant-à la donnée, c’est le courrier dans cette enveloppe.

Ça, plus le fait que le service appartienne à Facebook… Je ne sais pas ce qu’il faut de plus pour démontrer la non-fiabilité de l’application. C’est le même principe que le Cheval de Troie. Vu l’effet sur votre téléphone, je ne conseille pas vraiment l’installation du client (=logiciel) pour ordinateur.

Signal

J’ai gardé le meilleur pour la fin. Signal. Même principe que les autres, application de messagerie instantanée cryptée de bout en bout, cryptage activé par défaut. Possibilité de l’utiliser comme service de SMS (cryptés of course), possibilité de passer des appels téléphoniques cryptés. Une version pour ordinateur est aussi disponible. Signal est un service open source (donc tout le monde peu avoir accès au code) qui utilise le Signal Protocol, algorithme ayant fait ses preuves.

En plus d’avoir le soutien d’Edward Snowden (ce qui est un beau soutien vu tout ce qu’il a dévoilé sur l’insécurité d’internet), Signal est soutenu par The Guardian Project.

Pour ceux qui ne connaissent pas The Guardian Project, c’est un collectif de développeurs logiciels, concepteurs, activistes et formateurs. Ils développent et défendent les systèmes de sécurité open source.

Pour les mails

Protonmail

 

Protonmail est un service de messagerie assurant une communication cryptée de bout en bout pour vos emails.

L’interface est très simple, épurée et assez intuitive. Bien que je n’ai pas encore poussé la personnalisation de mon espace, il est possible de le faire. Une application mobile est disponible sur Android et iOS.

Vue de la boite de réception ProtonMail

Il est aussi possible d’avoir un affichage comme sur gmail

Le service est composé de plusieurs offres dont une gratuite. Sur le papier la version gratuite donne l’impression d’être assez pauvre mais dans les faits, elle est parfaitement adaptée à une utilisation normale :

  • Limite d’envoi de 150 mails par jour
  • 500 Mo de stockage
  • La signature (« Sent with ProtonMail Secure Email.« ) sera activée automatiquement lors de chaque nouvelle rédaction (vous pourrez tout de même l’enlever manuellement)

Qui envoie plus de 150 mails par jour depuis sa boîte mail personnelle ? Bon ok, quand on cherche un stage ou du travail, ça peut aller vite.
Les autres offres :

Liste des offres proposées par ProtonMail

Si vous êtes intéressés, je vous invite à lire cet article beaucoup plus détaillé sur Protonmail, même s’il n’est plus tout à fait à jour, il reste très intéressant.

Aller plus loin

Protéger votre navigation

Pour protéger votre navigation des trackers, vous avez la possibilité (et je vous conseille de le faire) de cocher la petite case Ne pas me pister, Interdire le suivi qui est disponible dans Google Chrome et Firefox (je suppose qu’elle l’est aussi dans les autres navigateurs). Si vous avez une confiance aveugle en vos navigateurs mon conseil s’arrête là. Sinon, il y a Privacy Badger. Une extension développée par Electronic Frontier Foundation (EFF, une citation plus haut vient d’un avocat de chez eux). Disponible sur Chrome, Firefox et Opéra.

Une petite extension facile à utiliser qui fait le job pour vous. Elle détecte et bloque tous les trackers que vous croisez au cours de votre navigation. Au début pour ne verrez aucun tracker bloqué, c’est normal. L’extension s’adapte à votre navigation. À noter que tous les boutons de partage des réseaux sociaux seront bloqués (pour ceux qui ne le savent pas, les RS nous trackent à travers eux).

Vous pouvez aussi choisir manuellement le niveau d’autorisation que vous voulez donner à chaque domaine. Pour info, voici ce que Privacy Badger me montre quand je visite un site lambda. 14 traceurs. Et là je n’étais que sur Topito.

tracker présents sur topito détéctés par Privay Badger

Pour conclure, je vous conseille de lire cet article très intéressant sur le même sujet et un TED de Glenn Greenwald sur la vie privée.

Je sais qu’il n’est pas forcément aisé d’abandonner ses habitudes sur un service pour en changer mais dans ce cas c’est un mal pour un bien. J’espère que cet article vous amènera à réfléchir et/ou à vous documenter sur le sujet.

Et merci à ceux qui ont lu jusqu’au bout, j’essayerai de faire plus court la prochaine fois, promis !

kermit thumbs up webandsun

PS : Si je fais la promotion de ces services, c’est parce que je pense que nous devrions tous les utiliser. Ceci n’est pas un article sponsorisé.

Sinon comme la sécurité c’est un peu mon nouveau dada vous pouvez retrouver mon tuto sur la sécurisation basique d’un serveur Debian Strecth.

Le plus de Sophie : De base, je fais typiquement partie de ceux qui répondent « je m’en fiche, je n’ai rien à cacher ». Avec un Antoine à la maison, les choses ont forcément changées ! J’ai pu ouvrir les yeux sur l’importance de la protection de nos données. C’est vrai que l’on ne réalise pas le danger même en le connaissant. Nous sommes quand même bien au courant maintenant que l’on que Facebook (entre autres) n’est pas clean. Mais plus je tombais sur des pub qui faisaient échos à une conversation écrite ou orale récente et plus je prenais conscience que nos données ne sont clairement pas protégées du tout. En fait, je crois que l’on s’arrête pour beaucoup au « oh mais c’est pas possible, c’est forcément le hasard ! ».

La fois où j’ai vraiment flippé c’est le jour où je me suis arrêtée dans une rue, que je ne prends que rarement, pour lire le menu d’un restau. Et bien le soir même j’avais la pub de ce restau en question sur Messenger.

Faites attention à vous et à vos données, personne ne doit tolérer ça !

5/5 (7 Reviews)
Partager
Written by Antoine Lounis

No Comment

Please Post Your Comments & Reviews

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Instagram

Instagram n'a pas retourné le status 200.

Follow us