Sujets

Instaurer une culture
de la sécurité
Une base solide :
Sécurisation des comptes
et des appareils
Communiquer et
stocker des données en toute sécurité
Rester en sécurité
sur Internet
Protection de la sécurité
physique
Que faire quand
les choses tournent mal

Rester en sécurité sur Internet

Naviguer en toute sécurité

Dernière mise à jour : Juillet 2022

Utilisation de HTTPS

L'étape la plus importante pour limiter la capacité d'un adversaire à surveiller votre organisation en ligne consiste à minimiser la quantité d'informations disponibles sur votre activité sur Internet et celle de vos collègues. Vérifiez toujours que vous vous connectez à des sites web en toute sécurité : assurez-vous que l'URL (emplacement) commence par « https » et affiche une petite icône de cadenas dans la barre d'adresse de votre navigateur.

Lorsque vous naviguez sur Internet sans chiffrement, les informations que vous saisissez sur un site (comme les mots de passe, les numéros de compte ou les messages), ainsi que les détails du site et des pages que vous visitez sont tous exposés. Cela signifie que (1) les pirates présents sur votre réseau, (2) votre administrateur réseau, (3) votre fournisseur d'accès à Internet et toute entité avec laquelle ils pourraient partager des données (comme les autorités gouvernementales), (4) le fournisseur d'accès à Internet du site que vous visitez et toute entité avec laquelle ils pourraient partager des données, et bien sûr (5) le site que vous visitez lui-même ont tous accès à un certain nombre d'informations potentiellement sensibles.

Prenons un exemple concret de ce à quoi ressemble la navigation sans chiffrement :

Diagram of browsing without encryption using only http
Adapté de l'ouvrage de Totem Project How the Internet Works (CC-BY-NC-SA)

Lorsque vous naviguez sans chiffrement, toutes vos données sont exposées. Comme illustré ci-dessus, un adversaire peut voir où vous êtes, que vous allez sur news.com, que vous regardez spécifiquement la page sur les manifestations dans votre pays, et voir votre mot de passe que vous partagez pour vous connecter au site lui-même. Si ces informations tombent entre de mauvaises mains, elles exposent non seulement votre compte, mais donnent également à des adversaires potentiels une bonne idée de ce que vous faites ou pensez.

L'utilisation de HTTPS (le « s » signifie sécurisé) signifie qu'un chiffrement est en place. Cela vous offre beaucoup plus de protection. Voyons à quoi ressemble la navigation avec le HTTPS (c'est-à-dire avec un chiffrement) :

Diagram of browsing with encryption in transit using https
Adapté de l'ouvrage de Totem Project How the Internet Works (CC-BY-NC-SA)

Avec le HTTPS, un adversaire potentiel ne peut plus voir votre mot de passe ou d'autres informations sensibles que vous pourriez partager avec un site web. Ils peuvent cependant toujours voir quels domaines (par exemple, news.com) vous visitez. Et bien que le protocole HTTPS chiffre également les informations relatives aux différentes pages d'un site (par exemple, website.com/protests) que vous visitez, des adversaires rusés peuvent toujours voir ces informations en inspectant votre trafic internet. Avec le protocole HTTPS, un adversaire pourrait savoir que vous allez sur news.com, mais il ne pourrait pas voir votre mot de passe, et il lui serait plus difficile (mais pas impossible) de voir que vous cherchez des informations sur les protestations (pour utiliser ce seul exemple). Il s'agit là d'une différence importante. Vérifiez toujours que le protocole HTTPS est en place avant de naviguer sur un site web ou de saisir des informations sensibles. Vous pouvez également utiliser l'extension de navigateur HTTPS Everywhere afin de vous assurer que vous utilisez le HTTPS à tout moment, ou si vous utilisez Firefox, activez le mode HTTPS uniquement à partir du navigateur.

Si votre navigateur vous avertit qu'un site web n'est peut-être pas sûr, ne l'ignorez pas. Il y a un problème. Il peut s'agir d'un problème bénin, comme l'expiration du certificat de sécurité d'un site ou d'une usurpation d'identité malveillante. Dans tous les cas, il est important de tenir compte de l'avertissement et de ne pas se rendre sur le site.

Utilisation de DNS chiffrés

Si vous voulez qu'il soit plus difficile (mais pas impossible) pour un FAI de connaître les informations sur les sites Web que vous visitez, vous pouvez utiliser des DNS chiffrés. 

Si vous vous posez la question, DNS est l'abréviation de Domain Name System. Il s'agit essentiellement du répertoire téléphonique de l'internet, qui traduit les noms de domaine adaptés aux humains (comme ndi.org) en adresses de protocole internet (IP) adaptées au web. Cela permet aux gens d'utiliser des navigateurs web pour rechercher et charger facilement des ressources internet et visiter des sites web. Par défaut, cependant, le DNS n'est pas chiffré.

Pour utiliser des DNS chiffrés et ajouter un peu de protection à votre trafic Internet en même temps, une option facile consiste à télécharger et à activer l'application 1.1.1.1 de Cloudflare sur votre ordinateur et votre appareil mobile. D'autres options de chiffrement des DNS, dont le 8.8.8.8 de Google, sont disponibles mais nécessitent plus d'étapes techniques pour être configurées. Si vous utilisez le navigateur Firefox, le chiffrement des DNS est désormais activé par défaut. Les utilisateurs des navigateurs Chrome ou Edge peuvent activer les DNS chiffrés via les paramètres de sécurité avancés du navigateur en activant « Utiliser un DNS sécurisé » et en sélectionnant « Avec : Cloudflare (1.1.1.1) » ou le fournisseur de leur choix.

La solution 1.1.1.1 de Cloudflare avec WARP permet de chiffrer vos DNS et de crypter vos données de navigation, offrant ainsi un service similaire à un VPN traditionnel. Bien que WARP ne protège pas entièrement votre emplacement contre tous les sites Web que vous visitez, il s'agit d'une fonction facile à utiliser qui peut aider le personnel de votre organisation à profiter d'un DNS chiffré et d'une protection supplémentaire de la part de votre FAI dans les situations où un VPN complet n'est pas fonctionnel ou est nécessaire compte tenu du contexte lié aux menaces. Dans les paramètres DNS avancés 1.1.1.1 avec WARP, le personnel peut également activer 1.1.1.1 pour les familles afin de fournir une protection supplémentaire contre les logiciels malveillants lors de l'accès à Internet.

Le protocole HTTPS est essentiel et les DNS chiffrés offrent une protection supplémentaire contre l'espionnage et le blocage de sites, mais si votre organisation s'inquiète d'une surveillance très ciblée de vos activités en ligne et est confrontée à une censure sophistiquée en ligne (blocage de sites Web et d'applications, par exemple), il est préférable d'utiliser un réseau privé virtuel (en anglais « virtual private network, VPN») de confiance.

Qu'est-ce qu'un VPN ?

Un VPN est essentiellement un tunnel qui protège contre la surveillance et le blocage de votre trafic Internet par les pirates de votre réseau, votre administrateur réseau, votre fournisseur d'accès Internet et toute personne avec laquelle ils pourraient partager des données. Il est toujours essentiel d'utiliser un protocole HTTPS et de s'assurer que vous avez confiance dans le VPN que votre organisation utilise. Voici un exemple de ce à quoi ressemble la navigation avec un VPN :

mapping photo
Adapté de l'ouvrage de Totem Project How the Internet Works (CC-BY-NC-SA)

Pour décrire les VPN de manière plus approfondie, cette section fait référence au guide Surveillance Self-Defense de l'EFF :

Les VPN traditionnels sont conçus pour masquer votre adresse IP réelle et créer un tunnel chiffré pour le trafic Internet entre votre ordinateur (ou votre téléphone ou tout autre appareil « intelligent » en réseau) et le serveur du VPN. Étant donné que le trafic dans le tunnel est chiffré et envoyé à votre VPN, il est beaucoup plus difficile pour des tiers, comme les fournisseurs d'accès à Internet ou les pirates sur les réseaux Wi-Fi publics, de surveiller, modifier ou bloquer votre trafic. Après avoir traversé le tunnel entre vous et le VPN, votre trafic quitte ensuite le VPN vers sa destination finale, en masquant votre adresse IP d'origine. Cela permet de dissimuler votre emplacement physique pour quiconque examine le trafic après qu'il a quitté le VPN. Cela vous offre plus de confidentialité et de sécurité, mais l'utilisation d'un VPN ne vous rend pas complètement anonyme en ligne : votre trafic est toujours visible pour l'opérateur du VPN. Votre FAI saura également que vous utilisez un VPN, ce qui pourrait augmenter votre profil de risque.

Cela signifie qu'il est essentiel de choisir un fournisseur de VPN digne de confiance. Dans certains pays, comme l'Iran, des gouvernements hostiles ont mis en place leurs propres VPN afin de pouvoir suivre les activités des citoyens. Pour trouver le VPN qui convient à votre organisation et à son personnel, vous pouvez évaluer les VPN en fonction de leur modèle économique et de leur réputation, des données qu'ils collectent ou non, et bien sûr de la sécurité de l'outil lui-même.

Pourquoi ne pas simplement utiliser un VPN gratuit ? La réponse courte est que la plupart des VPN gratuits, y compris ceux qui sont préinstallés sur certains smartphones, sont assortis de contreparties importantes. Comme toutes les entreprises et tous les fournisseurs de services, les VPN doivent subsister d'une manière ou d'une autre. Si le VPN ne vend pas son service, comment peut-il maintenir son activité à flot ? Sollicite-t-il des dons ? Les services premium sont-ils payants ? Est-il soutenu par des organisations caritatives ou des bailleurs de fonds ? Malheureusement, de nombreux VPN gratuits gagnent leur argent en collectant puis en vendant vos données.

Un fournisseur de VPN qui ne collecte pas de données en premier lieu constitue une meilleure option. Si les données ne sont pas collectées, elles ne peuvent être vendues ou remises à un gouvernement si celui-ci le demande. Lorsque vous consultez la politique de confidentialité d'un fournisseur de VPN, vérifiez si le VPN collecte effectivement les données des utilisateurs. S'il n'est pas explicitement indiqué que les données de connexion de l'utilisateur ne sont pas enregistrées, il y a de fortes chances pour qu'elles le soient. Même si une entreprise prétend ne pas enregistrer les données de connexion, ce n'est pas toujours le cas et cela ne garantit pas une bonne conduite.

Cela vaut la peine d'effectuer une recherche sur l'entreprise qui est derrière le VPN. Est-elle approuvée par des professionnels indépendants de la sécurité ? Le VPN fait-il l'objet d'articles de presse ? L'entreprise a-t-elle déjà été surprise en train de tromper ou de mentir à ses clients ? Si le VPN a été établi par des personnes connues au sein de la communauté de la sécurité de l'information, il est plus probable qu'il soit digne de confiance. Soyez sceptique à l'égard d'un VPN qui offre un service sur lequel personne ne veut miser sa réputation ou qui est géré par une société que personne ne connaît.

Les faux VPN dans le monde réel

Image showing a fake VPN

Fin 2017, à la suite d'une recrudescence des manifestations dans le pays, les Iraniens ont commencé à découvrir une version « gratuite » (mais fausse) d'un VPN populaire partagée par SMS. Le VPN gratuit, qui n'a pas réellement fonctionné, promettait de donner accès à Telegram, qui était alors bloqué localement. Malheureusement, la fausse application n'était rien d'autre qu'un logiciel malveillant qui permettait aux autorités de suivre les déplacements et de surveiller les communications de ceux qui l'avaient téléchargée.

Alors quel VPN utiliser ?

S’il est préférable d'utiliser un VPN pour votre organisation, TunnelBear et ProtonVPN constituent des options fiables. Une autre option consiste à configurer votre propre serveur en utilisant Outline de Jigsaw, pour lequel il n'y a pas d'entreprise qui gère votre compte, mais en contrepartie vous devez configurer votre propre serveur. Si votre organisation est un peu plus étendue, vous pouvez envisager d'opter pour un VPN professionnel qui offre des fonctions de gestion de compte, comme le programme Teams de TunnelBear. Pour certaines organisations travaillant dans le domaine de la société civile et des droits de l'homme qui remplissent les conditions requises, TunnelBear accorde des crédits pour l'utilisation gratuite de son VPN (qui coûte habituellement environ 3 $ par mois). Si vous pensez que votre organisation satisfait aux critères et que vous êtes intéressé, contactez [email protected] pour obtenir plus d'informations.

Bien que la plupart des VPN modernes se soient améliorés en termes de performances et de vitesse, il convient de garder à l'esprit que l'utilisation d'un VPN peut ralentir votre vitesse de navigation si vous êtes sur un réseau à très faible bande passante, souffrez d'une forte latence ou de retards réseau, ou subissez des coupures internet intermittentes. Si vous êtes sur un réseau plus rapide, vous devriez utiliser par défaut un VPN en permanence.

Si vous recommandez au personnel d'utiliser un VPN, il est également important de veiller à ce qu'il reste activé. Cela peut sembler évident, mais un VPN qui est installé mais ne fonctionne pas n'offre aucune protection.

Anonymat grâce à Tor

Outre les VPN, vous avez peut-être entendu parler de Tor comme d'un autre outil permettant d'utiliser Internet de manière plus sûre. Il est important de comprendre leur nature, les raisons pour lesquelles vous pouvez utiliser l'un ou l'autre et l'impact qu'ils peuvent avoir sur votre organisation.

Tor est un protocole qui permet de transmettre des données de manière anonyme sur Internet en acheminant des messages ou des données à travers un réseau décentralisé. Vous pouvez en savoir plus sur le fonctionnement de Tor ici, mais en bref, il achemine votre trafic à travers plusieurs points sur le chemin de sa destination, de sorte qu'aucun point ne dispose d'assez d'informations pour exposer qui vous êtes et ce que vous faites en ligne au même moment.

Tor est différent d'un VPN à plusieurs égards. Plus fondamentalement, il diffère parce qu'il ne repose pas sur la confiance d'un point spécifique (comme un fournisseur de VPN). 

Ce graphique, élaboré par l'EFF, montre la différence entre un VPN traditionnel et Tor.

Communication methods photo

Communication methods photo

La façon la plus simple d'utiliser Tor est à travers le navigateur web de Tor. Il fonctionne comme n'importe quel navigateur normal, sauf qu'il fait transiter votre trafic par le réseau Tor. Vous pouvez télécharger le navigateur Tor sur Windows, Mac, Linux ou les appareils Android. Gardez à l'esprit que lorsque vous utilisez le navigateur Tor, vous ne protégez que les informations auxquelles vous accédez pendant que vous utilisez le navigateur. Il n'offre aucune protection aux autres applications ou aux fichiers téléchargés que vous pourriez ouvrir séparément sur votre appareil.  Gardez également à l'esprit que Tor ne chiffre pas votre trafic, donc (comme pour l'utilisation d'un VPN) il est toujours essentiel de recourir aux meilleures pratiques comme le protocole HTTPS lors de la navigation.

Si vous souhaitez étendre les protections de l'anonymat de Tor à l'ensemble de votre ordinateur, les utilisateurs les plus avertis peuvent installer Tor comme une connexion internet à l'échelle du système, ou envisager d'utiliser le système d'exploitation Tails, qui route tout le trafic à travers Tor par défaut. Les utilisateurs d'Android peuvent également utiliser l'application Orbot pour exécuter Tor pour la totalité du trafic internet et des applications sur leur appareil. Indépendamment de la façon dont vous utilisez Tor, il est important de savoir que lorsque vous l'utilisez, votre fournisseur d'accès à Internet ne peut pas voir quels sites vous visitez, mais il peut voir que vous utilisez Tor. Comme dans le cas de l'utilisation d'un VPN, cela pourrait augmenter considérablement le profil de risque de votre organisation, car Tor n'est pas un outil très courant et se distingue donc pour les adversaires qui pourraient surveiller votre trafic Internet.

Alors, votre organisation doit-elle utiliser Tor ? Cela dépend. Pour la plupart des organisations à risque, un VPN de confiance, utilisé correctement par l'ensemble du personnel en permanence, est le plus simple, le plus pratique et, à l'heure où l'utilisation des VPN est de plus en plus répandue dans le monde, le moins susceptible de déclencher des alertes. Cependant, si vous n'avez pas les moyens d'acheter un VPN fiable ou si vous travaillez dans un environnement où les VPN sont régulièrement bloqués, Tor peut être une bonne option, à condition d'être légal, afin de limiter l'impact de la surveillance et d'éviter la censure en ligne.

Y a-t-il des raisons pour lesquelles nous ne devrions pas utiliser un VPN ou Tor ?

Outre les inquiétudes concernant les services VPN non réputés, le plus important est de savoir si l'utilisation d'un VPN ou de Tor peut attirer une attention non désirée ou, dans certaines juridictions, être contraire à la loi. Bien que votre FAI ne connaisse pas les sites que vous visitez en utilisant ces services, il peut voir que vous êtes connecté à Tor ou à un VPN. Si c'est illégal là où votre organisation opère ou si cela risque d'attirer l'attention ou de présenter plus de risques que de simplement naviguer sur le web avec un protocole HTTPS standard et un DNS chiffré, peut-être qu'un VPN ou surtout Tor (qui est beaucoup moins utilisé et donc davantage sujet aux alertes) n'est pas le bon choix pour votre organisation. Toutefois, à mesure que l'utilisation des serveurs VPN devient plus courante, ce facteur de distinction est de moins en moins important. L'utilisation par défaut d'un VPN en permanence est la meilleure solution si c'est légal et possible.

Quel navigateur doit-on utiliser ?

Utilisez un navigateur réputé tel que Chrome, Firefox, Brave, Safari, Edge ou Tor. Chrome et Firefox sont tous deux très largement utilisés et offrent un excellent niveau de sécurité. Certaines personnes préfèrent Firefox en raison de son orientation vers la protection de la vie privée. Quoi qu'il en soit, il est important que vous les redémarriez, ainsi que votre ordinateur, assez fréquemment pour que votre navigateur reste à jour. Si vous souhaitez comparer les caractéristiques des navigateurs, consultez cette ressource de la Freedom of the Press Foundation.

Quel que soit le navigateur utilisé, il est également judicieux d'utiliser une extension ou un module complémentaire comme Privacy Badger, uBlock Origin ou Privacy Essentials de DuckDuckGo qui empêche les annonceurs et autres traceurs tiers de suivre vos déplacements et les sites que vous visitez. De plus, lorsque vous naviguez sur Internet, pensez à changer vos recherches web par défaut de Google pour DuckDuckGo, Startpage, ou un autre moteur de recherche protégeant la vie privée. Un tel changement permettra de limiter les annonceurs et les traceurs tiers également.

La sécurité des navigateurs dans le monde réel

Adobe Browser

Des militants de la société civile tibétaine ont été ciblés début 2021 par un module complémentaire de navigateur malveillant intelligemment conçu qui a volé leurs données de messagerie et de navigation. Le module complémentaire, intitulé « Composants de mise à jour Flash », était présenté aux utilisateurs qui visitaient des sites Web liés à des courriels d'hameçonnage. Ces attaques par extensions de navigateur ou modules complémentaires peuvent être tout aussi dommageables que les logiciels malveillants transmis directement par des téléchargements issus de hameçonnage ou d'autres logiciels.