Protégez votre sphère privée – Première partie

Maintenant que la période d’examens touche à sa fin et avant de prendre un peu de répit, nous vous proposons de nous occuper un peu de nous-mêmes, en abordant la protection de notre sphère privée.

Si l’on nous parle régulièrement des risques liés aux virus et autres malwares, l’aspect de la protection de nos données personnelles est moins médiatisée. Pourtant, en dépit du fait que cela ne représente pas un danger immédiat, c’est une vraie problématique.

Pour Google ou Facebook, nos données personnelles sont une marchandise. Cependant, il serait faux de penser que seuls les grands groupes les collectent. En réalité, tous les systèmes qui sont reliés au net, sont susceptibles de le faire.

Si, depuis le temps, nous sommes conscients que les systèmes d’exploitation (tous, pas seulement Windows…) opèrent de la sorte, il nous échappe parfois que d’autres applications ou équipements sont également capable de le faire.

Quelques exemples:

Android, un système d’exploitation pour mobile, est de facto orienté sur la récolte de données d’utilisation, qu’il copie sur le « cloud » de l’éditeur sans qu’il nous soit possible de l’interdire totalement. Outre les différentes versions qui ne se comportent pas toutes de la même manière, les fabricants de mobiles ajoutent leurs propres mouchards. Même si nous limitons au maximum les communications sur le réseau, rien ne nous dit que Samsung, LG ou Huawei ne récoltent pas des statistiques à notre insu !

Dans les versions précédentes de Safari, navigateur web sur Mac, l’historique de navigation était sauvegardé dans iCloud si le système y était connecté, même si localement cet historique était effacé. Il est avéré que jusqu’à six mois après leur effacement, il était toujours possible de retracer, seconde après seconde, les liens visités. Sous le poids du scandale, Apple a entretemps renoncé à cette pratique (ou l’a rendue plus opaque…)

Même Ubuntu Desktop, une des nombreuses distributions de Linux, n’est pas au-dessus de tout soupçon: jusqu’en 2016, il envoyait en effet une copie des requêtes  de recherche sur les fichiers locaux à Canonical, sponsor du système d’exploitation libre. Ces données ont partiellement été transmises à Amazon, qui s’en est servi pour envoyer de la publicité ciblée…

Comment alors protéger ses données ?

Chaque plate-forme présente ses faiblesses particulières et il n’y a pas de parade générique. Dans ce premier billet, nous passerons en revue les mesures à prendre pour les deux systèmes d’exploitation majeurs pour mobiles, iOS et Android

iOS

Sur iPhone et iPad, la récolte de données passe majoritairement par iCloud. La parade consiste donc à mettre autant que possible iCloud hors-jeu.

  • Renoncer aux sauvegardes sur iCloud. Les iPhones et iPads ne fonctionnent pas sans un «Apple ID», ce qui est déjà discutable. Si l’on suit en plus les indications de l’éditeur, on active la sauvegarde sur iCloud: les données personelles sont alors copiées chez l’éditeur. L’option de cryptage avec une clé connue du seul utilisateur n’est pas prévue. Il vaut donc mieux effectuer des sauvegardes ponctuelles sur son desktop, protégées par mot de passe, au moyen d’iTunes.
  • Ceci s’applique également aux autres services offerts par iCloud, comme la localisation de son appareil lors du vol et la sauvegarde du trousseau de clé (qui inclut des informations confidentielles, comme les mots de passe, identifiants WLAN et no de cartes de crédit). En cas de doute et si l’on peut renoncer à ces services, il vaut mieux les désactiver.
  • Limiter les services de localisation. Il convient de vérifier quelles apps sont autorisées à utiliser les données de localisation: s’il paraît logique de laisser les outils de navigation accéder à la position, ça l’est sans doute moins pour les apps des réseaux sociaux.
  • Contrôler l’accès aux données par les apps. Vérifier régulièrement quelles apps ont accès à quelles données, comme les contacts, les photos, voire les données sur sa santé (Health). Il en va de même pour l’Ad-Tracking, qu’il est utile de désactiver (Réglages > Confidentialité > Publicité). Régulièrement, il vaut la peine de réinitialiser l’Ad-ID virtuelle, afin d’éviter que les apps ne puissent l’invoquer pour envoyer de la publicité ciblée.

Android

Comme iOS, Android prévoit un certain nombre de canaux pour récolter les données d’utilisation. Certains services iCloud y sont remplacés par ceux de Google. Pour garder le contrôle sur cette récolte de données, l’on peut:

  • Limiter les droits des apps. Cependant, certaines apps refusent de fonctionner si l’accès aux données leur est interdit: il faut alors se poser la question si l’app est vraiment indispensable. Il est souvent difficile de savoir à quelles données l’app accède et les réglages ne sont pas tous accessibles. Le seul moyen de savoir est de retourner à la page de téléchargement de l’app et de relire (tout en fin de description…) la liste des données accédées.
  • Interdire la synchronisation. Dès l’installation d’un compte Google sur le smartphone, les contacts, le calendrier,… sont synchronisés. Certaines apps, qui s’installent avec des comptes utilisateurs, en font de même, parfois sans que l’option ne puisse être paramètrée.
  • Désactiver la sauvegarde Google. Même si cela peut être pratique , en cas d’effacement accidentel des données notamment, mieux vaut désactiver cette option. En effet, dans les données sauvegardées, se trouvent des données sensibles (comme les identifiants WLAN, …)
  • Désactiver l’historique des données de localisation. Google s’intéresse énormément aux position successives de l’utilisateur, ce qui permettra l’envoi de publicités ciblées en fonction du lieu
  • Désactiver la saisie prédictive du clavier Gboard (Anciennement Google keyboard). Si cette fonctionnalité peut sembler intéressante, elle fournit une foule d’informations sur les habitudes de l’utilisateur.

En résumé

Le moins que l’on puisse dire est que les éditeurs/fabricants ne nous facilitent pas la tâche lorsqu’il s’agit de modifier les préférences par défaut de nos smartphones. S’il nous est souvent difficile (voire impossible) d’accéder aux paramètres contrôlant la copie des données personnelles, savoir quelles données sont effectivement concernées reste confidentiel. Un smartphone devient vite moins « smart », dès lors que nous décidons de protéger notre vie privée.

A la rentrée, nous examinerons ce qu’il en est des systèmes d’exploitation et des différentes déclinaison de « clouds ».

Les informations présentées dans ce billet sont à retrouver dans C’T Magazin (en allemand)