Comment se protéger de la curiosité de Facebook, Google, Amazon, LinkedIn etc.
... et d’autres intrusions
[NB : cet article a été rédigé et mis en ligne dans sa version initiale le 1er février 2018, soit avant que le scandale Facebook/Cambridge Analytica ne soit rendu public. Il est régulièrement mis à jour.]
Nous autres parents reprochons souvent à nos ados le temps qu’ils passent sur leurs écrans. Mais avons-nous conscience du temps que nous, nous y passons ? Nous avons tous regardé un jour autour de nous dans le métro en allant au travail : environ 80% des passagers sont sur leur portable [1].
Vous êtes pressé ou déjà convaincu et le pourquoi ne vous intéresse pas ? Allez directement aux recommandations pratiques à la fin de ce billet.
Sommaire
- Pourquoi se protéger de Facebook et des très, très nombreux autres sites qui collectent des données sur nous
- Faut-il vraiment protéger ses données ?
- Recommandations et précautions pour diminuer les risques pour votre vie privée
Pourquoi se protéger de Facebook et des très, très nombreux autres sites qui collectent des données sur nous
Par contrat ... ou sans
Grâce à cette connexion plusieurs heures par jour, nos fournisseurs de messagerie, cloud, réseaux sociaux et autres jeux en ligne nous espionnent, avec notre consentement — vous savez, le fameux contrat de x pages de long [2] que, bien obligé, vous avez validé lors de la création de votre compte. Et soyons clair : même si ces "policies" et "terms of service" disent expressément protéger vos données personnelles, la façon dont c’est rédigé et la réalité peuvent rendre ces déclarations très relatives [3].
Et même sans contrat, sans que vous vous soyez inscrit à quoi que ce soit, les sites web que vous consultez reçoivent et tiennent à jour quantité de données sur vous. Mais aussi — c’est moins connu — les constructeurs de smartphones et Google (de par son OS Android) et Apple (de par son OS iOS).
En effet, comme le rappelle Pouhiou de Framasoft [4], quand tu regardes une page web, elle te regarde aussi, et pas besoin d’un compte Facebook/Google/etc pour qu’ils aient un dossier sur toi. En clair, version Pouhiou :
« Tu vois le petit bouton "like" (ou "tweet" ou "+1" ou …) sur tous les articles web que tu lis ? Ces petits boutons sont des espions, des trous de serrures. Ils donnent à Facebook (ou Twitter ou Google ou …) toutes les infos sur toi dont on parlait. Si tu n’as pas de compte, qu’ils n’ont pas ton nom, ils mettront cela sur l’adresse de ta machine. Le pire, c’est que cela fonctionne aussi avec des choses que tu vois moins (les polices d’écriture fournies par Google et très utilisées par les sites, les framework javascript, les vidéos YouTube incrustées sur un blog…). Une immense majorité de sites utilisent aussi Google Analytics pour analyser tes comportements et mieux savoir quelles pages web marchent bien et comment. Mais du coup, ces infos ne sont pas données qu’à la personne qui a fait le site web : Google les récupère au passage. »
Samsung, Xiaomi, Realme, et Huawei : même lorsqu’elles sont configurées de manière minimale et que le combiné est inactif, ces variantes d’Android transmettent des quantités substantielles d’informations au développeur du système d’exploitation et à des tiers (Google, Microsoft, LinkedIn, Facebook, etc.) qui ont préinstallé des applications système. Le point important est que cette collecte d’informations n’est pas strictement nécessaire pour la mise à jour des applications ni de l’OS [5]
La collecte d’informations par les OS Android des smartphones selon l’étude du Trinity College
Apple — enfin au moins jusqu’en 2020 — ne faisait guère mieux selon ce paper de septembre 2021 : Are iPhones Really Better for Privacy ? Comparative Study of iOS and Android Apps ?. Voici les trois enseignements principaux qu’on peut en extraire selon Wolfie Christl :
- « 24 000 des 570 000 applications Android et iOS gratuites identifiées transmettent des données personnelles à des entreprises tierces montre un échec massif de l’application du GDPR »
- « L’identifiant publicitaire est un identifiant d’appareil contrôlé par Google/Apple qui indique la personne qui utilise un téléphone. Des milliers d’entreprises l’utilisent pour suivre, suivre et profiler tout le monde. 55,4 % des applications Android et 31 % des applications iOS ont partagé le "Advertising ID" avec des tiers. Dès lors que l’AdID est transmis, tout le reste qui est transmis (toutes sortes de données comportementales) est clairement une donnée personnelle et exploitée pour relier les données de profil à travers l’industrie. Donc, je ne dirais pas qu’Apple/iOS était aussi mauvais qu’Android en 2020, mais toujours très mauvais. »
- « Etant donné que les plateformes prennent une part de toutes les ventes réalisées par l’intermédiaire des magasins d’applications (jusqu’à 30 %), tant Apple que Google ont un intérêt naturel à créer des opportunités commerciales pour les éditeurs d’applications, et à les laisser collecter des données sur les utilisateurs pour stimuler ces ventes. »
Et puis, il y a les données de localisation : GPS, Wifi (même avec l’appli Wifi éteinte, votre smartphone se signale aux réseaux Wifi) et les tours télécoms par lesquelles votre smartphone se connecte aux réseaux 4G et 5G. Lire à ce sujet (en anglais) ces deux articles édifiants [6].
Par les cookies, par le mécanisme dit de l’empreinte, en les recréant ou par les pixels invisibles
Le Monde du 12 avril 2022 explique :
« Près de 4 % des sites Web les plus fréquentés arrivent à recréer des [sortes de] cookies, que l’on pensait pourtant avoir effacés. Plus de 60 % de sites "santé" identifient le visiteur avant même de proposer la fameuse bannière de consentement. Et 15 % continuent à le pister, même s’il l’a refusé ! [7] [...]
Les chercheurs ont mis en évidence des techniques qui pistent les internautes par leur "empreinte de navigation" (browser fingerprint). Celle-ci consiste en une série d’informations comme le fuseau horaire, la version du navigateur ou du système d’exploitation, la langue préférée… Le site Amiunique.org permet de se faire une idée de cette empreinte. Contrairement aux cookies, elle ne peut être effacée, mais elle est moins stable, car elle peut changer pour un même utilisateur au cours du temps, par exemple lors d’une mise à jour. »
Des méthodes permettent de « synchroniser des cookies entre plusieurs sites, et donc de suivre les internautes. Ces méthodes recourent à des "pixels invisibles", c’est-à-dire que, lors d’une visite, une requête est envoyée vers un site tiers qui renvoie un pixel blanc, donc invisible pour l’utilisateur, mais qui génère un dépôt ou une récupération de cookie chez l’internaute. »
A noter que les navigateurs web luttent mal contre le "browser fingerprinting". Ainsi, au 18 mai 2022, aucun navigateur pour Android ne savait le faire complètement et les perfomances des versions iOS contre l’empreinte étaient totalement nulles. Enfin, chez les browsers pour ordinateurs, seuls Tor et Librewolf sont efficaces.
On peut paramétrer des navigateurs comme Brave et Firefox ou leur ajouter un add on pour diminer son empreinte, mais comme noté supra, c’est surtout sous ordinateur, pas sous smartphone [8].
C’est nous le produit
Puisque c’est gratuit, c’est nous le produit : ce sont nos données de navigation, nos contacts, nos préférences, nos achats, nos opinions, nos intentions, nos émotions que les membres du GAFAM (Google, Amazon, Facebook, Microsoft mais aussi Twitter, LinkedIn et d’autres) et BATX (Baidu, Alibaba, Tencent, Xiaomi) analysent (pour développer de l’intelligence artificielle et étendre leur marché) et vendent [9].
Selon une plainte en matière de "privacy", l’industrie de la publicité en ligne saurait depuis longtemps que le profilage et le partage massif de données ne sont pas conformes à la loi européenne [10], c’est-à-dire au règlement général sur la protection des données personnelles (RGPD), qui exige qu’un consentement informé et explicite précède toute captation et/ou exploitation de vos données personnelles [11].
Autres "preuves" qu’elle sait : les enquêtes détaillées du site Pixel de tracking. Pour un feu d’artifice de tracking publicitaire à la française, à l’américaine et à la suédoise (Spotify), lisez les posts de ce site, qui nous démontre que dès notre arrivée sur la page d’accueil, même sans commencer à naviguer sur le site, même abonnés, même en payant, même sur le site du "quotidien de référence", nous sommes suivis de très près, en violation du RGPD. En voici un florilège :
- sites français : Météo France, Critéo, Le Figaro.fr, Monoprix, la Fnac en ligne, Le Monde.fr, Molotov
- GAFAM et autres : Google, Spotify
- aspects juridiques : RGPD et consentement violé
- aspects techniques : le marché, la circulation des données.
A noter que même si vous utilisez un add-on anti-tracking (voir infra), les publicitaires et adbrokers peuvent vous identifier (et donc tracker) par l’empreinte de votre navaigateur web (technique dite "fingerprinting"). Vous pouvez tester votre navigateur sur le site Cover Your Tracks monté par l’EFF.
Le comportement des différents acteurs
N’oubliez pas que Google a votre autorisation pour scanner en permanence tous vos fichiers stockés sur Drive, toutes les pages web où vous êtes passé [12] (mais il ne scanne plus vos mails et vous pouvez interdire aux tiers d’en faire autant). Même sans que votre GPS soit activé, Google vous géolocalise en permanence, sauf si vous savez très bien paramétrer votre compte Google (voir infra) — et encore ...
Vous voulez savoir ce que Google sait sur vous ? Suivez le bref guide proposé par Archimag : 5 tests faciles pour voir tout ce que Google sait sur vous. Rappelons que si vous utilisez un smartphone Android ou GMail, il y a 99% de chances pour que votre carnet d’adresses soit chez Google. Autrement dit : Google connaît alors tout votre réseau familial, amical et professionnel.
De nombreuses coïncidences m’ont fait comprendre que LinkedIn accède — indirectement, par le biais de mes contacts qui ont laissé LinkedIn copier leur carnet d’adresses — au carnet d’adresses de mon smartphone Android [13]. LinkedIn fait absolument *tout* pour récupérer votre carnet d’adresses [14], y compris vos nouveaux contacts.
La plupart des commentateurs avisés sur Internet estiment que les réseaux sociaux et applications utilisent deux moyens principaux pour trouver vos contacts [15] :
- si vous avez un smartphone Android, votre carnet d’adresses est quasi-certainement chez Google et quantité d’applications Android, dont LinkedIn, exigent d’y accéder pour fonctionner. Et jusqu’à il y a peu Android ne vous donnait même pas la possibilité de contrôler les autorisations données aux applis (c’était tout ou rien), contrairement à iOS (le système d’exploitation des iPhones)
- si vous n’avez jamais installé l’app Facebook ni une autre du même groupe (pour mémoire, Facebook a racheté Instagram et WhatsApp), le réseau social/l’appli possède votre adresse email et numéro de téléphone tout simplement grâce à vos amis et contacts, qui eux ont autorisé l’appli à télécharger leurs contacts ...
De tous les réseaux sociaux, de toutes les sociétés Internet, Facebook est le plus indiscret, le plus intrusif [16].
Le fil de discussion (thread) Twitter de Wolfie Christl dévoile énormément de choses sur ce que Facebook vend comme tracking aux entreprises de publicité et de profilage et ce qu’elle va modifier suite au scandale Cambridge Analytica, sans pour autant véritablement cesser ses pratiques [17]. Ce thread explique notamment que Facebook offrait à ses clients publicitaires et marketers un accès aux bases Acxiom, LiveRamp, Oracle, Experian et Epsilon (initialement des spécialistes du marketing direct, ces "data brokers" vendent des données extrêmement détaillées sur les consommateurs et emprunteurs) et que suite au scandale, ce sera juste au client de FB d’apporter ces bases et de faire le croisement avec les données apportées par FB [18].
Korii, le magazine en ligne de Slate sur les nouvelles technologies le dit crûment en quatre phrases qui résument assez bien la situation [19] : « Il est possible d’anticiper les comportements des consommateurs et de placer la publicité pour le produit qu’il faut, au moment précis où l’utilisateur ciblé a le plus de chances de le désirer. En 2017, dans un exemple resté célèbre, Facebook vantait à ses clients sa capacité à identifier le moment où les ados se sentent "en insécurité" et "ont besoin d’un boost de confiance" à partir de l’analyse sémantique de leurs messages.
En 2018, l’internaute moyen possédait près de 150 comptes en ligne. Toutes ces entreprises collectent des données et les grandes plateformes finissent par en obtenir une partie (soit parce qu’elles les achètent, comme vos positions géographiques auprès des opérateurs mobiles, soit parce qu’elles sèment des balises invisibles pour vous suivre à la trace sur le web, comme le "pixel Facebook"). Il y a tout un écosystème économique [celui des "data brokers"] pour ça. »
Dans le cadre de sa fonctionnalité suggérant des "amis FB" appelée "People You May Know" (PYMK), Facebook scanne toutes les listes de contacts de toutes les personnes qui utilisent ses services ou ceux de ses filiales (notamment WhatsApp [20]). FB sait aussi repérer avec qui vous passez du temps sans même utiliser le GPS de votre smartphone. Facebook génère plus de 1300 catégories dans lesquelles sont projetés ses utilisateurs en fonction des attributs de personnalité déduits de leur activité sur le réseau social et sur les données collectées à partir des sites internet qui lui sont affiliés [21].
Et quand une journaliste fouine dans l’onglet FB de ses préférences publicitaires, elle tombe sur des noms d’entreprises qui utilisent ses données sans qu’elle ait jamais été leur cliente. Et quand elle veut savoir qui a vendu ses données personnelles, même elle — qui n’est pourtant pas un simple particulier — n’obtient quasiment aucune réponse [22].
Pendant longtemps, comme le scandale Cambridge Analytica l’a montré, Facebook n’exerçait aucun contrôle réel sur ce que les appli FB extrayaient comme données sur ses utilisateurs [23]. Lors de seconde audition de Mark Zuckerberg devant le Congrès, une parlementaire démocrate de la Silicon Valley, lui a demandé s’il était prêt à modifier son modèle d’affaires ("business model") de manière à protéger la vie privée ("individual privacy"). La réponse du dirigeant fondateur propriétaire de Facebook est édifiante : « Mme la député, je ne suis pas certain de comprendre ce que cela veut dire » [24]. Une façon de botter en touche qui laisse clairement entendre que FB n’entend pas toucher à son business model, fondé sur l’exploitation des données de ses utilisateurs.
Un aspect peu connu de l’affaire Facebook Cambridge Analytica : la société Palantir a travaillé sur les données Facebook qui ont été acquises par Cambridge Analytica, selon le lanceur d’alerte Christopher Wylie. Palantir a été cofondé par le milliardaire Peter Thiel, qui est également membre du conseil d’administration de Facebook. Palantir agrège des données encore bien plus précises, diverses et puissantes (comme les comptes bancaires, le casier pénal, les trajets en voiture ...) que Facebook. Ses logiciels phares, sont nommés Gotham et Metropolis. Divers organismes fédéraux des secteurs de la défense et des services secrets sont des clients de Palantir, ainsi que des polices locales, comme celles de Los Angeles, qui l’utilise notamment pour de la police prédictive. À l’été 2016, un contrat de 10 millions d’euros a été conclu avec la DGSI. Des formateurs ont été recrutés et déployés au siège de la DGSI, à Levallois [25].
Le système à l’oeuvre dans le scandale Cambridge Analytica continue hélas : le 22 février 2019, le Wall Street Journal publiait un article d’investigation détaillé [26]. On y apprend que de nombreuses applications mobiles traitant des données de santé communiquent lesdites données à Facebook, que vous y soyez connecté ou pas. Cela, par le biais d’une brique technique créée par Facebook : un SDK. Facebook permet aux entreprises développant des applications de les monétiser en diffusant de la publicité via lesdites applications. Pour ce faire, l’entreprise inclut le SDK nommé Facebook Ads [27].
Quant à WhatsApp, racheté par Facebook en 2014 [28], il a corrigé mi-mai 2019 une importante faille de sécurité. Celle-ci permettait à quiconque d’installer un logiciel espion (qui collecte et transfère des informations) sur le téléphone d’un autre utilisateur, en passant simplement un appel vidéo. La technique fonctionnait même si la victime ne répondait pas [29]. Tout sur votre téléphone, y compris les photos, les courriels et les textes, était accessible aux attaquants simplement parce que vous aviez WhatsApp installé.
Pavel Durov, fondateur de la messagerie (réellement sécurisée, elle) Telegram, estime qu’en réalité WhatsApp ne sera jamais sécurisé. Ce n’est pas seulement que WhatsApp ne publie pas son code source. Il pense aussi que les chances de backdoors dans les applications populaires développées aux Etats-Unis sont élevées, du fait des pressions des services de police (FBI) et des agences de renseignement. WhatsApp a beau avoir annoncé la mise en œuvre d’un chiffrement de bout en bout, les métadonnées (identité des intervenants, dates de discussion ...) restent visibles et cela coïncide avec une pression de l’application pour sauvegarder les discussions dans le « cloud ». Or, lors de cette opération, WhatsApp n’explique pas à ses utilisateurs que, lors de la sauvegarde, les messages perdent leur chiffrement. Ils deviennent ainsi accessibles aux pirates et aux espions [30].
Les mouchards de Google (cookies, Google Analytics, Google Double Clic etc.), expliquent les Décodeurs du Monde, « sont présents sur quasi deux tiers des pages visitées par les participants à une étude menée à grande échelle par Clikz en 2017, loin devant Facebook, qui est pourtant proche de suivre ses membres sur presque un tiers des pages qu’ils visitent sur Internet ».
Le script de traçage enregistre les informations collectées sur votre navigation dans un profil, profil qui est lui-même enregistré dans l’URL (adresse) d’une petite image appelée un "web beacon". Lorsque le navigateur charge cette image par la suite, il envoie également le profil à un service de suivi, qui peut le partager avec d’autres sites. Source : American Scientist
Vous voulez voir tous les traqueurs/mouchards que laissent des centaines d’applications quand vous passez sur un site connu comme phonadroid ? Regardez ...
Parmi les cookies, ce sont surtout les cookies dits "tiers" qui posent problème, ceux déposés par un site mais lisibles par d’autres (nombreux) sites. Cette technique est utilisée au sein des boutons développés par les réseaux sociaux et destinés à être intégrés dans de nombreux autres sites Internet.
L’autre type de mouchard, qui collecte bien plus d’informations que les cookies, ce sont les "scripts de traçage". « Ceux-ci sont la plupart du temps programmés en JavaScript, un langage informatique qui permet de charger des programmes au sein même d’une page Web pour interagir avec l’internaute ou la page. Ces programmes collectent des données sur l’activité de l’utilisateur au sein de la page : où il clique, où il fait défiler la page, combien de temps il reste sur le site, quel document il télécharge. Une partie de ces scripts enregistrent tant d’informations sur la navigation des utilisateurs qu’il est ensuite possible de recréer en vidéo le parcours de l’internaute sur le site en détail. » [31].
Quant à Amazon, pour être plus discret que ses rivaux du GAFAM/BATX sur le plan médiatique, il n’en amasse pas moins, tout comme eux, des tonnes de données personnelles traitées à l’intelligence artificielle (IA) puisque sa plateforme de commerce électronique comptait au 1er trimestre 2016 310 millions de clients [32] et plus de 100 millions d’abonnés à son service d’abonnement Prime en avril 2018 [33]. De plus, c’est peu connu, la société de Jeff Bezos travaille bel et bien dans la publicité en ligne [34].
Extrait de l’infographie des Echos Dans la jungle d’Amazon.
Les enceintes connectées Echo d’Amazon, Google Home, Home Pod d’Apple, Invoke et Djingo — l’assistant franco-allemand d’Orange et Deutsche Telekom — [35] posent de nombreuses questions de sécurité et de respect de la vie privée. Comme l’écrit le journal La Tribune, « le véritable enjeu n’est pas de faire du business avec [ces] enceintes mais bien de s’introduire dans tous les foyers pour s’assurer la plus grosse part du gâteau de la maison connectée, un marché au potentiel énorme qui pourrait peser 138 milliards de dollars en 2023 d’après le cabinet d’étude de marché MarketsandMarkets. Tout en recueillant des masses de données comportementales livrées volontairement par les adeptes du vocal. [...] Votre [voix] peut renseigner sur votre âge, votre état de santé et vos émotions. [...] De plus, les enceintes sont vulnérables aux cyberattaques » [36]. Le laboratoire d’innovation numérique de la CNIL a une expression assez parlante pour décrire l’étendue des informations que l’enceinte connectée permet de recueillir : la monétisation de l’intime [37] : « Principalement destinés au domicile pour contrôler des objets connectés et des services de divertissement, les appareils dotés d’un assistant à commande vocale se retrouvent aujourd’hui au cœur du foyer. Le profil des utilisateurs se trouve donc alimenté par les différentes interactions qu’ils ont avec l’assistant (par exemple, les habitudes de vie telles que les heures de lever, le réglage du chauffage, les goûts culturels, les achats passés, etc.). Selon le modèle économique des fournisseurs de service, c’est tout le profil publicitaire qui est ainsi alimenté par nos faits et gestes du quotidien. » Et toujours selon la CNIL, « les requêtes vocales restent enregistrées dans le cloud, de la même manière qu’elles le seraient si l’utilisateur les tapait au clavier dans certains moteurs de recherche », et que ces appareils sont en veille permanente (et donc susceptibles de vous enregistrer).
Comme mentionné plus haut, des sous-traitants d’Apple écoutent environ 1% de toutes les interactions entre les utilisateurs et son assistant digital Siri. Amazon emploie des milliers de salariés pour écouter les discussions entre les utilisateurs et Alexa [38], l’assistant digital de la firme. Et avec Google Assistant, la firme de Mountain View se livre aux mêmes pratiques [39].
Quant à Twitter, il vend l’entièreté de sa base de données, y compris les lieux et heures de vos tweets et vos plus vieux tweets — auxquels vous ne pouvez plus accéder et que vous ne pouvez donc plus effacer si besoin est.
Ce n’est pas tout à fait le sujet ici (quoique ...), mais vous noterez au passage que les principaux réseaux sociaux, et plus encore leurs applications pour smartphone, sont conçus pour créer et maintenir une addiction à travers une culture du plaisir immédiat et, plus grave encore, qu’elles tendent à priver leurs utilisateurs du bonheur (par opposition au plaisir, qui n’est pas sur la durée) des relations IRL (in real life), dont l’effet positif a été prouvé bien plus grand.
La structure de la base de données de stockage des tweets de Twitter
Parmi le GAFAM et Twitter, en matière de données personnelles, on peut noter le positionnement particulier d’Apple [40]. Il fait une bonne part de son chiffre d’affaires dans le logiciel et les matériels, moins dans la data que les autres, mais surtout Apple vend moins (même si’il prétend ne pas vendre) de données sur ses utilisateurs et clients que ses grands concurrents. Deux illustrations de ce "respect" (limité) de la vie privée des clients d’Apple (oui, on parle là, très largement, d’utilisateurs *payants*) :
- l’étude scientifique Google Data Collection (traduction française) réalisée par Douglas C. Schmidt, professeur d’informatique à l’Université Vanderbilt [41] qu’on peut résumer ainsi : Google collecte vos données même quand vous n’utilisez pas votre smartphone [42]
- et cet article des Echos mi-2019 [43], qui rappelle que :
- « Tim Cook, qui a pris les rênes de l’entreprise en 2011 après la mort de Steve Jobs, a poursuivi la même voie que son prédécesseur. Son attachement à la protection de la vie privée a été clairement démontré en février 2016 lorsqu’il a refusé de créer un programme permettant au FBI de déverrouiller l’iPhone de l’attaquant de San Bernardino, une fusillade qui a fait quatorze morts près de Los Angeles »
- « Alors que Google et Facebook réalisent plus de 80 % de leur chiffre d’affaires via la publicité, Apple tire l’essentiel de ses revenus de la vente d’iPhone, de Mac, d’iPad, d’accessoires et d’abonnements à ses services… et peut donc facilement défendre une régulation plus stricte, qui n’affecte pas ses revenus »
- l’assistant vocal « Siri marche beaucoup moins bien parce qu’Apple n’envoie pas de manière continue les données des conversations vers le cloud pour nourrir des réseaux neuronaux qui mettent à jour le modèle de manière dynamique. »
Mais la vente de data pourrait bien un jour devenir le business model principal d’Apple [44]. On note ainsi que de nombreuses applications populaires pour iPhone (Expedia, Abercrombie & Fitch, Hotels.com, Air Canada, Singapore Airlines ...) enregistrent sans vous le dire toutes vos actions sur l’appli (technologie Glassbox) [45]. Qu’Apple cherche à trouver (par des biais non publics) tous vos appareils pourtant offline, ce qui malgré leur dénégations peut entraîner des risques importants [46]. Et que des sous-traitants de la marque à la pomme écoutaient (Apple a suspendu ça pour l’instant) les conversations entre les utilisateurs et Siri, l’assistant vocal de la firme (le logiciel équipe de nombreux appareils, dont les célèbres iPhone et iPad, mais aussi les montres intelligentes Apple Watch et les enceintes connectées Home Pod) [47].
La vente de données est un basculement que Microsoft, encore peu dans le data business, est en train de faire [48].
Mais Facebook, Amazon, Google, Apple et Microsoft ne sont pas les seuls, très loin de là : c’est presque tout l’écosystème actuel d’Internet qui, en échange de sa gratuité, collecte des données sur nous [49]. Le problème du pillage de nos données par le tracking par les "adtech" n’est pas limité au GAFAM :
- par exemple, l’ensemble de la presse et des publications d’éditeurs vendent nos profils [50]
- les "data brokers" (Acxion, Experian etc.) évoqués plus haut jouent un rôle essentiel, alimentés en données par les GAFAM en données et les alimentant à leur tour. Sur ce sujet, c’est l’étude de l’autrichien Wolfie Christl sur la "corporate surveillance" que j’ai trouvé la plus complète [51]
- et les pouvoirs publics français ne sont pas en reste : plateforme de conservation et consultation des données de connexion, pose de "fourchettes" sur les câbles sous-marins français, participation d’Orange au travail de la DGSE. Au niveau de la loi, si l’article L. 34-1 du Code des postes et des télécommunications pose un principe d’effacement ou d’anonymisation des données de connexion collectées par les fournisseurs d’accès Internet, c’est pour prévoir une dérogation immédiate. Il impose aux intermédiaires techniques de conserver les données pour une durée d’un an. Et ce, malgré l’arrêt Télé2 du 21 décembre 2016 de la Cour de justice de l’Union européenne qui dit que les États membres ne peuvent prévoir une obligation *indiscriminée* de conservation des données de connexion pour les échanges téléphoniques et électroniques passés sur leur territoire [52].
Comme le résume Hubert Guillaud sur Internet-Actu [53] :
« La plupart des sites web financés par la publicité tracent leurs utilisateurs pour tirer de la valeur et améliorer le ciblage publicitaire. Comme l’avait déjà expliqué Zuckerman en 2014 [54], c’est le modèle publicitaire même de l’internet qui est un modèle d’affaires dangereux et socialement corrosif puisque par nature, il vise à mettre les utilisateurs sous surveillance constante. [...]
Tous les médias où se sont exprimés ceux qui condamnent les médias sociaux ou Cambridge Analytica, [...] le New York Times, le New Yorker, comme les autres, divulguent des données de leurs lecteurs à des tiers. Chaque fois qu’une annonce est chargée sur une page, le site envoie l’adresse IP du visiteur, l’URL qu’il consulte et des informations sur son appareil à des centaines d’entreprises (des courtiers de données [55]) qui enchérissent les uns contre les autres pour montrer de la publicité au visiteur (voir ces explications en vidéo pour en saisir le fonctionnement) »
Pour l’expert américain en cybersécurité Bruce Schneier, qui s’exprimait à une conférence en 2014 déjà, « la surveillance de masse est devenue le modèle économique de l’Internet » [56], d’où l’expression d’« économie de la surveillance ».
Cette surveillance de masse est telle que le très respecté journal américain New York Times a consacré en avril 2019 un long dossier au phénomène où il prend clairement parti pour un recul de cette surveillance et une réglementation (aux USA, il n’y a pas de RGPD) [57].
Enfin, n’oubliez pas que si un virus ou un hacker mal intentionné rentre dans votre ordinateur, le pillage de vos données personnelles risque d’être beaucoup plus important encore. D’où antivirus et firewall.
Faut-il vraiment protéger ses données ?
Vous allez me dire : « Mais je n’ai rien à cacher ! »
Voici ce qu’en dit Glen Greenwald, le reporter qui a le plus travaillé sur les révélations d’Edward Snowden [58] :
« Au cours des 16 derniers mois, alors que je discutais de ce problème dans le monde entier, chaque fois que quelqu’un me disait : "Je ne m’inquiète pas vraiment des atteintes à la vie privée parce que je n’ai rien à cacher". Je leur dis toujours la même chose : "Voici mon adresse e-mail : lorsque vous arrivez à la maison, envoyez-moi les mots de passe de tous vos comptes e-mail. Tous. Je veux vraiment me promener à travers ce que vous faites en ligne, lire ce que je veux lire et publier ce que je trouve intéressant, Après tout, si vous n’êtes pas une mauvaise personne, si vous ne faites rien de mal, vous n’avez rien à cacher." Eh bien, pas une seule personne n’a relevé mon défi. »
Vous allez aussi me dire : « Et si je vendais mes données ? Ca me rapporterait, non ? » [59]
Eh bien ... non, comme le montrent deux chercheurs de l’Institut national de recherche en informatique (INRIA), Serge Abiteboul et Gilles Dowek :
- « première idée fausse : cela poserait un problème aux géants du Web. Une fois notre propriété établie, une clause des contrats qu’ils nous feront signer nous la fera céder pour bénéficier de services »
- deuxième idée fausse : la valeur de nos données. « Dans les systèmes de "crowd sourcing" comme Amazon Mechanical Turk, des foules d’internautes produisent déjà sur le Web mais pour de très faibles sommes [60]. » Il y a déjà eu des expériences de vente de leurs données par des particuliers. Elles indiquent qu’il est quasiment impossible de faire plus de 300 USD par an. Et que les données actuelles de beaucoup de particuliers de base ne valent guère plus d’1 dollar US. Par exemple, le journaliste Gregory Barber de Wired a fait le test en décembre 2018 et le résultat est peu concluant : en vendant certaines de ses données médicales sur Doc.Ai, ses données de géolocalisation sur Datum et ses infos biographiques Facebook sur Wibson, il a obtenu au total, tout compris ... 0,3 cents (0,03 USD) ! [61] C’est l’agrégation de vos données et leur recoupement avec d’autres données qui leur donnent réellement de la valeur et c’est ça que les entreprises sont prêtes à acheter — mais ça, ce n’est pas à la portée des particuliers
- « plus profondément, il n’existe que peu de données numériques individuelles. La plupart de ces données sont "sociales". Vous postez une photo sur Facebook : est-elle à vous, aux personnes que vous avez photographiées, aux personnes qui vont la tagger, ou à celles qui vont la commenter, la diffuser ? Parmi vos données les plus utilisées dans la publicité figurent vos courriels. À qui appartient un courriel ? À la personne qui l’écrit, à celles qui le reçoivent, aux personnes en copie ? Si le courriel parle de vous, en êtes-vous un peu propriétaire ? » [62]
- sur le plan politique, on peut ajouter ce qu’en dit un des pionniers du web français, Tristan Nitot, ancien de Netscape et Mozilla : « Je ne crois pas à la patrimonialité des données, au droit de les revendre, tout simplement parce que la marge de manœuvre de l’individu face à ces plateformes est ridicule. On notera que dans le scandale Cambridge Analytica, plusieurs milliers d’utilisateurs ont perçu 1 ou 2 dollars pour avoir installé l’application. C’est absolument ridicule par rapport aux dégâts causés : une élection démocratique sous influence. » [63].
Car l’utilisation de nos données par les GAFAM a désormais des conséquences importantes en politique. Déjà, aux élections présidentielles américaines de 2016. A noter que l’utilisation du "data analytics"/"big data" sur des données nominatives en politique a commencé avec Dan Wagner pour la deuxième campagne d’Obama en 2012 [64]. Wagner n’utilisait pas des données issues de réseaux sociaux, mais d’interviews téléphoniques, comptes bancaires, données d’achats etc. Cela permit aux Démocrates de connaître quasiment personnellement chacun de leurs votants et sympathisants.
Aujourd’hui, en France même, les conséquences politiques de l’utilisation des données détenues sur nous par les GAFAM sont évidentes : il suffit de constater que l’algorithme de Facebook, combiné aux informations données par les utilisateurs de Facebook, est un des éléments déclencheurs du mouvement des gilets jaunes. Par exemple, une des raisons pour lesquelles l’algo de FB a mis très fortement en avant certains des premiers posts du mouvement réside dans la proximité géographique de leurs auteurs [65]. Cette proximité géographique est beaucoup plus fortement valorisée par l’algo de Facebook depuis leur tentative de corriger le détournement du réseau social par Trump. Or pas de proximité sans indication à FB de son domicile ou (plus fréquent) activation quasi-permanente du GPS [66]. Facebook sur ce même mouvement gilets jaunes est un méga-pourvoyeur de fake news. Et si le média du gouvernement russe RT France (RT = Russia Today) est — et de très loin — le premier auteur et relayeur de posts et vidéos sur Facebook sur le mot-clé "gilets jaunes" [67], c’est de toute évidence pour influencer la vie politique française, notamment les élections.
Pour vous faire une idée très concrète de ce que Facebook et Google ont sur vous — et donc sur le type d’informations et de données qu’ils vendent (même si ce n’est pas exactement ces données-là qu’ils vendent [68]) —, téléchargez donc l’archive de vos données chez eux. Si, si ! Allez-y, c’est très instructif :
- Google : Téléchargez vos données : laissez tout coché, sélectionnez tout puis cliquez en bas sur Créer une archive. Un mail vous sera envoyé avec un lien. Cliquez sur ce lien, téléchargez puis dézippez l’(les) archive(s)
- Facebook : sur un ordinateur (pas une tablette ou un smartphone), connectez-vous à votre compte FB, puis dans Paramètres (petite flèche en haut à droite), cliquez sur "Téléchargez une copie de vos données Facebook". FB vous envoie un e-mail quand le contenu est prêt. Téléchargez. Dézippez. Lisez.
La création d’archives est longue : l’email peut arriver des heures voire 48h après. Surtout, avoir entre 1 et 10 Go — pourtant déjà compressés — à télécharger est assez fréquent : le téléchargement de(s) archive(s) prend donc couramment plusieurs heures. Pendant ce temps, ne fermez surtout pas votre navigateur web, sinon vous interromprez le téléchargement.
Comme le suggère un geek et chercheur la CNIL (ex-ARCEP), Vincent Toubiana, vous pouvez demander à Google la liste des annonceurs qui vous ciblent via Customer Match. Il explique que, concernant la liste des annonceurs, Google indique ne pas gérer de base de données avec toutes les publicités vues par un utilisateur particulier. Cela ne signifie pas que Google n’a pas cette information, mais simplement qu’elle n’est pas facilement restituable [69].
Considérez également ceci : Google s’est longtemps autorisé (prévu dans ses CGU) à analyser le contenu de vos mails GMail, y compris les propos de vos correspondants, « alors que ceux-ci n’ont jamais donné leur consentement et n’ont même jamais été informés de cette surveillance » [70]. Et même s’il a annoncé fin 2017 cesser cette pratique, des sociétés de marketing direct peuvent toujours scanner votre mailbox — avec votre consentement [71].
C’est donc pour moi un souci constant que d’éviter de laisser trop de traces au GAFAM. Autrement dit, j’essaie d’assurer un minimum de sécurité et de protection à mes données et ma vie privée. Pas un maximum, car je n’ai aucune illusion : à moins de ne jamais aller sur Internet, de ne pas avoir de smartphone et de ne rien acheter en supermarché ni par carte bancaire, il est impossible de ne pas laisser de traces.
Comment je fais ? Lisez la suite.
Recommandations et précautions pour diminuer les risques pour votre vie privée
Voici les précautions que je prends et que je recommande — si vous ne les connaissez pas déjà. Attention : ce n’est pas une protection parfaite. C’est un compromis et du "faute de mieux".
Ne vous affolez pas : parmi ces dix-neuf précautions, quatre sont des "ne pas faire" et onze se mettent en place une fois pour toutes. Et vous pouvez les mettre en place progressivement, une par une.
Un excellent endroit pour trouver des précautions complémentaires : l’article de Framasoft : De la pub ? Où ça ? (11 juin 2022)
Sommaire :
- 1. Données personnelles et fichiers temporaires de votre navigateur
- 2. Do not track
- 3. Compte Google
- 4. Chrome et 5 Cloud : testez les alternatives
- 6. Messageries instantanées
- 8. Facebook et 9. WhatsApp
- 9. GPS
- 10. Autorisations
- 11. Add-on anti-tracking
- 12. Tapez vos nom et prénom dans Google
- 13. Sur votre ordinateur : firewall, antivirus, sauvegarde, réseau wifi crypté
- 14. Mots de passe
- 15. Photos
- 16. Enceintes connectées
- 17. caméras de surveillance : n’en achetez pas
- 18. VPN
- 19. Un pas plus loin
1. Videz tous les jours les données personnelles de votre navigateur web, que ce soit sur sur ordinateur ou sur smartphone. Sur Firefox ça s’automatise dans les Options (ordinateur, Android). Sur Google Chrome, comme par hasard, il faut le faire à la main ...
NB : inutile de supprimer les mots de passe et les données de saisie automatique. En revanche, si ce n’est pas votre ordinateur, là, pensez à le faire.
2. Dans les paramètres de votre navigateur, activez la fonctionnalité "Interdire le suivi" (Do not track / Ne pas pister) (Chrome, Firefox).
Vous avez parcouru un site marchand et après, de la publicité pour les produits que vous avez consultés est affichée sur les sites que vous visitez ? La fonctionnalité Do Not Track (DNT) est censée bloquer ce comportement.
3. Si vous avez un compte Google :
- supprimez le suivi de votre activité. Connectez-vous à votre compte Google, cherchez Google Dashboard puis videz un par un les historiques de chaque application et interdisez leur pour le futur de continuer à mémoriser votre activité
- retirez aux sociétés tierces l’accès à votre boîte GMail en passant par Security Checkup.
NB : les hackers éthiques (dits aussi "white hats") estiment « qu’il vaut mieux utiliser la messagerie de la Poste plutôt qu’un GMail qui appartient à Google, réputé pour la collecte de données. Les solutions Laposte sont certifiées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Celles ci, ainsi que quatre autres solutions de messagerie ont signé la charte de l’Anssi. » [72]
4. Ne naviguez pas sous Chrome. Google Chrome est un navigateur web très ergonomique et rapide. Mais il est bourré de fonctionnalités dédiées à espionner la totalité de votre navigation [73] et il est très difficile de toutes les désactiver. Il s’agit entre autres du préchargement des pages web, de la prédiction des recherches, de l’assistance à la navigation (suggestions de pages alternatives similaires à celle à laquelle vous essayez d’accéder), de la saisie automatique dans les formulaires, du suivi des campagnes promotionnelles, de la localisation, de l’option Améliorer les recherches et la navigation (envoie les adresses des pages que vous consultez à Google) ... (cf la page sur la "confidentialité" de Chrome).
Evitez Internet Explorer — il est aujourd’hui totalement dépassé [74]. Evitez aussi de préférence son successeur Microsoft Edge.
A la place de Chrome, vous pouvez utiliser Firefox. Le navigateur de la fondation Mozilla est largement respectueux de votre vie privée — sans être parfait. Vous y perdrez un peu en rapidité mais vous pourrez bénéficier de fonctionnalités supplémentaires très pratiques grâce aux très nombreux modules (add-ons/extensions) disponibles.
A commencer par celle-ci, indispensable : sur votre smartphone Android, Firefox vous permet d’installer un filtre anti-publicités et anti-traqueurs de type AdBlock Plus (ABP) ou UBlock Origin (le meilleur des deux). Alors que Chrome sur un smartphone n’en accepte aucun ... Pour en savoir plus, voyez le point 11. infra. Pour paramétrer Firefox de manière à maximiser la protection de votre vie privée, consultez la page Firefox Privacy – The Complete How-To Guide du site Restore Privacy.
Sinon, intégrée à la version de Firefox pour ordinateur, il y a la Protection renforcée contre le pistage. Cette protection est l’héritière de l’extension Lightbeam.
Mais n’y a pas que Firefox comme alternative. Vous pouvez aussi naviguer avec :
- sous ordinateur MacOS et sous smartphone iOS, Safari d’Apple, à condition de le paramétrer correctement
- Librewolf, très bien noté par PrivacyTests.org mais seulement installable sur ordinateurs
- Brave. Pami les navigateurs "mainstream", c’est celui qui à la fois a) est le mieux "verrouillé" par défaut pour protéger votre vie privée et b) possède aussi des versions iOS et surtout Android. Il se rémunère quand même avec de la pub mais elle optionnelle. C’est vous qui choisissez (système dit de l’opt in). C’est le programme Brave rewards, qui rémunère les sites web que vous choisissez. Brave possède un anti-traqueur intégré, et il surfe plus vite que Chrome ou Firefox [75]. Autre gros avantage de Brave : les add-ons conçus pour Chrome sont compatibles avec Brave [76] — c’est normal puisque Brave est une "version" de Chromium, le projet open source dont dérive aussi Chrome
- Samsung Internet (sous Android) : le navigateur par défaut de tous les portables Samsung est recommandé par SebSauvage
- Opera. NB : le consortium chinois qui avait racheté Opera Software a sorti le navigateur de son périmètre pour pouvoir obtenir l’aval des autorités de concurrence américaines. Opera reste donc norvégien, ce qui a rassuré sur la confidentialité dans son VPN [77]
- d’autres suggestions sont listées dans la page Best Secure browsers du site Restore Privacy [78]. Voyez aussi le site PrivacyTests.org.
5. Cloud (stockage en ligne) : testez des alternatives à Google Drive [79]. Notamment Digiposte ou le service Cozy Cloud créé par le pionnier du Web français Tristan Nitot (5 Go gratuits et des fonctionnalités inédites).
Selon les hackers "white hat" interrogés par la quotidien local des Ardennes L’Union, « les trois solutions de cloud [les plus] recommandées sont : Cryptobox (certifiée ANSSI, société Ercom, groupe Thales), Tanker (certifiée ANSSI, société Kontrol) et TransfertPRO “on premise” (certifiée ANSSI, société TransfertPRO SAS). Pas de miracle : aucune de ces offres de cloud n’est gratuite.
6. Messageries instantanées : utilisez les messageries cryptées Telegram ou Signal [80] ou le courrier papier en cas de besoin de confidentialité absolue. Ce sont les recommandations de journalistes d’investigation et de spécialistes reconnus de la sécurité informatique [81].
Aux dernières nouvelles, le chiffrement des messages sur Telegram n’a toujours pas été cassé mais la pression russe est intense sur le développeur fondateur Pavel Dourov [82].
7. N’utilisez plus Facebook et désactivez ou supprimez votre compte [83]. Si les liens précédents ne marchent pas, cherchez sur le web comment faire, car FB ne le met pas du tout en avant.
Si vraiment vous ne pouvez pas vous en passer :
- apprenez au moins comment paramétrer Facebook pour limiter les dégâts [84]. Le top du paramétrage pro-vie privée de FB étant probablement la présentation PowerPoint de Serge Courrier Facebook pour les paranos : savoir régler ses paramètres de confidentialité (ok, elle date de 2005 mais tout ou presque est dedans)
- et utilisez le navigateur Firefox avec une des extensions pro-vie privée suivantes :
- Firefox Multi-Account Containers. Avec Firefox Multi-Account Containers, les cookies sont séparés par onglet contextuel, pour que vous puissiez naviguer sur le Web en utilisant plusieurs identités ou comptes simultanément
- Facebook Container [85]. Une fois téléchargée, l’extension empêche la moisson des données de navigation associées à votre compte sur le réseau social. Facebook Container stocke les informations dans un récipient virtuel. Si vous surfez sur d’autres sites, vos informations ne migrent pas avec vous, elles restent bloquées dans le container
- une alternative très partielle à Facebook Container consiste à désactiver le suivi par Facebook de vos activités. Pour cela, il faut aller sur la page Facebook Activity, se connecter à son compte FB et cliquer sur l’option "Gérer votre activité hors Facebook". Voir ici comment faire en détail.
Si vous avez juste besoin d’une messagerie et que vous ne correspondez jamais avec plus de 10 personnes, utilisez le mail. Si vous voulez vraiment une messagerie instantanée ou que vous correspondez avec de plus grands groupes, utilisez plutôt Messenger ou WhatsApp. Même si ce sont des filiales de Facebook, leur "empreinte sur la vie privée" est moindre. Mais pas nulle : par exemple, si vous installez WhatsApp, Facebook a accès à votre liste de contacts, et WhatsApp, par défaut, configure votre activité, votre photo de profil et votre actu pour qu’ils soient visibles de tous ...
8. Evitez d’utiliser WhatsApp [86].
Au minimum, verrouillez votre compte WhatsApp pour que votre activité, votre photo de profil et votre actualité ne soient pas visibles de tous.
Comment faire ? En personnalisant les paramètres du menu Confidentialité. Ouvrez les Réglages, entrez dans Compte puis dans Confidentialité et modifiez les paramètres Photo de profil, Actu et Statut pour qu’ils ne soient visibles que de vous ou de vos contacts [87].
9. Désactivez le GPS de votre smartphone des que vous n’en avez plus besoin.
Ne laissez jamais votre GPS activé en permanence. Autant indiquer à Google ou Apple non seulement où vous habitez et où vous travaillez mais également chez qui vous faites vos courses, la liste de vos amis, votre parcours de footing, chez qui vous avez passé la nuit etc.
10. Lisez et refusez si nécessaire les autorisations demandées par les app de votre smartphone.
Comme l’explique François Charron, un spécialiste québécois des sites web pour PME et excellent vulgarisateur [88] :
« En installant une application sur votre téléphone, vous lui donnez le droit d’accéder à certaines informations : votre carnet de contact, vos photos, vos textos, votre emplacement, l’appareil photo, le microphone, les informations de connexion, Wi-Fi et Bluetooth, etc. [...]
Pourquoi une lampe de poche aurait besoin d’accéder à votre agenda ? Pourquoi un jeu doit être autorisé à accéder au micro ? [...]
Sur iPhone (iOS 8 ou plus récent), vous pouvez accéder aux applications ayant demandé un accès à un type de données en allant dans Réglages > Confidentialité. Seules les apps ayant demandé un accès apparaissent.
Appuyez sur une app pour voir la liste complète de ses permissions et les modifier.Sur Android (Android Marshmallow 6.0 ou plus récent) vous pouvez voir les autorisations demandées par une app en allant dans Paramètres > Applications.
Appuyez sur une app, puis sur Autorisations pour voir la liste complète de ses permissions et les modifier.
Vous pouvez aussi savoir quelles apps ont accès à votre caméra, vos contacts, votre position ou une autre données en allant dans Paramètres > Applications. Appuyez sur l’engrenage, puis sur Autorisations de l’application. Sélectionnez ensuite une donnée pour voir la liste des apps qui y ont accès. »
Si vous voulez choisir l’app de messagerie instantanée la moins "curieuse", consultez le tableau Secure messaging Apps Comparison (Comparaison des applications de messagerie sécurisée) mis à jour depuis 2016 par Mark Williams. Vous pouvez même le copier, il est en licence libre tant que vous citez son auteur. Les seules apps de messagerie instantanée jugées sûres sont Signal, ThreemaApp et Wire.
11. Ajoutez un module/extension/add-on anti-tracking (ce qui comprend généralement de l’anti-pub) à votre navigateur web. Les meilleurs sont : Ublock Origin [89], AdBlock Plus (ABP), Ghostery et Privacy Badger (qui lui n’est orienté que anti-tracking, pas anti-pub). Pour un comparatif et plus de détails, voir How to stop browser tracking : 6 free anti-tracking browser extensions, par Aimee O’Driscoll, Comparitech, 15 juillet 2017.
Pour Pixel de tracking, « la seule solution [face au tracking publicitaire sur Internet] pour aujourd’hui reste technique, et donc non accessible à l’ensemble des utilisateurs : l’installation d’un adblocker tel que uBlock Origin sur le web ou des applis telles que DNSCloak, Adguard ou NextDNS sur iOS » [90].
Problème : sur un smartphone, que ce soit sous Android ou iPhone, il n’existe pas de module de ce type pour Chrome. Il vaut donc mieux utiliser Firefox ou Safari avec une des extensions supra. Ou le navigateur Brave, qui possède, lui, un anti-traqueur intégré.
Si vous ne voulez ou pouvez pas utiliser un "ad blocker" — par exemple, parce que certains sites vont refuser l’accès à ceux qui ne veulent pas voir de publicité —, paramétrez au moins le site pour qu’il vous "flique" le moins possible. Depuis que le Règlement général de protection des données (RGPD) est applicable, les sites web sont tenus (sauf s’ils ne collectent rien sur vous) de vous demander votre consentement.
Notez toutefois :
- que, comme mentionné plus haut, la technique du "fingerprinting" identifiera généralement sans problème votre navigateur web, donc vous. Les navigateurs Brave et Tor Browser sont toutefois conçus pour lutter contre cela
- qu’une enquête du centre de recherche International Computer Science Institute, partenaire de l’Université de Californie à Berkeley, a révélé que des milliers d’applications populaires du Google Play Store peuvent contourner l’interdiction des utilisateurs de collecter leurs données. Les chercheurs ont contacté Google pour faire part de leurs découvertes, et l’entreprise leur a versé une prime pour leur travail. Google indique que les problèmes seront traités dans la prochaine grande mise à jour d’Android, appelée Android Q, qui est attendue plus tard en 2019 [91].
Une autre technique anti-tracking est l’injection de bruit ("noise" ou "data poisoning") et d’obfuscation [92]. L’add-on (extension de navigateur, en français) TrackMeNot (TMN) [93] maintenu par Vincent Toubiana, est un moyen simple pour noyer vos recherches au milieu d’autres factices. TMN lance fréquemment des recherches sur les moteurs que vous choisissez (par exemple Yahoo !, Google ou Bing). TrackMeNot cache vos recherches dans un nuage de recherche "fantômes" afin de complexifier le profilage des utilisateurs et de le rendre inefficace.
Exemples de trackers bloqués par Ublock Origin sur une page du site Le Point.fr
12. Tous les mois, tapez vos nom et prénom dans Google, ainsi que ceux des membres de votre famille. En cas de publication de données personnelles ou d’informations privées, contactez l’adresse de contact et en cas de refus d’effacer, invoquez la loi CNIL et le règlement européen sur la protection des données personnelles (RGPD). Double refus ? Signalez-le à la CNIL.
13. Sur votre ordinateur :
- utilisez un pare-feu en permanence ("firewall"). Un firewall ferme automatiquement les "portes" électroniques et logicielles ("ports") inutilement ouvertes de vos appareils. Il est particulièrement utile si vous surfez sans routeur, c’est-à-dire sans "box" [94]. Par exemple, si vous utilisez un ordinateur portable doté d’une clé 4G, vous avez clairement besoin d’un parefeu. Sous Windows, depuis la version 7, il est activé par défaut. D’autres pare-feux gratuits sont disponibles, mais celui de Microsoft fait correctement son travail. Il est en revanche très difficile à paramétrer. Donc, pour des besoins précis ou évolutifs, préférez-lui un concurrent : ZoneAlarm, Comodo, TinyWall (qui améliore le parefeu de Windows, particulièrement sur le plan du paramétrage) ... NB : un pare-feu ne peut être installé sur un smartphone que si on a "rooté" (Android) ou "jailbreaké" (iOS) celui-ci, mais son intérêt est moindre que sur un ordinateur
- ayez un antivirus et tenez le à jour. Microsoft Defender (à partir de Windows 10), F-Secure, BitDefender, Kaspersky, McAfee, Trend Micro voire Norton de Symantec font bien le job. NB : Avast est un des meilleurs et il est gratuit pour les particuliers MAIS je ne le recommande plus : ses extensions/modules pour navigateurs web collectaient toute votre navigation dans votre dos et la vendaient et depuis peu c’est le logiciel lui-même, si vous "optez-in", qui le fait (Avast a toutefois été racheté par Norton et cela pourrait changer quelque peu les choses). NB : pour l’instant, les antivirus sont inutiles sur les smartphones
- sauvegardez vos données, soit sur le cloud, soit sur une (grosse) clé USB ou un disque dur externe
- ayez un vrai mot de passe (plus de 8 caractères, complexe, cf 14. infra) pour l’accès à l’interface d’administration de votre box
- vérifiez que votre réseau wifi est crypté en WPA avec une clé assez longue et complexe (cf 11. infra) [95].
Le logiciel anti-virus Avast et son opt-in. Ne cochez *aucune* case si vous l’utilisez. Mieux : remplacez-le
14. Utilisez des mots de passe différents d’un site à l’autre et complexes (avec des chiffres, des majuscules, des caractères non alphabétiques etc., voir ces recommandations très complètes). Vous pouvez le faire générer par un générateur de mot de passe solides.
Si retenir et saisir tous ces mots de passe vous fatigue, utilisez un gestionnaire de mots de passe. Parmi les gestionnaires de mots de passe recommandés : 1Password, Dashlane (payants), mais surtout (à condition d’être un peu geek) KeePass/KeeFox/KeeWeb (les deux dernières appellations sont des versions de KeePass). Ce dernier est open source, entièrement et efficacement crypté, vous seul en avez la "clé" et il est recommandé par le gendarme informatique de l’Etat français. Autrement dit, il a reçu la certification de l’autorité nationale de sécurité informatique (ANSSI). Il ne dispose pas de version mobile officielle, mais des versions compatibles existent (Keepass2Android ou le site web mobile/web app de KeeWeb, par exemple) [96].
Pour Dashlane, la version smartphone est payante.
Si vous êtes sous Mac, utilisez 1Password.
Biens sûr, comme rien n’est parfait en ce monde, vous prenez quand même un risque. Les gestionnaires de mots de passe ne sont pas totalement blindés contre des attaques [97]. Le gestionnaire de mots de passe OneLogin, par exemple, s’est fait pirater mi-2017. OneLogin comptait des millions de clients et parmi eux plus de 2000 entreprises dans une dizaine de pays ... [98] Et LastPass s’est fait hacker, moins gravement, en 2015 [99] mais gravement et à deux reprises en 2022 [100]. De ce point de vue, c’est probablement KeePass le plus secure (mais pas totalement [101]) : le conseil, ici, c’est de fermer son gestionnaire de mots de passe quand on ne l’utilise pas, plutôt que de simplement le verrouiller.
15. Ne postez pas de photo de vous avec votre nom dessous (ou pas loin) sur des sites plus ou moins publics (comme ... Facebook ou Youtube, par exemple). Parce que quantité de sociétés louches et "border line" les collectent avec votre identité et permettent ensuite à n’importe qui prêt à payer une certaine somme de vous identifier n’importe où (par exemple, sur un site LGBTIQ+ ou d’échangisme ...). PimEyes, même quand le photographié le leur demande expressément, ne supprime pas ses photos. Facebook et Youtube, que PimEyes a massivement "scrapé", sont en train de les poursuivre par voie judiciaire [102].
La société probablement la plus riche en photos possède plus d’1 milliard de profils avec photo. Elle s’appelle PimEyes, a été créée par deux étudiants polonais, viole le RGPD et est poursuivie par diverses autorités en matière de données personnelles.
16. A propos des enceintes connectées, mon conseil est simple : n’en achetez pas. Car non seulement vous risquez d’oublier d’éteindre le micro de ce mouchard, mais en plus, vous pouvez faire quasiment la même chose avec les applications de votre smartphone, qui se comporte déjà comme un super mouchard.
Si vous tenez absolument à acheter une enceinte connectée [103], la CNIL, dans un guide récent [104] conseille de :
- ne pas partager de données personnelles avec l’assistant vocal de l’enceinte (« Chérie, c’est quoi déjà le numéro de la CB du compte commun ? » ...)
- quand elle n’est pas utilisée, couper le micro de l’enceinte (pour Google Home et Amazon Echo, il y a un bouton physique, mais pour le Home Pod d’Apple, il faut désactiver cela via son iPhone ou en disant « Dis, Siri, arrête d’écouter »), ou même carrément l’éteindre
- avertir les tiers/invités de l’enregistrement potentiel des conversations (ou couper le micro lorsqu’il y a des invités)
- encadrer les interactions des enfants avec ce type d’appareils (rester dans la pièce, éteindre le dispositif lorsqu’on n’est pas avec eux).
Comme vous le voyez, les recommandations de la CNIl ne seront pas faciles à implémenter, alors suivez mon conseil : évitez vraiment les enceintes si vous tenez au respect de votre vie privée et n’aimez pas être profilé.
17. Et à propos des caméras de surveillance connectées à Internet, même conseil : n’en achetez pas. Elles sont généralement faciles à hacker. Et dissuadez vos voisins de le faire. Tout particulièrement si la caméra est tournée vers l’extérieur. Car alors, c’est vous qui êtes surveillés. De plus, en droit français, c’est interdit [105].
Prenez l’exemple d’Ashley LeMay aux USA : elle avait acheté une caméra de surveillance Amazon Ring parce qu’elle pensait que sa famille serait en sécurité. Mais au bout de seulement quatre jours, un adulte a piraté la caméra qu’elle avait placée dans la chambre de ses trois jeunes filles. Il s’en est servi pour traquer les enfants et a même parlé à Alyssa, 8 ans, à travers la caméra, en lui disant : « Je suis le Père Noël. Tu ne veux pas être mon meilleur ami ? » [106] Il y a plein d’autres exemples inquiétants [107].
Et ne vous faites pas d’illusions : la sécurité dont parle le marketing des caméras de surveillance ou les hommes politiques est essentiellement psychologique. Ainsi, la société de sonnettes vidéo américaine Ring dit que ses appareils réduisent la criminalité, mais les soi disant preuves n’en sont pas vraiment [108]. Au mieux, les caméras déplacent la délinquance et la criminalité ailleurs. Au pire, les délinquants s’y habituent ... et continuent. Ainsi que l’explique Sébastian Roché, chercheur spécialiste du sujet, « la vidéosurveillance ne diminue pas la délinquance, sauf dans certains lieux délimités ou clos, tels des parkings. Elles contredisent les études effectuées sans méthode rigoureuse, toutes peu fiables, à l’instar de celles produites aujourd’hui encore en France. » [109]
18. N’utilisez pas un VPN gratuit
Sous smartphone, les applications de VPN gratuites pullulent. Attention, danger !
Si vous avez envie d’essayer un VPN, avant de vous décider pour voir si vous en avez vraiment besoin, ne faites jamais l’erreur d’installer un VPN gratuit trouvé sur le Net. Optez plutôt pour la période d’essai d’un VPN *payant* et reconnu ou pour les solutions de Firefox et Opéra [110].
En effet, comme l’explique Génération NT, pour un particulier, un réseau privé virtuel (VPN) :
- n’est que rarement nécessaire [111]
- « pourquoi ne faut-il jamais faire confiance à un VPN gratuit ? Parce qu’un VPN gratuit gagne de l’argent en collectant et en revendant toutes vos informations. Or, elles sont très nombreuses puisque chaque page ouverte transite par des serveurs qui lui appartiennent »
- et les VPNs gratuits sont limités en performances (ceux de Firefox et Opera) [112].
Pour aller plus loin sur les VPN pour particuliers, lisez l’article (en accès gratuit) de NextINpact.
19. Allez un pas plus loin :
- réclamez une application stricte et systématique de la nouvelle réglementation RGPD (le nouveau règlement européen de protection des données), voire son amélioration. Car le consentement est trop souvent donné sans lire les conditions d’utilisation de x pages de long. Et il est devenu très difficile de se passer d’Internet. Comme le soutient par exemple Zeynep Tufekci, enseignante à l’Université de Caroline du Nord et Harvard et chroniqueuse au NY Times, considérer la défense de l’intimité et de la vie privée et de nos données ("data privacy") comme une responsibilité individuelle n’est plus adéquat : celles-ci devraient désormais être considérées comme un bien public, comme l’air, ou encore comme une liberté publique, telle la liberté d’expression [113]
- appuyez une évolution du droit de la concurrence en matière de pratiques anticoncurrentielles. Ça n’a rien que de normal : aux Etats-Unis, entre les deux guerres, les pratiques de la Standard Oil amenèrent les politiciens américains à réguler plus avant les monopoles et oligopoles. Un des tout premiers investisseurs de Facebook et spécialiste du secteur du Big Data, Roger McNamee, réclame une telle évolution dans le Financial Times [114]
- si vous êtes un épargnant avisé, un investisseur ou un entrepreneur geek, soutenez ou créez les entreprises technologiques européennes de demain, aussi bien celles respectueuses de la vie privée que celles, surtout, qui la protègeront. Car comme l’explique Bernard Benhamou, secrétaire général de l’Institut de la souveraineté numérique, un institut privé, sinon, nous sommes condamnés à vivre avec le business modèle de la surveillance [115].
D’autres recommandations et outils pour protéger vos données et vos appareils sont disponibles sur :
- De la pub ? Où ça ?, Framasoft, 11 juin 2022
- la rubrique Fraudes et sécurité du site de François Charron
- Comment rendre mes messages et mes fichiers réellement privés ? par la rédaction de Futura
- ce blog d’un historien et professionnel des médias, Antoine Lefébure : Comment protéger sa vie privée sur Internet, 23 février 2014. Il s’agit d’un guide abrégé, réalisé d’après les recommandations de Reporters sans frontières (RSF) et du journaliste d’investigation Jean-Marc Manach, spécialisé en renseignement et sécurité informatique
- Comment protéger ses sources ?, par Jean-Marc Manach, INA Expert, octobre 2012
- L’obfuscation, technique modeste mais efficace dans le monde de la surveillance, Orange Digital Society Forum, 20 avril 2019. « L’obfuscation consiste à créer du bruit calqué sur le modèle d’un signal existant, de manière à produire un ensemble confus de données ambiguës pour rendre difficile leur exploitation, et leur manipulation » expliquent les chercheurs américains Helen Nissenbaum et Finn Brunton, dans leur livre traduit en français, Obfuscation
- deux sites sérieux, réputés et régulièrement mis à jour :
- Privacy Tools
- Restore Privacy, un site tenu par Sven Taylor.
Pour aller plus loin en sécurité informatique (dite aussi cybersécurité), vous pouvez :
- jusqu’en avril 2019, suivre gratuitement le MOOC (cours en ligne) SecNum Académie de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)
- vous joindre à l’action de groupe de la Quadrature du Net contre le non respect de nos données et de de notre vie privée par les GAFAM.
NB : les risques pour les entreprises sont moindres, tant en termes de domination économique que de mainmise sur les données (des entreprises), comme le fait remarquer Olivier Ezratty, consultant spécialiste du secteur informatique et de l’intelligence artificielle [116]. Pour autant, ils ne sont pas du tout inexistants, loin de là [117].
Vous avez d’autres pratiques de protection de votre vie privée à recommander ? Les commentaires sont ouverts.
Emmanuel Barthe
Notes
[1] Taux de pénétration du portable en France par âge, Statista, décembre 2918.
[2] De son vrai nom "conditions d’utilisation et règles de confidentialité". En anglais "terms of service (TOS) and privacy policy".
[3] Tech Companies Say They Care, par Charlie Warzel et Stuart A. Thompson, New York Times, 10 avril 2019. Cet article fait partie d’une série du NYT nommée The Privacy Project.
[4] 10 trucs que j’ignorais sur Internet et mon ordi (avant de m’y intéresser …), par Pouhiou, 23 novembre 2016.
[5] Study reveals Android phones constantly snoop on their users, par Bill Toulas, Bleepig Computer, 12 octobre 2021. Voir surtout l’étude résumée par l’article, car elle-même plus claire et plus précise : Android Mobile OS Snooping By Samsung, Xiaomi, Huawei and Realme Handsets, par Haoyu Liu, Paul Patras, Douglas J. Leith, Université d’Edimbourg et Trinity College Dublin, 6 octobre 2021, PDF, 12 pages. Extrait de l’étude : « S’il n’est peut-être pas surprenant qu’un système d’exploitation axé sur la protection de la vie privée tel que /e/OS ne collecte presque aucune donnée, il fournit néanmoins une base de référence utile et établit que la collecte extensive de données par un système d’exploitation mobile n’est ni nécessaire ni essentielle, mais plutôt un choix fait par le développeur du système d’exploitation. Bien qu’il faille s’attendre à une transmission occasionnelle de données au développeur de l’OS pour vérifier les mises à jour, etc., comme nous le verrons, la transmission de données observée par les variantes Android de Samsung, Xiaomi, Huawei, Realme et LineageOS va bien au-delà. »
[6] We Need to Take Back Our Privacy, par Zeinep Tufekci, The New York Times, 19 mai 2022. From the Capitol riot to Black Lives Matter rallies, digital forensics guru Josiah Roloff has seen just how easy it is for the government to track your movement, par Daniel Walters, Inlander, 17 juin 2021.
[7] Vie privée : les internautes, même précautionneux, pistés à leur insu, Le Monde.fr, 12 avril 2022. La méthode de l’empreinte est considérée comme très efficace par des articles scientifiques.
[8] Browser Fingerprinting Protection : How to Stay Private, par Sven Taylor, Restore Privacy, 23 février 2022.
[9] Quand on parle de vente ici, il faut préciser que c’est une activité avec des chiffres d’affaires énormes et des marges souvent inhabituelles. Cf les bénéfice et taux de rentabilité nets (pourcentage du bénéfice rapporté au chiffre d’affaires) pour l’exercice 2018 :
- Google : 30 milliards de dollars US de bénéfice net : 22% de taux de rentabilité net
- Apple : 59 milliards de dollars US : 22% de taux de rentabilité net, là aussi
- Facebook : 22 milliards USD : quasiment 40% de taux de rentabilité net
- Amazon : 10 milliards USD : seulement 4% de taux de rentabilité net (c’est normal : Amazon est d’abord un distributeur, et les marges dans la grande distribution sont traditionnellement faibles ou moyennes)
- Microsoft : 16 milliards USD : 16% de taux de rentabilité net.
[10] New evidence to regulators : IAB documents reveal that it knew that real-time bidding would be “incompatible with consent under GDPR”, 20 février 2019. Extrait :
« De nouvelles preuves, extraites de documents de Google et de l’IAB (Interactive Advertising Bureau, l’organisme de normalisation du secteur), montrent que le système de vente aux enchères en ligne [pour acheter des emplacements publicitaires sur des pages web] diffuse des données extrêmement sensibles sur les utilisateurs du Web. Cela se produit des centaines de milliards de fois par jour. Aucun contrôle technique n’empêche des milliers d’entreprises recevant ces données de surveiller ce que chaque internaute lit, surveille et écoute en ligne.
Le "cadre de transparence et de consentement" de l’IAB (règles de l’IAB) est devenu de facto le système de consentement RGPD pour les principaux sites web. Mais ces nouvelles preuves révèlent également que l’IAB :
- savait que les enchères en temps réel seraient "incompatibles avec le consentement en vertu du RGPD" avant même d’avoir lancé le système
- et craignait de surcroît que ses règles relatives aux enchères publicitaires, qui régissent le secteur de la vente aux enchères en ligne en temps réel (qui représente un chiffre d’affaires de 12 milliards d’euros en Europe), soient non conformes au RGPD.
[...] Il y a une solution simple à tout cela. Le système IAB RTB permet à 595 types différents de données d’être inclus dans une demande d’offre. 4% de ceux-ci devraient être interdits ou tronqués. [...] "Nous voulons réformer les technologies informatiques et non pas les tuer", a déclaré le Dr Johnny Ryan de Brave. Ces nouveaux éléments mettent en lumière la faille informatique massive au cœur du système de publicité en ligne. L’IAB et Google a le pouvoir de résoudre ce problème."
"L’industrie de la publicité en ligne a répandu le mythe selon lequel le fonctionnement actuel du système est le seul moyen possible. C’est tout simplement faux", a déclaré Michael Veale de l’University College de Londres. "Un système meilleur, plus sécurisé et moins invasif est à la portée de la main et les régulateurs doivent être à l’avant-garde de sa réalisation. Les infrastructures matérielles et logicielles en ligne doivent être conçues en visant dès le départ la protection de la vie privée et des données personnelles." »
Les éléments de preuves ont été présentés par Jim Killock, directeur exécutif de l’Open Rights Group, par Michael Veale de l’University College de Londres et par le Dr Johnny Ryan de Brave, un navigateur web. Cela fait partie d’une importante action en justice contre le système de vente aux enchères en ligne en cours au Royaume-Uni, en Pologne et en Irlande. Voir sur https://brave.com/update-rtb-ad-auction-gdpr/
[11] Le consentement explicite et positif dans le RGPD, LegalPlace. Le consentement explicite et positif de la personne concernée par le traitement des données n’est pas requis s’il existe une raison définie d’avance par la loi au traitement des données. Le consentement n’est donc généralement pas obligatoire dans les cas suivants :
- existence d’un contrat entre l’entreprise traitant les données et la personne concernée par le traitement
- obligation légale pour l’entreprise de traiter des données personnelles
- traitement de données réalisé par les pouvoirs publics
- intérêts légitimes du traitement des données pour le responsable du traitement.
[12] Il n’a normalement pas le droit de les révéler, sauf plainte ou réquisition d’un Etat.
[13] J’ai plusieurs fois eu des suggestions de LinkedIn de me mettre en relation avec des personnes dont la seule connexion avec moi était un message GMail échangé récemment.
[14] LinkedIn Dark Patterns or : Why Your Friends Keep Spamming You to Sign Up for LinkedIn, par Dan Schlosser, Médium, 15 juin 2015.
[15] Pour ne pas parler de ceux qui utilisent des moyens totalement cachés et illégaux.
[16] J’ai fouillé dans les données que j’ai envoyées à Facebook depuis onze ans (et le résultat m’a donné le vertige), par Vincent Matalon, France Télévisions, 25 mars 2018. En avril 2018, à l’occasion des auditions de Mark Zuckerberg au Courant, le New York Times a publié trois articles très instructifs sur la collecte de données personnelles par FB : I Downloaded the Information That Facebook Has on Me. Yikes, How Facebook Lets Brands and Politicians Target You, What You Don’t Know About How Facebook Uses Your Data. Par exemple, le premier de ces articles explique que la plupart des informations de base, comme la date d’anniversaire, ne peut être retirée. Plus important, les données que l’auteur trouve contestables, comme la liste des personnes qu’il a "unfriendées" (notamment ses ex-petites amies), ne peuvent pas non plus être ôtées de FB. Le second article fait froid dans le dos : il explique très concrètement le type de critères et le niveau de précision avec lequel sont ciblées les publicités grâce aux outils que Facebook fournit à ses clients. Facebook peut par exemple cibler, pour n’importe quel annonceur ou parti politique, toutes les personnes vivant à Philadelphie, étudiant la philosophie à l’université, ayant 21 ans, ayant acheté un T-shirt bleu l’année dernière, névrosé, gagnant moins de 28 000 $ par an, projetant d’acheter un minivan dans les six prochains mois, s’intéressant au camping et dont les intérêts s’alignent sur ceux des Afro-Américains. Et fournir en plus tous les utilisateurs Facebook ressemblant à ce profil.
[17] Ce thread est également disponible sur Thread Reader.
[18] Ce qui rappelle le mantra du marketing, de la publicité et de la surveillance à l’heure d’Internet : plus on fiabilise et on croise les données, plus elles ont de valeur.
[19] Il faut forcer les algorithmes à apprendre l’oubli, par Thibault Prévost, Korii, 17 juin 2019. The Next Big Privacy ? Teaching AI to forget, par Darren Shou, Wired, 12 juin 2019. Facebook told advertisers it can identify teens feeling ’insecure’ and ’worthless’, par Sam Levin, The Guardian, 1er mai 2017. What Are ’Data Brokers,’ and Why Are They Scooping Up Information About You ?, par Yael Grauer, Motherboard, 27 mai 2019.
[20] WhatsApp to start sharing user data with Facebook, par James Vincent, The Verge, 25 août 2016.
[21] What Facebook knows about you, vidéo par J. Angwin, T. Parris Jr. et S. Mattu, ProPublica, 28 septembre 2016. Cité in La protection des données personnelles face aux algorithmes prédictifs, par Jean-Marc Deltorn, Revue de droit des libertés fondamentales (RDLF) 2017, chronique n° 12.
[22] J’ai voulu savoir qui avait vendu mes données personnelles et je suis tombée dans un puits sans fond, par Perrine Signoret, Numerama, 25 avril 2019.
[23] How Trump Consultants Exploited the Facebook Data of Millions, par Matthew Rosenberg, Nicholas Confessore, Carole Cadwalladr, New York Times, 17 mars 2018. C’est un des deux articles d’origine qui ont mis le feu aux poudres, avec le reportage de Channel4. L’autre est celui de The Observer, l’hebdomadaire britannique du Guardian.
[24] Zuckerberg hearing : Facebook founder atacked by US politcians for site’s "bias and failure to protect users - As it happened, par Anthony Cuthbertson et Andrew Griffin, The Independent.co.uk, 11 avril 2018. Le patron de Facebook est — on parle ici de réalité, pas de communication — suffisamment peu coopératif sur ce sujet pour qu’un avocat ancien de la CNIL et spécialiste des données personnelles dise tout haut ce que beaucoup pensent tout bas : à savoir que FB (et donc son patron actuel) gagnerait à ce qu’il en quitte la direction.
[25] Sources : Palantir worked with Cambridge Analytica on the Facebook data it acquired, whistleblower alleges, CNBC 27 mars 2018. Palantir Knows Everything
About You, par Peter Waldman, Lizette Chapman et Jordan Robertson, Bloomberg, 18 avril 2018. Palantir, l’encombrant ami américain du renseignement français, par Olivier Tesquet, Telerama.fr, 27 janvier 2017.
[26] You Give Apps Sensitive Personal Information. Then They Tell Facebook, par Sam Schechner et Mark Secada, Wall Street Journal, 22 février 2019.
[27] Retour sur nos analyses d’applications mobiles utilisant Facebook réalisées pour le Wall Street Journal, Defensive Lab Agency, 26 février 2019.
[28] WhatsApp co-founder : ’I sold my users’ privacy’ with Facebook acquisition, CNet, 26 septembre 2018.
[29] Espionnage : WhatsApp corrige une importante faille de sécurité, par Kesso Diallo, Le Figaro.fr, 14 mai 2019. WhatsApp, faille que vaille, par Pierre Alonso, Liberation.fr, 1er août 2019.
[30] Pourquoi WhatsApp ne sera jamais sécurisé, par Damien Bancal, Zataz, 16 mai 2019.
[31] Cookies, mouchards : comment vous êtes suivis sur Internet, Le Monde.fr (Les Décodeurs), 30 mars 2018. Uniquely Me !, par Brian Hayes, American Scientist, mai 2019.
[32] Number of active Amazon customer accounts worldwide from 1st quarter 2013 to 1st quarter 2016 (in millions), Statista.
[33] Amazon Has Over 100 Million Prime Members, par Jonathan Vanian, Fortune.com 19 avril 2018.
[34] Dans la jungle
d’Amazon, Les Echos.fr, 18 février 2019. Infographie de Dominique Muller, textes de Sophie Amsili, Lucas Mediavilla et Nicolas Richaud. Développement : Jules Grandin. Supervisé par Pascal Pogam.
[35] Samsung s’apprête également à vendre ses propres enceintes, tant ce marché est prometteur.
[36] Faut-il avoir peur des enceintes connectées dans nos maisons ?, par Patrick Cappelli, La Tribune, 15 décembre 2018.
[37] Assistants vocaux et enceintes connectées, étude HADOPI / CSA, 28 mai 2019, p. 47.
[38] Amazon Workers Are Listening to What You Tell Alexa, par Matt Day, Giles Turner, Natalia Drozdiak, Bloomberg, 11 avril 2019.
[39] Comme Amazon, Google peut écouter les conversations avec son enceinte connectée, par Alexis Zema, 11 juillet 2019.
[40] Why Microsoft and Apple don’t need to sell your data, par Leonid Bershidsky, 3 avril 2018.
[41] 56 pages, PDF, 15 août 2018. Publiée et résumée par Digital Content Next (DCN), ex-Online Publishers Association sur leur site. Version française du résumé sur Presse-Citron, 27 août 2018. Version française de l’étude : traduction par l’équipe Framalang de Framasoft, une association dédiée à construire une informatique plus libre et avec moins de GAFAM.
[42] Google Is Collecting Your Data—Even When Your Phone Isn’t in Use, par Kelsey Sutton, 21 août 2018. Extraits (traduction par nos soins) : « Un appareil Android inactif a envoyé 900 échantillons de données à Google en 24 heures. [...] La plupart de ces précieuses données personnelles et de localisation sont collectées alors que les utilisateurs ne sont pas informés de leur collecte ou qu’ils n’utilisent même pas activement leur téléphone. Les chercheurs ont constaté que même si les consommateurs évitent les applications Google et les appareils Android, Google est toujours en mesure de collecter une quantité considérable de données d’utilisateurs à l’aide des outils de publicité numériques fournis aux annonceurs et aux éditeurs. Et même si les utilisateurs Android désactivent le Wi-Fi sur les appareils Android, l’emplacement de l’appareil est toujours suivi et envoyé à Google. [...] Si un utilisateur décide de renoncer à l’utilisation de tout produit Google et ne visite que des pages web non Google, le nombre de fois que les données sont communiquées aux serveurs de Google reste étonnamment élevé. [...] Au cours du dernier trimestre, plus de 85% des revenus d’Alphabet, la société mère de Google, provenaient de la publicité, selon les documents déposés par la société. »
[43] Protection de la vie privée : Apple montre ses muscles face à Google et Facebook, par Anais Moutot, Les Echos.fr, 28 mai 2019. Article certes écrit après que les Echos aient été reçus par Apple à son siège de Cupertino (Californie), mais les faits cités sont exacts.
[44] Can Apple change ads ?, par Benedict Evans, son blog, 3 mai 2021.
[45] Many popular iPhone apps secretly record your screen without asking, par Zack Whittaker, TechCrunch 6 février 2019.
[46] How does Apple (privately) find your offline devices ?, par Matthew Green, sur son blog A Few Thoughts on Cryptographic Engineering, 5 juin 2019. M. Green est cryptographe et enseignant au département des sciences de l’informatique de l’Université Johns Hopkins (Baltimore, Maryland, Etats-Unis).
[47] Apple suspend l’écoute de nos conversations privées avec son assistant vocal, par Alexis Zema, LeFigaro.fr, 29 juillet 2019. Apple contractors ’regularly hear confidential details’ on Siri recordings, par Alex Hern, The Guradian, 26 juillet 2019. Extrait de l’article du Figaro : « Le programme peut capturer des discussions contenant des informations sensibles. Des employés d’Apple avouent être tombés sur des échanges privés entre médecins et patients, des accords commerciaux et même des relations sexuelles.
[48] Derrière les assistants vocaux, des humains vous entendent, La Quadrature du Net, 18 mai 2018.
[49] This Is So Much Bigger Than Facebook — Data misuse is a feature, not a bug—and it’s plaguing our entire culture, par Ethan Zuckerman, The Atlantic, 20 mars 2018.
[50] Facebook’s Cambridge Analytica problems are nothing compared to what’s coming for all of online publishing, par Doc Searls, Doc Searls Weblog, 23 mars 2018.
[51] Corporate Surveillance in Everyday Life : How Companies Collect, Combine, Analyze, Trade, and Use Personal Data on Billions, par Wolfie Christl, avec Katharina Kopp et Patrick Urs Riechert, Cracked Labs, juin 2017. Version complète (93 pages, PDF) de cette étude financée par l’Open Society Foundation.
[52] RGPD et conservation des données : deux poids, deux mesures de mise en conformité, par Marc Rees, NetxInpact, 11 avril 2018.
[53] La mauvaise utilisation des données est une caractéristique pas un bug !, par Hubert Guillaud, Internet-Actu, 5 avril 2018.
[54] The Internet’s Original Sin, par Ethan Zuckerman, directeur du Centre pour les médias civiques au MIT, The Atlantic, 30 août 2014.
[55] En anglais : data brokers. Aux Etats-Unis, on dénombre entre 2500 et 4000 courtiers de données qui font des affaires en achetant et vendant des données personnelles.
[56] Surveillance is the Business Model of the Internet : Bruce Schneier, par Fahmida Y. Rashid, SecurityWeek, 9 avril 2014.
[57] The Privacy Project, The New York Times, 12 avril 2019. Accès limité à quelques articles gratuits.
[58] Traduction par nos soins.
[59] C’est la thèse défendue dans Le Monde daté du 6 février 2018 par plusieurs signataires, dont le député LREM Bruno Bonnell (investisseur et dirigeant dans la robotique), le (très) libéral dirigeant du think tank Génération Libre Gaspard Koenig et l’informaticien Jaron Lanier (« Nos données personnelles nous appartiennent : monétisons-les ! »). Voir aussi Faire payer les données : le pavé dans la mare de Gaspard Kœnig, Le Point.fr 24 janvier 2018. C’est aussi l’objet social de la start-up tricolore Weward, qui s’est lancée en mars 2019.
[60] Selon le Monde.fr : Transcrire une vidéo de 35 secondes, 5 cents. Ecrire la description commerciale d’un produit, 12 cents. Noter des photos d’hommes pour un site de rencontres, 3 cents. Répondre à une étude scientifique, 10 cents. Une étude publiée par l’ACM (Association for Computing Machinery, une des sociétés savantes d’informatique les plus réputées) explique que les "turkers" sont payés en moyenne moins de 50% du salaire minimum américain. The Labor Economics of Paid Crowdsourcing, par John Horton, Lydia Chilton, Proceedings of the 11th ACM conference on Electronic commerce, 2010 : 209. arXiv:1001.0627.
[61] I sold my data for crypto. Here’s how much I made, par Gregory Barber, Wired, 17 décembre 2018. Comment (mal) gagner sa vie en vendant ses données, par Marine Protais, L’ADN, 8 mars 2019.
[62] Valoriser ses données personnelles ? 3 scénarios, par Alain Rallet, Université Paris XI-Sud, Département d’économie, 2018.
[63] Tristan Nitot : Facebook a « laissé faire » Cambridge Analytica, propos recueillis par Guillaume Grallet et Guerric Poncet, Le Point.fr 22 mars 2018. Vous pouvez aussi lire cette intervention de T. Nitot à la Rencontre nationale des Directeurs de l’innovation (Cloud, vie privée et surveillance de masse, juin 2015) et son ouvrage surveillance :// publié en 2016.
[64] How Obama’s Team Used Big Data to Rally Voters, par Sasha Issenberg, MIT Technology Review, janvier-février 2013.
[65] « Après l’élection de Trump, Facebook a réalisé que son algorithme avait permis aux pages qui diffusaient des fake news de gagner en audience et d’influer sur le résultat final du vote.
En janvier 2018, Facebook a donc changé son algorithme, pour que ses utilisateurs soient moins exposés aux publications de pages, et plus exposés aux publications de leurs proches. " Facebook souhaitait rassembler des communautés locales aux intérêts similaires " écrit Roman Bornstein, qui ajoute :
" Le lien entre ce changement d’algorithme et le succès viral des gilets jaunes est direct. Il suffit de s’inscrire dans deux ou trois de leurs groupes Facebook pour le constater : dès lors que l’utilisateur y est admis, 80% de son fil d’actualité est désormais composé de publications issues de ces groupes. Plus rien d’autre ne semble exister dans le monde en dehors de l’actualité des « gilets jaunes » et des centaines de liens, de vidéos et de commentaires outrés auxquels l’internaute est exposé à chaque connexion. Celui-ci se retrouve alors prisonnier volontaire d’une bulle cognitive où tout concourt à renforcer sa détermination en l’isolant des informations discordantes et des avis opposés.
Ce recentrage affectif et géographique dans la hiérarchisation de l’information sur Facebook est un tournant majeur. Que Priscillia Ludosky et Eric Drouet, les deux internautes à l’initiative de la mobilisation en ligne, soient originaires du même département ne doit rien au hasard. Ils ne se connaissaient pas : c’est le nouvel algorithme de Facebook qui, détectant des intérêts communs et une proximité spatiale, les a mis en contact. La propagation du mouvement en province a obéi à la même logique et au même mécanisme. "
Il est ici intéressant de s’arrêter sur la manière dont s’affichent et se hiérarchisent les publications et les commentaires sur ces groupes [Facebook]. Ces paramètres peuvent être modifiés. Cependant, par défaut, la plateforme ne met pas en avant les publications les plus récentes, mais celles ayant suscité le plus de réactions, que celles-ci soient positives ou négatives. Parce que ce sont eux qui attirent le plus l’attention et attisent les émotions, ce sont les messages les plus virulents, les articles aux titres les plus spectaculaires, les commentaires les plus indignés, qui suscitent le plus de réactions. C’est donc ce type de contenu qui va s’afficher en premier lorsqu’un gilet jaune se connecte sur un groupe pour suivre son actualité. Mécaniquement, les membres les plus extrémistes des groupes Facebook parviennent ainsi à imposer leurs thèmes et à définir les termes d’un débat qu’ils finissent donc par contrôler. »
Extraits de 9 leçons à tirer du mouvement des gilets jaunes pour les prochaines années, par Clément Jeanneau, Signaux faibles, 17 janvier 2019 et de En immersion numérique avec les gilets jaunes, par Roman Bornstein, Fondation Jean Jaurès, 14 janvier 2019.
[66] NB : votre localisation (par le GPS et/ou les réseaux Wifi) est une de vos données personnelles les plus importantes (avec vos achats, votre identité et votre profession). Votre localisation, combinée à une carte et aux localisations des autres personnes, dessine votre domicile, votre employeur, vos relations, y compris sexuelles, les commerces où vous faites vos courses. On peut en déduire votre catégorie socioprofessionnelle et vos revenus.
[67] Yellow vests flooded by fake news, Avaaz Report, version 1.2, 15 mars 2019.
[68] Pour être précis, les GAFA ne vendent pas "vos" données, mais des données résultant directement de vos données.
[69] A la recherche des annonceurs qui me ciblent, par Vincent Toubiana, Unsearcher, 19 février 2019.
[71] Google : Apps Can Scan And Share Your Gmail Data, With Consent, par Michael Kan, PC Mag, 20 septembre 2018.
[72] Les conseils des hackers pour mieux protéger ses données, par Catherine Frey, L’Union, 28 janvier 2020.
[73] Pourquoi vous ne devriez pas utiliser Google Chrome, Révolte numérique, 23 avril 2014.)
[74] De plus en plus d’éditeurs de services en ligne et bases de données recommandent de ne plus l’utiliser.
[75] The Brave browser basics – what it does, how it differs from rivals, par Gregg Keizer, Computerworld, 24 juillet 2018.
[76] Start taking back your online privacy by making these 4 easy changes, par Michael Grothaus, Fast Company, 10 mai 2019.
[77] Ce VPN semble toutefois peu performant du point de vue de Tom’s Guide.
[78] Best Secure Browsers that Protect Your Privacy, par par Sven Taylor, Restore Privacy, page mise à jour environ une fois par an.
[79] Lire Cloud : les alternatives libres à Dropbox, Google Drive et consorts par Benoit Bouyéle, Médias Cité, 24 mars 2015 et notre article Mettre ses fichiers ou ceux d’un groupe dans le cloud : quelle application choisir ?.
[80] Signal poursuit ses efforts pour ressembler à une messagerie instantanée classique, par Julien Lausson, Numerama, 4 octobre 2017.
[81] Comme Bruce Schneier, pour Signal.
[82] Créateur de Vkontakte, le Facebook russe, Pavel Dourov a été contraint de le céder à des proches du Kremlin. Il a quitté la Russie en 2014.
[83] Delete Facebook Account : LE guide pour supprimer son compte FB. Simple et définitif. Avec un tutoriel vidéo.
[84] Comment contrôler les informations que peuvent récupérer les applications sur votre compte Facebook, par Thomas Baïetto, France Télévisions, 19 mars 2018.
[85] 4 astuces pour planquer ses données aux GAFA, par Mylène Bertaux, L’ADN, 29 mars 2018.
[86] Le départ du fondateur Brian Acton (en perdant volontairement 850 millions de dollars au passage) et les raisons qu’il a exposées m’a fait prendre conscience de refus de Facebook de respecter les promesses faites lors du rachat de WhatsApp. Et je ne suis pas le seul à le dire que si on veut protéger fortement sa vie privée, il vaut mieux abandonner WhatsApp. Par exemple : Start taking back your online privacy by making these 4 easy changes, par Michael Grothaus, Fast Company, 10 mai 2019.
[87] Comment WhatsApp permet à des inconnus de vous espionner à votre insu, par Geoffroy Ondet, 01net.com, 8 avril 2019.
[88] Autorisations accordées à vos applications : tout savoir et les modifier, par François Charron, 4 novembre 2016.
[89] Voir la partie Installation vers le bas de la page.
[90] Les outils analytics et publicitaires, quels risques pour votre vie privée ? Comment les sociétés marketing qui vous surveillent fonctionnent et quelles options pour refuser d’être pisté, Pixel de Tracking, 10 mai 2020.
[91] Une étude révèle que les applications Android collectent vos données, même après leur avoir révoqué l’autorisation, par Cyrielle Maurice, Le Blog du Modérateur, 11 juillet 2019. L’étude : 50 Ways to Leak Your Data : An Exploration of Apps’ Circumvention of the Android Permissions System, par Joel Reardon, Álvaro Feal, Primal Wijesekera et al., 2019.
[92] Internet users are ’poisoning’ their personal data in the fight against online surveillance, par Aurélien Defer, Le Monde.fr 30 avril 2022.
[93] Pour Firefox seul, hélas. Google a suspendu le compte de M. Toubiana sur le Chrome Store en mai 2022, car — c’est un comble — il aurait publié un add-on malveillant envers ses utilisateurs. Et ce, après avoir réservé un sort similaire à son homologue AdNauseam, créé par Helen Nissenbaum, une enseignante au département des sciences de l’information à l’Université de Cornell.
[94] Le routeur installé dans votre box Internet fait déjà office de filtre, avant même le parefeu de votre ordinateur.
[95] En revanche, empêcher son réseau wifi de diffuser son nom, le fameux SSID (Service Set Identifier) ne sert pas à grand’ chose, en tout cas contre de vrais pirates informatiques.
[96] Et si certains vous disent que des programmes peuvent "hacker" KeePass ou que le principe même d’un gestionnaire de mots de passe (stocker tous ses mots-de passe au même endroit) est dangereux, lisez ceci : Concerned about KeeFarce ? Don’t be. Why you should still use a password vault, rédigé par PenTestPartners, une société britannique de tests de sécurité informatiques.
[97] La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités pouvant entraîner le vol de mots de passe selon un rapport, par Bill Fassinou, Developpez.com, 21 février 2019.
[98] Le gestionnaire de mots de passe OneLogin s’est fait pirater, par Emmanuel Ghesquier, Presse Citron, 2 juin 2017.
[99] One of the most popular password security companies just admitted it was hacked, par Cale Guthrie Weissman, Buisiness Insider, 15 juin 2015.
[100] LastPass révèle comment des hackers ont volé vos mots de passe, par Florian Bayard, 01Net, 1er mars 2023.
[101] Sécurité IT : les gestionnaires de mots de passe ont la mémoire fragile, par Clément Bohic, IT Espresso, 20 février 201
[102] A Polish company is abolishing our anonymity, par Daniel Laufer et Sebastian Meineck, Netzpolitik.org, 10 juillet 2020.
[103] Enceintes connectées et vie privée : des assistants un peu trop à l’écoute, Cnet, par Fabien Soyez, 26 juin 2018.
[104] Enceintes intelligentes : des assistants vocaux connectés à votre vie privée, CNIL, 20 décembre 2018.
[105] Vidéosurveillance/vidéoprotection : les bonnes pratiques pour des
systèmes plus respectueux de la vie privée, communiqué CNIL, 21 juin 2012.
[106] Family says hackers accessed a Ring camera in their 8-year-old daughter’s room, par Jessica Holley, WMC Action 5 News, 10 décembre 2019.
[107] Google Nest or Amazon Ring ? Just reject these corporations’ surveillance and a dystopic future, par Evan Greer, NBC News (qui entre parenthèses vous force à faire sauteur votre bloqueur pour gagner de l’argent avec la pub), 17 décembre 2019.
[108] Video doorbell firm Ring says its devices slash crime—but the evidence looks flimsy, par Mark Harris, MIT Technology Review, 19 octobre 2018.
[109] La vidéosurveillance réduit-elle la délinquance ?, par Sébastian Roché, Pour la Science, 8 janvier 2011.
[110] Firefox et Opera lancent leur VPN intégré à un navigateur, mais peuvent-ils remplacer un vrai VPN ?, Génération NT, 31 Octobre 2019.
[111] Extrait de l’article de Génération NT : « Il ne faut pas non plus exagérer l’importance du VPN. La plupart des internautes n’ont pas une utilisation suffisamment importante des possibilités offertes par le Net pour en avoir besoin. Depuis quelques années, le marché des VPN cherche de nouvelles cibles et essaye de convaincre tous les particuliers qu’ils ont besoin d’un logiciel de ce genre. Un VPN n’est jamais un investissement inutile, mais il n’est pas toujours nécessaire ».
[112] Opera Browser VPN Review, par Brian Nadel, 5 avril 2019. Le chapeau de l’article est explicite (traduction par nos soins) : « Le VPN du navigateur Opera a de très mauvaises performances réseau. Nous ne pouvons pas le recommander, même s’il est totalement gratuit. »
[113] The Latest Data Privacy Debacle, par Zeynep Tufekci, New York Times, 30 janvier 2018.
[114] Ever get the feeling you’re being watched ?, par Roger McNamee, Financial Times, 7 février 2019.
[115] Bernard Benhamou : « La surveillance de masse est devenue le modèle économique de l’Internet », propos recueillis par Guillaume Grallet, Le Point.fr, 22 mars 2018.
[116] Les GAFA, les entreprises et les données de l’IA, par Olivier Ezratty, Opinions libres, 15 juillet 2019.
L’auteur cite un exemple très parlant : « Rappelez-vous ce que les médias et analystes disaient des efforts de Google dans la robotique en 2013 et 2014. A l’époque, leur acquisition de 8 startups dont Boston Dynamics avait fait grand bruit. Ils allaient devenir les rois de la robotique, c’était fichu pour tous les autres acteurs ! Depuis, en quelques années, Google a quasiment abandonné le secteur en cédant Boston Dynamics à Softbank Robotics et en mettant la clé sous la porte d’une autre acquisition de l’époque, Schaft. »
[117] La conclusion du billet d’O. Ezratty mérite d’être citée à cet égard (on peut ne pas être d’accord, notamment avec le passage sur l’open data des Etats, mais le propos a certaines justifications) : « La quatrième est : n’exposez pas forcément vos données à tous vents. C’est l’épée à double tranchant de l’open data : c’est bien au premier abord, mais les GAFA peuvent les exploiter et plateformiser votre activité. C’est le paradoxe de l’ouverture, notamment pour les Etats qui ouvrent les données. D’où la question de l’usage de ces données à but lucratif et la consolidation de monopoles associés. A contrario, creusez l’opportunité de mutualiser vos données avec d’autres acteurs d’un même marché ou de marchés adjacents pour créer plus de valeur. L’union peut faire la force face aux GAFA. »
Commentaires
6 commentaires
Comment se protéger facilement de la curiosité de Facebook, Google, Amazon et Microsoft etc.
comment pouvez-vous écrire que Apple ne fait pas dans la data ? toute son architecture est organisée autour du contrôle de la donnée, le bavage d’iOs est permanent et c’est cet OS qui a ouvert cette voie là.
Il y a une cécité quant à la toxicité du business model d’Apple qui est sidérante.
Comment se protéger facilement de la curiosité de Facebook, Google, Amazon et Microsoft etc.
Merci pour le commentaire.
En effet, Apple a un business data. Mais il ne les vend guère, il les utilise essentiellement en interne. Le billet a été mis à jour en ce sens.
Comment se protéger facilement de la curiosité de Facebook, Google, Amazon, LinkedIn etc.
Merci pour tous ces précieux conseils.
Les dernières révélations sur l’utilisation de données personnelles par ces multi-nationales m’ont fait froid dans le dos. J’ai d’ailleurs pensé un moment à supprimer tous mes comptes. Et puis je me suis ravisée. J’ai recherché différents outils pour protéger mes données et empêcher leur exploitation par d’autres sociétés et notamment les plugins que vous conseiller pour bloquer le tracking.
Pour les utilisateurs d’Instagram il est également important de désactiver le statut d’activité. De dernier permet entre autre de savoir à quel moment on se connecte. Voici comme le désactiver :http://www.prodigemobile.com/tutoriel/bloquer-statut-activite-instagram/
Comment se protéger facilement de la curiosité de Facebook, Google, Amazon, LinkedIn etc.
Merci beaucoup pour ce signalement/ajout d’Instagram.
Comment se protéger facilement de la curiosité de Facebook, Google, Amazon, LinkedIn etc.
Merci pour ce uto pour se protéger du grand méchant Facebook ! J’ai déjà pas mal protégé mes données sur internet mais il faut maintenant aussi se méfier des sites internet... de pire en pire !
Cloud photos pour particuliers
Bonjour,
Merci pour votre article qui regorge d’infos et conseils très utiles lorsque l’on souhaite protéger sa vie privée. J’ai pu mettre beaucoup de choses en application.
Aujourd’hui, j’ai Google photos sur mon téléphone/ordi et c’est pour moi un vrai problème. Je voudrais passer à quelque chose de plus propre (hébergement en France, chiffré). Vous proposez " Cryptobox, Tanker et TransfertPRO “on premise” ". En cherchant, j’ai compris qu’ils ne proposaient leurs solutions que pour les professionnels (entreprises...)
Quelle alternative y a t-il pour les particuliers ?
Cozy.io a un hébergement en France. Mais je trouve que l’agrégation des fonctionnalités (mots de passe, factures...) est gênante. Y a t-il une appli uniquement pour les photos qui soit sécurisée ?
En vous remerciant encore pour votre article,
Cordialement,
J.D
Laisser un commentaire