Facile de maîtriser ses données personnelles et sa vie privée sur le Web ?

Draisine Consultants & Production - Privacy : http://www.pippalunacy.com at Morguefile.com

Le numérique a-t-il définitivement fait tomber l'ultime frontière qui délimitait vie publique et vie privée ? Les législations européennes sur les données personnelles sont en pleine mutation pour adapter le droit et tenter de réguler le pouvoir des algorithmes. L'enjeu est sociétal. Le Nouveau Monde vient d'imposer à chacun un nouveau devoir de citoyen : l'auto-protection de sa vie privée et de ses données personnelles.

5 règles d'hygiène de base issues du manuel de survie dans la jungle algorithmique du big data

Quand ton métier consiste à créer des sites Web, on te demande souvent de trouver une astuce pour montrer une photo mais tout en évitant qu'elle puisse être téléchargée, pour éviter sa trop grande diffusion... Quoiqu'on t'en dise, c'est impossible. Techniquement impossible. Si la photo s'affiche sur un écran distant, aucune "astuce" technique ne pourra notamment interdire une copie d'écran, donc une copie de la photo originale (qui aura a minima la qualité de résolution de l'écran du visiteur).
C'est pourtant tellement simple à comprendre : le meilleur moyen de ne pas s'exposer sur le Web, c'est de ne rien y diffuser. Mais ne rien diffuser personnellement sur le Web ne garantit en rien que tu n'y trouveras pas des informations te concernant.

Et c'est bien cela qui a dérivé, notre capacité à maîtriser ce qui est diffusé à notre endroit... malgré nous.

Règle n°1 : si tu veux la paix, t'exposer sur le Web, tu ne dois pas.
À Toi, lecteur rationnel et pragmatique, fin de l'article. Si tu considères que ne pas utiliser le Web est l'unique moyen d'être tranquille, dont acte. Mais si tu disposes d'un smartphone équipé d'iOS ou d'Android et si par exemple tu utilises quelques applis sympa, ou tout simplement si tu es licencié d'un club sportif et que tu participes à un championnat local, sois bien conscient que des données te concernant sont disponibles sur le Web, malgré toi. Et qu'il t'incombe donc de les surveiller. Être sur le Web ou ne pas y être ? Cette question n'a plus de sens tellement il est devenu compliqué de ne laisser aucune trace.

Règle n°2 : sur le Web, ta présence tu contrôleras.
Ne pas avoir de compte sur les réseaux et médias sociaux, ne pas avoir de blogs, ne pas publier d'articles, bref, ne rien faire sur le Web ne garantit en rien que l'on n'y trouvera rien te concernant. Tu as vérifié les pages blanches ? Première fuite possible : tes proches et tes collègues, les réunions publiques. Ton nom et ton prénom associés à une photo sur laquelle tu es présent et reconnaissable sont aujourd'hui instantanément diffusés sur le Web. De nombreux outils, plus ou moins sécurisés, sont disponibles, pour évaluer au fil du temps ce qu'il convient désormais d'appeler ton "empreinte numérique". (Voir encadré)

Un exemple : doté d'un smartphone Android, pour initialiser ton appareil, tu as été obligé de créer un compte Gmail ( = un compte Google). Dans l'hypothèse (peu probable) où tu n'utiliserais pas du tout cette adresse email pour communiquer, sache qu'avec son mot de passe, elle constitue le sésame vers un enregistrement continu d'une majorité de tes faits et gestes. Par exemple, selon la manière dont tu as paramétré ton smartphone, tous tes déplacements y sont consignés au jour le jour. Et il est donc forcément très facile de naviguer dans ton passé.

Pour vérifier que tu n'es pas pisté par Google malgré toi :
1. Connecte-toi à ton compte Gmail
2. Rends-toi ensuite sur https://www.google.com/maps/timeline
3. Renseigne une date
Si tu découvres que tu es pisté depuis que tu es équipé de ton smartphone Android, ne panique pas. Sauf si le mot de passe de ton compte Gmail est azerty !

Côté iOS et Apple, c'est du même tonneau ! Heureux possesseur d'un terminal le mieux marketé du monde connu commençant par un i, je t'invite à lire attentivement "A propos du service de localisation et de la confidentialité".

Règle n°3 : les mots de passe, tu sécuriseras.
"Tiens ? Si je prenais mon surnom depuis la classe de 4e et que je lui ajoutais mon année de naissance, ça ferait un bon mot de passe... Beaucoup plus malin que azerty1234..." Si tu en es toujours là, il est temps de passer à l'ère de la stratégie des mots de passe sécurisés.

Quelques tactiques fondatrices d'une stratégie personnelle de gestion de la sécurisation des mots de passe :
- les mots de passe, tu varieras
- les mots de passe, tu complexifieras
- les mots de passe, tu changeras fréquemment
- les mots de passe, sur post-it, tu n'écriras pas
- les mots de passe, en aucun cas, tu ne communiqueras
Cerise sur le gâteau de cette stratégie : tes mots de passe, tu ne connaîtras même pas !

Ce paradoxe est rendu possible par des outils (Dashlane, KeePass, 1Password, etc.) qui gèrent pour toi ton coffre-fort de mots de passe.
A Toi lecteur assidu, je livre ce conseil : fais gérer tes (dizaines de) mots de passe (pro et perso) par plusieurs de ces outils (qui peuvent générer, selon l'humeur, des chaînes de 16 à 30 caractères alphanumériques avec ponctuation et autres caractères spéciaux). Pour la quasi totalité d'entre eux, tu seras incapable de les mémoriser. Tu ne les saisiras jamais à la main, ce sont les outils qui s'en chargeront. Talon d'Achile de cette stratégie : le seul mot de passe de l'outil en question permet d'accéder à tous les autres.

Règle n°4 : sur les plateformes, les paramètres de confidentialité et les conditions générales d'utilisation tu connaîtras.
Oh non ! Eh bien, si ! Comme si on n'avait que ça à faire de lire les CGU, les CGV, les mentions légales... On scrolle jusqu'en bas de la page et on clique sur OK. Et hop. Eh bien, non ! Dans la mesure où le principe suivant est désormais établi - ce que les opérateurs du numérique font des données qu'ils collectent sur leurs utilisateurs, ils doivent les en informer - il est devenu nécessaire de connaître la "traînée numérique" de nos usages. Aux dernières nouvelles, la lecture de l'intégralité des conditions générales d'utilisation et autres mentions légales de Facebook nécessite environ une vingtaine d'heures : ) Sans parler du temps pour en comprendre les implications.

Trop peu d'entre nous ne prenons effectivement le temps de bien comprendre ne serait-ce que les principes de base des paramètres de confidentialité. Un peu comme si l'on conduisait un véhicule sans avoir jamais eu connaissance du code de la route.

Le fait de savoir "cliquer partout" sur une plateforme numérique emporte ta tacite acceptation permanente de ses CGU (qu'initialement, tu as nonchalamment explicitement acceptées et pour lesquelles tu renouvèles ton consentement les yeux fermés) mais ne t'octroie certainement pas la maîtrise de ton usage.

Le non-respect de cette règle est le plus gros "trou dans la raquette" de toute stratégie personnelle de protection de la vie privée et des données personnelles.

Les mesures à mettre en place pour y remédier :
- repenser et remettre à plat ta présence sur les réseaux et médias sociaux,
- envisager de rendre privés certains comptes,
- soigner et contrôler strictement les publications sur tes comptes publics,
- te former à une utilisation avancée des fonctionnalités pour agir sereinement,
- suivre l'évolution des CGU et paramètres de confidentialité

Règle n°5 : sur le Web, vigilant, toujours tu seras.
Lorsqu'un mail de ta banque tu recevras, vigilant tu resteras. Lorsqu'un mail d'une plateforme de vente en ligne tu recevras, vigilant tu resteras. Avant de cliquer partout, vigilant tu resteras. Idem avec les mails des opérateurs de l'énergie. Itou avec les mails de ton boulot. Bref, vigilance avec les mails. Vigilance, ça veut dire quoi ? La bonne question à te poser : suis-je totalement sûr de qui m'écrit ? Il vaut mieux te la poser avant d'ouvrir un pièce jointe ; après, cela peut déjà être trop tard. Si le mail reçu te semble tombé de nulle part, si le ton employé par un interlocuteur connu n'est pas habituel, si le lien que contient le message ne t'inspire pas (regarde le début de l'URL, le domaine est-il connu ?, par exemple), ne clique pas. Si tu as un doute suite à la réception d'un mail de ta banque, connecte-toi à ton espace bancaire sécurisé (https) et va vérifier tes messages directement à la source.

Pour bien faire, tu arrêteras également de contribuer à relayer tous les méga-trucs super avec des châtons que tu reçois en pièces jointes. Toutes les pièces jointes avec discernement tu ouvriras : il faut tourner 7 fois son index au-dessus du clic gauche avant de l'ouvrir.
Un navigateur à jour tu utiliseras.
D'un anti-virus à jour tu disposeras.
Un système d'exploitation à jour tu préféreras.
Tu éviteras également de poster des selfies avec ton iPhone (qui publie des photos de 6 Mo) qui permettent aux gens malveillants de récupérer l'image, de zoomer sur tes empreintes digitales et de les reproduire sur une imprimante 3D. (sic)
Tu éviteras de publier tes photos sans les avoir débarrassées des données EXIF qui permettent de récupérer, entre autres, les coordonnées GPS du cliché et de savoir précisément où tu étais.
Tu éviteras de publier des photos d'autrui sur les réseaux sociaux.
Tu ne te vanteras pas de tes dates de grandes vacances avec un compte public sur les réseaux sociaux.
Les accès Wi-Fi exotiques, tu éviteras (à tout le moins avec du matériel professionnel).
Les cookies avec raison et discernement tu dégusteras (pas simple non plus !).

 

5 exemples de manquements aux règles de base et leurs implications pour ta vie privée et tes données personnelles

Manquement à la règle n°1 : te mettre à nu sur le Web
Hypothèse : tu racontes ta vie sur des comptes publics ouverts à tous les vents sur les réseaux et les médias sociaux.

Situation : dans un transport en commun, au détour d'une conversation, un inconnu entend et mémorise ton numéro de mobile.

Conséquence sur ta vie privée : vu que tu as enregistré ton numéro de mobile sur ton compte Facebook, l'inconnu le retrouvera aisément avec le moteur de recherche. Et logiquement, l'inconnu accèdera à ton nom, prénom, email ?, relations, photos personnelles, vidéos, dernières vacances, prochaines vacances ?, etc. Tout ce que tu auras publié sera accessible et potentiellement exploitable par l'inconnu.

Manquement à la règle n°2 : ne pas contrôler ta présence sur le Web
Hypothèse : tu es totalement absent des réseaux sociaux et du Web et tu n'as pas de smartphone.

Situation : dans un centre commercial, au détour d'une conversation, un inconnu entend et mémorise ton numéro de téléphone fixe.

Conséquence sur ta vie privée : avec www.degrouptest.com, la saisie de ton numéro de ligne fixe renverra à l'inconnu l'adresse de ton domicile. Avec l'adresse de ton domicile, non seulement grâce à Pegman (www.google.fr/maps), l'inconnu pourra contempler ta façade, ton quartier, et grâce au site Pages jaunes (par exemple), il est trivial de retrouver le nom et le prénom du titulaire de la ligne fixe en question. Avec ton nom, ton prénom et ton adresse postale, les recherches sur le Web seront dès lors permises à l'inconnu et la probabilité qu'il apprenne très vite où tu travailles est plutôt élevée. Ah tiens !, l'inconnu vient de découvrir que tu es à la tête d'une société civile immobilière grâce à www.societe.com.

Manquement à la règle n°3 : azerty comme sésame
Grâce à la rigueur des responsables sécurité, il est de moins en moins possible techniquement d'utiliser des mots de passe simplistes sur la grande majorité de plateformes qui nous contraignent à définir des mots de passe complexes, et c'est tant mieux. Et ce n'est pas parce qu'à ton boulot, y a des vieux logiciels pourris où tu peux utiliser le mot de passe azerty qu'il faut le faire !

Manquement à la règle n°4 : créer les conditions pour se faire espionner par qui veut
Hypothèse : deux individus un peu connus dans leur landerneau (femmes et hommes politiques, chef-fe-s d'entreprises, etc.) sont très actifs sur Twitter avec des comptes publics ouverts à tous les vents sans avoir même tenté de se renseigner sur les fonctionnalités de base du réseau social.

Situation : doté d'un outil de social media monitoring, un inconnu suit les deux premiers sur Twitter sans que ces derniers n'en soient conscients. Les deux premiers se lancent dans une conversation non privée (mais ils ne le savent pas) autour d'un Tweet. Pourtant, le ton est intime, les propos, sans détour.

Conséquence sur la vie privée : les VIP auront beau jeu de venir un jour contester la diffusion dans la presse locale alternative de propos privés qui, juridiquement et techniquement, auront toujours été publics, sous la pleine responsabilité de leurs auteurs : ) Autre conseil : méfiez-vous des "Amis de vos amis" sur Facebook ^_^.

Manquement à la règle n°5 : droit dans le mur !
Tu es dans ta messagerie au boulot. Tu dépiles machinalement tes mails. Tu ouvres une pièce jointe. Oops. Tu viens de faire entrer un ransomware sur le réseau. Rognutudju... Plus aucun document Word ne peut s'ouvrir à ton boulot : protection intempestive par mot de passe. Il y a une demande de rançon pour obtenir ce mot de passe. Ah ben bravo !

Tu reçois un mail de "ton" fournisseur préféré. Tu cliques sur le lien qu'il contient. Le site de "ton" fournisseur préféré te demandes ton login/mot de passe pour accéder à ton compte sécurisé. La connexion aboutit à une erreur.. Zut. En fait, tu viens d'enregister le login/pwd de ton espace client sécurisé sur un site inconnu mais bien imité. Hip hip hip...

Au boulot, tu reçois un coup de fil d'un individu très avenant et "bien comme il faut" qui se présente comme responsable de la maintenance d'un logiciel hébergé que tu utilises tous les jours et qui t'informe qu'il t'appelle après concertation avec Monsieur Machin (le nom d'un de tes collègues connus de la DSI). Mis en confiance, en quelques minutes, après t'avoir bien embarqué dans sa petite histoire, tu lui donnes ton login/pwd permettant d'accéder à des droits élevés dans le logiciel. Sous vos applaudissements.

Sans tomber dans la paranoïa, protéger sa vie privée et ses données personnelles n'est pas simple dans le Nouveau Monde. Il semble donc plus que jamais opportun de t'intéresser de près à ton empreinte numérique et de la gérer en toute connaissance de la portée de tes usages. Gageure !

Toi aussi tu rêves de #Rétrovolution ? #Ctroptard.

Lecteur, tu as une anecdote à partager ? Anonymement, bien sûr. N'hésite pas !

 

Les outils pour vérifier son empreinte numérique, ou autres usages entre amis !

 Avertissement !
L'auteur et Draisine Consultants & Production t'avertissent, Lecteur, qu'ils déclinent toute responsabilité quant à l'utilisation des outils disponibles en cliquant sur les liens ci-dessous.
Notre objectif, Lecteur, est de t'informer. En cliquant sur l'un quelconque de ces liens, tu agiras en responsabilité (il t'incombera donc de vérifier si l'éditeur du site est clairement identifié, si la réputation de cet outil le précède, si le site est sécurisé, s'il t'informe de ses CGU, etc.).

https://myshadow.org/fr/trace-my-shadow
Utilisez cet outil pour découvrir les traces que vous laissez sur Internet, et divers moyens de les réduire.

http://webmii.com/
Slogan : Recherchez une personne et découvrez son score de visibilité.
Attention, Webmii est un site non sécurisé (pas de https).

https://namechk.com/
Slogan : Use Namechk to search for an available username or domain and secure your brand across the internet.
Traduction approximative :Utilise Namechk pour rechercher des noms d'utilisateurs disponibles ou des noms de domaines et sécurise ta marque sur internet.

https://drizzybot.com/
Slogan : The internet-famous online dox-tool with a desktop dox tool available.
Traduction approximative : le célèbre outil internet de recherche personnelle approfondie qui propose une version à installer en local.

https://stalkscan.com/
Slogan : All 'public' info Facebook doesn't let you see.
Traduction approximative : Toutes les données publiques que Facebook ne te laisse pas voir.

https://www.verexif.com/
Slogan : Check and remove Exif data online
Traduction approximative : Vérifier et supprimer les données Exif en ligne.

Évidemment, ton moteur de recherche préféré (et sa recherche avancée) te permettra de mesurer ta présence dans les résultats de recherche. Et à prendre les mesures adéquates. Il ne faudra pas hésiter à te Google-iser, te Bing-iser, te Qwant-iser, etc.

A noter
Il est bien évident que ces outils peuvent également être utilisés dans le but de tout savoir sur tout le monde (pratique du doxing) par des individus plus ou moins bien intentionnés, depuis les collaborateurs de ta DRH jusqu'aux détraqués de ton quartier : (

 

Pour en savoir plus - Sources

Maîtriser mes données – par la CNIL (Commission Nationale Informatique et Libertés)
https://www.cnil.fr/fr/maitriser-mes-donnees

Mon ombre et moi – par Tactical Tech
https://myshadow.org/fr

Vos empreintes numériques – par l'Internet Society
https://www.internetsociety.org/fr/tutorials/your-digital-footprint-matt...

Une éducation au numérique pour tous – par la CNIL
https://www.educnum.fr/

Doxing : Comment tout savoir sur tout le monde – par 01net
https://www.pressreader.com/france/01net/20171031/282956745453181

Grâce au RGDP, pour vivre heureux, vivons cachés - par Laurent Cervoni
https://laurentcervoni.fr/rgdp-pour-vivre-heureux-vivons-caches/

Ajouter un commentaire

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
CAPTCHA
Répondez à cette question pour prouver que vous êtes un être humain et non un logiciel de spams.
Image CAPTCHA
Enter the characters shown in the image.