Conseils

Protéger vos données personnelles en ligne

Scott Curtiss, 28 mai 2019

Vos informations personnelles identifiables sont en ligne, à la vue de tous, mais voici comment vous pouvez en garder le contrôle

Dans cet article, nous expliquons pourquoi vous devez protéger vos données personnelles en ligne, comment elles sont collectées, et ce que vous pouvez faire pour minimiser leur collecte. Nous ne parlons pas de photos intimes, les mettre en ligne n’est vraiment pas une bonne idée. Nous parlons de détails personnels qui sont utilisés par les agences publicitaires et autres pour vous cibler et, plus important encore, utilisées par les cybercriminels pour envoyer du hameçonnage et des spams, pratiquer le vol d’identité et escroquer des banques en votre nom.

Comment vos données sont utilisées, et pourquoi vous devez les protéger

Aux États-Unis, les informations personnelles et confidentielles sont habituellement désignées par l'acronyme PII (Personally identifiable information) ou Informations personnelles identifiables. Elles sont appelées « données personnelles » en Europe. Elles comprennent des informations telles que numéro de sécurité sociale, numéros de carte bancaire, adresses e-mail, numéros de téléphone, date de naissance, etc. mais également des données de comportement, telles que les sites que vous visitez et les réseaux sociaux que vous suivez. La première chose à saisir est que le Dark Web et les bases de données des agences publicitaires sont inondées de vos informations personnelles. Elles sont dehors, à leur portée. La seconde chose à saisir, c’est que ces détails leur en disent beaucoup plus sur vous que ce que vous pensez.

Cette réalité est en partie due à la puissance grandissante des intelligences artificielles, qui ne sont pas seulement utilisées par les « gentils » pour vous protéger, mais aussi par leurs adversaires, les malfaiteurs, qui tentent de déjouer la sécurité et de voler vos informations personnelles pour les utiliser de façon malveillante.

L’IA (intelligence artificielle) est aussi utilisée par de grandes plateformes pour développer des algorithmes qui prédisent ce que vous voudrez peut-être acheter, et savoir ainsi quelles publicités vous mettre sous les yeux. Un exemple de puissance et de précision des algorithmes intelligents peut être observé dans une étude de 2013 de l’Université de Cambridge, sur une analyse d’utilisateurs basée sur les mentions « j'aime » de Facebook. L’analyse de seulement 10 mentions « j'aime »permit aux chercheurs de comprendre la personne mieux que ses collègues ne la comprenaient. Plus la quantité des mentions « j'aime » analysées est grande, plus les connaissances acquises le sont aussi. À 300 mentions « j'aime », l’algorithme comprenait le sujet, mieux que son partenaire ou son conjoint. Et les algorithmes ont été constamment améliorés depuis 2013.

Les façons dont vos données sont collectées

Avant de nous pencher sur les méthodes de protection de votre identité personnelle, nous devons comprendre comment vos données sont collectées. Nous examinerons cinq méthodes de base.

1. Les cookies

Les cookies sont de minuscules fichiers placés sur votre ordinateur par votre navigateur lorsque vous visitez un site Web. Il en existe deux types de base : cookies de session et cookies persistants. 

Les cookies de session sont bons. Ils nous permettent de nous rendre d’une partie du site Web (p. ex. une page de produits) à une autre (p. ex. une page de confirmation), sans avoir à nous reconnecter pour chaque page. Les cookies de session durent aussi longtemps que votre session en cours, et devraient être automatiquement supprimés lorsque vous vous déconnectez du site ou que vous fermez le navigateur. 

Les cookies persistants peuvent être bons ou mauvais, selon l’angle d’approche. Ils sont placés sur votre ordinateur et ils y restent. Ils sont principalement utilisés par les entreprises de marketing, pour connaître votre historique de navigation. Par exemple, si vous visitez souvent des sites de chaussures, vous verrez bientôt des publicités pour des chaussures, peu importe le site que vous consultez. Dans certains cas, elles peuvent être intrusives, tandis que dans d’autres, elles peuvent être utiles parce que les articles vous intéressent.

2. L’empreinte du navigateur

Lorsque vous visitez un site Web, le serveur du site a la possibilité de transférer un fragment de code javascript sur votre navigateur, qui sera exécuté localement par le navigateur. Ce code de javascript peut collecter des propriétés de navigateur et de système d’exploitation, telles que l’agent utilisateur, une liste des extensions installées, le type et le nom du navigateur, le fuseau horaire, la résolution de l’écran, la présence d’un bloqueur de publicités, la liste des polices disponibles, des données de rendu WebGL, les composants de l’ordinateur et bien plus. Le javascript crée un « hachis » des données collectées (c’est ce que nous appelons l’empreinte du navigateur), et les renvoie au serveur web du site, où il est généralement stocké dans une base de données avec d’autres données.

En partant du principe que l’empreinte est unique pour vous, ou au moins unique pour un très petit groupe d’utilisateurs de ce site web, vous pouvez être tracé quand vous entrez à nouveau sur le site. Vous pouvez aussi être tracé sur plusieurs sites, si ces sites se partagent la liste d’empreintes. Comme un site web n’a pas besoin de créer et de stocker des cookies dans le navigateur, les empreintes de navigateur sont aussi appelées « cookieless monsters », les monstres sans cookies. Cela signifie que même si vous n’autorisez pas les cookies sur votre navigateur, vous pouvez toujours être pisté sans le savoir.

De plus, le serveur web d’un site est aussi capable de lire et de comprendre votre adresse IP. Lorsque vous utilisez un VPN, votre adresse IP réelle peut être falsifiée, mais cela ne change que l’un des nombreux points de données qui sont connus au travers de votre empreinte de navigateur. Ce qui signifie que vous êtes encore exposé au pistage sans le savoir.

3. Les applications malveillantes

Les applications malveillantes, ou pour le moins douteuses (parfois appelées programmes potentiellement indésirables, ou PPI), restent une source principale de suivi des données personnelles. Ces programmes sont installés avec le consentement de l’utilisateur, mais ils cachent habituellement certains aspects négatifs de leurs fonctionnalités. Par exemple, une application peut proposer d’empêcher les pop-ups publicitaires, mais elle installe également des logiciels publicitaires sur votre système. D’autres applications peuvent voler vos contacts, surveiller vos navigations et discussions en ligne, et même écouter vos appels.

4. La collecte légale

Il y a une autre catégorie de sites Web sur lesquels nous acceptons la responsabilité et la nécessité de transmettre des informations personnelles identifiables. Postuler pour un emploi en ligne représente un parfait exemple, puisque nous mettons volontairement toutes sortes d’informations personnelles en ligne. Acheter des produits en ligne est un autre bon exemple, car nous fournissons les détails de notre carte bancaire pour faire des achats. Un autre exemple est la réservation d’une chambre d’hôtel, surtout si elle requiert de fournir les détails de notre passeport.

5. Le vol

Il se passe rarement une semaine sans qu’un vol de données majeur n’ait lieu. Le problème est devenu courant. Vos données personnelles sont aussi sécurisées que les infrastructures de l’institution qui les héberge. La personne qui a volé la base de données du bureau de gestion du personnel des États-Unis en 2015, a maintenant accès aux détails personnels de plus de 20 millions d’employés passés, présents et potentiellement futurs du gouvernement américain. La personne qui a volé la base de données des hôtels Marriott en 2018 a obtenu les détails personnels de centaines de millions de clients des hôtels, y compris les détails de plusieurs millions de passeports.

Minimisez la collecte de vos données personnelles

Dans le monde connecté d’aujourd’hui, nous ne pourrons jamais éviter de mettre des données personnelles en ligne, mais nous pouvons prendre des mesures pour limiter leur collecte :

1. La première est de toujours utiliser un mot de passe fort et unique lorsque vous devez créer un compte en ligne. En cas de vol, à condition que le site Web concerné ait correctement haché (chiffré), le mot de passe, les malfaiteurs auront beaucoup plus de mal à le déchiffrer, et le mot de passe leur sera inutile. Et, si un site que vous utilisiez a connu une violation, vous devez changer vos mots de passe immédiatement.


2. Limitez les cookies et les empreintes ; les deux passent par votre navigateur, alors le choix de celui-ci est important. La plupart des navigateurs ont des options de paramètre pour le contrôle des cookies. Réglez-le pour supprimer tous les cookies tiers, persistants ou de suivi. Les empreintes sont moins faciles à empêcher, donc le choix de votre navigateur est important. Certaines entreprises proposent un « navigateur sécurisé », qui peut être intéressant. Avast, par exemple, propose Avast Secure Browser, spécialement conçu pour garantir la vie privée et la sécurité. Il n’enregistre pas votre historique de recherches, ni l’historique de navigation. Il vous permet facilement de masquer vos identifiants, avec une technologie avancée d’anti-pistage, et possède même un bloqueur de publicités incorporé.


3. Supprimer les applications malveillantes Plus précisément, les diverses applications de PPI doivent être éliminées. La règle principale est de ne télécharger que depuis une source fiable, un développeur que vous connaissez ou une boutique d’applications officielle. Cela ne garantit pas que vous les éviterez, donc il vous faut un bon antivirus qui n’a pas peur de retirer les PPI, tel que Avast Antivirus Gratuit.


4. Prenez le temps de réfléchir avant de donner sciemment des données Vous avez très peu de contrôle sur la collecte légale de vos données. Le principe est de la considérer comme un marché, et de vous assurer que les termes du marché vous conviennent. Posez-vous la question, Facebook est-il suffisamment important pour moi pour échanger ma vie privée contre ses services ? Est-ce qu’un formulaire de recherche d’emploi en ligne collecte des informations qui sont réellement nécessaires pour postuler ? Si vous n’acceptez pas les « conditions d’utilisation », tentez votre chance autrement pour transmettre vos informations.


5. Utilisez des produits de sécurité sur vos appareils Vous pouvez réduire les possibilités qu’un malfaiteur dérobe vos données directement depuis votre ordinateur ou votre téléphone portable, en appliquant les bonnes pratiques de sécurité. L’utilisation de produits de sécurité comme Avast Secure Browser, Avast Mobile Security et un logiciel antivirus arrêtent réellement les malfaiteurs.


6. Vérifiez régulièrement que vous ne vous êtes pas fait pirater. Vous pensez que vos données ont été volées via les services en ligne que vous utilisez ? Vous ne pouvez plus y faire grand-chose. Si vous mettez des données en ligne, elles sont susceptibles d’être volées tôt ou tard. L’astuce est de mettre en ligne le moins de données possible, et de voir si votre compte était compris dans le piratage. Vous pouvez faire cela à l’aide de nombreux outils, tels que Avast Hack Check,

Conclusion sur les données personnelles

L’information à retenir est qu’il faut mettre aussi peu d’informations que possible sur Internet pour éviter qu’elles soient dérobées puis utilisées, et toujours prendre des mesures pour vous protéger.