Bonnes pratiques numériques

Sommaire

La base des bonnes pratiques numériques est de limiter l'emprise de la technologie sur ta vie. Essaie de limiter ton utilisation des appareils numériques, en particulier pour des activités sensibles. Ceci étant dit, quand tu utilises des appareils numériques, tu peux adopter les bonnes pratiques suivantes.

N'utilise pas de téléphone, ou laisse ton téléphone chez toi

Les téléphones sont pistés en permanence, leurs identifiants matériels et les informations liées à l'abonnement téléphonique sont enregistrés par les antennes téléphoniques à chaque connexion, et ils peuvent être piratés. Si possible, n'utilise pas de téléphone. Si tu dois utiliser un téléphone :

Voir le guide d'AnarSec Tue le flic dans ta poche sur les dangers liés à l'utilisation d'un téléphone.

Utilise des systèmes d'exploitation axés sur la sécurité

Utilise :

N'utilise pas :

Chiffre tes appareils

Active le chiffrement complet du disque sur tous tes appareils numériques.

Utilise des mots de passe robustes

La plupart de tes mots de passe (par exemple les mots de passe que tu utilises pour te connecter à des sites web) devraient être générés et stockés dans un gestionnaire de mots de passe — nous conseillons KeePassXC[9] — pour que tu n'aies pas à les retenir ni même à les taper. Ils peuvent être très longs et aléatoires, genre 40 caractères aléatoires. Tu peux générer de tels mots de passe avec KeePassXC (sélectionne l'onglet « Mot de passe » au moment de générer un mot de passe).

Les mots de passe que tu entres au moment où tu démarres tes appareils chiffrés ainsi que le mot de passe de KeePassXC doivent être mémorisés. Nous conseillons d'utiliser des mots de passe Diceware de 5 à 10 mots[10]. Tu peux générer de tels mots de passe avec KeePassXC (sélectionne l'onglet « Phrase de passe » au moment de générer un mot de passe) ou avec des dés physiques[11]. Tu devrais utiliser des mots de passe différents pour chacun de tes appareils chiffrés, mais nous te conseillons d'utiliser le même mot de passe pour toutes tes bases de données KeePassXC (pour que tu aies moins de mots de passe à mémoriser).

Par exemple, si tu as un ordinateur portable chiffré, une clé Tails et un téléphone chiffré, tu devras mémoriser 4 mots de passe de 5 à 10 mots (un pour chaque appareil et un pour les bases de données KeePassXC). C'est beaucoup ! Pour t'assurer de ne pas oublier tous ces mots de passe, tu peux :

Utilise Tor ou un VPN

Utilise Tor[12] ou un Virtual Private Network (VPN) réputé quand tu utilises Internet. Si tu utilises Tor ou un VPN et qu'un adversaire surveille ta connexion réseau, il est plus difficile pour lui d'obtenir des données sur ton utilisation d'Internet, comme les sites web que tu visites ou ce que tu fais sur ces sites web (il est aussi plus difficile pour lui de te cibler à l'aide de malware).

Cependant, note que Tor et les VPNs ne sont pas équivalents :

Par conséquent :

Tu peux utiliser Tor et un VPN en même temps en te connectant à un VPN avant Tor : cela a plusieurs avantages en terme de sécurité[13]. Tu ne devrais pas te connecter à un VPN après Tor sauf si tu sais vraiment ce que tu fais[14].

Utilise des applications de messagerie chiffrées de bout-en-bout

Utilise des applications de messagerie chiffrées de bout-en-bout pour toutes tes communications numériques :

N'utilise pas :

Voir le guide d'AnarSec « Encrypted Messaging for Anarchists »[20] (Applications de messagerie chiffrées pour les anarchistes) pour des recommendations sur les applications de messagerie chiffrées de bout-en-bout.

Fais des sauvegardes de tes données numériques

Fais régulièrement des sauvegardes de tes données numériques, en particulier des données que tu ne veux vraiment pas perdre, comme la base de données de ton gestionnaire de mots de passe. Chiffre tes sauvegardes avec le chiffrement complet du disque. Une pratique courante est d'avoir deux sauvegardes :

L'avantage de la sauvegarde sur site c'est qu'elle a une version plus récente de tes données. L'avantage de la sauvegarde hors-site c'est qu'elle ne peut pas être saisie en cas de perquisition chez toi.

Stocke tes appareils de manière à détecter si ils ont été trafiqués

Si un adversaire accède physiquement à un de tes appareils numériques, il pourrait le trafiquer, de telle sorte qu'il ne soit plus sûr à utiliser. Pour détecter quand un adversaire a accédé physiquement un appareil, tu peux utiliser des mesures de détection d'accès physique.

Achète tes appareils anonymement

Acheter des appareils numériques anonymement a deux avantages :

Si nécessaire, détruis physiquement tes supports de stockage

Si tu veux t'assurer qu'un adversaire ne puisse jamais accéder aux données stockées sur un support de stockage (par exemple le disque dur d'un ordinateur portable, une clé USB, une carte SD), la seule solution est de détruire physiquement le support de stockage. En effet :

Pour détruire physiquement un support de stockage :

Autres bonnes pratiques

Techniques contrées par cette mesure d'atténuation

NomDescription
Cartographie de réseau

Tu peux adopter de bonnes pratiques numériques, et en particulier utiliser des applications de messagerie chiffrées de bout-en-bout sur des appareils chiffrés, pour dissimuler tes réseaux sociaux et faire que ce soit plus difficile pour un adversaire de cartographier ton réseau.

Collaboration des fournisseurs de service
Autres

Tu peux adopter de bonnes pratiques numériques pour que ce soit plus difficile pour des fournisseurs de service de fournir des informations utiles à un adversaire. Par exemple, tu peux :

  • Utiliser Tor[12] pour que ce soit plus difficile pour ton fournisseur d'accès à Internet de fournir des informations utiles à propos de tes activités Internet à un adversaire.
  • Utiliser des services en ligne de confiance[19] qui refuseront d'obtempérer aux requêtes d'un adversaire d'accéder à tes données, ou construiront leur service pour que ce soit techniquement impossible d'obtempérer à de telles requêtes.
Opérateurs de téléphonie mobile

Tu peux adopter de bonnes pratiques numériques pour que ce soit plus difficile pour des opérateurs de téléphonie mobile de fournir des informations utiles à un adversaire. Par exemple, tu peux :

  • Ne pas utiliser de téléphone, ou laisser ton téléphone chez toi.
  • Utiliser des applications de messagerie chiffrées de bout-en-bout sur ton téléphone, plutôt que des SMS et appels classiques.
Dispositifs de surveillance cachés
Vidéo

Un adversaire peut installer des dispositifs de surveillance cachés vidéo qui filment l'écran d'un ordinateur ou d'un téléphone, ou le clavier d'un ordinateur. Pour contrer ça, quand tu utilises un ordinateur ou un téléphone pour des activités sensibles, tu peux :

  • Garder l'appareil orienté vers un mur que tu peux inspecter minutieusement pour y chercher des dispositifs de surveillance vidéo (plutôt qu'orienté vers une fenêtre ou une télévision, par exemple).
  • Entrer tes mots de passe en te mettant sous un drap ou une couverture opaque.
Doxing

Tu peux adopter de bonnes pratiques numériques pour que ce soit plus difficile pour un adversaire de te doxer.

Frapper aux portes

Tu peux adopter de bonnes pratiques numériques pour que ce soit plus difficile pour un adversaire de prendre note de qui tu contactes après qu'il ait frappé à ta porte.

Interprétation biaisée des preuves

Tu peux adopter de bonnes pratiques numériques pour limiter les informations qu'un adversaire a à propos de toi, et donc limiter les informations qu'il peut interpréter de manière biaisée.

Science forensique
Numérique

Un adversaire peut utiliser la science forensique appliquée au numérique pour extraire des données d'un appareil numérique que tu as utilisé. Pour contrer ça, tu peux adopter de bonnes pratiques numériques et, en particulier, utiliser Tails[5], un système d'exploitation « amnésique » conçu pour ne pas laisser de traces sur l'ordinateur sur lequel il est utilisé.

Lorsqu'il enquête sur une cyber-action, un adversaire peut utiliser la science forensique appliquée au numérique pour analyser les cibles de l'action et déterminer d'où provient l'action, un processus appelé attribution qui peut impliquer de déteminer quels outils ont été utilisés pour l'action et toute autre « signature » numérique. Quand tu effectues une cyber-action, tu peux adopter de bonnes pratiques numériques pour que ce soit plus difficile pour un adversaire de réussir cette attribution. Par exemple, tu peux :

  • Utiliser des outils populaires plutôt que sur mesure.
  • Si tu utilises un Virtual Private Server (VPS), achète-le anonymement et accède-y avec Tails[5].
Surveillance de masse
Surveillance numérique de masse

Tu peux adopter de bonnes pratiques numériques pour rendre la surveillance numérique de masse inefficace. Par exemple, tu peux utiliser Tor[12] pour anonymiser tes activités Internet et tu peux utiliser des systèmes d'exploitation axés sur la sécurité et des applications qui limitent les données qu'elles stockent ou collectent à propos de toi.

Surveillance numérique ciblée
Accès physique

Tu peux adopter de bonnes pratiques numériques pour contrer le risque qu'un adversaire accède physiquement à tes appareils numériques. Par exemple, si tu vas à un évènement ou une manifestation et que tu penses que tu pourrais être arrêté·e, tu ne devrais pas prendre ton téléphone avec toi.

Contournement de l'authentification

Tu peux adopter de bonnes pratiques numériques, et en particulier utiliser des systèmes d'exploitation axés sur la sécurité avec un chiffrement complet du disque et des mots de passe robustes, pour que ce soit plus difficile pour un adversaire de contourner l'authentification de tes appareils numériques. Par exemple :

  • Sur des ordinateurs, tu peux utiliser le chiffrement complet du disque de Linux appelé LUKS, qui est utlisé par de nombreux systèmes Linux, dont Debian[23] et Tails[5], et que le service de police scientifique de la police fédérale allemande n'a pas pu déchiffrer après avoir essayé pendant une année.
  • Sur des téléphones, tu peux utiliser GrapheneOS, dont le chiffrement complet du disque fait qu'il est plus difficile pour un adversaire de deviner le mot de passe de chiffrement par brute force : après 140 essais ratés, chaque essai est retardé d'un jour complet[24].
Malware

Tu peux adopter de bonnes pratiques numériques, et en particulier utiliser des systèmes d'exploitation axés sur la sécurité pour que ce soit plus difficile pour un adversaire d'installer un malware sur tes appareils numériques.

Science forensique appliquée aux réseaux informatiques

Tu peux adopter de bonnes pratiques numériques, et en particulier utiliser Tor[12], pour que ce soit plus difficile pour un adversaire de surveiller et analyser ton traffic réseau.

Systèmes d'alarme

Quand tu effectues une cyber-action, tu peux utiliser des techniques d'évasion numérique[25] pour empêcher les systèmes de détection d'intrusion de détecter l'action.


10. 

Si un adversaire accède physiquement à l'un de tes appareils numériques, il peut essayer de deviner son mot de passe via des tentatives d'authentification automatiques et répétées (un processus qu'on appelle « brute force »). Il peut aussi copier les données de l'appareil et attendre des années ou des décennies que soient inventées de nouvelles technologies qui permettent de deviner un mot de passe qu'il ne peut pas deviner aujourd'hui. Pour contrer ça, tu devrais utiliser des mots de passe robustes. En supposant que tu utilises les systèmes d'exploitation que nous conseillons, et sur la base de notre connaissance des capacités des adversaires étatiques, nous te conseillons d'utiliser des mots de passe Diceware de :

  • 5 mots pour être plus sûr·e aujourd'hui.
  • 7 mots pour être plus sûr·e dans un futur proche.
  • 10 mots pour être plus sûr·e dans un futur lointain.
13. 

Si tu te connectes à un VPN avant Tor, il est plus difficile pour l'État de savoir que tu utilises Tor, et il peut être plus difficile pour l'État d'obtenir des données sur ton utilisation d'Internet à travers des attaques avancées comme le traffic fingerprinting.