7. Préserver la confidentialité de vos communications sur Internet

Table des matières

...Loading Table of Contents...

    L’aspect pratique, le rapport coût-efficacité et la flexibilité des services de courriel et de messagerie instantanée en font des instruments extrêmement précieux pour les individus et organismes qui disposent d’un accès, ne serait-ce que limité, à Internet. Pour ceux dont la connexion est plus rapide et plus stable, des outils comme Jitsi, Skype ou d’autres programmes de voix sur réseau IP (VoIP) présentent les mêmes caractéristiques avantageuses. Malheureusement, en ce qui a trait à la confidentialité, ces solutions numériques ne sont pas toujours fiables. Bien sûr, il n’y a là rien de nouveau. Le courrier postal, le téléphone et les messages texte sont des moyens de communication tout aussi vulnérables, particulièrement quand ils sont utilisés par des personnes que les autorités ont choisi de surveiller pour une raison ou une autre.

    Une différence importante entre les moyens de communication traditionnels et les méthodes numériques propres à Internet est que ces dernières permettent à l’utilisateur de déterminer lui-même le niveau de sécurité qu’il juge approprié. Si vous envoyez des courriels et des messages instantanés ou participez à des conversations VoIP par voies non sécurisées, ces communications seront presque certainement moins confidentielles qu’une lettre écrite ou qu’un appel téléphonique traditionnel. C’est qu’il est relativement facile, à l’aide de puissants ordinateurs, d’exécuter des recherches automatiques à travers une somme colossale de données afin d’identifier des expéditeurs, des destinataires et certains mots-clé particuliers. Lorsqu’il est question de surveiller les voies de communications traditionnelles, il faut habituellement mobiliser beaucoup plus de ressources pour atteindre un degré d’efficacité similaire. Cela dit, il est possible de contourner ces mesures de contrôle en mettant en place certaines précautions élémentaires. La flexibilité des communications par Internet et la force des nouveaux procédés de chiffrement peuvent désormais assurer un niveau de confidentialité qui était autrefois exclusivement réservé aux forces armées et services de renseignements.

    En suivant attentivement les recommandations avancées dans ce chapitre et en explorant le potentiel des logiciels qui y sont présentés, vous serez en mesure d’améliorer considérablement la sécurité de vos communications numériques. Le service de courriel Riseup, le module complémentaire OTR du programme de messagerie instantanée Pidgin, Mozilla Firefox et le module complémentaire Enigmail du client de messagerie Mozilla Thunderbird sont tous d’excellents outils. Vous devriez toutefois garder à l’esprit que la confidentialité d’une conversation numérique n’est jamais garantie à cent pour cent. Il subsiste toujours une menace qui nous a échappée, que ce soit un enregistreur de frappe installé à votre insu sur votre ordinateur, une personne qui écoute aux portes, un correspondant imprudent ou quoi que ce soit d’autre.

    L’objectif de ce chapitre est de vous aider à vous protéger contre ces menaces, autant que possible. Nous n’avons pas l’intention de minimiser l’importance de ces dangers, mais nous ne voulons pas non plus faire valoir la position extrême, défendue par certains, selon laquelle aucune information ne devrait être communiquée par Internet à moins que l’on soit disposé à la rendre tout à fait publique.

    Scénario de départ

    Claudia et Pablo sont employés par une ONG dans un pays sud-américain. Après avoir passé plusieurs mois à compiler les dépositions de nombreux témoins de violations de droits humains commises par l’armée dans leur région, Claudia et Pablo ont entrepris des démarches pour protéger ces données importantes. Ils ont gardé uniquement les renseignements dont ils avaient vraiment besoin, qu’ils ont stockés immédiatement dans un volume TrueCrypt. Ils ont ensuite créé des copies de sauvegarde de ce volume, qu’ils gardent à plusieurs emplacements physiques. En préparant la publication d’un rapport préliminaire, où ils exposeront certains aspects des témoignages recueillis, ils se sont rendus compte qu’ils doivent discuter d’enjeux sensibles avec un collègue qui se trouve à l’étranger. Même s’ils se sont entendus pour ne révéler aucun nom de personnes ou de lieux, ils veulent s’assurer que leurs échanges par courriel et messagerie instantanée resteront tout à fait confidentiels. Claudia a organisé une rencontre pour aborder l’importance de la sécurité des communications et veut savoir si ses collègues ont des questions à ce sujet.

    Qu’apprendrez vous dans ce chapitre

    • Pourquoi la plupart des services de courriel et de messagerie instantanée ne sont pas sécurisés ;
    • Comment créer un compte de courriel plus sûr ;
    • Comment augmenter le niveau de sécurité de votre compte de courriel ;
    • Comment utiliser un service sécurisé de messagerie instantanée ;
    • Que faire si vous avez de bonnes raisons de croire que quelqu’un accède à votre courrier électronique ;
    • Comment authentifier l’identité d’un correspondant.

    Sécuriser votre courriel

    Tout d’abord, vous devriez appliquer quelques mesures importantes pour améliorer la sécurité de vos communications par courrier électronique. La première chose à faire est de vous assurer que personne d’autre que votre destinataire ne soit en mesure de lire le message que vous envoyez. Cette question est abordée dans les sections Préserver la confidentialité de votre courrier électronique et Adopter un service de courriel sécurisé, ci-dessous. Au delà des questions élémentaires, il est essentiel que vos correspondants soient en mesure de vérifier, hors de tout doute, qu’un message donné provient bel et bien de vous et non pas d’une tierce personne qui aurait réussi à usurper votre identité. Nous verrons cela à la sous-section Chiffrer et authentifier des messages individuellement de la section Principes de sécurité avancée.

    Vous devriez toujours savoir quoi faire lorsque vous avez l’impression que la confidentialité de vos communications par courriel a été transgressée. La section Que faire si vous soupçonnez que vos communications par courriel sont surveillées aborde cette question délicate.

    Gardez également à l’esprit qu’un service de courriel sécurisé ne vous servira pas à grand-chose si chaque mot que vous tapez est enregistré par un logiciel espion et retransmis périodiquement à un tiers. Le chapitre 1. Protéger votre ordinateur contre les logiciels malveillants et les pirates offre de bons conseils sur les moyens de se prémunir contre ce type de menaces et le chapitre 3. Créer et sauvegarder des mots de passe sûrs vous aidera à protéger efficacement l’accès à vos comptes de courriel et de messagerie instantanée.

    Préserver la confidentialité de votre courrier électronique

    L’Internet est un réseau de communication ouvert où les données circulent habituellement dans des formats lisibles. Si un message de courriel est intercepté entre un expéditeur et un destinataire, son contenu peut facilement être lu. Comme l’Internet est justement un vaste réseau global qui repose sur une multitude d’ordinateurs intermédiaires pour faire circuler les données, plusieurs personnes ont l’occasion d’intercepter un message. Votre fournisseur de services Internet (FSI ou FAI ou ISP, en anglais) est le premier intermédiaire du message que vous envoyez à un destinataire donné. De même, le FSI de votre destinataire est le dernier intermédiaire par lequel le message transite avant d’aboutir dans la corbeille d’arrivée de celui-ci. À moins que vous ne mettiez en place certaines mesures de précaution, votre message pourrait très bien être intercepté et falsifié à l’une ou l’autre de ces étapes, ou à n’importe quelle étape entre les deux.

    Pablo : Je parlais justement de ça avec une de nos partenaires et elle me disait que ses collègues et elles sauvegardent parfois des messages importants dans le répertoire « Brouillons » d’un compte de courriel dont ils partagent le mot de passe. Ça me paraît un peu étrange, mais est-ce que ça peut fonctionner ? Est-ce que ça n’empêche pas justement les tiers malveillants de lire ces messages, puisqu’ils ne sont jamais vraiment envoyés ?

    Claudia : Chaque fois que tu lis un message sur ton ordinateur, même si ce n’est qu’un brouillon, son contenu t’a été envoyé par Internet. Sinon, tu ne pourrais pas l’afficher sur ton écran, pas vrai ? Le problème, c’est que si quelqu’un t’a placé sous surveillance, il ne se contente pas d’inspecter tes messages, il peut aussi espionner toutes les données qui circulent depuis et vers ton ordinateur. En d’autres termes, ce truc ne peut fonctionner que si tous les collègues en question se connectent au compte partagé de façon sécurisée. Et si c’est le cas, il n’est pas moins pratique de créer des comptes séparés pour chaque personne.

    Il existe depuis fort longtemps un moyen de sécuriser la connexion entre votre ordinateur et les sites que vous visitez. C’est ce niveau de sécurité que l’on retrouve, par exemple, lorsqu’on saisi un mot de passe ou les détails d’une carte de crédit sur un site Internet. La technologie qui rend possible ce genre de connexion s’appelle chiffrement par Secure Sockets Layer (SSL). Il est possible de distinguer une connexion SSL d’une connexion normale en jetant un coup d’œil attentif à la barre de navigation de votre navigateur Web.

    Toutes les adresses commencent normalement par la formule HTTP, tel qu’illustré ci-dessous :

    Lorsque vous visitez un site Internet sécurisé, l’adresse commence par la formule HTTPS :

    Le S supplémentaire signifie que votre ordinateur a ouvert une connexion sécurisée à ce site. Vous pouvez aussi remarquer une icône de cadenas, soit dans la barre de navigation, soit dans la barre d’état tout au bas de la fenêtre du navigateur. Ces éléments vous indiquent qu’aucun intrus ne sera en mesure d’espionner vos communications avec ce site en particulier.

    En plus de protéger vos mots de passe et transactions financières, ce type de chiffrement est idéal pour sécuriser les communications par courriel. Par contre, plusieurs fournisseurs de services de courriel n’offrent pas l’accès sécurisé, alors que d’autres exigent que vous activiez vous-même la fonction, soit en réglant une préférence à cet effet, soit en saisissant la formule HTTPS manuellement. Vous devriez toujours vous assurer que votre connexion est sécurisée avant de vous enregistrer sur un site, de lire vos courriels ou d’envoyer des messages.

    Vous devriez aussi être sur vos gardes lorsque le navigateur signale un certificat de sécurité invalide au moment de se connecter à un compte de courriel. Cela pourrait signifier qu’un tiers tente de s’interposer dans la communication entre votre ordinateur et le serveur afin d’intercepter vos messages. Finalement, si vous utilisez un service webmail pour échanger des renseignements sensibles, il est essentiel que votre navigateur soit aussi fiable que possible. Nous suggérons fortement d’installer Mozilla Firefox et ses modules de sécurité complémentaires.

    Expérience pratique : se lancer avec le Guide pratique Firefox

    Pablo : Une de nos partenaires qui doit collaborer à la rédaction du rapport utilise habituellement son compte de courriel Yahoo lorsqu’elle est à l’extérieur du bureau. Je crois aussi me rappeler qu’une autre personne utilise Hotmail. Si j’envoie un message à ces personnes, est-ce que d’autres personnes peuvent les lire ?

    Claudia : Probablement. Les sites Internet de Yahoo, Hotmail et plusieurs autres fournisseurs de services webmail ne sont pas sécurisés et ne protègent donc pas la confidentialité de leurs usagers. Il va falloir changer les habitudes de quelques personnes si nous voulons discuter de ces témoignages en privé.

    Adopter un service de courriel sécurisé

    Très peu de fournisseurs de service webmail offrent l’accès SSL aux comptes de courriel. Yahoo et Hotmail, par exemple, offrent une connexion sécurisée seulement lorsque vous vous connectez (pour protéger votre mot de passe) mais vos messages, eux, sont envoyés et reçus de façon non sécurisée. De plus, Yahoo, Hotmail et d’autres fournisseurs de services gratuits intègrent l’adresse IP de l’ordinateur que vous utilisez dans tous les messages que vous envoyez.

    Les comptes Gmail, par contre, utilisent une connexion sécurisée à partir du moment où vous vous connectez jusqu'à ce que vous déconnectiez. Vous pouvez vérifier ceci dans la barre d'adresse, présentant une URL commençant par 'https', le 's' indiquant une connexion sécurisée. Contrairement à Yahoo et Hotmail, Gmail ne révèle pas votre adresse IP aux destinataires du message. Cela dit, il n’est pas recommandé de dépendre uniquement de Google si la confidentialité de vos communications est un enjeu important. Google balaye et enregistre le contenu des messages de ses usagers pour une variété de raisons et a déjà acquiescé aux requêtes de gouvernements reconnus pour imposer des limites aux droits numériques. Voir la section Lecture complémentaire, à la fin de ce chapitre, pour plus de renseignements à propos de la Charte de confidentialité de Google.

    Si possible, vous devriez créer un nouveau compte de courriel Riseup en visitant https://mail.riseup.net. Les administrateurs de Riseup offrent des services de courrier électronique à des centaines d’activistes de partout dans le monde et se font un point d’honneur de protéger rigoureusement les données qui sont stockées sur leurs serveurs. Depuis plusieurs années, les services offerts par le collectif Riseup constituent une solution fiable pour tous ceux qui souhaitent utiliser un courriel sécurisé. Contrairement à Google, ils ont des politiques très strictes concernant la confidentialité de leurs utilisateurs et n’ont aucun intérêt commercial qui pourrait éventuellement entrer en conflit avec ces politiques. Pour créer un compte Riseup, cependant, vous aurez besoin de deux « codes d’invitation ». Ces codes peuvent vous être fournis par quiconque dispose déjà d’un compte Riseup. Si vous avez une copie reliée de ce livret, vous devriez également avoir reçu vos « codes d’invitation ». Sinon, vous devrez trouver deux usagers Riseup et leur demander de vous faire parvenir des codes d’invitation.

    Expérience pratique : se lancer avec le Guide pratique RiseUp

    Gmail et Riseup n’offrent pas seulement le service webmail. Les deux fournisseurs peuvent être utilisés avec un client de messagerie comme Mozilla Thunderbird, qui permet le recours aux techniques présentées à la section Principes de sécurité avancée, ci-dessous. Il est tout aussi important de s’assurer que votre client de messagerie établisse une connexion chiffrée à votre fournisseur de service que de se connecter au webmail via HTTPS. Pour plus de renseignements sur les clients de messagerie, nous vous invitons à consulter le Guide pratique Thunderbird. À tout le moins, vous devriez activer la fonction de chiffrement SSL ou TLS pour vos serveurs entrant et sortant.

    Pablo : Alors, devrais-je créer un nouveau compte Riseup, ou bien continuer à utiliser Gmail, mais avec une adresse sécurisée 'https' ?

    Claudia : C’est ta décision, mais il y a un certain nombre d’éléments dont tu devrais tenir compte lorsque tu choisis un service de courriel régulier. Premièrement, est-ce que le fournisseur permet une connexion sécurisée à son serveur ? Gmail le fait, donc ça va. Deuxièmement, fais-tu confiance aux administrateurs quant à la confidentialité de tes communications ? Vont-ils lire tes messages ou en partager le contenu avec un tiers ? C’est à toi d’évaluer les risques. Finalement, tu dois déterminer s’il est acceptable que tu sois associé à ce fournisseur. En d’autres termes, est-il possible que tu t’attires éventuellement des ennuis parce que tu as une adresse « riseup.net » (qui est reconnue pour être populaire auprès des activistes) ? Devrais-tu plutôt, par souci de discrétion, te contenter d’une adresse « gmail.com » ?

    D’une manière ou d’une autre, vous devez garder à l’esprit que chaque message a un expéditeur et au moins un destinataire. Vous, personnellement, n’êtes qu’un élément de l’équation. Même si vous accédez à votre compte de façon sécurisée, vous devez considérer les précautions que vos contacts prennent (ou ne prennent pas) lorsqu’ils envoient, lisent ou répondent à vos messages. Si possible, demandez à vos correspondants de vous indiquer où sont situés leurs fournisseurs de service de courriel. Certains pays sont plus agressifs que d’autres en ce qui concerne la surveillance des communications par courrier électronique. Pour assurer la confidentialité de vos communications, vos correspondants et vous devriez tous utiliser des services sécurisés hébergés dans des pays relativement sûrs. Si vous voulez être absolument certain que vos messages ne soient pas interceptés entre votre serveur de courriel et celui de votre correspondant, il serait pertinent que vous adoptiez tous deux des comptes courriels du même fournisseur. À cet égard, Riseup est un excellent choix.

    Conseils supplémentaires pour améliorer la sécurité de vos correspondances par courriel

    • Soyez toujours prudent lorsque vous ouvrez des pièces jointes que vous n’attendiez pas, qui proviennent de personnes que vous ne connaissez pas ou dont la ligne d’objet est douteuse. Lorsque vous ouvrez des messages de ce type, vous devriez toujours, 1) vous assurer que votre programme antivirus soit actualisé et 2) rester particulièrement attentif aux avertissements lancés par votre navigateur ou votre programme de courriel.
    • Vous devriez utiliser un programme de connexion anonyme, comme Tor. Ce programme, abordé au chapitre 8. Préserver votre anonymat et contourner la censure sur Internet, peut vous aider à cacher votre service de courriel à ceux qui pourraient être en train de surveiller votre connexion Internet. Selon le degré de filtrage des courriels qui prévaut dans votre pays, il vous sera peut-être nécessaire d’utiliser Tor, ou un autre des outils de contournement décrits au chapitre 8, ne serait-ce que pour accéder à un fournisseur de services de courriel sécurisés comme Riseup ou Gmail.
    • Au moment de créer un compte que vous avez l’intention d’utiliser anonymement (pour communiquer avec vos destinataires ou participer à des forums par courriel), faites attention à ne pas enregistrer un nom d’utilisateur ou un « Nom complet » qui se rapporte à votre vie personnelle ou professionnelle. Dans ces cas-là, il est également indiqué d’éviter les comptes Hotmail, Yahoo, ou tout autre fournisseur de webmail qui inclut automatiquement votre adresse IP dans les messages que vous envoyez.
    • Compte tenu des personnes qui ont physiquement accès à votre ordinateur, le nettoyage régulier des fichiers temporaires liés à l’utilisation des services de courriel est tout aussi important que la protection des messages envoyés sur Internet. À ce sujet, voir le chapitre 6. Détruire définitivement des données sensibles et le Guide pratique CCleaner.
    • Vous pouvez envisager d'utiliser plusieurs comptes de messagerie anonymes pour communiquer avec différents groupes de personnes et assurer ainsi la protection de votre réseau de contacts. Vous pouvez également utiliser d'autres comptes de messagerie pour vous inscrire à des services Internet exigeant une adresse électronique.
    • Au-delà de toutes ces précautions, prenez garde à ce que vous écrivez dans vos emails et aux conséquences qu'ils pourraient avoir s'ils tombaient entre de mauvaises mains. Un moyen d'accroître la sécurité de tout échange de données consiste à créer un système de code réservé à l'échange de données sensibles et vous permettant de ne pas nommer les gens par leur propre nom, ni de citer des adresses réelles, etc.

    Que faire si vous soupçonnez que vos communications par courriel sont surveillées

    Si vous soupçonnez que votre compte courriel a été piraté ou compromis, vous pouvez prendre des mesures pour limiter les dégâts. Bien qu’il soit difficile d’en être certain, vous pouvez vous faire une idée si :

    • vous remarquez des changements dans le contenu de votre compte ou dans les paramètres, que vous n’avez pas faits vous-même ;
    • vos contacts vous ont informé qu’ils ont reçu un courriel provenant de votre adresse et que vous ne l’avez pas envoyé ;
    • vous ne pouvez pas vous connecter à votre compte alors que vous êtes certain de votre mot de passe et que les autres paramètres sont corrects ;
    • il arrive régulièrement que vous ne receviez pas certains messages de vos collègues qui affirment pourtant vous les avoir envoyés ;
    • certaines informations privées qui ont été envoyées ou reçues exclusivement par courriel ont été portées à la connaissance d’un tiers alors que ni vous, ni votre correspondant ne les avez partagées avec une autre personne ;
    • si l’historique des connexions de votre compte (si cela est possible chez votre fournisseur de service de courriel) indique que ce dernier a été consulté à des heures dont vous ne vous souvenez pas ou depuis des lieux (ou adresse IP) où vous ne vous êtes pas rendus.

    Dans de telles situations, il serait prudent de prendre des mesures de précaution :

    • Cessez d’utiliser ce compte pour échanger des informations sensibles, au moins jusqu’à ce que la situation vous paraisse meilleure.
    • Changez votre mot de passe dès que possible. Consultez le Chapitre 3: Créer et sauvegarder des mots de passe sûrs. Pour pouvoir changer le mot de passe de votre compte (ou d’autres comptes), vous devrez vous familiariser avec la façon de procéder sur votre système de courriel, afin que lorsque vous devrez le faire, cela soit rapide. Changez votre mot de passe de tous les autres comptes lorsqu’il est le même ou semblable, car ces comptes sont peut-être aussi compromis.
    • Utiliser des mots de passe différents et forts pour chaque compte. Vous pouvez aussi changer les mots de passe de tous les autres comptes que vous possédez. Envisagez d’utiliser KeePass pour stocker et gérer tous vos mots de passe. Changez vos questions de sécurité (si vous en utilisez) pour tous vos comptes, afin qu’elles soient impossibles à deviner, que la réponse ne puisse être trouvée par quelqu’un qui fait des recherches sur vous. II s’agit d’une précaution au cas où votre ordinateur serait infecté par un logiciel espion, qui pourrait alors rendre vos autres comptes vulnérables.
    • Si vous ne parvenez pas à vous connecter à votre compte pour changer votre mot de passe, pensez à entrer en contact avec votre fournisseur de service de courriel pour tenter de récupérer votre compte. Certains fournisseurs ont des procédures spéciales pour aider les utilisateurs dans de telles circonstances. Il est aussi utile de connaître ces procédures à l’avance.
    • Atténuez la perte d’information et l’impact sur votre communauté. Il est aussi important de mettre en place un plan de réponse. En sachant quel genre d’information sensible vous aviez sur votre compte et en déterminant les personnes avec lesquelles vous échangez des informations via ce compte, décidez qui vous devriez alerter et quels autres comptes devront être changés ou fermés. Déterminez quels services (web, financiers, etc.) vous devrez revoir ou annuler. Il est important de vérifier les dossiers de votre compte (si vous le pouvez), pour rechercher ce qui pourrait avoir été envoyé depuis votre compte, et agissez en fonction. Pour informer vos contacts, vous devrez conserver une sauvegarde à part de votre carnet d’adresse. Vérifiez aussi les paramètres de votre compte afin de voir les changements qui ont pu être faits. Vérifiez l’option signature des comptes et veillez à ce qu’il n’y ait pas de lien ou de logiciels néfastes, l’option pour transférer un message qui permettrait de copier les courriels que vous recevez sur un compte tiers, les messages d’absence, l’affichage du nom, etc.
    • Chercher comment votre compte a pu être compromis. Était-ce parce que votre mot de passe était faible ou à cause d’une infection par un logiciel néfaste, etc. Plus vous en saurez à ce sujet, mieux vous pourrez répondre à la situation et mieux vous pourrez protéger vos contacts.
    • Revoyez la sécurité de tous vos systèmes qui accèdent à vos courriels sur ce compte et les systèmes sur lesquels vous stockez le mot de passe de ce compte. Voir les chapitres 1. Protéger votre ordinateur contre les logiciels malveillants et les pirates, 2. Assurer la sécurité physique de vos données et 11. Utiliser votre smartphone en sécurité (autant que possible...). Revoyez votre logiciel antivirus (voir les guides pratiques Avast - antivirus et Spybot - anti-mouchard). Scannez votre ordinateur : lisez 4.1 Comment faire face efficacement à une attaque de virus. Utilisez un CD ou une clé USB de secours (rescue CD) – lisez 4.9 Méthodes avancées de suppression de virus. Si vous n’êtes pas certain de pouvoir nettoyer votre système, pensez à réinstaller tous vos tous les logiciels, y compris le système d’exploitation, à partir d’une source fiable. Envisagez de changer pour des programmes plus sécurisés tels que Firefox, Thunderbird, LibreOffice et d’autres programmes libres et open source. Après avoir apporté les améliorations à la sécurité de votre système, changez de nouveau les mots de passe de vos comptes, assurez-vous qu’ils soient forts.
    • Pensez à signaler le piratage de votre compte à votre fournisseur.
    • Pensez à utilisez un autre compte plus sécurisé, par exemple un qui vous informe et empêche l’accès depuis des lieux ou des appareils inhabituels. Envisagez d’utiliser un compte hébergé hors de votre pays. Pensez à utilisez le chiffrement des courriels – lisez gpg4usb – chiffrement de courriel et de dossiers ou Thunderbird avec Enigmail et GPG – Client de courriel sécurisé.
    • Pensez à éviter de stocker les courriels lus sur le serveur de courriel sur votre compte. Songez plutôt à les télécharger sur votre ordinateur. Analysez la sécurité liée à la façon dont vous accédez à votre compte et les appareils que vous utilisez pour cela.

    Il est important d’agir rapidement et avec précision dans de telles situations. Avoir un plan prêt que vous avez répété peut vous aider.

    Si vous avez de bonnes raisons de croire que quelqu’un surveille vos courriels, il serait pertinent de créer un nouveau compte et de garder l’ancien comme diversion. Rappelez-vous tout de même que tous les comptes avec lesquels vous avez pu échanger des messages dans le passé pourraient très bien être surveillés également. En conséquence, vous devriez prendre quelques précautions supplémentaires :

    Vous et tous vos correspondants récents devriez créer de nouveaux comptes et vous y connecter à partir d’ordinateurs que vous n’avez jamais utilisés auparavant, comme ceux que l’on trouve dans des cafés Internet. Nous recommandons cette stratégie pour empêcher que les connexions établies à partir de votre ordinateur habituel ne révèle l’emplacement de votre nouveau compte. Si vous n’avez d’autre choix que de vous connecter à partir de votre ordinateur habituel, vous pouvez utiliser l’un des programmes décrits au Chapitre 8. Préserver votre anonymat et contourner la censure sur Internet pour cacher ces connexions.

    • Échangez les renseignements relatifs à ces comptes via des voies de communications sécurisées, que ce soit en personne, par messagerie instantanée sécurisée ou par conversation VoIP chiffrée.

    • Essayez de maintenir une fréquence plus ou moins habituelle d’échanges sur votre ancien compte, au moins pour quelque temps. Vous devez laisser croire à l’espion que vous utilisez toujours ce compte pour effectuer des communications de nature délicate. Évidemment, vous éviterez désormais de révéler des renseignements importants, mais vous devriez aussi donner l’apparence que vos habitudes sont inchangées. Comme vous pouvez l’imaginer, cela pose un certain défi.

    • Faites en sorte qu’il soit difficile d’établir un lien direct entre votre identité réelle et votre nouveau compte. N’envoyez pas de messages entre votre nouveau compte et l’ancien (ou ceux de vos contacts que vous soupçonnez être sous surveillance).

    • Faites attention à ce que vous écrivez lorsque vous utilisez votre nouveau compte. Il est préférable d’éviter d’utiliser des vrais noms et adresses, ou de formuler des phrases comme « droits humains » ou « torture ». Vous pouvez aussi concevoir un système codifié (que vous modifiez périodiquement) pour communiquer avec vos correspondants par courriel.

    • Rappelez-vous que pour assurer la sécurité de vos communications par courrier électronique, il ne suffit pas de mettre en place des moyens de défense techniques efficaces. Il est aussi essentiel de faire très attention à la façon dont vos correspondants et vous utilisez le courriel, et de maintenir une discipline de fer quant à vos habitudes sécuritaires non techniques.

    Sécuriser vos autres outils de communication par Internet

    Tout comme le courrier électronique, les programmes de messagerie instantanée et de VoIP peuvent être sécurisés ou non, selon les outils que vous choisissez et l’utilisation que vous en faites.

    Sécuriser votre programme de messagerie instantanée

    La messagerie instantanée, aussi appelée chat ou « clavardage », n’est habituellement pas sécurisée et, à cet égard, peut s’avérer tout aussi vulnérable que le courrier électronique. Heureusement, il existe des logiciels conçus pour garantir la confidentialité de vos séances de clavardage. Comme pour les courriels, cependant, une voie de communication sécurisée exige que vos correspondants par chat et vous utilisiez les mêmes logiciels et respectiez les mêmes mesures de précaution.

    Pidgin est un programme de clavardage qui fonctionne avec la plupart des protocoles de messagerie instantanée existants, ce qui signifie que vous pouvez facilement commencer à l’utiliser sans pour autant devoir changer vos noms de comptes ou recréer votre liste de contacts. Pour mener des conversations confidentielles chiffrées avec Pidgin, vous devrez installer et activer le module complémentaire Off-the-Record (OTR). Heureusement, cette opération est plutôt simple.

    Expérience pratique : se lancer avec le Guide pratique Pidgin

    Pablo : Si le service webmail de Yahoo n’est pas sécurisé, est-ce que cela signifie que Yahoo Chat est également non sécurisé ?

    Claudia : Tu dois surtout te rappeler que si l’on veut utiliser la messagerie instantanée pour discuter de ce rapport, on doit d’abord s’assurer que chacune des personnes impliquées a installé et configuré Pidgin et le module OTR. Si c’est le cas, nous pouvons utiliser Yahoo Chat ou n’importe quel autres service semblable.

    Sécuriser votre programme de VOIP (voix sur IP)

    Les appels entre utilisateurs de VoIP sont habituellement gratuits. Certains programmes vous permettent de placer des appels bon marché à des téléphones réguliers, y compris vers l’étranger. Inutile de dire que ces outils peuvent s’avérer extrêmement utiles. Skype, Jitsi, Google Talk, Yahoo! Voice et MSN Messenger figurent parmi les programmes de VoIP les plus répandus.

    Normalement, les communications par voix sur réseau IP ne sont pas plus sûres que les courriels ou les chats non sécurisés. Lorsque vous utilisez ce type de communication pour échanger des informations sensibles, il est important de choisir un programme en état de chiffrer l'appel depuis votre ordinateur jusqu'à celui du destinataire. De même, il vaut mieux utiliser des logiciels libres et Open Source ; de préférence ceux qui ont été examinés, testés et recommandés par un groupe ou une communauté en lesquels vous avez confiance. En considération des critères exposés ci-dessus, nous conseillons l'utilisation de Jitsi comme logiciel de VoIP.

    Remarques sur la sécurité de Skype

    Skype est un logiciel de messagerie instantanée et vocale très courant, et avec lequel on peut également effectuer des appels à destination de numéros fixes comme mobiles. Malgré sa popularité, ce logiciel n'est pas un choix sûr pour plusieurs raisons. Certaines de ces raisons sont décrites ci-dessous.

    Selon Skype, les messages et les appels vocaux sont chiffrés. Ceci ne peut donc être le cas que lorsque toutes les personnes impliquées dans l'échange utilisent un logiciel Skype. Skype ne chiffre donc ni les appels à destination de téléphones ni les textes envoyés sous forme de SMS.

    Si toutes les personnes impliquées dans l'échange utilisent un logiciel Skype (authentique), son chiffrement peut être plus sûr que lors d'un appel ordinaire via téléphone. Mais comme Skype est un logiciel à code source fermé, ce qui rend impossible tout contrôle ou évaluation indépendamment de ses déclarations, il est également impossible de vérifier si Skype protège vraiment ses utilisateurs, leurs informations et communications. Le chapitre 1. Protéger votre ordinateur contre les logiciels malveillants et les pirates présente clairement les avantages des logiciels Free/Libre Open-Source (FLOSS), à la section Actualiser vos logiciels.

    Nous ne recommandons donc pas l'usage de Skype. Si vous décidez toutefois de l'utiliser pour échanger des informations sensibles, prenez un certain nombre de précautions:

    • Téléchargez Skype à partir de son site officiel www.skype.com afin d'éviter un programme Skype infecté par un logiciel espion. Il est important de toujours vérifier l'URL afin d'être sûr que vous êtes connecté au site officiel. Dans certains pays, le site de Skype est bloqué et/ou de faux sites prétendant être Skype circulent sur le net. Dans de nombreux cas, la version de Skype disponible est probablement infectée par un logiciel malveillant, conçu pour espionner les communications. Utilisez les outils de contournement décrits dans le chapitre 8. Préserver votre anonymat et contourner la censure sur Internet pour vous connecter au site Internet de Skype et télécharger une version authentique du logiciel ; que vous souhaitiez l'installer ou le mettre à jour.

    • Il est très important de modifier votre mot de passe Skype régulièrement. Skype assure des connexions multiples à partir d'emplacements différents et ne vous informe pas sur le nombre de sessions simultanées. Si votre mot de passe est compromis, vous courez le risque que n'importe qui puisse se connecter à votre place. Toutes les sessions connectées reçoivent toutes les communications par texte et ont accès à l'historique des appels. Le seul moyen de stopper ces sessions sournoises est de modifier son mot de passe (en forçant une reconnexion).

    • Il est également conseillé de régler les paramètres de confidentialité sur Skype de façon à ce que l'historique des conversations ne soit pas conservé.

    • Il est recommandé de désactiver la fonction d'acceptation automatique de fichiers entrants. C'est par ce biais que des logiciels malveillants/espions ont pu parfois être introduits sur des ordinateurs.

    • Vérifiez toujours indépendamment l'identité de la personne avec laquelle vous communiquez. Ceci est plus facile à effectuer lors de communications vocales - si vous connaissez la personne à laquelle vous souhaitez parler.

    • Demandez-vous s'il est nécessaire que votre nom d'utilisateur Skype soit votre nom réel ou celui de votre organisation.

    • Prévoyez d'autres moyens de communication - Skype peut devenir indisponible à tout moment.

    • Exprimez-vous prudemment. Développez un système codé pour discuter des sujets sensibles sans avoir à utiliser la terminologie spécifique.

    Malgré la popularité de Skype, les préoccupations mentionnées ci-dessus font douter de son efficacité en matière de sécurité. Bref, vous avez tout avantage à utiliser des logiciels tels que Jitsi pour vos communications vocales et Pidgin avec le module complémentaire OTR pour une messagerie instantanée sécurisée.

    Principes de sécurité avancée

    Les outils et concepts présentés ci-dessous sont recommandés aux utilisateurs expérimentés.

    Utiliser le chiffrement asymétrique pour vos courriels

    Il est possible d’améliorer davantage le niveau de confidentialité de vos communications par courriel, et ce, même en employant un compte de courriel non sécurisé. Pour ce faire, vous devrez apprendre à utiliser le chiffrement asymétrique. Cette technique permet de chiffrer un message individuellement de telle sorte que seul le destinataire visé puisse le lire. L’aspect ingénieux du chiffrement asymétrique est que vous n’êtes pas obligé d’échanger des renseignements secrets avec vos correspondants pour leur indiquer comment vous coderez vos messages à l’avenir.

    Pablo : Mais comment ça fonctionne ?

    Claudia : Avec des mathématiques sophistiquées ! Tu dois encoder les messages que tu envoies à un correspondant en particulier à l’aide de sa « clé publique », qu’il t’a préalablement fait parvenir et qu’il est libre de partager avec n’importe qui. Ensuite, cette personne utilise sa « clé privée », dont elle garde rigoureusement le secret, pour décoder les messages. En retour, ton correspondant utilise ta clé publique pour chiffrer les messages qu’il t’envoie. Au bout du compte, vous devez échanger vos clés publiques, mais vous n’avez pas à vous inquiéter qu’elles soient interceptées, puisqu’une clé publique, sans la clé privée correspondante, est parfaitement inutile.

    Cette technique peut être employée avec n’importe quel service de courriel, même ceux qui n’offrent pas de connexion sécurisée, parce que les messages sont chiffrés avant même de quitter votre ordinateur. N’oubliez pas, toutefois, que l’utilisation de procédés de chiffrement pourrait attirer sur vous une attention non désirée. Le type de chiffrement employé pour accéder à un site Internet sécurisé ou à un compte webmail attire habituellement moins de suspicion que le chiffrement asymétrique abordé dans cette section. Dans certaines circonstances, si un message contenant des données chiffrées de cette manière est intercepté ou publié sur un forum public, il pourrait incriminer la personne qui l’a envoyé, et ce, même si le message lui-même ne contient rien d’incriminant. Il faut parfois choisir entre la confidentialité de vos messages et l’importance de passer inaperçu.

    Chiffrer et authentifier des messages individuellement

    Le chiffrement asymétrique peut sembler complexe de prime abord, mais le procédé est relativement simple, pourvu que vous en saisissiez les principes élémentaires. Par ailleurs, les outils sont très faciles à utiliser. Le client de messagerie Mozilla Thunderbird peut être utilisé avec un module complémentaire appelé Enigmail pour chiffrer et déchiffrer des messages en un tournemain.

    Expérience pratique : se lancer avec le Guide pratique Thunderbird

    L'authenticité de vos courriels est un autre aspect important de la sécurité des communications. Quiconque dispose d’un accès Internet et des bons programmes peut usurper votre identité en envoyant des messages à partir d’une fausse adresse identique à la vôtre. On comprend mieux ce danger lorsqu’on le considère depuis la perspective de vos destinataires. Imaginez, par exemple, la menace posée par un message qui semble provenir d’une source fiable mais qui en réalité est émis par un tiers dont l’intention est de perturber vos activité ou d’obtenir des renseignements sensibles à propos de votre organisme.

    Puisqu’il est impossible de voir ou d’entendre nos correspondants par courriel, nous nous fions habituellement à l’adresse de l’expéditeur pour vérifier son identité. C’est pourquoi l’on peut facilement se laisser berner par de fausses adresses. Les signatures numériques, qui reposent elles aussi sur un procédé de chiffrement asymétrique, offrent un moyen plus sûr de vérifier l’identité d’un correspondant lorsque vous recevez ou envoyez des messages. La section Comment utiliser Enigmail avec Thunderbird du

    Pablo : J’ai un collègue qui a déjà reçu un courriel de moi que je ne lui avais jamais envoyé. Nous avons déterminé que c’était probablement un pourriel, mais je me rends bien compte maintenant des problèmes qui pourraient survenir si un faux courriel aboutissait dans la corbeille d’arrivée de la mauvaise personne, au mauvais moment. J’ai lu quelque part qu’il est possible d’éviter ce genre de situation en recourant aux signatures numériques. Mais de quoi s’agit-il ?

    Claudia : Une signature numérique est un peu comme un cachet de cire que l’on utilise pour sceller une enveloppe contenant une lettre importante. Il est impossible de contrefaire une telle signature. Elle prouve que tu es bel et bien l’expéditeur du message et que celui-ci n’a pas été intercepté ni falsifié en chemin.

    Lecture complémentaires

    • Pour en savoir plus sur les moyens par lesquels il est possible d’usurper une identité numérique, veuillez consulter la section Spoofing du chapitre 2.5 du manuel Digital Security and Privacy for Human Rights Defenders.[5]
    • Il existe une faille de sécurité bien connue du procédé de chiffrement SSL : l’attaque de l’homme du milieu (Man in the Middle attack).[5]
    • La Charte de confidentialité de Gmail [6], que vous devez accepter à la création d’un compte Gmail, explique que « Google assure la maintenance et le traitement de votre compte Gmail et de son contenu afin de vous fournir le service Gmail et d'améliorer nos prestations ». En fait, dans une certaine mesure, tous les fournisseurs de services de courriel examinent vos messages pour améliorer leurs fonctions anti-pourriel et autres fonctionnalités du même genre. Mais Gmail va plus loin, cependant, afin d’afficher des « annonces pertinentes » selon le contenu de vos messages. Cela peut s’avérer dangereux si les renseignements stockés par Gmail devaient un jour être révélés, intentionnellement ou accidentellement.
    • Une série d’entretiens menés en 2008 portait sur les politiques de confidentialité et de chiffrement [7] de plusieurs services de messagerie instantanée.
    • En plus des guides pratiques Riseup et Thunderbird, il existe un certain nombre de sites Internet qui expliquent comment utiliser votre programme de courrier électronique avec plusieurs fournisseurs de services courriel répandus tout en laissant une copie de vos messages sur le serveur de courriel distant :

    Liens

    [1] www.gizmo5.com/pc
    [2] www.google.com/talk
    [3] www.voice.yahoo.com
    [4] www.download.live.com/?sku=messenger
    [5] www.frontlinedefenders.org/manual/en/esecman
    [6] https://mail.google.com/mail/help/intl/fr/privacy.html
    [7] www.news.cnet.com/8301-13578_3-9962106-38.html
    [8] http://help.riseup.net/mail/mail-clients
    [9] https://mail.google.com/support/bin/topic.py?topic=12805
    [10] www.email.about.com/od/mozillathunderbirdtips/qt/et_gmail_addr.htm