🔎
📝 Éditer cette page
Activités Technique Administratif Communication
    AccueilActivitésAteliers → Vie privée, self défense

    Vie privée, self défense

    Table des matières
    1. Introduction
    2. Trame
      1. Définitions : vie privée et pisteurs
    3. Outils d’observation
      1. Exodus Privacy
      2. Panopticlick
      3. Pisteurs, surveillance : dans quels buts ? - 10 min
      4. Recommandation : Capitalisme de surveillance, par Shoshana Zuboff
      5. Recommandation : les révélations d’Edward Snowden
      6. Cookies : définition et explications
      7. Cookies : utilisation de CookieViz
    4. Outils de défense
      1. Extensions de navigateur
      2. Gestionnaires de mots de passe
      3. F-Droid
      4. Services alternatifs
      5. Framasoft & les CHATONS
      6. Visioconférence
      7. DNS-over-HTTPS (DoH)

    Vie privée, self défense est l’un des premiers ateliers conçus par La Contre-Voie. Il a été initialement prévu pour des étudiant·es et novices au sein de l’établissement de formation 42Paris et a été tenu à plusieurs reprises lors de divers évènements organisés par 42Paris, dont « La tech pour toutes ».

    Cet atelier datant de plusieurs années, le ton de la trame et la démarche pédagogique sont sans doute à parfaire ou à actualiser.

    NomVie privée, self défense
    FormatAtelier
    Durée1h30
    PrérequisUn ordinateur par personne ou pour deux
    Public cibleTout le monde
    Tranche d’âgeÀ partir de 16 ans
    Sujets abordésCookies et pisteurs Android, empreinte du navigateur, surveillance de masse, capitalisme de surveillance, logiciels libres et communs numériques
    Première présentationle 28 mai 2020 à 42 Paris
    VidéoLien − Attention, la vidéo date de novembre 2021, le contenu de la conférence a beaucoup évolué depuis.
    DiapositivesLien

    Introduction🔗

    Cet atelier présente des outils de visualisation du pistage en ligne de manière accessible pour des personnes non-initié·es au numérique, sous forme de sessions pratiques sur ordinateur. Ces sessions sont entrecoupées de discussions autour de la notion de vie privée et de présentations d’alternatives libres.

    • Cette trame a été testée (avec succès) avec une audience de 25 personnes et 4 encadrant·e·s. Comptez un·e encadrant·e pour 8 personnes + un·e speaker (les questions et demandes d’aide peuvent être nombreuses).
    • Le contenu est orienté tous publics, sans prérequis ou connaissances techniques nécessaires.
    • L’utilisation d’un micro est conseillée.
    • Il est fortement conseillé d’utiliser un support numérique pour communiquer les ressources (notamment les références, les noms de logiciels et les liens).
      • Donner des slides ne nous convenait pas car elles ne défilent pas toutes seules (donc tout le monde ne suit pas au même rythme) et nous n’avions pas de matériel de projection.
      • Un stream ne nous convenait pas car il n’est pas possible de copier-coller les liens donnés.
      • Nous avons opté pour un pad comme Cryptpad : nous donnons le lien d’un pad en lecture seule et nous éditons le pad au fur et à mesure, en copiant-collant le contenu (pertinent) de l’atelier dedans au fur et à mesure. Le lien est donné à l’oral au début de l’atelier et raccourci avec un raccourcisseur de liens.
    • Il peut arriver que des participant·e·s arrivent en cours de route. Un·e encadrant·e doit les conduire à des postes libres, leur donner le lien du pad et expliquer son utilisation, donner les définitions déjà évoquées en fonction de l’avancement de l’atelier et présenter brièvement les outils déjà présentés.
    • Il est nécessaire d’installer l’application CookieViz sur les ordinateurs avant l’atelier.

    Trame🔗

    Accueil des participant·e·s, connexion sur les postes et prise en main, ouverture du pad “dans le navigateur de leur choix” (le lien raccourci est communiqué à l’oral).

    Présentation rapide de l’association.

    Présentation du plan : une première partie qui présente des outils pour identifier des pisteurs, puis une deuxième partie qui décrit des moyens de s’en protéger.

    Il est nécessaire de bien faire attention à ce que tout le monde ait bien ouvert le pad : certain·e·s ne savent pas ouvrir un navigateur, ont mal compris le lien ou font une faute de frappe… Les encadrant·e·s doivent passer entre les rangs pour les aider.

    Définitions : vie privée et pisteurs🔗

    1. Définition (non exhaustive) de “vie privée” ; chacun·e a sa propre définition de ce qui lui est intime / personnel.
      • Faire référence à ce qui relève de notre intimité, à ce qui nous concerne, des informations à caractère personnel : coordonnées, données médicales, convictions religieuses / politiques, relations familiales / amoureuses, etc.
      • Laisseriez-vous la porte de votre maison ouverte et quiconque y entrer sans votre permission ?

    D’autres éléments de réponse :

    Article 12 de la déclaration universelle des droits de l’homme de 1948: “Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes.” Le droit au respect de la vie privée est prévu par l’article 9 du code civil et l’article 8 de la Convention européenne des droits de l’homme. S’y ajoute la loi du 6 janvier 1978 (n° 78-17 du 6.1.78), modifiée par la loi du 6 août 2004 (n° 2004-801), qui porte sur la création et l’usage de fichiers, notamment informatiques.

    1. Qui dans cette salle estime n’avoir rien à cacher ?
      • Pour les personnes qui ont levé la main, ça ne vous pose pas de problème d’exposer nom, prénom, âge, num de tel, religion, orientation sexuelle, orientation politique, envie d’un enfant, avis sur des sujets de société qui font débat ?
      • La question inverse : “Qui dans cette salle estime avoir quelque chose à cacher ?” peut également être posée afin d’amorcer la réflexion.

    Pourquoi n’avoir « rien à cacher » n’est pas une raison pour accepter la surveillance de masse

    Qu’est-ce qu’un pisteur ?

    1. C’est un bout de code dans une application qui a pour but de retracer vos activités, vos mouvements, etc. Par exemple à quelles heures vous regardez votre téléphone, qui sont vos amis, quels sites vous consultez, de quoi vous avez l’habitude de parler, etc.
    2. Ces données sont généralement récoltées et stockées sans notre consentement (ou avec notre consentement, ex: bannières ACCEPTEZ NOS COOKIES qui nous empêchent d’accéder à un site, ou encore la fameuse case à cocher “J’accepte les conditions d’utilisation” que peu de gens prennent le temps de lire et encore moins qui les comprennent, pour vous aider il y a https://tosdr.org/)

    Outils d’observation🔗

    Exodus Privacy🔗

    Exodus Privacy, association qui recense les pisteurs dans les applications Android ainsi que les permissions demandées par ces applications.

    Montrer un exemple commun: rechercher Météo France

    Proposer au public de rechercher une application de leur choix

    Une application mobile est également disponible pour Android, téléchargeable depuis le Play Store ou F-Droid, pour scanner les apps installées sur un smartphone.

    Question : les « applications-pisteurs »🔗

    Contre toute attente, certaines applications telles que l’app Facebook contiennent peu ou pas de pisteurs, tout simplement parce que c’est Facebook lui-même qui vous piste ! Facebook a cependant tout intérêt à mettre ses pisteurs dans les applications des autres, pour continuer à vous pister hors de Facebook.

    Question : les permissions🔗

    • Certaines permissions demandées par les applications peuvent être légitimes : une application de messagerie pourrait avoir besoin de lire vos SMS pour fonctionner.
    • Si une application “lampe torche” a besoin d’avoir accès à vos contacts et d’envoyer des SMS, posez-vous quelques questions.
    • Attention : une application comme Snapchat a besoin de votre appareil photo pour fonctionner, mais elle peut également l’utiliser pour vous filmer et tout envoyer à Facebook, par exemple.

    Question : Apple🔗

    Pourquoi il n’y a que des rapports sur les applications Android ? Pas parce qu’il n’y a pas de pisteurs sur Apple, loin de là, mais car Apple ne leur a pas donné l’autorisation légale d’examiner les applications.

    Exodus se serait exposée à des poursuites judiciaires si leur association avait réalisé des audits sur des applications Apple. Mais attendez-vous à ce qu’il y ait des pisteurs très similaires sur les apps Android et les apps Apple.

    Panopticlick🔗

    Présentation de l’outil « Cover your tracks » (ex-Panopticlick) de l’EFF.

    Pisteurs, surveillance : dans quels buts ? - 10 min🔗

    1. Le but est de définir un “life pattern” (vos habitudes de vie) afin de prédire ce que vous aimez, ou ce que vous pourriez aimer plus tard, et de monnayer ces prédictions.
    2. Shoshana Zuboff, une professeure à Harvard, femme de lettres et sociologue, définit cela sous le nom de capitalisme de surveillance, un processus qui transforme nos comportements présents en prédictions monnayées de nos comportements futurs.
    3. Qu’est ce que ça a comme conséquences ? Vous pourriez vous dire « bah oui c’est bien, je reçois des publicités qui me ressemblent, c’est pratique, j’ai même pas besoin de chercher ce que je veux, ça me fait gagner du temps ». Où est donc le problème ?
    4. Le problème, c’est qu’on perd notre libre-arbitre parce qu’on est constamment soumis·es à la manipulation, qu’elle soit pour acheter un produit, pour rester dans la même bulle ou pour voter pour quelqu’un aux municipales, par exemple.
    5. Présenter le scandale Cambridge Analytica comme exemple.
      • En quelques mots : société de publication stratégique combinant des outils d’exploration et d’analyse des données. Grand bruit lors de l’élection de Trump.
      • Sa méthode consiste à créer des profils psychologiques afin de cibler une population et de l’influencer lors des élections.
      • Mots-clés : tests rémunérés, connexion au profil Facebook (récompense), accès & récupération d’informations générales et des likes pour établir des modèles psychologiques et des fiches détaillées pour les 11 Etats-clés.
    6. Encore aujourd’hui, Facebook masque ou privilégie certains contenus du fil de publication de façon à orienter notre pensée.

    Recommandation : Capitalisme de surveillance, par Shoshana Zuboff🔗

    Cet ouvrage présente comment une entreprise (Google) a progressivement transformé les données de ses utilisateurs en un système de prédiction de comportements dans le but de réaliser du profit (établir des profils de consommateurs). Système lucratif qui a rapidement intéressé beaucoup d’entreprises.

    Recommandation : les révélations d’Edward Snowden🔗

    Il est également possible, dans un second temps, de parler des révélations d’Edward Snowden.

    • Présenter Edward Snowden
    • Présenter ce qu’est une subpoena
    • Parler du programme de surveillance PRISM.
    • Expliquer en quoi ces faits compromettent systématiquement toute confiance entre vous et une entreprise américaine. Possible de parler du Cloud Act et de ses retentissements.

    Continuer l’atelier autour des cookies.

    Cookies : définition et explications🔗

    1. Expliquer ce qu’est un cookie pendant que les gens ouvrent l’application.
      • Un cookie, c’est un identifiant que les sites que vous visitez laissent sur votre ordinateur pour pouvoir vous retrouver si vous revenez sur le site un jour, un peu comme un code barres qu’on vous collerait sur la tête.
    2. Expliquer ce qu’est un cookie tiers.
      • Le problème, c’est que certains sites dépendent d’autres sites pour fonctionner, notamment pour afficher des images, des boutons, des polices, ou pour faire du suivi marketing ou de la publicité ciblée.
      • Donc quand vous ouvrez le site, selon le site, votre ordinateur va se connecter à des dizaines de sites différents en même temps pour afficher la page. C’est ce qu’on appelle des requêtes vers des sites tiers.
      • Et chacun de ces sites peut déposer des cookies sur votre navigateur. Ça peut faire beaucoup de cookies à la fin.
      • En une seule recherche, vous vous retrouvez donc avec une vingtaine de codes barres différents collés sur le front. Super.
    3. Sans grande surprise, parmi les sites qui déposent ces cookies, on retrouve: Google, Facebook… Quand vous voyez un bouton “Like” sur un site d’actualités par exemple, votre ordinateur s’est en réalité connecté à Facebook pour afficher ce bouton Like.
    4. Et les pubs que vous voyez sur Internet sont souvent proposées par Google.

    On va maintenant traquer ces cookies.

    Cookies : utilisation de CookieViz🔗

    • Le Laboratoire d’innovation numérique de la CNIL (LINC) a élaboré un outil d’observation des cookies: Cookieviz
    • Voici ce que dit le RGPD à propos des cookies.

    Outils de défense🔗

    • Linux - Des install parties sont régulièrement organisées par différentes associations :
      • Par nous : vous pouvez consulter notre agenda pour voir si nous en prévoyons une bientôt près de chez vous ;
      • Le Premier Samedi du Libre : Chaque premier samedi de chaque mois, de 14h00 à 18h00, Parinux, à l’aide de bénévoles passionnés de logiciels libres, se retrouvent au Carrefour Numérique de la Cité des Sciences (Paris), pour une install party de distributions Linux et Android, ainsi que pour des ateliers.
    • Nous recommandons l’utilisation de Mozilla Firefox couplé au moteur de recherche DuckDuckGo.

    Extensions de navigateur🔗

    • uBlock Origin
      • Extension libre de navigateur qui bloque certains éléments d’une page web (publicité) et la collecte des données de navigation.
      • Régulièrement maintenu par son fondateur, Raymond Hill. Indépendant.
      • A ne pas confondre avec: uBlock, projet de base détourné et racheté par Adblock.
      • Nous déconseillons également Adblock et AdBlockPlus, car ils tolèrent certaines publicités contre de l’argent.
    • Decentraleyes
      • complémentaire à uBlock Origin;
      • limite les requêtes à des sites tiers.
    • NoScript
      • Pour navigateurs basés sur Mozilla;
      • NoScript permet de bloquer les scripts JavaScript, Java, Flash et autres plugins des sites qui ne font pas partie de la liste blanche définie par l’utilisateur.
      • Attention : difficile d’utilisation au quotidien sans être à l’aise avec le numérique.

    Gestionnaires de mots de passe🔗

    • Un bon mot de passe est un mot de passe long (12 caractères minimum) et le plus aléatoire possible.
    • Les gestionnaires de mots de passe vous permettent de stocker tous vos identifiants et de générer des mots de passe aléatoires et solides, que vous n’avez pas à mémoriser. Résultat: il ne vous reste qu’un mot de passe maître à retenir, celui du gestionnaire. Il doit donc être long, mais facile à retenir pour vous. Retrouvez des pistes de réflexion pour votre mot de passe.
    • Exemples de gestionnaires:
      • Keepass XC (Keepass DX sur mobile)
      • Bitwarden

    F-Droid🔗

    F-Droid est un store alternatif pour Android proposant uniquement des applications libres / open source. Il peut être couplé avec le Aurora Store, une alternative au Play Store qui liste les applications du Play Store, pour se passer complètement des outils Google.

    Services alternatifs🔗

    • NewPipe, application permettant de consulter YouTube sans publicités, de télécharger des vidéos ou musiques de YouTube pour les écouter hors ligne, d’écouter des vidéos YouTube en arrière-plan quand le téléphone est en veille
    • OpenStreetMap (OrganicMaps pour mobile) : alternative à Google Maps, service de cartographie collaborative en ligne
    • PeerTube : Alternative à YouTube pour upload des vidéos
    • Mastodon : Réseau social alternatif à Twitter
    • PixelFed : Alternative à Instagram
    • LibreOffice : alternative à Microsoft Office
    • Signal : alternative à Messenger ou WhatsApp. (Telegram est moins bien)
    • Prism Break : liste de nombreux services alternatifs
    • Privacy Guides : annuaire de services libres, donne également de nombreux conseils pour se protéger
    • Framalibre : un autre annuaire de logiciels libres.

    Framasoft & les CHATONS🔗

    • Découvrez les applications Framasoft sur leur site web.
    • Les CHATONS : Collectif des Hébergeurs Alternatifs Transparents Ouverts Neutres et Solidaires
      • Framasoft, ayant gagné en popularité, ne souhaitait pas “grossir” comme les GAFAM. L’association a donc initié ce collectif rassemblant plus de 100 structures (associations, petites entreprises, particuliers…) dans le but de décentraliser Internet collectivement.
      • entraide.chatons.org: portail d’accès simplifié à des services en ligne sans inscription et répondant aux besoins les plus courants.

    Visioconférence🔗

    • Jitsi
    • BigBlueButton (voir l’annuaire CHATONS)

    DNS-over-HTTPS (DoH)🔗

    Pour chiffrer vos requêtes DNS.

    La Contre-Voie dispose d’un résolveur DoH disponible ici.


    Documentation des activités de sensibilisation
    Registre des activités Historique de nos interventions · Presse et médias
    Conférences Les enjeux d’Internet · Sortir des GAFAM en trois clics ! · Prise en main de Nextcloud · Démonstration de Paheko
    Ateliers Auditons le design de vos sites web ! · Comment rendre son association inclusive ? · Création de petits jeux vidéo · Vie privée, self défense · Créez une application addictive ! · Install Party
    Stands