Entre confiance aveugle et psychose sécuritaire, quelle position adopter pour la protection de sa vie privée sur le web ?
Face à la toute puissance des multinationales du web, aux scandales de l'espionnage par des agences gouvernementales, aux risques liés à la concentration de nos données personnelles en ligne, il y a plusieurs façons de réagir.
J'ai l'impression de voir le plus souvent deux positions extrêmes :
- d'une part ceux qui font une confiance aveugle en toutes ces entreprises, arguant qu'ils n'ont rien à cacher, et qu'ils ne sont pas prêts à se passer de la qualité et du confort d'utilisation des outils les plus populaires,
- d'autre part ceux qui expriment un rejet profond de tout ce qui peut leur faire perdre une part de leurs libertés individuelles.
Il y a évidemment une troisième voie, un peu entre les deux, consistant à prendre garde aux outils que l'ont utilise, sans pour autant adopter une position de rejet complet si l'on n'a pas d'alternative efficace sous la main.
Beaucoup sont tentés de suivre cette voie paraissant la plus raisonnable... mais ils se rendent rapidement compte que ce n'est pas si simple, et ils ne savent souvent pas par où commencer.
Cette question me préoccupe de plus en plus, et je voulais te faire part aujourd'hui de mes réflexions.
Libre ne veut pas dire plus sécurisé
C'est bien là un des paradoxes de la tentation de basculer toutes ses informations en ligne vers des outils libres.
Même les libristes les plus convaincus en sont bien conscients.
Car si l'on ne veut pas faire confiance à un prestataire externe pour s'occuper de nos mails, photos, agendas, fichiers... il faut alors se tourner vers la solution d'héberger soi-même ses données... ce qui reporte toute la question de la sécurité sur nos frêles épaules. Qui parmi nous est capable d'administrer un serveur en limitant le risque d'intrusions, de vols de données ?
Très peu, sans aucun doute.
Google est une entreprise tentaculaire, mais dotée d'une armée d'ingénieurs en sécurité, et capable de nous proposer des solutions efficaces de sécurisation (double authentification...)
Les solutions libres sont-elles capables de nous en proposer autant ? C'est une question à se poser sérieusement et à étudier au cas par cas.
Mesurer les risques, identifier les plus importants, chercher les solutions alternatives, mesurer leurs avantages et inconvénients, et leur difficulté de mise en place.
C'est le petit exercice que je voulais te proposer aujourd'hui.
Étape n°1 : analyser l'état de notre présence en ligne ; proposition de tableau d'évaluation des risques
En me posant toute ces questions, j'ai commencé à remplir un tableau pour y voir un peu plus clair (car oui, j'aime bien les tableaux). Les puristes reconnaîtront des notions propres aux méthodes d'évaluation des risques, fréquemment utilisées en entreprise.
Je te montre le tableau, et je t'explique ensuite.
Outils | Qui ? | Où ? |
Probabilité d'espionnage (P1) |
Probabilité d'intrusion (P2) | Sensibilité des données (S) |
Risque = |
---|---|---|---|---|---|---|
Agenda |
USA | élevé | Faible (dont double authentification) | élevée | 12 | |
Mails perso |
USA | élevé | Faible (dont double authentification) | moyenne | 8 | |
Mails pro |
Yahoo | USA | élevé | Faible (dont double authentification) | élevée | 12 |
Listes de tâches |
USA | élevé | Faible (dont double authentification) | faible | 4 | |
Réseaux sociaux | TOUS | principalement USA | élevé |
Faible pour les plus connus. |
moyenne pour Facebook. faible pour les autres |
Facebook : 8 |
Stockage Cloud |
Dropbox + Google | USA | élevé | Faible | moyenne | 8 |
Favoris web |
Shaarli | France (hébergement perso) | faible | Sécurité à gérer soi-même. | faible | 4 |
Développement de sites web personnels | Disques durs perso. jusqu'à version alpha | Domicile | faible | Sécurité à gérer. Risque de pertes, vols. | moyenne à forte | 10 |
(note que je me suis en partie inspiré de mon usage personnel, mais que j'ai inventé d'autres situations pour couvrir le plus de cas possibles)
A l'intérieur du tableau, plusieurs informations simples :
- la liste des types d'outils qui me sont indispensables en ligne : mails, agenda, réseaux sociaux...
- en face, le nom de la solution ou de l'entreprise qui me fournit le service : Google, une autre entreprise, un prestataire d'hébergement, un hébergement en local chez moi...
- le pays où sont (vraisemblablement) stockées mes données. Pourquoi ? La gentille NSA espionne allègrement les grandes entreprises de son pays, on en est désormais certains. Pour le reste, à toi de voir si tu fais plus confiance dans les services de renseignements de ton propre pays...
- pour les différents risques identifiés, une évaluation de la probabilité qu'un problème survienne. Je me suis limité pour cet exercice à deux risques principaux : les risques d'espionnage par l'entreprise prestataire de service ou par les agences gouvernementales du pays d'accueil des données, et les risques d'intrusion par des tiers (piratage). Pour faire simple, j'ai simplement classé en 3 catégories : faible - moyenne - élevé, auxquelles on pourra attribuer une note (1 - 2 - 3)
- une évaluation de la sensibilité des données. C'est une évaluation toute personnelle selon l'usage que je fais de chaque outil : si ma boite mail personnelle ne me sert qu'à recevoir des coupons de réductions, tu te doutes que je n'ai pas trop de problème à ce que la sécurité ne soit pas optimale. C'est plus gênant concernant mon agenda si j'y ajoute tant mes rendez-vous professionnels que personnels. J'ai utilisé la même classification faible - moyenne - élevée que précédemment.
- la dernière colonne est un simple calcul permettant d'évaluer le risque : on additionne les différents probabilités que le risque soit réalisé, que l'on multiplie par la sensibilité des données. On obtient une note, dans mon exemple pouvant avoir avoir un maximum de 18 (dans le cas de (3+3) x 3).
J'ai utilisé un code couleur pour y voir un peu plus clair : rouge pour les plus aspects les plus sensibles, orange pour ce qui est un peu moins sensible, vert lorsque cela semble ok.
J'ai également utilisé de la couleur au niveau de la colonne "Qui ?" pour mettre en évidence un autre aspect important : la concentration de plusieurs services dans les mains d'un même acteur. On voit bien dans ce cas que Google possède une quantité de données importantes. On pourrait alors ajouter un "malus" à la note finale (par exemple ajouter systématiquement 2 points, ou multiplier par un coefficient)
Pourquoi faire tout ça ?
L'objectif est d'abord d'y voir un peu plus clair, mais surtout de pouvoir classer les risques par ordre de priorité. Dans l'exemple précédent, je devrais me préoccuper en priorité de mon agenda, et de mes mails pro.
Car l'étape suivant consiste à faire le point sur les alternatives à ma portée.
Étape n°2 : analyser les solutions et alternatives
Je me lance dans la création d'un second tableau. Prenons l'exemple des outils de courriers électroniques :
Outils | Avantages | Inconvénients | Difficulté de mise en place |
---|---|---|---|
Outil actuel : Gmail |
- simplicité |
- concentration de services Google - espionnage |
- |
Autres webmail de grandes entreprises US (Yahoo, Outlook...) |
idem + diminution de la concentration Google |
- espionnage |
Ultra-simple |
Webmail moins connu, hors USA (hébergeur web, autres...) | diminution de la concentration Google |
- un peu moins simple, un peu moins de fonctions, applications mobiles à voir - sécurité des données à voir |
Simple |
Webmail libre (openmailbox...) |
- diminution de la concentration Google - libre |
- un peu moins simple, un peu moins de fonctions, applications mobiles à voir - sécurité des données à voir |
Simple |
Auto-hébergement |
- diminution du risque d'espionnage |
- gestion de la sécurité délicate |
Complexe |
Dans ce tableau :
- la liste des outils alternatifs disponibles. J'ai ajouté l'outil actuel en première ligne pour rappel. Pour avoir des idées d'alternatives n'hésite pas à consulter le site de la campagne "Degooglisons Internet" de Framasoft ainsi que leur annuaire, mais aussi des sites comme AlternativeTo.
- la liste des avantages et inconvénients, en comparaison de l'outil actuel
- un point sur la difficulté de mise en place de la solution. Évidemment cela dépendra très souvent de tes compétences, ou de la possibilité de te faire aider.
On peut imaginer ajouter plein d'autres colonnes pour faire son choix, comme le prix si tu souhaites ajouter des solutions payantes, et tout un tas de caractéristiques techniques (par exemple pour les mails, l'espace de stockage fourni pour un compte gratuit...)
A toi de juger à partir de ça vers quelle direction tu souhaites t'orienter.
Et puis... il ne reste plus qu'à se lancer.
J'espère que tout ça ne t'apparaît pas comme une grosse prise de tête, j'ai vraiment essayé de proposer une solution simple.
Mais je pense que tout ça est largement améliorable, le but de cet article était aussi de lancer la discussion avec les intéressés.
Si cela peut être utile, je pourrais créer des modèles de tableau téléchargeables et prêts à être remplis.
Mais il faut d'abord que tu me dises ce que tu en penses ;-)
Tu aimes ce site ?
Tu devrais lire aussi
Commentaires
Cascador
11/11/2014
Permalien
Hello,
Très bon article et très bonne approche pour savoir où on en est et où on peut aller.
Tcho !
coreight
24/11/2014
Permalien
Merci beaucoup, mais ce n'est qu'une première ébauche, il ne faut pas hésiter à me faire part de vos remarques et réflexions
koulou
11/11/2014
Permalien
On sait quand même que nous sommes en pleine guerre sauvage économique, aussi important que celle de 14-18 et qui va virer à 39-45. Tout est bon pour espionner l'autre, connaitre ses stratégies, ses amis, ses recherches, etc... et ce qu'il prépare = espionnage à tous les niveaux dont le principal échelon est celui des États et le second des multinationales et des banques - quand ces deux échelons ne sont pas mélangés,...
Math
11/11/2014
Permalien
Salut,
Intéressant comme approche.
Pour les mails, il y a une autre solution alternative : le nom de domaine.
Pas besoin d'avoir des connaissances de mise en place de serveur et de sécurité comme l'auto-hébergement, et la quasi-assurance d'avoir un accès en tout temps. Et c'est d'une simplicité!
Certes ce n'est pas gratuit, mais j'étais prêt à payer même pas 5€ par an pour avoir ma propre adresse mail.
C'est ce qui m'a poussé à prendre un nom de domaine et un mutualisé chez OVH.
Là, avec moins de 15€ par an, j'ai mon adresse mail, la possibilité d'avoir mon cloud, mon lecteur de flux RSS, etc... Pour l'espionnage des données, il faut par contre faire confiance à son hébergeur.
A+
coreight
24/11/2014
Permalien
A la relecture je n'ai pas été très clair dans mon second tableau, car dans ma tête j'ai classé cette solution dans la partie "autre webmail"
C'est aussi la solution que j'ai retenu pour mon blog, mais jusqu'à présent je faisais une redirection sur Gmail, où je gère mes mails perso, pour tout avoir au même endroit. J'ai arrêté cette redirection récemment pour en enlever un peu à Google.
Pazns
13/11/2014
Permalien
Euh...
Pourquoi dans les tabelaux récapitulatifs, "Google" est nécessairement associé à :
"simplicité"
et "Webmail moins connu, hors USA (hébergeur web, autres...)" ainsi que "Webmail libre (openmailbox...)" associés à :
"- un peu moins simple, un peu moins de fonctions, applications mobiles à voir
- sécurité des données à voir"
C'est très subjectif, et je dirais même injustifié.
coreight
24/11/2014
Permalien
A mon avis tout dépend du niveau d'utilisation de son outil de mail, mais honnêtement je ne connais aucun autre webmail avec des fonctions aussi avancées de tri / filtre / recherche, des applications mobiles aussi bien faites (encore plus depuis les récentes mises à jour), et une intégration aussi poussée sur smartphone Android.
Mais je veux bien des exemples !
Ce qui ne veut pas dire pour autant que les autres outils ne sont pas performants