Skip to content

Protection de la navigation sur Internet

Les temps sont durs pour notre vie privée. Lorsque l’on parle de sécurité de l’information, il s’agit aussi de nos informations personnelles et de notre vie privée. Je vais ici vous détailler ce que j’utilise tous les jours pour assurer une navigation un peu plus « sécurisée » lors de mon surf sur Internet.

La sécurité est composée en tout premier lieu de deux choses :

  • Être conscient des dangers et adopter un comportement adéquat
  • Contrôler ce qui entre et ce qui sort

Dans le cadre de cet article, je parlerais exclusivement de la navigation Internet, et non des autres services (cela viendra peut-être). Pour vous décrire mon environnement, j’utilise un Windows 8.1 avec Firefox. (Update : Debian 8.1 avec Iceweasel)

Il faut savoir qu’aujourd’hui, les méchants pirates avec une cagoule et un chapeau noir ne sont pas les seuls intéressés par notre vie privée, une raison de plus pour en prendre soin.

Comme je l’ai déjà dit dans mes précédents articles, une sécurité qui se veut efficace doit être composée de plusieurs barrières, plusieurs outils, plusieurs contre-mesures et non d’une seule paraissant plus ou moins efficace.

Firefox (ou Iceweasel), commençons par une bonne configuration

Avant d’installer des plug-ins qui font tout et n’importe quoi, il faut déjà commencer par avoir une configuration correcte, cela passe bien évidemment par la bonne connaissance de l’outil que l’on utilise, c’est pourquoi je vous invite, à chaque fois que vous découvrez un outil, à l’explorer de fond en comble afin de savoir de quoi il est capable !

Note : Toutes les configurations et plug-ins présentés ici sont également utilisables sous Google Chrome. Si vous utilisez Internet Explorer, changez de navigateur 🙂

Dans le cas de Firefox, les dernières versions ont inclue un service de partage et de discussion appelé Hello, en plus du fait que je ne l’utilise pas du tout, celui-ci ne m’inspire pas vraiment confiance. Pour le désactiver, saisissez l’URL « about:config« , confirmez l’avertissement et cherchez « loop.enabled« . Faites ensuite un clic droit « Inverser« . Au redémarrage, plus d’Hello !

Dans le même esprit, j’ai pour habitude de désactiver l’IPv6 en effectuant la même manipulation sur la recherche « network.dns.disableIPv6« .

Configuration « Vie privée » de Firefox

Firefox dispose d’un onglet « Vie privée » dans sa configuration. Celui-ci permet de gérer la conservation des différents historiques par exemple. Voici la configuration que j’ai mise en place :

Je décide en effet de ne pas conserver d’Historique, seuls les cookies, pratiques pour la reconnexion aux services, sont conservés, ainsi que le cache pour plus de performance.

Bien évidemment, je coche la case « Indiquer aux sites web de ne pas me pister« , bien que je doute de son efficacité. Nous ajouterons quelques plug-ins ayant ce rôle un peu plus tard.

Gérer les permissions d’accès

Je vous invite également à aller sur l’URL « about:permissions » qui permet de gérer les permissions d’accès à vos informations et périphériques site par site, mais également de manière globale. On trouvera par exemple l’accès à la géolocalisation, la caméra, le microphone :

protection-vie-privee-firefox-07
Gestions des permissions dans Firefox

Gardons nos outils à jour !

Il est très important de toujours être à jour, c’est une base en sécurité, qu’il s’agisse de Firefox en lui même ou de ses plug-ins. Firefox est normalement configuré pour être mis à jour automatiquement, vous pourrez le vérifier en allant dans le « Menu » puis sur le point d’interrogation et enfin dans « À propos de Firefox » :

protection-vie-privee-firefox-08
Vérifier si Firefox est à jour

Les plug-ins eux ne sont pas systématiquement mis à jour au démarrage, vous pourrez vérifier leurs mises à jour en allant dans « Menu » puis « Modules« . Cela est évidemment également valable pour les couches inférieures que sont l’OS, les antivirus, etc.

Gestions des Plugins intégrés à Firefox

Pour que la navigation sur le web se fasse sans trop d’encombre et que l’on puisse y lire différents contenus, Firefox et la plupart de ses confrères intègrent des plugins. Ils permettent, par exemple, de lire les applications Flash, Java, les PDF,etc.

Le fait est que la plupart des attaques permettant l’installation d’un malware se font aujourd’hui via ses contenus tiers. Les applications Java étaient les plus exploitées il y a quelques années, maintenant, la tendance passe au Flash ( Microsoft : 90% de pirates ont basculé leurs attaques de Java vers Flash ). C’est pourquoi il est nécessaire de contrôler l’utilisation de ces plugins au sein de nos navigateurs.

Pour cela, il faut se rendre dans le menu Firefox puis dans « Module« . On arrive alors directement dans l’onglet « Plugins« . Certains, comme « Adobe Acrobat » sont en « Demander pour activer« , ce qui est un minimum :Il peut également être judicieux de mettre en « Demander pour activer » les plugins « Shockwave Flash » et « Microsoft Office » comme dans l’exemple ci-dessus.

Toujours dans cet onglet, vous remarquerez la présence d’un lien « Vérifier si les plugins sont à jour« . Aussi discret soit-il, il est très important et permet de garder ces plugins intégrés (et ceux que l’on ajoute) à jour,  c’est très souvent par eux que passent les intrusions et l’installation de malware :

protection-vie-privee-firefox-13
Vérification de la mise à jour des plugins Firefox

Mes extensions Firefox

Firefox seul ne suffit pas à garantir un certain niveau de sécurité sur Internet, il faut lui ajouter des extensions ou add-ons pour avoir un environnement plus complet. Voici les extensions  que j’utilise afin de :

  • Éviter d’être traqué (géolocalisation, présence sur un site web, consultation des cookies par les publicités)
  • Éviter les pubs intrusives (avec modération 😉 )
  • Chiffrer (quand c’est possible) mes échanges

Je ne présente ici que les extensions  que j’utilise dans le cadre de la protection de la navigation sur Internet.

HTTPS Everywhere : Utilisez HTTPS

HTTPS Everywhere est une extension dont l’action est assez simple, sur chaque URL ou site web sur lequel on se connecte, il va aller voir sur le serveur en question si l’on peut communiquer en HTTPS plutôt qu’en HTTP. Il arrive en effet que certains sites web soient disponibles sur les deux protocoles, mais que par habitude, on y navigue en HTTP. HTPS Everywhere permet donc de pallier à cette habitude, assez peu gourmand en ressource, il est au final assez pratique.

Lien de téléchargement : https://addons.mozilla.org/fr/firefox/addon/https-everywhere/

µBlock Origin : Bloqueur de publicité

µBlock Origin est une extension anti-publicité, il est désigné comme le remplaçant d’Adblock dont la neutralité est discutée et qui est assez gourmand en ressources. Après quelques jours d’utilisation, je n’ai pas à me plaindre de l’utilisation et de l’efficacité de ce nouveau venu, il est assez complet et permet d’ailleurs d’avoir quelques informations intéressantes comme le pourcentage du site web contenant des publicités, exemple avec Clubic :

protection-vie-privee-firefox-02
Requêtes publicitaire bloquées par uBlock Origin

µBlock Origin fonctionne avec un système de liste qu’il est possible de compléter, en utilisant un sélectionneur qui va automatiquement créer la liste adéquate, ici je sélectionne une partie du site que je ne souhaite plus voir et qui sera donc cachée la prochaine fois que je viendrai :

protection-vie-privee-firefox-04
Sélection d’une zone du site pour gérer un règle de filtrage supplémentaire

Petite partie technique, on peut également lister toutes les URLS chargées lors du chargement du site en question pour ensuite visualiser ce qui est bloqué :

Note : Les bloqueurs de publicité sont une bonne chose et évitent d’être perturbé constamment par des publicités lorsque l’on navigue sur Internet. Néanmoins, pensez à les désactiver sur les blogs/sites web indépendants que vous souhaitez supporter. Information-Security ne comporte pas de publicité, mais la plupart des blogs en mettent un peu pour essayer de survivre, pensez à leurs auteurs ! 😉

Lien de téléchargement : https://addons.mozilla.org/fr/firefox/addon/ublock-origin/

Ghostery : Anti-Tracking

Ghostery est le plug-in que j’utilise pour l’anti tracking. Il va en effet éviter le chargement de différents scripts de tracking dont le plus répandu est certainement Google Analytics, lorsqu’on l’utilise, on remarque qu’il bloque une quantité astronomique de scripts de tracking, qu’ils viennent de service analytique ou de publicité :

protection-vie-privee-firefox-05
Traqueurs bloqués par Ghostery

Attention : Lors de l’installation de Ghostery, les blacklist ne sont pas toutes activées. J’ai pour ma part suivi le wizard lors de l’installation et en ai profité pour activer la totalité des filtres anti-tracker et anti-cookie.

Lien de téléchargement : https://addons.mozilla.org/fr/firefox/addon/ghostery/

WOT : réputation et évaluation de site Internet

WOT ou « Web of trust » est un service qui permet d’évaluer la réputation d’un site web avant d’y aller (lorsque l’on visualise un lien par exemple). Il s’agit d’un service fonctionnant de manière collaborative où chaque internaute peut évaluer n’importe quel site, donnant une note globale et générale à un site web.

Lien de téléchargement : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool

Savoir utiliser les services en lignes

Dans cette partie, je vais vous parler de l’utilisation des services en ligne. Certains services en ligne vont dans le sens de la protection des données, d’autres non. Dans le second cas, il faut être vigilant et notamment explorer toutes leurs options, comme pour Firefox. Je parle par exemple des réseaux sociaux.

Dans le cas des services en ligne, sur lesquels il faut systématiquement un compte, il faut être prudent et éviter de s’inscrire n’importe où, pour n’importe quel prétexte en donnant un tas d’informations personnelles. De manière générale, j’évite de donner des informations particulières (autre qu’un login et un password ainsi qu’un mail) à des sites sur lesquels je m’inscris, les réseaux sociaux sont bien sûr une exception, c’est pour cela que bien les paramétrer est important.

Concernant les comptes sur les sites tiers, préférez généralement l’inscription et l’authentification via des comptes globaux comme Google Plus ou Facebook. Ainsi si le site en question se fait piraté, vos informations sont sauves car les informations de connexions ne sont pas stockées sur le site, mais chez Facebook ou Google, un peu plus sécurisé.

Pensez également à vérifier les applications autorisées à se connecter à vos comptes Twitter, Facebook et Google plus.

Supprimer ce qui est inutilisé

De manière générale, il est important de contrôler vos données, cela passe par exemple par le fait de supprimer les comptes non utilisés.

Dans cette démarche, j’ai supprimé toutes les informations personnelles de Google Plus, dont je ne me sers pas. Je ne peux bien évidemment pas supprimer mon compte, car Google a bien établi sa stratégie, en supprimant un compte Google Plus, cela surprime également le compte YouTube associé et les Playlist/abonnements qui vont avec, malin !

J’ai découvert alors des choses sympathiques comme le fait que les applications auxquelles on joue avec nos smartphones et tablettes sous Android peuvent être listées très simplement, pas très professionnel … :

protection-vie-privee-firefox-11
Liste de jeux d’un compte Google Plus

Il s’agit là d’un cas très spécifique afin de montrer par l’exemple qu’un tas de données et d’informations sont à maîtriser lorsque l’on s’inscrit quelque part sur Internet.

En allant dans Google Plus sur « Accueil« , « Profil« , puis « Bio« , il est possible de supprimer une certaine partie des données vous concernant et de restreindre la diffusion des données restantes. Sur YouTube, cela passe également par mettre en diffusion privée la liste de vos abonnements par exemple.

Différents services et sites web vont dans le sens du contrôle des données en proposant une liste de sites en indiquant s’il est possible de s’y désinscrire, la difficulté de cette désinscription et la méthode, si cela est possible, il existe plusieurs sites dans ce style :

Ces services proposent, quand cela est possible, directement un lien vers la page de suppression de compte des sites répertoriés.  Cela permet de voir comment se désinscrire bien évidemment, mais également de savoir, pour un site web sur lequel je souhaite m’inscrire, s’il sera possible et facile de m’y désinscrire :

Il faut abuser de ces services et ne pas hésiter à les compléter pour qu’ils continuent à vivre.

Dans le même esprit, je vous présente également le site « superlogout« , dès que l’on s’y connecte, celui-ci lance une requête vers les pages « Déconnexion » d’un ensemble de sites et permet non de s’y désinscrire, mais de s’y déconnecter, ce que l’on fait au final assez peu lorsque l’on utilise les services Internet.

  • superlogout.com : je ne mets pas le lien cliquable volontairement, car la procédure de déconnexion s’initie dès lors que l’on va sur le site.

Enfin, j’ai également pris pour habitude d’aller fouiller dans les options d’utilisation et de compte des outils que j’utilise. Je vous recommande de systématiquement effectuer cette démarche.

Vérifier ses paramètres réseaux sociaux

Étant inscrit sur Twitter et Facebook, je suis allé faire un tour dans leurs paramètres de sécurité et de confidentialité. Ici, la configuration dépendra de chacun et de votre volonté de donner telle ou telle information.

Dans tous les cas, il est important de prendre quelques minutes pour bien lire et parcourir les paramètres des réseaux sociaux que vous utilisez. Sur Facebook, j’ai par exemple passé la plupart de mes diffusions en visibilité « Amis« . Sur Twitter, j’ai interdit le fait que l’on puisse me retrouver via une adresse mail, désactivé la géolocalisation et le tracking.

Bye Google, Hi DuckDuckGo

L’utilisation de Google est certainement la meilleure façon de se faire traquer. Il est désormais reconnu que tous nos mails (Gmails) sont lus par des robots afin d’en tirer des informations à destination des annonceurs, cela est également certainement le cas de nos recherches. C’est pour ces raisons que j’utilise désormais DuckDuckGo, un moteur de recherche connu pour ne pas traquer ses utilisateurs :

DuckDuckGo est dans son utilisation un moteur de recherche comme un autre, il propose quelques fonctionnalités sympathiques comme la personnalisation du style du site :

Dans son utilisation quotidienne, je ne rencontre pas de difficulté particulière avec DuckDuckGo. Pour être tout à fait honnête, certaines requêtes ne se font pas aussi facilement que sur Google, mais cela reste assez marginal. Je parle notamment des requêtes très techniques ou dans des domaines très précis. J’entends par là que Google nous a habitué à toujours afficher les mêmes sites, ce qui change sous DuckDuckGo.

Googlez vous !

Il est crucial de contrôler ce qui sort de votre machine à destination d’Internet, mais il est également important de voir ce qui est déjà sorti, si vous voulez voir ce que les gens peuvent trouver sur vous seulement en naviguant sur Internet, Googlez vous ! Votre nom, vos pseudos, vos adresses mail. Cela vous donnera un aperçu de la quantité de données pouvant être trouvées sur vous et vous donnera surement une liste de comptes et informations à supprimer.

D’autres outils…

J’ai eu la chance il y a quelque temps de gagner une licence de l’antivirus Trend Micro, celui-ci propose entre autres la vérification des paramètres des réseaux sociaux et du navigateur pour qu’ils aient une configuration optimisée pour la vie privée et la sécurité. Cela est malheureusement compris dans la partie payante de l’antivirus et je ne sais pas s’il existe des outils gratuits équivalents. Si vous en connaissez, n’hésitez pas à les partager dans les commentaires !

Parmi les outils un peu « annexe » que j’utilise :

  • Une adresse mail non nominative que j’essaie de ne pas lier à des services dans lesquels mon nom est présent
  • Une adresse mail sur un service chiffré : protonmail.ch
  • Un générateur de mot de passe : generateurdemotdepasse.com

Pour les utilisations plus spécifiques, je peux vous conseiller d’utiliser Tor . Pour aller également plus loin, il existe aujourd’hui des VPN qui pour quelques euros vous permettront de chiffrer vos échanges.

J’ai essayé dans cet article de vous décrire tout ce que j’utilise au quotidien pour sécuriser ma navigation sur Internet, j’espère que ces outils et conseils pourront vous aider. Cet article n’est bien évidemment pas complet et il existe une quantité d’outils dont on peut se servir pour un peu plus de sécurité, n’hésitez pas à être curieux et à comprendre leur fonctionnement !

Si vous connaissez et utilisez d’autres services, partagez-les dans les commentaires ! L’article n’en deviendra que meilleur et cela aidera un tas de gens ! 🙂

Partager :
Published inArticles

9 Comments

    • Killian Durand

      Je trouve que la nouvelle version de Qwant donne des résultats plus pertinents sur les recherches en français comparé à DuckDuckGo, même si le manque des !bangs se fait ressentir (après chaque moteur de recherche a sa particularité).
      En effet, la loi sur le renseignement risque de les perturber (https://blog.qwant.com/fr/notre-decryptage-de-la-loi-sur-le-renseignement).. À suivre !

  1. Rom1

    Pour la gestion des mots de passe sur tous les sites, il y a Lastpass (ou Dashlane), qui permet de générer des mots de passes complexes et aléatoires lorsque t’inscris sur un site ou que tu veux en changer le mot de passe, en local (donc beaucoup mieux que ton site de génération de mots de passe), et permet en plus de gérer simplement la connexion aux sites (d’avoir un mot de passe aléatoire d’au moins 20 caractère et différent pour chaque site, mais une connexion rapide)

  2. fo0

    Bon article excepté le Générateur de Mot de Passe Online, je ne suis pas fan du tout de conseiller ce genre de service au vu des Browsers et Windows infectés de PUP et Malware.

  3. Effectivement, il faut bien utiliser son navigateur : vider régulièrement le cache et l’historique de navigation pour éviter l’accumulation de données – choisir la navigation privée pour ne laisser aucune trace – effectuer le paramétrage de son navigateur c’est-à-dire vérifier les paramètres de sécurité – et bien évidemment sécuriser sa boîte mail, pensez à utiliser un logiciel plutôt qu’un service de webmail public

  4. christian

    salut !
    manque pas une partie sur la gestion des DNS ? ? ?

  5. Brihx

    Il faut savoir qu’en utilisant l’extension WOT tout votre historique de navigation est envoyé vers leurs serveurs (pour afficher la note).

    • Ogma_Sec

      Bonjour Brihx,
      Je n’avais pas noté cela. Effectivement ça peut être problématique ! Merci de partager cette info.

  6. JIP14

    Pour gérer les MdP, KeepassX = archivage et génération de MdP. J’aime bien. Il faut simplement avoir une bonne phrase de passe à l’ouverture et peut-être la changer régulièrement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *