La sécurité par l'obscurité: comment couvrir vos traces en ligne

Penser aux bits de données que vous laissez derrière vous est un aller simple vers la paranoïa. Ton navigateur? Plein de cookies. Ton portable? Une balise diffusant votre position à chaque instant. Les moteurs de recherche suivent toutes vos curiosités. Les services de messagerie archivent beaucoup trop. Ce ne sont que les endroits évidents dont nous sommes conscients. Qui sait ce qui se passe à l'intérieur de ces routeurs?

La vérité est que s'inquiéter de la trace des empreintes numériques et des boules de poussière numériques remplies de notre ADN numérique n'est pas seulement pour les paranoïdes délirants. Bien sûr, certaines fuites comme les subtiles variations de puissance consommée par nos ordinateurs ne sont exploitables que par des équipes de génies aux gros budgets, mais bon nombre des plus simples sont déjà exploitées par des voleurs d'identité, des artistes de chantage, des spammeurs, ou pire.

[Plongez-vous dans 9 pratiques de sécurité informatique populaires qui ne fonctionnent tout simplement pas et 10 astuces de sécurité folles qui fonctionnent. | Découvrez comment bloquer les virus, vers et autres logiciels malveillants qui menacent votre entreprise, grâce aux conseils pratiques de contributeurs experts dans le guide PDF de. | Tenez-vous au courant des principaux problèmes de sécurité grâce à la newsletter Security Central. ]

De tristes nouvelles changent notre façon de travailler sur le Web. Seul un imbécile se connecte au site Web de sa banque à partir d'un hub Wi-Fi de café sans utiliser le meilleur cryptage possible. Toute personne vendant un ordinateur sur eBay nettoiera le disque dur pour supprimer toutes les informations personnelles. Il existe des dizaines de pratiques préventives saines que nous apprenons lentement, et beaucoup ne sont pas seulement des précautions intelligentes pour les particuliers, mais pour tous ceux qui espèrent gérer une entreprise de construction navale. Données sensibles, secrets commerciaux d'entreprise, communications professionnelles confidentielles - si vous ne craignez pas que ces éléments s'échappent, vous risquez de perdre votre emploi.

Apprendre à couvrir au mieux les pistes en ligne devient rapidement un impératif commercial. C'est plus que de reconnaître que le cryptage intelligent du trafic signifie ne pas avoir à se soucier autant de la sécurisation des routeurs, ou qu'un cryptage significatif basé sur le client peut créer une base de données translucide qui simplifie la gestion et la sécurité de la base de données. De bonnes techniques de confidentialité pour les individus créent des environnements plus sécurisés, car un seul maillon faible peut être fatal. Apprendre à couvrir les pistes que nous laissons en ligne est un outil prudent pour nous défendre tous.

Chacune des techniques suivantes de protection des informations personnelles peut aider à réduire le risque d'au moins une partie des octets circulant sur Internet. Ils ne sont pas parfaits. Des fissures imprévues, même lorsque toutes ces techniques sont utilisées ensemble, surviennent toujours. Pourtant, ils sont comme des serrures à pêne dormant, des alarmes de voiture et d'autres mesures de sécurité: des outils qui fournissent une protection suffisante pour encourager les méchants à aller ailleurs.

Technique de confidentialité en ligne n ° 1: gestion des cookies

Les moteurs de recherche et les sociétés de publicité qui suivent nos mouvements en ligne affirment qu'ils ont à cœur nos meilleurs intérêts. Bien que ne pas nous ennuyer avec les mauvaises publicités puisse être un objectif noble, cela ne signifie pas que le suivi implacable de nos activités en ligne ne sera pas utilisé pour de mauvaises raisons par des initiés ou des sites Web aux idéaux moins estimés.

Le mécanisme standard de suivi en ligne consiste à stocker des cookies dans votre navigateur. Chaque fois que vous revenez sur un site Web, votre navigateur renvoie silencieusement les cookies au serveur, qui vous relie ensuite à vos visites précédentes. Ces petites informations personnalisées restent longtemps à disposition, sauf si vous programmez votre navigateur pour les supprimer.

La plupart des navigateurs disposent d'outils adéquats pour parcourir les cookies, lire leurs valeurs et supprimer des cookies spécifiques. Les nettoyer de temps en temps peut être utile, bien que les sociétés de publicité se soient assez bien débrouillées pour créer de nouveaux cookies et relier les nouveaux résultats aux anciens. Close 'n Forget, une extension Firefox, supprime tous les cookies lorsque vous fermez l'onglet associé à un site.

Les cookies standards ne sont que le début. Certaines sociétés de publicité ont travaillé dur pour s'enfouir plus profondément dans le système d'exploitation. L'extension Firefox BetterPrivacy, par exemple, attrapera les "supercookies" stockés par le plug-in Flash. L'interface de navigateur standard ne sait pas que ces supercookies sont là, et vous ne pouvez les supprimer qu'avec une extension comme celle-ci ou en travaillant directement avec le plug-in Flash.

Il existe encore d'autres astuces pour coller des informations dans un ordinateur local. Ghostery, une autre extension de Firefox, surveille les données provenant d'un site Web, signale certaines des techniques les plus courantes (comme l'installation d'images à un seul pixel) et vous permet d'inverser les effets.

Technique de confidentialité en ligne n ° 2: Tor

L'un des moyens les plus simples de suivre votre appareil consiste à utiliser votre adresse IP, le numéro utilisé par Internet comme un numéro de téléphone afin que vos demandes de données puissent retrouver leur chemin vers votre appareil. Les adresses IP peuvent changer sur certains systèmes, mais elles sont souvent assez statiques, ce qui permet aux logiciels malveillants de suivre votre utilisation.

Un outil bien connu pour éviter ce type de suivi est appelé Tor, un acronyme pour «The Onion Router». Le projet, développé par l'Office of Naval Research, crée un super-réseau crypté auto-réparateur au-dessus d'Internet. Lorsque votre machine démarre une connexion, le réseau Tor trace un chemin à travers N nœuds intermédiaires différents dans le sous-réseau Tor. Vos demandes de pages Web suivent ce chemin via les N nœuds. Les demandes sont cryptées N fois, et chaque nœud le long du chemin supprime une couche de cryptage comme un oignon à chaque saut à travers le réseau.

La dernière machine du chemin soumet ensuite votre demande comme si c'était la sienne. Lorsque la réponse revient, la dernière machine agissant en tant que proxy crypte la page Web N fois et vous la renvoie par le même chemin. Chaque machine de la chaîne ne connaît que le nœud avant elle et le nœud après elle. Tout le reste est un mystère crypté. Ce mystère vous protège vous et la machine à l'autre bout. Vous ne connaissez pas la machine et la machine ne vous connaît pas, mais tout le monde le long de la chaîne fait simplement confiance au réseau Tor.

Bien que la machine agissant en tant que votre proxy à l'autre extrémité du chemin puisse ne pas vous connaître, elle peut toujours suivre les actions de l'utilisateur. Il ne sait peut-être pas qui vous êtes, mais il saura quelles données vous envoyez sur le Web. Vos demandes de pages Web sont complètement déchiffrées au moment où elles arrivent à l'autre bout du chemin, car la machine finale de la chaîne doit pouvoir agir en tant que votre proxy. Chacune des N couches a été enlevée jusqu'à ce qu'elles soient toutes disparues. Vos demandes et les réponses qu'elles apportent sont faciles à lire au fur et à mesure. Pour cette raison, vous pouvez envisager d'ajouter plus de cryptage si vous utilisez Tor pour accéder à des informations personnelles telles que le courrier électronique.

Il existe un certain nombre de façons d'utiliser Tor qui varient en complexité, de la compilation du code vous-même au téléchargement d'un outil. Une option populaire consiste à télécharger le Torbutton Bundle, une version modifiée de Firefox avec un plug-in qui permet d'activer ou de désactiver Tor tout en utilisant le navigateur; avec lui, utiliser Tor est aussi simple que de naviguer sur le Web. Si vous avez besoin d'accéder à Internet indépendamment de Firefox, vous pourrez peut-être faire fonctionner le proxy seul.

Technique de confidentialité en ligne n ° 3: SSL

L'un des mécanismes les plus simples pour protéger votre contenu est la connexion SSL cryptée. Si vous interagissez avec un site Web avec le préfixe «https», les informations que vous échangez sont probablement cryptées avec des algorithmes sophistiqués. La plupart des meilleurs fournisseurs de messagerie comme Gmail vous encourageront désormais à utiliser une connexion HTTPS pour votre confidentialité en basculant votre navigateur vers le niveau le plus sécurisé, si possible.

Une connexion SSL, si elle est correctement configurée, brouille les données que vous publiez sur un site Web et les données que vous récupérez. Si vous lisez ou envoyez un e-mail, la connexion SSL masquera vos bits des regards indiscrets cachés dans l'un des ordinateurs ou routeurs entre vous et le site Web. Si vous passez par un site Wi-Fi public, il est logique d'utiliser SSL pour empêcher le site ou toute personne qui l'utilise de lire les bits que vous envoyez dans les deux sens.

SSL protège uniquement les informations lorsqu'elles circulent entre votre ordinateur et le site Web distant, mais il ne contrôle pas ce que le site Web en fait. Si vous lisez votre courrier électronique avec votre navigateur Web, le cryptage SSL bloquera tout routeur entre votre ordinateur et le site Web de courrier électronique, mais il n'empêchera personne ayant accès au courrier à la destination de le lire après son arrivée. C'est ainsi que votre service de messagerie Web gratuit peut lire votre courrier électronique pour personnaliser les publicités que vous verrez tout en le protégeant des autres. Le service de messagerie Web voit votre e-mail en clair.

Il existe un certain nombre de techniques compliquées pour subvertir les connexions SSL, telles que l'empoisonnement du processus d'authentification par certificat, mais la plupart d'entre elles sont au-delà de l'espionnage moyen. Si vous utilisez le Wi-Fi d'un café local, SSL empêchera probablement le gars de l'arrière-salle de lire ce que vous faites, mais il ne bloquera peut-être pas l'attaquant le plus déterminé.

Technique de confidentialité en ligne n ° 4: messages cryptés

Alors que Tor cachera votre adresse IP et que SSL protégera vos bits des regards indiscrets des robots du réseau, seul le courrier crypté peut protéger votre message jusqu'à ce qu'il arrive. L'algorithme de cryptage brouille le message et il est regroupé sous la forme d'une chaîne de ce qui ressemble à des caractères aléatoires. Ce colis est directement acheminé au destinataire, qui devrait être le seul à disposer du mot de passe pour le déchiffrer.

Le logiciel de cryptage est plus compliqué à utiliser et beaucoup moins simple que SSL. Les deux côtés doivent exécuter un logiciel compatible et tous deux doivent être prêts à créer les bonnes clés et à les partager. La technologie n'est pas trop compliquée, mais elle nécessite un travail beaucoup plus actif.

Il existe également un large éventail de qualité de packages de chiffrement. Certains sont plus simples à utiliser, ce qui entraîne souvent plus de faiblesses, et seuls les meilleurs peuvent résister à un adversaire plus déterminé. Malheureusement, la cryptographie est une discipline en évolution rapide qui nécessite une connaissance approfondie des mathématiques. Comprendre le domaine et prendre une décision sur la sécurité peut nécessiter un doctorat et des années d'expérience. Malgré les problèmes et les limites, même les pires programmes sont souvent assez puissants pour résister à l'espionnage moyen - comme quelqu'un qui abuse du pouvoir de l'administrateur système pour lire les e-mails.

Technique de confidentialité en ligne n ° 5: bases de données translucides

Le site Web ou la base de données typique est une cible unique pour les voleurs d'informations, car toutes les informations sont stockées en clair. La solution traditionnelle consiste à utiliser des mots de passe forts pour créer un mur ou une forteresse autour de ces données, mais une fois que quelqu'un a franchi le mur, les données sont faciles d'accès.

Une autre technique consiste à ne stocker que les données cryptées et à s'assurer que tout le cryptage est effectué chez le client avant leur expédition sur Internet. Des sites comme ceux-ci peuvent souvent fournir la plupart des mêmes services que les sites Web traditionnels ou les bases de données tout en offrant de bien meilleures garanties contre les fuites d'informations.

Un certain nombre de techniques pour appliquer cette solution sont décrites dans mon livre «Bases de données translucides». De nombreuses bases de données offrent d'autres outils de chiffrement qui peuvent fournir certains ou tous les avantages, et il est facile d'ajouter un autre chiffrement aux clients Web.

Dans les meilleurs exemples, le cryptage est utilisé pour masquer uniquement les données sensibles, laissant le reste en clair. Cela permet d'utiliser les informations non personnelles pour l'analyse statistique et les algorithmes d'exploration de données.

Technique de confidentialité en ligne n ° 6: stéganographie

L'une des techniques les plus insaisissables et les plus séduisantes est la stéganographie, un terme généralement appliqué au processus consistant à cacher un message afin qu'il ne puisse pas être trouvé. Le cryptage traditionnel verrouille les données dans un coffre-fort; la stéganographie fait disparaître le coffre-fort. Pour être plus précis, il déguise le coffre-fort pour qu'il ressemble à quelque chose d'inoffensif, comme une plante d'intérieur ou un chat.

Les solutions les plus courantes impliquent de modifier une petite partie du fichier d'une manière qui ne sera pas remarquée. Un seul bit d'un message, par exemple, peut être caché dans un seul pixel en arrangeant la parité des composants rouge et vert. S'ils sont tous les deux pairs ou impairs, alors le pixel porte le message 0. Si l'un est pair et l'autre impair, alors c'est un 1. Pour être plus concret, imaginez un pixel avec des valeurs rouge, verte et bleue de 128 , 129 et 255. La valeur rouge est paire, mais la valeur verte est impaire, ce qui signifie que le pixel porte le message 1.

Un message court d'un bit peut être masqué en prenant un fichier, en s'accordant sur un pixel et en modifiant légèrement la valeur rouge ou verte de sorte que le pixel porte le bon message. Un changement d'un bit sera minime et presque certainement pas visible pour l'homme, mais un algorithme informatique recherchant au bon endroit pourra le trouver.

Paul Revere n'avait besoin d'envoyer qu'un seul bit, mais vous devrez peut-être en envoyer plus. Si cette technique est répétée suffisamment longtemps, toute quantité de données peut être masquée. Une image avec 12 mégapixels peut stocker un message avec 12 Mo, ou 1,5 Mo, sans changer aucun pixel de plus d'une unité de rouge ou de vert. Une utilisation judicieuse de la compression peut améliorer considérablement cette situation. Un grand message comme cet article peut être glissé dans les coins d'une photo moyenne flottant sur Internet.

Ajuster les pixels n'est que l'une des façons dont les messages peuvent être insérés à différents endroits. Il existe des dizaines de méthodes pour appliquer cette approche - par exemple, remplacer des mots par des synonymes ou insérer astucieusement de légères erreurs typographiques dans un article. Est-ce une faute d'orthographe ou un message secret? Tous reposent sur l'insertion de petits changements imperceptibles.