fifti/fichiers/miscellanees/proteger_donnees.tex

% !TEX TS-program = pdflatex
% !TEX encoding = UTF-8
\documentclass[fontsize=12pt,paper=a4]{scrartcl}
\usepackage[utf8]{inputenc}
\usepackage[french]{babel}

\usepackage{comment}
\usepackage{graphicx}
\usepackage{csquotes}

\extratitle{}
\titlehead{}
\subject{}
\title{Protéger ses données}
\subtitle{}
\author{Estelle Debouy}
\date{}
\publishers{}
\lowertitleback{}
\uppertitleback{}
\dedication{}

\usepackage{setspace}
\onehalfspacing

\usepackage{scrpage2}
\pagestyle{scrheadings}
\clearscrheadfoot
\ohead[]{\pagemark}
\ihead[]{\headmark}
\cfoot[\pagemark]{}
\setheadwidth{textwithmarginpar}
\setheadsepline{.4pt}

\usepackage{hyperref}
\hypersetup{pdfstartview=FitH, backref, colorlinks=true,
  linkcolor=blue, urlcolor=blue}

\begin{document}
\maketitle

\renewcommand{\contentsname}{Plan du cours}

\tableofcontents

\newpage

\section*{Introduction}
Quand Orwell écrivait \emph{1984}, il aurait tout aussi bien pu écrire
\emph{2014} : des scandales comme celui révélé par Edward Snowden en
2013 (j'y reviendrai) nous donnent en effet à penser que rien n’a
changé. La preuve que le symbole de \emph{1984} est encore très
présent aujourd'hui, c'est que lorsque le scandale Snowden est révélé,
le livre passe à la 4\up{e} place des ventes sur Amazon. Sans parler
de la surveillance de masse, nous sommes les premiers à livrer de
notre plein gré – et parfois sans en avoir conscience – toutes sortes
d’informations sur nous-mêmes. À l’heure des réseaux sociaux et du
Cloud, peut-on encore parler de vie privée?

Dans ce cours j’aborderai cette question en montrant d’abord
combien est paradoxale la notion même de vie privée sur internet. Puis
je m’intéresserai à ce qu’on appelle l’identité numérique :
qu’entend-on par cette expression ? comment protéger cette identité ?
Je présenterai rapidement ensuite un réseau qui, parce qu’il s’incarne
dans la quête de l’anonymat et de la confidentialité, est l’objet de
toutes sortes de représentations fantasmées : le darknet. Et je ne
terminerai pas ce tour d’horizon sans donner quelques conseils simples
pour protéger ses données personnelles.

\subsection*{On nous espionne}

%\subsection*{Les données du problème}
\texttt{Nom de code}: opération PRISM: opération menée par la NSA (agence de renseignement des USA) pour accéder aux données de millions de personnes. 

\texttt{Qui?} Comme la loi interdit l'espionnage des Américains, la NSA espionne des étrangers en contact avec des Américains, puis... les Américains eux-mêmes.

\texttt{Quoi?} L'objectif est de constituer un graphe social des personnes et organisations ciblées grâce notamment aux méta-données. Qu'est-ce qu'on appelle méta-données? Autour des informations contenues dans un fichier, il existe des informations sur ce contenu. Ce sont ces «~données sur les données~» qu'on appelle «~méta-données~». Exemple: le nom du fichier, la date et l’heure de sa création et de sa modification. De nombreux formats de fichiers conservent également des méta-données à l’intérieur du fichier. Elles pourront donc être connues de quiconque aura accès au fichier. La palme revient probablement aux formats d’images comme TIFF ou JPEG : ces fichiers de photo créés par un appareil numérique ou un téléphone portable contiennent un standard de méta-données qui peut contenir la date, l’heure et parfois les coordonnées géographiques de la prise de vue.

\begin{figure}[h]
\centering
\includegraphics[scale=0.6]{/home/estelle/Documents/informatique/fifti/fichiers/miscellanees/images/metadonnees.png} 
\caption{Exemple de métadonnées dans un fichier image}
\end{figure}

C'est ainsi qu'en novembre 2012, John McAfee, fondateur de la compagnie d’antivirus qui porte son nom et sulfureux personnage impliqué dans une trouble affaire de meurtre au Belize, publiait sur le Web des photos de lui dans sa rocambolesque fuite vers le Guatamala puis la Floride; or, il n'avait pas pris la précaution de supprimer les méta-données contenues dans la photo et la police a pu le localiser et procéder à son arrestation.

Revenons maintenant à l'opération PRISM. 
%analyse des réseaux situés à 2 degrés de séparation de la cible. Théorie de l'homme qui a vu l'homme qui a vu l'ours. Chaque homme est lié à toute autre personne par une chaîne de moins de 6 personnes (et dans les réseaux sociaux, on passe à 4). 
Elle a abouti à la constitution de bases de données énormes... avec beaucoup de déchets\footnote{3 millions de méta-données téléphoniques interceptées par jour.} mais de gros moyens sont mis en œuvre pour les exploiter\footnote{Alors qu'on compte environ 1500 personnes affectées à ce travail à la DGSE, ils seraient plus de 40000 à la NSA.}, sans pour autant y parvenir puisque, selon Snowden, les services secrets américains avaient des informations qui leur auraient permis d'éviter l'attentat du 11 septembre s'ils avaient su exploiter cette \og{}botte de foin\fg{} qu'ils avaient collectée. Le problème avec cette surveillance de masse, c'est qu'elle revient surtout à empiler les bottes de foin sans avoir vraiment les moyens de les analyser.

\texttt{Pourquoi?} L'information, c'est le pouvoir. Espionnage à triple facette: économique, politique, sécuritaire.

\texttt{Comment?} 
\begin{itemize}
\item 90\% des télécommunications circulent par câble sous-marins. Beaucoup de câbles ont été espionnés par la GB pour le compte des USA\footnote{E. Snowden donne le nom des câbles espionnés.}.
\item recherche des failles de sécurité
\item chevaux de Troie dans les serveurs
\item micros espions dans les ambassades
\item piratage des VPN du Quai d'Orsay (pour ne citer qu'un exemple qui nous touche) 
\end{itemize}


\begin{figure}
\centering
\includegraphics[scale=0.35]{/home/estelle/Documents/informatique/fifti/fichiers/miscellanees/images/lemonde.png} 
%\caption{PRISM en bref (source: Le Monde, 2013)}
\end{figure}

Mais il n'est pas besoin d'être une cible des agents de la NSA pour voir sa vie privée compromise. La preuve.

\newpage

\section{Internet et le paradoxe de la vie privée}

\subsection{Internet voit tout, sait tout}
\subsubsection*{Des robots qui nous traquent}
 
Prenons l'exemple d'un blog. Sa publicité est assurée par une diffusion propre (l'auteur du blog contacte directement un certain nombre de personnes) et une diffusion automatique faite par des robots. Ce sont des robots dits d'indexation dont la fonction est de rechercher de nouveaux contenus et de les associer à des mots clés (d'où les résultats que vous obtenez quand vous lancez une requête dans un moteur de recherche). Ces robots ne sont pas les seuls à peupler le web: il existe aussi des des robots d'archivage qui explorent un certain nombre de sites pour en faire des sauvegardes. Si vous publiez
un contenu erroné, les robots d'archivage risquent très souvent d'en garder trace.

\subsubsection*{Des sites qui nous traquent ou le cookie: l'espion qui permet de permet de nous profiler}

%source: Comment notre ordinateur nous manipule, LE MONDE CULTURE ET IDEES, 10.04.2014 Par Yves Eudes


Tout a commencé par une invention géniale: le cookie. Une simple ligne de code déposée sur votre navigateur par les sites Web que vous visitez, et des publicités ciblées s’affichent sur votre écran.

Appelé ainsi en référence aux biscuits que les restaurants offrent au moment de l'addition, le cookie apparaît dès 1994, l'année où le Web s'ouvre au public. Vingt ans plus tard, il reste le socle de la publicité en ligne, une industrie qui a réalisé en 2013 un chiffre d'affaires mondial de 102 milliards de dollars. 

Les cookies sont gérés par des sociétés spécialisées qui les déposent, les récoltent, les classent, les analysent, les agrègent et les revendent. Ils servent à vous identifier, à vous pister de site en site, à retenir vos mots de passe, à gérer vos paniers d'achat, à déterminer si votre navigation est lente ou rapide, hésitante ou déterminée, systématique ou superficielle. L'objectif est de vous « profiler », c'est-à-dire de créer des fichiers personnalisés, stockés dans des bases de données. En d’autres termes, de mieux vous connaître afin de vous présenter le bon message publicitaire au bon moment et dans le bon format. 

Afin d’affiner le ciblage, les publicitaires croisent les cookies avec d'autres données récoltées sur Internet : votre adresse IP (Internet Protocol: c'est l'équivalent de l'adresse postale. Pour qu'un serveur sache sur quel ordinateur afficher une information, il doit connaître son IP), votre langue usuelle, vos requêtes sur les moteurs de recherche, le modèle de votre ordinateur et de votre navigateur, le type de votre carte de crédit. Le ciblage va jusqu'à modifier le prix d'un produit en fonction du profil. Quand un site de voyage voit que vous venez de consulter un comparateur de prix, il baisse ses prix pour s'aligner sur ceux de ses concurrents, quitte à se rattraper sur les « frais de dossier ». Si vous vous connectez avec un ordinateur à 3 900 euros, le site affichera des chambres d'hôtel plus chères que si vous utilisez un portable à 300 euros. Le libre choix du consommateur, apparemment décuplé par la puissance de l'informatique, semble en fait amoindri.

Vous pouvez certes effacer les cookies, mais de nouveaux arriveront dès que vous reprendrez la navigation. Et si vous les bloquez, la plupart des sites ne fonctionneront plus. Certains cookies ont la vie dure : ceux que dépose Amazon aujourd’hui sont conçus pour durer jusqu'en 2037. 

Exemple: dès la page d'accueil du site de e-commerce Priceminister, votre navigateur reçoit d'un coup 44 cookies provenant de 14 agences spécialisées – telles que RichRelevance, Doubleclick, Exelator. Rendez-vous à la rubrique « Téléphonie mobile », vous récoltez 22 nouveaux cookies. Et en cliquant sur la photo d'un smartphone Samsung, vous déclenchez une nouvelle rafale de 42 cookies provenant de 28 sources : en trois clics, vous voilà fiché 108 fois par une quarantaine de bases de données. 

%Si vous avez encore des doutes, voici un petit test: allez sur le site de la CNIL: http://www.cnil.fr/vos-droits/vos-traces/

Les cookies tiers ne sont habituellement pas nécessaires pour profiter des ressources disponibles sur Internet. Pour limiter ses traces, il est possible les refuser par défaut. Dans le navigateur Firefox : Menu > Options > Vie privée.

\begin{figure}
\centering
\includegraphics[scale=0.5]{/home/estelle/Documents/informatique/fifti/fichiers/miscellanees/images/firefox.png} 
\caption{Vie privée de Firefox}
\end{figure}


Vous voulez savoir comment et par qui sont utilisées vos données personnelles? Installez le module Collusion de Firefox (\url{https://addons.cdn.mozilla.net/storage/public-staging/363974/collusion-0.27-fx.xpi}). Dès lors que vous l’exécutez, ce dernier représente sous forme de graphique les
interconnexions entre toutes les parties qui vous suivent ainsi que le cheminement des informations. Il est donc alors plus facile de filtrer ou bloquer les cookies des sites qui vous pistent.

%\paragraph{Activité: le tracking en ligne} \url{https://donottrack-doc.com/fr/episode/2}

\paragraph{Vérifier l'information} Internet est devenue pour beaucoup la principale source d’accès à des contenus culturels et informatifs. Comment être sûr de l'authenticité d'une information? Quelques réflexes à avoir: vérifier la date de publication, les sources de l'information et ne pas hésiter à faire sa propre recherche. Voir aussi:
\begin{itemize}
\item \url{http://www.hoaxbuster.com/}
\item \url{https://www.lemonde.fr/les-decodeurs/}
\end{itemize}

\begin{comment}
\subsubsection*{Le canvas fingerprinting}

Plus redoutable encore que le cookie: le \texttt{canvas fingerprinting}. Qu'est-ce que c'est? Il s'agit d'un script qui, quand on navigue sur internet, demande au navigateur de générer une image unique (et invisible) pour chaque utilisateur, d'où le nom de \texttt{canvas fingerprinting} (\emph{fingerprinting} signifiant empreinte digitale). Ceci permet, d’un site à un autre, de reconnaître et donc suivre à la trace un internaute donné, une mine d’or pour les publicitaires, d'autant plus qu'il est bien plus difficile à bloquer que les cookies.

Ce bout de code indiscret est notamment inclus dans les dispositifs proposés par une entreprise, Addthis, spécialisée dans le marketing et la vente de publicité. Elle fournit clés en main aux gérants des sites des outils pour partager leurs articles, notamment sur les réseaux sociaux. De nombreux sites sont donc touchés à leur insu. Vous en trouverez la liste dans l'article du Monde du 22 juillet 2016, mais on peut citer, à titre d'exemple, le site de l'académie de Poitiers ou encore de l'université de Tours...

Comment éviter cela? Par exemple en installant le Privacy Badger: \url{https://www.eff.org/fr/privacybadger}.

%Limite: le canvas fingerprinting ne permet d’identifier de manière suffisamment unique l’internaute. À ce titre, il est éclairant de constater la différence de comportement entre les navigateurs: faisons un test et comparons l'empreinte que laisse notre navigateur et celle laissée par Tor.

%\url{http://www.propublica.org/article/meet-the-online-tracking-device-that-is-virtually-impossible-to-block}


%Source: Publicité : une nouvelle technique pour pister les internautes, Le Monde.fr | 22.07.2014| Par Grégor Brandy (Journaliste) et Martin Untersinger : \url{http://www.lemonde.fr/pixels/article/2014/07/22/publicite-une-nouvelle-technique-pour-pister-les-internautes_4461305_4408996.html} 


\subsubsection*{Là où l'innovation rejoint la science-fiction}
La dernière mode est à « l'analyse prédictive » : au lieu de réagir au comportement des internautes, les publicitaires veulent les prévoir afin d’agir par anticipation. Pour cela, ils font appel à une discipline encore expérimentale : le machine learning, ou apprentissage automatique, une branche de l'intelligence artificielle qui consiste pour un programme à s'adapter à une nouvelle situation.

Exemple: la société Predictive Mix étudie deux échantillons d'internautes: l'un verra une bannière publicitaire s'afficher sur son écran, l'autre non. En comparant le taux d'achat du produit dans chaque groupe, il quantifie l'efficacité du message.
Armé de ces premiers résultats, Predictive Mix répartit les profils en quatre groupes. L'internaute qui achète un produit sans voir de publicité est un « captif » : inutile de gaspiller de l'argent pour le convaincre ; celui qui achète quand il ne voit pas de publicité, mais cesse d'acheter quand il en voit est un « réfractaire » : il faut le laisser tranquille ; celui qui n'achète jamais rien est à oublier – trop difficile à convaincre ; enfin, celui qui n'achète rien quand il ne voit pas de publicité mais se met à acheter quand il en voit est un « réceptif », la cible la plus digne d'intérêt. 
Étape suivante, l'ordinateur compare l'échantillon des « réceptifs confirmés » avec la population générale contenue dans une base de données. Tous les internautes dont le profil est similaire à ceux des « réceptifs » seront à leur tour classés comme tels. Et l'annonceur éliminera de sa campagne les trois autres groupes. 

Une autre société, Weborama, entend exploiter le web des mots: grâce à des programmes robotisés, elle collecte les textes publiés sur un vaste choix de sites et de forums. À partir de ces données brutes, les linguistes de Weborama ont extrait un lexique de six mille termes pertinents dans le contexte de la publicité. Dans un second temps, les mathématiciens organisent le Web comme un « espace métrique » : ils calculent la distance relative entre les mots, selon qu'ils sont plus ou moins souvent associés dans la même phrase. On passe alors à l'exploitation commerciale. Grâce à des accords avec des agences, Weborama place des cookies sur des millions de navigateurs. Puis elle les piste à travers le Web, et collecte les mots publiés sur tous les sites qu'ils vont visiter: chaque profil se voit ainsi attribuer un nuage de mots qui lui est propre. En croisant les notes – par exemple 13 sur 14 (le maximum) pour les mots associés à la mode, 12 pour le design, mais seulement 2 pour le sport, 1 pour les voitures – Weborama va pouvoir dire à l'annonceur qui se cache derrière chaque cookie: ce sera par exemple une femme de 34 à 49 ans, passionnée de mode, indifférente au sport. Elle sera sans intérêt pour certains annonceurs et très désirable pour d'autres. L'Oréal sera prêt à payer 2 euros pour afficher une bannière sur son écran.

%Solution: selon les penseurs de la Silicon Valley, les internautes vont s'unir et s'organiser pour défendre leurs intérêts en tant que fournisseurs de données. Pour cela, ils vont s'inspirer des associations de défense des consommateurs par exemple. Ils pourront ainsi exiger d'être payés pour leurs données, ou imposer des conditions et des restrictions à leur usage.
\end{comment}

Mais notre pire ennemi en matière de vie privée est... nous-mêmes!

\subsection{Les réseaux sociaux et le cloud computing}

\subsubsection*{Les réseaux sociaux}
Facebook, initialement conçu pour permettre de communiquer entre personnes issues de la même école, du même sérail, est un \texttt{réseau social} qui, depuis, pousse ses utilisateurs à y mener une vie publique, tout en y révélant un maximum de données personnelles, afin de pouvoir profiler ses utilisateurs, et commercialiser ces profils clients auprès d'annonceurs pour y afficher de la publicité comportementale et personnalisée, en vertu de l'adage qui veut que \og{}Si c'est gratuit, c'est que vous êtes le produit\fg\footnote{Gmail scanne vos courriels privés, Google archive les mots-clefs que vous recherchez, Facebook surveille les articles, pages et billets que vous consultez -- quand bien même vous ne les auriez pas partagés. Pour autant, Facebook et Google n'ont que faire de votre vie privée. Ce qui intéresse ces marchands de données, c'est de vendre et donc d'afficher des publicités personnalisées, en fonction de vos profils et ce, quels qu'ils soient : ils ne s'intéressent pas aux individus), ils ciblent des consommateurs.}. 
%Pour aller plus loin: http://www.framablog.org/index.php/post/2012/03/02/capitalisme-open-source

Et cela fonctionne! À tel point que Bill Thompson, un célèbre éditorialiste à la BBC, spécialisé dans les technologies, expliquait, de manière certes provocatrice, lors de la conférence Lift en 2009 à Berlin:
\begin{quote}\footnotesize
Les utilisateurs de Twitter, Tumblr et autres outils de réseaux sociaux, partagent plus de données, avec plus de gens que le FBI de Hoover ou la Stasi n'auraient jamais pu en rêver. Et nous le faisons de notre propre chef, espérant pouvoir en bénéficier de toutes sortes de manières.
\end{quote}

Il en déduit qu'il faut en finir avec la notion de vie privée. Et en effet il apparaît comme une évidence qu'il n'y a pas de vie privée sur Facebook : sur un réseau social, on mène une vie sociale, voire une vie publique. 
%Ce constat a pu en alarmer certains, ou du moins provoquer chez eux une prise de conscience qu'analyse le professeur Ravi Sandhu, responsable de l'Institut de la cybersécurité à l'université du Texas: l'absence de pudeur des natifs du numérique serait comparable à l'attitude désinhibée avec laquelle les jeunes des années 60-70 abordaient la sexualité:
%\begin{quote}\footnotesize
%Au début, les gens avaient très peu d'inhibitions et adoptaient des pratiques très risquées. Nous en sommes un peu à ce stade en matière de partage de données. Avec le temps, les gens ont appris que ce n'était pas sans danger.
%\end{quote}

Cette prise de conscience a été favorisée par un certain nombre de polémiques qui ont défrayé la chronique (messages sensés être privés mais visibles dans la partie publique, licenciements à cause de Facebook), montrant ainsi à quel point les internautes attendent de Facebook qu'il protège leur vie privée... alors même que, et souvent, ils ne la protègent pas eux-mêmes correctement. 

\paragraph{Activité: maîtriser son compte Facebook} \url{https://www.slideshare.net/JulieGarnier2/matriser-son-compte-facebook}

\subsubsection*{Le Cloud}
C'est une technologie qui permet de stocker des données sur des serveurs distants et d’y avoir accès n’importe quand et depuis n’importe quel appareil connecté à Internet. L’inconvénient majeur du Cloud est que la sécurité de nos données est entre les mains de tiers qui peuvent avoir accès et même utiliser nos données sans même que nous nous en rendions compte. Exemple: comment faire confiance à des prestataires américains (ou plus précisément à des prestataires dont les serveurs sont sur le sol américain) quand on sait que le Patriot Act est une loi aux États-Unis qui donne au gouvernement le droit de regard sur les données collectées et stockées sur son sol?
D'où quelques bonnes habitudes à prendre:
\begin{itemize}
\item avoir un mot de passe suffisamment fort et unique pour chaque service (on y reviendra)
\item bien lire les règles de confidentialité et les conditions d'utilisation
\item ne pas stocker des documents très sensibles dans le Cloud
\item chiffrer ses données (on verra ce que cela signifie)
\item opter pour une solution de partage de fichiers fiable: \url{https://upload.disroot.org/})
\end{itemize}

Alors, LA solution -- radicale, certes -- serait-elle de renoncer à internet? Même pas, car, comme nous allons le voir, même hors connexion, nous laissons des traces à tous les étages.
\newpage

\section{Traces à tous les étages}

\subsection{Ma vie disséquée à travers mes données personnelles}
%source: Le Monde.fr | 10.06.2014| Par Alexandre Léchenet et Martin Untersinger

Du lever au coucher, on sait depuis quelques années que nos vies se copient en temps presque réel dans des bases de données, parfois sans notre véritable consentement.
La vie numérisée dessine-t-elle un portrait fidèle de ce que je suis? Un journaliste du \emph{Monde} s'est amusé à retracer une journée type: au réveil, son premier réflexe consiste à allumer son IPhone qui, instantanément, se géolocalise afin d'\og{}améliorer ses performances et proposer des informations utiles en fonction des lieux où vous êtes\fg{} (sic!). Cela dit, Apple assure ne pas stocker ces données dans un datacenter et pourtant la NSA a ajouté l'entreprise à son programme Prism, qui permet d'accéder de manière privilégiée aux données de plusieurs géants du Web.

La pluie conduit ensuite notre journaliste à prendre le métro dont le portique s'ouvre après le passage du badge, le Pass Navigo qui est associé à toute son identité, sauf si on fait le choix, moyennant finance, d'un badge anonyme appelé Pass découverte. Puis: arrivée sur son lieu de travail, là encore avec badge à l'accueil. À peine arrivé au bureau, il projette d'aller au cinéma le soir même et se fait la réflexion que sa carte UGC doit enregistrer l’ensemble des informations et des films qu'il est allé voir. Quand il essaie de se renseigner, il se heurte ou bien à de la réticence ou bien à de l'incompréhension, alors même que la loi informatique et libertés de 1978 prévoit explicitement un droit quasiment inconditionnel d’accès aux données personnelles. 

Il poursuit sa journée et énumère toutes les traces numériques qu'il laisse: carte de cantine (qui stocke l'historique de ses consommations pendant 13 mois), carte vitale quand il passe à la pharmacie en sortant de son travail, les recherches qu'il a effectuées dans Google quand il rentre chez lui: il constate qu'en parcourant la liste des requêtes qui sont enregistrées, c’est tout simplement ses intérêts professionnels, lubies, passe-temps qui sont soigneusement classés par ordre chronologique. Il en vient à la conclusion que, mises bout à bout, ces bases de données réunissent ses goûts, ses habitudes, ses obsessions, ses loisirs, ses centres d’intérêt et en vient à s'interroger: dispersées sur des ordinateurs aux quatre coins du monde, ces données, souvent analysées, résistent encore aux croisements et recoupements divers. Mais pour combien de temps ?


% source: http://guide.boum.org
%\subsection*{Stockage des données}

%Tout d’abord, rappelons que, dans un ordinateur, l’essentiel de l’information circule sous forme de courants électriques. Or, tout courant qui circule a tendance à émettre un champ magnétique qui peut rayonner à quelques mètres, voire plus. Il est donc possible pour qui s’en donne les moyens de reconstituer le contenu d’un écran ou ce qui a été tapé sur un clavier, et cela, même derrière un mur, depuis la rue ou l’appartement contigu : ainsi, des chercheurs ont réussi à enregistrer les touches tapées sur des claviers filaires normaux à partir de leurs émissions électromagnétiques, à une distance allant jusqu’à 20 mètres. Et si l'on a un clavier sans fil? Il communique alors avec l’ordinateur par des ondes radio que n’importe qui autour peut capter et éventuellement décoder sans vergogne.

%Par ailleurs, l'ordinateur stocke nos données: d'abord, dans la mémoire vive qui contient toutes les informations dont le système a besoin. Elle conserve donc nécessairement de nombreuses traces : frappes au clavier (y compris les mots de passe), fichiers ouverts. En prenant le contrôle d’un ordinateur qui est allumé, il n’est pas très difficile de lui faire livrer l’ensemble des informations contenues dans la mémoire vive, par exemple vers une clé USB ou vers un autre ordinateur à travers le réseau. Et prendre le contrôle d’un ordinateur peut être aussi simple qu’y brancher un iPod quand on a le dos tourné. Si l'ordinateur est beaucoup sollicité, le système d’exploitation utilise une partie du disque dur pour venir en aide à sa mémoire vive: c'est ce qu'on appelle la mémoire virtuelle (ou swap). La conséquence, c’est que l’ordinateur va écrire sur le disque dur des informations qui se trouvent dans la mémoire vive, informations potentiellement sensibles, donc, et qui resteront lisibles après avoir éteint l’ordinateur.

Mais savez-vous bien ce qu'on entend par \enquote{données personnelles}? Quels sont vos droits sur vos données?

\subsection{Vos droits sur vos données}
\subsubsection*{Législation}
Définition de ce qu'on appelle données personnelles (article 2 de la Loi informatique et libertés de 1978): 

\begin{quote}
Constitue une donnée à caractère personnel toute information relative à
une personne physique identifiée ou qui peut être identifiée, directement ou indirectement. Pour déterminer si une personne
est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son
identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou
toute autre personne.
\end{quote}

Notons d'abord que la nature des informations n'a aucune importance. La question clé est de
savoir s'il y a un lien avec une personne physique. Dans ce cas, alors il s'agit de
données personnelles. 

Mais le loi va plus loin et définit dans l'article 8 ce qu'on appelle données sensibles: 

\begin{quote}
Il est interdit de
collecter ou de traiter des données à caractère personnel qui font apparaître, directement
ou indirectement, les origines raciales, ethniques, les opinions politiques, philosophiques,
religieuses ou l'appartenance syndicale, ou qui sont relatives à la santé ou à la vie sexuelle
des personnes.
\end{quote} 

Une des difficultés qu'il faut souligner est liée aux inférences. 
Exemple: si un responsable de
traitements, par le biais d'une application smartphone, collecte ma géolocalisation de façon
systématique et précise, alors, il est capable très facilement d'inférer, c'est-à-dire de déduire
un certain nombre de choses, par exemple, si je fréquente régulièrement un lieu de culte, et
on tombe alors dans la catégorie des données sensibles.

Certaines obligations s'imposent, par ailleurs, au responsable de traitements d'après l'article 6: 
il doit effectuer une collecte et un traitement de façon loyale
et licite, mais aussi, pour des finalités bien précises et
légitimes. Ainsi, il est totalement hors de question de
collecter ma géolocalisation en permanence si l'objectif annoncé pour cette collecte est de
personnaliser un service utilisé de façon ponctuelle.

\begin{comment}
Dernier point: le responsable de traitements peut-il échapper à ses obligations dès lors
qu'il manipule des données personnelles ?  Oui, c'est possible:
\begin{enumerate}
\item Une première solution est d'obtenir un consentement qualifié de libre et éclairé de la part de
l'utilisateur. Si nous voyons de plus en plus apparaître des messages qui nous suggèrent de
lire des règles de confidentialité, ce n'est pas pour rien. 
\item  La deuxième solution est d'anonymiser les bases de données. Si après anonymisation, on ne peut
plus faire de lien entre une donnée et une personne physique, quels que soient les moyens
techniques mis en œuvre, il ne s'agit plus de données personnelles. 
\end{enumerate}
\end{comment}

\subsubsection*{Vos droits sur vos données}
La loi informatique et libertés nous donne 4 droits fondamentaux : l'accès, la
rectification, l'opposition et l'oubli.
\begin{enumerate}
\item Le droit d'accès nous permet d'obtenir une copie de toutes les informations qu'un service
possède sur nous. Pour obtenir toutes ces informations, la CNIL, Commission nationale
informatique et libertés, dispose de formulaires afin de vous faciliter les démarches.
\item Nous disposons aussi d'un droit de rectification. Si une personne publie des données et
informations qui sont inexactes et qui vous concernent, vous pouvez demander que ces
informations soient rectifiées. La demande se fait auprès du service du responsable du
traitement, et de la même façon, en cas de refus ou sans réponse, il suffit de porter plainte
à la CNIL afin d'obtenir rectification. Le droit de rectification a cependant des limites. Il ne
couvre pas les contenus artistiques, littéraires ou journalistiques. Ce n'est pas parce qu'une
peinture vous représentant vous déplaît que vous serez capable de la faire rectifier auprès
de l'artiste.
\item Le troisième droit est le droit d'opposition qui vous permet, lors de la collecte ou de la
diffusion de données, de refuser que vos données soient prises en compte.
\item Le droit à l'oubli est un droit un peu plus spécifique. Il concerne uniquement les moteurs de
recherche. On pourrait l'appeler exactement le droit au déréférencement. En substance, il
consiste à faire éliminer des résultats de requêtes de moteurs de recherche. Par exemple,
vous souhaitez qu'un lien que vous considérez diffamant soit éliminé d'un moteur de
recherche quand une personne va taper votre nom et prénom.
\end{enumerate}

\subsubsection*{Quelle confiance dans les services qui gèrent nos données?}
La question ne date pas d'aujourd'hui malheureusement. Peut-être certains d'entre vous se souviennent-ils d'une affaire qui défraya la chronique en... 1974! Le ministère de l'Intérieur autorisa le croisement des fichiers informatiques administratifs en utilisant le numéro de sécurité sociale, créant une base de données centralisée de toute la population: c'est le projet SAFARI, qui fut révélé par \emph{Le Monde}.

\begin{figure}[h]
\centering
\includegraphics[scale=0.4]{/home/estelle/Documents/informatique/fifti/fichiers/miscellanees/images/LeMonde.png} 
\caption{Article du \emph{Monde} du 21 mars 1974}
\end{figure}

Comme le projet suscita une vive opposition, il fut retiré et fut créée une commission Informatique et Libertés afin de réfléchir \og au devenir des libertés individuelles et publiques dans la quête permanente d'information \fg{}. 

Voir \url{https://www.cnil.fr/fr/maitriser-mes-donnees}.

\medskip

Nous enregistrons beaucoup de données (identifiants, authentifiants, images, conversations, 
idées, données de santé, données bancaires) dans des services, des
réseaux sociaux, des clouds, des messageries électroniques. Que doit-on attendre de tels services?
Le respect de la vie privée, c'est-à-dire que ne soient pas divulguées nos données personnelles. 
Le risque zéro n'existe pas. Un exemple est, à ce titre, tout à fait significatif: en 2014, des pirates ont réussi à récupérer
les données d'un demi-milliard d'utilisateurs de Yahoo. On s'est rendu compte de ces pertes de
données seulement en juillet 2016 quand on a commencé à voir, sur certains réseaux, la
mise en vente de l'ordre de 200 millions de mots de passe de comptes Yahoo. Assez
rapidement, Yahoo a reconnu ces pertes de données et il a fallu attendre
décembre 2016 pour que Yahoo force tous les utilisateurs à changer leur mot de passe et
renouveler la sécurité de leur compte. Voir: « Des millions de comptes Yahoo! piratés en 2014 », FR3, 23 sep 2016 :
\url{http://sites.ina.fr/cnil-40-ans/focus/chapitre/5/medias/5823342_001_014} et \url{https://www.lemonde.fr/pixels/article/2018/06/13/piratage-de-yahoo-en-2014-le-groupe-condamne-a-280-000-euros-d-amende-au-royaume-uni_5314242_4408996.html}.

Comment vérifier si un site est de confiance, comment vérifier sa
web-reputation? Dans Firefox, on peut utiliser l’extension WOT (Web Of
Trust):
\url{https://addons.mozilla.org/en-US/firefox/addon/wot-safe-browsing-tool/}. C’est
une extension de Firefox conçue pour sécuriser la navigation des
internautes sur la toile. Elle sert à vérifier si un site est sûr ou
non. L’application intègre aussi une liste noire de sites peu
recommandables. Une fois WOT installée, une icône représentée par un
feu de couleur apparaît dans la barre d’outils du navigateur. Les
sites sont alors classifiés suivant des codes couleurs, à savoir le
vert pour bon, le jaune pour douteux et le rouge pour malveillant.

\subsection{L'identité numérique}

En France, toute personne physique a une identité juridique, qui est
constituée d'un nom, d'une adresse, d'un état civil. Il existe
d'autres formes d'identités, une identité administrative qui va être
caractérisée par un code INSEE ou un numéro fiscal. Ces identités
permettent d'identifier de façon unique un individu afin de lui
octroyer des droits (le code INSEE permet l'accès aux soins par
exemple), ou des devoirs (ex.: vérifier que la personne a bien
acquitté ses impôts avec le numéro fiscal). Quand on va sur Internet
ou quand on utilise des technologies, on a exactement les mêmes
besoins d'identification, la technologie a besoin d'identifier les
utilisateurs de façon unique.

Ce qui va constituer l'identité numérique, ce sont tous les identifiants qui vont nous permettre de faire le lien à la technologie.
Donc concrètement, qu'est-ce qu'une identité numérique ? Les identifiants que vous avez
choisis, vos adresses mail, vos identifiants Facebook, votre adresse IP, etc. 
Une autre famille d'adresses 
et d'identifiants utilisés
pour acheminer l'information sur Internet est les adresses MAC (rien à voir avec Apple): ce sont des adresses qui sont associées à l'équipement qui permet de se connecter au réseau.

\begin{comment}
Il existe plusieurs types d'attributs:
\begin{enumerate}
\item Le premier type d'attributs sont les attributs déclarés c'est-à-dire des informations que vous déclarez volontairement. Et elles sont nombreuses car les services qu'on utilise en sont friands. Posez-vous cette question: comment réagiriez-vous si votre boulanger exigeait l'accès aux mêmes informations que vos applications?
\url{https://www.nouvelobs.com/rue89/rue89-internet-actu/20150210.RUE7727/et-si-notre-boulanger-exigeait-l-acces-aux-memes-infos-que-nos-applis.html}
%Bien sûr, quand on s'enregistre sur un site, on peut avoir n'importe quelle identité. 
\item Une deuxième famille d'attributs sont les attributs observés: un certain nombre de gens observent nos faits et gestes sur
Internet et ils observent tout ce que nous faisons à travers nos identifiants.
\item Une troisième famille d'attributs sont les attributs inférés: à partir de nos actions, des personnes, 
des services vont essayer de découvrir de nouveaux attributs. Ex.: un dirigeant, quand il accède aux comptes de l'entreprise, écoute systématiquement la même chanson de blues: une personne peut en déduire que l'entreprise va mal.
\item Un dernier type d'attributs, ce sont les attributs cachés, comme par exemple pour l'adresse IP. Bien souvent les utilisateurs de ces identifiants ne se rendent pas compte qu'ils révèlent ces
informations quand ils les utilisent.
\end{enumerate}


\subsubsection*{L'usurpation d'identité}


Comment un attaquant essaie d'usurper notre identité afin de nous voler nos données? 
Quand nous accédons à un service, comme une boîte aux lettres électronique ou un réseau
social comme Facebook, il y a 4 phases pour accéder au service. Il y a une première phase
d'enregistrement dans laquelle nous avons défini notre compte et notre mot de passe, une
phase de stockage dans laquelle le service va retenir notre mot de passe afin de pouvoir
nous authentifier plus tard, la phase d'authentification propre de contrôle d'accès de
l'identité et une dernière étape de régénération quand nous oublions nos mots de passe.

Usurper une identité c'est récupérer identifiant et mot de passe. Pour cela, 4 grandes méthodes:
\begin{enumerate}
\item La première méthode est très certainement la plus originale. Elle consiste à demander à
l'utilisateur de nous fournir le mot de passe. C'est ce qu'on appelle l'ingénierie sociale et
cela consiste à duper des gens afin qu'ils nous révèlent les authentifiants qu'ils ont
utilisés pour accéder à un service. Ex: l'hameçonnage.
\item La deuxième méthode que peut utiliser un attaquant afin d'usurper votre identité, c'est de
deviner l'authentifiant. L'attaquant essaie le plus de mots de passe possible. Heureusement pour nous, 
très souvent, les sites limitent le nombre d'essais.
\item La troisième méthode est d'attaquer le service plutôt que de vous attaquer individuellement: ce sont alors
les mots de passe de tous les utilisateurs qui sont visés. Heureusement pour nous, les services ne stockent pas nos mots de passe en clair.
\item Une quatrième méthode 
consiste à essayer d'intercepter le mot de passe au moment de l'authentification. Si les
communications ne sont pas sécurisées (pas de https), un attaquant sera capable de récupérer votre mot de passe.
\end{enumerate}
\end{comment}
\bigskip

Compte tenu du tableau que je viens de dresser de notre vie privée sur internet, on peut comprendre que certains choisissent le darknet. Mais de quoi parle-t-on au juste?

\newpage

\section{Le darknet}

Voici quelques explications qui visent à démythifier ce côté obscur du net. Le darknet est avant tout un fait social: il s'incarne dans la quête de l'anonymat et de la confidentialité. Avant d'aller plus loin, juste un mot pour clarifier ces concepts:
\begin{itemize}
\item \texttt{anonymat}: consiste à dissimuler son identité (les actions peuvent être connues, mais pas leurs auteurs);
\item \texttt{confidentialité}: consiste à interdire l'accès à l'information aux tiers (repose essentiellement sur le chiffrage):
\item \texttt{vie privée}: préserver sa vie privée signifie qu'on ne souhaite pas que certaines de nos activités soient observées à notre insu. Pour E. Snowden, \og répondre je n'ai rien à cacher en matière de vie privée revient à affirmer qu'on se fiche de la liberté d'expression parce qu'on n'a rien à dire \fg{}. 
\end{itemize}

Définition du darknet: un sous-réseau d'internet utilisant des protocoles spécifiques et intégrant nativement des fonctions d'anonymisation.

Ne pas confondre darknet et deep web: ce qu'on appelle le deep web, c'est toute la partie du web que ne peuvent indexer les moteurs de recherche et donc à laquelle on ne peut accéder directement (pages générées par l'interrogation d'une base de données via un formulaire ou encore sites auxquels on accède après identification). Si vous consultez certaines statistiques sur le site de l'INSEE (donc à partir d'un formulaire qui cherche dans une base de données), vous êtes dans le deep web mais certainement pas dans le darknet! Le darknet repose avant tout sur la recherche de la préservation de l'anonymat. Et ce n'est possible que grâce au chiffrage.

\subsection{La question du chiffrage}
Les outils modernes du chiffrage reposent sur des principes très anciens. La cryptographie remonte à l'Antiquité: Suétone écrit dans la \emph{Vie de César}, 56\footnote{De façon insolite, le code de César a été réemployé notamment au début d'internet et des forums, à travers le ROT-13. Le ROT-13 désigne simplement le code de César, où on a choisi une ROTation de 13 lettres (A-->N...). L'idée n'est pas de diffuser des messages cryptés, mais de faire en sorte que le message ne soit pas lu involontairement, par exemple s'il dévoile l'intrigue d'un film ou donne la réponse à une devinette. }:
\begin{quote}
On possède enfin de César des lettres à Cicéron, et sa correspondance avec ses amis sur ses affaires domestiques. Il y employait, pour les choses tout à fait secrètes, une espèce de chiffre qui en rendait le sens inintelligible (les lettres étant disposées de manière à ne pouvoir jamais former un mot), et qui consistait, je le dis pour ceux qui voudront les déchiffrer, à changer le rang des lettres dans l'alphabet, en écrivant la quatrième pour la première, c'est-à-dire le d pour l'a, et ainsi de suite.
\end{quote}

À vous de jouer: que veut dire: DOHD MDFWD HVW 

Plus récemment, on eut recours à des systèmes reposant sur le même principe mais utilisant plusieurs alphabets de substitution (appelés systèmes polyalphabétiques): le plus célèbre est peut-être l'Enigma utilisée par l'armée allemande pendant la seconde guerre mondiale. C’est Alan Turing qui découvrit le système de code d’Enigma en 1944 (et qui posa à l’occasion les bases du premier ordinateur !).

\begin{figure}[h]
\centering
\includegraphics[scale=0.6]{/home/estelle/Documents/informatique/fifti/fichiers/miscellanees/images/Enigma_1940.png} 
\caption{Enigma 1940 (Wikimedia Commons, licence CC BY-SA 3.0)}
\end{figure}

C'est en 1976 qu'apparaît le concept qui va révolutionner la cryptographie: le chiffrage à clé publique. Le principe est le suivant: Alice et Bertrand souhaitent communiquer. Alice crée deux clés, une clé qui servira au chiffrage (clé publique) et la clé correspondante qui servira au déchiffrage (clé privée). C'est la première clé qu'Alice distribuera à tous les Bernard potentiels. Bernard, pour répondre, chiffre le message avec la clé publique d'Alice qui le déchiffre avec sa clé privée.

\begin{figure}{/home/estelle/Documents/informatique/fifti/fichiers/miscellanees/images/chiffrement.png} 
\caption{Chiffrement asymétrique}
\end{figure}

Pendant longtemps, la cryptographie a exclusivement été une affaire d'État, cantonnée aux opérations militaires et diplomatiques (et jusqu'en 1990 les systèmes de chiffrage étaient considérés en France comme des armes de guerre). Mais avec l'explosion des échanges sur internet, la problématique a changé: il est devenu indispensable pour tout un chacun de garantir la sécurité de ses transactions. C'est cette pression économique qui a obligé les États à assouplir leur contrôle et en 2004 la loi pour la confiance dans l'économie numérique déclare dans son article 30: \og l'utilisation des moyens de cryptologie est libre \fg{}. Et pourtant, pour les États, la cryptologie libre généralisée est d'abord considérée comme une atteinte à leurs capacités d'investigation. La NSA (National Security Agency), créée en 1952, est au cœur de ces problématiques puisqu'elle a centralisé l'effort américain dans le domaine de la cryptographie. Les révélations d'E. Snowden ont notamment dévoilé l'existence d'un programme (\emph{Bullrun}), doté de 250 millions de dollars en 2013, visant à affaiblir les systèmes de chiffrage. La NSA n'hésite pas à intervenir auprès des opérateurs internet et des entreprises logicielles pour qu'ils mettent en place des portes dérobées. On comprend bien pourquoi les solutions propriétaires ne peuvent être dignes de confiance, par opposition aux logiciels open source qui sont vus et audités par une vaste communauté, raison pour laquelle il est difficile d'y introduire des fonctions cachées.

Quels sont les outils faciles à utiliser dont nous disposons? AxCrypt: \url{https://www.axcrypt.net/fr/}. 

\subsection{Les outils du darknet}
Les outils du darknet existent pour les grands systèmes d'exploitation: pas d'obligation de passer par Linux, même si son usage est un atout certain si on veut préserver son anonymat, pour au moins trois raisons:
\begin{enumerate}
\item les outils de sécurité et d'anonymisation sont d'abord développés pour Linux;
\item le pire ennemi de l'anonymat est tout simplement la compromission de son propre système: si un programme enregistre tout ce que vous tapez, la notion d'anonymat n'a plus de sens. Or la probabilité de voir son système infecté est beaucoup plus faible sous Linux car les virus et autres malwares sont conçus pour s'attaquer au plus grand nombre;
\item Linux est un système open source (voir ce qu'on a dit plus haut à ce sujet). 
\end{enumerate}

Dans le cadre de ce cours, je me contenterai de présenter un
seul outil: Tor.

\begin{comment}
\paragraph{Tails} Celui qui recherche à préserver absolument son anonymat se tournera vers la distribution Tails (\emph{The Amnesic Incognito Live System}): \emph{Amnesic} car rien de ce qui est fait au cours d'une session n'est enregistré sur l'ordinateur, \emph{Incognito} car les connexions internet sont anonymes et \emph{Live} car elle fonctionne en autonomie, à partir d'une clé USB, sur n'importe quel ordinateur sans toucher au système existant. Utilisé par E. Snowden, on dit que c'est un outil détesté par la NSA.

%\subsubsection*{Les VPN}
%Les \emph{Virtual Private Network} sont les outils d'anonymisation les plus connus et les plus utilisés. Un VPN est un logiciel qui permet de se connecter à un réseau privé (comme le réseau interne d'une entreprise). Il construit pour cela un tunnel chiffré entre l'ordinateur et le réseau privé. Du point de vue de l'extérieur, c'est le VPN qui est visible et non l'utilisateur.

\paragraph{Enigmail et Mailvelope}
Paradoxalement, les emails sont l'un des outils de communication les moins sécurisés sur internet. Et pourtant, qui accepterait que l'on ouvre son courrier avant qu'il soit délivré? Pour ne citer que lui, Google \og lit \fg{} nos mails afin de mieux nous cibler. Évidemment, il s'agit d'une lecture automatique par des robots. Alors que l'usage du protocole \emph{https} se généralise sur le web, nos mails sont stockés en clair chez le fournisseur et les échanges eux-mêmes ne sont pas chiffrés. Or la seule façon de garantir la confidentialité des échanges est de les chiffrer. Il existe pour cela des outils open source comme \emph{Enigmail} par exemple, qui est un module pour le logiciel Thunderbird. \emph{Enigmail} n'est rien d'autre qu'une interface graphique conçue pour faciliter l'utilisation du programme de chiffrement GnuPG qui repose sur l'échange de clés publique et privée comme on l'a étudié précédemment. 

Pour ceux qui n'imaginent pas faire autre chose que du webmail, il existe une extension à installer dans votre navigateur afin de pouvoir utiliser directement PGP (\emph{Pretty Good Privacy}), le logiciel de chiffrement cryptographique : il s'agit de Mailvelope (qui existe pour Chrome et Firefox): \url{https://www.mailvelope.com/}.

Un mot pour finir au sujet des sms: savez-vous qu'il est évidemment
possible de sécuriser vos sms? Avec un petit logiciel comme
\emph{TextSecure} par exemple.
\end{comment}

\paragraph{Tor}
% Le darknet s'appuie aussi sur des logiciels beaucoup plus complexes
% comme les mixnets (pour mix network parfois aussi appelés réseaux de
% routage\footnote{Ce concept a été pour la première fois décrit par
%   David Chaum en 1981.}). C'est sur ce principe que fonctionne Tor

Qu'est-ce que Tor? Il s'agit d'abord d'un navigateur qui a recours à
des serveurs intermédiaires multiples re-routant l'information sans
avoir accès à celle-ci ni connaître son origine ou sa destination
finale. La technique consiste donc à cacher les utilisateurs parmi les
utilisateurs.

\begin{figure}[h]
\includegraphics[scale=1]{/home/estelle/Documents/informatique/fifti/fichiers/miscellanees/images/Tor.png} 
\caption{Comment fonctionne Tor}
\end{figure}

C'est au départ un projet de la U.S. Navy. Au lieu d'une connexion
directe entre l'utilisateur et le serveur, on utilise un ensemble de
relais via des connexions chiffrées. On a ainsi un ensemble de couches
de chiffrage, d'où la référence à l'oignon! Pour accéder au réseau
Tor, il suffit d'installer le \emph{Tor Browser} qui s'installe comme
n'importe quelle application. À partir de là, la navigation est
anonyme. On peut aller sur n'importe quel site web sans qu'il puisse
nous identifier. Tor n'est pas limité à la navigation anonyme: il
héberge également un web caché, c'est-à-dire un ensemble de sites
auxquels on accède uniquement à travers Tor. Ils ont pour extension
.onion. C'est le cas, par exemple, de l'adresse de dépôt des documents
de WikiLeaks (j'y reviendrai). Le succès de Tor est impressionnant et
il a dépassé les 5 millions d'utilisateurs au lendemain des
révélations de Snowden. Tout un chacun peut utiliser Tor. On estime à
environ 2 millions le nombre d'utilisateurs de Tor chaque jour.


\subsection{Darknet et libertés}

\subsubsection*{L'affaire Snowden et la surveillance de masse}
Le darknet est au cœur de l'affaire Snowden dont j'ai dit un mot au
début de ce cours. Fin décembre 2012, le journaliste Glen Greenwald,
connu pour ses critiques des systèmes de surveillance, a reçu un email
disant que son correspondant anonyme disposait d'informations
importantes qu'il ne pourrait communiquer qu'après avoir obtenu sa clé
PGP. Vous voyez que, dès le début, les révélations qui ont ébranlé le
monde n'ont été possibles que grâce aux technologies qye nous venons
d'évoquer. Puis, c'est dans un hôtel d'Hong-Kong que les deux hommes
se sont rencontrés: E. Snowden a remis au journaliste des documents
montrant que les services américains se livraient à de l'espionnage de
masse de leurs concitoyens, ce que la constitution interdit
formellement. Ce fut l'objet d'un premier article, suivi bientôt d'un
deuxième qui révélait, quant à lui, le programme PRISM. Voici quelle
était la conclusion à laquelle arrivait G. Greenwald (\emph{Nulle part
  où se cacher}, Lattès, 2014):
\begin{quote}
Prises dans leur intégralité, les archives Snowden conduisent à une conclusion fort simple: le gouvernement américain a bâti un système qui s'est fixé comme objectif l'élimination complète, à l'échelle planétaire, de toute vie privée électronique.
\end{quote}
Et ce n'est pas l'apanage des États-Unis: l'ancien directeur technique de la DGSE expliquait que son objectif était \og d'écouter tout l'internet mondial \fg{} (propos rapportés par \emph{Libération}, 29/09/2015). 

Cette question du contrôle permanent, de cette surveillance constante, est l'objet de réflexion pas seulement chez les informaticiens mais aussi chez les philosophes. C'est le cas de Gilles Deleuze qui écrivait déjà en 1990\footnote{Dans un article intitulé \og Post-scriptum sur les sociétés de contrôle \fg{} (\emph{Pourparlers}, 1990).}:
\begin{quote}
Nous entrons dans des sociétés de contrôle\footnote{Après la fin des institutions disciplinaires théorisées par Michel Foucault.} qui fonctionnent, non plus par enfermement, mais par contrôle continu et communication instantanée. [...] Face aux formes prochaines de contrôle incessant en milieu ouvert, il se peut que les plus durs enfermements nous apparaissent appartenir à un passé délicieux et bienveillant. [...] L'important ce sera peut-être de créer des vacuoles de non-communication, des interrupteurs, pour échapper au contrôle.
\end{quote}
Le darknet est précisément l'un de ces interrupteurs.

\subsubsection*{Wikileaks ou le droit d'alerte}
Durant l'été 1971, le New York Times révélait les \emph{Pentagon Papers}, montrant l'ampleur des mensonges et manipulations du gouvernement américain sur le Vietnam, faisant ainsi basculer l'opinion publique. Daniel Ellsberg, à l'origine des révélations, est l'un des premiers lanceurs d'alerte moderne. L'année suivante, William Mark Felt était à l'origine du scandale du Watergate, qui conduisait à la démission de Nixon. Wikileaks incarne aujourd'hui le lien entre alertes et liberté d'information.
La plate-forme inaugurée par Julien Assange publie ses premiers documents à la fin de l'année 2006 mais c'est notamment la révélation des procédures en vigueur à Guantanamo l'année suivante qui ont commencé à attirer l'attention des médias. Sur son site, Wikileaks déclare\footnote{Voici le texte original: \og The broader principles on which our work is based are the defence of freedom of speech and media publishing, the improvement of our common historical record and the support of the rights of all people to create new history. We derive these principles from the Universal Declaration of Human Rights. In particular, Article 19 inspires the work of our journalists and other volunteers.\fg{} (source: \url{https://wikileaks.org/About.html})}:
\begin{quote}
Les principes généraux sur lesquels notre travail s'appuie sont la protection de la liberté d'expression et de sa diffusion par les médias, l'amélioration de notre histoire commune et le droit de chaque personne de créer l'histoire. Nous tirons ces principes de la Déclaration universelle des droits de l'homme. En particulier l'article 19 inspire le travail de nos journalistes et autres volontaires.
\end{quote}

Comment fonctionne Wikileaks? Ceux qui souhaitent communiquer des documents à Wikileaks doivent se connecter via Tor à une adresse en .onion (web caché) qu'on trouve sur leur site (voir capture d'écran).

\begin{figure}[h]
\includegraphics[scale=0.6]{/home/estelle/Documents/informatique/fifti/fichiers/miscellanees/images/wikileaks.png} 
\caption{Soumettre des documents à Wikileaks}
\end{figure}

Wikileaks et ses homologues sont une démonstration de la puissance du darknet...

\newpage

\section{Comment se protéger: les quatre conseils faciles à suivre}
%Rappelons d'abord quelques évidences: 
%\begin{enumerate}
%\item rien ne sert d'installer une porte blindée si on laisse la fenêtre ouverte
%\item la sécurité à 100\% n'existe pas. Un ou deux exemples: des hackers ont réussi à injecter une charge virale dans un fichier .pdf échangé par des hauts fonctionnaires de la direction du Trésor de Bercy, entraînant le piratage de 150 ordinateurs; ou encore: le contre-espionnage iranien n'a pas non plus réussi à empêcher le ver Stuxnet, créé par les services américains et israéliens, de contaminer (via une clef USB) des ordinateurs qui, pourtant, n'étaient pas connectés à Internet, afin de faire exploser les centrifugeuses utilisées par le programme d'enrichissement nucléaire iranien...
%\item la majeure partie des chevaux de Troie et autres logiciels malveillants sont conçus pour les systèmes d'exploitation Windows, voire Mac OS
%\end{enumerate}

\subsection{Privilégier les logiciels libres}
Qu'entend-on par logiciel libre? Il s'agit d'un logiciel dont le code
source (c'est-à-dire la recette de fabrication) est ouvert, lisible
par tout un chacun. Exemple: LibreOffice (comme son nom l'indique est
un logiciel libre) par opposition à Microsoft Word qui est un logiciel
propriétaire.

\begin{comment}
Vous savez maintenant ce qu'est un logiciel libre, par rapport à un
logiciel propriétaire. Mais, pour être précis, il faut privilégier les
logiciels libres au sens où l'entend la
\href{http://www.fsf.org/}{Free Software Foundation} (ci-après
\emph{FSF}). Comme il s'agit ici de liberté et respect de la vie
privée, il est facile de comprendre qu'il est impossible de transiger:
la garantie doit être absolue, et l'utilisateur doit pouvoir la
vérifier à tout instant. S'agissant de \emph{logiciel libre}, la
\emph{FSF} entend le mot «libre» selon quatre «niveaux de liberté»:
\begin{enumerate}
\item liberté de pouvoir utiliser le programme sans aucune restriction de finalité;
\item liberté d'étudier comment le programme fonctionne, et de le changer pour l'adapter à tout besoin personnel. Cela implique que l'utilisateur doit avoir accès au  code source du programme; le programme doit donc évidemment être \emph{open source};
\item liberté de distribuer soi-même des copies du programme;
\item liberté de distribuer des copies de versions modifiées du programme, que la modification ait été faite par soi-même ou par un tiers; toute version modifiée doit être accompagnée par le code source correspondant.
\end{enumerate}
\end{comment}

L'ouverture du code source d'un programme est d'une importance capitale, car seule la lecture du code source, avant la compilation, permet de savoir à quelles instructions obéit le programme. Beaucoup de programmes fermés sont faits pour envoyer aux sociétés qui ont concédé la licence d'utilisation des informations collectées sur les propriétaires des ordinateurs sur lesquels ils sont exécutés. Les contrats de licence présentent d'ailleurs ces politiques de collecte de données en les atténuant: le plus souvent, il est question de lutter contre le piratage des logiciels... C'est ainsi, par exemple, qu'il est désormais impossible d'initialiser un ordinateur \emph{Apple} sans entrer des informations détaillées sur son identité et son adresse. Un autre exemple nous est fourni par la société \emph{Skype}: depuis son rachat par \emph{Microsoft}, toutes les conversations qui passent par son logiciel de communication sont enregistrées «pour des raisons de sécurité»...

Dernière chose à préciser quand on parle de logiciels: avoir des logiciels (et un OS) libres est fondamental, mais encore faut-il veiller à ce qu'ils soient à jour : navigateur, antivirus, bureautique, pare-feu personnel, etc. La plupart des attaques tentent d’utiliser les failles d’un ordinateur (failles du système d’exploitation ou des logiciels). En général, les agresseurs recherchent les ordinateurs dont les logiciels n’ont pas été mis à jour afin d’utiliser la faille non corrigée et ainsi parviennent à s’y introduire. C’est pourquoi il est fondamental de mettre à jour tous ses logiciels afin de corriger ces failles. Mettre à jour vos logiciels, c'est une chose, mais il faut aussi penser à mettre à jour votre OS. Sous Windows, c'est Windows Update qui vous permettra de mettre à jour votre ordinateur. Sous Mac, Préférences Système > App Store.



\subsection{Choisir un bon navigateur}
Firefox est un bon choix. Sachez qu'il existe aussi 
une version de \emph{Firefox} entièrement libre, dans le sens où les auteurs, à la différence de ceux de \emph{Firefox}, ne distribuent que des \emph{plugins} ou des modules complémentaires (\emph{addons}) entièrement libres: il s'agit de \emph{Icecat} (\url{http://www.gnu.org/software/gnuzilla/}). En outre, \emph{Icecat} est livré avec un module complémentaire de protection de la vie privée: \emph{Gnuzilla privacy extension} qui peut aussi être installé dans \emph{Firefox} à partir de l'adresse suivante: \url{http://ftp.gnu.org/gnu/gnuzilla/} (choisir ensuite votre version de Firefox, et cliquer sur \verb+privacy_ext.xpi+).

Pour améliorer la sécurité et la confidentialité de la navigation internet, que ce soit à partir de \emph{Icecat} ou de \emph{Firefox}, voici les conseils à suivre:
\begin{enumerate}
\item voir les modules complémentaires qu'on trouve sur Prism-break (\url{http://prism-break.org/}) ou sur \url{http://www.eff.org} et notamment le module \og HTTPS Everywhere \fg{} \url{(https://www.eff.org/https-everywhere}); 
%bloquer la publicité (\emph{Adblock Edge}) et détruire les cookies qui sont stockés à notre insu sur notre ordinateur (\emph{Self-Destructing cookies}); 
%\item le module \emph{Gnuzilla privacy extension}: désinstaller tous les modules additionnels (\emph{addons}) qui ne sont pas dans la liste des modules validés par la \emph{FSF}: \url{http://www.gnu.org/software/gnuzilla/addons.html};
\item le module \emph{Adblock Plus} : \url{https://addons.mozilla.org/fr/firefox/addon/adblock-plus/} :
indispensable, il bloque la plupart des publicités, ce qui change réellement le confort d’utilisation du Web;
%\item désactiver la navigation avec géolocalisation intégrée, c'est-à-dire refuser d'envoyer à \emph{Google Location Services} l'adresse IP de votre ordinateur et des informations sur les points d'accès wifi que vous accrochez. De même, refuser d'enregistrer le \emph{cookie} de géolocalisation. Pour faire cela:
%\begin{itemize}
%\item dans la barre d'adresse, tapez : \verb+about:config+, et acceptez l'avertissement;
%\item dans la barre filtre en haut de la page, tapez : \verb+geo.enabled+
%\item double cliquez sur la ligne \verb+geo.enabled+ afin de le «fixer» à \verb+false+
%\item (optionnel) double cliquez sur la ligne \verb+geo.wifi.uri+ et fixez-la à \verb+localhost+
%\item redémarrez \emph{Icecat} ou \emph{Firefox}.
%\end{itemize}
\end{enumerate}

Sur quelques idées reçues concernant la navigation \og{}privée\fg{}: 
\begin{itemize}
\item quand on utilise l’option « Effacer mes traces » du navigateur Firefox, ce dernier ne fait pas mieux que de supprimer les fichiers. Certes les données sont devenues inaccessibles pour Firefox, mais elles sont toujours accessibles en regardant directement le disque dur.
\item quand on utilise l'option « Navigation privée » du navigateur Firefox, ce dernier n'enregistre aucune information au sujet des sites qu'on a visités. C'est donc utile en cas d'ordinateur partagé, mais cela ne garantit pas l'anonymat sur internet: le FAI (Fournisseur d'Accès à Internet) ou encore les sites visités eux-mêmes peuvent toujours garder trace des pages consultées.
\end{itemize}

%Il faut aussi intégrer dans le navigateur un moteur de recherche anonyme.
%Première chose à faire: choisir \url{http://www.ixquick.com/fra/} comme page d'accueil du navigateur. Cela se fait en passant par le menu \texttt{Édition}$\rightarrow$ \texttt{Préférences}$\rightarrow$ \texttt{Général}.

%Ensuite, suivre les instructions qui se trouvent ici: \url{https://www.ixquick.com/fra/download-ixquick-plugin.html}. Les plus braves suivront toutes les instructions, y compris celles qui sont données au bas de la page «pour les experts seulement»!


\subsection{Choisir un bon moteur de recherche}
Je vous en propose deux: Startpage ou encore DuckDuckGo qui, tous les
deux s'engagent à respecter votre vie privée.
Voici ce que l'on peut lire sur le site de \href{https://www.startpage.com/fr/search/privacy-policy.html}{startpage}:
\begin{quote}
Chaque fois que vous utilisez un moteur de recherches courant, vos données de recherches sont enregistrées. Les principaux moteurs de recherche enregistrent votre adresse IP et utilisent des \emph{cookies} de suivi pour enregistrer vos termes de recherche, la date et l'heure de votre visite, et les liens sur lesquels vous avez cliqué. Ils enregistrent ensuite ces informations dans une énorme base de données.

Ces recherches révèlent une quantité choquante d'informations personnelles à votre sujet, comme vos intérêts, votre situation de famille, vos penchants politiques, votre état de santé, etc. Ces informations constituent aujourd'hui une mine d'or pour les sociétés de marketing, les autorités gouvernementales, les hackers et les criminels: tous ceux qui ne demandent qu'à mettre la main sur vos données de recherche privées.
\end{quote}

\begin{comment}
En quoi \emph{Ixquick} est-il différent des autres? C'est ce qu'on appelle un \emph{métamoteur} de recherche qui met l'accent sur la confidentialité et la protection de la vie privée. En l'utilisant, on gagne en précision, car le métamoteur \emph{ixquick} interroge simultanément de nombreux moteurs de recherche. Il couvre donc davantage de sites internet qu'un simple moteur, et ne présente pas forcément en premier les sites qui ont payé pour apparaître avant les autres.

Que se passe-t-il quand on fait une recherche sur \emph{ixquick}? C'est tout simple: en tant que métamoteur, \emph{ixquick} soumet la recherche à de nombreux autres moteurs de recherche. Techniquement, les autres moteurs de recherche ne voient et donc n'enregistrent que l'adresse IP d'\emph{ixquick}. Les résultats sont ensuite présentés sur la page d'\emph{ixquick} qui, de son côté n'enregistre pas l'adresse IP de ses visiteurs. On peut lire ici sur la page concernant la politique de confidentialité d'\emph{ixquick} qu'aucun renseignement personnel n'est conservé, ni transmis à Google. 
%\href{https://eu.ixquick.com/fra/privacy-policy.html}{On peut lire ici} la page concernant la politique de confidentialité d'\emph{ixquick}\footnote{Voir aussi la politique d'\emph{ixquick} en matière de \href{https://eu.ixquick.com/fra/information-sharing.html}{diffusion des informations à des tiers}, en particulier son choix de ne conserver aucun renseignement personnel, et de ne jamais transmettre de renseignements sur ses visiteurs à Google. En conséquence, les résultats comportant des liens parrainés par des marques ne sont pas adaptés au profil des visiteurs. Les liens parrainés constituent la source de revenus d'\emph{ixquick}.}.

%Il reste que le contenu des recherches que l'on envoie à \emph{ixquick} peuvent être interceptées par le fournisseur d'accès à internet de l'utilisateur. Pour éviter cela, il faut tout simplement se connecter en mode SSL, c'est-à-dire en préfixant l'adresse d'\emph{ixquick} par  \verb+https+ (\url{https://www.ixquick.com}).
\end{comment}



\subsection{Choisir un bon mot de passe}
\begin{comment}
Lire l'article: \url{https://ssd.eff.org/fr/module/cr%C3%A9er-des-mots-de-passe-forts}.

Quelques conseils pour choisir un bon mot de passe. Et avant tout, un petit test:
\begin{enumerate}
\item Avez-vous écrit votre mot de passe sur un bout de papier ?
\item Votre mot de passe est-il un nom commun que l’on peut trouver dans le dictionnaire ?
\item Votre mot de passe est-il un nom commun suivi de 2 chiffres ?
\item Votre mot de passe est-il un nom de personne, de lieu ou d’animal ?
\item Quelqu’un d’autre connait-il votre mot de passe ?
\item Utilisez-vous le même mot de passe pour plusieurs comptes et depuis longtemps ?
\item Utilisez-vous le mot de passe par défaut du constructeur ou de l’éditeur ?
\end{enumerate}

Pour être en mesure de lutter, il faut d'abord connaître son ennemi. Voici donc les attaques les plus courantes:
\begin{itemize}
\item les logiciels espions et l'hameçonnage: ce sont des logiciels qui enregistrent à votre insu les mots de passe que vous tapez. L'hameçonnage, quant à lui, consiste à faire croire à l'utilisateur qu'il a affaire à un tiers de confiance de manière à lui faire dévoiler diverses informations : code bancaire, mot de passe, etc. 

\texttt{Solution}: la vigilance: n'installez pas de logiciels inconnus ou d'extension non-officielle à une quelconque application. Méfiez-vous de tout courriel et site suspect.
\item l'attaque par dictionnaire: les mots de passe de la plupart des utilisateurs sont composés de mots courants. Ainsi l'attaque par dictionnaire consiste à tester une série préenregistrée de mots de passe usuels (les mots du dictionnaire, prénoms, etc) en espérant qu'un de ces mots corresponde au dit mot de passe. 

\texttt{Solution}: évitez de prendre un prénom, le mot d'un dictionnaire, d'un lieu/personnage célèbre comme mot de passe.
\item l'attaque par force brute: cette méthode consiste à tester une à une chaque combinaison possible pour le mot de passe (un ordinateur personnel peut en essayer plusieurs millions par seconde). Théoriquement cette méthode peut venir à bout de n'importe quel mot de passe mais si le mot de passe est robuste, cette méthode peut mettre des années.

\texttt{Solution}: 1) utilisez des lettres majuscules, minuscules et des chiffres. Pour un mot de passe de 6 caractères, il y aura ainsi 180 fois plus de combinaisons possibles qu'en utilisant seulement des minuscules; 2) allongez le mot de passe. Plus il y a de caractères, plus il y a de combinaisons possibles; 3) changez de mot de passe régulièrement.
\end{itemize}

Conclusion: un bon mot de passe doit être composé de lettres majuscules, minuscules, de chiffres et de caractères spéciaux ; long (dans la mesure du possible) ; dénué de sens (les prénoms et noms propres célèbres sont abolis) ; renouvelé régulièrement.
\end{comment}

\subsubsection*{Les principes}
Le choix du mot de passe est une recette savante qui va
combiner majuscules, minuscules, chiffres et caractères spéciaux. Plus le mot de
passe va contenir de caractères différents, donc majuscules, minuscules, chiffres ou tous les
caractères possibles, y compris les caractères spéciaux, plus le nombre de mots de passe
possibles va être élevé. Et c'est très important quand on sait qu'il
existe des logiciels "casseurs de mots de passe" qui sont capables de
tester un milliard de mots de passe à la seconde... Un bon moyen
mnémotechnique: prenez les premières lettres d'une citation ou d'un
vers. Par exemple: Rns2cifpà.

\begin{comment}
Au moment de l'enregistrement, la plupart des services fournissent une indication sur la
force du mot de passe. Le premier élément que va vous donner le site est un certain
nombre de règles : la nécessité d'utiliser une majuscule, des minuscules, des caractères
spéciaux, la nécessité de choisir un mot de passe long, plus de 8 caractères, 9 caractères, 12
caractères. Et vous allez avoir dans un deuxième temps, une indication de force. 
Si vous réussissez à produire un mot de passe fort, cela veut dire
que vous allez pouvoir accéder au service, mais cela ne veut certainement pas dire que vous
avez obtenu un mot de passe fort. Générer un mot de passe solide :
\url{https://www.cnil.fr/fr/generer-un-mot-de-passe-solide}

La dernière étape intéressante et importante quand on s'intéresse au cycle
d'authentification et au choix du mot de passe est l'étape de régénération. Elle est divisée 
en 2 temps : d'abord confirmation d'oubli: recours à un CAPTCHA qui va permettre de distinguer entre une machine et un être humain et une machine; puis envoi d'un message de confirmation à une adresse prédéfinie au
moment de l'enregistrement. Une fois que vous avez récupéré cette communication, vous
allez généralement obtenir un lien qui vous permettant de mettre à jour ce mot de passe.


\subsubsection*{Un mot de passe pour accéder à son ordinateur}
Le compte utilisateur permet de savoir qui se connecte à la machine, quelles sont ses préférences (fond d'écran, configurations, ...), etc. Lorsque vous vous connectez via votre compte utilisateur, on dit que vous avez ouvert une session de travail. Chaque ordinateur a au moins un compte utilisateur qui est créé lors de l'installation du système d'exploitation. On distingue plusieurs types de comptes:
\begin{enumerate}
\item le compte administrateur: ce type de compte dispose d'un accès total sur l'ordinateur, il peut effectuer
toutes les modifications souhaitées (création/suppression des utilisateurs,
modification système, etc).
C'est ce type de compte qui est créé lors de l'installation du système
d'exploitation dans votre ordinateur.
\item le compte standard: vous permet de faire la plupart
des tâches quotidiennes (écrire un nouveau document, jouer à un jeu ou
écouter de la musique,...).
Ce type de compte ne peut pas modifier les fichiers des autres utilisateurs
ni installer une nouvelle application sur l'ordinateur.
\item à ces deux comptes s'ajoute le compte du superutilisateur ou root sur lequel je reviendrai.
\end{enumerate}

Comment créer ce compte utilisateur? Sous Windows, allez dans le menu Démarrer puis cliquez sur l'avatar de votre nom d’utilisateur et, dans la fenêtre qui apparaît, cliquez sur Créer un mot de passe pour votre compte. Sous Mac, cliquez sur l'icône Préférences système au niveau du Dock, puis sur Utilisateurs et groupe.

Pensez aussi à verrouiller votre ordinateur (par exemple quand vous travaillez en bibliothèque et que vous vous absentez). Raccourci clavier sous Windows: Touche Windows + L.
\end{comment}

\subsubsection*{Gérer et stocker ses mots de passe}
Comme il est prudent d'utiliser un mot de passe unique par service, il faut donc retenir un mot de passe pour accéder à son mail, un autre pour ouvrir sa session dans l'ordinateur et d'autres encore pour des services en ligne tels que des forums, des sites web, etc. La solution est d'utiliser un logiciel de gestion de mots de passe, qui permet de stocker, générer et gérer vos mots de passe en toute sécurité. Le principe d'un logiciel de gestion de mots de passe est le suivant : retenez un seul mot de passe, et nous nous chargeons de crypter tous les autres. 


Prenons l'exemple de KeePass (\url{https://keepass.info/}), qui est un logiciel libre, gratuit et compatible avec tous les OS : Windows, Linux, Mac OS X.
La première étape consiste à créer une base de données qui stockera tous vos mots de passe. Vous devez maintenant définir le mot de passe principal de votre base de données. C'est l'unique mot de passe que vous allez retenir. Puis vous pouvez saisir votre première entrée. 
%Après avoir enregistré tous vos mots de passe, vous pouvez maintenant vous en servir. Sélectionnez simplement l'entrée dont vous voudriez copier l'utilisateur ou le mot de passe.
%Faites-un clic droit sur l'entrée sélectionnée puis cliquez sur Copier le nom d'utilisateur pour le copier (Ctrl + B). Si vous souhaitez copier le mot de passe cliquez alors sur Copier le mot de passe (Ctrl + C). Vous devez alors coller ces éléments dans les champs spécifiques dans votre navigateur lorsque vous vous connectez au service correspondant. 

\begin{comment}
\subsection{Et si vous n'êtes pas sous Linux... installer un antivirus}
Conseil: toujours analyser un périphérique de stockage amovible ou un fichier venu d’ailleurs avec votre logiciel antivirus pour éviter d’infecter votre ordinateur.

En plus d'un antivirus (comme Avast par exemple), il peut être utile d'installer un logiciel anti-espion qui permet de protéger votre ordinateur contre les fenêtres publicitaires, le ralentissement de la performance et les menaces contre la sécurité provoquées par des logiciels espions et d'autres logiciels indésirables. Exemple: Windows Defender (déjà intégré dans votre OS).

Dernier outil de protection: le pare-feu. Il protège votre ordinateur en bloquant les communications susceptibles d'être initiées par des logiciels malveillants essayant de se connecter à votre ordinateur. Un pare-feu est donc un logiciel qui vérifie les informations provenant d’Internet ou d’un réseau, puis les empêche d’accéder à l’ordinateur ou les y autorise, selon les paramètres de sécurité que vous avez définis dans le pare-feu. Concrètement le pare-feu permet d’empêcher à des pirates informatiques ou des logiciels malveillants d’accéder à l’ordinateur quand vous êtes connectés à un réseau informatique. 

\begin{figure}[h]
\centering
\includegraphics[scale=1]{/home/estelle/Documents/informatique/fifti/fichiers/miscellanees/images/pare-feu1.png} 
\end{figure}


Enfin, pensez à sauvegarder vos données! Sous Windows, vous pouvez automatiser la sauvegarde (menu Démarrer > Sauvegarder et restaurer).


\subsection{Faire preuve de prudence}
Cela passe par:
\begin{itemize}
\item effectuer des sauvegardes régulières: un des premiers principes de défense est de conserver une copie de ses données afin de pouvoir réagir à une attaque ou un dysfonctionnement. La sauvegarde de vos données est une condition de la continuité de votre activité.
% Voir: http://www.securite-informatique.gouv.fr/gp_article95.html

\item ne pas cliquer trop vite sur des liens: une des attaques classiques visant à tromper l’internaute pour lui voler des informations personnelles, consiste à l’inciter à cliquer sur un lien placé dans un message. Ce lien peut-être trompeur et malveillant. Phishing.

\item être vigilant avant d’ouvrir des pièces jointes à un courriel : elles colportent souvent des codes malveillants. Pour se protéger, ne jamais ouvrir les pièces jointes dont les extensions sont les suivantes : .pif ; .com ; .bat ; .exe ; .vbs ; .lnk.

\item contrôler la diffusion d’informations personnelles: l’internet n’est pas le lieu de l’anonymat et les informations que l’on y laisse échappent instantanément. Dans ce contexte, une bonne pratique consiste à ne jamais laisser de données personnelles dans des forums, à ne jamais saisir de coordonnées personnelles et sensibles (comme des coordonnées bancaires) sur des sites qui n’offrent pas toutes les garanties requises.

\item enfin, comme vous savez maintenant qu'il existe un compte administrateur, veiller à ne jamais l'utiliser pour naviguer: dans la majorité des cas, les droits d’un simple utilisateur sont suffisants pour envoyer des messages ou surfer sur l’internet. En limitant les droits d’un utilisateur on limite aussi les risques d’infection ou de compromission de l’ordinateur. 
\end{itemize}

Pour un TD: \url{eff.org} 

Pour les étudiants d'espagnol: faire une synthèse de l'article: \url{https://www.eff.org/node/96463}.

Pour les étudiants d'anglais: faire une synthèse de l'article: \url{https://www.eff.org/deeplinks/2017/06/understanding-public-closed-and-secret-facebook-groups}.

Pour les autres: faire une synthèse de l'article: \url{https://ssd.eff.org/fr/module/vous-prot%C3%A9gez-sur-les-r%C3%A9seaux-sociaux}

%Désactiver par défaut les composants ActiveX et JavaScript: les composants ActiveX ou JavaScript permettent des fonctionnalités intéressantes mais ils présentent aussi des risques de sécurité pouvant aller jusqu’à la prise de contrôle par un intrus d’une machine vulnérable. En dépit de la gêne que cela peut occasionner, il est conseillé de désactiver leur interprétation par défaut et de choisir de ne les activer que lorsque cela est nécessaire et si l’on estime être sur un site de confiance. 
%Voir: http://www.securite-informatique.gouv.fr/gp_article74.html

%http://www.bugbrother.com/security.tao.ca/index.html

%Bibliographie: Jean-Marc Manach, \emph{La vie privée, un problème de vieux cons?}, Fyp, 2009
%\tableofcontents

\begin{enumerate}
\item Combattre l'argument \og{}Je n'ai rien à cacher\fg{}: les paranoïaques ne sont pas où l'on croit.  Le problème réside dans l'impuissance et la vulnérabilité créées par une utilisation de données qui exclut la personne concernée de la connaissance. 
%D'où erreurs, abus, manque de transparence, déresponsabilisation. Le danger réside dans l'absurde d'une société oppressive (viser au prédictif où ce sont les machines qui constituent des graphes sociaux exploités par des États ou des organismes privées) qui détruit la confiance sociale. D'où inhibition, peur de critiquer, d'innover.
\item Rédaction des 13 principes fondamentaux sur l'application des droits de l'homme à la surveillance des connaissances.
\item Éduquer et responsabiliser les citoyens:
\begin{itemize}
\item  par une prise de conscience: elle a été rendue possible grâce à Edward Snwoden: il a notamment dévoilé des diaporamas de la NSA utilisés dans des conférences visant à présenter ce dont elle était capable: les listes d'entreprises cibles citées n'est donc pas exhaustive mais constitue seulement une liste d'exemples. Prise de conscience donc des dangers des réseaux sociaux et notamment de Facebook, \og{}la version post-moderne de la Stasi\fg{}, selon Julien Assange\footnote{Fondateur, rédacteur en chef et porte-parole de WikiLeaks.};
\item  par la promotion du logiciel libre.
\end{itemize}

\end{enumerate}

Un petit jeu pour aller plus loin: \url{http://www.lemonde.fr/vie-en-ligne/visuel_interactif/2014/07/03/jeu-echappez-a-la-surveillance-de-la-nsa_4449553_4409015.html}
\end{comment}

\end{document}