Dans un communiqué récent, la société NordVPN, spécialisée notamment dans les VPN (virtual private networks), mettait en garde les utilisateurs contre les risques auxquels ils exposent leurs données en ne prenant pas certaines mesures propres à limiter l’exploitation que peuvent potentiellement en faire les opérateurs Internet.

Face aux risques voire aux dangers que représentent la collecte et le “pistage” des données, quelles mesures l’internaute peut-il prendre pour s’en prémunir le plus possible? Voici comment NordVPN voit les choses.

Certes, nous ne pourrions profiter des avantages de l’Internet si les opérateurs Internet (en anglais ISP, Internet Service Providers) n’existaient pas. Toutefois, dans la mesure où ils contrôlent la totalité des activités connectées de chaque utilisateur d’Internet, les données de chacun et chacune de nous peuvent devenir vulnérables en cas de piratage ou de problème de sécurité.

On sait malheureusement que différents opérateurs Internet s’adonnent au pistage, à la collecte et même à la revente de données des consommateurs à des tiers ou les utilisent pour leurs propres besoins promotionnels. Certains opérateurs procèdent uniquement à un suivi des utilisateurs afin d’optimiser leurs services mais, eux aussi, sont obligés de partager leurs données si leurs autorités gouvernementales le demandent.

Aux Etats-Unis, Verizon a par exemple inséré des “supercookies” (voir petite terminologie en fin d’article) dans ses navigateurs mobiles afin de pouvoir surveiller les utilisateurs mobiles même lorsqu’ils n’utilisent pas les services Internet de cet opérateur. Suite à une enquête de la Federal Communications Commission américaine, Verizon s’est vu imposer une amende et a depuis lors accepté d’avertir les internautes de l’utilisation qu’il fait de cookies et de leur permettre de donner préalablement leur accord à l’activation de ce pistage sur leurs données.

Dans le monde, on relève également quelques exceptions. Telle l’opérateur Internet suédois Bahnhof qui adopte une position ferme en matière de protection de la vie privée des utilisateurs. Il refuse par exemple de se conformer aux lois sur la conservation des données et rejette toute demande de “flicage” proactif de ses utilisateurs au profit des détenteurs de droits d’auteur.

Toutefois, à l’exception de ce type d’opérateur progressiste, la plupart des usagers sont livrés à eux-mêmes lorsqu’il s’agit de faire face aux défis quotidiens que pose la protection de leur vie privée en ligne.

Les méthodes des opérateurs

Les opérateurs Internet ont recours à diverses méthodes pour assurer le traçage des données des utilisateurs.

Deep packet inspection (inspection approfondie des paquets). Ce type d’analyse permet à un opérateur Internet de scanner les paquets de données qu’un utilisateur envoie sur le Web. Elle sert généralement à la protection de l’utilisateur, dans des scénarios de vérification de présence de virus ou de priorétisation des données. Toutefois, elle peut également être utilisée pour enregistrer et revendre en vrac les données “anonymisées” des utilisateurs, ces données incluant leur localisation, nom, âge, historique d’achats, etc.

Source: Research and Markets

Surveillance de l’activité Internet. En de multiples occasions, les opérateurs Internet surveillent l’activité Web de l’utilisateur en vue de pister, enregistrer et stocker ses données. Il s’agit là d’une masse d’informations très lucrative pour toute société. Nombreux sont les opérateurs Internet qui collectent et revendent ces données à des entreprises de publicité.

Suivi de la géolocalisation de l’utilisateur par le biais de ses équipements mobiles. Les opérateurs Internet sont en mesure de localiser des équipements mobiles connectés à Internet et la manière dont ils sont utilisés et ce, tout au long de la journée, surveillant ainsi les déplacements des utilisateurs en temps réel.

Respect des lois sur la collecte des données. Une obligation de collecte des données émane des gouvernements. Les lois de conservation obligatoire des données varient d’un pays à l’autre mais la plupart obligent les opérateurs Internet à collecter et à stocker les données de leurs clients pour une longue durée. Lorsque de telles quantités de données sont collectées et/ou partagées, le risque existe inévitablement que des systèmes soient victimes de dysfonctionnement ou d’attaques de hackers. Ce faisant, d’énormes quantités d’informations personnelles concernant les individus échoient dans les mauvaises mains.

Sauf si leur prestataire Internet est de type progressiste – comme Bahnhof en Suède -, tous les utilisateurs Internet devraient s’informer au sujet des mesures élémentaires de sécurité à prendre pour préserver la confidentialité de leurs données.

Comment éviter la collecte et le pistage des données?

Plusieurs moyens existent, permettant de protéger sa confidentialité Internet. A savoir: éliminer régulièrement les cookies, installer un anti-virus et un logiciel anti-pistage et faire en sorte de ne jamais encoder de mot de passe personnel ou d’information de carte de crédit lorsque l’on utilise un réseau WiFi ouvert. La meilleure solution, pour s’assurer que toutes les informations que l’on partage sont chiffrées et demeurent privées, consiste à recourir à un VPN (Virtual Private Network).

Un VPN chiffre les données de l’utilisateur, les faisant transiter par un tunnel sécurisé avant d’accéder à Internet. Cela a pour effet de masquer l’adresse IP et donc de protéger toute information sensible concernant la localisation de l’utilisateur. Un VPN connecte l’utilisateur à Internet par le biais d’un chemin alternatif, autre que celui de l’opérateur. La seule information que verra ce dernier est le fait que l’utilisateur est connecté à un serveur VPN. Toutes les autres informations sont chiffrées par le protocole de sécurité du VPN.

Supercookie: il s’agit d’un cookie d’un genre un peu spécial, qui s’installe de manière permanente sur l’équipement de l’utilisateur et qui est plus difficile à détecter et à éliminer que ces cousins classiques. Comme eux, un “supercookie” collecte une foule d’informations, en ce compris l’historique de navigation, des informations d’authentification et des données de ciblage publicitaire.

Deep packet inspection (inspection approfondie des paquets): analyser du contenu d’un paquet réseau (paquet IP, le plus souvent), au-delà de l’en-tête, afin d’en tirer des statistiques et des informations en tous genres. Le but “vertueux” est de filtrer ces informations afin de détecter des intrusions, du spam mais aussi, et c’est là que les “dérapages” sont possibles, “tout autre contenu prédéfini”.  [ Retour au texte ]