Données personnelles: se protéger

C'est la méthode la plus efficace de nous identifier. Directe et volontaire, l'authentification s'effectue lorsque nous indiquons à un site Web qui nous sommes en y inscrivant nos identifiants. De cette façon, toutes nos interractions sur le site (mais aussi parfois sur d'autres sites) à notre identité.

Que faire ?

Que ce soit auprès d'une institution financière ou un médias socionumérique, il est souvent nécessaire de s'authentifier pour accéder à un service. Par contre, à l'ordinateur, on peut se déconnecter dès que nous avons terminé l'utilisation d'un service. Préféfable aussi d'utiliser un navigateur à part pour un service qui reste actif sur une longue période, comme un média socionumérique, et d'en utiliser un autre pour la navigation.

Avec un appareil mobile, il est préférable de déinstaller les applications que vous n'utilisez plus.

• Que se passe-t-il si vous cochez une case avec le message "Se souvenir de moi" (Remember Me ou Keep me logged in) ? Un témoin persistant (voir plus bas) viendra de plus se loger sur votre appareil.

• Est-ce une bonne chose que de s'authentifier sur un autre service à partir d'identifiants Google, Facebook ou autres ? Il peut être tentant de ne pas se créer un compte additionnel, se disant que nous en avons déjà bien assez comme ça. Par contre, créer un compte à part est une façon de compartimenter l'information, de contrôler ce que l'on transmet de nous à chacun des services. Ainsi, par exemple, en s'authentifiant avec Google sur un service, c'est aussi autoriser Google à colliger l'activité sur ce service.

Les témoins (cookies) sont de petits fichiers électroniques qui, lorsque nous accédons à un site Web, "viennent discrètement s’installer sur nos appareils pour collecter des données" (Le Numérique en question). Ces fichiers de quelques octets ne sont pas mauvais en soit, car ils permettent de personnaliser la navigation; par exemple de garder en mémoire vos préférences (linguistiques, géographiques, etc.) ou des articles sélectionnées dans un panier d'achat. Par contre, ils peuvent aussi servir à vous pister d'un site à l'autre, à identifier vos habitudes et intérêts pour fins de publicité ciblée.

• Pour en apprendre plus sur les témoins : un article du Laboratoire d'Innovation Numérique (CNIL) et un article de La Quadrature du Net.

On retrouve différents types de témoin; voici les principales catégories (qui se combinent) :

- Selon la provenance :

• Les témoins de site (first-party cookies) sont créés par le site que vous visitez et ont plusieurs utilités, par exemple se rappeller de vos préférences et paramètres. Risque : faible
• Les témoins-tiers (third party cookies) appartiennent à des entreprises extérieures au site visité (Google, Facebook, courtier de données, etc.). Ils sont plus problématiques, car ils servent essentiellement à des fins de pistage. Pour comprendre, un article du Laboratoire d'Innovation Numérique de la CNIL et un article de La Quadrature du Net. Risque : élevé

- Selon la durée :

• Les témoins temporaires (session cookies) servent pour des besoins à courts termes, par exemple remplir un panier pour des achats en ligne, et s'efface d'eux mêmes à la fermeture du navigateur. Risque : faible
• Les témoins persistants (persistant cookies) restent sur votre appareil après la fermeture du navigateur, permettant de suivre votre navigation, non seulement sur le site d'origine, mais aussi sur tous les autres sites qui recourent au même témoin persistant. Ils s'effaceront après un certain temps selon ce qui a été déterminé (quelques semaines ou quelques mois?). Risque : moyen

- Selon l'objectif :

• Les témoins nécessaires : apportent diverses fonctionnalités essentielles à la navigation sur le site; habituellement des témoins temporaires du site. Risque : faible
• Les témoins de préférence : servent à garder en mémoire vos choix de préférences (linguistique, géographique, etc.) et vos identifiants pour ne pas avoir à les réinscrire à nouveau lors de la prochaine visite. Risque : faible
• Les témoins de statistique : recueillent par le propriétaire du site Web des informations sur la façon dont vous l'utilisez, comme les pages visitées et les liens sur lesquels vous avez cliqué. À des fins d'amélioration, les données recueillies sont généralement agrégées et anonymisées. Risque : faible
• Les témoins pour le marketing : servent à suivre votre activité en ligne à des fins publicitaires. Il s'agit de témoins persistants provenant presque toujours de tiers qui pourraient "partager" (c'est-à-dire vendre) ces informations à d'autres entreprises. Risque : élevé

Comment savoir si un site utilise des témoins pour vous pister ?

• Blacklight est un outil Web créé par l'organisme journalistique The Markup. En inscrivant une adresse Web (URL), on obtient la liste détaillée des témoins et autres méthodes de pistage. Il est aussi possible d'installer une extension sur notre navigateur pour les connaitre et les contrôler.

Que faire ?

Plusieurs méthodes existent pour limiter le pistage par témoins; voici les principales :

• Le choix du navigateur : Certains navigateurs offrent plus de protection que d'autres par défaut; certains permettent de bonifier la protection par la modification de paramètres.
• Supprimer les témoins : Tous les navigateurs permettent de supprimer les témoins enregistrés (voir dans les paramètres).
• Ajout d'extensions : Sur un ordinateur, on peut généralement munir les navigateurs d'extensions pour contrôler/bloquer l'enregistrement de témoins ou de les détruire.

• Les paramètres du site : En y accédant pour la première fois, certains sites (surtout européens en raison d'une législation plus sévère qu'au Canada) permettent de choisir les témoins que l'on souhaite activer. On peut ainsi "tout accepter", "paramétrer" (sélectionner les témoins que l'on veut activer), voir "continuer sans accepter" les témoins (mais il faut parfois être attentif pour repérer ce bouton discret). Par exemple, voici ce qui apparaît en accédant au site de L'Obs :

NB : Bloquer tous les témoins empêche parfois le chargement complet d'une page web.

Le pistage par empreinte numérique unique (canvas fingerprinting) est une technique visant à identifier statistiquement un internaute à l'aide d'un algorithme par son unicité.

Lorsque nous accédons à un site Web, notre appareil entre en conversation avec le serveur hébergeant le site Web. De l'information est ainsi échangé : notre appareil reçoit de l'information quant au contenu de la page consultée (texte, images, etc.) et le serveur reçoit de l'information sur nous : le système d‘exploitation, l'heure de l'horloge, le navigateur et ses extensions, la carte graphique, les polices de caractères installées, la préférence de langue, les dimensions de votre écran, etc.

À la manière d'une empreinte digitale, on peut ainsi dresser un portrait plus ou moins unique par la combaison de tous ces éléments. Plusieurs recherches (dont celle-ci) ont démontré l'efficacité de cette méthode, même lorsque qu'un utilisateur change de navigateur.

Mon empreinte numérique est-elle unique (ou quasi unique) ?

Deux outils web pour évaluer le niveau d'unicité de votre appareil et de votre navigateur :

• Cover Your Tracks (créé par Electronic Frontier Foundation)
• Am I Unique

Que faire ?

La tâche est ardue, car il y a beaucoup de variables... néanmoins sur un ordinateur :

• Modifier les paramètres du navigateur pour bloquer le pistage par empreinte numérique unique.
• Éviter l'ajouter de polices de caractères autres que celles par défaut.
• N'installer que des extensions que vous utilisez.
• Certaines extensions permettent de bloquer le pistage par empreinte numérique unique, d'autres de tromper (spoofing) un site web en prétendant utiliser un autre navigateur et un autre système d'exploitation que ceux réellement employés.
• L'utilisation du navigateur Tor ou d'un réseau privée virtuel (RPV) (VPN ou virtual private network en anglais) permet de tromper (spoof) l'adresse IP du réseau que vous utilisez.