Pinned post

Sur ce compte je donne des conseils pour cacher ses traces, échapper à la surveillance, se libérer des gros agrégateurs de données, et d’autres choses encore.

Prévention individuelle : privilégier le 2FA quand il existe, pas simple sinon.

Prévention collective : ne pas laisser créer des sites aussi mal sécurisés qu’un simple SMS suffit à changer les accès.

Show thread

Le SIM swapping : un escroc qui possède des donnée personnelles sur vous (nom, date naiss, adresse, n° tél) appelle votre opérateur pour demander d’annuler votre carte SIM au profit de la sienne.

Vos SMS arriveront désormais chez lui. Ça lui permettra de réinitialiser vos comptes et confirmera les changements de mot de passe par SMS.

Méfiez-vous des grosses imprimantes en réseau dans les entreprises.

Elles contiennent un disque dur où est stocké une copie de tout document photocopié, scanné ou imprimé.

On peut très facilement retrouver le contenu et remonter à la personne qui a lancé l’impression.

Si vous n’avez pas d’autre choix que de passer par un tel appareil, une parade partielle : glissez la page litigieuse au milieu d’un gros document anodin.

Méfiez-vous des grosses imprimantes en réseau dans les entreprises.

Le nom d’un fichier envoyé vers l’imprimante réseau peut en dire long sur son contenu. Vos collègues, votre patron ont potentiellement accès à la liste des documents en attente, ou pourraient tomber sur le log détaillé que certaines machines impriment automatiquement en fin de journée.

Renommez le fichier en un nom anodin qui n’éveillera pas les soupçons.

Votre numéro de téléphone est souvent la clé primaire qui vous identifie de plein de sociétés.

Changer de numéro de téléphone peut aider à brouiller les pistes.

Mais pas pour les gouvernements : la localisation du signal et les numéros appelés restent les mêmes.

Ça marche mieux s’il y a une rupture dans votre mode de vie à ce moment : déménagement + fréquentation d’autres personnes.

Les cryptolockers (ransomware, en anglais) cherchent désormais à s’attaquer à vos backups en plus de votre disque dur.

C’est logique car si votre backup est intact vous n’aurez pas besoin de leur payer la rançon.

Il faut dès lors toujours s’assurer que votre backup n’est pas aisément atteignable depuis votre session utilisateur. Si c’est dans le cloud il faut des droits distincts. Un DD externe – débranché – est une option à privilégier.

Moins efficace mais à la rigueur, si vraiment rien d’autre n’est possible. Encore deux trucs:

[1] Chez certains fournisseurs, on peut intégrer un suffixe dans l’e-mail:

jean.dupont+tor@example.com

(le signe + et tout ce qui vient après est ignoré, ça vous permet d’en créer à l’infini)

[2] Chez GMail (entre autres), les points sont ignorés. On peut alors s’inscrire en tant que

jean.dupont@gmail.com
sur un site et

je.andu.pon.t@gmail.com
chez un autre.

Show thread

De nombreux sites utilisent votre adresse e-mail comme identifiant.

Le risque vient du recoupement entre les bases de données de plusieurs sites. On peut retracer vos vies/centres d’intérêts/connaissances.

C’est le cas pour quand ils fusionnent ou revendent leurs données mais aussi quand ils se font pirater.

Parade possible : ouvrir plusieurs boîtes e-mail, chez des fournisseurs différents pour segmenter au maximum vos activités en ligne.

Une en croissance : le faux e-mail de l’agence immobilière vous proposant un deal rapide et vous donnant un numéro où verser les fonds.

de l’agence immobilière ou escrocs bien renseignés sur votre achat imminent. Un bon moyen de perdre de grosses sommes d’argent.

Parade : méfiez-vous si une proposition arrive par e-mail et appelez au téléphone pour être sûr.

Si j’appelle https.//example.com/manif-du-10

0) À condition que le site ait du solide (TLS 1.2 ou 1.3) + pas de spyware en local.

1) Votre FAI/Le gouv. → voient que vous allez sur example.com. Pas plus.

2) Le sysadmin de example.com voit dans ses logs votre IP et la page demandée.

3) Les données entre vous et example.com sont chiffrées.

4) Votre navigateur conserve l’historique (liste des URL), des cookies et certaines pages/images en cache → à vider régulièrement.

Il est toujours utile de créer une adresse e-mail sous un faux nom chez un provider gratuit. Pour les inscriptions à des services, pour donner à la caisse d’un magasin, etc.

Mieux encore : plusieurs adresses différentes. Sinon, par recoupement, il sera très facile d’identifier la personne en fonction des contenus auxquels elle est abonnée. Brouillez les pistes au maximum.

Méfiez-vous de ce que les sites racontent sur les données personnelles.

S’ils collectent vos données médicales, ils affirmeront peut-être qu’« ils ne partagent pas vos données ».

Donc, pas de : « Le BMI de monsieur X vaut 27,3. »

Mais peut-être qu’ils vendront une _analyse_ des données à une compagnie d’assurance ou à des employeurs, du genre : « Monsieur X est un gros lard en surpoids, il fait partie des personnes à risque. »

Les mots ont un sens.

Si vous publiez en ligne une histoire vous concernant (p.ex. un forum d’aide, surtout pour des sujets en rapport avec la psychologie, la santé, la sexualité ou autre), sachez qu’une personne de votre entourage pourrait savoir que c’est vous, rien que par certains détails de l’histoire.

Ayez le réflexe de brouiller les pistes : ne donnez pas trop de détails (lieux ou date de certains faits) s’ils ne sont pas critiques pour le récit. À la rigueur, inventez d’autres détails…

Le numéro de téléphone d’une personne est toujours une donnée confidentielle.

Si quelqu’un vous réclame le numéro d’une de vos connaissances, qu’il affirme avoir reçu mais qu’il aurait perdu, soyez méfiants.

Il est plus sûr de lui demander son numéro et de le transmettre à votre ami/amie.

Si vous lancez des impressions via le réseau de votre entreprise, ayez le réflexe de renommer le document au préalable.

Car retrouver "flyer-manif.pdf" dans le log de l’imprimante, ça fait mauvais genre. Donnez plutôt un nom anodin qui passera inaperçu.

Avantage de s’inscrire sous un faux nom à des services en ligne : leur manipulation psychologique consistant à indiquer votre nom dans le sujet d’un mail ne fonctionnera pas sur vous.

Dans les newsletter, les liens vers des sites utiles sont quasiment toujours assortis, à la fin de l'URL d’une longue chaîne de caractères qui permettra au propriétaire du site de voir que VOTRE compte lit la newsletter et sur quels liens vous avez cliqué.

Toujours prendre le réflexe de ne pas cliquer sur le lien pour l’ouvrir directement. À la place, copier l’URL et la nettoyer pour virer la chaîne de tracking.

Vos clés privées ne doivent jamais se balader sur Internet. Utilisez toujours des outils locaux.

Exemple : un service comme celui-ci (port25.com/dkim-wizard) qui propose de vous « faciliter la vie » est potentiellement une menace.
Ceux qui génèrent la clé pourraient, s’ils le souhaitent, garder une copie (ici pour envoyer des mails venant prétendument de votre serveur).

La nouvelle tendance de la surveillance des États : déterminer vos habitudes de vie (« elle sort chaque samedi à telle heure dans tel quartier »).
Du coup, tout ce qui diffère de votre routine vous rend suspect. Couper son téléphone encore plus.
Va falloir réfléchir à laisser son téléphone allumé à la maison quand on se promène quelque part. Ou à s’échanger régulièrement les cartes SIM entre potes.

Les bars dans les quartiers de bureaux des grandes villes regorgent de gens qui laissent traîner leurs oreilles à l’affût d’infos croustillantes sur les projets de votre entreprise (« on travaille sur tel projet de loi », « on a décidé d’octroyer le marché à telle firme », etc.). Faites toujours preuve de prudence quand on peut vous entendre.

Show older
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!