Sur Internet aussi sortez couvert - Adrian Gaudebert

Adrain gaudebert

Titre : Sur Internet aussi sortez couvert !
Intervenant : Adrian Gaudebert
Lieu : 18es Journées du Logiciel Libre - Lyon
Date : Avril 2017
Durée : 1 h 01 min 52
Visionner la vidéo
Diaporama support de la présentation
Licence de la transcription : Verbatim
NB : Transcription réalisée par nos soins.
Les positions exprimées sont celles des intervenants et ne rejoignent pas forcément celles de l'April.

Description

Quand on n’y connaît rien, il est parfois difficile de naviguer en sécurité sur le Web. Quels sont les dangers les plus courants ? Comment savoir si l’on est en sécurité ou pas ? Protéger ses comptes, créer de bons mots de passe, détecter les arnaques, identifier une connexion sécurisée… Au travers d’exemples et de conseils, nous vous aiderons à sécuriser vos données et à protéger votre vie en ligne.

Cette conférence s’adresse au grand public. Afin que les enjeux des solutions proposées soient bien compris, on expliquera de manière accessible les principes fondamentaux de l’Internet et du Web. Chaque gros mot (terme technique, acronyme… ) sera clarifié. Vous ressortirez de la conférence avec des clés pour mieux vous protéger sur le réseau Internet.

Parce que, n’oubliez pas, sur Internet comme dans la vie, il faut sortir couvert !

Transcription

Parfait. En introduction, les Schoko-Bons qui sont ici sont une forme de récompense pour toutes les questions pertinentes que vous allez poser. Une question pertinente= un Schoko-Bon. L’objectif étant que vous ne me laissiez pas atteindre la fin de ma conf parce que je n’ai pas fini mes slides. D’accord ! Donc je compte sur vous ! En plus c’est traître, ils m’ont laissé déborder, il n’y a personne après moi.

Bonjour. On va parler d’Internet et d’utilisation d’Internet. Comment faire pour que sur Internet on puisse surfer sans problème, sans se faire arnaquer, sans perdre ses données, etc. On va voir un peu tout ce qu’il y a comme problèmes qu’on peut avoir sur Internet.

Je m’appelle Adrian. Premier disclaimer, je suis employé par Mozilla, que vous connaissez peut-être, c’est l’entreprise qui fait Firefox, le navigateur, donc il est possible que je sois un petit biaisé dans mes opinions. Mais je vous assure que je fais tout ça avec bonne foi et que ce que je vous dis, j’y crois, fondamentalement.

Internet, c’est un truc vachement cool, c’est un outil fantastique et hyper complexe qui permet de faire plein de trucs, mais c’est aussi un outil, comme tous les outils complexes, qui peut s’avérer dangereux si on ne fait pas attention à ce qu’on fait.

Il y a une analogie que j’aime bien faire et qui est un petit peu tirée par les cheveux, mais que je vais vous faire quand même : aujourd’hui, on vous donne des ordinateurs, on vous donne des téléphones portables, on vous donne des accès à Internet et on vous dit : « Allez-y, c’est cool ! Utilisez Internet, c’est top ! » Je trouve que c’est un petit peu comme si on vous filait une bagnole et qu’on vous dise : « Allez-y c’est cool ! Voilà ! Les pédales ça marche comme ça, le levier de vitesse c’est bien, et hop, c’est bon ! Roulez jeunesse ! » Bon ! En vrai, si on faisait ça, il y aurait des vrais problèmes sur la route, on aurait des accidents tout le temps, etc. On ne peut pas juste prendre une voiture, apprendre comment marchent les pédales et les leviers, etc., et partir sur la route avec. Il y a un minimum de formation, il y a un permis de conduire, il y a un code de la route, etc.

Tout ça, ça n’existe pas pour Internet aujourd’hui. Il n’y a pas de formation, il n’y a pas de permis d’aller sur le Net, etc. Je pense que c’est un problème, personnellement, et malheureusement, tant que ça n’existe pas, eh bien il faut que des gens le fassent, en fait, se réapproprient ça. C’est exactement ce que moi j’essaye de faire aujourd’hui ; c’est ce que font pas mal d'autres gens, notamment aux JDLL [Journées du logiciel libre], aux Expériences numériques qui ont lieu ici aussi, de temps en temps.

On va parler d’Internet, on va parler des divers problèmes qu’on peut avoir sur Internet et je vais essayer de vous montrer comment on peut s’en prévenir, en fait. On va parler un petit peu de sécurité, la sécurité de vos données notamment. On va parler un petit peu des arnaques. Si vous n’arrivez pas à lire, il y a marqué : « Les impôts veulent rembourser un trop perçu. Je ne vois pas où est le problème ? ! » Et quelqu’un qui répond : « Le problème c’est qu’on n’en paye pas, Raymond ! » Et on va parler de vie privée, gros sujet, vous avez peut-être vu, il y a pas mal de confs sur ce sujet-là, notamment pendant les JDLL.

Première petite chose, ça va être bordélique comme conf, je vous préviens tout de suite ; j’espère qu’il y a une logique, mais s’il n’y en a pas ce n’est pas grave. Et deuxième chose, l’important c’est que vous compreniez ce que je dis, donc n’hésitez pas à m’interrompre, les Schoko-Bons sont là pour ça. Toutes les questions sont pertinentes, en fait. Je vois qu’il y a des gens qui sont un petit peu connaisseurs dans la salle, des gens qui sont bien meilleurs que moi dans les sujets sur lesquels je vais parler. C’est une conf grand public. Je vais dire des choses qui ne sont pas forcément vraies — je parlais à toi Stéphanie — ne me reprenez pas sur le coup, gardez ça pour après. Par contre, les autres, s’il y a un truc que vous ne comprenez pas, j’emploie un terme technique qui ne vous revient pas, arrêtez-moi, je prendrai le temps d’expliquer, c’est ça qui est important.

Première petite chose. On parle beaucoup d’Internet et du Web et on utilise les termes, on intervertit un peu les termes comme ça nous chante. Internet et le Web ce n’est pas la même chose. J'avais un petit jeu, je me souviens, j’avais fait un petit Questions pour un champion, mais j’ai oublié de le faire ce coup-ci, c’est dommage. Qui connaît la distinction entre Internet et le Web dans la salle, levez la main. Si vous savez qu’il y a une distinction, déjà dans un premier temps, et laquelle ? D’accord, c’est déjà pas mal.

Alors Internet c’est un réseau. Internet ce sont des machines qui communiquent entre elles. Le Web, c’est une application qui utilise ce réseau. En fait il y a plein d’applications qui utilisent le réseau internet. Quand vous faites du Skype part exemple, c’est une application, ce qu’on appelle de voix sur IP, qui utilise le réseau internet. Quand vous envoyez de e-mails, ça peut passer via le Web, mais ça reste une application complètement séparée.

Donc Internet, j’y reviens plus tard comment ça marche tout ça.

Le Web ça s’accède visa un navigateur. Vous utilisez tous ce navigateur, je suis sûr ; si ce n’est pas le cas, changez !

Public : Pourquoi changer ?

Adrian : Pourquoi changer ? Excellente question. Bravo ! Premier Schoko-Bon. Ça c’est Firefox, très beau logo, [complètement bleu, pourquoi est-ce que, merci, ouais sûrement, impec]. Firefox1 donc par la fondation Mozilla. Pourquoi changer pour Firefox ? Firefox c’est aujourd’hui le seul navigateur un petit peu sérieux et en compétition directe avec les autres gros navigateurs du marché que vous connaissez peut-être à savoir Chrome et Edge, anciennement Internet Explorer, le petit « e » bleu qui est livré avec Windows. C’est le seul qui est libre et qui est développé par une fondation à but non lucratif. Mozilla est une entreprise, mais entièrement détenue par une fondation américaine à but non lucratif. Donc on n’a pas d’actionnaires, on ne travaille pour revendre vos données, etc. On est vraiment une entreprise qui est respectueuse des utilisateurs.

Techniquement il y a très peu de différences entre les trois gros, aujourd’hui, qui sont Firefox, Chrome et Edge, si ce n’est des préférences personnelles et vraiment le cœur du problème se situe sur la question du respect de votre vie privée en tant qu’utilisateur.

Public : Donc si le mien ce n’est pas Chrome et qu’il fait la même chose ?

Adrian : Très bien, mais dans ce cas, tu n’es peut-être pas à ta place dans cette conférence. Pour télécharger Firefox, très simplement, vous allez sur mozilla.org ; ça ressemble à ça, vous avez un petit bouton — je ne suis même pas allé vérifier, si ça se trouve ça ne ressemble plus du tout à ça, mais ce n’est pas grave. Téléchargez Firefox depuis le site de Mozilla. Il y a énormément de sites qui proposent de télécharger Firefox ; il vaut mieux le prendre depuis le site de Mozilla, parce que souvent ce sont des sites qui vous rajoutent des petits trucs pas gentils avec.

Public : Je peux le prendre depuis mes dépôts ?

Adrian : Oui. J’avais dit que c’était interdit les questions comme ça ! Firefox c’est la première brique qui permet d’accéder au Web. Je vous en parle pour ça parce que dans la suite de la conférence je vais vous recommander des extensions que vous pourrez installer dans votre Firefox pour sécuriser votre navigation.

On va commencer à parler de dangers.

Le premier des dangers qu’il y a sur Internet, c’est que vous avez des données, vous avez un ensemble de données et vous avez un ensemble de valeurs, même. Quand vous allez sur Internet, vous avez une identité déjà, premièrement. Vous avez une adresse e-mail, vous avez un compte Facebook, vous avez un ensemble de données qui constituent une ou plusieurs identités qui vous sont propres.

La première chose qui peut vous arriver, c’est que vous vous fassiez voler votre identité, donc que quelqu’un vous la vole, se fasse passer pour vous auprès de vos amis, de vos proches, etc., et en profite pour acquérir des données, acquérir des choses personnelles, etc.

Vous avez des données bancaires, évidemment, vous utilisez votre Carte Bleue en ligne. Quand vous utilisez votre Carte Bleue en ligne, les serveurs, les sites sur lesquels vous l’utilisez, stockent ces données bancaires. Si des gens arrivent à les récupérer, paf, ils peuvent payer des choses, s’acheter des choses avec votre argent à vous.

Et puis vous avez tout un ensemble de données personnelles : vos photos, où vous partez en vacances, la géolocalisation de votre téléphone qui vous suit globalement partout, etc., qui sont aussi des données qui sont importantes et qu’on peut exploiter pour vous faire du mal par exemple.

Parmi toutes ces données personnelles, il y en a une que je voulais mettre en valeur, c’est ce qu’on appelle le graphe social, parce qu’elle est souvent négligée. Le graphe social, ce sont les gens avec qui vous interagissez, ce sont les gens qui vous entourent. Typiquement, sur Facebook, c’est votre liste d’amis. Ça, ça a énormément de valeur, parce que même si vous vous n’avez rien à cacher, les gens que vous fréquentez, eux, ont peut-être intérêt à ce qu’on ne sache pas que vous êtes amis, que vous échangez des choses. Vous pouvez tout à fait vous retrouver également à fréquenter des gens, sans savoir que, par exemple, ils ont une activité terroriste, que ce sont des criminels, etc. Donc le graphe social c’est vachement important dans qui vous êtes et pas forcément sans que vous le sachiez.

Le mot de passe ?

Premier levier pour se sécuriser sur Internet. On va parler de mot de passe.

Vous connaissez cette scène ? Ou pas ? Ça vous parle ou pas ? C’est dans Harry Potter c’est le portrait de la grosse dame, qui demande les mots de passe.

Le mot de passe, c’est généralement le truc sur lequel les attaques sont les plus faciles, parce qu’une fois qu’on a piqué votre mot de passe, on a accès à vos données, on peut faire à peu près tout ce qu’on veut dessus. La pire chose qui puisse m’arriver, moi personnellement aujourd’hui, dans ma vie en ligne, c’est qu’on me pique le mot de passe de mon adresse e-mail, à partir de laquelle on peut récupérer absolument tout le reste de mes données.

Il y a un moyen très simple de ne pas trop se faire piquer son mot de passe, c’est de faire des bons mots de passe et de respecter quelques règles.

  • La première c’est de ne rien mettre de personnel dans votre mot de passe. Pas de trucs qui soient trop faciles à deviner, notamment pour des gens qui vous connaissent ou qui peuvent accéder à des données vous concernant.
  • Deuxième chose, changer régulièrement. Ça c’est un truc qu’on conseille souvent ; je ne suis pas forcément d’accord avec ça. Parce qu’à partir du moment où vous avez un bon mot de passe, et que vous n’utilisez pas le même mot de passe sur chacun des sites sur lesquels vous êtes, changer hyper régulièrement ce n’est pas forcément très intéressant. Changer ça reste bien, une fois de temps en temps, tous les deux/trois ans.
  • Cacher les copies. Il y a malheureusement beaucoup de gens qui, comme ils oublient leurs mots de passe, les écrivent dans un petit carnet par exemple ; peut-être que vous faites ça. Idéalement, il ne faut pas le faire, du tout ! Si vous ne pouvez pas vous souvenir de vos mots de passe, il y a des solutions pour faire ça, je ne vais malheureusement pas en parler aujourd’hui, mais les managers de mots de passe, j’ai oublié le terme technique, si tu peux me le redire, les gestionnaires de mots de passe, voilà. Il y a pas mal de logiciels qu’on appelle des gestionnaires de mots de passe, qui remplacent le petit carnet, sauf que c’est bien plus sécurisé que d’avoir un carnet posé sur son bureau.
  • Public : Ils sont protégés quand même par un mot de passe.

    Adrian : Ils sont protégés par un mot de passe, mais du coup il n’y a plus qu’un mot de passe à retenir, c’est quand même plus rapide.

    Public : Si on l’oublie, on perd tout.

    Adrian : Ah oui ! Si vous oubliez le mot de passe principal, oui effectivement, là c’est plus difficile. On va revenir dessus.

  • Des caractères spéciaux dans les mots de passe c’est vachement bien, essayez de faire des mots de passe un peu compliqués. [Je n’aurais pas dû mettre ça là, j’aurais dû mettre ça après].
  • Ça c’est plus important : un mot de passe c’est CONFIDENTIEL : on ne partage pas un mot de passe, même avec sa moitié, même avec ses parents, même avec sa petite sœur qu’on adore. Un mot de passe ça doit rester le vôtre, unique, tout le temps, et ça ne doit pas changer.
  • Public : Donc si on le partage sans faire exprès, on le change derrière !

    Adrian : Ouais, toujours. Si vous avez un doute, changez de mot de passe, toujours.

Phrase de passe

On parle de mot de passe, en fait on devrait arrêter un petit peu de parler de mot de passe c’est au singulier, ça implique qu’il y a un seul mot et, finalement, il faudrait qu’on commence à parler de phrase de passe. Plutôt que d’écrire des mots, écrivez des phrases, avec des espaces au milieu. J’ai quelques exemples de mots de passe qui sont à peu près sécurisés. Ça c’est à peu sécurisé [journées desl0g1c13ls kool], d’après un site en particulier. Il y a des caractères spéciaux, des espaces, des chiffres à la place des lettres et des mots qui n’existent pas dans le dictionnaire. Ça c’est juste parce que ça me fait rire [mer ou é donk ornikarre?]. En fait, l’intérêt des phrases de passe c’est que ça vous permet de faire des trucs assez mnémotechniques : mais où et donc or ni car, journées des logiciels libres, par exemple, et le dernier c’est mon préféré j’avais un ami, mais il est parti [J’avé zun ami maizilé parti]. Oui !

Public : On peut mettre des espaces ?

Adrian : Oui absolument. Il y a des sites qui refusent les espaces. Si vous tombez sur un site qui refuse les espaces, je vous encourage à ne pas utiliser ce site, ça veut dire qu’il est très mal codé et que ce n’est pas bien du tout. Schoko-Bon ; c’est pour vous, Hop ! Pardon ! Je suis très mauvais lanceur.

Public : Des phrases. Des fois tu n’as pas le choix.

Adrian : Oui bien sûr.

Public : Inaudible… qui est fait pour mettre des trucs, eh bien du coup, tu ne peux pas faire de phrase, ni d’espaces. Ils t’obligent à ne mettre que des chiffres.

Adrian : Voilà. Des fois tu ne peux pas le faire. Les sites bancaires, notamment, généralement n’utilisent que des chiffres pour le faire.

Public : Tout à l’heure vous avez dit que ces mots de passe sont sécurisés. Ça veut dire que je vais utiliser les trois que vous avez montrés-là et comme ça je sais que c’est sécurisé ?

Adrian : Oui. Absolument.

Public : Même si ce n’est pas moi qui les ai mis ?

Adrian : Ils sont publics, ils sont disponibles sur des slides. Non ! N’utilisez pas ces mots de passe-là. Ce sont des exemples.

Public : Ils ne sont pas sécurisés.

Adrian : Ceux-ci ne sont pas confidentiels, exactement, absolument. Il y a des outils qui vous permettent de vérifier à quel point un mot de passe est… Oui, je vous écoute.

Public : On donne le mot de passe au site !

Adrian : Il ne faut pas donner le mot de passe en particulier, mais c’est un très bon moyen de vérifier à quel point une structure de mot de passe est bonne. Ça c’est un très bon outil2 pour voir. Tiens ! On va faire un petit sondage. Qui parmi vous a plus d’un mot de passe ? Ça c’est déjà super. Qui parmi vous utilise des mots de passe de plus de 8 caractères ? Ce n’est pas mal, un petit peu moins, mais c’est déjà bien. Très bien. Qui parmi vous utilise déjà des phrases de passe. OK, super ! Eh bien les autres vous savez ce qui reste à faire !

Ça c’est juste un outil pour vérifier, pour voir ; si vous mettez toto dedans, cracker un mot de passe comme toto ça prend un pouillème de seconde pour un ordinateur aujourd’hui. Ça c’est un screenshot que j’ai fait, je ne sais plus ce que c’était celui-là, mais je sais que j’ai testé tout à l’heure le dernier là, celui-là [J’avé zun ami maizilé parti], il m’a dit que ça prenait à peu près 500 trillions d’années ou un truc comme ça. C’est un site qui n’a pas vocation à dire exactement ce que ça fait mais c’est un bon indicateur pour voir à quel point un mot de passe ; aujourd’hui, un mot de passe trop simple va être très facilement crackable, un mot de passe comme ça, vas-y !

Public : Tu sais ce que ça utilise comme méthode de brute force [force brute] pour le cracker ?

Adrian : Celui-là non.

Public : Est-ce que ça prend en compte les dictionnaires et tout ça ?

Adrian : Ça prend en compte les attaques par dictionnaire, ça je suis à peu sûr et après ça prend aussi les attaques par entropie. Donc ça a aussi calculé l’entropie.

Public : OK ! Sur les modes d’attaque actuels.

Adrian : À priori. Évidemment, ça c’est un outil qui est valide au vu des technologies qu’on a aujourd’hui. Il est possible que dans un an, dans dix ans, on ait des découvertes des technologies qu’on n’imagine pas aujourd’hui et qui vont rendre ça complètement obsolète, qui vont faire que les mots de passe ne vont plus du tout être sécurisés.

Arnaques en ligne

Deuxième point, deuxième vecteur d’attaque, les arnaques en ligne.

Qu’est-ce que j’ai mis après ? Un exemple que j’aime bien : vous recevez un e-mail de la République française, qui vient du site des impôts français, comment ça s’appelle, dgfip.finances.fr, dans lequel on vous dit que vous êtes admissible à recevoir un remboursement d’impôts de je ne sais pas combien d’euros. Ça c’est top ! Quand on reçoit ça on se dit ouais c’est cool ; l’État me doit de l’argent, c’est génial ! Ça change. Ils disent de cliquer sur un petit lien pour aller remplir un formulaire dans lequel vous allez donner votre RIB, votre numéro de Carte Bleue, etc., pour pouvoir récupérer l’argent. Ça, c’est ce qu’on appelle du phishing, entre autres. Il y a plein de formes d’arnaques en ligne comme celle-ci et il y a moyen de les détecter assez facilement.

Je ne sais pas si vous voyez là c’est écrit tout petit, mais sur lien qui est ici, dans l’e-mail qui dit « cliquer ici », l’adresse vers laquelle ça renvoie n’est pas du tout une adresse du site des impôts [http://www.capitalhouse.com.mx/.secure].

Alors on va commencer à parler de gros mots. Je vais utiliser le terme d’URL. J’ai utilisé adresse juste avant ; l'URL c’est une adresse sur le Web. C’est donc une chaîne de caractères qui permet d’accéder à un site web. C’est ce que vous retrouvez dans la barre d’adresse de votre navigateur. Donc là, par exemple, sur le site de mozilla.org, toute cette partie-là https://www etc., tout ça c’est ce qu’on appelle l’URL, donc c’est l’adresse qui permet d’accéder à cette ressource-là sur le Web. Oui !

Public : Pourquoi quand on accède à un site via une appli, type appli Facebook, ça nous renvoie vers, je ne sais pas, un site, eBay par exemple. Ça ne nous met pas l’URL d’eBay, ça nous met une URL pleine de chiffres, pleine de trucs, de machins.

Public : Sur Google aussi.

Adrian : Il y a deux trucs ; il y a soit les raccourcisseurs d’URL, en fait, qui sont nés avec Twitter qui a une restriction sur le nombre de caractères dans les messages. Donc les gros URL qui font 100 caractères, ça veut dire qu’il ne vous reste plus que 40 caractères sur les 140 que permet Twitter. Sinon, l’autre truc, notamment via Facebook et Google aussi sur leur page d’accueil, quand vous cliquez sur un lien dans les résultats de recherche de Google, ça ne vous emmène pas directement, ce n’est pas un lien vers le site lui-même. C’est un lien vers un autre service de Google, qui fait une redirection vers le site, derrière, qui fait une redirection transparente. Normalement c’est tellement rapide que vous ne vous en rendez absolument pas compte. Sauf qu’ils font ça pour calculer, pour compter le nombre de personnes qui cliquent sur leurs liens, etc. Dans le cas de l’application Facebook, je n’en ai aucune idée, mais je suppose que ce sont des mécanismes un peu similaires ; ou alors c’est une autre forme de redirection transparente.

Public : Dans Gmail aussi il y a une redirection ; il y a l’adresse Google.

Adrian : Dans tout Google. Dans tout Google, dès qu’il y a un lien, il y a mécanisme comme ça.

Public : Comment est-ce qu’on peut savoir si l’adresse qu’ils nous envoient, l’URL vers laquelle on va être redirigé, c’est sécurisé, est la bonne ?

Adrian : On ne peut pas !

Public : Quand on va sur Orange, Orange après il nous renvoie sur un autre site pour récupérer notre mot de passe, etc. Il nous renvoie encore sur un autre site en fonction de…, on ne peut pas suivre !

Adrian : Eh bien excellente transition ; e vais expliquer ce que c’est qu’une URL. Justement, le moyen de se prémunir de ça, c’est de comprendre comment ça marche une adresse, comment ça marche une URL et de pouvoir identifier les parties importantes dedans.

Il y a quatre morceaux dans une adresse.

  • Le premier c’est ce qu’on appelle le protocole. Ça je vais vous l’expliquer un petit peu après [Adrian indique https]. Grosso modo, c’est juste pour se mettre d’accord sur le langage qu’on parle, quand on communique, quand les machines communiquent entre elles.
  • La deuxième partie, c’est ce qu’on appelle le domaine. Donc c’est une extension, un point avant et n’importe quoi. Donc ça, en l’occurrence, c’est l’adresse de mon blog, donc gaudebert.fr ; c’est mon nom de domaine à moi.
  • Ensuite il y a ce qu’on appelle un sous-domaine. Ça ce n’est pas très important, il peut y en avoir plein. Vous avez images.google.fr, par exemple. Vous avez des sous-domaines dans tous les sens. C’est bien de le savoir parce que ça permet d’identifier concrètement sur quel site vous êtes, mais c’est un petit moins important que le domaine.
  • Et ensuite vous avez le reste. Donc ça c’est ce qui permet d’identifier la page particulière sur laquelle vous êtes sur le site en question.

Ce qui est important ce sont ces deux choses-là : le protocole, ce qui définit comment vous communiquez avec le site en question, et le domaine. Typiquement si vous savez que vous allez sur orange.fr, vous allez sur les serveurs d’Orange, vous savez que leur domaine c’est orange.fr. Si, à un moment, vous vous retrouvez sur un truc qui n’est pas orange.fr, vous pouvez commencer à vous poser des questions. Ça arrive fréquemment, notamment sur les questions d’identification en ligne, il y a beaucoup maintenant de services qui délèguent cette fonction à d’autre sites. Mais c’est intéressant de voir que, eh bien oui, effectivement, maintenant vous n’êtes plus sur orange.fr, vous êtes sur sitemachin.com. Peut-être que c’est un site auquel vous pouvez faire confiance, peut-être que ça ne l’est pas ! Dans le cas d’un truc comme Orange, vous pouvez considérer que si vous êtes venu sur le site d’Orange, vous avez cliqué sur les trucs, vous êtes à peu près safe. Ça, c’est important dans un cas comme celui-ci où vous avez message des impôts qui vous dit d’aller cliquer un truc et le site sur lequel vous êtes c’est capitalhouse.com.mx ; juste rien à voir avec le site des impôts. Les impôts c’est .gouv.fr, pour info. Si c’est un truc de l’État français et que ce n’est pas en .gouv.fr c’est qu’à priori il y a une arnaque dans le tas.

Ça c’est important. HTTP, c’est un protocole de communication qui n’est pas chiffré. C’est-à-dire que toutes les informations qui passent sont en clair. Oui !

Public : Est-ce qu’il y a en a plusieurs protocoles ?

Adrian : Oui. Il y en a un autre qui s’appelle HTTPS.

Public : Quelle est la différence ?

Adrian : La différence, c’est que celui-là il est chiffré. Tu as gagné ton Schoko-Bon. Bien vu.

Public : Il y a FTP aussi.

Adrian : Il y a FTP [File Transfer Protocol] aussi. Il y a des tonnes et des tonnes de protocoles.

Public : Quelle est la différence entre Internet et Google ?

Adrian : Pardon ?

Public : On en revient à la diapo. Quelle est la différence entre Internet et Google ?

Adrian : Alors je pense qu’on revient au moment où ça devient un peu brouillon tout ça et je ne sais pas vous, mais moi je suis un peu paumé. HTTPS c’est cool, on va en reparler après. D’abord on va parler de ce que c’est Internet. Parce que si on ne comprend pas comment ça marche Internet, je pense que tout ça c’est un peu flou ; il y a des URL, des adresses, des machins, on ne comprend pas trop !

Le réseau internet

Je vais faire un truc que j’aime bien, je trouve qu’il marche bien. Internet c’est un réseau. Un village c’est un réseau. Ça c’est un réseau dans lequel il y a trois maisons a, b et c et un facteur au milieu. Donc a, b et c ce sont les adresses des maisons en question. Si a veut envoyer une lettre à c, eh bien il fait sa petite lettre, il écrit ça c’est pour c dedans, il la donne au facteur et le facteur va l’emmener jusqu’à c.

De la même manière si b veut écrire à a. Hop ! Il fait sa lettre, il écrit ça c’est pour a, il la file au facteur et le facteur va l’envoyer à a.

Ça, schématiquement, c’est un réseau. Ça ce sont les terminaux, les maisons. Donc terminal, c’est un téléphone portable connecté à Internet, un ordinateur ; une imprimante connectée à Internet c’est un terminal, etc. Tout ce que vous avez connecté, tout ce qui est ordinateur connecté à Internet, ça va être un terminal.

Lui, là, c’est ce qu’on appelle votre routeur. Typiquement ça va être votre box : vous êtes chez Free, c’est une Freebox, Livebox chez Orange, Bbox chez Bouygues, etc. C’est un peu le facteur. C’est-à-dire que c’est le truc qui est milieu et qui va permettre de faire transiter les messages vers d’autres gens.

Les adresses, dans un réseau, on appelle ça des adresses IP, ce sont deux lettres : IP. Une adresse IP c’est imbitable, c’est plein de chiffres, c’est relou, on va en reparler après ; j’utilise ça parce que c’est plus simple.

Donc ça c’est un réseau. C’est votre maison à vous. Maintenant qu’est-ce qui se passe si vous voulez parler avec une autre maison ?

Là, on a premier village et on en a un deuxième, ici, avec x, y z. Dans le deuxième village, là-bas, ils ont un petit routeur aussi, un petit facteur. Si y veut écrire à z, c’est facile, il passe la lettre au facteur et voilà, ça marche bien.

Qu’est-ce qui se passe maintenant si a, qui est ici, veut écrire à x qui est dans le village qui est là ? Il va envoyer sa lettre au facteur et le facteur se dit x ça ne me parle pas, je ne connais pas ; il n’y a personne qui s’appelle x dans mon sous-réseau local, dans mon village.

On va donc rajouter un nouvel acteur, le centre de tri de la poste. Le centre de tri de la poste, en fait, c’est exactement comme un facteur, mais c’est un super facteur. Il ne connaît pas les gens des villages en soi, mais, par contre, il connaît les villages. Il sait où sont les villages et il est capable de renvoyer les trucs vers les facteurs. Du coup, le facteur va envoyer sa lettre au centre de tri. Le centre de tri reçoit la lettre et dit : « x je connais, je sais que c’est dans le village qui est là ; j’envoie au facteur qui est là », et le facteur redirige vers x. Le centre de tri, en fait, concrètement dans Internet, c’est exactement la même chose que le facteur à plus grosse échelle.

Ça, c’est votre réseau local, donc c’est votre box avec votre ordinateur, votre téléphone, tout ça. Ça c’est le réseau local de votre voisin qui a, lui aussi, un ordinateur portable, un ordinateur fixe, une imprimante. Et au milieu, ici, vous avez les fournisseurs d’accès à Internet. Donc ça va être Free, Orange, Bouygues, SFR, etc., tous ces gens qui vous fournissent de l’Internet qui ont, eux, ce qu’on appelle des routeurs, des grosses machines, qui ne font que rediriger du trafic. C’est-à-dire qu’ils prennent des paquets, ils regardent l’adresse qu’il y a dessus et ils se disent OK, ça, ça va par là ; ça, ça va par là ; et ils trient comme ça, et ils ne font que ça tout le temps, tout le temps.

À l’échelle mondiale ça ressemble à ça. C’est une carte des câbles sous-marins — je ne suis pas sûr qu’elle soit très à jour — donc pour les communications entre les continents. Et quand vous allez vouloir accéder, par exemple, à un serveur qui est chez Google — les serveurs de Google, admettons qu’ils soient aux États-Unis ; vous êtes en France, vous êtes à Lyon, vous allez faire un message sur l’ordinateur, créer un message qu’il va envoyer à votre facteur local, donc à votre routeur, votre box ; qui va dire « OK, cette adresse-là je ne connais pas » ; qu’il va envoyer au routeur du fournisseur d’accès à Internet, par exemple Free ; qui lui va dire « OK, ça c’est une adresse qui a l’air d’être aux États-Unis, hop, je vais envoyer par là », donc à travers ce truc-là jusqu’aux États-Unis. Aux États-Unis, il y un autre routeur qui reçoit le truc qui dit « ouais, ça je ne sais pas trop où c’est, j’envoie à un autre routeur » qui dit « ouais OK, ça je sais c’est Google. Pouf, ça va là. »

Donc il se passe plein de trucs, c’est ce qu’on appelle des sauts. En fait votre message, entre le moment où il part de chez vous, de votre ordinateur, et le moment où il arrive chez votre interlocuteur, il peut passer par beaucoup de machines différentes.

Ça c’était Internet. Est-ce que c’est clair ça ou pas ? Si je vous remets ça, pas de questions ? C’est bon ?

Public : On peut la récupérer ?

Adrian : Ouais. Les slides vont être en ligne après coup. Ça c’était Internet.

Le Web

Le Web, donc, c’est une application qui est basée sur Internet. Fondamentalement, ça utilise le même réseau, la même structure. La différence fondamentale c’est que dans le modèle précédent tous les nœuds étaient égaux, tous les nœuds donc tous les terminaux sont égaux sur le réseau, ils ont accès au même réseau, ils peuvent jouer le même rôle dedans. Sur le Web il y a une vraie distinction qui se fait entre ce qu’on appelle les clients et les serveurs. Les clients ce sont les consommateurs, donc ce sont les consommateurs de données, et les serveurs ce sont les machines qui possèdent les données, donc qui vont vous les émettre.

Sur le Web vous avez donc un système qui est un peu différent. C’est-à-dire qu’au lieu de dire « tiens je vais envoyer un message à untel » dans le sens, par exemple, je parle à mon pote qui est dans un immeuble voisin, ça va être « je vais aller voir le serveur de Facebook, par exemple, pour lui dire "eh, donne-moi les données qui correspondent à cette page", par exemple la page d’un ami. » Ça se passe de la même manière, on a plein de sauts, et ça se retrouve sur le serveur de Facebook qui vous dit : « OK, voilà ! Pour cette ressource-là voilà les données. » Hop ! Et qui vous les renvoie.

Le serveur de Facebook ressemble à facebook.com. En vrai le serveur de Facebook, il a une adresse IP, c’est ce dont je vous parlais tout à l’heure. Une adresse IP ça ressemble à ça [91.238.22.69]. Ça c’est une adresse IP v4 ; maintenant on est en train de passer en adresse IP v6. Les IP v6 c’est ça en six fois plus long, c’est ça ? Un truc comme ça ? C’est imbitable, c’est impossible de retenir ça ; vous n’avez pas du tout envie de vous souvenir de ces trucs-là, donc on a créé ce qu’on appelle les URL qui sont simplement des chaînes de caractères, qui sont beaucoup faciles à retenir pour pouvoir accéder à ces sites-là, les noms de domaines.

Il y a un système qui s’appelle la résolution de noms de domaines qui fait tout simplement la traduction d’un nom de domaine comme ceci vers une adresse IP. Donc quand vous tapez facebook.com, en fait les serveurs de facebook.com ne sont pas à l’adresse facebook.com. Ils sont sur une adresse IP qui ressemble à ça, sauf que c’est chiant de la retenir donc on a mis ce système-là en place pour que ça soit plus simple.

HTTPS

HTTPS, c’est un protocole qui vous permet de chiffrer les données entre vous et le serveur auquel vous parlez. J’ai repris ce schéma-là. Admettons que a veuille écrire à c. Avant d’envoyer sa lettre, il va contacter — je n’ai pas rajouté de dessin — imaginez qu’ici il y a ce qu’on appelle une troisième partie, il y a une autre entité qui s’appelle une autorité de certification, qui va émettre des certificats, tout simplement ; qui va dire « moi j’atteste que c est bien ce qu’il prétend être ; c’est bien c. » Et en fait, pour schématiser, a, avant de communiquer avec c, va contacter l’autorité en disant « je veux parler à c, est-ce que tu peux me dire que c’est bien lui et me permettre de chiffrer, me donner des outils pour pouvoir chiffrer la communication que je vais avoir avec lui ? » Et de la même manière pour permettre à c de comprendre la communication, de comprendre ce que je vais lui envoyer.

L’intérêt de ce truc-là c’est donc, du coup, d’assurer que les données que vous allez transmettre jusqu’au serveur vont être chiffrées donc personne ne pourra les lire, et vous assurer que vous parlez à la bonne personne.

Là, normalement, c’est le bon moment pour un petit rappel : il n’y a pas de sécurité absolue en informatique. Ça n’existe pas ; c’est un leurre. Donc quand je vous dis on va sécuriser, je vais vous aider à sécuriser vos accès à Internet, en fait, c’est un mensonge. Tout ce qu’on va essayer de faire c’est de faire en sorte que ça soit plus difficile, pour des gens qui vous veulent du mal, de réussir à vous piquer vos données. Mais en soi, ça n’existe pas la sécurité absolue. Donc quand je vous dis qu’il y a des garanties, que HTTPS vous garantit l’identité du site, oui, dans une certaine mesure ; et que les communications sont chiffrées, c’est le cas aussi, mais ça ne veut pas nécessairement dire qu’il n’est pas possible de les attaquer. Simplement, c’est quand même un bon outil pour vous assurer que vous communiquez bien avec la personne que vous pensez et que vous êtes un petit peu en sécurité.

Dans votre navigateur ça va être indiqué ici dans l’URL et vous avez un petit cadenas – maintenant tous les navigateurs récents le font – vous avez un petit cadenas qui vous indique que vous êtes sur une connexion sécurisée. Oui ?

Public : Excusez-moi. On est sur une connexion chiffrée avec la certification. Mais est-ce qu’il y a différentes qualités de chiffrement, par exemple ? Et est-ce que le navigateur vous fait bien ça de manière native ?

Adrian : C’est une question qui va trop loin et qui n’est pas adaptée à cette conversation. On peut en parler après si tu veux, mais je vais plutôt la garder pour plus tard. Oui ?

Public : HTTPS, je le vois notamment les pages où on paye ?

Adrian : Ouais.

Public : Sur l’ordi, là, il y a un truc avec écrit navigation privée.

Adrian : Navigation privée, c’est autre chose, ça n’a rien à voir avec ça. Je ne vais pas parler de navigation privée ce coup-ci, mais on peut en reparler après la conf si tu veux ; mais ça n’a absolument rien à voir. Navigation privée, c’est un truc complètement différent d’HTTPS.

Donc HTTPS, vous pouvez cliquer sur le petit truc pour voir que c’est bien une connexion sécurisée et qui fournit le certificat et voilà. C’est là que ça fournit le certificat. Oui, dis-moi ?

Public : Quelle est la différence entre chiffrer et crypter ?

Adrian : C’est pareil. Crypter c’est un anglicisme. En fait, en français, on parle de chiffrement et pas de cryptage, mais c’est une question pertinente. Bravo ! Monsieur ?

Public : La question pertinente c’est quand est-ce qu’on mange ? [Rires]

Public : La banque avec laquelle je suis permet le système e-Carte et ils ont abandonné parce qu’ils se sont fait pirater un serveur il y a quelques semaines, donc maintenant on nous demande d’utiliser notre numéro de Carte Bleue quand on va sur des sites HTTPS.

Adrian : Je ne sais pas ce que c’est, en fait.

Public : La Caisse d’Épargne. En fait, il y avait création d’un numéro et on mettait le montant qu’on voulait payer, il y avait un calcul qui était fait, bon. Bref ! C’était temporaire.

Adrian : D’accord. OK.

Public : L’organisme, l’e-Carte s’est fait pirater, donc on n’utilise plus l’e-Carte. Depuis, la banque nous demande d’utiliser notre numéro de carte Bleue ; c’est plus sécurisé.

Adrian : Aucune idée. Par contre ce n’est pas lié à HTTPS. Ce dont vous parlez c’est une technologie qui est complètement séparée.

Public : Quand vous allez sur un site, par exemple un magasin Gibert acheter quelque chose, j’utilisais ce système-là pour payer ; il était en HTTPS.

Adrian : Il est en HTTPS. C’est-à-dire que c’est juste une application différente qui est posée par-dessus le protocole HTTPS, donc qui fait que, effectivement, toutes les communications qui vont se faire vont être sécurisées. Mais le système en lui-même peut être complètement plein de failles. Ce n’est pas parce que c’est sur HTTPS que ça garantit quelque chose. Tu veux ajouter quelque chose ?

Public : Ouais. En fait, l’intérêt de la e-carte, c’est que si le numéro de la carte Bleue est stocké sur, par exemple, le serveur de Gibert et que Gibert se fait pirater, si on voit votre numéro de Carte Bleue, ce n’est pas grave, on ne pourra pas le réutiliser. C’est ça l’intérêt. Le système avec la Carte Bleue, ils pourront le réutiliser. HTTPS, ça vous permet de vous assurer que la communication depuis votre ordinateur jusqu’au site de Gibert elle est sécurisée ; personne ne peut vous voler votre numéro entre le moment où on fait le petit voyage entre ce serveur-là et leur site.

Public : Oui, mais ça revient un peu à ce message d’avant où il y a écrit en rouge « il n’y a pas de sécurité absolue ».

Adrian : Il n’y pas de sécurité absolue.

Public : Il n’y a pas de sécurité à 100 %. Il y a des mesures de sécurité qui permettent d’être, peut-être, plus difficile à pirater.

Adrian : C’était juste pour que vous preniez bien conscience qu’on vous présente ça comme étant un truc sécurisé mais, dans la réalité des choses, dans le concret, ça n’est jamais absolument sécurisé. Il y a toujours des moyens.

Public : L'e-Carte était quand même plus sécurisé que le fait de passer simplement…

Public : D’ailleurs c’est bizarre qu’ils aient arrêté le service. Ce n’est pas logique.

Public : Est-ce que ce n’est que votre banque qui l’a arrêté ?

Public : Oui, parce que la banque postale continue.

Adrian : Bon ! Schoko-Bon quand même ! Si vous voulez passer le Schoko-Bon à monsieur, merci. Il y a plein de gens dans la salle qui pourront répondre à des questions plus précises comme ça. L’important, les gens l'ont déjà un petit dit, l’important d’HTTPS c’est de s’assurer que quand vous êtes en train de faire transiter des données sensibles sur Internet, vous soyez bien en train d’utiliser ce protocole-là. Donc typiquement quand vous vous connectez à votre banque, c’est hyper important de vérifier que vous êtes en HTTPS ; quand vous vous connectez sur n’importe quel site en fait, c’est important d’être en HTTPS. Si ce n’est pas le cas, ça veut dire que vous envoyez votre mot de passe en clair sur le réseau et que n’importe qui qui est à l’écoute, typiquement si je reviens sur ce schéma-là : si le facteur est corrompu, par exemple, il va pouvoir prendre votre mot de passe et le revendre à quelqu’un. S’il y a quelqu’un qui est derrière le facteur, sans qu’il le voit, et qui écoute ou qui lit, qui prend les e-mails, qui les ouvre, qui lit ce qu’il y a de marqué dedans, qui referme ; hop, il recachette, tout bien, il continue à envoyer. Pouf ! Eh bien ce qu’il y a dedans c’est en clair, donc il y a accès, il peut en faire ce qu’il veut.

Public : Comment s’obtient le certificat ?

Adrian : C’est automatisé. C’est au site avec lequel tu travailles de faire ça.

Public : Inaudible.

Adrian : Il ne veut pas absolument. Oui ?

Public : Dans les dernières versions de Firefox, si on va sur une page qui demande le mot de passe et qui n’est pas en HTTPS, Firefox rouspète.

Adrian : Absolument ! Et ça c’est très bien. Donc effectivement maintenant, les navigateurs web, aujourd’hui, l’indiquent de plus en plus clairement quand vous êtes en train de faire transiter des données sur des connexions non sécurisées et on pousse de plus en plus à la sécurisation, à l’utilisation d’HTTPS partout. Notamment parce qu’on a énormément simplifié le processus de création de certificats pour les sites web, donc les navigateurs se permettent aujourd’hui de le dire ; notamment il y a plein de nouvelles technologies qui arrivent dans les navigateurs qui ne sont accessibles qu'aux sites qui utilisent des connexions sécurisées.

Public : Avant c’était payant. Maintenant on est exempté.

Adrian : Avant c’était payant. Voilà, exactement. Mais là on est sur des trucs très techniques. On en reparlera après, et tu sauras, mais dans cinq minutes.

Donc HTTPS c’est le bien. Il y a pas mal de sites qui supportent HTTPS, mais qui ne vont pas forcément vous vendre, vous donner des connexions en HTTPS par défaut. Il y a une extension qui s’appelle HTTPSEverywhere3 qui est accessible pour Firefox – j’imagine pour les autres aussi – qui permet simplement, sans que vous ne voyiez rien, de s’assurer que s’il y a une connexion HTTPS possible avec le site en question, qu’il va l’utiliser, plutôt que le HTTP normal. Donc ça c’est une première extension intéressante. Je vous donnerai des liens vers les ressources à la fin. Oui ?

Public : Comment je sais si l’extension c’est du logiciel libre ? Et comment je sais si l’éditeur de cette extension est de confiance, en l’occurrence pour celle-là ?

Adrian : Si c’est du logiciel libre, ce n’est pas dur. Tu vas sur le site des ad-dons et normalement tu as des liens vers les sources. De confiance, c’est un problème philosophique, je te laisserai en discuter avec toi-même ! [Rires]

Public : Là, en l’occurrence, c’est qui l’éditeur ?

Adrian : Aucune idée.

Public : C’est l'Electronic Frontier Foundation. C’est complètement de confiance !

Adrian : Ce sont plutôt des gens bien.

Public : Par exemple, les extensions sont disponibles via un magasin d’applications chez Mozilla ?

Adrian : C’est ça.

Public : Mozilla, quel est le genre de contrôle qu’il fait pour accepter des extensions dans son magasin ?

Adrian : Tu as la réponse à cette question ? Ou pas ?

Public : Il y a un processus d’audit, mais assez léger avec les signatures et après, pour l’instant ce qui est mis en place et ce qui marche, c’est-à-dire que si jamais il se trouve que cet ad-don, enfin cette extension est malveillante ou provoque des problèmes sérieux, on a le moyen maintenant de l’enlever, de faire en sorte que les gens ne l’utilisent plus.

Adrian : Ce qui est arrivé à plusieurs reprises. Il y a eu un moment, il y a quelques années, où Skype, l’extension Skype dans Firefox, rendait Firefox complètement inutilisable donc on l’a ce qu’on appelle blacklistée, on l’a désactivée. Et ce qui est arrivé plus récemment avec l’extension que vous connaissez peut-être qui s’appelle Web of Trust, qui était une très belle extension que les gens recommandaient beaucoup et qui, malheureusement, qu’est-ce qu’ils ont fait ? Ils ont revendu des données, je crois, ils revendent des données utilisateur. Donc l’extension Web of Trust qui était une très bonne extension pour s’assurer que les sites que vous visitez ne sont pas des sites d’arnaque, malheureusement j’ai dû retirer mes slides de ce compte parce que ce n’est plus utilisable.

Public : Et si cette extension est déjà installée ?

Adrian : Justement, on a des moyens chez Mozilla, dans Firefox, pour les désinstaller, enfin pas pour les désinstaller, pour les désactiver par défaut.

Public : L’extension elle est installée sur la machine ?

Adrian : Oui. Absolument. Elle est installée dans Firefox.

Public : Le navigateur a le moyen de mettre à jour la liste des extensions qui sont censées être bloquées pour des questions de sécurité.

Public : Il n’y a pas de mise à jour automatique des extensions.

Public : Non. Mozilla ne le fait pas.

Public : Il n’y a pas de contrôle du code source de l’extension ?

Adrian : Il y a un petit contrôle.

Public : Aujourd’hui, je ne sais pas exactement ce qui est mis en place. Il y a un petit contrôle au niveau de la vérification des fonctionnalités, un petit peu de la sécurité, mais il n’y a pas vraiment de relevé de sécurité de vie privée au niveau du code. Donc ce n’est pas du 100 %.

Adrian : Ce qui est un truc qui demande énormément de travail et qu’on ne peut pas trop se permettre de faire, malheureusement.

Public : Un prestataire de routeur qui en relisant son code source s’est aperçu qu’il y avait une porte qui avait été mise dedans, dans ses applications.

Adrian : Mais ça, c’est inévitable de toutes façons, comme tout. On a l’avantage que la majorité de ces extensions-là soient du code libre, justement. Donc il y a la possibilité, à un moment, d’aller vérifier ce qui est fait dedans. Maintenant à l’échelle de Mozilla avec les, je ne sais pas combien de centaines, de milliers d’extensions qu’on a, faire de la review ça nous prendrait beaucoup trop de temps et d’énergie ; donc on ne le fait pas. Je n’ai aucune idée du temps. Combien de temps il nous reste ? Un quart d’heure. Parfait ! Continuez à me poser des questions, on arrive sur la fin.

Vie privée

On va parler de vie privée maintenant.

Donc là on a vu quelques dangers sur Internet. Donc ça ce sont les dangers qui sont plutôt des attaques extérieures, c’est-à-dire des gens qui vont essayer de l’extérieur de venir vous piquer des données. Il y a un vrai gros ensemble de problèmes sur Internet aujourd’hui, sur le Web notamment qui touchent à la vie privée. Vous mettez beaucoup de données.

[Non, ce n’est pas celle-là d’accord].

Traçage

Alors traçage, il y a deux concepts qui sont un peu similaires. Le traçage ; notamment les vendeurs de publicité ont tout intérêt à savoir qui vous êtes et comment vous vous comportez pour pouvoir mieux vous vendre, pouvoir vous vendre de la meilleure publicité ; pouvoir vous afficher des annonces pour des produits qui vont potentiellement plus vous plaire, sur lesquels vous allez plus cliquer, etc. Ce qu’on appelle le tracking généralement, je traduis ça par traçage, parce que voilà !

Ça se fait via un petit paquet de mécanismes. Donc les régies de publicité font ça. Le truc c’est qu’aujourd’hui la régie de publicité principale sur le Web c’est Google, c'est le plus gros, c’est le business model, le cœur de métier de Google. Pardon ?

Public : Facebook aussi ?

Adrian : Facebook c’est le deuxième. Mais le plus gros vendeur de publicité sur le Net aujourd’hui c’est Google via leur régie AdSense ; il me semble que c’est ça le nom de la régie. Le deuxième à faire le plus de traçage sur le Net c’est Facebook et ils ont plein de mécanismes un peu différents. Les régies publicitaires balancent des annonces, elles regardent qui vous êtes. Facebook, ils ont un petit truc génial, c’est le bouton « J’aime », le petit pouce bleu, là. L’avantage de ce truc-là c’est qu’il est inclus dans quasiment tous les sites sur lesquels vous allez aujourd’hui. Or à chaque fois qu’il est inclus sur un site, ce qui est inclus ce n’est pas juste une petite image, c’est un lien vers les serveurs de Facebook. Allez-y !

Public : Est-ce que vous voulez dire que même si on n’est pas inscrit sur Facebook, on est pisté par Facebook ?

Adrian : Absolument ! Donc Facebook a les moyens aujourd’hui, a effectivement une connaissance absolument extraordinaire de tout ce qui se passe dans le monde, de comment les gens utilisent l’Internet aujourd’hui. Je trouve que Google est un meilleur exemple, parce que Google ils ont AdSense, ils ont Google Analytics. Google Analytics, [je prends ta question juste après], c’est un outil pour développeur web qui permet d’analyser le trafic de son site. C’est-à-dire que les développeurs web vont volontairement mettre sur leur site un traceur, un morceau de code qui va, pour chaque visite qui est faite, récolter des données sur la visite et les envoyer vers les serveurs de Google. Une opportunité exceptionnelle pour savoir tout ce qui se passe sur le Net !

Public : Et si on a interdit le nom de domaine de Google ou de Facebook ?

Adrian : Justement on en parle juste après. J’en parle juste après. Qu’est-ce que tu voulais dire ?

Public : Ce n’est pas une question, c’est plus une remarque par rapport au « J’aime ». Une nouvelle fonction qu’ils ont ajoutée, qui n’est par ailleurs pas que « J’aime » dessus, il y a différentes réactions qui font que, du coup, on est encore plus traçable parce qu’au final, ça met un comportement un peu plus, comment dire, un peu plus proche de ce qu’on pense.

Adrian : Ouais, ce n’est plus juste un bouton, il y a aussi du code qui est inclus derrière. C’est ça que tu voulais dire ?

Public : Ça permet de tracer un peu plus.

Public : J’ajouterais que sur Facebook, le problème ce n’est pas que la publicité, c’est leur revente de données à plein de gens, pas forcément pour vous vendre des choses, mais aussi, par exemple, à des organismes politiques pour faire des graphiques.

Adrian : Par exemple pour influencer les résultats de campagne. Tu veux un Schoko-Bon ? Oui ?

Public : Je voulais faire une remarque aussi sur les boutons des réseaux sociaux. Si on va sur un site web qui utilise ces boutons de réseaux sociaux et qu’on s’aperçoit, notamment par exemple avec une extension, que ça fait vraiment le lien externe, on peut contacter le webmaster, c’est dans les mentions légales du site pour pouvoir le contacter, et lui dire que ça nous dérange et à ce moment-là lui envoyer le lien de la page de la CNIL qui explique comment ne pas faire le lien externe et à garder ces boutons de réseaux sociaux par simplement un clic supplémentaire. Voilà. Il y a un module, par exemple pour WordPress, à installer. C’est juste l’utilisateur qui va choisir d’utiliser Facebook et donc c’est comme un petit interrupteur qui va lui permettre d’accéder au clic.

Adrian : [Je me suis dit une chose ; mon ordi fait des siennes.] Tu as mentionné la CNIL, ça mérite un Schoko-Bon. J’ai encore un paquet après tout va bien !

Alors du coup, ouais, le traçage, un bon moyen de s’en rendre compte : c’est un truc qui est très insidieux, on ne s’en rend pas du tout compte, mais alors vraiment pour le coup, si on n’est pas au courant on ne s’en rend absolument pas compte. Il y a une extension pour Firefox qui s’appelle 4 qui permet de se rendre un petit peu compte de ce qui se passe quand on navigue sur le Web. [Ça doit être très vieux ça comme screenshot, je n’ai pas fait de mise à jour.]

Public : Est-ce que tu peux remettre la slide d’avant pour pouvoir noter.

Adrian : Oui, bien sûr. Pardon. En fait, j’ai des liens après plus simples pour une ressource où il y a tout, donc ça sera plus simple après. C’est bon ?

Lightbeam, ça va vous permettre de voir. En fait vous activez Lightbeam et ensuite nous allez naviguer sur le Net comme vous faites normalement. Ça va vous montrer, dans un joli graphe comme ça, comment les sites sur lesquels vous êtes allés sont interconnectés. C’est-à-dire que vous allez sur un site A qui va communiquer avec deux, trois, vingt, cinquante régies de publicité, cinquante serveurs de traçage autres. Ensuite vous allez sur un site B et vous allez pouvoir vous rendre compte que le site B communique aussi avec trente de ces cinquante serveurs, par exemple. Et sur le site C également.

Donc ça va vous permettre de voir qu’effectivement vous êtes suivi continuellement en ligne, de site en site, par un ensemble relativement gros d’acteurs, dont certains plus que d’autres. Typiquement, je pense que Google et Facebook doivent très vite grossir dans ces graphiques-là. Donc ça c’est chouette pour se rendre compte qu’il y a un problème. Ça n’aide pas à le résoudre. Pour le résoudre, pour le coup là il y a plein d’extensions qui aident à ça. J’ai mis celle-là parce que c’est celle que j’utilise uBlock Origin5. Si vous utilisez Adblock c’est vachement bien aussi. C’est contestable : j’ai des gens qui me disent « Adblock c’est génial », des gens qui me disent « uBlock c’est génial » ; je n’en sais rien !

Public : Pour les mêmes raisons que uBlock a été libéré, autant libérer Adblock.

Adrian : Oui. Mais Adblock, il me semble qu’il y a des versions d’Adblock qui ont forké et qui n’ont plus les problèmes. Voilà. Bref ! Oui ?

Public : Les extensions là que vous donnez, elles sont valables pour Mozilla ?

Adrian : Pour Firefox.

Public : Pour les ordinateurs, mais aussi pour les mobiles ?

Adrian : Je ne saurais pas l’assurer à 100 %. uBlock c’est sûr, microblock c’est sûr. HTTPSEverywhere c’est sûr aussi. Lightbeam ça m’étonnerait.

Public : Si tu veux visualiser un truc, voir comment ça marche, l’utiliser au quotidien, tu l’installes, tu joues avec une ou deux fois dans la journée et puis tu vires.

Public : Après, Lightbeam sert aussi de pare-feu uniquement pour le navigateur. C’est-à-dire quand on bloque les choses, il bloque l’origine aussi.

Public : Je pourrai avoir un Schoko-Bon quand même ?

Adrian : Ouais. Bravo ! Donc ça, vous avez peut-être envie de parler de ça, c’est ce qu’on appelle un bloqueur de contenu. Tout ce que ça va faire c’est, quand vous chargez une page, ça va regarder ce qu’on appelle les requêtes, donc les autres connexions qui vont être faites depuis cette page-là, typiquement vers facebook.com, vers Twitter, vers Google, etc. Et avant même que cette connexion soit faite, que les données soient sorties de votre ordinateur, ça va bloquer cette connexion, en disant non, ça je ne veux pas.

Ça peut avoir des effets un peu bizarres, genre, par exemple, si vous vous retrouvez à bloquer, comment ça s’appelle, Discuss, qui est un service qui gère des commentaires. Il n’y a pas mal de sites qui utilisent ça, qui ne gèrent plus les commentaires eux-mêmes et qui utilisent un service externe pour gérer leurs commentaires. Si vous avez uBlock, il me semble que si vous avez les listes par défaut ça bloque Discuss. Vous allez vous retrouver sur des sites où, d’un seul coup, vous n’avez plus du tout les commentaires alors que vous les aviez avant.

Quand vous bloquez un peu abruptement Google, moi je me suis retrouvé là-dessus, les sites qui délèguent leur recherche à Google, vous allez chercher un truc et vous allez vous rendre compte que ça ne marche pas du tout. Ça m’est arrivé sur le site de MDN [Mozilla Developer Network6] à l’époque où on faisait ça. J’ai dit « mais c’est nul MDN ; c’est cassé on n’a plus le droit de chercher ! » En fait non.

Donc ça c’est assez puissant. Il y a pas mal de configurations à faire. [C’est génial, je ne vais pas réussir à aller au bout, ça me fait plaisir !] Ça s’installe dans le navigateur. Il y a des ressources en ligne qui peuvent vous aider à configurer les listes comme il faut, etc. Par défaut, ça fait déjà pas mal de choses, ça bloque déjà pas mal de choses.

uBlock ça ressemble à ça. Une fois que vous l’avez installé vous avez un petit bouclier avec le u dedans ; vous avez un gros bouton pour l’activer ou le désactiver et ça vous donne pas mal d’informations sur ce qui s’est passé également, donc le nombre de requêtes bloquées depuis l’installation, les domaines qui ont été bloqués sur ce site en question, le nombre de requêtes qui ont été bloquées sur ce site en question, etc.

Public : Il y a aussi la possibilité, une fois qu’on a bien compris grâce à Lightbeam comment ça fonctionne, dans les paramètres avancés, en fait, ça permet de voir aussi les sites externes en ajoutant à ce panneau, quand on le voit, un autre panneau pour bloquer ce qu’on veut.

Adrian : Tu peux filtrer site par site ?

Public : Oui.

Adrian : D’accord !

Public : Site par site, alors de manière globale ou de manière très individualisée sur le site.

Adrian : Je suis sûr que tu fais tout ça pour les Schoko-Bons ! Tiens ! Prends !

Profilage

Traçage et profilage sont des notions qui sont très proches. Je fais une distinction parce que, pour moi, ce que j’appelle le profilage, là on est plutôt dans le domaine de Facebook, mais dans Facebook en interne. C’est-à-dire que ce n’est pas ce qui se passe de site en site, ce sont les données que vous allez donner à ces sites-là. C’est complémentaire, parce que ça se nourrit des deux, mais quand vous utilisez Facebook vous allez volontairement donner énormément de vos données privées à une entreprise qui a tout intérêt à exploiter ces données d’un point de vue financier. Donc à les revendre, à s’en servir pour vous vendre de la pub, etc. Oui ?

Public : Je vais poser la question sur le traçage. Tu peux supprimer les cookies très régulièrement — j’ai un script qui les supprime très régulièrement — et je me demandais dans quelle mesure, je me dis que parfois c’est peut-être contre-productif, parce que quand il remarque qu’en principe il contrôle la visite d'un utilisateur qui habite ma région et qui n’a pas de cookies et qui a tel type d’ordinateur, est-ce qu’il ne peut pas se dire que c’est moi et du coup me tracer tout aussi efficacement, même si je n'ai pas de cookies sur ma machine.

Adrian : Alors ça c’est hyper intéressant, parce qu’on touche à une techno qui s’appelle le fingerprinting. Les entreprises comme Google, Facebook aussi j’imagine, sont très douées pour faire ce que tu viens de dire, c’est-à-dire pour t’identifier même sans avoir accès à son adresse IP, tes cookies, etc. Donc même en te protégeant un maximum, en retirant un maximum de données que tu pourrais leur envoyer, parce que tous les navigateurs sont un petit peu différents, parce que tu n’as pas toujours les mêmes extensions, tu n’as pas le même matériel, tu n’as pas le même système d’exploitation, tu n’es pas sur les mêmes fuseaux horaires. Et en fait, en recoupant tout un paquet de métadonnées sur ton utilisation, effectivement ils sont capables, assez précisément, de tracer les gens. Ouais ! Donc tu auras beau retirer tes cookies, ça va être utile pour toutes les entreprises qui n’ont pas les moyens de se payer des ingénieurs comme Google le peut, mais sur les très gros sites problématiques en fait ouais, ça ne sert plus à grand-chose.

Après la question des cookies, et là je me pense que je vais me faire foudroyer du regard, pour moi les cookies ce n’est pas un point de danger. On vous a sur-vendu ça comme étant le truc le plus dangereux du Net, il faut couper les cookies, etc. On a même légiféré. Pardon ?

Public : Ce n’est pas Mozilla qui a inventé les cookies ?

Adrian : Le cookie tiers c’est un problème !

Public : Le Cookie tiers. Le cookie c’est une technologie à la base.

Adrian : Qui n’a aucun problème. Et on a même légiféré sur le sujet au niveau européen, ce qui est quand même hallucinant, alors que ça a très peu d’impact. Et c’est une horreur, effectivement.

Le cookie, pour info, c’est une petite donnée qui est stockée sur votre ordinateur, qui est associée à un site web et qui est envoyée avec chaque communication que vous faites avec ce site web. C’est très pratique, par exemple, pour se souvenir de qui vous êtes et du fait que vous êtes identifié sur le site en question. Ça vous évite d’avoir à retaper votre mot de passe à chaque fois que vous vous connectez à ce site. Ça peut être utilisé pour pas mal d’autres choses, pour se souvenir de préférences, etc. Aujourd’hui, il y a plein d’autres technos qui font à peu près les mêmes choses en mieux. Le cookie, la techno en elle-même n’est pas un problème.

Ce qu’on appelle les cookies tiers, c’est-à-dire la possibilité, pour un site, de déclarer un cookie sur votre ordinateur et de le récupérer via les connexions par d’autres sites, ça c’est problématique, parce que c’était notamment très utilisé par les régies publicitaires pour savoir où vous allez, pour vous retrouver un peu partout et pour vous vendre, du coup, les bonnes publicités comme il faut.

À ma connaissance, maintenant, c’est coupé par défaut dans Firefox, on est d’accord ! Les cookies tiers, par défaut, sont refusés dans Firefox, il me semble.

Public : Par défaut, en tout cas dans la config.

Adrian : En tout cas, ouais.

Public : Dans la navigation Privée

Public : C’est Tracking Protection !

Adrian : Je te dois ça.

Public : C’est Tracking Protection, donc aujourd’hui il faut avoir la navigation privée ou alors le Test Pilot7.

Adrian : D’accord, ça marche. Donc n’est pas par défaut, mais ça peut être possible de les couper.

Public : Sur les sites, les cookies tiers sont remplacés par une image qui est, en fait, sur un autre site et l’autre site utilise le Referer8 pour savoir ce qu'il y a sur le site d'origine.

Adrian : Oui, absolument. Il y a de toutes façons énormément de moyens de savoir ça. Absolument ! Cookie, tenez. Cookie ! Ce n’est pas un cookie ! Bref ! Je suis perturbé. Alors c’est bon du coup pour le traçage ?

Public : Les gens posent trop de questions.

Adrian : C’est ça, c’est ça. Arrêtez d’être intéressants !

Public : C’est parce que c’est sous logiciel libre que ça le fait aussi mal ?

Adrian : C’est ça. On ne va pas commencer à troller là-dessus ! Tu fais une collection, en plus [de Schoko-Bons]. Bravo ! Donc pour terminer rapidement, il nous reste quoi zéro minute, c’est ça, à peu près ? Super.

Le profilage, grosso modo, vous donnez trop de données, on donne tous trop de données à Google, Facebook, etc. Ils sont en train de devenir trop puissants. Ça pose pas mal de problèmes. Ça c’est Facebook, on donne trop de données à Facebook, donc Facebook a trop de pouvoirs sur la population aujourd’hui. On l’a vu, ils l’ont avoué, ils sont capables d’orienter des élections présidentielles américaines, par exemple. Ils l’ont fait il n’y a pas si longtemps que ça de leur aveu propre, de ce que j’en ai lu. Dans une certaine mesure c’est contestable. [Je vais vite.] Et ça pose pas mal de problèmes.

Il y a des solutions contre ça : ne pas utiliser Facebook. Il y a Framasoft9 qui est vachement présent aux JDLL ; ils sont au gymnase dans le village assos et il y a des conférences qui sont données, notamment ce week-end. Ça c’est hyper intéressant, je vous invite à vous intéresser à ce qu’ils font.

Ça pose des problèmes d’espionnage également. Ça c’est Google. À chaque fois que vous allez utiliser un service Google, vous allez envoyer un petit message qui va passer par cette espèce de méga routeur qui est spécial, qui est le routeur spécial de Google. Qu’est-ce qui se passe si la NSA, ils se mettent ici, là, juste entre les deux et ils écoutent tout ce qui passe, ils regardent tout ? Eh bien il se trouve qu’ils ont accès, en faisant ça, à je ne sais plus quel pourcentage, 60/70 % du trafic mondial, en étudiant, en espionnant juste un seul point du réseau, un seul point physique du réseau. Ça c’est hautement problématique.

La solution contre ça, c’est ne pas utiliser, arrêter d’utiliser des gros enclos, etc. Il y a des solutions et des alternatives. Il y a un certain Diaspora, par exemple, en alternative à Facebook, il y a Framasphère10 qui existe. Framasoft fait un gros travail sur ces questions-là, je vous invite vraiment à vous y intéresser.

Public : Est-ce que Mozilla est présent, a un compte sur Diaspora ?

Adrian : Ouais, je pense. Non ? Je suis quasiment sûr que la communauté française, Mozilla-fr a un compte Diaspora ; je suis à peu près sûr.

Et du coup, l’autre solution pour se prévenir de ça, c’est de faire du chiffrement, mais je n’ai pas le temps d’en parler plus donc ça tombe bien et je crois que c’était ma dernière slide. Youpi ! On a fini à temps. Si vous avez d’autres questions, je crois qu’on va se faire mettre à la porte, non ! Du coup on va aller en parler ailleurs. Et il reste des Schoko-Bons, servez-vous. Je vous remercie beaucoup d’être venus.

[Applaudissements]

Public : Merci. Le site pour avoir toutes ces infos ?

Adrian : Ah oui ! Vous vous souvenez de la slide où il y a l’adresse de mon blog, eh bien c’est dessus !