Confidentialité

La confidentialité pour votre Smartphone, c'est pas gagné inné!

Convaincus par l'adage "Pour vivre heureux vivons cachés" ? Voyons comment le mettre en pratique.

Lorsqu'on parle de la sécurité/confidentialité de nos "mobiles", il s'agit en fait plutôt de celle du système d'exploitation qui les fait tourner. 75% fonctionnent avec Android (à base de Linux sponsorisé par Google mais en licence open-source), les 25% restants principalement avec iOS (à base d'Unix sous licence propriétaire d'Apple). S'il est souvent préférable de se tourner vers les solutions open-source car cela garantit que le code est audité et qu'il n'y a pas de "porte dérobée", il faut toutefois prendre en compte les éléments suivants lorsqu'il s'agit d'un système d'exploitation :

  • La majorité des mobiles étant sous Android, cela rend cet OS (Operating System) plus attractif pour les attaquants.
  • Si l'open-source permet d'avoir un OS personnalisable et donc potentiellement plus sécurisé, cela le rend aussi plus "ouvert" et donc moins sûr lorsque les versions déployées par les fabricants sont personnalisées pour utiliser nativement les données enregistrées => idem pour les magasins d'applications qui sont moins contrôlés.

Pour ces raisons, iOS est plus sécurisé qu'Android et moins sujet aux attaques. Il est aussi plus respectueux de la vie privée (jusqu'à un certain point seulement bien sûr). Une étude de Douglas C. Schmidt, professeur d’informatique à l’Université Vanderbilt aux USA indique par exemple qu'un smartphone Android en veille communique avec Google 10 fois plus qu’un iPhone ne communique avec les serveurs Apple, ou qu'un smartphone sous Android avec Chrome envoie 50 fois plus de demande de collectes de données qu’un smartphone iOS sous Safari. Bien que déjà plus discret qu'Android, iOS permet d'aller plus loin en bridant encore plus le nombre de données collectées et transmises.

=> Vous trouverez ci-dessous des suggestions de réglages pour limiter la collecte de données d'iOS et le sécuriser. Mais ayez toutefois conscience que le côté "Waouh", la praticité générée par les fonctionnalités de votre smartphone sont souvent en opposition directe avec les concepts de confidentialité et sécurité.

Réglages de sécurité iOS :

  • Utiliser un code de déverrouillage "sérieux" (pas 0000 ou 1234) => Réglages/Face ID et code/Changer le code/Options de code
  • Paramétrer "Exiger Face ID" pour vos applis sensibles en appuyant longuement sur leur icône.

Protection appli Face ID

  • Limiter l'accès aux fonctionnalités lorsque l'écran est verrouillé => Réglages/Face Id et code/Autoriser l'accès en mode verrouillé
  • Effacer toutes les données de l'iPhone après 10 tentatives d'accès échouées => Réglages/Face ID et code/Effacer les données
  • Exiger un délai d'1H pour pouvoir modifier les réglages de sécurité même en possession du code de déverrouillage => Réglages/Face ID et code/Protection en cas de vol de l'appareil
  • Activer les sauvegardes iCloud automatiques (voir ligne sur l'effacement des données pour être persuadé de l'utilité des sauvegardes) => Réglages/iCloud/Sauvegarde iCloud
  • Installer automatiquement les mises à jour de sécurité (car c'est par les failles de sécurité qu'arrivent les problèmes) => Réglages/Général/Mise à jour logicielle/MàJ automatiques
  • Utiliser le gestionnaire de mots de passe "Mots de passe" inclus ou un multiplateforme (Bitwarden) pour remplir automatiquement les mots de passe => Réglages/Apps/Mots de passe/Afficher les réglages de remplissage automatique

Réglages de confidentialité iOS :

Depuis iOS 16 (début 2023), Apple propose enfin de rendre pratiquement toutes vos données iCloud confidentielles.

  • Activer le chiffrement de bout en bout ou End To End Encryption (E2EE) => Réglages/iCloud/Protection avancée des données Ceci est également indispensable si vous voulez que vos clés privées iCloud soient stockées sur votre appareil et pas chez Apple.
Principaux types de données Protection STANDARD Protection AVANCEE E2EE
Mail iCloud [Non] [Non]
Contacts [Non] [Non]
Calendriers [Non] [Non]
Sauvegarde iCloud [Non] [Oui]
iCloud Drive [Non] [Oui]
Photos [Non] [Oui]
Cartes, billets et coupons [Non] [Oui]
Mots de passe et Trousseau [Oui] [Oui]
iMessages [Oui] [Oui]
Transactions Apple Card [Oui] [Oui]
Données Santé/Maison [Oui] [Oui]
  • Désactiver l'accès à iCloud sur le Web (sinon vos clés privée seront sur les serveurs Apple) => Réglages/iCloud/Accéder aux données iCloud sur le Web
  • Cacher son adresse IP pour naviguer anonymement => Réglages/iCloud/Relais privé sinon utiliser un VPN (Proton VPN).
  • Utiliser des emails "jetables" pour toute inscription sur un site Web afin d'éviter les spams => Réglages/iCloud/Masquer mon adresse email
  • Utiliser un fournisseur de mail/calendrier/contacts sécurisé (Tuta Mail) et pas les Mail/Contacts/Calendriers fournis nativement (voir le tableau ci-dessus pour comprendre pourquoi).
  • Désactivez l'écoute automatique de Siri (l'assistant vocal maison) => Réglages/Siri/Requêtes Siri/Parler à Siri/Non (Mais si vous le désactivez entièrement vous n'aurez plus accès à la fonctionnalité CarPlay pourtant bien pratique en voiture).

Entrons maintenant dans Réglages/Confidentialité et sécurité.

  • Désactiver les fonctions "Suggestions et recherche" - "Lieux importants" - "Amélioration du produit" dans les "Services systèmes" de "Service de localisation".
  • Désactiver "Autoriser les demandes de suivi des apps" dans "Suivi".
  • Désactiver "Données de capteur et d'utilisation à des fins de recherche".
  • Vérifier les données de partage dans "Contrôle de sécurité".
  • Désactiver toutes les "Analyses et améliorations".
  • Désactiver les "Annonces personnalisées" dans "Publicité Apple".
  • Allez jeter un oeil dans "Rapport de confidentialité des apps" pour vous faire peur, et constater que beaucoup d'applis envoient des données à ... Google !

Avec toutes ces modifications, nous avons déjà fait un grand pas dans la restriction de l'intrusion d'Apple dans notre vie numérique. (Pardon je reformule : dans la dégradation de l'expérience utilisateur 😊). Mais si ces réglages ont trait au fonctionnement général de l'iPhone, il faut maintenant s'occuper du comportement des principales applis que nous utilisons au quotidien et qui connaissent également beaucoup de nous. Il ne manquerait plus qu'elles enregistrent et transmettent des données sans nous prévenir...

Afin de vous faire une idée de la confidentialité de certaines applications bien connues sur le marché, vous trouverez ci-dessous un bel exemple des données collectées par Gmail comparé à Tuta Mail. Ce n'est que du déclaratif sur le magasin d'apps Apple, mais ça donne une petite idée du sujet (pour plus d'exhaustivité consultez le fameux "Rapport de confidentialité des apps" mentionné plus haut).

Donnees_Gmail Donnees_Tuta

Réglages de confidentialité des apps :

Navigateur SAFARI

Ce navigateur est historiquement celui fourni par défaut avec iOS. Toutefois, depuis le DMA (Digital Markets Act) imposé par la Communauté Européenne, la donne a un peu changé. Apple a été contraint d'ouvrir son système depuis mars 2024 sur les versions postérieures à iOS 17.3 pour s'y conformer. Vous pouvez donc dorénavant définir un navigateur par défaut autre que Safari. Pour cela => Réglages/Apps/Appli du navigateur désiré/App du navigateur par défaut Sauf au démarrage d'iOS après mise à jour du système, où une douzaine de navigateurs sont proposés, il faudra alors que le navigateur choisi soit déjà installé pour pouvoir le définir par défaut. Si voulez passer sur Tor, DuckDuckGo ou Startpage c'est très bien car vous ferez un grand pas vers la confidentialité, si c'est pour un autre réfléchissez-y à 2 fois...

Il faut noter que Safari n'est pas nécessairement le plus mauvais choix :

  • La fonctionnalité "Relais privé" qui cache votre adresse IP ne fonctionne qu'avec lui.
  • C'est le navigateur qui recense le moins de failles de sécurité parmi les principaux du marché (et notamment Chrome, Firefox et Edge).

Des réglages sont toutefois possibles pour limiter les risques potentiels :

  • Limiter strictement les extensions de navigateur qui restent des vecteurs d'attaque importants (même si l'écosystème Apple les limite nativement).
  • Bloquer les Pop-up dans => Réglages/Apps/Safari/Général
  • Empêcher le suivi inter-site dans => Réglages/Apps/Safari/Confidentialité et sécurité
  • Masquer l'IP dans => Réglages/Apps/Safari/Confidentialité et sécurité
  • Augmenter le niveau de confidentialité lors de mesures publicitaires dans => Réglages/Apps/Safari/Avancé
  • Utiliser le mode Navigation privé ne permet pas d'empêcher les serveurs consultés de stocker vos infos de connexion. Il permet seulement de ne pas avoir d'historique en local et de ne pas enregistrer les cookies.

D'une façon générale, désactiver "Suggérer l'app" et "Apprendre de cette app" restreint la collecte de données systématique.

Moteur de recherche

Il se paramètre dans Réglages/Apps/Safari/Moteur de recherche et iOS n'en propose nativement que 5: Moteur de recherche

Dans ce domaine Google reste pour beaucoup une référence en terme d'efficacité de recherche, pourtant, lorsqu'on en connait le prix indirect (voir plus haut la collecte des données) il est évident qu'il est à proscrire. Si vous avez fait ce choix qui a de fâcheuses conséquences pour vos données persos, je vous laisse chercher comment désactiver tous les trackers associés... Si vous souhaitez en utiliser de plus respectueux qui ne collectent ni votre adresse IP ni vos données personnelles, vous aurez alors intérêt à vous tournez vers une des alternatives suivantes, pour lesquelles des applications iOS sont également disponibles:

Logo DuckDuckGo

DuckDuckGo a été fondé en 2008 par Gabriel Weinberg. Ce moteur de recherche américain utilise les résultats de recherche de Bing, ne collecte aucune donnée d'identification personnelle ni adresse IP.

Logo Startpage

Startpage a été lancé le 7 juillet 2009 et était auparavant connu sous le nom d'Ixquick. Ce moteur néerlandais qui utilise les résultats de recherche de Google derrière un proxy (Mode anonyme) supprime les adresses IP, cookies de traçage divers et données persos.

Précision importante : si ces moteurs ne collectent pas de données lors de vos recherches, ils ne peuvent éviter que vos données le soient lorsque vous cliquerez sur les sites en question. Pour pallier cette faiblesse, Startpage va plus loin et propose de se connecter aux sites en "Mode anonyme". La connexion est alors établie derrière un proxy.

Proxy Startpage

Application de courrier MAIL

On a vu plus haut que le chiffrement E2EE n'est pas disponible pour les applis email SMTP/IMAP ni pour les Contacts/Calendriers qui y sont associés. Il faut donc éviter d'utiliser MAIL et lui préférer une application tierce (Tuta Mail par exemple). Si vous résistez malgré tout, il existe un réglage pour masquer votre adresse IP et charger le contenu distant en arrière plan (pour éviter les pixels espion)=> Réglages/Mail/Protection de la confidentialité Les pixels espion sont des trackers qui permettent à des annonceurs de dresser des profils marketing à partir des infos recueillies lorsque vous ouvrez leur email : cela leur permet de savoir que vous l'avez ouvert, combien de temps, à partir de quel type de matériel et de quelle plateforme logicielle, etc...

Il existe également la possibilité d'utiliser le service DuckDuckGo Email qui transférera les emails reçus sur l'adresse créée en “@duck.com“ vers votre email habituel après les avoir nettoyés des éventuels trackers présents dans les images ou les liens inclus. Il est également possible de répondre à un email reçu à partir de cette adresse email en @duck.com. Il existe en plus une fonctionnalité “Générer une Duck adresse privée“ dans leur application, qui permet à l'instar de “Masquer mon adresse e-mail“ d'Apple, de créer des adresses aléatoires à utiliser lors du remplissage de formulaires sur le net.

Concernant l'utilisation générale d'une application de courrier électronique, il convient de rappeler qu'il est strictement interdit de cliquer sur un lien reçu par mail car c'est en effet le principal vecteur d'attaques par Phishing. Si on a besoin de se connecter à un site et s'identifier, on passe par le gestionnaire de mots de passe pour être certain d'atterrir sur le site authentique.

Autres applications

La confidentialité, c'est interdire (ou au moins limiter) les données collectées permettant de faire le lien entre notre navigation et notre réelle identité. On a vu que les bons réglages de confidentialité couplés à l'utilisation du "Relais privé" iCloud+ permettent d'atteindre cet objectif lors de la navigation sur le Web avec Safari. Mais attention, il n'en est rien à ce stade lors de l'utilisation de vos nombreuses applications ! Pour cela il n'y a qu'une manière de les empêcher de vous pister en utilisant votre adresse IP (et donc vous identifient) => utiliser un VPN (Virtual Private Network).

Virtuel Private Network (VPN)

Fonctionnement de l'internet

En (très) gros, pour nous simples particuliers, chacun de nos terminaux connectés est identifié par une adresse IP pour Internet Protocol. Tous les terminaux connectés se voient attribuer une adresse IP. Elle est locale et privée de type 192.168.1.0/254 jusqu'à votre routeur (la fameuse “Box Internet“). Celui-ci possède quant à lui une adresse IP publique, qui sera du type “---.---.---.---“ au format IPv4 (4 entiers séparés par un point) ou "----:----:----:----:----:----:----:----" au format IPv6 (8 blocs alphanumériques séparés par 2 points).
Le format IPv4 est destiné à disparaitre car son format (32 bits) ne permet d'attribuer que 232 soit 4 294 967 296 adresses IP. La dernière adresse a été allouée en Europe en 2019 et des adresses IPv6 sont d(ailleurs attribuées depuis 2017. Ce nouveau format IPv6 mesure 128 bits, ce qui autorise 2128 soit des milliards de milliards de milliards de milliards de possibilités (340 sextillons), nous voilà maintenant tranquilles...

Se connecter à un site revient à créer un lien, une route, entre votre terminal identifié par son IP à celle du site que vous consultez. Heureusement, vous n'avez pas besoin de connaître l'IP de chacun des sites du Net. Un annuaire de ce type existe pourtant, mais l'utiliser tel quel nous replongerait dans les temps révolus des anuuaires des Postes&Télécommunications... Cet annuaire, cette base de données, se nomme DNS pour Domain Name Service et se charge pour vous de traduire chaque nom de domaine en adresse IP.

Lorsque vous consultez un site internet, votre requête est prise en charge par votre FAI (Fournisseur d'Accès Internet) qui la route vers Internet, c'est à dire vers les serveurs qui permettront de vous connecter au site recherché.

Le souci est que le trafic entre votre terminal et le routeur n'est pas chiffré, le chiffrement n'intervient qu'au-delà du routeur en activant le TLS (pour Transport Layer Security) => votre FAI est donc en mesure de suivre toute votre activité.

Trafic internet sans VPN

Fonctionnement du VPN

C'est là que tel Zorro, le fournisseur de VPN intervient. Il va intercaler un serveur entre votre terminal et le routeur.
Ce serveur va récupérer votre requête, la chiffrer et la transmettre au routeur avec une nouvelle adresse IP.
Résultat:
1- => votre FAI ne voit plus passer qu'un trafic chiffré.
2- => le site que vous consultez n'est plus en mesure de vous identifier puisque c'est une nouvelle IP attribuée par le VPN qui est désormais affichée.

Trafic internet avec VPN

On comprend donc que le choix du fournisseur de VPN est important car c'est lui qui reçoit désormais votre requête en clair. S'il utilise vos données de connexion, par exemple pour les revendre, vous aurez souscrit un fournisseur de service pour rien. Chiffrer ces données étant son activité principale, il y a certes peu de chance qu'il se saborde en le faisant, mais une petite recherche sur internet peut toutefois ne pas être superflue pour vérifier la réputation de tout un chacun...

Si la navigation sur le Web sans pare-feu nous expose à la curiosité des serveurs informatiques mis sur notre chemin, n'oublions pas que les applications que nous téléchargeons et utilisons souvent à la place de nos navigateurs sont (pour beaucoup) coupables des mêmes indiscrétions...

Les conséquences à en tirer :

  • Télécharger une application en étant protégé par un VPN est une bonne idée pour éviter toute velléité de suivi par son fournisseur d'accès.
  • Ensuite, vérifier si le concepteur de l'application a nativement prévu de transmettre automatiquement les données d'utilisation (l'exemple Gmail du dessus) peut être très instructif.
  • Enfin, utiliser cette application en ayant préalablement activé un VPN préservera la confidentialité liée à son utilisation.

Mais au fait, avez-vous conscience du type de données que votre IP dévoile de vous ?
Découvrez ci-dessous une partie des éléments qu'un fournisseur de données IP est en capacité de fournir à partir de cet identifiant. Et tout y passe...

{
"ip": "185.195.71.215",
"hostname": "185.195.71.215",
"continent_code": "EU",
"continent_name": "Europe",
"country_code2": "CH",
"country_code3": "CHE",
"country_name": "Switzerland",
"country_name_official": "Swiss Confederation",
"country_capital": "Bern",
"state_prov": "Zurich",
"state_code": "CH-ZH",
"district": "Zurich",
"city": "Zurich",
"zipcode": "8001",
"latitude": "47.37700",
"longitude": "8.53977",
"is_eu": false,
"calling_code": "+41",
"country_tld": ".ch",
"languages": "de-CH,fr-CH,it-CH,rm",
"country_flag": "https://ipgeolocation.io/static/flags/ch_64.png",
"geoname_id": "6530239",
"isp": "Datasource AG",
"connection_type": "",
"organization": "Datasource AG",
"country_emoji": "🇨🇭",
"asn": "AS56803",

"currency": {
"code": "CHF",
"name": "Swiss Franc",
"symbol": "CHF"< },

"time_zone": {
"name": "Europe/Zurich",
"offset": 1,
"offset_with_dst": 1,
"current_time": "2024-11-24 10:13:10.928+0100",
"current_time_unix": 1732439590.928,
"is_dst": false,
"dst_savings": 0,
"dst_exists": true,
"dst_start": {
"utc_time": "2024-03-31 TIME 01",
"duration": "+1H",
"gap": true,
"dateTimeAfter": "2024-03-31 TIME 03",
"dateTimeBefore": "2024-03-31 TIME 02",
"overlap": false< },
"dst_end": {
"utc_time": "2024-10-27 TIME 01",
"duration": "-1H",
"gap": false,
"dateTimeAfter": "2024-10-27 TIME 02",
"dateTimeBefore": "2024-10-27 TIME 03",
"overlap": true< }

"security": {
"threat_score": 75,
"is_tor": false,
"is_proxy": true,
"proxy_type": "VPN",
"is_anonymous": true,
"is_known_attacker": true,
"is_spam": false,
"is_bot": false,
"is_cloud_provider": false },

"user_agent": {
"userAgentString": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/18.1 Safari/605.1.15",
"name": "Safari",
"type": "Browser",
"version": "18.1",
"versionMajor": "18",
"build": "Unknown",
"device": {
"name": "Apple Macintosh",
"type": "Desktop",
"brand": "Apple",
"cpu": "Intel" },
"engine": {
"name": "AppleWebKit",
"type": "Browser",
"version": "605.1.15",
"versionMajor": "605",
"build": "Unknown" },
"operatingSystem": {
"name": "Mac OS",
"type": "Desktop",
"version": ">=10.15.7",
"versionMajor": ">=10.15",
"build": "??" }

Données IP

Les informations que vous dévoilez avec cette adresse IP permettent donc aux acteurs internet de connaitre beaucoup de choses sur vous sans vous le dire:

  • Localisation géographique (voir la section Outils).
  • Utilisation ou pas d'un VPN.
  • Enregistrement de votre navigation (également à l'aide des cookies).
  • Enregistrement de votre adresse email (dans les en-têtes d'email non chiffrés)
  • Type de terminal et de système d'exploitation, navigateur, versions.

L'utilisation qui en est faite peut être:

  • Vertueuse:
    Orienter automatiquement un utilisateur vers la version d'un site qui correspond à sa langue.
    Informer un utilisateur qu'une connection à un site avec ses identifiants est effectuée à partir d'une IP inconnue (prévention de fraude comme illustré ci-dessous).
  • Intéressée:
    Tracer vos habitudes de navigation pour dresser votre profil afin de vous pousser des publicités ciblées.
    Vous empêcher de vous connecter à une plateforme en fonction de votre emplacement (plateformes de streaming).
Sécurisation à partir de l'IP
< Article précédent Article suivant >
Outils >>