Souriez, vous n’êtes plus fiché

Même si la législation lui assure la confidentialité de ses données, l’utilisateur des nouvelles technologies n’est pas à l’abri de la curiosité d’un quelconque service informatique. Petit récapitulatif des parades possibles

Infos : http://anonymizer.secuser.com, www.the-cloak.com, www.anonymat.org, www.pgpi.org, www.hotmail.com, www.caramail.com.

Convention collective de travail, législation, droit à la liberté d’expression… Dans les pays démocratiques, plusieurs textes de loi s’attachent à protéger la vie privée du citoyen et, donc, de l’internaute. En principe, ces textes lui garantissent l’intégrité des informations stockées sur son ordinateur ainsi qu’une totale discrétion quant à la nature de ses activités en ligne. Et, dans la grande majorité des cas, ces protections fonctionnent plutôt bien. Ainsi, en Belgique, le particulier n’a pas de véritable raison de se laisser aller à la paranoïa. Seules, finalement, les informations stockées par son fournisseur d’accès Internet (ISP) pourraient prochainement prêter à contestation. En effet, une fois publié l’arrêté royal précisant certaines dispositions de la loi sur la criminalité informatique – publication probablement reportée à la prochaine législature pour cause d’élections -, les ISP seront tenus d’enregistrer et de conserver (pour une durée qui n’est pas encore définie) toutes les données sur les connexions des utilisateurs et l’identification de celui-ci. Assez inquisitrice, cette procédure devrait surtout permettre aux autorités judiciaires de progresser plus rapidement dans les instructions liées à un délit informatique. Les données collectées par les ISP ne seront donc accessibles qu’aux seuls enquêteurs dans le cadre, réglementé, d’une enquête officielle. Deux conditions qui, en démocratie, devraient offrir des garanties suffisantes quant au traitement impartial de ces informations.

Dans les entreprises, les choses ne se passent pas exactement de la même manière. La convention collective de travail n° 81, adoptée par le Conseil national du travail en avril 2002, garantit au travailleur le respect de la vie privée lors de l’utilisation des moyens de communication électroniques sur son lieu de travail. En clair, sauf accord du travailleur, le contrôle de l’employeur ne peut concerner que le trafic et le volume des données échangées et non pas le contenu de celles-ci. Officiellement, cette convention collective protège donc assez efficacement l’employé. Cependant, celui-ci ne doit jamais perdre de vue que, techniquement, tout est contrôlable sur le réseau de l’entreprise. Messages électroniques, sites visités, informations stockées sur le disque dur, rien n’échappe au service informatique de sa société. Et tant que les informaticiens ne seront pas protégés par le secret professionnel ni tenus de le respecter, rien ne dit qu’une information récupérée  » par la bande  » ne se retournera pas un jour contre l’employé. En effet, si un employeur trouve dans les données informatiques d’un salarié une information  » répréhensible « , même s’il ne peut l’utiliser juridiquement, la seule connaissance de cette information suffira à ternir leur collaboration future.

Pour éviter ce genre de désagrément, l’employé dispose de quelques astuces techniques pour rendre inopérante une grande partie des démarches inquisitrices. Pour ce faire, l’utilisateur devra focaliser son attention sur trois facteurs : les traces laissées sur le Net, les informations stockées temporairement sur son disque dur et les messages envoyés et reçus.

Sur le Réseau, chaque ordinateur est identifiable par son adresse Internet ou adresse IP. Chaque fois que l’utilisateur demande l’affichage d’un site, l’adresse IP de sa machine, l’heure de connexion ainsi que les coordonnées du site qu’il souhaite atteindre sont enregistrées dans le fichier log (sorte de journal enregistrant les événements se produisant dans un système) du serveur de son entreprise ou de son ISP. A partir des informations enregistrées dans ce fichier, il est donc très facile de savoir qu’à telle heure l’ordinateur de Monsieur X a visité le site Y. Pour rendre caduques ces informations, l’utilisateur peut utiliser une passerelle (un serveur proxy), comme celle fournie par le site Anonymizer. Celui-ci se comporte comme une zone tampon entre la machine de l’utilisateur et celle du site qu’il souhaite atteindre. En clair, l’internaute indiquera au service Anonymizer l’adresse qu’il désire visiter et c’est Anonymizer qui se chargera d’établir la connexion. Dans le fichier log du serveur de l’entreprise ou dans celui de l’ISP n’apparaîtra que l’adresse IP du service anonyme et non celle du site réellement visité. Avant de se précipiter sur ce genre de services, il faut savoir qu’ils ralentissent sensiblement la navigation et ne proposent certaines options que contre espèces sonnantes et trébuchantes.

Mouchard involontaire

Les fichiers temporaires constituent le deuxième élément auquel il faut porter une grande attention. Quand on navigue sur Internet, une partie du disque dur de l’ordinateur sert de mémoire cache dans laquelle est stockée une copie des sites visités. Lors d’une seconde visite, avant de charger un site depuis le Net, l’ordinateur vérifie qu’une copie de celui-ci n’existe pas sur le disque dur de la machine. Astucieuse en termes de rapidité, la man£uvre s’avère extrêmement préjudiciable à la confidentialité des séances de surf. Dès lors, afin que l’on ne découvre pas les reliefs de ses navigations, l’utilisateur a tout intérêt à vider régulièrement la mémoire cache de son navigateur. Sous Internet Explorer, la manipulation s’effectue depuis la rubrique  » Internet Options  » du menu  » Tools « . Dans la boîte de dialogue, sous l’onglet  » General « , se trouve le bouton  » Delete Files… « , qui purge la mémoire cache. Pour éviter de stocker trop de sites sur le disque dur, il est également possible, en sélectionnant le bouton  » Settings « , de modifier l’espace disque alloué à la mémoire temporaire. Ainsi, les utilisateurs paranos veilleront à lui attribuer un seul petit méga de place. Avant de fermer la boîte de dialogue  » Internet Options « , l’utilisateur s’attardera sur la rubrique  » History « . Pour faciliter la vie de l’internaute, cette option permet de conserver automatiquement l’adresse ainsi que le nom des sites visités durant une certaine période. Pour fermer le bec à cet involontaire mouchard, on veillera à mettre sur zéro la rubrique  » Days to keep pages in history « .

Enfin reste l’épineux problème du courrier électronique. Chaque fois que vous envoyez un e-mail, une copie de ce message est laissée sur les ordinateurs par lesquels il transite. En théorie, ces copies sont effacées automatiquement par les serveurs après quelques heures. Dans la pratique, ce laps de temps suffit largement à un £il scrutateur pour farfouiller dans vos missives. Les cas d’informaticiens indélicats ayant parcouru la correspondance de leurs collègues ainsi que celle de la direction ne sont pas rares. Mieux, si l’indiscret dispose des droits sur le serveur de mail, il n’éprouvera aucune difficulté à modifier le contenu d’un message à l’insu du destinateur et du destinataire.

Dès lors, pour les courriers ultra-confidentiels, il n’est pas inutile d’utiliser un programme de cryptage comme Pretty Good Privacy (PGP). Gratuit dans le cadre d’une utilisation privée, PGP fonctionne sur le principe de la clé publique et de la clé privée. En résumé, seule une personne possédant votre clé publique peut ouvrir un message que vous avez crypté avec votre clé privée. De la même manière qu’il brouille les messages, PGP propose également une option autorisant le cryptage des fichiers ou des dossiers présents sur votre disque dur. Si, en Belgique, la législation autorise le recours au cryptage, il n’est pas certain que votre employeur autorise l’installation de ce genre de programme sur les ordinateurs de l’entreprise. Dans ce cas de figure, pour gérer sa correspondance privée depuis son lieu de travail, l’utilisateur pourra toujours se tourner vers un service webmail, comme Hotmail ou Caramail. Même si ces services ne supportent pas le cryptage, ils permettent d’introduire des coordonnées bidon lors de l’inscription. Consulter un système de webmail en passant par une passerelle anonyme brouillera, bien évidemment, un peu plus les pistes.

Moralité de l’histoire ? Actuellement, la fiabilité des nouvelles technologies de l’information et de la communication est à ce point défaillante que le citoyen soucieux du respect de sa vie privée se voit contraint d’utiliser des méthodes de  » voyou  » pour contourner l’omnipotence grandissante des systèmes informatiques. On avait dit progrès ? l

Vincent Genot

Une rubrique de Vincent Genot