Mon fournisseur Internet peut-il vraiment vendre mes données? Comment puis-je me protéger?
Vous avez peut-être entendu beaucoup de nouvelles récemment sur le fait que les fournisseurs de services Internet suivent votre historique de navigation et vendent toutes vos données. Qu'est-ce que cela signifie et comment pouvez-vous vous protéger au mieux?
Qu'est-il arrivé
Traditionnellement, la Federal Trade Commission (FTC) était chargée de réglementer les fournisseurs de services Internet. Début 2015, la Federal Communications Commission (FCC) a voté en faveur du reclassement de l'accès Internet à large bande en tant que service «opérateur public», dans le cadre d'une campagne en faveur de la neutralité de l'internet. Cela a déplacé la réglementation des FAI de la FTC à la FCC.
La FCC a ensuite imposé des restrictions sur ce que les fournisseurs de services Internet étaient et ne pouvaient pas faire avec leurs clients. Les FAI seraient empêchés de rediriger le trafic de recherche, d'injecter des annonces supplémentaires dans des pages Web et de vendre des données d'utilisateur (telles que l'emplacement et l'historique de navigation), entre autres pratiques rentables aux dépens des utilisateurs..
En mars 2017, le Sénat et la Chambre ont voté une résolution visant à abroger les règles de confidentialité de la FCC et à les empêcher de prendre de nouvelles réglementations. Leur justification du projet de loi était que des entreprises comme Google et Facebook sont autorisées à vendre ces informations et que les réglementations empêchent injustement les fournisseurs de services Internet de se faire concurrence. Les législateurs ont affirmé que, dans la mesure où Google détient environ 81% du marché de la recherche, ils contrôlent davantage le marché que tout autre fournisseur de services Internet. Bien que la domination de Google dans la recherche soit réelle, les internautes ont la possibilité d’éviter Google, Facebook ou tout autre site. La plupart des internautes utilisent Google pour la recherche, mais il existe de nombreuses autres options et il est facile de basculer. En utilisant des outils tels que Privacy Badger, il est assez facile d'éviter l'analyse de Google ou de Facebook sur le Web. En comparaison, tout votre trafic Internet passe par votre fournisseur de services Internet et très peu d'Américains ont plus d'un ou deux choix.
Le projet de loi a été signé par le président début avril. Bien que tous les règlements de la FCC ne soient pas entrés en vigueur avant leur annulation, cela porte toujours un coup dur à la vie privée des Américains en ligne. Étant donné que les FAI sont toujours classés comme transporteurs publics, aucun autre organisme de réglementation n’a le pouvoir de rétablir ces règles..
Digne d'intérêt, mais pas si nouveau
De nombreux règlements de la FCC devaient commencer en 2017 et 2018. Les grands fournisseurs de services Internet suivent leurs utilisateurs depuis des années. Verizon avait l'habitude d'injecter un super-cookie dans toutes les demandes du navigateur de leurs clients, leur permettant (ainsi qu'à des tiers) de suivre les utilisateurs individuels sur le Web. Le supercookie a été ajouté aux demandes après qu'ils aient quitté les ordinateurs des utilisateurs. Il n'y avait donc aucun moyen de les éviter tant que Verizon avait cédé et ajouté une option de retrait. Pendant un certain temps, AT & T a facturé 30 $ de plus par mois à ses clients pour ne pas suivre leur utilisation d’Internet. Cette affaire a été l'inspiration pour les règlements de la FCC sur la confidentialité.
Il est facile de penser: «Nous ne sommes pas moins bien lotis qu’il ya un an.» Et cela pourrait être partiellement vrai. Nous vivons sous les mêmes règles que nous étions alors; c'est juste qu'ils ne changeront pas pour le mieux. Il n'est toujours pas possible d'acheter l'historique Internet d'un individu. les données sont anonymisées et vendues en masse aux annonceurs et aux autres organisations.
Cependant, ces nouvelles réglementations (qui ne vont pas entrer en vigueur à présent) auraient permis de combler un vide important dans la vie privée sur Internet. Si vous plongez dans les données anonymisées, il peut être facile de découvrir leur propriétaire. De plus, il y a l'argument à faire valoir que les fournisseurs de services Internet sont, en réalité, à double penchement. La position selon laquelle cette décision place les fournisseurs de services Internet dans un espace plus concurrentiel avec des services tels que Google est un peu trompeuse. Les FAI dominent le "dernier kilomètre" des locaux de leurs clients et nous payons déjà beaucoup pour leur accès.
Comment puis-je me protéger?
L'adoption du projet de loi inquiète de nombreuses personnes et veulent des moyens de se protéger des regards indiscrets de leur fournisseur d'accès. Heureusement, vous pouvez prendre certaines mesures pour protéger votre vie privée. La plupart de ces méthodes visent à vous protéger de ce que nous appelons les attaques de type "Man-in-the-Middle" (MitM). Le trajet parcouru par vos données entre votre PC et un serveur Internet et inversement passe par de nombreux intermédiaires. Lors d'une attaque MitM, un acteur malveillant s'insère dans le système quelque part au cours de ce trajet à des fins d'espionnage, de stockage ou même de modification de vos données..
Traditionnellement, un MitM est supposé être un mauvais acteur qui s'insère dans le processus; vous faites confiance aux routeurs, aux pare-feu et aux FAI entre vous et votre destination. Cependant, si vous ne pouvez pas faire confiance à votre FAI, les choses se compliquent. Gardez à l'esprit que cela s'applique à tout le trafic Internet, pas seulement à ce que vous voyez dans votre navigateur. La bonne nouvelle (si vous pouvez l'appeler ainsi), c'est que les attaques MitM sont un problème assez ancien et assez commun pour lequel nous avons développé de très bons outils que vous pouvez utiliser pour vous protéger..
Utilisez HTTPS où vous pouvez
HTTPS chiffre la connexion entre votre ordinateur et un site Web, à l'aide d'un protocole appelé TLS (ou l'ancien SSL). Dans le passé, cette information était principalement utilisée pour des informations sensibles telles que les pages de connexion ou les informations bancaires. Cependant, la mise en œuvre de HTTPS est devenue plus facile et moins chère. De nos jours, plus de la moitié de tout le trafic Internet est crypté.
Lorsque vous utilisez HTTPS, le contenu des paquets de données est crypté, y compris l'URL réelle que vous visitez. Toutefois, le nom d'hôte de votre destination (howtogeek.com, par exemple) est conservé non chiffré, car les nœuds situés entre votre appareil et la destination de vos données doivent savoir où envoyer votre trafic. Même si les FAI ne peuvent pas voir ce que vous envoyez via HTTPS, ils peuvent toujours savoir quels sites vous visitez..
Certaines métadonnées (données sur les données) ne peuvent pas être masquées à l'aide de HTTPS. Quiconque surveille votre trafic sait quelle quantité est téléchargée dans une demande donnée. Si un serveur ne contient qu'un fichier ou une page d'une taille spécifique, cela peut être un cadeau. Il est également facile de déterminer l’heure à laquelle les demandes sont effectuées et la durée des connexions (par exemple, la durée d’une vidéo en streaming)..
Mettons tout cela ensemble. Imaginez qu'il y ait un MitM entre moi et Internet, interceptant mes paquets. Si j'utilise HTTPS, ils pourraient dire, par exemple, que je suis allé sur reddit.com à 23h58, mais ils ne sauraient pas si je visite la page d'accueil, / r / technology, ou un autre, moins page de sécurité pour le travail. Avec un effort, il leur sera peut-être possible de déterminer la page en fonction de la quantité de données transférées, mais il est peu probable que vous visitiez un site dynamique contenant beaucoup de contenu. Comme je charge la page une fois et que cela ne change pas en temps réel, la longueur de la connexion doit être courte et difficile à apprendre..
HTTPS, c'est bien, mais ce n'est pas une solution miracle lorsqu'il s'agit de vous protéger de votre FAI. Comme indiqué précédemment, cela masque le contenu, mais ne protège pas les métadonnées. Et bien que l'utilisateur final ne demande que peu ou pas d'effort, les propriétaires de serveurs doivent configurer leurs serveurs pour pouvoir les utiliser. Malheureusement, de nombreux sites Web ne prennent pas en charge le protocole HTTPS. De plus, seul le trafic du navigateur Web peut être crypté avec HTTPS. Le protocole TLS est utilisé dans d'autres applications, mais n'est généralement pas visible pour les utilisateurs. Cela rend difficile de savoir quand ou si votre trafic d'application est crypté.
Utiliser un VPN pour crypter tout votre trafic
Un réseau privé virtuel (VPN) crée une connexion sécurisée entre votre appareil et un point de terminaison. C'est essentiellement comme si vous créiez un réseau privé au sein du réseau Internet public. C'est pourquoi nous appelons souvent une connexion VPN un tunnel. Lorsque vous utilisez un VPN, tout votre trafic est crypté localement sur votre appareil, puis envoyé par le tunnel au point de terminaison de votre VPN (généralement un serveur sur le service VPN utilisé). Au point de terminaison, votre trafic est déchiffré, puis envoyé à la destination souhaitée. Le trafic de retour est renvoyé au point de terminaison VPN, où il est crypté, puis renvoyé par le tunnel..
L'une des utilisations les plus courantes des VPN est de permettre aux employés d'accéder aux ressources de l'entreprise à distance. Il est recommandé de garder les ressources internes de l'entreprise déconnectées d'Internet. Les utilisateurs peuvent créer un tunnel vers un point de terminaison VPN à l'intérieur d'un réseau d'entreprise, ce qui leur permet ensuite d'accéder aux serveurs, imprimantes et autres ordinateurs, tout en les protégeant du réseau Internet..
Au cours des dernières années, les VPN sont devenus populaires pour un usage personnel, afin d'améliorer la sécurité et la confidentialité. Prenons l'exemple de la connexion Wi-Fi gratuite au café. Il est facile de renifler le trafic sur des réseaux Wi-Fi non sécurisés. Il est également possible que vous vous connectiez à un réseau jumeau diabolique - un faux point d'accès Wi-Fi se faisant passer pour un réseau légitime - espérant servir les logiciels malveillants. Si vous utilisez un VPN, tout ce qu'ils peuvent voir sont des données cryptées, sans indication de l'endroit ou avec qui vous communiquez. Le tunnel VPN assure également l’intégrité, ce qui signifie qu’un outsider malveillant ne peut pas modifier le trafic..
Lorsque vous utilisez un VPN, votre fournisseur de services Internet ne peut ni voir ni modifier ce qui passe dans le tunnel crypté. Comme tout est crypté jusqu'à ce qu'il atteigne le point de terminaison, ils ne savent pas quels sites vous visitez ni quelles données vous envoyez. Les FAI peuvent dire que vous utilisez un VPN et voir le point de terminaison du VPN (un bon indicateur du service VPN que vous utilisez). Ils savent également combien de trafic vous produisez à quelle heure.
L'utilisation d'un VPN peut également affecter les performances du réseau. La congestion sur un VPN peut vous ralentir, mais dans de rares cas, vous pouvez obtenir de meilleures vitesses lorsque vous êtes sur un VPN. Vous devez également vérifier si le VPN ne contient aucune information..
Les entreprises et les collèges offrent souvent un accès VPN gratuit à leurs utilisateurs. Assurez-vous de vérifier la politique d'utilisation; leurs administrateurs ne veulent probablement pas que vous diffusiez de la vidéo en continu ou que vous fassiez quoi que ce soit pour travailler sur leur réseau. Sinon, vous pouvez payer pour accéder à un service VPN, généralement entre 5 et 10 dollars par mois. Vous devriez faire des recherches pour choisir le meilleur VPN qui réponde à vos besoins, mais nous avons concocté un guide pratique pour choisir le meilleur service VPN susceptible de vous aider tout au long du processus..
N'oubliez pas que vous devez pouvoir faire confiance à votre fournisseur de réseau privé virtuel. Le VPN empêche votre FAI de voir le trafic sous tunnel. Cependant, votre trafic doit être déchiffré une fois qu'il atteint le point de terminaison afin que celui-ci puisse le transférer vers la destination appropriée. Cela signifie que votre fournisseur VPN peut voir cette information. De nombreux services VPN affirment ne pas enregistrer, utiliser ou vendre votre trafic. Cependant, il n’ya souvent aucun moyen de savoir s’ils tiennent ou non ces promesses. Même s'ils sont honnêtes, c'est possible leur FAI extrait les données.
En particulier, vous devriez vous méfier des VPN gratuits. Dernièrement, les extensions de navigateur VPN sont devenues populaires, en grande partie à cause de leur faible coût / sans coût et de leur facilité d’utilisation. Faire fonctionner un service VPN coûte cher, et les opérateurs ne le font pas par bonté. L’utilisation de l’un de ces services gratuits ne fait souvent que basculer la possibilité de vous espionner et d’injecter des annonces de votre FAI sur le VPN. Rappelez-vous: lorsque vous ne payez pas pour un service avec des coûts d'exploitation, vous êtes le produit.
En fin de compte, les VPN constituent une solution utile mais imparfaite. Ils offrent un moyen de transférer la confiance de votre FAI à un tiers, mais il n’existe pas de moyen facile de déterminer si un fournisseur de réseau privé virtuel est digne de confiance. Si vous savez que votre FAI n’est pas fiable, les VPN peuvent valoir le coup. HTTPS / TLS doit être utilisé avec un VPN pour améliorer encore votre sécurité et votre confidentialité.
Alors, qu'en est-il de Tor?
Le routeur d'oignon (Tor) est un système qui chiffre et anonymise le trafic. Tor est complexe et des articles entiers peuvent (et ont) été écrits dessus. Bien que Tor soit utile pour beaucoup de gens, il peut être difficile de l'utiliser correctement. Tor aura un effet beaucoup plus visible (négatif) sur la qualité et les performances de votre utilisation d'Internet au quotidien que les autres méthodes mentionnées dans cet article..
Mettre tous ensemble
Ce projet de loi n'a pas conféré de nouveaux pouvoirs aux FAI, mais il a empêché le gouvernement de protéger votre vie privée. Il n’existe pas de solution miracle pour empêcher votre FAI de vous espionner, mais il reste encore beaucoup de munitions. Utilisez autant que possible HTTPS pour protéger le contenu du message entre vous et la destination. Pensez à utiliser un VPN pour créer un tunnel autour de votre fournisseur de services Internet. Pendant que vous apportez des changements, pensez à vous protéger d'autres sources d'espionnage et d'espionnage. Configurez les paramètres de votre système d'exploitation pour améliorer la confidentialité (Windows et OSX), ainsi que votre navigateur Web (Chrome, Firefox ou Opera). Utilisez également un moteur de recherche respectant votre vie privée. La protection de votre vie privée est une bataille ardue, plus que jamais, mais How-To Geek est déterminé à vous aider tout au long de votre parcours..
Crédit d'image: DennisM2.