Liste pour la protection des données ou Manuel de résistance au capitalisme de surveillance - Valentin Delacour 2016 2021
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Liste pour la protection des données ou Manuel de résistance au capitalisme de surveillance Valentin Delacour 2016 - 2021
Version du 20.05.21 Valentin Delacour Table des matières 1. Introduction p. 2 2. Règles d’or p. 3 3. Ordinateur pp. 4-5 3.1 Systèmes d’exploitation 4 3.2 Services et programmes 5 4. Smartphone pp. 6-9 4.1 Systèmes d’exploitation 6 4.2 Applications 7-8 4.3 F-Droid 9 5. Navigateurs p. 10 5.1 Firefox 10 5.2 Tor Browser 10 6. Instances de services pp. 11-12 6.1 Searx 11 6.2 Invidious 11 6.3 Visioconférence 11 6.4 Résolveurs DNS 12 7. Ressources additionnelles (sources partielles) pp. 13-14 8. Configurations pp. 15-28 8.1 Systèmes d’exploitation 15-16 8.2 Applications et programmes 16-17 8.3 Firefox 18-28 1
Version du 20.05.21 Valentin Delacour 1. Introduction Ce document a pour but principal de proposer des outils et alternatives pour protéger les données et la vie privée de la prédation des entreprises privées œuvrant dans le cadre du système actuel de capitalisme de surveillance. Toutefois, suivre les recom- mandations qui suivent permet également d’améliorer, dans une certaine mesure du moins, la protection contre d’autres entités intéressées par les données personnelles telles que des services d’États ou des pirates, par exemple. Cette liste est destinée à toute personne consciente ou prenant conscience des enjeux de la protection des données dans notre société, indépendamment de ses connais- sances du sujet. Elle ne se destine pas aux personnes nécessitant un anonymat total du fait de leur fonction à risques tels les opposants politiques ou certains journalistes, même si certaines options citées pourraient leur convenir. En effet, le respect de la vie privée n’équivaut pas nécessairement à l’anonymat. Le format de liste a été choisi afin de rendre sa consultation la plus efficace possible. Cette approche empêche de détailler de véritables explications. Vous êtes donc invités à chercher celles qui vous sont nécessaires par vous-mêmes ou dans les ressources additionnelles mentionnées au point 7 du document. Ayant pour but de proposer les options les plus réputées et pratiques sans être encombrée, la liste n’a pas pour voca - tion d’être exhaustive et demeure subjective bien que visant la plus grande objectivité possible. Cette liste propose une première hiérarchisation (ordre d’apparition et présence ou non de parenthèses) subjective basée sur le rapport confidentialité/facilité d’utilisation afin de vous aider à choisir parmi les différentes options citées. Une deuxième hiérar- chisation (couleurs) se base uniquement sur la confidentialité estimée : vert (véritable respect de la vie privée), bleu (respect de la vie privée sous conditions ou présence d’un élément problématique), rouge (ne garantit pas le respect de la vie privée mais reste préférable aux options des GAFAM) et incolore (manque d’éléments pour former une estimation pertinente). La présence d’un astérisque indique que l’option mention- née est encore en phase de développement. J’espère que ce document vous servira pour améliorer la protection de vos données personnelles et de celles de vos proches. Bien qu’étant le fruit de plusieurs années de recherches et d’expériences, ce travail demeure bien évidemment perfectible. Toute suggestion ou remarque est donc plus que bienvenue à l’adresse mail suivante : "privacyfirst@ik.me". Plusieurs mois après la présente version du document, certaines informations données seront obsolètes. Le document étant fréquemment actualisé, vous êtes invités à vous procurer la dernière version sur la page web : "https://codeberg.org/PrivacyFirst/Data_Protection/issues". 2
Version du 20.05.21 Valentin Delacour 2. Règles d’or - Toujours éviter d’utiliser les services et programmes des GAFAM (Google, Amazon, Facebook, Apple et Microsoft) lorsque c’est possible. Il est recommandé de supprimer vos éventuels comptes. - Toujours vérifier tous les paramètres et autorisations de ce que l’on utilise et les opti - miser afin de limiter au maximum la collecte de données personnelles. - Installer uniquement les programmes/applications nécessaires, ce sont autant d’ac- cès potentiels à vos données personnelles. - Utiliser des programmes libres/open source (leurs codes sont publics et donc véri- fiables) au lieu des propriétaires/closed source à chaque fois que c’est possible. - Privilégier les options libres populaires à celles méconnues (elles seront davantage vérifiées/fiables). - Si une entreprise propose ses services gratuitement, en général, le produit qu’elle vend c’est vous (vos données personnelles). À cause du modèle dicté par le capitalisme de surveillance, payer ne vous protège même plus d’être également le produit. - Mettre à jour ses programmes/systèmes d’exploitation régulièrement pour profiter des correctifs de failles de sécurité exploitables et penser à remplacer ceux qui ne pa- raissent plus être mis à jour. - Ne pas utiliser d’antivirus tiers qui sont de véritables aspirateurs à données person- nelles. Leur apport est négligeable lorsqu’on maintient de bonnes habitudes numé- riques. La prudence et une bonne configuration sont les meilleurs antivirus. - Privilégier les Web Apps, ou raccourcis depuis le navigateur, pour accéder aux ser - vices désirés au lieu d’applications à installer pour limiter l’accès et donc les possibili- tés de collecte de données personnelles. - Utiliser une adresse de courriel temporaire pour créer un compte pour les sites/ser - vices peu importants. - Toujours désactiver le Wi-Fi, le Bluetooth et la géolocalisation de son smartphone lor- qu’ils ne sont pas utilisés et ne pas se connecter aux Wi-Fi publics sans VPN. - Ne pas utiliser d’objets connectés (leur but est de récolter un maximum de données personnelles) ou ne pas les connecter à internet lorsqu’ils sont indispensables. 3
Version du 20.05.21 Valentin Delacour 3. Ordinateur 3.1 Systèmes d’exploitation Windows (cf. 8.1) est actuellement le pire système d’exploitation en termes de confi- dentialité. Les seuls OS faciles d’utilisation et respectant véritablement la vie privée sont des distributions libres (donc gratuites) de Linux. Il en existe une multitude dont les caractéristiques varient grandement. Voici une petite sélection de celles proposant la meilleure expérience pour l’utilisateur (toujours en respectant la vie privée) ou ga- rantissant la meilleure protection des données. Il faut savoir que chacune d’entre elles propose une ou plusieurs interfaces (environ- nements de bureau) différentes en termes d’expérience, de consommation de res- sources et d’apparence. Il existe une documentation abondante en ligne pour choisir quelle distribution et quel environnement de bureau conviendront le mieux aux capa- cités de votre ordinateur et à vos préférences ainsi que pour savoir comment l’installer facilement sur votre ordinateur. Desktop : Linux Mint : idéal pour les débutants MX Linux (cf. 8.1) : convient aux débutants (Solus) : convient aux débutants (Parrot) : sécurité renforcée et option d’anonymat par Tor (utilisateurs confirmés) ((Qubes OS)) : sécurité extrême (utilisateurs avancés) ((Whonix)) : anonymat par Tor et sécurité extrême (utilisateurs avancés) USB live (RAM) : MX Linux : convient aux débutants Tails : anonymat par Tor (utilisateurs confirmés) (Parrot) : sécurité renforcée et option d’anonymat par Tor (utilisateurs confirmés) Raspberry Pi : LibreELEC : centre multimédia pour TV Plasma BigScreen* : centre multimédia pour TV (commande vocale avec Mycroft AI) Raspberry Pi OS : système d’exploitation classique Batocera : émulateur de consoles, retrogaming (RetroPie) : émulateur de consoles, retrogaming 4
Version du 20.05.21 Valentin Delacour 3.2 Services et programmes Navigateur : Firefox(cf. 5.1), Tor Browser(cf. 5.2), (LibreWolf*(cf. 5.1), Brave), ((Ungoogled Chromium*, Iridium Browser)). Moteur de recherche : Qwant, Searx(cf. 6.1), DuckDuckGo, Swisscows, (Startpage(proxy Google)). Bureautique : LibreOffice, Onlyoffice, Collabora Office(LibreOffice prof.), (CryptPad). Courriel : Tutanota, Protonmail, CTemplar, Posteo. Plateforme vidéo : Odysee(LBRY), PeerTube. Proxy Youtube : Invidious(cf. 6.2), CloudTube, FreeTube(client Youtube)(cf. 8.2). Messagerie instantanée : Threema, Signal, Session*, Telegram, (Element, Jami*), ((Gajim(client XMPP))). Visioconférence : Jitsi Meet(cf. 6.3), Signal, BigBlueButton(cf. 6.3), Jami*, Element. Réseau social : Telegram, Mastodon, Movim, Lemmy, Friendica, PixelFed. Proxy de réseau social : Nitter(Twitter), Libreddit(Reddit), Bibliogram(Instagram). Traduction : LibreTranslate, DeepL, Apertium. Cartes : OpenStreetMap, Qwant Maps*, DuckDuckGo, (Maps.me). Partage de fichiers : upload.disroot.org, swisstransfer.com, OnionShare. Collaboration et organisation : CryptPad, Mobilizon. Gestionnaire de mots de passe : Bitwarden, KeePassXC. Lecteur multimédia : mpv, VLC. VPN : ProtonVPN, IVPN, (Mullvad, Windscribe). Cloud : Disroot(Nextcloud), Cozy Cloud, Nextcloud, Kdrive(Infomaniak). Courriel temporaire : temp-mail.org, guerrillamail.com, EmailOnDeck. Gestionnaire d’alias pour courriel : forwardemail.net Notes : Joplin, Standard Notes, (Simplenote). Nettoyage et optimisation de système : Stacer, BleachBit. Traitement d’image et dessin : GIMP/Drawing, Krita, Darktable/RawTherapee. Dessin vectoriel : Inkscape Mise en page, édition (PAO) : Scribus Édition audio : Audacity, LMMS, Ardour. Édition vidéo : OpenShot, Kdenlive, (Avidemux, Pitivi, Cinelerra). Suppression de métadonnées : ExifCleaner Outil de chiffrement : VeraCrypt, Cryptomator. Analyse de trafic réseau : Wireshark Programmes/jeux Windows sous Linux : PlayOnLinux(Wine), Wine, (WinApps*). 5
Version du 20.05.21 Valentin Delacour 4. Smartphone 4.1 Systèmes d’exploitation Android, dans sa configuration par défaut, est le pire système d’exploitation quant au respect de la vie privée. Son but est d’envoyer en permanence les données person- nelles de ses utilisateurs aux serveurs Google afin de les exploiter et les revendre. La solution la plus recommandable actuellement est d’utiliser une version d’Android mo- difiée (custom ROM) pour respecter la vie privée. Si vous ne souhaitez pas installer ou acheter un smartphone avec un OS respectueux (grave erreur) et que vous souhaitez malgré tout utiliser Android d’origine, suivez les quelques conseils détaillés au point 8.1 de ce document afin limiter au maximum la collecte de données personnelles. Le système d’exploitation d’Apple (iOS), malgré son marketing basé sur le respect de la vie privée, collecte et exploite également les données personnelles de ses utilisateurs (bien que dans une moindre mesure qu’Android par défaut) et limite leur liberté. Les options basées sur Linux (UBports, Postmarket OS, Mobian, etc.) sont respec- tueuses de la vie privée mais n’offrent pas les mêmes garanties en termes de sécurité qu’Android ou iOS. De plus, dans leur état de développement actuel, elles ne sont pas recommandables pour des utilisateurs moyens (à l’exception peut être de Sailfish OS). Android modifié pour la vie privée : CalyxOS : Android sécurisé et dégooglisé mais avec microG (meilleure compatibilité) /e/OS : Android dégooglisé mais avec microG et services intégrés (compte /e/) GrapheneOS : l’Android dégooglisé le plus confidentiel et sécurisé disponible (LineageOS for microG) : LineageOS avec microG pour une meilleure compatibilité (Volla OS) : Android sécurisé, sans Google apps mais pas totalement dégooglisé ((LineageOS)) : Android sans Google apps mais pas totalement dégooglisé Hardware (préinstallé) : Fairphone 3 et 3+ : /e/OS (version seulement disponible sur le site du projet /e/) Gigaset GS290 : /e/OS (version seulement disponible sur le site du projet /e/) Volla Phone : Volla OS, UBports, Sailfish OS et autres D’autres appareils avec /e/OS préinstallé sont disponibles sur le site du projet /e/. 6
Version du 20.05.21 Valentin Delacour 4.2 Applications Les applications proposées pour Android et dérivés doivent en premier lieu être cher- chées sur le magasin d’applications libres F-Droid (garantie qu’aucun pisteur tiers n’est présent) et seulement si elles ne s’y trouvent pas, sur Aurora Store, un proxy de Google Play qui permet d’avoir accès à ses applications gratuites de manière anonyme (ne jamais s’y connecter avec un compte Google personnel). Ces magasins doivent être téléchargés directement depuis leurs sites web respectifs. Pensez ensuite à retirer l’autorisation d’installer des applications inconnues à votre na- vigateur pour des motifs de sécurité (paramètres > applications > navigateur utilisé). F-Droid : https://f-droid.org Aurora Store : https://auroraoss.com/downloads.php Android et dérivés : Magasin d’applications : F-Droid(cf. 4.3), Aurora Store(proxy Google Play), (APKMirror). Navigateur : Tor Browser(cf. 5.2), Bromite(cf. 4.3), Mull(cf. 4.3 et 5.1), (Privacy Browser). Messagerie instantanée : Threema, Signal(cf. 4.3), Session*(cf. 4.3), Telegram FOSS(cf. 8.2), (Element, Jami*), ((Briar, Conversations(XMPP client))). Visioconférence : Jitsi Meet, Signal, Jami*, Element. Plateforme vidéo : Newpipe(client Youtube)(cf. 4.3), LBRY, TubeLab(client PeerTube). Bloqueur de publicité/pisteurs : RethinkDNS*, (Blokada(cf. 8.2), Nebulo). Cartes/navigation GPS : OsmAnd+, Magic Earth. Client courriel : Tutanota, Protonmail, CTemplar, K-9 Mail. Gestionnaire d’alias pour courriel : SimpleLogin, AnonAddy. Client gestionnaire de mots de passe : Bitwarden(cf. 4.3), KeePassDX. Authentification à deux facteurs : Aegis, andOTP. Web Apps : WebApps Bureautique : Collabora Office(LibreOffice)(cf. 4.3) VPN : ProtonVPN, IVPN, (Mullvad VPN, Riseup VPN, Calyx VPN). Client Mastodon, Friendica, PeerTube et PixelFed : Fedilab, Tusky(Mastodon). Client respectueux Facebook/Twitter/Instagram : Frost/Twidere/WebApps. Suppression de métadonnées : Scrambled Exif, ImagePipe. Outil de chiffrement pour cloud : Cryptomator Radio internet : RadioDroid Organisation d’événements : Mobilizon Redirecteur de contenu Youtube, Twitter, Instagram et Google Map : UntrackMe 7
Version du 20.05.21 Valentin Delacour Remplacement d’applications système pour Android d’origine : Clavier : AnySoftKeyboard, OpenBoard, (FlorisBoard*). Notes : Joplin, Standard Notes, Nextcloud Notes, (Simple Notes, Simplenote). SMS : Signal, (Simple SMS Messenger, QKSMS). Agenda : Simple Calendar, Etar. Gestionnaire de fichiers : Simple File Manager Galerie : Simple Gallery Lecteur audio : Vinyl Music Player, Vanilla Music, (Music Player GO). Lecteur PDF : PDF Viewer Plus, MuPDF Viewer. Contacts : Open Contacts, Simple Contacts. Caméra : Open Camera, (Simple Camera). Enregistreur audio : Audio Recorder, Simple Voice Recorder. Gestionnaire d’appels téléphoniques : Simple Dialer Horloge : Simple Clock Calculatrice : Simple Calculator Pour aller plus loin : Isolateur réseau d’applications et moniteur de trafic : RethinkDNS*, (NetGuard). Révélateur de pisteurs tiers : ClassyShark3xodus, Exodus privacy. Gestionnaire de confidentialité pour applications : App Manager, App Warden(root). Stoppeur d’applications (arrière plan) : RethinkDNS*, SuperFreezZ. Isolateur d’applications : Shelter, Insular. Anonymisation réseau par Tor : Orbot Proxy, InviZible Pro. Falsificateur de localisation : Fake Traveler Remplacement de Google Services : microG GmsCore Bloqueur de micro : PilferShush Jammer IOS : Navigateur : Onion Browser(cf. 5.2), Firefox(cf. 5.1), DuckDuckGo Browser, (Brave). Messagerie instantanée : Threema, Signal, Session*, Telegram(cf. 8.2), (Element, Jami*), ((Monal(client XMPP))). Visioconférence : Jitsi Meet, Signal, Jami*, Element. Plateforme vidéo : LBRY Bloqueur de publicité/pisteurs : Blokada(cf. 8.2), DNSCloak, Lockdown. Cartes/navigation GPS : Magic Earth Client courriel : Tutanota, Protonmail, Ctemplar. Gestionnaire d’alias pour courriel : SimpleLogin 8
Version du 20.05.21 Valentin Delacour Client gestionnaire de mots de passe : Bitwarden, Strongbox - KeePass. Authentification à deux facteurs : Tofu Authenticator Bureautique : Collabora Office(LibreOffice) Outil de chiffrement pour cloud : Cryptomator 4.3 F-Droid Pour pouvoir trouver et télécharger certaines applications depuis F-Droid, il est néces- saire d’ajouter leurs dépôts. Pour cela, aller dans les paramètres de F-Droid, puis sous "dépôts", activer le dépôt "Guardian Project" et enfin appuyer sur le "+" et entrer l’adresse des dépôts ci-dessous souhaités : Bromite : https://fdroid.bromite.org/fdroid/repo Mull : https://divestos.org/fdroid/official Newpipe : https://archive.newpipe.net/fdroid/repo Il peut arriver que Newpipe cesse de fonctionner à cause de modifications réalisées par Google sur Youtube. Afin de bénéficier plus rapidement des mises à jour corri- geant ces problèmes, il est recommandé d’ajouter le propre dépôt de Newpipe. Langis (Signal) : https://gitlab.com/TheCapsLock/fdroid-patched-apps/raw/master/fdroid/repo Langis est une version modifiée de Signal à utiliser en dernier recours si les notifica- tions ne parviennent pas avec la version standard de Signal d’Aurora Store. Session : https://fdroid.getsession.org/fdroid/repo Bitwarden : https://mobileapp.bitwarden.com/fdroid/repo Version de Bitwarden sans les pisteurs tiers présents sur la version de Google Play Collabora Office : https://www.collaboraoffice.com/downloads/fdroid/repo 9
Version du 20.05.21 Valentin Delacour 5. Navigateurs La compartimentation (utiliser différents navigateurs, avec différentes configurations, selon les tâches) est une méthode recommandée pour préserver la vie privée sans trop sacrifier le confort de navigation. À titre d’exemple, il s’agirait d’utiliser Firefox avec une configuration restrictive pour la navigation générale. Ensuite, utiliser un autre profil du même Firefox configuré de ma- nière moins restrictive ou LibreWolf pour les sites ne s’affichant pas correctement ou nécessitant une connexion à un compte personnel et un autre navigateur pour la consultation des sites les plus récalcitrants à la protection de la vie privée (Brave ou Ungoogled Chromium sans configuration sont idéaux pour ce cas de figure). On peut également imaginer un autre navigateur uniquement dédié au e-banking ou encore Tor Browser pour la navigation anonyme. 5.1 Firefox Pour que Firefox protège la vie privée, il est nécessaire de le configurer de manière adéquate (paramètres, extensions et about:config). Toutes les configurations néces- saires sont détaillées au point 8.3 du document. Ces réglages peuvent aussi valoir pour LibreWolf et, dans une certaine mesure, pour les versions mobiles comme Mull. Extensions : Liste complète (restrictive) : uBlock Origin, Decentraleyes, CanvasBlocker, Chameleon, Cookie AutoDelete, ClearURLs, Privacy Redirect, (HTTPS Everywhere). Liste légère : uBlock Origin, Decentraleyes, Cookie AutoDelete, (HTTPS Everywhere). 5.2 Tor Browser Le concept de Tor est de faire passer le trafic internet par un réseau l’anonymisant. Dans le but que l’empreinte (fingerprint) de votre navigateur (donnée entre autres par sa configuration) ne trahisse pas votre identité, les navigateurs Tor sont conçus pour avoir, au possible, la même empreinte indépendamment des utilisateurs. Pour éviter de rendre l’empreinte de votre navigateur Tor unique, il est déconseillé d’installer des extensions ou de faire des modifications dans les paramètres "about:config". Si vous tenez à l’anonymat fourni, il est également nécessaire de ne pas se connecter à des comptes pouvant de fait le compromettre. La méthode d’anonymisation du réseau Tor ralentit les chargements. Il n’est donc pas recommandé de l’utiliser pour le streaming ou les téléchargements volumineux. 10
Version du 20.05.21 Valentin Delacour 6. Instances de services 6.1 Searx Searx est un métamoteur libre qui ne transmet pas de données personnelles aux mo- teurs de recherche utilisés. Il permet une configuration particulièrement avancée. Les différentes instances (disponibles ici : https://searx.space/) n’offrent pas toutes les mêmes garanties de protection de la vie privée (log d’adresses IP ou non, etc.). https://spot.ecloud.global/ : résultats Google inclus, pas de log IP, interface agréable https://search.disroot.org/ : résultats Google inclus, pas de log d’adresses IP https://searx.xyz/ : résultats Google (Startpage) inclus 6.2 Invidious Invidious donne accès au contenu Youtube (proxy) sans transmettre les données per- sonnelles à Google. Malheureusement, ses différentes instances (disponibles ici : https://instances.invidio.us/) rencontrent fréquemment des problèmes dus aux me- sures prises par Google pour empêcher leur fonctionnement. L’extension Privacy Redi- rect redirige automatiquement les liens Youtube vers Invidious (cf. 8.3). Instance Invidious semblant actuellement être la plus fonctionnelle : https://invidious.snopyta.org/ 6.3 Visioconférence Jitsi Meet : FDN : https://talk.fdn.fr/ Snopyta : https://talk.snopyta.org/ Framasoft : https://framatalk.org/accueil/fr/ Calyx : https://meet.calyx.net/ Jitsi : https://meet.jit.si/ Infomaniak : https://meet.infomaniak.com/ BigBlueButton : FAImaison : https://bbb.faimaison.net/b Grifon : https://bbb.grifon.fr/b Nixnet : https://meet.nixnet.services/b 11
Version du 20.05.21 Valentin Delacour 6.4 Résolveurs DNS Intercontinental Avec filtrage contre publicité, pisteurs et domaines malicieux : NixNet (DoH, DoT) BlahDNS (DoH, DoT, DoQ, DNSCrypt) Adguard (DoH, DoT, DoQ, DNSCrypt) (NextDNS) (DoH, DoT, DNSCrypt) NixNet DoH : https://adblock.any.dns.nixnet.xyz/dns-query BlahDNS DoH (Japon) : https://doh-jp.blahdns.com/dns-query Sans filtrage : UncensoredDNS (DoH) (DNSWatch) (non chiffré) DNS.Watch IPv4 : 84.200.69.80, 84.200.70.40 DNS.Watch IPv6 : 2001:1608:10:25::1c04:b12f, 2001:1608:10:25::9249:d69b Europe Avec filtrage contre publicité, pisteurs et domaines malicieux : BlahDNS (DoH, DoT, DoQ, DNSCrypt) LibreDNS (DoH, DoT) BlahDNS DoH (Allemagne) : https://doh-de.blahdns.com/dns-query LibreDNS DoH (Allemagne) : https://doh.libredns.gr/ads Sans filtrage : Snopyta (DoH, DoT) Digitale Gesellschaft (DoH, DoT) PowerDNS (DoH) 12
Version du 20.05.21 Valentin Delacour 7. Ressources additionnelles (sources partielles) Général Excellentes ressources pour mieux comprendre le capitalisme de surveillance et ses menaces : Nothing to Hide, Marc Meillassoux (documentaire) Derrière nos écrans de fumée, Jeff Orlowski (documentaire de vulgarisation) L’Âge du capitalisme de surveillance, Shoshana Zuboff (livre) Tutoriels faciles pour la confidentialité : https://spreadprivacy.com/tag/device-privacy-tips/ Excellentes chaînes à propos de la confidentialité (avec tutoriels): The Hated One : Newpipe, Invidious, CloudTube ou FreeTube Techlore : Odysee ou LBRY (attention, biais pro Apple) Associations pour la défense de la vie privée (informations) : https://ssd.eff.org/ https://www.laquadrature.net https://framablog.org/ https://www.eff.org/deeplinks Associations proposant d’excellents services respectant la vie privée : https://framasoft.org/fr/ https://disroot.org/fr/ https://www.drycat.fr/fr https://snopyta.org/ https://komun.org/ Bonnes pratiques pour la protection des données : https://www.vice.com/en_us/article/d3devm/motherboard-guide-to-not-getting-ha- cked-online-safety-guide Excellent site listant des services et programmes respectueux : https://www.privacytools.io/ 13
Version du 20.05.21 Valentin Delacour Groupes et canaux Telegram Protection de la vie privée et autres : t.me/internet_privacy_io_2 t.me/techloregroup (attention, biais pro Apple) t.me/techloreofficial (attention, biais pro Apple) t.me/NoGoolag Linux et autres : t.me/Linux_Fr t.me/mxfrench Systèmes d’exploitation Linux : MX Linux : https://mxlinux.org/ Linux Mint : https://linuxmint.com/ Android respectueux de la vie privée : CalyxOS : https://calyxos.org/ /e/ OS : https://e.foundation/ Compatibilité des applications avec et sans microG : https://plexus.techlore.tech/ Firefox Configuration Firefox : https://www.youtube.com/watch?v=tQhWdsFMc24 Configuration Firefox basique : https://12bytes.org/articles/tech/firefox/the-firefox-privacy-guide-for-dummies Configuration Firefox avancée : https://12bytes.org/articles/tech/firefox/firefoxgecko-configuration-guide-for-privacy- and-performance-buffs 14
Version du 20.05.21 Valentin Delacour 8. Configurations 8.1 Systèmes d’exploitation Android Les recommandations suivantes étant imparfaites et ne garantissant pas totalement la protection des données, il est recommandé d’utiliser une version d’Android modifiée (cf. 4.1) plutôt qu’Android d’origine. Ceci étant dit, afin de ne pas subir un profilage complet et continu avec Android d’origine, suivez les recommandations suivantes : - éviter toutes les marques chinoises ainsi que Samsung et préférer une marque pro- posant "Android One" (c’est à dire sans surcouche du fabriquant), comme Nokia - ne jamais se connecter avec un compte Google - cf. 4.2 pour pouvoir installer des applications sans Google Play Store - utiliser une application, comme RethinkDNS ou Blokada, qui permet de bloquer les pisteurs ainsi que les publicités et d’utiliser un résolveur DNS respectueux chiffré - désinstaller (ou lorsque cela n’est pas possible désactiver) toutes les applications né- fastes (Google, antivirus tiers, etc.) ou non utilisées - bloquer l’accès internet de toutes les applications désactivées et de celles qui ne né - cessitent pas d’accès internet pour fonctionner grâce à une application pare-feu comme RethinkDNS - vérifier toutes les autorisations des applications et du système afin de les retirer si elles sont néfastes pour la confidentialité ou non nécessaires Windows Les recommandations suivantes étant imparfaites et ne garantissant pas totalement la protection des données, il est recommandé d’utiliser une distribution Linux (cf. 3.1) plutôt que Windows. Ceci étant dit, afin de ne pas subir un profilage complet et conti- nu avec Windows, suivez les recommandations suivantes : - ne pas utiliser de version antérieure à Windows 10 (plus de mise à jour de sécurité) - ne jamais se connecter avec un compte Microsoft - désactiver complètement Cortana - désactiver l’historique d’activité - aller dans les paramètres sous "confidentialité" et tout désactiver dans chacune des catégories à part les autorisations nécessaires pour les applications utilisées 15
Version du 20.05.21 Valentin Delacour - désinstaller (ou lorsque cela n’est pas possible désactiver) Edge, Microsoft OneDrive, les antivirus (à part Microsoft Defender) et toutes les applications non utilisées - activer l'adresse MAC aléatoire dans les paramètres Wi-Fi - de préférence utiliser une autre session que celle d’administrateur au quotidien - installer le programme ShutUp10 pour avoir plus de contrôle sur la confidentialité MX Linux Plugin Flash : Entrer la commande suivante dans le terminal pour supprimer le plugin Flash : sudo apt purge --remove adobe-flashplugin flashplugin-installer pepperflashplugin- nonfree Stop Pub (Advert Blocker) : Sélectionner toutes les options sauf "UNBLOCK" puis valider. Configuration Wi-Fi : Clic droit sur l’icône Wi-Fi, modifier les connections, sélectionner le Wi-Fi actif, sous Wi- Fi sélectionner Adresse MAC clonée : Aléatoire. Sous paramètres IPv6, sélectionner Extensions de confidentialité IPv6 : Activé (adresse temporaire préférée). 8.2 Applications et programmes Telegram Démarrer des échanges secrets pour que les conversations soient chiffrées de bout en bout et ne passent par les serveurs de Telegram : profil du contact > les trois points en haut à droite > Commencer échange secret Désactiver les aperçus des liens dans les échanges secrets pour ne pas contacter les serveurs de Telegram : Paramètres > Confidentialité et sécurité > Échanges secrets > Aperçus des liens Blokada Blocklists > activer les listes noires suivantes : - OISD - Phishing Army 16
Version du 20.05.21 Valentin Delacour - DuckDuckGo Tracker Radar - Exodus Privacy - Combined Privacy - (Goodbye Ads : Samsung ou Xiaomi (uniquement pour les modèles de ces marques)) Encryption > sélectionner un résolveur DNS parmi les suivants : DoH : Digitale Gesellschaft(Europe), Blokada DNS. ((Non chiffré : DNS.Watch, Uncensored DNS, French Data Network(Europe))). FreeTube Utiliser Invidious comme proxy pour éviter de transmettre ses données à Google : Settings : - Player Settings : activer "Proxy Videos Through Invidious" - Advanced Settings : entrer une instance Invidious fonctionnelle En cas de problème, changer d’instance ou tout simplement désactiver "Proxy Videos Through Invidious". 17
Version du 20.05.21 Valentin Delacour 8.3 Firefox Configuration générale 18
Version du 20.05.21 Valentin Delacour 19
Version du 20.05.21 Valentin Delacour 20
Version du 20.05.21 Valentin Delacour Configuration des extensions Il est important d’autoriser ces extensions à fonctionner en navigation privée et d’acti- ver leurs mises à jour automatiques. uBlock : - Settings : cocher "I am an advanced user" et tout cocher sous "Privacy" - Filter Lists : ajouter TOUTES les listes sauf sous "Regions" (seulement activer pour les langues utilisées) - (Ajouter les listes de filterlists.com : Energized : Ultimate Protection, Xtreme + IP + So- cial extension) - Suivre le tutoriel du site internet suivant pour établir les règles de filtre dynamique (optionnel mais recommandé) : https://www.maketecheasier.com/ultimate-ublock-origin-superusers-guide/ 21
Version du 20.05.21 Valentin Delacour Chameleon : 22
Version du 20.05.21 Valentin Delacour Decentraleyes : Aucune configuration requise CanvasBlocker : General : - cocher "Expert mode" - Presets > open > Stealth mode - Random number generator : non persistent APIs : cocher "Protect Window api" + accepter l’exception captcha Misc : décocher "Block data URL pages" ClearURLs : request types: beacon,csp_report,font,image,imageset,main_frame,media,object,object_subrequest, other,ping,script,speculative,stylesheet,sub_frame,web_manifest,websocket,xbl,xml_d td,xmlhttprequest,xslt Cookie AutoDelete : - Automatic Cleaning Options : tout activer - Extension Options : désactiver “Show notification after cookie cleanup” Privacy Redirect : General : - sélectionner les instances souhaitées Advanced : - activer “Always proxy videos through Invidious“ - sélectionner “DASH“ sous “Invidious video quality“ (HTTPS Everywhere) : - Seulement nécessaire pour les versions de Firefox où le “HTTPS-Only Mode“ n’est pas encore implémenté : Firefox ESR et mobile (Fennec) - Aucune configuration requise 23
Version du 20.05.21 Valentin Delacour Configuration about:config Accéder à ces paramètres en entrant about:config dans la barre d’adresse de Firefox. Ces diverses configurations amélioreront la confidentialité, la sécurité et les perfor- mances. Les éléments entre parenthèses ne sont pas souhaitables pour tous les cas. accessibility.blockautorefresh = true ((accessibility.force_disabled = 1)) beacon.enabled = false browser.cache.offline.capacity = 0 browser.cache.offline.enable = false browser.display.use_document_fonts = 0 browser.send_pings.max_per_link = 0 browser.sessionhistory.max_entries = 15 Nombre maximum de pages disponibles pour "précédent", allège Firefox browser.sessionhistory.max_total_viewers = 4 Nombre maximum de pages chargées pour "précédent", allège Firefox browser.sessionstore.interval = 50000 browser.sessionstore.privacy_level = 2 (browser.startup.homepage_override.buildID = supprimer) browser.urlbar.autofill.enabled = false (browser.urlbar.maxRichResults = 0) browser.urlbar.speculativeConnect.enabled = false browser.urlbar.trimURLs = false 24
Version du 20.05.21 Valentin Delacour browser.xul.error_pages.expert_bad_cert = true captivedetect.canonicalURL = supprimer device.sensors = false pour tous les éléments dom.allow_cut_copy = false dom.battery.enabled = false dom.enable_performance = false dom.enable_resource_timing = false dom.event.clipboardevents.enabled = false dom.event.contextmenu.enabled = false dom.image-lazy-loading.enabled = false dom.push = false pour tous les éléments + supprimer les adresses et identifiants dom.serviceWorkers.enabled= false dom.vr.oculus.enabled = false dom.webaudio.enabled = false gamepad = false pour tous les éléments geo = supprimer les adresses geo.enabled = false (gfx.font_rendering.graphite.enabled = false) google = false pour tous les éléments + supprimer les adresses javascript.options.baselinejit = false 25
Version du 20.05.21 Valentin Delacour javascript.options.ion = false javascript.options.native_regexp = false layers.acceleration.force-enabled = true layout.css.visited_links_enabled = false mathml.disabled = true ((media.gmp-widevinecdm.enabled = false)) ((Désactive DRM, si vidéos DRM pas nécessaires)) media.navigator.enabled = false media.video_stats.enabled = false network.captive-portal-service.enabled = false network.dnsCacheEntries = 4000 network.dnsCacheExpiration = 43200 network.dnsCacheExpirationGracePeriod = 43200 network.IDN_show_punycode = true network.http.referer.XOriginPolicy = 0 network.http.referer.XOriginTrimmingPolicy = 2 network.http.referer.spoofSource = true network.http.referer.trimmingPolicy = 2 network.http.speculative-parallel-limit = 0 network.manage-offline-status = false network.security.esni.enabled = true 26
Version du 20.05.21 Valentin Delacour normandy = false pour tous les éléments + supprimer les adresses et identifiants pocket = false pour tous les éléments + tout supprimer privacy.clearOnShutdown.offlineApps = true privacy.spoof_english = 2 privacy.trackingprotection.socialtracking.enabled = true report (reporter/reporting) = false pour tous les éléments + supprimer les adresses safebrowsing = false pour tous les éléments + supprimer les adresses et identifiants security.cert_pinning.enforcement_level = 2 security.mixed_content.upgrade_display_content = true security.OCSP.enabled = 0 security.ssl.enable_false_start = false security.ssl.enable_ocsp_must_staple = false security.ssl.enable_ocsp_stapling = false security.ssl.require_safe_negotiation = true security.ssl3.rsa_des_ede3_sha = false security.tls.enable_0rtt_data = false security.tls.version.min = 3 telemetry = false pour tous les éléments + supprimer les adresses et identifiants ui.use_standins_for_native_colors = true webgl.disabled = true webgl.enable-debug-renderer-info = false 27
Version du 20.05.21 Valentin Delacour webgl.enable-webgl2 = false Seulement si l’on utilise pas l’extension Chameleon : (privacy.resistFingerprinting = true) (Il vaut mieux laisser "false" et falsifier l’empreinte avec Chameleon) Ceux-ci devraient être directement configurés avec Chameleon s’il est installé : media.peerconnection.ice.default_address_only = true media.peerconnection.ice.no_host = true ((media.peerconnection.enabled = false)) privacy.firstparty.isolate = true 28
Vous pouvez aussi lire