Dans notre environnement de plus en plus numérisé, la question de la protection de la vie privée a longtemps été négligée, mais elle occupe aujourd’hui une place de plus en plus importante. Tout était permis auparavant sur internet, où les principaux réseaux sociaux, les agences de publicité et les organismes gouvernementaux s’efforçaient de collecter tout ce qui était légalement (et parfois même illégalement) possible. Aujourd’hui nous sommes plus conscients des risques liés à internet et, heureusement, des outils existent pour mieux protéger notre vie privée lorsque nous naviguons en ligne. Toutefois, avec de tels outils, il devient aussi plus difficile de protéger une organisation comme le CERN contre les attaques à distance et les bévues des utilisateurs. –
Il est important de protéger sa vie privée. La quantité de données nous concernant, collectées par les géants du web, est stupéfiante. La navigation classique sur le web, du fait de sa conception, laisse des traces ; vous pouvez en faire l’expérience en cliquant sur des sites tels que https://clickclickclick.click/ (en anglais), de préférence en mettant le son. Les boutons intégrés « J’aime », et les contenus tiers similaires, permettent de recueillir encore plus d’informations. Par ailleurs, même une fois les extensions de confidentialité du navigateur activées, telles que « Ghostery », « Privacy Badger », « uBlock », « DuckDuckGo Privacy Essentials », certains des paramètres et caractéristiques de votre ordinateur (système d’exploitation, fuseau horaire, langue locale, taille de l’écran et profondeur d’échantillonnage, polices de caractères, module d’extension du navigateur, écran tactile) fournissent toujours suffisamment d’informations pour identifier votre appareil parmi des millions d’autres ordinateurs (vérifiez votre navigateur). Nous citerons ici l’exemple particulièrement effrayant d’un groupe de militants qui a pu retracer la vie d’une bénévole uniquement à partir de son historique de recherche et de ses métadonnées stockées sur Google.
Afin de protéger votre vie privée, vous pouvez utiliser des protocoles dits « sécurisés » tels que HTTPS, SSH et VPN, qui permettent de protéger toutes vos communications contre les écoutes illicites par des tiers. En outre, Mozilla, Apple et d’autres ont proposé et mis en œuvre de nouvelles mesures plus sophistiquées (mais également plus intrusives) pour empêcher des tiers de s’attaquer au trafic de votre réseau :
- Mozilla, en collaboration avec Cloudflare, propose un navigateur permettant d’acheminer toutes vos requêtes DNS, à savoir la traduction d’une adresse IP en un nom de domaine et vice versa, vers leurs serveurs DNS (et non pas vers les serveurs locaux) via des accès sécurisés HTTPS (ce protocole est appelé « DNS-over-HTTPS » ou « DoH ») ; Google propose un service similaire avec le résolveur DNS 8.8.8.8. Vous empêchez ainsi que des tiers (autres que Cloudflare ou Google évidemment) ne récupèrent les noms de domaine auxquels votre appareil a tenté de se connecter.
- D’autres entreprises ont commencé à attribuer des adresses MAC aléatoires, à savoir les identifiants, en principes uniques, de tout appareil. Ces « adresses Wi-Fi privées », comme les nomme Apple, compliquent la tâche des fournisseurs d’accès Wi-Fi cherchant à localiser un appareil.
- Récemment, Apple a lancé le « relais privé iCloud » (« iCloud Private Relay »), un service permettant de créer un réseau privé virtuel (VPN) vers les serveurs Apple dans le but de masquer les adresses IP locales et d’empêcher que le trafic ne soit exposé à des tiers.
Premier dilemme : il est possible que le DoH, le VPN et le « relais privé iCloud » ne fonctionnent pas lorsque vous utilisez des services internes du CERN, puisque ces systèmes établissent un lien avec l’extérieur du CERN. Il en va de même lorsque vous utilisez des « adresses Wi-Fi privées », puisqu’en changeant rapidement elles empêchent votre appareil de se connecter au réseau Wi-Fi du CERN. Ce dernier requiert en effet une adresse MAC fixe et permanente ; il vous faudra donc désactiver cette fonction en vous rendant dans les paramètres Wi-Fi du réseau du CERN (« CERN SSID »).
Second dilemme : le second dilemme touche plus particulièrement l’équipe chargée de la sécurité informatique du CERN. Si nous attachons de l’importance à la protection de votre vie privée, ces mesures de protection nous empêchent cependant d’effectuer notre travail, à savoir protéger l’Organisation et vos appareils contre tout type de cyberattaque. Avec ces canaux sécurisés – HTTPS, VPN, DoH – il nous est plus difficile de détecter si votre appareil se connecte à un domaine malveillant, s’il est redirigé vers des sites web douteux, ou s’il télécharge des données présentant un danger. Cette opacité interfère directement avec notre objectif, qui est de garantir la sécurité de votre appareil et de l’Organisation.
Par conséquent, même si nous continuons à vous encourager à utiliser les protocoles HTTPS, SSH et VPN (en tant que client au CERN ; voir aussi nos articles dans le Bulletin sur les tunnels VPN, « VPN = danger »), nous vous demandons d’éviter d’utiliser le DoH ou le « relais privé iCloud » d’Apple lorsque vous êtes sur le réseau du CERN, et ce dans l’intérêt de la protection générale du réseau et des appareils qui y sont connectés. Si cette démarche ne porte pas ses fruits, nous devrons envisager de bloquer ces fonctionnalités (une fois que nous aurons mieux cerné les dommages collatéraux), ce que nous préférerions éviter.
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel. Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.