Il semblerait que le port du chapeau en papier d'aluminium ait été confirmé aujourd'hui, comme les nouvelles ont éclaté de l'ampleur réelle de la surveillance par le gouvernement américain des activités en ligne de ses citoyens, menée principalement par le biais de la NSA et apparemment au-delà du domaine de la loi .
Si l'on en croit les rapports, les métadonnées sur pratiquement tous les aspects de la vie des individus - enregistrements téléphoniques et données géographiques, e-mails, heures et emplacements de connexion aux applications Web, transactions par carte de crédit - sont agrégées et soumises à une analyse des `` mégadonnées ''.
Le potentiel d'abus, en particulier à la lumière du récent scandale de l'IRS et de l'enquête sur les fuites d'AP, semble illimité.
Sachant cela, quelles mesures les particuliers peuvent-ils prendre pour se protéger contre la collecte et la divulgation de ces informations personnelles sensibles?
Je commencerais par une plus grande adoption de PGP pour les e-mails, des alternatives open source aux applications Web et l'utilisation de VPN. Y a-t-il d'autres (ou meilleures) mesures qui peuvent être prises pour minimiser son exposition au coup de filet de surveillance?
Avant-propos: Ce problème ne concerne pas nécessairement les gouvernements. Au niveau le plus général, il s'agit de services en ligne fournissant leurs données vous concernant (volontairement ou accidentellement) à un tiers. Pour des raisons de lisibilité, j'utiliserai le terme "gouvernement" ici, mais comprenez qu'il pourrait plutôt être remplacé par toute institution avec laquelle un fournisseur de services a une raison impérieuse de coopérer avec (ou toute institution avec laquelle le service pourrait devenir totalement compromis par - les implications sont raisonnablement similaires). Les conseils ci-dessous sont généralisables à tout cas dans lequel vous souhaitez utiliser un service externe tout en préservant la confidentialité contre toute personne pouvant avoir accès aux données de ce service.
Maintenant, pour répondre à la question elle-même:
... quelles mesures les particuliers peuvent-ils prendre pour se protéger contre la collecte et la divulgation de ces informations personnelles sensibles?
Si vous ne voulez pas que le gouvernement d'une nation ait accès à vos données, ne les placez pas sur un service de stockage de données qui pourrait éventuellement être de connivence avec une agence gouvernementale de cette nation.
Pour notre modèle, supposons que certains gouvernements aient accès à vos données stockées sur des services majeurs particuliers au repos (ainsi que leurs journaux de serveur, éventuellement). Si vous traitez avec un service qui fait du stockage (Google Drive, e-mail), SSL ne fera absolument rien pour vous aider: peut-être qu'un effort de surveillance contre vous ne peut pas voir ce que vous stockez lorsque vous l'envoyez sur le fil, mais ils peuvent voir ce que vous avez stocké une fois que vous l'avez stocké.
Vraisemblablement, un tel gouvernement pourrait avoir accès aux mêmes données vous concernant que Google ou Microsoft ou Apple a. Par conséquent, le problème de garder les informations secrètes de la surveillance se réduit au problème de les garder secrètes de le fournisseur de services lui-même (c.-à-d. Google, MS, Apple, etc.) Pratiquement, je pourrais vous proposer des conseils spécifiques pour réduire le risque d'exposition des données:
S'il y a des informations persistantes (c'est-à-dire un document) que vous ne voulez pas qu'un gouvernement voie, ne laissez pas non plus votre fournisseur de services les voir. Cela signifie soit utilisez un service auquel vous faites absolument confiance (c'est-à-dire une installation de FengOffice ou EtherPad qui se déroule sur votre SheevaPlug à la maison (à condition que vous fassiez confiance à la sécurité physique de votre maison, bien sûr)) ou utilisez le chiffrement au repos - c'est-à-dire, chiffrez vos documents avec un chiffrement fort avant vous les envoyez à Google Drive (je peux personnellement recommander AES, mais voir la discussion ci-dessous dans les commentaires).
Pour les informations personnelles auxquelles vous n'avez pas besoin d'accéder en permanence, comme votre historique de recherche, vous pouvez probablement empêcher que ces informations vous soient liées personnellement en confondant le point d'origine pour chaque recherche en utilisant un VPN ou un routage oignon comme Tor .
Je me souviens de ce xkcd :
:
Une fois qu'un service dispose de vos données, il est impossible de contrôler ce que ce service en fait (ou dans quelle mesure ce service le défend). Si vous voulez contrôler vos données, ne les donnez pas. Si vous voulez garder un secret, ne le dites à personne. Tant que la possibilité de collusion de surveillance ou de compromission de données contre un service est non négligeable, ne vous attendez pas à ce que vos données stockées en externe soient privées de l'inspection par un gouvernement, même si vous vous attendiez à ce que ces données soient généralement privées.
Une autre question est de savoir s'il y aura un impact significatif réel sur l'internaute moyen de tels programmes de collecte d'informations. C'est impossible à dire, du moins en partie parce qu'il est impossible de contrôler de manière transparente le comportement des personnes impliquées dans un programme secret de collecte d'informations. En fait, il pourrait y avoir un impact d'un tel programme qui serait impossible pour le grand public de reconnaître comme l'impact d'un tel programme.
Dans le cas de NSA en particulier, NSA est affrété pour faire face à la surveillance étrangère, donc les citoyens américains ne sont généralement pas cibles à analyser, à moins qu'il se trouve qu'un étranger se trouve à proximité dans leur graphique social. Le NSA fait publiquement un effort pas pour collecter des informations sur les citoyens américains (bien que le degré auquel ceci soit suivi dans la pratique soit impossible à vérifier, comme discuté ci-dessus).
Malgré le battage médiatique, l'essentiel ici n'est pas que le gouvernement du FBI/NSA/US intercepte tous les appels téléphoniques, mais qu'il recueille tous les téléphones des enregistrements de "métadonnées" qui comprennent:
Ils ne peuvent pas , cependant, écouter vos appels téléphoniques sous cet ordre.
Source: The Guardian , The Guardian , Filaire
Que pouvez-vous faire à ce sujet en tant qu'individu? Rien, techniquement parlant. Ces informations ne sont pas ce que vous communiquez, mais avec qui vous communiquez et d'où. Cette information n'est pas quelque chose que vous contrôlez. Les informations recherchées par les agences de l'alphabet étaient des "métadonnées", c'est-à-dire des données que les fournisseurs de télécommunications génèrent/stockent par leurs propres moyens. Dans le cadre de votre utilisation de leur service (et de l'obtention d'un service utile), ces données sont créées.
Si vous êtes un citoyen des États-Unis, vous pouvez exiger des mesures de votre gouvernement, soutenir des organisations comme l'EFF qui travaillent pour protéger votre vie privée et exprimer vos sentiments à ce sujet à vos représentants locaux.
Dans un article de presse allemand, mais plus ancien, il y a quelques années, un homme politique allemand, Malte Spitz, a poursuivi pour que le géant allemand des télécommunications Deutsche Telekom lui remette six mois de données téléphoniques qu'il a ensuite mises à disposition ici . Il a été tracé sur une carte et vous permet de montrer où il était sur une période de 6 mois, ce qui vous donne une idée de ce que ce type de métadonnées peut faire.
Concernant spécifiquement PRISM
Prism était une fuite de documents détaillant l'interception d'un certain nombre de grandes sociétés en ligne. Cette fuite est distincte, mais liée (pour autant que je comprends) à celle ci-dessus.
De qui les données (apparemment (car cela n'est pas encore clair à 100% pour l'instant)) sont-elles collectées?
Qu'est-ce qui est réellement collecté par PRISM?
Que puis-je faire pour éviter la collecte de mes données?
Si vous craignez que vos communications soient interceptées par ce programme, vous pouvez suivre plusieurs étapes simples.
N'utilisez aucun des fournisseurs mentionnés ci-dessus. Il est de notoriété publique depuis depuis un certain temps que les e-mails de plus de 180 jours sont accessibles sans mandat, quel que soit le fournisseur de messagerie. Naturellement, si vous êtes préoccupé par de telles choses, le cryptage est la voie à suivre. Si vous obtenez un service gratuitement, vous payez toujours avec quelque chose. Habituellement, ce quelque chose est vos métadonnées. Des alternatives "sécurisées", ou du moins respectueuses de la vie privée, à toutes les sociétés énumérées ci-dessus existent et sont faciles à trouver. Par exemple, duckduckgo.com, PGP, TorMail, TOR, Linux et Pidgin + OTR aident tous à sécuriser vos communications (de sorte que même si elles se font distraire, elles sont illisibles).
Le fait est ce . Vous pouvez essayer de toujours pratiquer une sécurité `` parfaite '' (quelque chose qui change avec l'émergence de nouvelles technologies) mais finalement, tout le monde est humain et il est probable que vous vous trompiez (en oubliant de vous connecter à un VPN par exemple). Il y a tellement de variables à rester caché en ligne que couvrir un aspect spécifique (comme la simple navigation sur le Web ou simplement envoyer/recevoir des e-mails) est une tâche assez complexe et nécessite une question distincte dédiée en soi.
Pour ajouter à la réponse de @RoryAlsop, je conviens que vous n'avez probablement pas, en tant que personne moyenne, beaucoup à vous soucier du PRISM/écoute téléphonique par le NSA être utilisé pour son but prévu (opérations anti-terroristes par le gouvernement américain) comme concept de sécurité/confidentialité des gens la plupart du temps n'est pas trop grand.
Il y a cependant d'autres bonnes raisons de s'en inquiéter. Premièrement, si vous travaillez pour une entreprise non américaine et que vous mettez des informations relatives à votre travail sur des e-mails personnels/réseaux sociaux, il pourrait y avoir un risque que le NSA puisse intercepter cela et puis je pourrai les transmettre aux entreprises américaines pour un avantage commercial. Je n'ai aucune preuve précise que cela se produit avec PRISM, mais il y a eu des cas où des agences de sécurité ont fourni des informations pour aider des entreprises dans le passé, donc pas trop.
Je pense également qu'il existe un risque réel de fluage de la portée. Une fois que le pouvoir existe et est utilisé dans un but, d'autres organismes gouvernementaux (peut-être moins qualifiés en analyse de données et moins exigeants dans leur utilisation) commenceront à utiliser les données. Par exemple, une fois que les capacités de collecte de données existent, si le FBI/CIA demandait les données, serait-il en mesure de les obtenir, alors qu'en est-il de l'application des lois locales, etc.
EDIT: Il semble également que le fluage de la portée se produit déjà avec cette histoire parler de la façon dont d'autres agences de renseignement, y compris le GCHQ, ont fait utilisation de PRISM
L'un des grands risques de ce type d'exploration de données (pour moi) est que quelqu'un extrait les données et tire des conclusions erronées. Par exemple, extraire une liste de personnes qui ont visité un site et l'utiliser comme "preuve" d'être impliqué dans un crime. Quiconque connaît l'Internet moderne peut voir le problème avec cette approche, mais tous les membres des forces de l'ordre n'ont pas ce niveau de formation.
Après tout ça, que pouvez-vous y faire? Eh bien, la partie juridique est évidemment de soutenir le FEP et d'en parler aux représentants légaux.
Techniquement, comme @Dermike le dit, vous pouvez regarder des choses comme les ToR/VPN pour cacher le trafic. Un mot d'avertissement est cependant que l'utilisation de ces services pourrait être considérée par les types de gouvernement comme "ayant quelque chose à cacher", alors attrapez-y un peu. En dehors de cela, n'utilisez pas de services basés aux États-Unis si vous n'êtes pas aux États-Unis. Bien qu'il n'y ait aucune raison spécifique de croire que d'autres gouvernements ne font pas la même chose, l'UE a de toute façon tendance à avoir plus de protections pour les informations personnelles des citoyens.
Modifier Voici une page listant les alternatives aux produits des sociétés qui ont été répertoriées comme participant au prisme.
En tant que personne qui suit les gens et leurs habitudes de vie, je partagerai quelques observations sur l'utilisateur moyen.
Implications de l'initiative de collecte d'informations téléphoniques sur Internet:
Il y aura un peu plus d'activité en ligne sur la confidentialité. Le twitterverse va "exploser" momentanément, mais les gens seront conscients de cela comme quelque chose qui se passe dans le gouvernement américain pendant environ une semaine jusqu'à ce qu'il tombe des médias grand public (où la plupart des gens obtiennent leurs "nouvelles"). ). Ensuite, ils cesseront d'en parler. La plupart des gens qui sentent qu'ils ne font rien de mal sentiront qu'ils n'ont rien à craindre ( la plupart des gens ressentent les gens ). Les paranoïaques essaieront de comprendre comment cacher les choses et [sans le savoir] se faire ressembler davantage à des personnes d'intérêt. Ce sont ces gens qui pensent que le gouvernement les surveille toujours, alors qu'en réalité le gouvernement recherche des modèles d'utilisation qui ne respectent pas la norme (donc ces gens piquent probablement l'intérêt, mais ils ne sont jamais vraiment surveillés parce que en dehors de quelques similitudes, ils continueront à agir normalement pour eux-mêmes).
Les personnes "mauvaises" qui réussissent réussissent beaucoup mieux à s'intégrer à la société que ces personnes.
Va-t-il gagner quelque chose pour le gouvernement? Pas vraiment autre que de leur permettre de se connecter quelques points pour les communications dans le passé. (L'information sera écrasante.) Politiquement, ce sera plus dommageable (c'est ce que je pense moi-même qu'il s'agit de toute façon). Si les gens faisaient de mauvaises choses sur les téléphones jetables, les chances sont (si ces personnes sont modérément intelligentes) que le téléphone avec les identifiants IMEI mal liés a été jeté, vendu ou donné. Cela fait juste que les gens "méchants" ignorants réalisent qu'ils doivent être meilleurs dans leurs habitudes.
Sachant cela, quelles mesures les particuliers peuvent-ils prendre pour se protéger contre la collecte et la divulgation de ces informations personnelles sensibles?
Malheureusement, la statique n'est pas de leur côté. La plupart des "individus ordinaires" ou des gens moyens n'ont pas un intellect où ils peuvent commencer à sonder ce qui est possible avec de tels nombres (identifiants). Quand ils essaient de le rechercher, ils peuvent devenir vraiment bons à cette seule chose (s'ils ont le luxe de se concentrer), mais ils échouent probablement ailleurs et la plupart d'entre eux sont trop occupés pour même s'en inquiéter parce qu'ils ont des problèmes du monde réel sur. Pour l'Américain moyen, ce sera une chose de plus qui se concentrera sur autre chose que ce dont il a besoin. Ils verront probablement cela comme de l'argent dépensé pour autre chose que les nécessités, qui pour eux vont être des choses comme l'éducation, la nourriture et l'aide publique ... des choses que les gens au-dessus de la moyenne (non ordinaires) tiennent pour acquis. Des choses que les pauvres craignent de perdre car elles échappent malheureusement à leur contrôle.
Les gens ordinaires pourraient remarquer qu'il y a moins de cartes téléphoniques sur les étagères chez les détaillants à grande surface à cause de la propagation de la paranoïa et parce que c'est là qu'ils achètent des choses.
Semblable à ce que disait Rory Alsop, la plupart des gens ne seront probablement pas en mesure de vous faire la différence entre leur moniteur et leur ordinateur (s'ils utilisent un ordinateur de bureau) et ils considèrent souvent les appareils mobiles électroniques comme un peu de magie ou de mysticisme qui travaille sous une forme ou une mode qu'ils ne veulent pas connaître. Ou ils les considèrent comme des luxes, des gadgets ou des jouets. Tant que cela fonctionne, ils ne sont pas concernés par la technologie.
La sécurité globale augmentera, les personnes compétentes augmenteront la barre; comme toujours.
Si vous êtes au courant, vous savez probablement qu'il n'y a rien que vous puissiez faire pour empêcher ce genre de chose de se produire et mener une "bonne" vie normale. Si vous voulez essayer de brouiller toutes vos communications, ou vivre hors de la grille, vous pouvez vous sentir plus à l'aise, mais je peux vous dire que c'est beaucoup plus difficile. Les gens sont suivis partout où ils vont.
Exemple simple:
Un utilisateur type achète une carte téléphonique chez un détaillant à grande surface. Ils utilisent leur carte de débit (ou une autre carte traçable). Ils rentrent chez eux et allument leur ordinateur. Ils se connectent à Internet avec une connexion non cryptée. Ils vont sur Facebook, Twitter, Yahoo ou d'innombrables autres sites où ils reçoivent de nombreux cookies de suivi. Ensuite, ils accèdent au site Web où ils rechargent leur téléphone en tapant les numéros de la carte qu'ils ont achetée, ou en entrant les numéros sur le téléphone lui-même pour ajouter plus de minutes. Ils peuvent utiliser ce téléphone pour se connecter à leur profil de médias sociaux directement où ils ont téléchargé une application de suivi. Les téléphones ont tous un suivi intégré sous couvert de "protection des utilisateurs". Ce numéro de téléphone figure dans leurs profils publics sur les réseaux sociaux et figure sur chaque enquête marketing, demande d'emploi et formulaire qu'ils remplissent. Ils sont traçables et assez cohérents (jusqu'à ce qu'ils perdent un emploi ou quelque chose de ce genre). S'ils perdent leur téléphone (avec leur "vie" dessus), ils garderont le même numéro de téléphone.
Comment pouvez-vous ne pas être cette personne?
Ou mieux encore ... débranchez-le plus souvent et cessez de vous en inquiéter. La vie est trop courte pour ce genre de choses.
La réponse de @ D3C4FF frappe le clou sur la tête, mais il existe un autre point de vue concernant l'internaute moyen:
L'internaute moyen n'a pas de concept de confidentialité, à part "le gouvernement qui regarde mes données est mauvais, mmmkay"
L'utilisateur moyen partage délibérément plus d'informations sur lui-même, délibérément, avec le reste du monde que l'acronyme de 3 lettres utilisé pour pouvoir utiliser des agents. (Voir cette vidéo pour une vue pas trop éloignée de la réalité)
Si l'internaute moyen s'inquiétait réellement de ce genre de choses, il n'utiliserait pas non plus les sites de réseautage social ou un large éventail d'autres sites - mais ce n'est pas le cas. Ils aiment pouvoir faire des choses amusantes, discuter avec des gens, partager des informations, etc.
Donc, les implications sont à peu près nil
Maintenant, cela ne vaut pas pour les chapeaux de papier d'aluminium, les individus qui peuvent être de grande importance, les criminels et d'autres groupes de niche - mais ils ne sont pas moyens ...
Je ne suis pas sûr que vous ayez à vous en préoccuper autant que vous n'auriez dû auparavant. Gardez à l'esprit que ce qu'ils collectent sont ceux de votre opérateur Call Data Records (ou au moins un sous-ensemble de cela). Vous faisiez déjà confiance à un tiers avec tout cela, et c'était déjà un tiers auquel je n'aurais personnellement pas fait confiance avec beaucoup de quoi que ce soit. Ce sont des opérateurs mobiles. Ils ne vous donnent pas de communications gratuitement, tout comme le Wi-Fi dans les aéroports s'est très rapidement arrêté pour être un produit gratuit, sauf s'il est fourni par un magasin où ils s'attendent à ce que vous achetiez du café et des gâteaux (méfiez-vous de ce en quoi vous faites confiance dans ce magasin avec aussi, d'ailleurs, mais c'est un sujet différent).
(( Remarque: J'ai travaillé sur le développement d'outils pour traiter les enregistrements de données d'appel et d'autres choses pour certains grands opérateurs et fabricants de téléphones. Et les banques. C'est choquant ce que vous supposeriez être fait "dans le bon sens" et être "sécurisé" parce que putain de dieu devrait être , mais vraiment pas 't ...)
Peut-être que cela poussera les gens à utiliser des systèmes de communication plus sécurisés. Bien sûr, vous ne pouvez pas contourner entièrement vos opérateurs télécoms. Ou pouvez-vous?
Les utilisateurs pourraient recourir à leur plan de données pour VoIP au lieu d'utiliser les canaux de communication normaux sur leur téléphone. Cela signifie préférer Skype, Google Hangouts, What's App ou autres aux appels vocaux normaux et aux SMS/MMS.
Tant que vous faites confiance à ceux-ci pour être cryptés de manière sûre et non réversible, bien sûr. Vous devriez préférer un outil open source qui fournit plus d'informations sur ce qui se passe sous les couvertures et fournit un cryptage fort ...
Je ne suis au courant de rien en ce moment (mais il pourrait déjà y avoir des solutions), mais des téléphones avec des antennes intégrées pour le Wi-Fi ou d'autres technologies sans fil avec des portées décentes (ou la possibilité de brancher une antenne externe avec USB) pourrait parfois conduire à des moyens de communication assez intéressants qui n'auraient PAS besoin de se connecter aux tours de téléphonie cellulaire de votre opérateur.
Pensez-y de cette façon: avec ceux-ci, votre téléphone peut atteindre n'importe quel téléphone qui se trouve dans la portée locale de votre technologie choisie. Qui peut atteindre les autres. Si cela ne vous rappelle pas les systèmes Swarm et DHT de certains réseaux P2P ...
Cela a des implications impressionnantes car vous pourriez avoir un système de communication décentralisé qui ne dépend pas des opérateurs, est essentiellement anonyme ET sécurisé, et pourrait être utilisé à la fois dans les zones "civilisées" pour éviter les coûts ou dans les zones "opprimées" pour éviter la censure et le suivi .
Bien sûr, vous n'allez que dans la mesure où votre réseau mobile vous mènerait, et dans des zones reculées ce ne serait pas si bien (disons, gardez votre contrat si vous partez en trekking dans les montagnes ...). Mais pour le reste, avec quelques 6,8 milliards d'abonnés mobiles activés en 201 et plus à venir, vous pourriez être bien et en mesure d'atteindre loin si vous êtes dans une grande ville et nous avons mis en place des hubs VPN entre ceux-là ...
Maintenant, ce serait assez génial. Mais cela nécessiterait de sérieux efforts et un esprit communautaire pour se passer des grosses mains velues des gourmands pour tenter de voler le gâteau (ou adopter des lois pour le rendre illégal). Je suppose que nous pourrions même utiliser les mêmes bandes que pour les communications normales avec les téléphones portables, mais je suis à peu près sûr que c'est tout à fait illégal, même si cela se fait de manière non perturbatrice.
Mise à jour 2014-04-02: Et puis il y avait OpenGarden 's FireChat ...
Là encore, vous devez toujours faire confiance à votre combiné et à son système d'exploitation pour ne pas être buggé. Zut.
Si vous souhaitez masquer votre destination et le contenu de votre communication (et aider d'autres personnes à travers le monde à masquer la leur *), jetez un œil à `` The Onion Router '' alias TOR.
Il utilise (principalement trois) serveurs proxy de votre choix. Chacun ne sait pas à quel serveur vous souhaitez vous connecter, mais c'est son prochain voisin. Étant donné que tous les serveurs proxy ne sont pas contrôlés par You-Know-Who, il n'est pas possible de savoir d'où provient la demande d'origine sur la cible. De plus, il n'est pas possible de savoir où est ciblée votre demande car seul le prochain proxy de votre ligne est connu.
Mais ne prenez pas mon Word pour ça, voir leur description sur https://www.torproject.org/
*) Plus les gens l'utilisent pour surfer `` légitimement '', meilleures sont les personnes par exemple La Syrie peut nier qu'elle voulait voir des choses interdites. Quand seulement ... disons que la propagande nazie est diffusée depuis TOR et rien d'autre, il est facile de dire ce que vous avez regardé en l'utilisant.
Il existe un magazine sur ce type de sécurité (en particulier contre NSA et autres). The Tech Active Series - The Hacker's Manual 2015. Dans le premier chapitre, il parle de confidentialité, comment protéger votre confidentialité, comment empêcher les agences ou les chapeaux noirs de suivre vos données, les alternatives open source pour les services à usage quotidien, comment sécuriser votre smartphone et crypter vos données. Je vous conseille de le lire attentivement car certains détails peuvent vous surprendre .
Par exemple:
Je pense qu'il n'y a pas de meilleur professeur que suspicion dans le domaine de la sécurité. Ne faites confiance à personne, à moi ou à ce magazine, mais en même temps ne faites pas confiance à google, facebook, dropbox ou même tor. À cet âge, chaque individu peut utiliser ses propres outils, services, systèmes, même si cela peut coûter cher à certains d'entre eux;
la confidentialité n'a pas de prix