Digital Society Forum Digital Society Forum
Dossier 20/04/2015

Obfuscation et stratégie individuelle : comment jouer à cache-cache sur le net ?

Bien que la lutte soit asymétrique, les internautes ne sont pas dépourvus d'outils et de stratégies pour préserver leurs données personnelles.

L'une des premières et des plus populaires demeure le pseudonymat, apparu dans les années 90 sur les canaux IRC, les forums de discussion puis les blogs. Grâce à ce système qui permet de créer une identité numérique servant de paravent à l'identité civile, les internautes peuvent communiquer sur des sujets plus librement que dans la «vie réelle ». S'il fut longtemps considéré comme faisant partie de la culture web, le pseudonymat est aussi un moyen d'identification et de protection : dans le premier cas, le pseudonyme est utilisé comme un nom de plume ou d'artiste renvoyant uniquement aux activités en ligne ; dans le second, il peut servir de rempart pour des personnes victimes de harcèlement, ou pour des activistes poursuivis par les autorités de leur pays.

Cependant, l’usage du pseudonymat est contesté par les géants du net comme Google ou Facebook, au nom d'une certaine « transparence ». En effet, les réseaux sociaux ne fonctionnent correctement que si l’on est capable de retrouver ses proches via leur nom. Il en va de même pour les employeurs qui viennent jeter un œil sur les profils de futurs candidats. S'ajoute à cela l'utilisation commerciale des profils qui, une fois rattachés à une véritable identité, peuvent être plus facilement revendus à des régies publicitaires. Pour toutes ces raisons plus ou moins avouées, les géants du net souhaitent l'utilisation des vrais noms et, dans le cas de Facebook, encouragent à dénoncer les « amis » utilisant un pseudonyme. Pour Danah Boyd, cette culture du « vrai nom » cache « une affirmation du pouvoir sur les individus vulnérables » et renie le droit de se protéger au nom du « vous n'avez rien à cacher ».

Dernièrement, Google et Facebook ont assoupli leurs règles d’identification notamment après une pétition signée par les mouvements LGBT réclamant le droit pour les personnes transsexuelles de garder leur pseudonyme. S’il est possible désormais d'indiquer son pseudo sous son vrai nom et de le faire apparaître, cette avancée est jugée insuffisante. De nombreux internautes continuent d'ailleurs à utiliser de faux noms « réalistes » afin de passer le barrage de vérification du réseau social.

Obfuscation


Mais l'utilisation d’un pseudonyme ne suffit pas toujours à déjouer la surveillance commerciale dont fait l'objet l'internaute. D’où l’apparition d’une autre pratique appelée obfuscation, définie par Helen Nissenbaum, professeur en media, culture, communication & computer science à l'université de New York comme « la production, l’inclusion, l’ajout ou la communication de données trompeuses, ambiguës ou fausses dans le but de se soustraire, de susciter la confusion ou de diminuer la fiabilité (et la valeur) des agrégateurs de données. » Son usage a été remarqué en 2008 lors de l'affaire Note2Be. Ce site de notation officieuse des professeurs fut détourné par un groupe d'internautes qui y inscrivit plusieurs centaines de noms de professeurs farfelus avec une notation maximale afin de fausser le classement et décrédibiliser le site. Cette stratégie ne supprima pas les données valides mais les noya dans la masse au point de ne plus les distinguer des fausses. Désormais, on peut appliquer cette technique grâce à des extensions de navigateurs comme TrackMeNot ; ce dernier permet de dissimuler ses recherches sur Google en les noyant parmi d'autres recherches aléatoires envoyées depuis son adresse IP. L'idée encore une fois n'est pas de se rendre invisible aux yeux de Google mais de brouiller les cartes de son profil en ligne et compliquer ainsi le profilage effectué par les algorithmes. Plutôt efficace, cette méthode est cependant considérée comme non éthique car elle se base sur le détournement des algorithmes et produit des données parasites. Par ailleurs, les méthodes d’offuscation peuvent aussi être utilisées pour salir ou redorer la réputation d'une personnalité dans les moteurs de recherche. C'est par exemple le cas du Google Bombing qui consiste à modifier le référencement d'un mot ou d'une expression en créant de nombreux textes pointant vers un même site.

Miser sur l'éphémère


Si ces méthodes permettent de brouiller son identité, il existe aussi des outils permettant de reprendre le contrôle de ses données en les rendant éphémères. D'après Sarah Perez, rédactrice au journal Techcrunch, dans le futur, le web sera majoritairement éphémère et marquera la montée d'une nouvelle génération d'internautes. Celle-ci, à la différence de leurs parents qui ont documenté leur vie sur les réseaux sociaux, fuirait Facebook pour préserver son intimité et appliquer un véritable droit à l'oubli. Ainsi, entre 2011 et 2014, plus de dix millions de jeunes auraient quitté le réseau social, (http://www.metronews.fr/high-tech/twitter-instagram-snapchat-ou-sont-partis-les-11-millions-d-ados-qui-ont-quitte-facebook/mnaA!GxCSLAtJcJAPI/) pour rejoindre des messageries à l'abri du regard des parents. Allant à l'encontre de la conservation des traces numériques, la recherche de l’effacement et d’une existence éphémère sur le web n’est pas nouvelle. Elle est par exemple une caractéristique, depuis 2004, du site 4chan. Cet imageboard (forum spécialisé dans l’échange d'images), connu pour être le lieu de naissance des Anonymous, a la particularité de proposer des échanges totalement anonymes dont la durée de vie est relative à la participation : quand plus personne ne contribue, les sujets finissent par disparaître.

Parallèlement, l'usage des pseudonymes sur Twitter, l'arrivée des modes privés de navigation ne laissant aucune trace consultable, l'utilisation de monnaies virtuelles et la fragmentation du marché de la messagerie montrent que le désir d’anonymat sur le web n’a pas disparu. C'est dans ce cadre que de nouveaux services éphémères sont apparus dont le plus connu reste Snapshat. Créée en 2011, cette messagerie, majoritairement utilisée par des adolescents, permet d'envoyer des messages et des photos à durée de vie limitée, offrant ainsi un contrôle très simple sur ses données. Ce principe se retrouve aussi dans le système des mails poubelles comme 10minutesmails qui propose des adresses mail dont l’espérance de vie est de quelques minutes. Elles permettent ainsi d'envoyer des messages qui seront effacés par la suite mais aussi de générer un compte (pour un site de e-commerce ou pour un système de commentaires sur un site d'info par exemple), sans craindre la réception de spam par la suite. Si l'« éphémérité » est une solution somme toute simple, les internautes souhaitant garder en mémoire les échanges ont déjà trouvé la parade. Sur Snapshat par exemple, il suffit de faire une impression écran pour conserver la photo qui s'affiche.

Chiffrement et anonymat


Si l'ensemble de ces stratégies et de ces outils apporte des solutions à la préservation de la vie privée, il n’empêche toutefois pas d'échapper à une surveillance plus poussée. Voilà pourquoi il est possible d'anonymiser ses données de connexion ou, en dernier recours, d'utiliser le chiffrement des mails. Dans le premier cas de figure, le logiciel de navigation Tor (OnionRouTer) fait figure de référence. Celui-ci repose sur un réseau d'utilisateurs formant un ensemble de nœuds appelé proxy. Au lieu de passer directement d'un ordinateur à un serveur, les requêtes passent par ce réseau rendant la traçabilité extrêmement difficile et la vitesse de connexion très lente. De plus, les données sont chiffrées le temps du transit, assurant en principe une protection supplémentaire en cas d'interception. Depuis l'affaire Prism, Tor a connu un pic de trafic jamais atteint : situé entre 400 000 et 600 000 utilisateurs en moyenne, le nombre est passé à plus de 1,2 million en août 2013 (en France, de 35 000 à 80 000). Utilisé par des militants des droits de l'homme ou des journalistes, le logiciel souffre cependant d'une mauvaise réputation notamment parce qu'il est le point d'accès à des services cachés (sites hébergés sur des serveurs non identifiables) illégaux, comme le célèbre marché noir Silk Road (aujourd’hui fermé).

Moins radicales mais toujours aussi protectrices, des solutions de chiffrement de mail ou de données, comme le logiciel PGP (Pretty Good Privacy), assurent une bonne confidentialité au récepteur et à l'envoyeur. Reste qu’elles sont assez contraignantes et demandent une bonne maîtrise de la part de l'utilisateur. Heureusement, certains spécialistes de la sécurité, comme Frederic Jacobs, travaillent sur des projets destinés à rendre le chiffrement automatique et convivial, à l’image de Wisper System, système open source qui équipe déjà la messagerie Whats App.


Les commentaires

Pour réagir à cet article, je me connecte Je m’inscris

Soyez le premier à réagir !

Les sources de cet article


S’inscrire et participer

Inscrivez vous sur le Digital Society Forum pour commenter et réagir sur les articles et être informé des événements à venir

DSF