Qu'est-il arrivé
Traditionnellement, la Federal Trade Commission (FTC) était chargée de réglementer les fournisseurs de services Internet. Début 2015, la Commission fédérale de la communication (FCC) a voté en faveur du reclassement de l'accès Internet à large bande en tant que service «opérateur public», dans le cadre d'une campagne en faveur de la neutralité de l'Internet. Cela a déplacé la réglementation des FAI de la FTC à la FCC.
La FCC a ensuite imposé des restrictions sur ce que les FAI étaient et ne pouvaient pas faire avec leurs clients. Les FAI seraient empêchés de rediriger le trafic de recherche, d'injecter des annonces supplémentaires dans des pages Web et de vendre des données d'utilisateur (telles que l'emplacement et l'historique de navigation), entre autres pratiques rentables aux dépens des utilisateurs.
En mars 2017, le Sénat et la Chambre ont voté une résolution visant à abroger les règles de la FCC relatives au respect de la vie privée et à les empêcher de prendre de nouvelles réglementations. Leur justification du projet de loi était que des sociétés telles que Google et Facebook sont autorisées à vendre ces informations et que les réglementations empêchent injustement les fournisseurs de services Internet de se faire concurrence. Les législateurs ont affirmé que, dans la mesure où Google détient environ 81% du marché de la recherche, ils contrôlent davantage le marché que n'importe quel fournisseur de services Internet. Bien que la domination de Google dans la recherche soit réelle, les internautes ont la possibilité d’éviter Google, Facebook ou tout autre site. La plupart des internautes utilisent Google pour la recherche, mais il existe de nombreuses autres options et il est facile de changer de fournisseur. En utilisant des outils tels que Privacy Badger, il est assez facile d’éviter les analyses Google ou Facebook sur le Web. En comparaison, tout votre trafic Internet passe par votre fournisseur de services Internet et très peu d'Américains ont plus d'un choix.
Le projet de loi a été signé par le président début avril. Bien que tous les règlements de la FCC ne soient pas entrés en vigueur avant leur annulation, cela porte toujours un coup dur à la vie privée des Américains en ligne. Étant donné que les FAI sont toujours classés en tant que transporteurs publics, aucun autre organisme de réglementation n'a le pouvoir de rétablir ces règles.
Digne d'intérêt, mais pas si nouveau
De nombreux règlements de la FCC devaient commencer en 2017 et 2018. Les grands fournisseurs de services Internet suivent leurs utilisateurs depuis des années. Verizon avait l'habitude d'injecter un super-cookie dans toutes les demandes du navigateur de ses clients, leur permettant ainsi (à des tiers) de suivre les utilisateurs individuels sur le Web. Le super-cookie a été ajouté aux demandes après leur départ des ordinateurs des utilisateurs. Il n’y avait donc aucun moyen de les éviter tant que Verizon n’avait pas cédé et n’avait ajouté une option de retrait. Pendant un certain temps, AT & T a facturé 30 $ de plus par mois à ses clients pour ne pas suivre leur utilisation d’Internet. Cette affaire a inspiré les règles de la FCC en matière de protection de la vie privée.
C’est facile de penser: «Eh bien, nous n’avons pas une situation pire que celle de l’année dernière.» Et cela pourrait être partiellement vrai. Nous vivons sous les mêmes règles que nous étions alors; c’est juste qu’ils ne changeront plus pour le mieux. Il n’est toujours pas possible d’acheter l’historique Internet d’un individu; les données sont anonymisées et vendues en masse aux annonceurs et aux autres organisations.
Cependant, ces nouvelles réglementations (qui ne vont pas entrer en vigueur à présent) auraient permis de combler une lacune importante dans la vie privée sur Internet. Si vous plongez dans des données anonymisées, il peut être facile de découvrir leur propriétaire. De plus, on peut faire valoir que les fournisseurs de services Internet sont en réalité des dédoublements. La position selon laquelle cette décision place les FAI dans un espace plus concurrentiel avec des services tels que Google est un peu trompeuse. Les FAI contrôlent le "dernier kilomètre" dans les locaux de leurs clients, et nous payons déjà beaucoup d’argent pour y avoir accès.
Comment puis-je me protéger?
L’adoption de la loi inquiète de nombreuses personnes et veulent des moyens de se protéger des regards indiscrets de leurs fournisseurs de services Internet. Heureusement, vous pouvez prendre certaines mesures pour protéger votre vie privée. La plupart de ces méthodes visent à vous protéger de ce que nous appelons les attaques de type "Man-in-the-Middle" (MitM). Le trajet parcouru par vos données entre votre PC et un serveur Internet et inversement passe par une multitude d’intermédiaires. Lors d'une attaque MitM, un acteur malveillant s'insère dans le système quelque part au cours de ce trajet à des fins d'espionnage, de stockage ou même de modification de vos données.
Traditionnellement, un MitM est supposé être un mauvais acteur qui s'insère dans le processus; vous faites confiance aux routeurs, aux pare-feu et aux FAI entre vous et votre destination. Cependant, si vous ne pouvez pas faire confiance à votre FAI, les choses deviennent plus compliquées. Gardez à l'esprit que cela s'applique à tout le trafic Internet, pas seulement à ce que vous voyez dans votre navigateur. La bonne nouvelle (si vous pouvez l'appeler ainsi), c'est que les attaques MitM sont un problème assez ancien et assez commun pour lequel nous avons développé de très bons outils que vous pouvez utiliser pour vous protéger.
Utilisez HTTPS où vous pouvez
Lorsque vous utilisez HTTPS, le contenu des paquets de données est crypté, y compris l’URL réelle que vous visitez.Toutefois, le nom d’hôte de votre destination (howtogeek.com, par exemple) est conservé non chiffré, car les nœuds situés entre votre appareil et la destination de vos données doivent savoir où envoyer votre trafic. Même si les fournisseurs de services Internet ne peuvent pas voir ce que vous envoyez via HTTPS, ils peuvent toujours savoir quels sites vous visitez.
Certaines métadonnées (données sur les données) ne peuvent pas être masquées avec HTTPS. Quiconque surveille votre trafic sait quelle quantité est téléchargée dans une demande donnée. Si un serveur ne contient qu'un fichier ou une page d'une taille spécifique, cela peut être un cadeau. Il est également facile de déterminer l’heure à laquelle les demandes sont effectuées et la durée des connexions (par exemple, la durée d’une vidéo en streaming).
Mettons tout cela ensemble. Imaginez qu’il y ait un MitM entre moi et Internet, interceptant mes paquets. Si j'utilise HTTPS, ils pourraient dire, par exemple, que je suis allé sur reddit.com à 23h58, mais ils ne sauraient pas si je visite la page d'accueil, / r / technology, ou un autre, moins page "sécurité pour le travail". Avec un effort, il leur sera peut-être possible de déterminer la page en fonction de la quantité de données transférées, mais il est peu probable que vous visitiez un site dynamique avec beaucoup de contenu. Comme je charge la page une fois et qu’elle ne change pas en temps réel, la longueur de la connexion doit être courte et il est difficile d’apprendre quoi que ce soit.
HTTPS, c’est génial, mais ce n’est pas une solution miracle pour vous protéger de votre fournisseur de services Internet. Comme indiqué précédemment, il masque le contenu, mais ne peut pas protéger les métadonnées. Et bien que l'utilisateur final ne demande que peu ou pas d'effort, les propriétaires de serveurs doivent configurer leurs serveurs pour pouvoir les utiliser. Malheureusement, de nombreux sites Web ne prennent pas en charge le protocole HTTPS. De plus, seul le trafic du navigateur Web peut être chiffré avec HTTPS. Le protocole TLS est utilisé dans d'autres applications mais n'est généralement pas visible pour les utilisateurs. Cela rend difficile de savoir quand, ou si, le trafic de votre application est chiffré.
Utiliser un VPN pour chiffrer tout votre trafic
L'une des utilisations les plus courantes des VPN est de permettre aux employés d'accéder aux ressources de l'entreprise à distance. Il est considéré comme la meilleure pratique de garder les actifs internes de la société déconnectés d’Internet. Les utilisateurs peuvent créer un tunnel vers un point de terminaison VPN au sein d'un réseau d'entreprise, ce qui leur permet ensuite d'accéder aux serveurs, imprimantes et autres ordinateurs, tout en les protégeant du réseau Internet.
Ces dernières années, les VPN sont devenus populaires pour un usage personnel, afin d'améliorer la sécurité et la confidentialité. Prenons l'exemple de la connexion Wi-Fi gratuite au café. Il est facile de renifler le trafic sur des réseaux Wi-Fi non sécurisés. Il est également possible que vous vous connectiez à un réseau jumeau diabolique - un faux point d’accès Wi-Fi se faisant passer pour un réseau légitime - qui espère servir des programmes malveillants. Si vous utilisez un réseau privé virtuel, ils ne peuvent voir que des données chiffrées, sans indication de l'endroit ou avec qui vous communiquez. Le tunnel VPN fournit également une intégrité, ce qui signifie qu'un tiers malveillant ne peut pas modifier le trafic.
Lorsque vous utilisez un VPN, votre fournisseur de services Internet ne peut ni voir ni changer ce qui passe dans le tunnel crypté. Comme tout est crypté jusqu’à ce qu’il atteigne le point de terminaison, ils ne savent pas quels sites vous visitez ni quelles données vous envoyez. Les FAI peuvent dire que vous utilisez un VPN et voir le point de terminaison du VPN (un bon indicateur du service VPN que vous utilisez). Ils savent également combien de trafic vous produisez à quelle heure.
L'utilisation d'un VPN peut également affecter les performances du réseau. La congestion sur un VPN peut vous ralentir, mais dans de rares cas, vous pouvez obtenir de meilleures vitesses lorsque vous êtes sur un VPN. Vous devez également vérifier si le VPN contient des informations.
Les entreprises et les collèges offrent souvent un accès VPN gratuit à leurs utilisateurs. Assurez-vous de vérifier la politique d'utilisation; leurs administrateurs ne voudront probablement pas que vous diffusiez de la vidéo ou que vous fassiez quelque chose qui n’ait aucun rapport avec leur travail sur leur réseau. Sinon, vous pouvez payer pour accéder à un service VPN, généralement entre 5 et 10 dollars par mois. Vous devriez faire des recherches pour choisir le meilleur VPN qui réponde à vos besoins, mais nous avons concocté un guide pratique pour choisir le meilleur service VPN susceptible de vous aider tout au long du processus.
N'oubliez pas que vous devez pouvoir faire confiance à votre fournisseur de réseau privé virtuel. Le VPN empêche votre FAI de voir le trafic sous tunnel. Cependant, votre trafic doit être déchiffré une fois qu'il atteint le point de terminaison afin que celui-ci puisse le transférer vers la destination appropriée. Cela signifie que votre fournisseur VPN peut voir ces informations. De nombreux services VPN affirment ne pas enregistrer, utiliser ou vendre votre trafic. Cependant, il n’ya souvent aucun moyen de savoir s’ils tiennent ou non ces promesses. Même s’ils sont honnêtes, c’est possible leur FAI extrait les données.
En particulier, vous devez vous méfier des VPN gratuits. Dernièrement, les extensions de navigateur VPN sont devenues populaires, en grande partie à cause de leur faible coût / sans coût et de leur facilité d’utilisation. Faire fonctionner un service VPN coûte cher, et les opérateurs ne le font pas par bonté de cœur.L’utilisation de l’un de ces services gratuits ne fait souvent que basculer la possibilité de vous espionner et d’injecter des annonces de votre fournisseur de services Internet vers le VPN. Rappelez-vous: lorsque vous ne payez pas un service avec des coûts d’exploitation, vous êtes le produit.
En fin de compte, les VPN constituent une solution utile mais imparfaite. Ils offrent un moyen de transférer la confiance de votre fournisseur de services Internet à un tiers, mais il n’ya pas de moyen facile de déterminer si un fournisseur de réseau privé virtuel est digne de confiance. Si vous savez que votre fournisseur de services Internet est digne de confiance, les VPN peuvent valoir le coup. HTTPS / TLS doit être utilisé avec un VPN pour améliorer encore votre sécurité et votre confidentialité.
Alors, qu'en est-il de Tor?
Le routeur d'oignon (Tor) est un système qui chiffre et anonymise le trafic. Tor est complexe et des articles entiers peuvent (et ont) été écrits dessus. Bien que Tor soit utile pour beaucoup de gens, il peut être difficile de l'utiliser correctement. Tor aura un effet beaucoup plus visible (négatif) sur la qualité et les performances de votre utilisation d'Internet au quotidien que les autres méthodes mentionnées dans cet article.
Mettre tous ensemble
Ce projet de loi n'a pas conféré de nouveaux pouvoirs aux FAI, mais il a empêché le gouvernement de protéger votre vie privée. Il n'y a pas de solution miracle pour empêcher votre FAI de vous espionner, mais il reste encore beaucoup de munitions. Utilisez autant que possible HTTPS pour protéger le contenu du message entre vous et la destination. Pensez à utiliser un VPN pour créer un tunnel autour de votre fournisseur de services Internet. Pendant que vous apportez des changements, pensez à vous protéger des autres sources d'espionnage et d'espionnage. Configurez les paramètres de votre système d'exploitation pour améliorer la confidentialité (Windows et OSX), ainsi que votre navigateur Web (Chrome, Firefox ou Opera). Utilisez également un moteur de recherche respectant votre vie privée. La protection de votre vie privée est une tâche ardue, plus que jamais, mais How-To Geek est déterminé à vous aider tout au long du processus.
