Données Personnelles

Cette page est destinée à collecter toutes les actions possibles pour vous permettre de limiter la diffusion de vos données personnelles.

Si vous avez vu ce reportage, vous comprendrez mieux l’intérêt d’être vigilant aux données que vous laissez sur internet et ailleurs…

Il y a en Europe et France plus particulièrement, une législation de plus en plus protectrice des données personnelles ; mais il y a ici la théorie qui se trouve souvent en contradiction avec la réalité des pratiques des entreprises.

Voici une liste non exhaustive de techniques pour vous aider à limiter la diffusion de vos données personnelles, son traitement,  et sa réutilisation par des tiers.

Cette liste se construit progressivement…

Les techniques présentées permettent aussi de réduire le croisement du volume de vos données entre toutes les bases des différents tiers : le croisement et le groupement de vos données va se faire sur des points clés comme le trio Prénom/Nom/Date de naissance, comme le couple @email+Nom de famille, etc…

Certains sites web utilisent également vos informations de connexion (adresse IP, cookies, etc..) pour vous identifier malgré vous la première fois que vous venez chez eux (site de voyage par exemple) , ainsi lorsque vous revenez les voir pour le même objet (comme pour un voyage) c’est que vous êtes intéressés par ce que propose le site : ces sites webs vous reconnaissent et adaptent le contenu à votre navigation (quand certains n’ajustent pas le tarifs à la hausse).

1 – Les formulaires

Pour des jeux, des cartes de fidélité ou autres : sites webs ou commerces peut vous demander nom , prénom, date de naissance, adresse email, adresse postale,…

En premier lieu, chaque formulaire doit disposer d’une case à cocher vous demandant l’autorisation de communiquer vos informations personnelles à des tiers :

  • depuis 2015, la liste de ces tiers doit être précisée.
  • la case ne doit pas être cochée par défaut.

Si cette case à cocher n’existe pas, fuyez ou limitez -vous à renseigner autant que possible des éléments erronés.

Date de naissance : sauf à avoir l’obligation légale de fournir votre véritable date de naissance (et non seulement votre âge) comme pour des services interdits aux mineurs (jeux d’argent, services,…), mettez une fausse date (faux jour, ou faux mois) à chaque fois qu’on vous oblige à donner cette information.

Nom de famille : dans certains cas (pas de livraison, pas d’inscription à un organisme officiel ou administratif), vous pouvez faire une erreur dans l’orthographe de votre nom de famille.

Bref, à chaque fois qu’on vous demande une information personnelle qui ne vous semble pas pertinente au regard du service auquel vous vous inscrivez : « trompez » vous ! Cela limitera votre « profilage » et compliquera l’analyse de vos données personnelles.

2 – Les Emails et le SPAM

Ne renseignez jamais votre véritable adresse email mais une adresse jetable ou temporaire ou sous forme d’alias jetable.

Quelques options s’offrent à vous :

  • Créez une adresse jetable, utilisable 1 fois, le temps de valider un mail d’inscription et pour la communication de données non confidentielles  :
  • Achetez un domaine à votre nom (en .com, .org, .fr, .eu) et vous pourrez ensuite créer autant d’adresse email poubelle que vous pourrez rediriger vers votre véritable adresse perso. Ce choix vous permettra de ne pas avoir à mettre vos emails dans les mains des grands opérateurs internet (google, free, orange) qui se basent sur vos mails pour vous faire apparaitre de la pub :
    • www.gandi.net (15€/an + possibilité de stocker jusque 5 boites aux lettres perso)
  • Créez des alias ou redirecteurs depuis des adresses jetables ou poubelles vers votre adresse mail perso.

3 – Le navigateur internet

Hors Piste

Dans Internet Explorer, Edge, Chrome et Firefox, vous avez des options pour demander aux sites de ne pas vous tracer ou de ne pas vous pister : activez-les.

Ex sous Firefox : il faut aller dans le menu Outils/options/ Vie Privée et cocher cette case :

Capture

Navigation Privée.

Chaque navigateur permet également de naviguer en mode privé : toutes les opérations effectuées en mode privé (sites visités, cookies, formulaires, etc….) disparaissent de votre ordinateur (seulement de lui) dès que vous quittez le mode privé.

L’accès au mode Privé  (ou Navigation Inprivate ou Navigation privée) se fait en pressant les touches Maj + Ctrl + P

Mieux : réglez le navigateur pour être toujours en mode navigation privée

Trop de pub

Certains sites pratiques l’excès de pub à tout va sur une simple page, ce qui  peut amener aux conséquences suivantes  :

  • un trafic réseau supplémentaire qui pourrait être alloué à vos propres besoins
  • propagation de bannières de publicités contenant des chevaux de Troie
  • ciblage marketing très personnalisé sur la base de vos navigations internet précédentes…

Quelques possibilités pour réduire ces risques :

  • installez un add-on pour bloquer dans votre navigateur autant que possible les trop invasives/indiscètes publicités . Il existe uBlock et d’autres alternatives comme AdBlock Edge  ou ADBlockPlus )
  • chez Free, votre Box dispose d’une fonction AntiPublicité que vous pouvez activer sur votre portail internet.

Pensez-vous à laisser votre bloqueur de pub désactivé pour les sites que vous fréquentez régulièrement.

4 – Comptes et mots de passe

Réseaux sociaux, comptes email, comptes clients etc… autant de compte et de mot de passe à retenir. La solution de facilité est de mettre le même mot de passe partout…. évitez.

  • Assurez-vous de bien spécifier un mot de passe différent sur chacun de vos comptes
  • Testez la solidité de votre mot de passe ici chez Microsoft  ou ici (sans divulguer votre mot de passe)
  • Stockez vos mots de passe et comptes dans un outil gratuit sécurisé comme PasswordSafe ou KeePass
  • Déconnectez-vous de vos espaces personnels (google ou facebook) lorsque vous avez terminé. Si vous restez « connecté », vous prenez le risque d’être pisté nominativement dans tout ce que vous faites par la société chez qui vous avez un compte mais aussi par leurs « partenaires » et donc la quasi totalité des sites webs courants.

Si vous avez un doute ou même sans en avoir : vous pouvez vérifier sur ce site https://haveibeenpwned.com/ si votre adresse email n’est pas inscrite dans la liste des sites web qui se sont fait voler leurs données.

5 – Choix du navigateur internet

Sans prendre en compte les questions de sécurité du navigateur de stabilité, de performance, d’ergonomie mais juste sur le terrain de la collecte des données personnelles, le navigateur web qui respecte le mieux vos données personnelles à ce jour reste Firefox.

Idéalement , privilégiez la version Firefox+Qwant : https://www.qwant.com/firefoxqwant/download

Cet assemblage de Firefox et Qwant vous permet de disposer du top en matière de protection de données personnelles (http://korben.info/telechargez-firefox-qwant-preserver-vie-privee-ligne.html )

6 – Vos droits d’accès/d’opposition/suppression auprès des sociétés.

7 – SMS

Vous recevez des SMS d’une société sans jamais vous êtes inscrits dans cette société : transférez votre SMS au 33700 et suivez les consignes.

C’est gratuit.

8 – Téléphone

Depuis le 1 juin 2016, vous pouvez inscrire votre numéro de téléphone sur une liste nationale de refus de démarchage téléphonique. C’est gratuit

Vous remplissez un formulaire en ligne, vous confirmez votre inscription en cliquant sur le mail reçu et voila.

https://www.bloctel.gouv.fr

Un bémol, cela ne vous protège pas contre les instituts de sondage, associations à but non lucratifs etc… Juste contre les appels à vocation commerciale.

8 – Applications mobiles

Prenons l’exemple des applications Android qui demandent très souvent l’autorisation d’accéder  à une quantité impressionnante de votre téléphone pour pouvoir fonctionner. Exemple Twitter :

sketch-1457196426623-1

Pour Twitter via votre Android, l’application aurait besoin d’accéder à vos SMS, vos Photos, votre caméra, micro, information Wifi, et tous vos contacts….Mais pas quand vous utilisez Twitter avec un simple navigateur ?

Fuyez ces applications : on trouve souvent l’équivalent dans le monde OpenSource sinon renoncez.

Quelques exemples d’applications équivalentes :

Pour Twitter   => Twidere ou TweetLane

Pour lire vos mails => K-9 Mail

Pour saisir des notes => TomDroid

Pour suivre votre activité sportive => Running

Pour la gestion de fichiers et dossiers => OL File Manager

Pour naviguer sur internet => Tint Browser ou FireFox

Pour la lecture de fichiers multimédia => VLC ou Vanilla Music

Pour vous informer => franceinfo

Idem pour les mises à jour : certaines mises à jour d’application nécessitent de nouveaux droits d’accès largement plus étendus. Soyez vigilants à ces demandes supplémentaires rarement justifiées.

9 – Moteurs de recherche

Votre moteur de recherche par défaut ou imposé, journalise toutes vos activités sur le web : les mots clés, les sites consultés. Et si vous avez ouvert une session (type gmail ou google+ ou Bing ou Live ou…) les informations de navigation via ces moteurs de recherche sont directement rattachées à votre nom.

Quelques moteurs de recherche efficaces et respectueux que vous devez mettre comme moteur de recherche par défaut dans votre navigateur :

10 –  Plus loin avec un peu de technique

Serveurs DNS

Les serveurs DNS sont les équipement sur internet qui se charge de convertir vos demandes d’accès internet (www.truc.fr par exemple) vers une adresse IP, numéro unique sur internet qui désigne un serveur (web par exemple).

Les FAI ou opérateurs internet proposent les leurs, c’est pratique et automatique mais cela leur permet d’identifier, de suivre et de connaitre de manière exhaustive l’ensemble des sites que vous visitez, leur fréquence, etc… Accessoirement, c’est aussi un moyen de vous détourner vers d’autres serveurs (en vous renvoyant une autre adresse IP, donc vers un autre serveur).

Une solution simple consiste à utiliser d’autres serveurs DNS dans la configuration de votre poste : les serveurs DNS libres sont listés ici https://www.opennicproject.org/

Vu sur SebSauvage, d’autres serveurs DNS libres sont aussi disponibles ici https://www.fdn.fr/actions/dns/

Infos complémentaires :

VPN

Connexion WIFI WPA2 Entreprise sur un AD 2012R2 + NPS Windows 2012R2

Le but est présenter comment faire en sortie que les bornes Wifi de votre entreprise permettent à vos salariés de se connecter aux ressources réseaux, avec le login+mot de passe Windows de l’utilisateur, en authentification automatique et transparente pour lui.

Le contexte du tuto :

  • 1 serveur Windows 2012 R2 avec le rôle AD DS.
  • 1 serveur Windows 2012R2 avec NPS
  • 1 serveur Windows 20xx de certificats Active Directory intégré au domaine (si possible configuré en Autorité de certification d’entreprise, racine ou secondaire).
  • 1 portable sous Windows 7 Pro.
  • 1 borne Wifi qui supporte l’authentification RADIUS (peu importe du 802.11 a, b, n ou ac…)

Quelques préalables :

Principalement si vous êtes sur des fréquences en 2.4 Ghz, faites en sorte que les canaux utilisés ne se chevauchent pas entre eux si vous avez plusieurs bornes, idem si d’autres bornes Wifi  sont présentes dans votre voisinage proche. Cette question ne s’applique pas réellement en 5 Ghz.

canaux

Source : http://reseau-wifi.blogspot.fr/

Configuration du serveur Network Policy Server

Via l’Assistant Ajout de rôles et fonctionnalités, ajoutez le rôle Service de stratégie et d’accès réseau

Capture1

Puis le service de rôles Serveur NPS

Capture2

La configuration du NPS se fera via l’outil Serveur NPS

La première chose est d’inscrire votre serveur dans l’AD

Capture5

Puis de déclarer vos clients RADIUS (vos bornes Wifi en l’occurrence).

Un click droit sur le conteneur Clients RADIUS puis d’ajouter un nouveau client. Donnez un nom à ce client, son IP et spécifiez un secret partagé  (qu’il faudra renseigner sur ce client).

Capture6

L’étape suivante consiste à déclarer les stratégies de connexion et d’accès pour vos utilisateurs.

Dans le conteneur Stratégies Réseau, créez une nouvelle stratégie.

Donnez lui un nom significatif, laissez le type de serveur à Non spécifié

Capture8

Précisez les conditions qui détermineront à qui et sur quels critères cette stratégie s’appliquera. En version simple, ajoutez la condition Groupes Windows et donnez votre groupe d’utilisateurs autorisés à se connecter aux bornes WIFI.

Capture9

Dans l’étape suivante, accordez l’accès. Il est possible de laisser les propriétés individuelles des utilisateurs (onglet Accès Distant) surcharger les celles de cette stratégie réseau, en cochant la case.

Etape suivante, précisez les protocoles d’authentification autorisés :

Capture10

Puis spécifiez d’éventuelles contraintes supplémentaires (horaires, durée de session, jours de connexion, média de connexion) : ici spécifiez le Sans-Fil.

Capture11

Une fois validée, vérifiez que la stratégie soit bien en priorité.

Capture12

C’est fini pour la partie NPS.

Côté borne WIFI, un exemple de configuration :

Le mode d’authentification (WPA2 Entreprise) avec AES, puis l’adresse IP de votre serveur NPS , ainsi que le secret partagé plus haut.

Capture13

Filtrage de fichiers sous Windows 2008, Windows 2012, Windows 2016

Sous Windows Server 2008R2+, le filtrage de fichiers est l’une des nouvelles fonctionnalités permettant de gérer efficacement la nature des fichiers stockés sur votre serveur de fichiers.

Dit autrement, vous pouvez contrôler le type d’extensions autorisé sur un volume ou un répertoire : le contrôle peut être soit un verrou quant à l’écriture de fichiers non conformes aux extensions autorisées, soit le déclenchement d’une alerte (notamment par mail) si un nouveau fichier comportant une existant explicite est créé.

Sous Windows 2008 R2

Installation.

Prérequis trivial : si ce n’est déjà le cas, il est nécessaire que votre serveur de fichiers, et donc le Rôle Service de Fichiers

Capture

Il faut ensuite installer le service de rôle Gestion de ressources du serveur de fichiers

  • Dans la console Gestionnaire de Serveur, et sur le service Serveur de fichiers, choisir ajouter des services de rôle.

Capture

Capture

Sélectionnez le volume auquel s’appliquera ce service :

Capture

Par défaut, une alerte est pré configurée à 85% du volume global et deux rapports d’utilisation de fichiers sont pré-cochés, le bouton Options vous permet d’accéder à nombre d’autres rapport pertinents :Capture

  • Laissez les options de stockage de rapport et d’envoi de mail par défaut puis lancez l’installation.

Configuration des alertes

Dans la console de gestion du serveur, vous avez désormais le module Gestionnaire de ressources du serveur de fichiers.

Capture

  • Click droit – Configurer les options
  • Spécifiez le nom de votre serveur smtp, à qui vous souhaitez envoyer les alertes et quelle adresse email émettrice sera affichée.

CaptureAttention, cette page ne permet de faire de l’envoi SMTP sur autre chose que du SSL ni en mode authentifié.

 

Création d’alerte sur des fichiers de type Ransomware

Il faut commencer par construire le modèle qu’on appellera « Ransomware ». Ce modèle contiendra l’extension ou les extensions connues générées par les ransomwares sur un serveur de fichiers.

  • Créer un nouveau Groupe de Fichiers

Capture

  • Lui donner un nom  puis ajouter la ou les extensions pour lesquelles vous envisagerez de bloquer la création de fichiers ou d’être alerté.
  • Il faut ensuite définir un modèle de filtrage basé sur le modèle des extensions ci-dessus. Autrement dit cela revient à définir les actions qui seront menées en cas de détection des extensions du modèle de groupe de fichiers.

Capture

  • il faut donner un nom à votre filtre, puis choisir le type de filtrage. Actif = blocage immédiat des fichiers, Passif = les fichiers sont autorisés mais cela génère une alerte.
  • Il est indispensable de sélectionner le modèle de fichiers à surveiller (ici Ransomware).
  • Dans l’onglet Message electronique, vous avez au minimum à cocher la case Envoyer un courrier.

Capture

Notez bien dans l’objet du message, le texte et les variables qui vont construire le mail : si un fichier interdit est détecté, vous recevrez un mail avec le nom de login de l’utilisateur, le répertoire concerné, la date et l’heure de la création de fichiers.

Dernière étape, indiquer sur quelle arborescence de votre volume vous souhaitez appliquer ce filtre.

Dans l’option Filtres de Fichiers, il faut en créer un nouveau :

Capture

  • Sélectionner le répertoire à risque car partagé, puis le filtre qui s’applique au répertoire.

Pour tester : il suffit de tenter de créer un fichier avec l’extension .locky. Selon l’exemple ci-dessus, vous recevrez un mail de ce type :

Capture

Sous Windows 2012R2

Installation.

Dans l’assistant Ajout de rôles et de fonctionnalités,  développez le Services de fichiers et de stockage puis Services de fichiers et iSCSI. Sélectionnez ensuite le Gestionnaire de ressource du serveur de fichiers.

Capture

 

Une fois installé, l’outil Gestionnaire de ressources du serveur de fichiers sera fonctionnel (sans redémarrage du serveur).

 

Configuration des alertes

Sur la racine de l’arborescence, click droit / Configurer les options :

Capture

La page Notifications par courrier électronique est la même que pour Windows 2008R2

  • Spécifiez le nom de votre serveur smtp, à qui vous souhaitez envoyer les alertes et quelle adresse email émettrice sera affichée.

Attention, cette page ne permet de faire de l’envoi SMTP sur autre chose que du SSL ni en mode authentifié.

Création d’alerte sur des fichiers de type Ransomware

Il faut commencer par construire le modèle qu’on appellera « Ransomware ». Ce modèle contiendra l’extension ou les extensions connues générées par les ransomwares sur un serveur de fichiers. (Toutes les boites de dialogues sont similaires à Windows 2008R2)

  • Créer un nouveau Groupe de Fichiers
  • Lui donner un nom  puis ajouter la ou les extensions pour lesquelles vous envisagerez de bloquer la création de fichiers ou d’être alerté.
  • Il faut ensuite définir un modèle de filtrage basé sur le modèle des extensions ci-dessus. Autrement dit cela revient à définir les actions qui seront menées en cas de détection des extensions du modèle de groupe de fichiers.
  • il faut donner un nom à votre filtre, puis choisir le type de filtrage. Actif = blocage immédiat des fichiers, Passif = les fichiers sont autorisés mais cela génère une alerte.
  • Il est indispensable de sélectionner le modèle de fichiers à surveiller (ici Ransomware).
  • Dans l’onglet Message electronique, vous avez au minimum à cocher la case Envoyer un courrier.

Notez bien dans l’objet du message, le texte et les variables qui vont construire le mail : si un fichier interdit est détecté, vous recevrez un mail avec le nom de login de l’utilisateur, le répertoire concerné, la date et l’heure de la création de fichiers.

Dernière étape, indiquer sur quelle arborescence de votre volume vous souhaitez appliquer ce filtre.

Dans l’option Filtres de Fichiers, il faut en créer un nouveau :

  • Sélectionner le répertoire à risque car partagé, puis le filtre qui s’applique au répertoire.

Pour tester : il suffit de tenter de créer un fichier avec l’extension .locky. Vous recevrez un mail similaire à celui envoyé avec Windows 2008R2.

 

Sous Windows 2016

Installation.

Dans l’assistant Ajout de rôles et de fonctionnalités,  développez le Services de fichiers et de stockage puis Services de fichiers et iSCSI. Sélectionnez ensuite le Gestionnaire de ressource du serveur de fichiers.

Capture

Une fois installé, l’outil Gestionnaire de ressources du serveur de fichiers sera fonctionnel.

Configuration des alertes

Sur la racine de l’arborescence, click droit / Configurer les options comme pour Windows 2012.

La page Notifications par courrier électronique est la même que pour la version antérieure.

  • Spécifiez le nom de votre serveur smtp, à qui vous souhaitez envoyer les alertes et quelle adresse email émettrice sera affichée.

Attention, cette page ne permet de faire de l’envoi SMTP sur autre chose que du SSL ni en mode authentifié.

Création d’alerte sur des fichiers de type Ransomware

Il faut commencer par construire le modèle qu’on appellera « Ransomware ». Ce modèle contiendra l’extension ou les extensions connues générées par les ransomwares sur un serveur de fichiers. (Toutes les boites de dialogues sont similaires à Windows 2012)

  • Créer un nouveau Groupe de Fichiers
  • Lui donner un nom  puis ajouter la ou les extensions pour lesquelles vous envisagerez de bloquer la création de fichiers ou d’être alerté.
  • Il faut ensuite définir un modèle de filtrage basé sur le modèle des extensions ci-dessus. Autrement dit cela revient à définir les actions qui seront menées en cas de détection des extensions du modèle de groupe de fichiers.
  • il faut donner un nom à votre filtre, puis choisir le type de filtrage. Actif = blocage immédiat des fichiers, Passif = les fichiers sont autorisés mais cela génère une alerte.
  • Il est indispensable de sélectionner le modèle de fichiers à surveiller (ici Ransomware).
  • Dans l’onglet Message electronique, vous avez au minimum à cocher la case Envoyer un courrier.

Notez bien dans l’objet du message, le texte et les variables qui vont construire le mail : si un fichier interdit est détecté, vous recevrez un mail avec le nom de login de l’utilisateur, le répertoire concerné, la date et l’heure de la création de fichiers.

Dernière étape, indiquer sur quelle arborescence de votre volume vous souhaitez appliquer ce filtre.

Dans l’option Filtres de Fichiers, il faut en créer un nouveau :

  • Sélectionner le répertoire à risque car partagé, puis le filtre qui s’applique au répertoire.

Pour tester : il suffit de tenter de créer un fichier avec l’extension .locky. Vous recevrez un mail similaire à celui envoyé avec Windows 2012.


 

Fini. En quelques clic, vous avez un filer qui vous alerte ou/et qui vous bloque si un fichier ayant une extension non désirée qui tente de se créer sur votre volume ; en supplément cela vous permet d’identifier rapidement quel poste et utilisateur en est à l’origine et est donc probablement infecté.