Préface à cette édition

Depuis la parution de la seconde édition papier du guide en 2017, de nouvelles informations à propos des technologies d’espionnage numériques, des outils que nous recommandons ou des lois que nous subissons ont vu le jour.

Commençons par une virée dans le côté obscur des nouveautés numériques.

« Les données déterminent tout ce que nous faisons »1 : voici le slogan cynique de Cambridge Analytica. Cette société a été au cœur d’un scandale qui a fait connaître le pouvoir des grands groupes de l’Internet sur la société : elle a siphonné les données personnelles de dizaines de millions de comptes Facebook avec l’accord de la plateforme pour une prétendue « étude scientifique ». Elle a ensuite vendu ses services de manipulation psychologique ciblée qui ont servi à influencer la campagne présidentielle de 2015 au Nigeria2, l’élection présidentielle états-unienne de 2016 et le vote du Brexit3. Le scandale a été révélé dans les médias en 2018 grâce aux révélations d’un ancien salarié.

Avec le COVID-19 des nouvelles étapes ont été franchies quant aux abus du numérique. « Dans l’ère du COVID-19, la connectivité n’est pas une commodité, mais une nécessité. Quasiment toutes les activités humaines — commerce, éducation, santé, politique, socialisation — semblent s’être déplacées en ligne. […] États et acteurs non-étatiques dans tous les pays exploitent maintenant les opportunités créées par la pandémie pour façonner de nouveaux récits en ligne, censurer les discours critiques et construire de nouveaux systèmes technologiques de contrôle social »4. Tel est le constat de l’organisation de défense des libertés numériques Freedom House.

Ainsi, le passe sanitaire français est un code-barre en deux dimensions, signé numériquement, qui contient le nom et le statut sanitaire de la personne, mais aussi des informations sur le vaccin reçu et les dates des dernières injections. Non seulement ces informations sont lisibles en clair, mais elles permettent « d’inférer des informations de santé encore plus privées sur certains citoyens »5. Au-delà de ces critiques sur la façon dont le passe sanitaire fonctionne, son adoption massive habitue la population à se soumettre à un contrôle généralisé via des outils numériques6.

Célia Izoard dénonce « sous le masque du Covid, la numérisation intégrale de la société »7, qui « se poursuit, brutalisant quotidiennement les dépassés et les réfractaires »8. Pour elle, la question à laquelle répondent les politiques de santé est trop souvent « comment la France peut-elle utiliser la pandémie pour conforter son leadership technologique et économique sur la scène internationale ? » Dans un rapport du sénat français, on peut ainsi lire « les perspectives ouvertes par le recours aux technologies numériques sont immenses, et la crise du Covid-19 n’a donné qu’un avant-goût des multiples cas d’usage possibles. […] Il serait irresponsable de ne pas se saisir de telles possibilités. »9

Les frontières de l’Union Européenne donnent un aperçu de ce que pourraient être ces « possibilités à saisir ». Avec le programme E-Borders, « les espaces numériques qui permettent de collecter des données sur les migrants sont au cœur de la stratégie des partenaires européens »10. Frontex, l’agence européenne de garde-frontières et de garde-côtes, se targue d’utiliser toujours plus les technologies « en constante évolution »11 : automatisation des contrôles, robotisation, intelligence artificielle12.

Ces frontières qui servent de laboratoire font écho à l’utilisation croissante dans des enquêtes judiciaires de moyens de surveillance numériques, encore il y a peu, réservés à l’antiterrorisme : utilisation de keyloggers, déchiffrement de disque durs, etc. Ainsi, dans une enquête visant le mouvement antinucléaire autour de Bure, des dizaines d’ordinateurs et de téléphones ont été expertisés13. Selon une magistrate « le caractère exceptionnel des mesures d’investigation, avec des technologies très avancées et des mises sur écoute, découle de toutes les impasses de l’association de malfaiteurs. »14

Dans la même logique, les états semblent monter des attaques utilisant des failles de sécurité encore inconnues (dites « vulnérabilité zero-day ») de plus en plus massivement. Elles ont été utilisées par la Chine contre les Ouïghours en 2018, ce qui fait dire à une organisation de défense des libertés numériques états-unienne qu’« il est très probable que ça ne soit pas la dernière fois que l’on voit un acteur étatique cibler un groupe ethnique ou un groupe activiste en masse grâce à des vulnérabilités zero-day »15. Des sociétés comme NSO Group16 ou Cellebrite17 vendent aux états des logiciels espions qui incluent de tels outils.

Suite à toutes ces révélations dans les médias, la protection de l’intimité numérique est plus que jamais d’actualité. À tel point que des entreprises se saisissent de la question pour proposer des services « sécurisés » avec les limites qu’on leur connaît : la volonté de faire du profit les pousse à prétendre donner des garanties qu’elles ne sont pas capables de tenir. En 2021, le fournisseur d’emails chiffrés Protonmail a ainsi fourni aux autorités françaises des informations sur des activistes de Youth for Climate qu’elle prétendait ne pas enregister18. Protonmail a affirmé ensuite n’avoir aucune possibilité de refuser une telle demande légale et a modifié son site qui prétendait le contraire19. En 2021, Proton a répondu à 4 920 demandes légales (sur 6 243 demandes reçues)20.

Sur le plan légal au niveau européen, plusieurs textes sur le droit qui s’applique aux données personnelles ont pris effet en mai 2018 : un règlement qui fixe le cadre général de la protection des données (RGPD)21 ainsi qu’une directive applicable uniquement aux fichiers de la sphère pénale (directive Police-Justice)22. Ils sont censés protéger les données personnelles en régulant la façon dont elles peuvent être traitées23 par les administrations publiques et les organisations. Le RGPD impose aussi que les données personnelles soient stockées et traitées de manière sécurisée. Dans les faits, le règlement est faiblement mis en œuvre par les organisations car les manquements sont très peu contrôlés24. La directive qui s’applique aux traitements policiers et judiciaires, elle, facilite les transferts de données entre les forces de l’ordre au niveau européen et au-delà25.

La bataille juridique autour de la rétention des données au niveau européen illustre bien les limites de ces règlements. La Cour de Justice de l’Union Européenne (CJUE) a invalidé deux fois la directive européenne2627 de 2006 pour finalement, à la demande de la France28, revenir partiellement sur sa position29. La France en a profité pour maintenir la conservation systématique des journaux de connexion au titre de la sécurité nationale ou de la recherche des autrices d’infractions pénales30 alors que la Belgique, au contraire, a confirmé renoncer, pour l’essentiel, à la conservation généralisée et indifférenciée des données de connexion31.

Les autres nouveaux textes réglementaires applicables en France sont trop nombreux pour tous être listés et développés ici32. Et, comme ce n’est pas l’objet premier de l’ouvrage, nous nous contenterons de citer deux exemples. Le pouvoir de censure des autorités est étendu avec celui de faire retirer des contenus web pour « contenu terroriste » en moins d’une heure33. Ou encore l’énième tour de passe-passe qui a permis d’annoncer la fin de l’état d’urgence tout en normalisant dans le droit commun certaines de ses dispositions exorbitantes34, « une prolongation indéfinie de l’état d’urgence »35.

Encore une fois, malgré la propagation d’un sentiment d’impuissance, ces différentes révélations sur l’état de la surveillance numérique rendent d’autant plus nécessaire de se donner les moyens de la comprendre et d’adapter ses pratiques en conséquence.

Depuis la dernière édition du guide, des évolutions techniques ont aussi amené à mettre à jour plusieurs passages : la généralisation des disques SSD nécessite de repenser la suppression de données ; les technologies de processeurs ont évolué36. Du côté des animations web, la technologie flash qui posait de nombreux problèmes d’intimité a été abandonnée au profit du HTML5 et de diverses technologies associées… qui posent de nouveaux problèmes.

Au sujet des attaques, les mises à jour concernent les microprogrammes (par exemple le Management Engine d’Intel) et l’exfiltration de données qui utilisent des failles dans les services web.

Les explications sur Tor ont été largement revues car Tor ne prétend plus fournir d’anonymat, mais plutôt de la confidentialité. Les recommandations pour le choix de phrases de passe et l’utilisation de mots de passe ont aussi été revues en prenant en compte les nouvelles recherches à ce sujet.

Du côté des outils, deux nouvelles versions du système d’exploitation Debian GNU/Linux sont sorties, ainsi que des nouvelles versions du système live Tails. Cette actualisation du guide est basée sur Debian 11 « Bullseye », qui a apporté de nombreux changements tant au niveau graphique que dans les logiciels proposés. Les outils ont donc été revus pour que les recettes fonctionnent sur ces nouveaux systèmes. Cela a également amené à des changements, notamment la refonte de l’utilisation du chiffrement OpenPGP dans Thunderbird et de nouvelles instructions pour utiliser le Navigateur Tor.

Les smartphones sont de plus en plus ciblés dans les enquêtes policières comme celle de Bure37 et beaucoup de dispositifs exploitant les vulnérabilités zero-day visent particulièrement les smartphones. Pour autant, la réduction des risques pour l’usage des téléphones ne sera pas abordée dans ce guide. Un travail complet serait nécessaire, pour lequel les personnes qui mettent à jour ce guide n’ont ni le temps, ni l’expertise requise. Le fonctionnement même de la téléphonie mobile pose des questions d’intimité difficiles à résoudre38.

Il faudra donc prendre en compte ces nouveautés dans notre approche du monde numérique et de nos politiques de sécurité.

Au-delà des évolutions techniques, une nouvelle dynamique d’écriture autour du guide a amené des évolutions plus générales.

Une relecture complète a été effectuée, ce qui a permis de nombreuses reformulations et la mise à jour d’exemples. Une nouvelle partie sur la réduction des risques appliquée aux outils numériques est venue se glisser dans le choix des réponses adaptées à chaque situation. Le cas d’usage Travailler sur un document sensible a été refondu et le cas d’usage Publier un document inclut maintenant la protection des personnes qui vont le consulter.

La question du genre dans les formulations du guide existe depuis ses débuts. Pour cette édition, un travail de fond visant à utiliser l’écriture épicène a été, au maximum, effectué. Mais la langue française est si discriminante que trouver des formulations non-genrées n’est pas toujours possible. Pour de tels cas, nous avions alors décidé d’utiliser le féminin, choisissant d’aller à l’encontre des règles habituelles spécifiant l’usage du masculin. Cependant, alors que nous écrivons cette préface et souhaitons justifier nos choix, nous réalisons que celui-ci ne permet pas aux personnes transgenres ou non-binaires de se sentir incluses, y compris au sein même de l’équipe du guide. À quelques mois de la sortie de l’ouvrage, nous ne pouvons malheureusement pas considérer recommencer ce travail. Nous attendrons donc l’édition suivante, si elle a lieu, pour trouver une solution inclusive.

Grâce à cette révision, nous espérons que les pages suivantes restent d’une compagnie avisée dans la traversée de la jungle numérique… du moins, jusqu’à la suivante.


  1. « Data drives all we do » en anglais, cité par Le Monde (Le Monde, 2018, Ce qu’il faut savoir sur Cambridge Analytica, la société au cœur du scandale Facebook).↩︎

  2. Wikipédia, 2022, Christopher Wylie.↩︎

  3. Wikipédia, 2021, Scandale Facebook-Cambridge Analytica.↩︎

  4. Adrian Shahbaz et Allie Funk, 2020, The Pandemic’s Digital Shadow, dans Freedom House, 2020, Freedom of the Net 2020 (en anglais), traduit par nos soins.↩︎

  5. Florian Maury, Piotr Chmielnicki, 2021, Pass sanitaire et vie privée : quels sont les risques ?.↩︎

  6. La Quadrature du Net, 2021, Passe sanitaire : quelle surveillance redouter ?.↩︎

  7. Celia Izoard, 2021, Sous le masque du Covid, la numérisation intégrale de la société, Reporterre.↩︎

  8. Celia Izoard, 2021, La numérisation du quotidien, une violence inouïe et ordinaire, Reporterre.↩︎

  9. Véronique Guillotin, Christine Lavarde, René-Paul Savary, 2021, Rapport d’information fait au nom de la délégation sénatoriale à la prospective sur les crises sanitaires et outils numériques : répondre avec efficacité pour retrouver nos libertés, Sénat français, p. 51.↩︎

  10. Catherine Puzzo, 2018, Frontières multiples et nouveaux agents du contrôle migratoire au Royaume Uni, Sciences & Actions Sociales n° 9, p 20.↩︎

  11. Frontex, 2017, Research and Development in border management(en anglais).↩︎

  12. Piotr Szostak, 2021, Avec les drones et algorithmes, l’Europe construit un mur virtuel contre les migrants, Gazeta Wyborcza traduit par Courrier International.↩︎

  13. Marie Barbier, Jade Lindgaard, 2020, L’État a dépensé un million d’euros contre les antinucléaires de Bure, Reporterre.↩︎

  14. Laurence Blisson, magistrate et ancienne secrétaire générale du Syndicat de la magistrature, cité par Marie Barbien et Jade Lindgaard (op. cit.)↩︎

  15. Cooper Quintin and Mona Wang, 2019, Watering Holes and Million Dollar Dissidents: the Changing Economics of Digital Surveillance, Electronic Frontier Foundation, traduit par nos soins.↩︎

  16. Le Monde, 2021, Apple répare une faille informatique liée au logiciel d’espionnage Pegasus**.↩︎

  17. Privacy International, 2012, Surveillance Company Cellebrite Finds a New Exploit: Spying on Asylum Seekers.↩︎

  18. Gaspard d’Allens, 2021, Réputé sûr, Protonmail a livré à la police des informations sur des militants climat, Reporterre.↩︎

  19. Emma Confrere, 2021, Émoi après que la messagerie sécurisée ProtonMail a collaboré à une enquête judiciaire, Le Figaro.↩︎

  20. Proton, 2022, Transparency Report (en anglais).↩︎

  21. Journal officiel de l’Union européenne, 2016, Règlement (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.↩︎

  22. Journal officiel de l’Union Européenne, 2016, Directive n° 2016/680 du 27 avril 2016, dite « directive Police-Justice ».↩︎

  23. Le « traitement » comprend tout ce qui est lié à la collecte, l’agrégation, l’exploitation ou le partage de données.↩︎

  24. La Quadrature du Net, 2021, Les GAFAM échappent au RGPD, la CNIL complice.↩︎

  25. La Quadrature du Net, 2016, Synthèse de la directive sur les données personnelles.↩︎

  26. Cour de Justice de l’Union Européenne, 2014, La Cour de justice déclare la directive sur la conservation des données invalide, Communiqué de presse n° 54/14 sur l’arrêt « Digital Rights ».↩︎

  27. Cour de justice de l’Union Européenne, 2016, Les États membres ne peuvent pas imposer une obligation générale de conservation de données aux fournisseurs de services de communications électroniques, Communiqué de presse n° 145/16 sur l’affaire « Tele2 ».↩︎

  28. Conseil d’État français, 2018, Lecture du 26 juillet 2018.↩︎

  29. Cour de Justice de l’Union Européenne, 2020, La Cour de justice confirme que le droit de l’Union s’oppose à une réglementation nationale imposant à un fournisseur de services de communications électroniques, à des fins de lutte contre les infractions en général ou de sauvegarde de la sécurité nationale, la transmission ou la conservation généralisée et indifférenciée de données relatives au trafic et à la localisation, Communiqué de presse n° 123/20 sur les affaires Privacy International, La Quadrature du Net, French Data Network et Ordre des barreaux francophones et germanophone.↩︎

  30. Conseil d’État français, 2021, Décision du 21 avril 2021.↩︎

  31. Cour Constitutionnelle belge, 2021, Arrêt n° 57/2021 du 22 avril 2021.↩︎

  32. Liste non exhaustive : loi n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice, loi n° 2019-1479 du 28 décembre 2019 de finances pour 2020, loi n° 2020-766 du 24 juin 2020 visant à lutter contre les contenus haineux sur Internet, ordonnance n° 2020-1733 du 16 décembre 2020 portant partie législative du code de l’entrée et du séjour des étrangers et du droit d’asile, loi n° 2021-646 du 25 mai 2021 pour une sécurité globale préservant les libertés, loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République, loi n° 2021-998 du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement…↩︎

  33. Le gouvernement s’est battu bec et ongles pour l’obtenir. La Quadrature du Net, 7 mai 2021, Règlement de censure terroriste adopté : résumons.↩︎

  34. Developpez.com, 2017, France : les députés approuvent la saisie de matériel informatique et la copie de données d’un suspect.↩︎

  35. Commission nationale consultative des droits de l’Homme, 6 juill. 2017, avis sur le projet de loi renforçant la sécurité intérieure et la lutte contre le terrorisme.↩︎

  36. Notamment avec la disparition des processeurs 32 bits.↩︎

  37. Marie Barbier, Jade Lindgaard, 2020, La justice a massivement surveillé les militants antinucléaires de Bure, Reporterre.↩︎

  38. Surveillance Self-Defense, 2018, Le Problème avec les Téléphones Portables.↩︎