Liste pour la protection des données
ou
Manuel de résistance au capitalisme de surveillance
Valentin Delacour
2016 - 2021 Version du 08.06.21 Valentin Delacour
Table des matières
1. Introduction p. 2
2. Règles d’or p. 3
3. Ordinateur pp. 4-5
3.1 Systèmes d’exploitation 4 3.2 Services et programmes 5
4. Smartphone pp. 6-9
4.1 Systèmes d’exploitation 6 4.2 Applications 7-8 4.3 F-Droid 9
5. Navigateurs p. 10
5.1 Firefox 10 5.2 Tor Browser 10
6. Instances de services pp. 11-12
6.1 Searx 11 6.2 Invidious 11 6.3 Visioconférence 11 6.4 Résolveurs DNS 12
7. Ressources additionnelles (sources partielles) pp. 13-14
8. Configurations pp. 15-28
8.1 Systèmes d’exploitation 15-16 8.2 Applications et programmes 16-17 8.3 Firefox 18-28
1 Version du 08.06.21 Valentin Delacour
1. Introduction
Ce document a pour but principal de proposer des outils et alternatives pour protéger les données et la vie privée de la prédation des entreprises privées œuvrant dans le cadre du système actuel de capitalisme de surveillance. Toutefois, suivre les recom- mandations qui suivent permet également d’améliorer, dans une certaine mesure du moins, la protection contre d’autres entités intéressées par les données personnelles telles que des services d’États ou des pirates, par exemple.
Cette liste est destinée à toute personne consciente ou prenant conscience des enjeux de la protection des données dans notre société, indépendamment de ses connais- sances du sujet. Elle ne se destine pas aux personnes nécessitant un anonymat total du fait de leur fonction à risques tels les opposants politiques ou certains journalistes, même si certaines options citées pourraient leur convenir. En effet, le respect de la vie privée n’équivaut pas nécessairement à l’anonymat.
Le format de liste a été choisi afin de rendre sa consultation la plus efficace possible. Cette approche empêche de détailler de véritables explications. Vous êtes donc invités à chercher celles qui vous sont nécessaires par vous-mêmes ou dans les ressources additionnelles mentionnées au point 7 du document. Ayant pour but de proposer les options les plus réputées et pratiques sans être encombrée, la liste n’a pas pour voca- tion d’être exhaustive et demeure subjective bien que visant la plus grande objectivité possible.
Cette liste propose une première hiérarchisation (ordre d’apparition et présence ou non de parenthèses) subjective basée sur le rapport confidentialité/facilité d’utilisation afin de vous aider à choisir parmi les différentes options citées. Une deuxième hiérar- chisation (couleurs) se base uniquement sur la confidentialité estimée : vert (véritable respect de la vie privée), bleu (respect de la vie privée sous conditions ou présence d’un élément problématique), rouge (ne garantit pas le respect de la vie privée mais reste préférable aux options des GAFAM) et incolore (manque d’éléments pour former une estimation pertinente). La présence d’un astérisque indique que l’option mention- née est encore en phase de développement.
J’espère que ce document vous servira pour améliorer la protection de vos données personnelles et de celles de vos proches. Bien qu’étant le fruit de plusieurs années de recherches et d’expériences, ce travail demeure bien évidemment perfectible. Toute suggestion ou remarque est donc plus que bienvenue à l’adresse mail suivante : "[email protected]". Plusieurs mois après la présente version du document, certaines informations données seront obsolètes. Le document étant fréquemment actualisé, vous êtes invités à vous procurer la dernière version sur la page web : "https://codeberg.org/PrivacyFirst/Data_Protection/issues".
2 Version du 08.06.21 Valentin Delacour
2. Règles d’or
- Toujours éviter d’utiliser les services et programmes des GAFAM (Google, Amazon, Facebook, Apple et Microsoft) lorsque c’est possible. Il est recommandé de supprimer vos éventuels comptes.
- Toujours vérifier tous les paramètres et autorisations de ce que l’on utilise et les opti- miser afin de limiter au maximum la collecte de données personnelles.
- Installer uniquement les programmes/applications nécessaires, ce sont autant d’ac- cès potentiels à vos données personnelles.
- Utiliser des programmes libres/open source (leurs codes sont publics et donc véri- fiables) au lieu des propriétaires/closed source à chaque fois que c’est possible.
- Privilégier les options libres populaires à celles méconnues (elles seront davantage vérifiées/fiables).
- Si une entreprise propose ses services gratuitement, en général, le produit qu’elle vend c’est vous (vos données personnelles). À cause du modèle dicté par le capitalisme de surveillance, payer ne vous protège même plus d’être également le produit.
- Mettre à jour ses programmes/systèmes d’exploitation régulièrement pour profiter des correctifs de failles de sécurité exploitables et penser à remplacer ceux qui ne pa- raissent plus être mis à jour.
- Ne pas utiliser d’antivirus tiers qui sont de véritables aspirateurs à données person- nelles (à part ClamAV). Leur apport est négligeable avec de bonnes habitudes numé- riques. La prudence et une bonne configuration sont les meilleurs antivirus.
- Privilégier les Web Apps, ou raccourcis depuis le navigateur, pour accéder aux ser- vices désirés au lieu d’applications à installer pour limiter l’accès et donc les possibili- tés de collecte de données personnelles.
- Utiliser une adresse de courriel temporaire pour créer un compte pour les sites/ser- vices peu importants.
- Toujours désactiver le Wi-Fi, le Bluetooth et la géolocalisation de son smartphone lor- qu’ils ne sont pas utilisés et ne pas se connecter aux Wi-Fi publics sans VPN.
- Ne pas utiliser d’objets connectés (leur but est de récolter un maximum de données personnelles) ou ne pas les connecter à internet lorsqu’ils sont indispensables.
3 Version du 08.06.21 Valentin Delacour
3. Ordinateur
3.1 Systèmes d’exploitation
Windows (cf. 8.1) est actuellement le pire système d’exploitation en termes de confi- dentialité. Les seuls OS faciles d’utilisation et respectant véritablement la vie privée sont des distributions libres (donc gratuites) de Linux. Il en existe une multitude dont les caractéristiques varient grandement. Voici une petite sélection de celles proposant la meilleure expérience pour l’utilisateur (toujours en respectant la vie privée) ou ga- rantissant la meilleure protection des données. Il faut savoir que chacune d’entre elles propose une ou plusieurs interfaces (environ- nements de bureau) différentes en termes d’expérience, de consommation de res- sources et d’apparence. Il existe une documentation abondante en ligne pour choisir quelle distribution et quel environnement de bureau conviendront le mieux aux capa- cités de votre ordinateur et à vos préférences ainsi que pour savoir comment l’installer facilement sur votre ordinateur.
Desktop : Linux Mint : idéal pour les débutants MX Linux (cf. 8.1) : convient aux débutants (Solus) : convient aux débutants (Parrot) : sécurité renforcée et option d’anonymat par Tor (utilisateurs confirmés) ((Qubes OS)) : sécurité extrême (utilisateurs avancés) ((Whonix)) : anonymat par Tor et sécurité extrême (utilisateurs avancés)
USB live (RAM) : MX Linux : convient aux débutants Tails : anonymat par Tor (utilisateurs confirmés) (Parrot) : sécurité renforcée et option d’anonymat par Tor (utilisateurs confirmés)
Raspberry Pi : LibreELEC : centre multimédia pour TV Plasma BigScreen* : centre multimédia pour TV (commande vocale avec Mycroft AI) Raspberry Pi OS : système d’exploitation classique Batocera : émulateur de consoles, retrogaming (RetroPie) : émulateur de consoles, retrogaming
4 Version du 08.06.21 Valentin Delacour
3.2 Services et programmes
Navigateur : Firefox(cf. 5.1), Tor Browser(cf. 5.2), (LibreWolf*(cf. 5.1), Brave), ((Ungoogled Chromium*, Iridium Browser)). Moteur de recherche : Qwant, DuckDuckGo, Searx(cf. 6.1), Swisscows, (Startpage(proxy Google)). Bureautique : LibreOffice, OnlyOffice, Collabora Office(LibreOffice prof.), (CryptPad). Courriel : Tutanota, Protonmail, CTemplar, Posteo. Plateforme vidéo : Odysee(LBRY), PeerTube. Proxy Youtube : Invidious(cf. 6.2), CloudTube, FreeTube(client Youtube)(cf. 8.2). Messagerie instantanée : Threema, Signal, Telegram, (Session*, Element, Jami*), ((Gajim(client XMPP))). Visioconférence : Jitsi Meet(cf. 6.3), Signal, BigBlueButton(cf. 6.3), Jami*, Element. Réseau social : Telegram, Mastodon, Movim, Lemmy, Friendica, PixelFed. Proxy de réseau social : Nitter(Twitter), Libreddit(Reddit), Bibliogram(Instagram). Traduction : LibreTranslate, DeepL, Apertium. Cartes : OpenStreetMap, Qwant Maps*, DuckDuckGo, (Maps.me). Partage de fichiers : upload.disroot.org, swisstransfer.com, OnionShare. Collaboration et organisation : CryptPad, Mobilizon. Gestionnaire de mots de passe : Bitwarden, KeePassXC. Lecteur multimédia : mpv, VLC. VPN : ProtonVPN, IVPN, (Mullvad, Windscribe). Cloud : Disroot(Nextcloud), Cozy Cloud, Nextcloud, Kdrive(Infomaniak). Courriel temporaire : temp-mail.org, guerrillamail.com, EmailOnDeck. Gestionnaire d’alias pour courriel : forwardemail.net Notes : Standard Notes, Joplin. Antivirus (ClamAV): ClamTK(Linux), ClamWin(Windows). Nettoyage et optimisation de système : Stacer, BleachBit. Traitement d’image et dessin : GIMP/Drawing, Krita, Darktable/RawTherapee. Dessin vectoriel : Inkscape Mise en page, édition (PAO) : Scribus Édition audio : Audacity, LMMS, Ardour. Édition vidéo : OpenShot, Kdenlive, (Avidemux, Pitivi, Cinelerra). Suppression de métadonnées : ExifCleaner Outil de chiffrement : VeraCrypt, Cryptomator. Moniteur de trafic réseau : Wireshark Programmes/jeux Windows avec Linux : PlayOnLinux(Wine), Wine, (WinApps*).
5 Version du 08.06.21 Valentin Delacour
4. Smartphone
4.1 Systèmes d’exploitation
Android, dans sa configuration par défaut, est le pire système d’exploitation quant au respect de la vie privée. Son but est d’envoyer en permanence les données person- nelles de ses utilisateurs aux serveurs Google afin de les exploiter et les revendre. La solution la plus recommandable actuellement est d’utiliser une version d’Android mo- difiée (custom ROM) pour respecter la vie privée. Si vous ne souhaitez pas installer ou acheter un smartphone avec un OS respectueux (grave erreur) et que vous souhaitez malgré tout utiliser Android d’origine, suivez les quelques conseils détaillés au point 8.1 de ce document afin limiter au maximum la collecte de données personnelles. Le système d’exploitation d’Apple (iOS), malgré son marketing basé sur le respect de la vie privée, collecte et exploite également les données personnelles de ses utilisateurs (bien que dans une moindre mesure qu’Android par défaut) et limite leur liberté. Les options basées sur Linux (UBports, Postmarket OS, Mobian, etc.) sont respec- tueuses de la vie privée mais n’offrent pas les mêmes garanties en termes de sécurité qu’Android ou iOS. De plus, dans leur état de développement actuel, elles ne sont pas recommandables pour des utilisateurs moyens (à l’exception peut être de Sailfish OS).
Android modifié pour la vie privée : CalyxOS : Android sécurisé et dégooglisé mais avec microG (meilleure compatibilité) GrapheneOS : l’Android dégooglisé le plus confidentiel et sécurisé disponible /e/OS : Android dégooglisé mais avec microG et services intégrés (compte /e/) (LineageOS for microG) : LineageOS avec microG pour une meilleure compatibilité (Volla OS) : Android sécurisé, sans Google apps mais pas totalement dégooglisé ((LineageOS)) : Android sans Google apps mais pas totalement dégooglisé
Hardware (préinstallé) : Fairphone 3 et 3+ : /e/OS (version seulement disponible sur le site du projet /e/) Gigaset GS290 : /e/OS (version seulement disponible sur le site du projet /e/) Volla Phone : Volla OS, UBports, Sailfish OS et autres
D’autres appareils avec /e/OS préinstallé sont disponibles sur le site du projet /e/.
6 Version du 08.06.21 Valentin Delacour
4.2 Applications
Les applications proposées pour Android et dérivés doivent en premier lieu être cher- chées sur le magasin d’applications libres F-Droid (garantie qu’aucun pisteur tiers n’est présent) et seulement si elles ne s’y trouvent pas, sur Aurora Store, un proxy de Google Play qui permet d’avoir accès à ses applications gratuites de manière anonyme (ne jamais s’y connecter avec un compte Google personnel). Ces magasins doivent être téléchargés directement depuis leurs sites web respectifs. Pensez ensuite à retirer l’autorisation d’installer des applications inconnues à votre na- vigateur pour des motifs de sécurité (paramètres > applications > navigateur utilisé).
F-Droid : https://f-droid.org Aurora Store : https://auroraoss.com/downloads.php
Android et dérivés : Magasin d’applications : F-Droid(cf. 4.3), Aurora Store(proxy Google Play), (APKMirror). Navigateur : Bromite(cf. 4.3), Tor Browser(cf. 5.2), Mull(cf. 4.3 et 5.1), (Privacy Browser). Messagerie instantanée : Threema, Signal(cf. 4.3), Telegram FOSS(cf. 8.2), (Session*(cf. 4.3), Element, Jami*), ((Briar, Conversations(XMPP client))). Visioconférence : Jitsi Meet, Signal, Jami*, Element. Plateforme vidéo : Newpipe(client Youtube)(cf. 4.3), LBRY, TubeLab(client PeerTube). Bloqueur de publicité/pisteurs : RethinkDNS*, Blokada(cf. 8.2), (Nebulo). Cartes/navigation GPS : OsmAnd+, Magic Earth, (Organic Maps*). Client courriel : Tutanota, Protonmail, CTemplar, K-9 Mail. Gestionnaire d’alias pour courriel : SimpleLogin, AnonAddy. Client gestionnaire de mots de passe : Bitwarden(cf. 4.3), KeePassDX. Authentification à deux facteurs : Aegis, andOTP. Web Apps : WebApps Bureautique : Collabora Office(LibreOffice)(cf. 4.3) VPN : ProtonVPN, IVPN, (Mullvad VPN, Riseup VPN, Calyx VPN). Client Mastodon, Friendica, PeerTube et PixelFed : Fedilab, Tusky(Mastodon). Client respectueux : WebApps(Instagram et autres), Frost(Facebook), Twidere(Twitter). Suppression de métadonnées : Scrambled Exif, ImagePipe. Outil de chiffrement pour cloud : Cryptomator Radio internet : RadioDroid Organisation d’événements : Mobilizon Redirecteur de contenu Youtube, Twitter, Instagram et Google Map : UntrackMe
7 Version du 08.06.21 Valentin Delacour
Remplacement d’applications système pour Android d’origine : Clavier : AnySoftKeyboard, OpenBoard, (FlorisBoard*). Notes : Standard Notes, Joplin, Nextcloud Notes, (Notally, Simple Notes). SMS : Signal, (Simple SMS Messenger, QKSMS). Agenda : Simple Calendar, Proton Calendar*, Etar. Gestionnaire de fichiers : Simple File Manager, (Material Files). Galerie : Simple Gallery Lecteur audio : Vinyl Music Player, Vanilla Music, (Music Player GO). Lecteur PDF : PDF Viewer Plus, MuPDF Viewer. Contacts : Open Contacts, Simple Contacts. Caméra : Open Camera, (Simple Camera). Enregistreur audio : Audio Recorder, Simple Voice Recorder. Gestionnaire d’appels téléphoniques : Simple Dialer Horloge : Simple Clock Calculatrice : Simple Calculator
Pour aller plus loin : Pare-feu et moniteur de trafic réseau : RethinkDNS*, InviZible Pro, (NetGuard). Révélateur de pisteurs tiers : ClassyShark3xodus, Exodus privacy. Gestionnaire de confidentialité pour applications : App Manager, App Warden(root). Stoppeur d’applications (arrière plan) : RethinkDNS*, (SuperFreezZ). Isolateur d’applications : Shelter, Insular. Anonymisation réseau par Tor : Orbot Proxy, InviZible Pro. Détecteur de malware : Hypatia(ClamAV) Falsificateur de localisation : Fake Traveler Remplacement de Google Services : microG GmsCore Bloqueur de micro : PilferShush Jammer
IOS : Navigateur : Firefox(cf. 5.1), Onion Browser(cf. 5.2), DuckDuckGo Browser, (Brave). Messagerie instantanée : Threema, Signal, Telegram(cf. 8.2), (Session*, Element, Jami*), ((Monal(client XMPP))). Visioconférence : Jitsi Meet, Signal, Jami*, Element. Plateforme vidéo : LBRY Bloqueur de publicité/pisteurs : Blokada(cf. 8.2), DNSCloak, Lockdown. Cartes/navigation GPS : Magic Earth Client courriel : Tutanota, Protonmail, Ctemplar.
8 Version du 08.06.21 Valentin Delacour
Gestionnaire d’alias pour courriel : SimpleLogin Client gestionnaire de mots de passe : Bitwarden, Strongbox - KeePass. Authentification à deux facteurs : Tofu Authenticator Bureautique : Collabora Office(LibreOffice) Outil de chiffrement pour cloud : Cryptomator
4.3 F-Droid
Pour pouvoir trouver et télécharger certaines applications depuis F-Droid, il est néces- saire d’ajouter leurs dépôts. Pour cela, aller dans les paramètres de F-Droid, puis sous "dépôts", activer le dépôt "Guardian Project" et enfin appuyer sur le "+" et entrer l’adresse des dépôts ci-dessous souhaités :
Bromite : https://fdroid.bromite.org/fdroid/repo
Mull : https://divestos.org/fdroid/official
Newpipe : https://archive.newpipe.net/fdroid/repo Il peut arriver que Newpipe cesse de fonctionner à cause de modifications réalisées par Google sur Youtube. Afin de bénéficier plus rapidement des mises à jour corri- geant ces problèmes, il est recommandé d’ajouter le propre dépôt de Newpipe.
Langis (Signal) : https://gitlab.com/TheCapsLock/fdroid-patched-apps/raw/master/fdroid/repo Langis est une version modifiée de Signal à utiliser en dernier recours si les notifica- tions ne parviennent pas avec la version standard de Signal d’Aurora Store.
Session : https://fdroid.getsession.org/fdroid/repo
Bitwarden : https://mobileapp.bitwarden.com/fdroid/repo Version de Bitwarden sans les pisteurs tiers présents dans la version de Google Play
Collabora Office : https://www.collaboraoffice.com/downloads/fdroid/repo
9 Version du 08.06.21 Valentin Delacour
5. Navigateurs
La compartimentation (utiliser différents navigateurs, avec différentes configurations, selon les tâches) est une méthode recommandée pour préserver la vie privée sans trop sacrifier le confort de navigation. À titre d’exemple, il s’agirait d’utiliser Firefox avec une configuration restrictive pour la navigation générale. Ensuite, utiliser un autre profil du même Firefox configuré de ma- nière moins restrictive ou LibreWolf pour les sites ne s’affichant pas correctement ou nécessitant une connexion à un compte personnel et un autre navigateur pour la consultation des sites les plus récalcitrants à la protection de la vie privée (Brave ou Ungoogled Chromium sans configuration sont idéaux pour ce cas de figure). On peut également imaginer un autre navigateur uniquement dédié au e-banking ou encore Tor Browser pour la navigation anonyme.
5.1 Firefox
Pour que Firefox protège la vie privée, il est nécessaire de le configurer de manière adéquate (paramètres, extensions et about:config). Toutes les configurations néces- saires sont détaillées au point 8.3 du document. Ces réglages peuvent aussi valoir pour LibreWolf et, dans une certaine mesure, pour les versions mobiles comme Mull.
Extensions : Liste complète (restrictive) : uBlock Origin, Decentraleyes, CanvasBlocker, Chameleon, Cookie AutoDelete, ClearURLs, Privacy Redirect, (HTTPS Everywhere).
Liste légère : uBlock Origin, Decentraleyes, Cookie AutoDelete, (HTTPS Everywhere).
5.2 Tor Browser
Le concept de Tor est de faire passer le trafic internet par un réseau l’anonymisant. Dans le but que l’empreinte (fingerprint) de votre navigateur (donnée entre autres par sa configuration) ne trahisse pas votre identité, les navigateurs Tor sont conçus pour avoir, au possible, la même empreinte indépendamment des utilisateurs. Pour éviter de rendre l’empreinte de votre navigateur Tor unique, il est déconseillé d’installer des extensions ou de faire des modifications dans les paramètres "about:config". Si vous tenez à l’anonymat fourni, il est également nécessaire de ne pas se connecter à des comptes pouvant de fait le compromettre. La méthode d’anonymisation du réseau Tor ralentit les chargements. Il n’est donc pas recommandé de l’utiliser pour le streaming ou les téléchargements volumineux.
10 Version du 08.06.21 Valentin Delacour
6. Instances de services
6.1 Searx
Searx est un métamoteur libre qui ne transmet pas de données personnelles aux mo- teurs de recherche utilisés. Il permet une configuration particulièrement avancée. Les différentes instances (disponibles ici : https://searx.space/) n’offrent pas toutes les mêmes garanties de protection de la vie privée (log d’adresses IP ou non, etc.). https://search.snopyta.org/ : résultats Google (Startpage) inclus, pas de log IP https://spot.ecloud.global/ : résultats Google (Startpage), log IP, interface agréable https://search.disroot.org/ : résultats Google inclus, pas de log d’adresses IP
6.2 Invidious
Invidious donne accès au contenu Youtube (proxy) sans transmettre les données per- sonnelles à Google. Malheureusement, ses différentes instances (disponibles ici : https://instances.invidio.us/) rencontrent fréquemment des problèmes dus aux me- sures prises par Google pour empêcher leur fonctionnement. L’extension Privacy Redi- rect redirige automatiquement les liens Youtube vers Invidious (cf. 8.3). Instance Invidious semblant actuellement être la plus fonctionnelle : https://invidious.snopyta.org/
6.3 Visioconférence
Jitsi Meet : FDN : https://talk.fdn.fr/ Snopyta : https://talk.snopyta.org/ Framasoft : https://framatalk.org/accueil/fr/ Calyx : https://meet.calyx.net/ Jitsi : https://meet.jit.si/ Infomaniak : https://meet.infomaniak.com/
BigBlueButton : FAImaison : https://bbb.faimaison.net/b Grifon : https://bbb.grifon.fr/b Nixnet : https://meet.nixnet.services/b
11 Version du 08.06.21 Valentin Delacour
6.4 Résolveurs DNS
Intercontinental
Avec filtrage contre publicité, pisteurs et domaines malicieux : NixNet (DoH, DoT) BlahDNS (DoH, DoT, DoQ, DNSCrypt) Adguard (DoH, DoT, DoQ, DNSCrypt) (NextDNS) (DoH, DoT, DNSCrypt)
NixNet DoH : https://adblock.any.dns.nixnet.xyz/dns-query BlahDNS DoH (Japon) : https://doh-jp.blahdns.com/dns-query
Sans filtrage : UncensoredDNS (DoH) (DNSWatch) (non chiffré)
DNS.Watch IPv4 : 84.200.69.80, 84.200.70.40 DNS.Watch IPv6 : 2001:1608:10:25::1c04:b12f, 2001:1608:10:25::9249:d69b
Europe
Avec filtrage contre publicité, pisteurs et domaines malicieux : BlahDNS (DoH, DoT, DoQ, DNSCrypt) LibreDNS (DoH, DoT)
BlahDNS DoH (Allemagne) : https://doh-de.blahdns.com/dns-query LibreDNS DoH (Allemagne) : https://doh.libredns.gr/ads
Sans filtrage : Snopyta (DoH, DoT) Digitale Gesellschaft (DoH, DoT) PowerDNS (DoH)
12 Version du 08.06.21 Valentin Delacour
7. Ressources additionnelles (sources partielles)
Général
Excellentes ressources pour mieux comprendre le capitalisme de surveillance et ses menaces : Nothing to Hide, Marc Meillassoux (documentaire) Derrière nos écrans de fumée, Jeff Orlowski (documentaire de vulgarisation) L’Âge du capitalisme de surveillance, Shoshana Zuboff (livre)
Tutoriels faciles pour la confidentialité : https://spreadprivacy.com/tag/device-privacy-tips/
Excellentes chaînes à propos de la confidentialité (avec tutoriels): The Hated One : Newpipe, Invidious, CloudTube ou FreeTube Techlore : Odysee ou LBRY (attention, biais pro Apple)
Associations pour la défense de la vie privée (informations) : https://ssd.eff.org/ https://www.laquadrature.net https://framablog.org/ https://www.eff.org/deeplinks
Associations proposant d’excellents services respectant la vie privée : https://framasoft.org/fr/ https://disroot.org/fr/ https://www.drycat.fr/fr https://snopyta.org/ https://komun.org/
Bonnes pratiques pour la protection des données : https://www.vice.com/en_us/article/d3devm/motherboard-guide-to-not-getting-ha- cked-online-safety-guide
Excellent site listant des services et programmes respectueux : https://www.privacytools.io/
13 Version du 08.06.21 Valentin Delacour
Groupes et canaux Telegram
Protection de la vie privée et autres : t.me/internet_privacy_io_2 t.me/techloregroup (attention, biais pro Apple) t.me/techloreofficial (attention, biais pro Apple) t.me/NoGoolag
Linux et autres : t.me/Linux_Fr t.me/mxfrench
Systèmes d’exploitation
Linux : MX Linux : https://mxlinux.org/ Linux Mint : https://linuxmint.com/
Android respectueux de la vie privée : CalyxOS : https://calyxos.org/ /e/ OS : https://e.foundation/ Compatibilité des applications avec et sans microG : https://plexus.techlore.tech/
Firefox
Configuration Firefox : https://www.youtube.com/watch?v=tQhWdsFMc24
Configuration Firefox basique : https://12bytes.org/articles/tech/firefox/the-firefox-privacy-guide-for-dummies
Configuration Firefox avancée : https://12bytes.org/articles/tech/firefox/firefoxgecko-configuration-guide-for-privacy- and-performance-buffs
14 Version du 08.06.21 Valentin Delacour
8. Configurations
8.1 Systèmes d’exploitation
Android
Les recommandations suivantes étant imparfaites et ne garantissant pas totalement la protection des données, il est recommandé d’utiliser une version d’Android modifiée (cf. 4.1) plutôt qu’Android d’origine. Ceci étant dit, afin de ne pas subir un profilage complet et continu avec Android d’origine, suivez les recommandations suivantes :
- éviter toutes les marques chinoises ainsi que Samsung et préférer une marque pro- posant "Android One" (c’est à dire sans surcouche du fabriquant), comme Nokia - ne jamais se connecter avec un compte Google - cf. 4.2 pour pouvoir installer des applications sans Google Play Store - utiliser une application, comme RethinkDNS ou Blokada, qui permet de bloquer les pisteurs ainsi que les publicités et d’utiliser un résolveur DNS respectueux chiffré - désinstaller (ou lorsque cela n’est pas possible désactiver) toutes les applications né- fastes (Google, antivirus tiers, etc.) ou non utilisées - bloquer l’accès internet de toutes les applications désactivées et de celles qui ne né- cessitent pas d’accès internet pour fonctionner grâce à une application pare-feu comme RethinkDNS - vérifier toutes les autorisations des applications et du système afin de les retirer si elles sont néfastes pour la confidentialité ou non nécessaires
Windows
Les recommandations suivantes étant imparfaites et ne garantissant pas totalement la protection des données, il est recommandé d’utiliser une distribution Linux (cf. 3.1) plutôt que Windows. Ceci étant dit, afin de ne pas subir un profilage complet et conti- nu avec Windows, suivez les recommandations suivantes :
- ne pas utiliser de version antérieure à Windows 10 (plus de mise à jour de sécurité) - ne jamais se connecter avec un compte Microsoft - désactiver complètement Cortana - désactiver l’historique d’activité - aller dans les paramètres sous "confidentialité" et tout désactiver dans chacune des catégories à part les autorisations nécessaires pour les applications utilisées
15 Version du 08.06.21 Valentin Delacour
- désinstaller (ou lorsque cela n’est pas possible désactiver) Edge, Microsoft OneDrive, les antivirus (à part Microsoft Defender) et toutes les applications non utilisées - activer l'adresse MAC aléatoire dans les paramètres Wi-Fi - de préférence utiliser une autre session que celle d’administrateur au quotidien - installer le programme ShutUp10 pour avoir plus de contrôle sur la confidentialité
MX Linux
Plugin Flash : Entrer la commande suivante dans le terminal pour supprimer le plugin Flash : sudo apt purge --remove adobe-flashplugin flashplugin-installer pepperflashplugin- nonfree
Stop Pub (Advert Blocker) : Sélectionner toutes les options sauf "UNBLOCK" puis valider.
Configuration Wi-Fi : Clic droit sur l’icône Wi-Fi, modifier les connections, sélectionner le Wi-Fi actif, sous Wi- Fi sélectionner Adresse MAC clonée : Aléatoire. Sous paramètres IPv6, sélectionner Extensions de confidentialité IPv6 : Activé (adresse temporaire préférée).
8.2 Applications et programmes
Telegram
Démarrer des échanges secrets pour que les conversations soient chiffrées de bout en bout et ne passent par les serveurs de Telegram : profil du contact > les trois points en haut à droite > Commencer échange secret
Désactiver les aperçus des liens dans les échanges secrets pour ne pas contacter les serveurs de Telegram : Paramètres > Confidentialité et sécurité > Échanges secrets > Aperçus des liens
Blokada
Blocklists > activer les listes noires suivantes : - OISD - Phishing Army
16 Version du 08.06.21 Valentin Delacour
- DuckDuckGo Tracker Radar - Exodus Privacy - Combined Privacy - URLhaus - (Goodbye Ads : Samsung ou Xiaomi (uniquement pour les modèles de ces marques))
Encryption > sélectionner un résolveur DNS parmi les suivants : DoH : Digitale Gesellschaft(Europe), Blokada DNS. ((Non chiffré : DNS.Watch, Uncensored DNS, French Data Network(Europe))).
FreeTube
Utiliser Invidious comme proxy pour éviter de transmettre ses données à Google :
Settings : - Player Settings : activer "Proxy Videos Through Invidious" - Advanced Settings : entrer une instance Invidious fonctionnelle
En cas de problème, changer d’instance ou tout simplement désactiver "Proxy Videos Through Invidious".
17 Version du 08.06.21 Valentin Delacour
8.3 Firefox
Configuration générale
La configuration proposée ci-dessous étant relativement restrictive afin de protéger la vie privée de l’utilisateur, il est recommandé de pratiquer la compartimentation décrite au point 5 du document et donc d’utiliser au moins un autre navigateur afin de pou- voir accéder aux sites les moins respectueux de la vie privée.
En premier lieu, si votre réseau ou votre ordinateur sont configurés pour utiliser glo- balement un résolveur DNS respectueux et chiffré, il faut désactiver la fonction "DNS over HTTPS" activée par défaut dans Firefox. Si ce n’est pas le cas (si vous ne le savez pas, cela n’est probablement pas le cas), il est recommandé de laisser cette fonction activée. Toutefois, il est nécessaire de changer le résolveur DNS par défaut puisque Cloudflare est un acteur centralisateur et néfaste pour la vie privée. En lieu et place de ce dernier, il est recommandé de choisir une option respectueuse proposée au point 6.4 du document, en fonction de vos préférences et situation géographique.
Pour ce faire : Paramètres de Firefox > "Général" > tout en bas "Paramètres réseau" > en bas "Activer DNS over HTTPS".
À continuation, la suite de la configuration générale recommandée en images :
18 Version du 08.06.21 Valentin Delacour
19 Version du 08.06.21 Valentin Delacour
20 Version du 08.06.21 Valentin Delacour
Configuration des extensions
Il est important d’autoriser ces extensions à fonctionner en navigation privée et d’acti- ver leurs mises à jour automatiques. uBlock : - Settings : cocher "I am an advanced user" et tout cocher sous "Privacy" - Filter Lists : ajouter TOUTES les listes sauf sous "Regions" (seulement activer pour les langues utilisées) - (Ajouter les listes de filterlists.com : Energized : Ultimate Protection, Xtreme + IP + So- cial extension) - Suivre le tutoriel du site internet suivant pour établir les règles de filtre dynamique (optionnel mais recommandé) : https://www.maketecheasier.com/ultimate-ublock-origin-superusers-guide/
21 Version du 08.06.21 Valentin Delacour
Chameleon :
22 Version du 08.06.21 Valentin Delacour
Decentraleyes : Aucune configuration requise
CanvasBlocker : General : - cocher "Expert mode" - Presets > open > Stealth mode - Random number generator : non persistent APIs : cocher "Protect Window api" + accepter l’exception captcha Misc : décocher "Block data URL pages"
ClearURLs : request types: beacon,csp_report,font,image,imageset,main_frame,media,object,object_subrequest, other,ping,script,speculative,stylesheet,sub_frame,web_manifest,websocket,xbl,xml_d td,xmlhttprequest,xslt
Cookie AutoDelete : - Automatic Cleaning Options : tout activer - Extension Options : désactiver “Show notification after cookie cleanup”
Privacy Redirect : General : - sélectionner les instances souhaitées Advanced : - activer “Always proxy videos through Invidious“ - sélectionner “DASH“ sous “Invidious video quality“
(HTTPS Everywhere) : - Seulement nécessaire pour les versions de Firefox où le “HTTPS-Only Mode“ n’est pas encore implémenté : Firefox ESR et mobile (Fennec) - Aucune configuration requise
23 Version du 08.06.21 Valentin Delacour
Configuration about:config
Accéder à ces paramètres en entrant "about:config" dans la barre d’adresse de Firefox. Ces diverses configurations amélioreront la confidentialité, la sécurité et, dans une certaine mesure, les performances. Les éléments entre parenthèses ne sont pas sou- haitables pour tous les cas. accessibility.blockautorefresh = true
((accessibility.force_disabled = 1)) beacon.enabled = false browser.backspace_action = 1 browser.cache.offline.capacity = 0 browser.cache.offline.enable = false browser.display.use_document_fonts = 0 browser.send_pings.max_per_link = 0 browser.sessionhistory.max_entries = 15
Nombre maximum de pages disponibles pour "précédent", allège Firefox browser.sessionhistory.max_total_viewers = 4
Nombre maximum de pages chargées pour "précédent", allège Firefox browser.sessionstore.interval = 50000 browser.sessionstore.privacy_level = 2 browser.urlbar.autofill.enabled = false browser.urlbar.speculativeConnect.enabled = false browser.urlbar.trimURLs = false
24 Version du 08.06.21 Valentin Delacour browser.xul.error_pages.expert_bad_cert = true captivedetect.canonicalURL = supprimer device.sensors = false pour tous les éléments dom.allow_cut_copy = false dom.battery.enabled = false dom.enable_performance = false dom.enable_resource_timing = false dom.event.clipboardevents.enabled = false dom.event.contextmenu.enabled = false dom.image-lazy-loading.enabled = false dom.push = false pour tous les éléments + supprimer les adresses et identifiants dom.serviceWorkers.enabled= false dom.vr.oculus.enabled = false dom.webaudio.enabled = false gamepad = false pour tous les éléments geo = supprimer les adresses geo.enabled = false
(gfx.font_rendering.graphite.enabled = false) google = false pour tous les éléments + supprimer les adresses javascript.options.baselinejit = false
25 Version du 08.06.21 Valentin Delacour javascript.options.ion = false javascript.options.native_regexp = false layers.acceleration.force-enabled = true layout.css.visited_links_enabled = false mathml.disabled = true
((media.gmp-widevinecdm.enabled = false))
((Désactive DRM, si vidéos DRM pas nécessaires)) media.navigator.enabled = false media.video_stats.enabled = false network.captive-portal-service.enabled = false network.dnsCacheEntries = 4000 network.dnsCacheExpiration = 43200 network.dnsCacheExpirationGracePeriod = 43200 network.IDN_show_punycode = true network.http.referer.XOriginPolicy = 0 network.http.referer.XOriginTrimmingPolicy = 2 network.http.referer.spoofSource = true network.http.referer.trimmingPolicy = 2 network.http.speculative-parallel-limit = 0 network.manage-offline-status = false network.security.esni.enabled = true
26 Version du 08.06.21 Valentin Delacour normandy = false pour tous les éléments + supprimer les adresses et identifiants pdfjs.enableScripting = false pocket = false pour tous les éléments + tout supprimer privacy.clearOnShutdown.offlineApps = true privacy.spoof_english = 2 privacy.trackingprotection.socialtracking.enabled = true report (reporter/reporting) = false pour tous les éléments + supprimer les adresses safebrowsing = false pour tous les éléments + supprimer les adresses et identifiants security.cert_pinning.enforcement_level = 2 security.mixed_content.upgrade_display_content = true security.OCSP.enabled = 0 security.ssl.enable_false_start = false security.ssl.enable_ocsp_must_staple = false security.ssl.enable_ocsp_stapling = false security.ssl.require_safe_negotiation = true security.ssl3.rsa_des_ede3_sha = false security.tls.enable_0rtt_data = false security.tls.version.min = 3 telemetry = false pour tous les éléments + supprimer les adresses et identifiants ui.use_standins_for_native_colors = true webgl.disabled = true
27 Version du 08.06.21 Valentin Delacour webgl.enable-debug-renderer-info = false webgl.enable-webgl2 = false
Seulement si l’on utilise pas l’extension Chameleon :
(privacy.resistFingerprinting = true)
(Il vaut mieux laisser "false" et falsifier l’empreinte avec Chameleon)
Ceux-ci devraient être directement configurés avec Chameleon s’il est installé : media.peerconnection.ice.default_address_only = true media.peerconnection.ice.no_host = true
((media.peerconnection.enabled = false)) privacy.firstparty.isolate = true
28