Cela ne surprendra personne : des traces de votre activité sur Internet sont chaque jour conservées sur votre ordinateur, notamment par votre navigateur web. Et comme vous le savez sans doute, il ne suffit pas de supprimer vos cookies et votre historique pour disparaître. Depuis le 26 mars 2006 notamment, tous les opérateurs télécom sont tenus par la loi de conserver les données techniques (“logs”) des communications de leurs clients pendant une durée légale d’un an. Cela signifie qu’à chaque fois que vous effectuez une recherche sur Internet, l’opérateur gardera une trace de cette connexion.
D’après Marilyne Laurent, directrice adjointe du département RST à Télécom SudParis et co fondatrice de la chaire Valeurs et politiques des informations personnelles, ces logs comportent l’adresse IP de l’ordinateur, les données relatives au terminal, l’identifiant assigné par l’opérateur, la date, l’heure, la durée de connexion… en somme, tout ce qui peut permettre d’identifier une communication via Internet. Mais pour des raisons de protection de la vie privée, ces logs ne contiennent rien qui puisse révéler explicitement l’objet de la connexion : on parle de “métadonnées”. À noter que cette obligation concerne aussi les autres services et institutions qui proposent un service d’accès à Internet. Les opérateurs mobiles sont donc soumis “aux mêmes règles que les FAI, et à ce titre, ils sont également tenus de conserver des logs“. Il est donc illusoire d’espérer y échapper en passant par le réseau cellulaire.
Suis-je surveillé en permanence, de façon passive ?
Si des données sont conservées ainsi, c’est dans un cadre très encadré par la loi. Depuis le décret relatif à la “conservation des données des communications électroniques” de 2006, les FAI se chargent de la collecte des informations directement à la source — vous. Cela signifie-t-il qu’un signal sera envoyé directement aux forces de l’ordre à chaque fois que quelqu’un tape “acheter de la drogue” sur Internet ? D’après Nicolas Courtier, avocat spécialisé dans le droit de l’informatique et des technologies, ce n’est pas le cas. A part en cas d’enquête, “vous n’allez pas être surveillé en permanence”, explique-t-il. “Les FAI et structures assimilées ne font que collecter ces logs“. Ile ne sont pas habilités à les traiter ni à les analyser eux-mêmes pour des motifs de maintien de l’ordre, et sont détruits au bout d’une durée légale d’un an. Cette collecte n’est donc pas une surveillance à proprement parler.
Précisons cependant qu’il existe des “boîtes noires” installées chez les opérateurs. Il s’agit de dispositifs prévus par la loi de 2015 sur le renseignement. Ils permettent aux services de renseignement d’analyser automatiquement le trafic à grande échelle pour détecter des comportements suspects. Ces boîtes sont uniquement censées servir à détecter d’éventuelles menaces terroristes, ou autres thématiques de sécurité nationale. Mais leur fonctionnement réel relève du secret-défense et reste donc très mystérieux…
Autre précision : depuis la loi de finances 2020, l’administration fiscale s’est vue attribuer de nouvelles prérogatives à titre expérimental, pour une durée de trois ans. Dans le cadre de ses enquêtes, elle est désormais autorisée à exploiter de façon automatique toutes les données personnelles librement accessibles en ligne. Cette dénomination inclut les réseaux sociaux (Facebook, Instagram…), les plateformes d’échange comme Leboncoin, les réseaux professionnels comme LinkedIn… L’objectif : mieux cibler les fraudeurs potentiels et déclencher des contrôles fiscaux. Le tout de façon automatique, au détriment de l’appréciation humaine.
Qui peut avoir accès à mes logs ? Dans quel contexte ?
La surveillance et l’analyse des données est possible, mais uniquement par les forces de l’ordre et dans un cadre extrêmement strict. “Vous ne pouvez pas avoir un policier qui se lève un matin, croise quelqu’un qu’il juge suspect, et commence à regarder ce qu’il fait de son propre chef”, insiste Nicolas Courtier. “Ils vont devoir le faire dans le cadre légal. Il va y avoir une enquête (soit préliminaire, soit de flagrance) ou une instruction. Mais dans tous les cas, il faut qu’un juge autorise les forces de l’ordre à réclamer les logs au FAI”.
Il existe donc des garde-fous judiciaires importants; cette décision ne peut en aucun cas être entièrement arbitraire. Il y a effectivement une part d’appréciation du juge, mais sur la base de critères très stricts. Car nous sommes en démocratie et par définition, la surveillance constitue une violation de la vie privée. C’est au juge d’apprécier si le préjudice justifie d’empiéter sur la vie privée du suspect par une surveillance. “On garde un principe de proportionnalité, on adapte la violation potentielle de la vie privée à la gravité des faits reprochés”, explique Pierre-Xavier Chomiac de Sas. Cela dépend aussi de facteurs externes comme l’âge du suspect ou les éventuelles récidives.
Mon activité en ligne peut-elle se retourner contre moi a posteriori ?
“Si vous êtes soupçonné de quelque chose, qu’une enquête s’engage contre vous pour une raison ou pour une autre, il y aura une possibilité de remonter en arrière”, complète Pierre-Xavier Chomiac de Sas. “Si un mineur se vante de ses bêtises sur Snapchat, même si le message est repéré, il ne sera pas forcément inquiété. Par contre, si quelqu’un d’autre – mettons, un dealer — se fait attraper, le message en question pourrait constituer un élément de preuve dans le dossier et donc l’impliquer.”
Ce constat est particulièrement vrai sur les réseaux sociaux. Contrairement à une idée reçue, les plateformes comme Snapchat ne permettent en aucun cas de communiquer de façon anonyme. Et ce même sur certains réseaux où les messages en question sont supprimés automatiquement. “70% de mes clients se sont fait attraper parce qu’ils ont posté sur les réseaux sociaux !” s’étonne Pierre-Xavier Chomiac de Sas, avocat spécialiste du droit des nouvelles technologies. Dans ce contexte, faut-il se méfier des autorités dès que l’on navigue sur Internet ? Généralement non, à moins de faire l’objet d’une enquête. “J’aurais plus peur de votre employeur, d’un ami qui vous veut du bien ou d’un membre de votre famille que des autorités !“, assure Nicolas Courtier.
Puis-je me soustraire à la collecte de données avec un VPN ou via Tor ?
Contrairement à un préjugé récurrent, ni un VPN ni Tor ne permettent de s’y soustraire complètement. “Le VPN, c’est un système de chiffrement. Mais à la sortie, on est tout de même capable de récupérer des informations de connexion”, explique Maryline Laurent. En cas d’enquête, “la police aura accès à l’adresse de l’internaute comme dans le cas d’un internaute sans VPN. Par contre, elle verra l’adresse du fournisseur de VPN et non l’adresse du serveur adressé. Il ne verra pas non plus le contenu des échanges, ni le type des échanges (voix, réseaux sociaux accèdes, navigation simple…)“.
En résumé, même avec un VPN ou tout autre système de chiffrement, il existera toujours des informations permettant d’identifier l’internaute, ces dernières seront juste moins explicites. Dans tous les cas, le résultat final dépendra donc du point de sortie, mais cela n’empêche pas toutes les infos de transiter par le FAI. Pour Tor, la problématique est différente. “C’est un sous-réseau de l’Internet, une pile de protocoles accessibles via un navigateur générique. C’est un réseau plutôt lent à cause de toutes les étapes de chiffrement. Mais c’est effectivement plus sûr”, continue la chercheuse. Mais quoi qu’il en soit,“c’est extrêmement difficile de ne laisser aucune trace sans avoir de contrôle sur toute l’infrastructure”, conclut-elle.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Oui faut dire que les terroristes et autres joyeux lurons n ont jamais découvert le principe des nombreux wifi gratuits … bon faut dire depuis qq temps les méchants laissent leur papiers derrière eux 🤣
Euh… Le contenu de la connexion étant dorénavant quasiment tout le temps chiffré (entre le navigateur et le serveur google.fr par ex) il est strictement impossible aux opérateurs de savoir ce qui a été cherché par l’internaute.
Ils peuvent uniquement savoir que l’internaute a fait une recherche Google.
Une boîte noire n’y changerait rien et n’aurait que 2 solutions : man in the middle avec un certificat fabriqué et qui passe la vérification du navigateur, ou casser le chiffrement
Et qu’en est-il de la confidentialité avec les mots de passe ? Un mot de passe est en général unique, si on se méfie. Les pisteurs ont-ils la possibilité de voir les mails privés dans les forums, par exemple. Tout ce qui ne se voit pas en ligne..?