Journalisme et navigation privée

La communauté “InfoSec” et les erreurs des journalistes#

Une récente interview d’Hugo Clément (journaliste à Konbini) a conduit une partie de la communauté de sécurité informatique (information security en anglais, souvent appelée infosec rapidement) à se moquer ouvertement d’erreurs techniques dans cette interview.

Un des tweet à l’origine de ce post

Un des tweet à l’origine de ce post

Si effectivement, il semble y avoir une incompréhension sur ce que fait et ne fait pas la navigation privée, je trouve que se moquer et couvrir de honte (shamer) un-e journaliste, est une pratique courante et problématique de notre communauté infosec.

Les journalistes ne seront jamais des experts techniques. Et c’est tant mieux, les journalistes doivent déjà apprendre à faire du bon journalisme, et ca me parait (à moi en tout cas), nettement plus difficile dans le contexte actuel. Il faut donc le dire clairement, si des journalistes font des erreurs de sécurité, cela vient d’un échec de notre communauté infosec à les soutenir, que ce soit parce que les outils sont mal faits, parce qu’il y a un manque de documentation ou un manque de formation dans ce domaine. Dans le cas plus précis de la navigation privée, la fonctionnalité même est trompeuse, il est totalement normal de penser qu’elle protège beaucoup plus qu’elle ne le fait réellement sans connaitre en détail son fonctionnement. Je pense que les navigateurs ont encore du travail à faire de ce côté là.

Voici un article de blog détaillant de manière assez simple (en tout cas je l’espère) ce que fait ou pas la navigation privée. J’espère m’en servir de référence pour avoir un lien à partager lorsqu’un autre incompréhension là dessus surgira sur les réseaux sociaux à l’avenir.

La navigation privée#

La navigation privée: la navigation privée (aussi appelée Mode Incognito dans Chrome, ou Navigation InPrivate dans Internet Explorer) est un mode de navigation qui sépare votre session des données de connexion existantes (par exemple les cookies) et efface l’historique à la fin de la session. Ca veut dire que si vous êtes logués sur Facebook dans votre navigateur, vous ne serez pas logués en navigation privée, et que les sites que vous visitez dans ce mode ne seront pas listés dans votre historique une fois la session terminée. Elle ne change rien à la facon dont les requêtes sont faites par le navigateur.

Navigation privée de Firefox (source)

Navigation privée de Firefox (source)

Au niveau du réseau : elle n’apporte absolument aucune protection supplémentaire par rapport à une navigation classique. En règle générale, vous devez faire attention à utiliser le plus possible des sites en HTTPs et l’extension HTTPS Everywhere. Si vous êtes dans un environnement sensible, vous devriez utiliser un VPN ou Tor (via le navigateur Tor).

Au niveau de l’ordinateur : si les données de navigation sont effectivement effacées à la fin de la session, elles ne sont pas effacées de manière sécurisée. Ce qui veut dire qu’il existe des techniques particulières utilisées notamment par la police, permettant de récupérer tout ou partie de ces données effacées.

Comment faire par rapport aux saisies ou vols de matériel : Si vous risquez une saisie ou vol de votre matériel, vous devriez chiffrer votre disque dur, ce qui empêcherait qui que ce soit d’accéder aux données sans votre phrase de passe. Ca a certaines limites, il faut notamment avoir une longue phrase de passe (20 caractères minimum) et pouvoir refuser de donner le mot de passe (ce qui peut être compliqué sous la menace de violences physiques). Windows et Mac proposent aujourd’hui des outils bien intégrés et facile d’utilisation. Une alternative est d’utiliser votre ordinateur uniquement pour des recherches non sensibles, et d’utiliser le système Tails pour les recherches sensibles. Tails est un système d’exploitation qui est installé sur une clé USB, qui sécurise les communications par Tor et qui ne sauvegarde aucune donnée.

Pourquoi utiliser la navigation privée : La navigation privée est utile dans tous les cas ou on ne veut pas garder d’historique mais sans craindre une saisie par la police. Par exemple pour permettre a un ami de se loguer sur un site temporairement, ou pour éviter que des recherches d’un cadeau de fiançailles ne changent les publicités ciblées que vous voyez et alertent votre conjoint etc.

Quelques liens utiles:

Références techniques :

  • Le wiki Mozilla mentionnant spécifiquement, We do not try to protect against all scenarios - e.g., attacking the disk-based page file used by the OS, or forensic analysis. We allow the OS to cache data from memory to disk, and we don’t protect against runtime process memory probes..
  • Des analyses inforensiques faites par Magnet Forensics sur Firefox, Chrome ou Internet Explorer

Si vous avez des commentaires ou suggestions pour améliorer cette page, n’hésitez pas à me contacter sur Twitter ou par email (tek AT randhome.io).