La Plateforme de ressources sur la sécurité numérique a été créée par le Security Lab d’Amnesty International pour les défenseur·e·s des droits humains, les militant·e·s, les journalistes et d’autres membres de la société civile. Cet outil permettra de trouver plus facilement des conseils accessibles, de qualité, à jour et gratuits afin d’aider la société civile à bâtir et protéger sa résilience numérique.

Les gouvernements et les acteurs non étatiques lancent régulièrement des attaques numériques pour surveiller, harceler et intimider des défenseur·e·s des droits humains, des militant·e·s, des journalistes et d’autres membres de la société civile.

Ces attaques peuvent prendre les formes suivantes :

  • logiciel malveillant, y compris les logiciels espions sur mobile et ordinateur ;
  • rançongiciel ;
  • attaques d’ingénierie sociale, y compris le hameçonnage et l’usurpation d’identité ;
  • menaces pour l’accessibilité, y compris d’Internet, et dénis de service ;
  • désinformation et mésinformation ;
  • harcèlement en ligne, y compris violences liées au genre facilitées par la technologie ;
  • divulgation d’informations personnelles et chantage ;
  • chantage ;
  • piratage de compte ;
  • surveillance numérique.

Il est impossible d’empêcher toutes les attaques, mais il est possible d’améliorer la résilience numérique des personnes et des organisations afin qu’elles protègent leurs données, leurs comptes, leurs appareils et leurs infrastructures.

Cette plateforme de ressources offre des recommandations pour protéger vos appareils et vos données contre la surveillance numérique, ainsi que des contenus supplémentaires pour vous aider à bâtir votre résilience numérique.

Surveillance numérique

Protéger les appareils et les données

Pour tous·tes les utilisateurs et utilisatrices

Si vous risquez d’être victime de surveillance numérique, vous pouvez activer et utiliser des outils et fonctionnalités spécifiques sur votre téléphone et vos comptes, afin d’améliorer la protection de vos appareils et de vos données.

Open Briefing a créé le Protocole de sécurité complet pour les défenseur·e·s des droits humains (« Protocole pour les défenseur·e·s ») pour nous aider à accroître notre sécurité individuelle et collective, y compris en ligne.

Protocole pour les défenseur·e·s – Sécurité numérique
  1. Réfléchissez aux différents types d’information en votre possession et cherchez à mieux comprendre leur valeur pour votre travail, ainsi que le préjudice pour vous et d’autres personnes si un attaquant accédait à ces informations. Mettez en place des mesures supplémentaires pour protéger les éléments qui ont le plus de valeur ou représentent le plus grand risque.
  2. Si vous devez partager des informations sensibles avec des collègues, faites-le en face-à-face ou via des outils de communication qui utilisent le chiffrement de bout en bout et les messages éphémères.
  3. Ensure that any computer or mobile device that you use:
    1. Vérifiez que votre appareil : ne soit pas physiquement accessible à des personnes non autorisées ;
    2. nécessite un mot de passe ou un code pour être déverrouillé ;
    3. fonctionne avec les dernières versions disponibles du système d’exploitation, des applications et des logiciels ;
    4. autorise le chiffrement complet des données, si c’est légal dans votre pays ;
    5. dispose d’un logiciel antivirus et d’un pare-feu mis à jour et correctement configurés ;
    6. n’est pas débridé et qu’aucun logiciel piraté n’y soit installé ;
    7. est éteint aussi souvent que possible, au lieu d’être seulement mis en veille.
  4. Ensure that any online service that you use:
    1. Vérifiez que les services en ligne que vous utilisez : requièrent un mot de passe unique et complexe pour y accéder ;
    2. autorisent la double authentification (2FA/2SV), si possible.
  5. Utilisez un VPN pour assurer la confidentialité de vos informations quand vous accédez à Internet via un réseau public ou auquel vous ne faites pas confiance.
  6. Supprimez de façon sûre les informations sensibles sous toutes leurs formes dès que vous n’en avez plus besoin, et veiller à ce qu’elles ne soient pas récupérables.

Pour les utilisateurs et utilisatrices à haut risque

Certain·e·s utilisateurs et utilisatrices risquent davantage de faire l’objet de surveillance numérique en raison de leur profil ou de leur activité. Plusieurs outils et fonctionnalités sont disponibles pour ces personnes sur les iPhone, les appareils Android et les services en ligne.

Notez que cette liste ne vise pas à remplacer les informations officielles ou l’évaluation des risques et la formation en matière de sécurité numérique.

iPhone
Consultez régulièrement le rapport de confidentialité des apps

Le rapport de confidentialité des apps détaille les applications qui collectent des données sensibles. Désactivez ou supprimez les applications dont vous ne vous servez plus. Les entreprises de surveillance achètent les données de localisation auprès des entreprises publicitaires, afin de mener une surveillance ciblée.

Réglages > Confidentialité et sécurité > Rapport de confidentialité des apps

Autorisez le mode « Isolement »

Le mode « Isolement » est une fonctionnalité de protection renforcée mise en place par Apple à la suite des révélations du Projet Pegasus de 2021 (enquête dont le Security Lab d’Amnesty International était partenaire). Il empêche de nombreuses formes d’attaques et devrait être activé sur les iPhones et les appareils Android des utilisateurs·trices à risque.

Réglages > Confidentialité et sécurité > Mode Isolement (en bas) > Activer

Désactivez le service de localisation et supprimez les lieux importants

Le service de localisation permet aux applications et aux sites web d’utiliser les informations obtenues via divers types de réseau pour déterminer précisément ou non votre position. Si vous êtes un·e utilisateur·trice à risque, vous pouvez désactiver ce service sur votre appareil et effacer vos lieux importants.

Service de localisation : Réglages > Confidentialité et sécurité > Service de localisation > Ne plus partager ma position

Lieux importants : Réglages > Confidentialité et sécurité > Service de localisation > Services système > Lieux importants > Effacer l’historique

Activer la protection en cas de vol de l’appareil

La protection en cas de vol de l’appareil offre une sécurité supplémentaire lorsque votre iPhone n’est pas dans un lieu familier comme votre domicile ou votre travail, et aide à protéger vos comptes et vos informations personnelles en cas de vol de votre iPhone en empêchant certaines fonctions essentielles.

Réglages > Face ID et code > Protection en cas de vol de l’appareil*

*Pour activer la protection en cas de vol de l’appareil, vous devez activer la double authentification sur Apple ID, créer un code pour l’appareil ou activer Face ID ou Touch ID, puis activer les fonctions « Lieux importants » et « Localiser ».

Android
Désactivez les applications de source inconnue

La plupart des logiciels espions sur Android sont déployés par des applications malveillantes installées depuis d’autres sources que Play Store. Désactiver cette fonctionnalité empêche l’installation d’applications externes.

Paramètres > Sécurité > Désactivez l’option « Sources inconnues »

Activer la navigation sécurisée avec protection renforcée

Google Chrome propose une option facultative de navigation sécurisée avec protection renforcée, qui permet d’analyser les liens et l’historique du navigateur pour détecter tout hameçonnage et logiciel malveillant, ainsi que les attaques ciblées sophistiquées. Celle-ci offre à Google plus d’informations sur votre activité en ligne, mais elle contribue à protéger votre appareil contre de nouvelles menaces.

Chrome > Paramètres > Confidentialité et sécurité > Sécurité > Protection renforcée

Activez l’option « Toujours utiliser une connexion sécurisée »

Certaines attaques sophistiquées peuvent être lancées en naviguant sur une page web non chiffrée. Ce risque peut être atténué en activant l’option « Toujours utiliser une connexion sécurisée » dans Chrome.

Chrome > Paramètres > Confidentialité et sécurité > Sécurité > Toujours utiliser une connexion sécurisée

Lancez un contrôle de sécurité sur votre appareil Android

Google Chrome sous Android offre la fonctionnalité Contrôle de sécurité qui vérifie si votre navigateur et vos comptes présentent des menaces fréquentes telles que les mots de passe connus compromis, quel est le niveau de protection de votre navigation sécurisée, et si des mises à jour de Chrome sont disponibles.

Chrome > Paramètres > Confidentialité et sécurité > Contrôle de sécurité > Accéder au contrôle de sécurité

Services en ligne
Autorisez la double authentification sur vos comptes en ligne

Autorisez la double authentification sur tous vos comptes en ligne et les services qui l’autorisent (voir https://2fa.directory/fr/). Il est plus sûr d’utiliser une application de double authentification (comme Microsoft Authenticator, Aegis ou Authy) ou une clé de sécurité physique (comme Yubikey), plutôt que d’avoir recours aux SMS de vérification.

Veillez à vérifier fréquemment vos adresses électroniques ou numéros de téléphone de secours, car ils peuvent être utilisés à mauvais escient.

Vérifiez vos paramètres de confidentialité sur vos réseaux sociaux

Les comptes sur les réseaux sociaux peuvent être utilisés à des fins malveillantes, telles que la surveillance virtuelle et physique, la divulgation d’informations personnelles, la collecte de données, le piratage et la diffamation. Partagez le minimum de données personnelles sur les réseaux sociaux, gardez vos comptes privés si possible, et désactivez la visibilité de vos comptes dans les moteurs de recherche.

Autorisez la double authentification sur les applications de messagerie instantanée et utilisez les messages éphémères

Les applications de messagerie instantanée telles que WhatsApp et Signal sont essentielles pour communiquer. Les deux utilisent le chiffrement de bout en bout et la double authentification, ou la fonctionnalité « Verrouillage », afin d’empêcher tout attaquant d’accéder à vos messages en piratant vos comptes et en usurpant votre identité.

Certaines applications proposent l’option facultative des messages éphémères, pour plus de confidentialité. Cette option fait disparaître vos messages après un certain délai fixé, à moins qu’ils soient sauvegardés.

Utilisez un gestionnaire de mots de passe

La réutilisation de mots de passe est le moyen le plus facile pour un attaquant de compromettre les comptes d’une organisation ou d’une personne. Des milliards de combinaisons d’adresses électroniques et de mots de passe ont déjà fuité, et votre mot de passe favori est probablement déjà connu (voir le site Have I Been Pwned?). Utilisez un gestionnaire de mots de passe, qui crée un mot de passe unique pour chaque compte, comme KeepassXC, 1Password ou BitWarden.

Résilience et sécurité numériques

En ce qui concerne les autres formes d’attaque numérique, le Security Lab a rassemblé des ressources pertinentes, gratuites et accessibles sur la sécurité des informations numériques. Parmi ces ressources figurent des lignes et services d’assistance, des guides et des outils sur la sécurité des informations numériques, ainsi que des outils d’évaluation des risques fournis par des organisations.

Nous avons d’autres listes de ressources locales pour certains pays. Si vous souhaitez y accéder, faites-le nous savoir.

Le Security Lab ne prend pas la responsabilité des ressources ainsi partagées. Cette liste est toujours actualisée, donc n’hésitez pas à suggérer d’autres ressources, ou à nous faire savoir lorsqu’une ressource n’est plus disponible en nous contactant.

Faites attention lorsque vous utilisez des outils en ligne et évitez de partager vos informations personnelles et numériques, telles que vos mots de passe, sur Internet.