Autre désagrément, en effaçant l’historique, on perd tous les éléments enregistrés comme les mots de passe, les sites les plus visités et il faut donc les entrer à nouveau à chaque fois ou s’équiper d’outils de gestion de mots de passe dédiés comme LockPass, Keepass, 1password ou encore Lastpass pour éviter toute perte de temps.
Utiliser les modes « navigation privée » des navigateurs
La navigation privée est une fonction de la plupart des navigateurs Web permettant de naviguer sans que les données de navigation, comme l’historique ou les cookies, soient conservées. On y accède simplement dans le menu du navigateur (sur Google Chrome par exemple, le raccourci Ctrl + Maj + N ou en haut à droite en choisissant « Nouvelle fenêtre de navigation privée »).
Des voix internes à Google recommandent même d’utiliser le mode navigation privé pour éviter toute forme de personnalisation notamment dans Google Actualités. L’utilisateur visualise alors un flux d’actualités standard non personnalisé selon le profil de l’utilisateur (Dan Russell reconnaît ainsi implicitement la part de personnalisation sur Google Actualités).
Voir le billet de blog de Dan Russell, Research Scientist chez Google
Avantages et inconvénients pour le veilleur :
Rien ne garantit que ces modes de navigation privée ne collectent réellement aucune donnée. Cela ne garantit en rien l’anonymat, mais nous rend juste au mieux légèrement moins visible.
De plus on perd son historique donc les interrogations à tâtons/itératives doivent être documentées ailleurs pour ne pas perdre le fil.
En revanche, dans une optique de réduction des biais informationnels, il est toujours intéressant de coupler une recherche sur le Web classique avec une recherche sur les moteurs en mode navigation privée, car les résultats peuvent être différents et donc complémentaires.
Recourir à des extensions de navigateurs
Il existe des extensions de navigateurs qui permettent de limiter ses traces sur le Web. Certaines sont disponibles sur Firefox uniquement, Chrome (et par extension Brave ou Edge) ou les deux.
Parmi ces extensions, on pourra citer :
- Ghostery qui permet de bloquer les publicités et les trackers sur tous les sites ou une sélection seulement, ce qui offre une navigation plus rapide ;
- Privacy Badger qui propose un fonctionnement un peu différent des autres outils de ce type. Au lieu de se fonder sur une liste de trackers prédéfinie qu’il bloque, il apprend au fur et à mesure de la navigation de l’internaute. Quand il croise plusieurs fois le même tracker sur différents sites consultés, il commence à le bloquer.
- Ublock Origin qui est un des meilleurs bloqueurs de publicité open source.
- Don’t track me Google est une extension qui permet de se débarrasser des urls de tracking que Google génère automatiquement lors de notre navigation. Cela permet de naviguer plus rapidement sur le Web et d’avoir des urls prêtes à copier sans éléments de tracking.
- Privacy Redirect, une extension Firefox qui redirige les requêtes Twitter, YouTube, Instagram, & Google Maps vers des interfaces de visualisation plus respectueuses de la vie privée comme Nitter (pour Twitter), Bibliogram (pour Instagram) et Invidious pour YouTube (malheurseusement Invidious vient de fermer ses portes), .
Ces extensions peuvent d’ailleurs changer les résultats de recherche sur les moteurs et apporter une expérience de recherche différente pour le veilleur.
À titre d’exemple, en entrant une requête outil d’emailing dans Google en ayant activé le bloqueur de publicité Ublock, l’ensemble des résultats qui s’affichent sont des résultats naturels et non sponsorisés. Sans cette extension, plusieurs annonces sponsorisées peuvent apparaître au-dessus des résultats naturels, ce qui est encore plus important sur mobile que sur desktop. Ublock a ainsi permis d’éliminer tous les éléments publicitaires de sa page de résultats et d’obtenir plus de résultats naturels sur la première page.
Avantages et inconvénients pour le veilleur
Les extensions sont nombreuses et il n’est pas toujours facile de savoir qui est réellement derrière. Certaines sont d’ailleurs de vraies passoires en termes de sécurité et récupèrent de nombreuses données. En 2020, Chrome et Mozilla avaient entrepris de faire le tri dans leurs extensions après la découverte de centaines d’add-ons problématiques et dangereux pour l’internaute. En juin 2021, Google Chrome avait indiqué qu’il afficherait désormais un avertissement pour les utilisateurs qui souhaitent installer des extensions qu’il ne juge pas fiables ou pour lesquels il n’a pas tous les éléments requis.
On conseillera donc de regarder les notations et commentaires et de regarder les articles qui traitent et évaluent ces extensions.
- Firefox propose de nombreuses extensions dans sa rubrique « Privacy & Security » . Certaines sont même recommandées par Firefox lui-même.
- Sur Google Chrome, elles sont plus dures à repérer, car elles sont dispatchées dans différentes catégories comme « Outils de recherche » ou « Productivité ». Il semblerait que Google ne soit pas enclin à créer une catégorie « Respect de la vie privée et Cybersécurité ». Une fois que l’on a repéré une extension intéressante, on a intérêt à regarder les extensions similaires suggérées en bas de page qui se positionnent généralement sur des thèmes semblables.
Passer par un VPN
Les professionnels de l’information connaissent bien les VPNs quand il s’agit de rechercher de l’information à l’international. Mais on oublie parfois que les VPNs peuvent avoir un rôle à jouer dans n’importe quelle recherche d’information ou veille et permettent de rajouter une couche d’anonymat à ses recherches.
Voir notre article « Sortir de la recherche géolocalisée sur Google avec VPN, extensions...: Quelle est aujourd’hui la meilleure solution ? », Bases N° 395 - septembre 2021.
Le VPN permet en effet de ne pas dévoiler son adresse IP et ne collecte pas de données personnelles. L’internaute ne sera pas complètement anonyme, mais cela renforce indéniablement la confidentialité.
On rappellera qu’un VPN (Virtual Private Network) se définit comme : « un logiciel qui s’installe sur plusieurs appareils reliés à Internet. Une fois le VPN activé, un tunnel sécurisé se créer entre vous et le réseau Internet. De cette manière, les informations qui y transitent seront chiffrées. Aussi, précisons que l’activation s’effectue en se connectant à un serveur VPN distant. Ainsi, vous obtiendrez une nouvelle adresse IP d’emprunt et la vôtre sera masquée. » Source : Presse Citron
Il existe une multitude de VPNs sur le marché, certains payants, d'autres gratuits, certains connus et réputés, d’autres complètement inconnus. Et tous ne se valent pas.
Derrière le discours commun à tous ces outils, qui tend à mettre en avant la confidentialité et même l’anonymat complet, il y a de tout et certains n’hésitent pas à utiliser et revendre les données de leurs utilisateurs. Certains contiennent des malwares, surveillent les activités de leurs utilisateurs, ralentissent le débit Internet, vendent la bande passante de leurs utilisateurs, etc.
Globalement ce sont surtout les VPNs gratuits qui ont des pratiques douteuses, mais on trouve également parfois quelques VPNs payants. On connaît tous l’expression « quand c’est gratuit, c’est vous le produit ».
Regardez le pays où est hébergé le VPN. Parfois il plus dangereux d’utiliser un VPN que rien du tout…
Avantage et inconvénients pour le veilleur :
L’usage d’un VPN pour la veille et la recherche d’information n’est pas dénué d’intérêt. Mais déjà faut-il avoir le droit de les utiliser dans le cadre de son entreprise.
Quand c’est le cas, on a grandement intérêt à utiliser des VPNs payants comme ExpressVPN, Cyberghost ou encore NordVPN qui jouissent d’une certaine renommée. On commencera par se renseigner sur la popularité d’un VPN, mais aussi le pays dans lequel il est hébergé. On évitera ainsi les VPNs hébergés en Chine par exemple.
Pour limiter les biais de personnalisation des moteurs, on pourra les activer pour avoir une autre vision de l’information notamment quand on recherche à l’international. Ils pourront aussi permettre d’accéder à des sites non accessibles depuis son pays d’origine.
Certains sites américains interdisent par exemple l’accès à leurs sites pour les Européens, car ils ne souhaitent pas se mettre en conformité avec le RGPD. Nous ne préconisons pas de les utiliser en permanence, mais uniquement ponctuellement pour certains besoins informationnels. Il nous est arrivé d’oublier de nous déconnecter d’un VPN lors de nos tests et on rencontrait parfois quelques problèmes de navigation, connexion à certains sites, envoi d’emails.
Quand on utilise un VPN, mieux vaut également vérifier que la date de notre ordinateur est bien la même que celle du VPN utilisé. Quand les éléments diffèrent, il arrive que cela cause des problèmes de navigation. On pourra vérifier ces éléments grâce au site.
Quand on cherche plutôt à être discret ou anonyme, le VPN peut être une solution intéressante, mais, même si on est mieux protégé qu’un internaute lambda, rien ne garantit que toutes les données soient très bien protégées. Sur ce sujet, on conseillera la lecture de l’article « How private is my VPN ? » qui compare différentes solutions sur le marché.
Utiliser des outils spécialisés sur l’anonymat et le respect de la vie privée
Passer par des navigateurs plus respectueux de la vie privée
On peut aussi choisir de troquer son navigateur habituel pour un navigateur plus respectueux de la vie privée des internautes comme le navigateur Brave par exemple.
- Le créneau de Brave « protéger la vie privée de ses utilisateurs en bloquant par défaut les pisteurs et en permettant la navigation via le réseau Tor. Le logiciel, construit sur Chromium, est développé par l’entreprise Brave Software depuis 2016. » Source : Wikipédia.
- Le navigateur, qui a pourtant une bonne réputation, a tout de même connu quelques déboires au début de l’année 2021 quand des internautes se sont rendu compte que la navigation sur le dark web via Brave était en réalité une vraie passoire et exposait la navigation des utilisateurs.
Les avis divergent quant à savoir quel navigateur est le plus sécurisé et le plus respectueux de la vie privée, certains indiquant que Firefox l’est finalement plus que Brave.
Avantages et inconvénients pour le veilleur :
Passer par des navigateurs plus respectueux de la vie privée est une bonne idée et n’est pas très contraignant dans son usage professionnel à condition bien sûr que le service informatique autorise leur installation.
Un couplage Firefox et Brave peut être une bonne solution quand on sait que les professionnels de l’information font usage de nombreux add-ons et extensions dans leurs pratiques quotidiennes. Or certaines extensions ne sont disponibles que sur Firefox et d’autres uniquement sur Chrome. Et depuis l’été 2021, Brave permet l’ajout des extensions Chrome. Brave peut donc tout à fait remplacer Chrome.
Voir notre article « Optimiser sa veille avec des extensions Chrome ou Firefox », Bases N° 373 - septembre 2019.
Brave permet également de naviguer sur le Web en utilisant le réseau Tor qui permet en principe une absence de tracking et évite à l’internaute d’avoir à installer Tor sur sa machine, à condition bien sûr que le problème de 2021 ait été réellement résolu…
Passer par des moteurs plus respectueux de la vie privée
Pour limiter les traces qu’on laisse sur le Web, on a également la possibilité de passer par des moteurs plus respectueux de la vie privée comme DuckDuckGo, Qwant, Ecosia, Brave Search, etc.
Ces moteurs collectent en principe moins de données que des moteurs comme Google ou Bing.
Mais les résultats ne sont malheureusement jamais aussi bons que sur Google. La plupart utilisent l’index de Bing, mais appliquent ensuite leurs propres algorithmes de classement. Là où Google comprend de mieux en mieux les requêtes en langage naturel et l’intention de l’utilisateur, mais propose de moins en moins de résultats, ces moteurs comprennent encore mal les requêtes en langage naturel, mais ne comprennent plus non plus les requêtes traditionnelles booléennes et par mots-clés et limitent également le nombre de résultats affichés.
Voir notre article « Brave Search, You et Presearch : les nouveaux moteurs passés au crible », Bases N° 397 - novembre 2021.
Notre avis :
Si l’idée est séduisante sur le papier, il reste quasi impossible de se passer de Google pour une recherche d’information sur le Web. En se limitant uniquement à des moteurs respectueux de la vie privée, on risque de passer à côté de nombreux résultats et sources pertinentes, ce qui est quand même le but premier d’une recherche ou d’une veille.
De plus, les moteurs respectueux de la vie privée ne sont pas irréprochables et ne garantissent pas un anonymat et un respect des données sans faille.
- On apprenait par exemple l’année dernière que Huawei investissait au capital de Qwant, ce qui est complètement incohérent avec la démarche initiale du moteur et qui peut franchement inquiéter quand on sait que le moteur a été choisi comme moteur par défaut dans de nombreuses institutions françaises.
- Quant à DuckDuckGo, il est hébergé sur Amazon Web Services et la majorité de ces moteurs utilisent l’index de Bing, qui appartient à Microsoft. On est donc très loin d’une véritable indépendance à l’égard des géants du Web.
Encore une fois, la meilleure solution consiste souvent à rechercher sur Google puis compléter avec d’autres moteurs comme Bing, mais aussi des moteurs plus respectueux de la vie privée. Cela permet de limiter les biais informationnels et d’avoir accès à des résultats complémentaires.
Mais cette solution seule n’est pas la plus adaptée si l’on cherche à être le plus furtif possible.
Passer par TOR
Une solution régulièrement citée pour naviguer sur le Web de manière plus anonyme et confidentielle consiste à passer par TOR.
Tor permet à un internaute de naviguer sur le Web de manière anonyme, en masquant son adresse Internet (adresse IP) aux sites Web et aux moteurs de recherche auxquels il accède via Tor, et en dissimulant son trafic Internet à quiconque surveillerait ses activités en ligne. TOR Browser utilise le concept de « routage en oignon » et fait ainsi transiter vos données via plusieurs serveurs anonymes appelés « nœuds ». Sous réserve de savoir s’affranchir également du traçage opéré par son fournisseur web.
Mais de l’aveu même de ses créateurs « TOR ne protège pas tout le trafic internet de votre ordinateur quand vous l’allumez. Tor protège uniquement les applications qui sont correctement configurées pour envoyer leur trafic à travers TOR ».
Avantages et inconvénients pour le veilleur :
De l’aveu de nombreux spécialistes OSINT et cybersécurité, le meilleur moyen pour être le plus anonyme possible sur le Web consiste aujourd’hui à coupler TOR Browser et un VPN.
Nous ne nous intéressons pas ici à l’usage de Tor pour naviguer sur le Dark Web. Mais installer TOR est un peu compliqué à mettre en œuvre, interdit dans de nombreuses entreprises et il faut savoir que l’usage de TOR entraîne une connexion ralentie.
On pourra l’utiliser dans certains cas bien précis notamment en lien avec l’anonymat et la confidentialité. Pour ce qui est des biais informationnels, un VPN pourra tout à fait faire l’affaire.
Changer d’agent utilisateur avec un outil dédié
Lorsqu’on accède à un site Web, le navigateur envoie une chaîne de texte connue sous le nom d’agent utilisateur pour lui indiquer le type de navigateur, le système d’exploitation et la version du système d’exploitation que l’utilisateur utilise. En fonction de l’agent utilisateur, un site Web peut modifier ses éléments de conception et sa résolution pour s’adapter aux besoins de l’appareil/navigateur et même proposer un contenu personnalisé.
Il existe ainsi des outils qui permettent de simuler un autre agent utilisateur. On pensera par exemple à :
- User Agent Switcher for Chrome
- User Agent Switcher
- Un autre User Agent Switcher
- User-Agent Switcher and Manager
On trouve de nombreuses extensions du même genre sur Chrome et Firefox.
Il est également possible de changer d’agent utilisateur en effectuant quelques modifications directement dans le code de la page. On pourra se fier à la méthode décrite dans l’article « Comment changer l’agent utilisateur dans Chrome, Firefox, Safari, etc. ».
Avantages et inconvénients pour le veilleur :
Même si ce n’est pas très compliqué à mettre en place, on s’interrogera tout de même sur la valeur ajoutée de ces « user agent switcher » par rapport aux autres méthodes et outils précédemment cités. Pour lutter contre les biais liés à la personnalisation, ces outils auront un rendu assez similaire à ce que peuvent proposer les VPN et pour l’anonymat sur le Web, ils représenteront un pas dans la bonne direction, mais ne permettront pas d’aller aussi loin que les VPNs.
S’orienter vers les techniques des spécialistes OSINT ou journalistes d’investigation
Les techniques précédemment citées permettent surtout d’avoir une autre vision de l’information, des résultats complémentaires et de lutter contre les biais informationnels. Un complément à des usages plus classiques finalement.
Ces outils permettent également d’atteindre un certain niveau de confidentialité et d’anonymat sur le Web, mais ce n’est pas tout à fait satisfaisant quand les attentes sont très élevées en la matière.
Pour aller plus loin dans l’anonymat et la confidentialité, on peut alors se tourner vers les méthodes et outils préconisés par les spécialistes de l’investigation tels que les journalistes ou les spécialistes OSINT qui peuvent travailler sur des sujets très sensibles et doivent absolument protéger leur identité ainsi que celles de leurs sources.
Parmi les solutions possibles et préconisées par ces acteurs, on pourra par exemple :
- Créer une adresse mail vierge ;
- Utiliser des messageries cryptées (mais il y a régulièrement des scandales à l’image de Proton Mail qui a livré les adresses IP de certains de ses utilisateurs à la police française.)
- Utiliser des adresses mails jetables comme Guerilla Mail, Nada, Temp Mail ou encore Maildim ;
- Utiliser un ordinateur vierge, etc.
Pour aller plus loin sur ces questions, on conseillera la lecture suivante : Anonymous Planet.
Nous avons pu détecter lors de nos recherches qu’il existe également des outils permettant de créer de fausses informations utilisateurs comme heroku.com allant du nom prénom, adresse mail à l’adresse physique en passant par de faux numéros de téléphone. À la base, l’outil a été créé pour les développeurs pour pouvoir tester différents personas lors de la création de sites web. Cependant, on fera tout de même attention, car on ne sait absolument pas ce que font les créateurs de ce genre de sites des données qu’ils collectent sur les utilisateurs…
Comment associer veille et sécurité ?
Au-delà de la question de l’anonymat, de la confidentialité et des biais informationnels, un des dangers de la recherche d’information et de la veille pour l’entreprise, c’est finalement la cybersécurité en étant confronté à des spams, malwares, leaks de mot de passe : on utilise en effet de nombreux services et outils gratuits et payants, on consulte beaucoup de sites et pages internet, etc.
Comment faire pour minimiser les risques lors de notre navigation ? Voici quelques conseils toujours utiles.
- Tout d’abord, quand on recherche sur Internet, on se limitera aux sites en https pour plus de sécurité. Pour les sites qui nous intéressent vraiment, mais ne sont pas accessibles, on aura intérêt à regarder le cache de la page, proposé par les moteurs et les éventuelles archives disponibles sur la Wayback Machine.
- Quand on se retrouve face à des liens raccourcis (du type bit.ly), il est intéressant de regarder ce qui se cache derrière le lien avant de cliquer dessus. Pour cela, on utilisera la fiche récapitulative disponible à cette adresse qui explique quel élément il faut rajouter à chaque type d’url raccourcie pour voir quelle url réelle se cache derrière. Pour les urls de bit.ly, il faut par exemple ajouter un + à la fin de l’url.
- Quand on utilise Google Alertes, il faut être conscient qu’il y a dans les alertes de plus en plus de spams et malwares. On évitera donc de cliquer sur les liens douteux et mieux vaut coller le titre de la page/article dans Google pour les visualiser depuis le moteur de Google et non depuis Google Alertes.
- On évitera de mettre les mêmes mots de passe pour les outils que l’on utilise et on pourra jeter régulièrement un coup d’œil au site en entrant son adresse email pour savoir si son compte a été compromis et changer ses mots de passe si besoin.
Et bien évidemment, on fera attention à la provenance de ses emails et aux pièces jointes ou liens cliquables.
Attention aussi aux outils de traduction en ligne. Quelques scandales au cours des dernières années viennent rappeler qu’il ne faut pas entrer de données sensibles dans ces outils. Le Journal du Net relate ainsi une mésaventure arrivée à l’entreprise norvégienne Statoil il y a quelques années.
« Le 3 septembre 2017, l’Agence de Presse Norvégienne NRK a jeté un pavé dans la mare. Elle a révélé que des employés de Statoil, l’entreprise norvégienne de production d’énergie et d’opérations offshore, ont découvert que des textes saisis par ses employés dans Translate.com qui propose notamment de la traduction automatique gratuite en ligne, sont désormais accessibles à n’importe qui via une simple recherche sur Google. ».
On évitera donc d’utiliser ces outils avec des données sensibles et confidentielles. Certains outils se positionnent d’ailleurs plus sur la confidentialité comme par exemple StartPage Private Language Translator, qui permet de traduire des pages à la volée et qui ne conserve pas l’adresse IP et les données personnelles de ses utilisateurs.
Enfin pour les nombreux outils (extensions, outils gratuits, etc.), on effectuera quelques vérifications de rigueur avant d’y créer un compte et de les utiliser.
Adapter sa démarche à ses besoins réels
Le veilleur a à sa disposition toute une panoplie d’outils et de méthodes pour limiter les biais liés à la personnalisation, renforcer son anonymat et éviter toutes les failles de sécurité qu’il pourrait rencontrer sur son chemin.
Bien évidemment, aucune de ces solutions ne permettra d’être complètement invisible sur le Web (la NSA, le FBI, Interpol et autres vous trouveront toujours), mais cela offre un niveau de protection plus avancé que celui de la plupart des internautes. On adaptera sa stratégie en fonction du but recherché dans sa démarche de veille et de recherche d’information.
Il ne faut pas aller trop dans la complexité, car, plus on fait appel à des outils, moins on sait où vont nos données.
Dans cet article, nous n’avons volontairement pas abordé la question des réseaux sociaux, pourtant indispensables pour la plupart des recherches d’information et veilles. Les réseaux sociaux contrairement aux moteurs ou sites Web sont des lieux beaucoup plus fermés et nécessitent la création de comptes pour visualiser les contenus. Nous avons donc consacré un article dédié aux réseaux sociaux dans l’article « Comment le veilleur peut-il contourner le tracking des réseaux sociaux ? ».