Ce n'est pas à tous les joursque nous couvrons un sujet dans un blog de sécurité informatique qui nécessite un trigger warning, mais aujourd'hui est l’un de ces jours. Le blog suivant traite d'informations potentiellement difficiles, concernant la protection des personnes qui ont été victimes de violence familiale ou de harcèlement criminel, et pourrait déclencher une réaction extrême chez les personnes qui ont été traumatisées par de telles expériences.
La violence conjugale n'est pas un sujet dont on discute beaucoup dans les cercles de sécurité de l'information, pour diverses raisons possibles. Cependant, il y a peu de personnes qui ont besoin de conseils plus urgents pour assurer leur sécurité en ligne que les victimes de harcèlement criminel et de violence conjugale. En quoi les besoins particuliers en matière de sécurité de l'information des personnes se trouvant dans ces situations diffèrent-ils de la norme? Que peuvent faire ces personnes pour se protéger lorsqu'il y a une menace connue et persistante? Après avoir examiné la question, je me retrouve face à autant de questions que de réponses.
Avant de rentrer dans le vif du sujet, permettez-moi de définir un cadre de référence. Dans cet article, je me concentrerai sur les victimes de violence familiale et de harcèlement criminel qui ont échappé à la situation et qui cherchent maintenant à éviter tout contact avec leurs agresseurs. Les subtilités d'obtenir une protection dans l'environnementoù la violence familiale se produit sont beaucoup plus complexes que les « simples » préoccupations relevant de la sécurité informatique. Et parce que ce sujet est bien plus vaste, considérez cet article non pas comme étant prescriptif, mais plutôt comme une discussion ouverte. Si vous avez de l'expérience sur ce sujet, je vous invite à ajouter votre voix en commentaires, pour m'éduquer ainsi que nos lecteurs.
Protection de la vie privée
Avant de discuter des recommandations de sécurité spécifiques, il est important de souligner que tous les dispositifs informatiques (c'est-à-dire les ordinateurs portables et les ordinateurs de bureau ainsi que les téléphones et les tablettes) qui datent d'avant la sortie de la situation de violence domestique devraient être considérés comme compromis et, idéalement, devraient être remplacés, ou du moins restaurés à "défaut d'usine" si possible. Cela diminuera les risques que des logiciels espions ou d'autres logiciels de traçage ne se trouvent sur les appareils. Vous pouvez décider de sauvegarder (et chiffrer) vos données sur un disque dur externe ou un emplacement distant en premier, surtout si vous essayez de conserver des preuves ou des enregistrements à des fins légales. Gardez cependant à l'esprit que les sauvegardes peuvent conserver des traces de logiciels espions. Traitez-les donc avec prudence et maintenez-les à l'écart des appareils qui pourraient être utilisées pour révéler votre emplacement.
De même, il est important que vous créiez une nouvelle adresse de courrier électronique inconnue de l'attaquant. Vous pouvez également décider de garder vos adresses courriel précédentes opérationnelles, mais faites attention au moment et à la manière dont vous accédez à ces comptes, afin que l'attaquant ne puisse pas glaner d’informations sur le moment et l'endroit où vous êtes à la maison, à votre bureau ou à d'autres endroits que vous visitez fréquemment. Assurez-vous que vous mettez à jour les références liées à cette ancienne adresse e-mail, en particulier les entreprises ou les services qui pourraient fournir des indices sur votre emplacement actuel ou envoyer des avis de réinitialisation de mot de passe à votre compte.
Il est également important de ne pas partager votre adresse e-mail ou toute autre information de contact ou d'emplacement sur les médias sociaux. Idéalement, vous devriez garder autant d'informations que possible hors de ces sites, même dans des messages privés. Le partage de ces données par voie électronique devrait, dans la mesure du possible, passer exclusivement par des méthodes de communication chiffrées.
Il est évident que tout ce que les conseils que les apôtres de la sécurité ont l'habitude de dire pour aider les gens à protéger leurs données s'appliquent encore plus aux personnes qui tentent de se cacher d'une personne déterminée et potentiellement violente. Couvrons rapidement les éléments de base de la sécurité qui sont encore plus essentiels aux victimes d'abus :
- Effectuez régulièrement les mises à jour des logiciels
La plupart des installations de logiciels espions exploitent maintenant les vulnérabilités des logiciels pour les installer plus silencieusement, mais vous pouvez aider à combattre ce phénomène en mettant à jour et en corrigeant votre système d'exploitation et toute application sur votre ordinateur ou appareil mobile dès que possible. Les dernières versions des principaux systèmes d'exploitation sont réglées par défaut pour au moins vous avertir des mises à jour des applications et du système d'exploitation. Et avec le temps, les systèmes d'exploitation intègrent de plus en plus de fonctions de sécurité pour vous alerter ou combattre les attaques.
- Utiliser une suite de sécurité complète
Les logiciels espions sont faciles à trouver ou à acheter en ligne, et permettent à l'attaquant de visualiser les frappes, l'historique de navigation sur le Web et même, éventuellement, d'écouter les capacités audio ou vidéo sur l'ordinateur ou l'appareil mobile d'une victime. Un produit anti logiciel malveillant réputé est une bonne idée, mais il est également conseillé d'avoir au moins un parefeu logiciel ou matériel, quel que soit le système d'exploitation que vous utilisez. Vous pouvez également envisager de compléter votre suite de sécurité par une liste blanche (whitelist) d'applications, qui limite les applications autorisées à une liste spécifique de logiciels approuvés.
- Chiffrez votre réseau et disque dur
La meilleure façon de protéger vos données contre les regards indiscrets est de les rendre illisibles à autrui. Et la meilleure façon de le faire est de les chiffrer autant que possible. Ceci vaut autant pour les fichiers qui sont sauvegardés sur votre disque dur que les données que vous envoyez à partir de votre machine, que ce soit par courrier électronique, par Internet ou par d'autres méthodes. Assurez-vous de choisir un mot de passe fort et unique (ou mieux encore, une phrase de chiffrement) pour protéger ce chiffrement. Le site Web de l’Electronic Frontier Foundation (EFF) contient d'excellents guides et outils pour vous aider à procéder sur tous les principaux systèmes d'exploitation et pour une grande variété de plates-formes de communication. Vous pouvez utiliser cette extension de navigateur pour vous assurer qu'un plus grand nombre de vos sessions Web sont chiffrées et utiliser un client VPN pour vous munir d’une couche de sécurité supplémentaire pour vos communications. Plusieurs de ces outils sont disponibles gratuitement ou à faible coût.
- Adoptez une bonne hygiène d'authentification
Une grande partie de nos vies numériques tourne autour de la connexion à divers sites et services. C'est aussi l'un des éléments les plus faciles à atteindre de notre identité numérique pour les cybercriminels. Que vous utilisiez ou non un gestionnaire de mots de passe ou un système pour créer un mot de passe solide, mémorable et unique pour chacun de vos divers comptes en ligne, assurez-vous de changer tous vos mots de passe lorsque vous quittez une situation de violence conjugale ou lorsque vous avez des raisons de vous inquiéter de la sécurité de vos comptes. Les victimes peuvent également opter pour l’authentification à deux facteurs (2FA), ce qui empêchera les agresseurs d'accéder aux comptes des victimes même s'ils parviennent à deviner leurs mots de passe.
Les activités quotidiennes peuvent être lourdes de conséquences
Que la motivation d'un intrus soit financière ou personnelle - comme dans le cas de la violence familiale - quiconque cherche à avoir accès aux données d'une autre personne procéder de deux façons : par la force ou par l'ingénierie sociale. L'acquisition de données par la force inclurait des approches comme les attaques directes (physiques ou numériques), comme l'utilisation de logiciels malveillants ou le piratage de comptes en ligne. L'ingénierie sociale est un terme parfois appliqué à n'importe quelle façon dont les attaquants peuvent convaincre quelqu'un de lui donner accès aux données. La cible peut être soit la victime elle-même, soit un tiers.
Les conseils donnés plus haut visent principalement à vous protéger contre les attaques directes comme les logiciels malveillants, le piratage et, dans une moindre mesure, l'hameçonnage. La technologie et votre bon jugement ne vous protégeront pas nécessairement contre toutes sortes d'attaques directes, mais cela peut réduire considérablement le risque et rendre la tâche beaucoup plus difficile et plus longue pour l'attaquant.
Cependant, toutes nos données ne sont pas sous notre contrôle. C’est ici que les choses se corsent et peuvent devenir plus problématiques et compliquées. Nous sommes tous tenus de fournir une variété de renseignements personnels dans notre vie quotidienne - partout, du centre de service automobile à notre comptable. Malheureusement, une fois hors de nos mains, celles-ci se retrouvent également hors de notre contrôle. De nombreuses entreprises ont des politiques de conservation des données et sont strictes quant à la communication des informations sur les clients. Plusieurs autres organisations ne le font pas. Heureusement, les endroits qui doivent le plus impérativement conserver des informations à jour à notre endroit sont aussi ceux qui sont les plus susceptibles d'avoir adopté des politiques strictes.
Nous nous trouvons ici face à plus de questions que de réponses. Il existe de nombreux conseils à l'intention des personnes qui cherchent à se protéger après avoir été victimes de violence familiale. La variété des conseils et des techniques sont apparemment sans fin. Nous pouvons cependant les résumer et les regrouper autour de quelques idées de base :
- Vous relocaliser
Créez une distance physique entre vous et votre agresseur. Si vous déménagez dans un autre État ou province, assurez-vous que votre ordonnance restrictive couvre aussi cette juridiction. Sachez que les différents États des États-Unis peuvent avoir des règles et des politiques différentes quant au moment où votre adresse peut devenir un document public. (NDLT : Vérifiez aussi les règles en vigueur selon la juridiction en contactant les autorités nationales ou provinciales, des juristes ou en contactant une ressource pour les victimes de violence conjugale ou familiale. Des références en provenance de certains pays francophones seront listés en fin d’article.) Qui plus est, différents pays peuvent avoir des lois différentes concernant la violence familiale ou les ordonnances de restriction/protection. Dans certains cas, vous pouvez demander des ordonnances de protection qui traversent les frontières nationales, selon les pays en question.
- Procurez-vous un « burner phone »
L’utilisation d’un téléphone prépayé distinct, payé en espèce et pouvant difficilement être associé à vous, peut représenter une couche de protection supplémentaire, surtout si vous soupçonnez que votre agresseur a mis des logiciels espions sur vos appareils. Aux États-Unis, le programme Lifeline s’adresse aux personnes qui ont besoin d'une aide financière pour obtenir un accès mobile ou à une bande passante. Les communautés locales peuvent aussi avoir des programmes qui offrent des appareils mobiles remis à neuf ou donnés, pour les survivants de violence familiale. Assurez-vous d'effectuer une réinitialisation aux paramètres d'usine avant d'utiliser un appareil d'occasion.
(NDLT : En France, le programme téléphone grand danger pourrait vous permettre d’avoir un téléphone qui vous mettrait directement en contact avec les services d’urgence en cas de danger, par exemple si votre agresseur contrevient à l’injonction d’éloignement et entre en contact avec vous. Des programmes similaires peuvent exister dans votre région.)
- Aux États-Unis, faites une demande au programme de confidentialité des adresses de votre État
Dans certains États américains, des programmes existent pour permettre aux personnes qui ont été victimes de certains crimes d'avoir une adresse postale confidentielle, distincte de leur adresse physique. Consultez cette liste de programmes de confidentialité des adresses des États-Unis, afin de déterminer si vous êtes admissible.
- Ouvrez une boîte postale pour recevoir le courrier
Vous devriez disposer d’un endroit pour recevoir le courrier - idéalement pas votre adresse à la maison ou au travail – correspondant à certains comptes. Sachez cependant que vous ne devriez pas utiliser cette boite postale pour tous les services. Certains types d’assurance, par exemple, nécessitent l’utilisation de votre adresse domiciliaire
- Fermer les comptes auxquels vous avez tous les deux accès.
Indépendamment de l'innocuité de l'accès au compte, si un compte conjoint contient des renseignements personnels ou des activités historiques, cela pourrait être utilisé par un abuseur à des fins d'ingénierie sociale. Il est préférable de fermer les comptes existants et de commencer sans historique des comptes précédents. Cela s'applique également aux comptes comme le service téléphonique ou les programmes de fidélisation en magasin ou les comptes numériques comme le courriel ou les sites de réseautage social. Dans certains cas, vous pourriez avoir besoin de l'aide d'un avocat, ou du moins ce soutien pourrait faciliter le processus. La séparation de la copropriété des biens immobiliers peut être particulièrement problématique; obtenir les conseils d'un avocat peut rendre ce processus beaucoup plus facile à gérer.
- Prenez garde à la géolocalisation
Beaucoup d'applications et de services, en particulier ceux qui sont associés aux sites de médias sociaux, sont « conscients de leur emplacement » par défaut, et peuvent partager votre emplacement lorsque vous postez un message, si vous vous « identifiez » (check in) à un emplacement physique, ou partager une photo avec les données de localisation GPS qui y sont intégrées. Définissez les options de confidentialité pour tous les services que vous utilisez sur leurs paramètres les plus élevés et désactivez le stockage des données de localisation dans les images. Parce que les spécificités de la façon d'accomplir ce changement fréquemment, il est préférable d'effectuer une recherche sur Internet qui inclut le nom de l'application, du site Web ou du système d'exploitation où vous essayez de désactiver le suivi. Bien que les sites ou forums de médias sociaux puissent être une merveilleuse source de soutien, l'utilisation des services en ligne comporte des risques : considérez attentivement et limitez sévèrement les informations que vous stockez ou partagez sur Internet.
- Ayez conscience de votre environnement, tant physique que numérique
Dans vos activités quotidiennes, tant dans le monde physique que dans le monde numérique, il est important d'être conscient et attentif à votre environnement. Quelles sont les informations que vous donnez intentionnellement? Quelles sont les informations que vous (ou d'autres, en votre nom) donnez ou laissez traîner par inadvertance? Qui peut voir où vous êtes, où vous allez ou à quel endroit avez-vous été?
- Protégez vos données
Maintenant que vous savez quelles données en votre possession pourraient être glanées par un intrus, prenez des mesures pour les protéger pendant qu'elles sont sous votre garde (comme le chiffrement ou le fait d'être judicieux avec des autorisations d'accès). Optez pour la prudence dans le choix de ceux qui obtiennent de l'information à votre sujet. Dans la mesure du possible, ne donnez que des renseignements qui ne sont pas liés à votre adresse à la maison ou au travail.
- Éviter les sites Web et les services administrés ou modérés par l'agresseur
Si votre agresseur accède régulièrement (ou même aide à administrer ou à modérer) un site Web ou un service que vous utilisez tous les deux, cessez d'y accéder. Votre agresseur pourrait avoir accès aux journaux de serveur ou aux en-têtes de courriel qui contiennent l'adresse IP de votre connexion réseau. Les adresses IP peuvent être géolocalisées afin de déterminer approximativement où se trouve un ordinateur. Cela inclut également les jeux en ligne, car les communications et les actions dans le jeu peuvent également révéler votre emplacement.
- Bloquer tout contact avec l'agresseur
Le trafic des comptes de messagerie et de courrier électronique peut également être utilisé par les agresseurs pour recueillir des données de localisation sur leurs victimes. Ainsi, dans la mesure du possible, vous devriez bloquer les profils et comptes que vous savez que votre agresseur utilise. Vous pouvez également bloquer les comptes utilisés par ses amis et sa famille. Le blocage des appels téléphoniques peut être plus problématique; alors que votre fournisseur de services téléphoniques peut vous permettre de bloquer un nombre limité de numéros de téléphone, les agresseurs disposent de beaucoup d'options pour utiliser différents téléphones pour contourner ce type de blocage. Si l'agresseur obtient votre nouveau numéro de téléphone, il peut lui donner des indices quant à votre nouvel emplacement si votre nouvel appareil a été acheté dans la région où vous avez déménagé.
Les conseils donnés ci-dessus visent principalement à protéger contre les attaques directes comme les logiciels malveillants, le piratage et, dans une moindre mesure, l'hameçonnage. La technologie et le bon sens commun ne vous protégeront pas nécessairement contre toutes sortes d'attaques directes, mais cela peut réduire considérablement le risque ou au moins le rendre beaucoup plus difficile et plus long pour l'attaquant.
Sachez que des personnes bien intentionnées peuvent démolir vos efforts pour préserver la confidentialité de vos informations, si elles ne sont pas au courant de votre situation. Dans un cas en Suède, une femme et ses deux enfants ont quitté leur agresseur, mais l'agresseur a affiché un plaidoyer sur Facebook et a demandé aux gens de partager sa demande pour l'aider à retrouver ses enfants, ce qui a entraîné la perte de l'identité protégée de la mère et des enfants. Comme nous le soulignons souvent dans les cercles de sécurité, aucune protection n'est 100% sûre. Mais plus vous réussissez à limiter vos risques, plus vous pouvez gagner du temps et de l'espace pour vous permettre de réparer les défenses endommagées.
Protection supplémentaire
Vous pourriez prendre certaines mesures supplémentaires si vous recherchez un changement d'identité plus approfondi. Sachez néanmoins que ces changements ne vous fourniront pas une ardoise complètement propre, une ardoise qui n'est pas rattachée à votre ancienne identité. Le site Web du Réseau national pour mettre fin à la violence domestique démystifie certains mythes entourant le processus de changement de nom et de numéro de sécurité sociale.
Vous pouvez également essayer de retirer le plus possible de votre présence sur Internet. Bien qu'il ne soit pas tout à fait possible de supprimer complètement votre présence numérique, vous pouvez certainement la réduire. Cet article de PopSci fournit des instructions pour retirer votre présence de certains des réseaux sociaux les plus populaires.
Réflexions finales
Plus le danger possible contre lequel nous recommandons une protection est réel et physique, plus il est effrayant, en tant qu'auteur, de fournir une liste qui pourrait être potentiellement (ou dans ce cas nécessairement) incomplète. Cet article ne fait qu'effleurer la surface des choses à considérer. En raison de l'énorme volume d'exigences légales et de permutations, il y a un nombre presque infini de choses que vous pouvez (et devriez potentiellement) faire pour vous protéger d'un agresseur. Idéalement, c'est quelque chose dont vous devriez discuter avec un avocat et un travailleur social, afin que vous puissiez couvrir à fond les moyens de vous protéger.
Voici quelques ressources supplémentaires, pour plus d'informations sur le sujet :
- http://www.thehotline.org
- https://nnedv.org/content/safety-net/
- https://www.techsafety.org
- https://humantraffickinghotline.org/stay-safe-online
- http://victimsofcrime.org/our-programs/stalking-resource-center
- http://www.smartsafe.org.au/
(NDLT : Les ressources suivantes correspondent à des services spécifiques au Canada, la France et la Belgique. D’autres ressources couvrant davantage de régions francophones seront ajoutées régulièrement)