Je suis tombé sur un post LinkedIn qui a retenu mon attention, car je réalise appliquer relativement peu de recommandations :
Tu t’es déjà inscrite quelque part avec ton nom.prenom@gmail.com ?
Tu viens de donner ton nom complet + peut-être ton année de naissance si tu l’as ajoutée + ton environnement informatique, à une entreprise dont tu ne connais rien.
Tu es loin, très loin, de l’anonymat requis dans le milieu financier pour ta propre sécurité.
Voici les astuces qu’on a échangées dans le groupe des gardiennes de la Crypte.
Tes mails :
Fini les adresses avec ton prénom et ton nom.
Proton Mail : serveur suisse, chiffré, hors de portée des clouds américains.
Mailo : alternative européenne, 12€/an, adresses alias à volonté.
Formulaire douteux à remplir sans besoin de réponse ? → temp-mail.org : adresse jetable, usage unique, zéro trace.
Ta double authentification :
Active la 2FA partout. Mails, réseaux, crypto, banque. Sans exception.
Oublie les SMS : un code par texto peut être intercepté.
Utilise une app Authenticator : un code à 6 chiffres qui change toutes les 30 secondes. Sans internet. Sans SIM.
Même si quelqu’un a ton mot de passe… sans ce code, il ne rentre pas.
Ton téléphone, aaaaah ton téléphone !
Répondeur : supprime ton prénom et ton nom.
Ne réponds jamais « oui » ou « non » à un inconnu. Ta voix peut servir à signer à ta place.
Sur iPhone → Réglages → Confidentialité et sécurité : tu vas halluciner ce que tes apps s’autorisent.
Active le filtre appels inconnus via l’IA intégrée. Seuls les gens qui veulent vraiment te joindre passent le filtre. Les autres raccrochent et ça ne sonne même pas chez toi.
Ta carte d’identité :
Tu dois l’envoyer en PDF ? → filigrane.beta.gouv.fr appose l’usage prévu sur le document. Zéro risque de réutilisation.
Tes données dans le cloud :
AWS, Google Drive, iCloud… tout ça est soumis aux lois américaines.
Proton Drive : une alternative suisse à envisager sérieusement.
Si tu restes sur ton cloud actuel : utilise un trousseau de clés. Tes données sont chiffrées avant d’arriver sur le serveur. Même le prestataire ne peut pas les lire.
Not your keys, not your data.
Ce n’est pas de la paranoïa.
On a plutôt manqué de paranoïa en France..
C’est comprendre que ces données t’appartiennent. Et c’est un combat à l’heure actuelle de les protéger.
Car les données volées, c’est la porte ouverte à l’usurpation d’identité, au phishing, aux scams…
Tout comme les photos de tes enfants sur les réseaux sont la porte ouverte à….
Pas du tout, mais c’est normal : l’autrice évoluant dans le domaine de la finance décentralisé, l’anonymat est bien plus important pour elle que pour nous, vu que c’est un peu la base de ce domaine.
Après, j’ai déjà utilisé des yopmail sur des sites dont je n’ai pas confiance, mais quand j’ai un minimum confiance, j’utilise mon email personnel de base. Mais j’évite quand même d’avoir ma date de naissance dans mon email : ça par contre, c’est bien plus discriminant que juste nom + prénom.
Après, perso, le seul truc que je fais en “higiène” numérique, car j’aime bien être chiant avec les “fuites” de données, c’est d’utiliser mon email via un bon vieux email+site@gmail.com où le “site” est un identifiant de site (amazon pour amazon par exemple). C’est sympa car les emails arrivent bien sur votre boite email comme si de rien n’était, mais si vous recevez un email avec comme destinataire : email+amazon@gmail.com envoyé par un tier hors amazon, vous savez que soit amazon a eu une fuite de données, soit ils revendent vos données.
Proton mail pour les appli sensibles. Aussi un vpn gratuit
Authenticator pour accès cto
Filigrane
Malheureusement je pense que 100% de sécurité est illusoire c est un peu comme les dômes anti drones. Y en a toujours un qui passe. Mais bon tu réduits les risques et tu exerce ta vigilance.
temp-mail est efficace, mais peut parfois être bloqué (on peut faire en sorte de refuser ces mails-là lors des inscriptions par exemple). Donc on peut pas toujours lui faire confiance. Mais les alias de mail marchent bien eux
Proton, excellent (vpn, mail, alias), même si je n’utilise pas le mail pour tout. Leur VPN tourne toujours sur mon PC perso et mon téléphone, je change de position quand j’y pense
Pour la 2FA avec une app authenticator, sur les choses critiques essentiellement (git, paypal, comptes pro, banques)
Pour les applications qui demandent de recevoir un sms en « one shot », ce site est efficace et gratuit
Pour les plus à cheval sur la sécurité de leurs données et qui veulent rester sur du cloud grand public, une solution peut être de chiffrer ses fichiers avant upload. C’est aussi totalement faisable pour les documents sensibles qui restent en local. Veracrypt fait ce qu’on lui demande, et même plus que ça (déni plausible avec volume caché, pour les nerd a qui ca parle).
Sur ce genre de sujet, un point important à mon sens est que les solutions doivent être assez individualisées : il faut que chacun décide de sa propre posture de risque. Est-ce que je veux me protéger du contrôle que peuvent avoir les grandes boîtes tech ? Ou de l’État ? Qu’un employé chez facebook voit mes photos sexy ou que le swat debarque saisir mon PC ? C’est pas forcément les mêmes mesures à prendre. C’est une réflexion qui doit être personnelle.
Une pratique que j’apprécie c’est « ségréger ses identités » (j’appelle ça comme ça, j’ignore si ça a un meilleur nom). L’idée est qu’il n’est pas forcément nécessaire de toujours être dans une posture de minimisation de son empreinte numérique ou d’optimisation de la sécurité de nos données. Typiquement sur la plupart des sites je vais utiliser mon mail classique (prenom.nom) avec mon pseudo (le même sur presque tout internet), mais si j’ai besoin d’avoir plus de certitude sur la sécurité d’une discussion, je vais passer de « Vodkatypique sur discord » à « xxxx sur telegram/session/whatever », avec, dans l’idée, aucun lien entre les deux identités.
Je mettrais par contre un très gros warning sur le vpn gratuit par contre. Ce type de business a des coûts fixes, si tu ne paies pas le service ils se paient autrement Étant donné que c’est un point extrêmement sensible de l’hygiène numérique, il faut pouvoir mettre une confiance assez folle dans l’outil (garantie qu’ils routent bien comme il faut, de sécurité réseau, dans l’idéal d’absence de conservation de log, d’absence de monétisation de ton comportement etc etc). J’irais même jusqu’à dire qu’il vaut mieux pas de VPN qu’un VPN gratuit (dans l’idée que « il vaut mieux pas de protection que se croire protégé quand on ne l’est pas ») Surtout qu’aujourd’hui les couts pour ces produits sont assez peu elevés, de l’ordre d’un café par mois, et que ca permet de payer l’infrastructure. Au pire, des VPN payant ont des free-tier (proton en a un, mais pour 2 balles par mois autant faire sauter les limitations de vitesses et de nombre de connexion imo)
Pour le VPN, je recommande fortement Mullvad, vous pouvez littéralement payer par cash en envoyant via la poste, oui oui.
Et personne n’a parlé des téléphones qui sont aussi un gros point d’entrée, si ce n’est le plus gros.
Vous pouvez creuser GrapheneOS, seul acteur sérieux dans le domaine.
Et un gestionnaire de mot de passe, puisqu’on en est a lister tous les outils pertinent !
Bitwarden fait le travail gratuitement. Pour ceux qui utilisent des vpn payant, proton est aussi complet a ce niveau (je l’utilise quotidiennement, ca et un vpn, c’est des nobrainer), NordVpn a aussi un gestionnaire efficace.
Ayant un Pixel je suis pas loin de le faire, mais la probable non disponibilité de certaines applications bancaires me rebute encore pour l’instant. Je n’ai peut-être pas assez cherché, mais je n’ai trouvé nul part de listing des applications fonctionnant sous cet OS.
Je suis dessus depuis presque 2 ans, je n’ai aucun souci.
Tu as un contrôle beaucoup plus fin sur toutes les permissions données aux applications, tu n’as plus tous les bloatwares installlés par défaut que tu ne peux pas désinstaller, bref un plaisir.
J’ai des comptes chez Swissquote, Crédit mutuel, Crédit Mutuel de Bretagne, Bourso, Revolut, Crédit Agricole, Deblock, aucun problème.
Ceux qui ont les soucis avec les applis de banque c’est les amerlocks
Après, si tu veux vraiment pousser le principe jusqu’au bout, tu n’utilise pas le play store mais uniquement fDroid, mais perso je ne suis pas allé jusque là lol
Hello, discussion interressante. J ai fait une partie du chemin il y a 2 ans où j ai souhaité retirer les GAFAMs de ma vie.
Fin de gmail : passage sur ecomail (mailing classique) et protonmail (mailing sensible) mais j ai encore la base nom.prénom pour les deux
Passage sur Murena e/os pour mon téléphone a la place d’un Android classique. Ça marche globalement bien avec la sensation d’être plus en sécurité.
Duckduckgo sur ce téléphone, comboté avec Brave sur le PC. J utilise Chrome et gmail pour les navigations plus poubelle où je fais moins attention aux cookie (et je ne vais pas sur mes sites sensibles).
Normalement je ne mets rien sur le cloud, je n’ai plus de réseau social et j ai purgé au mieux mon facebook (j’avais lu qu’il fallait mieux ne pas le supprimé pour garder le contrôle des donnés qu’ils lui sont associé).
J’ai encore du boulot sur l’authentificator, le filigrane de la CNI… j’ai lâché un peu ce sujet apres mon premier gros travail dessus.
Merci pour vos interventions et ce sujet pas si déconnecté des finances.
C’est un risque que j’ai totalement sous estimé et la découverte grâce à vous de Proton Mail m’a convaincu à opérer des changements dès maintenant vu le niveau de sécurité qu’il est possible de mettre en place.
En ayant terminé avec les services que je jugeais sensibles, j’ai commencé à opérer une seconde phase pour les “sites du quotidien”. A ce titre je souhaitai pouvoir modifier l’adresse e-mail rattaché à Cayas mais n’ai pas réussi à trouver ou le faire.
Est ce quelque chose de faisable ou est ce que je dois envisager la création d’un nouveau compte ?
Aujourd’hui, il n’est pas possible de changer l’adresse email de son compte Cayas. Il faut créer un nouveau compte.
Il est possible de mettre cette suggestion dans le thread ci-après ; en fonction du nombre de demandes, l’équipe technique pourra décider de prioriser le sujet, qui n’est pas considéré comme stratégique à ce jour.
Je comprend tout à fait que ce ne soit pas un développement prioritaire. Je tâcherai donc de créer un nouveau compte dans les prochains jours. Ce sera une belle occasion de recommencer le parcours pédagogique pour être sûr d’avoir bien assimilé tout ce qui est enseigné
C’est mon domaine, donc voici quelques astuces en vrac, certains sont déjà dans le post, d’autres non.
Ne pas réutiliser vos mots de passe. Ils doivent être uniques, longs, non prédictibles. N’utilisez pas de « formule secrète » pour les créer (vous êtes moins malins que vous ne le croyez). Pas besoin de les retenir, vous les stockez dans un gestionnaire de mots de passe, protégé avec un mot de passe très fort (le seul que vous aurez à retenir). N’écrivez pas vos mots de passe sur des posts-it (pitié )
Si les sites vous le proposent, activez le 2FA et les OTP, préférez la version avec appli type authenticator à la version SMS (pas fiable)
Si les sites supportent les PassKeys, préférez les passkeys
Installez un bloqueur de pubs, ça évite aussi certaines infections, vous pouvez toujours le désactiver sur les sites de confiance ou que vous souhaitez soutenir en affichant des pubs
Ne pas installer n’importe quelle extension navigateur, ni n’importe quelle appli sur votre Smartphone ou votre PC. Faites du ménage de temps en temps.
Faites attention à quelles données et quelles permissions vous donnez quand vous utilisez « se connecter avec Google/Facebook/etc ». Faites du ménage de temps en temps dans les applis/sites autorisés.
Utiliser plusieurs adresses email selon le contexte :
une « officielle » (échanges réels, amis, officiels) qui peut comporter votre nom john.doe@mail.net
une pour les inscriptions, sur des sites qui connaissent votre identité, idéalement plutôt un pseudo
une adresse bidon ou poubelle pour des sites qui n’ont pas votre nom et qui n’ont pas de données sur vous (nom, adresse, etc).
pourquoi pas le + adressing (john.doe+cayas@mail.net) comme mentionné dans une réponse, mais le mieux est un alias si votre fournisseur le supporte. Certains ont mentionné ProtonMail, ils semblent le supporter.
Ne saisissez pas vos vraies infos si le site n’en a pas besoin (nom, prénom, adresse et date de naissance). Mettez des infos bidons si les champs sont obligatoires.
Si vous devez transmettre des documents sensibles, préférez un lien vers votre Cloud (ou au pire Gdrive/OneDrive), que vous pourrez désactiver après quelque temps. C’est pas infaillible, mais c’est mieux que des pièces jointes qui restent des années sur la boite de votre destinataire.
Faites des sauvegardes de vos fichiers importants, ne payez jamais de rançon si vous êtes victimes de chantage ou d’un ransomware
Vérifiez l’adresse des liens que vous recevez en les survolant avec la souris, ou en regardant dans la barre d’adresse si vous avez déjà cliqué. Dans le doute, ouvrez un nouvel onglet, tapez l’adresse et connectez vous plutôt que de cliquer sur des liens de type « Cliquez ici pour vous lire votre message »,
Les seules utilisations valables des VPN grand public :
cacher ou choisir sa provenance à un site (adresse IP, géolocalisation)
accéder à des services non accessibles depuis votre localisation
contourner des blocages, la censure, les limitations (e.g. P2P) imposés par votre opérateur ou le réseau que vous utilisez (boulot, hotspot Wi-Fi public)
limiter la surveillance de votre opérateur ou des admins du réseau que vous utilisez
Un VPN ne vous protège pas de malwares, ni du vol d’identité, ni du piratage de vos comptes et ne fera pas non plus revenir l’être aimé, désolé
Sachez également que votre opérateur ou les admins de votre réseau peuvent savoir que vous utilisez un VPN, et parfois même bloquer leur utilisation.
Pour les adresses, vous pouvez utilisez simpleLogin + Proton, ca permet de créer des alias mail.
Le mieux étant d’acheter son propre domaine et de le configurer en catch all.
De mon côté j’ai 2 domaines, un qui m’identifie personnellement, auquel j’ajoute le nom du service que j’utilise, par exemple banque.prenom@nom.com .
Je m’en sers pour les services qui ont déjà pleins d’infos sur moi, typiquement les services financiers
Et un 2e domaine qui ne m’identifie pas, par exemple xxxx@random.xyz, que je me sers pour les newsletters et autre.
Si jamais ya un leak, je sais exactement quel site est touché => je désactive cette adresse
merci pour ces infos …perso j’ai flippé un peu quand j’ai donné mon pc à réparer … ils ont acces à tout pratiquement … j’ai retiré les dossiers importants mais bon …
Ton téléphone, aaaaah ton téléphone !
Ta carte d’identité :
Tes données dans le cloud :
Étant donné que c’est un point extrêmement sensible de l’hygiène numérique, il faut pouvoir mettre une confiance assez folle dans l’outil (garantie qu’ils routent bien comme il faut, de sécurité réseau, dans l’idéal d’absence de conservation de log, d’absence de monétisation de ton comportement etc etc). J’irais même jusqu’à dire qu’il vaut mieux pas de VPN qu’un VPN gratuit (dans l’idée que « il vaut mieux pas de protection que se croire protégé quand on ne l’est pas ») 
.