Débat : L’anonymat total sur Internet est-il possible ?

6
284

Cette question cruciale de l’anonymat total en ligne fait largement débat sur les forums du Web. Et pour la bonne raison que nombreux sont les internautes à se poser cette question ! Voici quelques pistes pour comprendre les enjeux et les difficultés que cela implique.

Proxy, VPN, Tor, I2P, Freenet… beaucoup de moyens techniques existent aujourd’hui pour tenter de laisser moins de traces sur Internet et ainsi, se protéger du tracking commercial, protéger ses données personnelles sensibles face aux indiscrétions et cyber-menaces et masquer son identité réelle en ligne. Mais quid de l’efficacité de ce type de moyens ? La question est de taille et suscitera toujours le débat, surtout lorsque l’on est conscient que ces différents moyens ne sont pas aussi efficaces les uns les autres et qu’ils ne suffiront de toute façon pas à masquer de simples erreurs “humaines” commises lors des sessions de surf… explications.

La question avait déjà été en partie traitée dans notre énorme dossier ultra complet intitulé ” Cyber WarZone “. Cette fois-ci, nous allons nous concentré sur ces points en particuliers et tenter de mettre en avant les différences, les enjeux, et les risques.

Hier, beaucoup se croyaient intouchable derrière un simple proxy Web. Avouons qu’il y a de quoi en rire. Aujourd’hui, les proxy ont totalement disparus et ont été remplacé par deux principales alternatives que sont les VPN (réseaux privés virtuels) et les réseaux décentralisés d’anonymisation tels que Tor, I2P ou encore Freenet. Mais peut-on se croire invulnérable derrière Tor ou un VPN comme certains le pensent et l’expriment haut et fort sur les divers forums du Web ? Pas si sûr lorsque l’on a une vision globale des choses telles qu’elles sont actuellement !

Tout d’abord, histoire de planter le sujet, pourquoi un internaute chercherait-il à se protéger ? Résumons-le ainsi en toute simplicité sans creuser trop :

  • échapper au flicage professionnel
  • éviter les indiscrétions de son entourage
  • déjouer la surveillance des autorités dans les pays autoritaires et l’espionnage massif des citoyens partout ailleurs
  • se protéger des cyberattaques en général
  • empêcher les grandes entreprises du Net de collecter et monétiser à outrance les données personnelles
  • protéger son travail ou ses sources
  • etc…

Un VPN, principal dispositif de protection du moment souvent mis en avant par la rédaction d’UnderNews pour sa simplicité, son aspect peu contraignant et son accessibilité pour tous, pourra en effet vous protéger par plusieurs moyens : l’anonymisation étant donné que seule l’adresse IP du serveur de sortie est visible sur Internet, la hausse importante du niveau de sécurité des échanges puisque le trafic est isolé et chiffré de bout-en-bout avec un contrôle de l’intégrité des données transmises, et pour finir, de manière optionnelle, la présence d’un pare-feu NAT intégré jouant le rôle de blocage des cyberattaques externes ciblant votre système informatique.

Jusque là tout va bien. Oui, sauf que tout cela s’avère conditionnel ! Pour que le VPN remplisse son rôle de manière parfaite (mais cela peut-il vraiment exister aujourd’hui ?), il faut savoir que  le fournisseur du service devra être irréprochable en terme de fiabilité, de discrétion et de sécurité. Si vous choisissez de placer votre confiance dans le mauvais fournisseur VPN, s’en est terminé de l’efficacité du système… D’où l’importance du choix de ce dernier en se basant sur les différentes caractéristiques et en prenant en compte les conditions d’utilisation, les règles de protection de la vie privée, ainsi que la localisation physique du siège de l’entreprise qui déterminera le niveau de log et de coopération du service vis-à-vis des lois locales.

Mais ce n’est pas tout. Même si vous choisissez un VPN de confiance ultra-sécurisé, il ne servira à rien si vous l’implémentez de manière inefficace. Autrement dit, attention à ce que la configuration ne présente pas de risque de “leaks”, des fuites d’informations qui permettent de vous identifier à travers le VPN sur Internet. Là encore, nous avons déjà traité le sujet : IPv6 leak, DNS leak, micro-coupure de la connexion VPN, WebRTC leak, faille au sein du navigateur Web utilisé, etc, etc.

Voila pour les aspects techniques critiques qu’une bonne protection implique. Maintenant, il va falloir comprendre les enjeux humains de la chose, c’est à dire quelles sont les actions qui peuvent vous compromettre complètement et réduire à néant tous vos efforts de protection. Il s’agit là d’actes que vous seriez à même de faire sur Internet (d’où la fameuse phrase “le problème est souvent entre la chaise et le clavier“) et qui trahiraient votre identité. Ils sont pour la plupart bien simples et pourtant si importants… En voici une liste non exhaustive à titre d’exemple qui mèneront très rapidement à une compromission totale :

  • Usage d’une adresse mail sur plusieurs espaces numériques différents
  • Usage d’un pseudo (ou tout autre signe de reconnaissance) à plusieurs endroits sur le Web
  • Usage de moyens de paiements identifiables (en d’autres termes le totalité sauf certaines crypto-monnaies)
  • Usage d’un smartphone en général
  • Usage du protocole HTTP et tout autre protocole en clair
  • Usage d’un réseau Wi-Fi public non sécurisé sans protection
  • Métadonnées présentes dans les divers types de fichiers mis en ligne (images, PDF, Docs, etc)
  • Usage d’un logiciel non libre et open source contenant un backdoor
  • Usage type “cloud computing”
  • Présence d’un malware sur sa machine
  • Connexion à un compte utilisateur ayant le moindre lien le reliant à l’internaute
  • Rétention de cookies (cf modes navigation privée des navigateurs Web)
  • Requêtes sur les moteurs de recherche des géants du Net (préférez Qwant ou DuckDuckGo)
  • Compromission sur les réseaux sociaux
  • Métadonnées liées à la machine utilisée, au navigateur Web, etc (le plus dur à contrôler)
  • L’adresse MAC et le numéro de série de la machine utilisée
  • L’emplacement géographique de connexion
  • Usage d’une messagerie instantanée / mail standard non sécurisée
  • Tout échange non sécurisé et chiffré avec des tiers
  • Usage de systèmes d’exploitation fermés sur lesquels les GAFAs ont la main mise et espionnent
  • Etc…

En ce qui concerne les autres moyens de protection et d’anonymat que sont Tor, I2P et Freenet, les même règles s’appliquent. Pour ce qui est du côté technique, on ne peut être certain que ces systèmes soient efficace à 100%. D’ailleurs, il y a de multiples exemples qui ont démontré le contraire, puisque Tor a déjà été pointé du doigt pour certaines failles critiques permettant de lever l’anonymat des utilisateurs en les piégeant habillement à l’aide d’un malware.

De manière générale, retenez que les services de renseignement de tous les pays surveillent et scrutent en permanence les communications d’Internet. Le chiffrement peut certes ralentir le processus peut renforcer la sécurité des échanges de données mais pas le stopper définitivement. Les FAI eux-même logguent en masse le trafic (tout du moins les métadonnées) et certaines agences disposent de portes dérobées dans les systèmes informatiques et cryptographiques afin de s’y introduire en toute discrétion.

La technique du Deep Paket Inspection (DPI) a aussi longuement fait parler de lui.

Alors comment faire pour obtenir le meilleur niveau de protection et d’anonymat possible sur Internet ? Vous l’aurez compris, il faudra tout d’abord suivre toutes les recommandations précédentes (non exhaustives) et s’armer de patience et d’une longue réflexion permettant une vision globale. Ci-dessous, un scénario virtuel de pure fiction romancée illustrant un exemple typique de ce que ferais un militant type “Anonymous” paranoïaque à l’extrême :

Guy est un hacktiviste militant de la protection de la vie privée sur Internet. Il se retrouve très vite au casse-tête que représente le souhait d’une connexion anonyme au Web pour communiquer avec ses soutiens. Sans posséder de smartphone (véritable mouchard espionnant les gens en permanence), il doit tout d’abord se procurer un ordinateur neuf (et non d’occasion ce qui serait imprudent) en cash chez un marchand peu indiscret. Bien entendu, par précaution extrême, car Guy est très paranoïaque, il ne retirera pas lui-même les espèces au distributeur. 

Une fois cette première étape cruciale franchie, Guy utilisera exclusivement cet ordinateur à un usage de navigation anonyme et pour rien d’autre ne pouvant y laisse de traces personnelles. Il va très rapidement devoir le préparer : formatage sécurisé du disque dur en plusieurs passages puis installation de Linux Tails, distribution disposant de tous les outils dédiés à la sécurité et à l’anonymat. Open source, il ne dispose d’aucun logiciel propriétaire ni de backdoor.

Ensuite, Guy va quitter son domicile et se déplacer vers un hotspot WiFi public de son choix, dans un endroit où il pourra s’installer confortablement sans être dérangé. Il évitera bien entendu les endroits de type gare bourrés de caméra de surveillance… disons plutôt le parking d’un hôtel de banlieue ou d’un Macdonald. Une fois sur place, ce dernier va allumer son PC portable et procéder à la préparation de ce denier : exécution des logiciels dédiés dont il aura besoin, et connexions sécurisées par Tor via plusieurs nœuds ou VPN basé en Malaisie (payé via crypto-monnaie ou carte bancaire prépayée rechargeable) ou autre endroit totalement offshore (ou bien un montage de type “Tor over VPN” pourquoi pas). Bien entendu, le tout est configuré dans les règles de l’art, sans qu’aucun leak ne soit possible… Il va aussi devoir prouver sa maîtrise technique en exploitant les outils mis à disposition au sein de Tails pour réaliser une opération de Mac Spoofing afin de remplacer son adresse mac qui peut le mener à une compromission. Une fois tout cela en place, il peut désormais se connecter au hotspot via sa base vierge de toutes traces.

Il peut maintenant surfer de manière totalement anonyme et chiffrée. Attention, il devra être très prudent à ses actions et aux traces qu’ils laissera en ligne : textes, images, e-mails, pseudos, habitudes de navigation, documents uploadés, connexions à des espaces numériques, etc. De même, Guy évitera toute transaction nécessitant un paiement car il s’agit d’un point critique. En cas d’obligation, il utilisera un portefeuille de crypto-monnaie spécifiquement créé pour l’occasion, depuis sa connexion sécurisée.

Guy terminera rapidement sa session de surf et coupera toutes les connexions, fermera son PC et ira le ranger en sécurité jusqu’à la prochaine utilisation. Prochaine fois où il ira dans un autre lieu physique de connexion, cela va de soi.

Pour conclure, terminons en disant que l’anonymat, et plus généralement la sécurité informatique, ne sont pas des notions absolues : il est impossible d’être parfaitement anonyme sur Internet dans la pratique.

Quoi qu’il en soit, ce débat est loin d’être clôt et vous êtes vivement invités à réagir et à donner votre avis sur cette question dans les commentaires !

6 Commentaires

  1. Pour moi le meilleur service est NordVPN, je l’utilise depuis longtemps, comme j’ai d’habitude de faire des achats en ligne et j’aime regarder Netflix UK, et ca marche mieux que Torguard ou PureVPN.

  2. Bien sûr possible, on juste doit choisir un bon service VPN. J’ai essayé beacoup des fournisseurs VPN différents, mais ce qui est vraiment bon c’est NordVPN. La vitesse, le nombre des serveurs, streaming, tout est au top.

  3. Il y a aussi le problème des caméras de surveillance, dans le magasin d’achat de l’ordinateur, où même sur le trajet. Ainsi que celles sur le lieu de la future connexion et du trajet y menant.
    À noter qu’en France en achat en liquide est plafonné à 1000€ (pour lutter contre le blanchiment d’argent parait-il), mais qu’il est possible, au moins dans certains magasins, d’utiliser des bons d’achat.

  4. Attention aux VPN, ils sont très souvent dans dès pays ayant signés des accords de divulgations et/ou retiennent les logs.
    Non le mieux serait de faire tourner son propre serveur VPN (SoftEther/OpenVPN/…) sur un serveur loué via une fausse identité ou auprès d’un provider peu regardant et dans un pays/territoire n’ayant pas signé d’accords. Il convient bien évidement de payer ce serveur en cryptomonnaie achetée avec du liquide / carte bleu prepayé et qui passerait au “mixeur”. De plus il faut absolument une distribution linux “light” ne laissant que peu de traces et s’assurer via un script d’effacer régulièrement et complétement les logs.

Les commentaires sont fermés.