Anonymat – Acte 2 : Les solutions d’anonymat tiennent-elles réellement leurs promesses ?

Anonymat sur le Net
Anonymat sur le Net

L’anonymat sur le Net est quelque chose de bien trop sérieux pour laisser une place au hasard. Dans certain pays, il est le garant de la liberté de certaines personnes (journalistes, opposants politiques…), pour certaines personnes, une erreur et leur vie peut être mise en danger. Dans le premier billet de cette petite série, nous avons fait la différence entre la protection du contenu et du contexte. Nous avons vu que la protection des contenus passait par le chiffrement des données et que la protection du contexte, bien plus complexe, nécessitait un ensemble de mesures adaptées à des problématiques variées et qu’il existait une forte interdépendance entre ces mesures. Ce que l’on souhaite quand on parle d’anonymat, c’est bien évidemment une solution capable de protéger tant le contenu que le contexte.
Nous allons nous pencher maintenant sur quelques solutions d’’anonymat communément utilisées et tenter de comprendre ce qu’elles protègent exactement.

  • Utiliser le wifi du voisin : sachez dans un premier temps que ceci est parfaitement illégal, à moins que vous n’ayez expressément été invité à le faire. Sinon ça porte un nom : intrusion et maintien dans un système de traitement automatisé de données, auquel la LOPPSI devrait même venir ajouter une usurpation d’identité, et ça coûte relativement cher, à savoir de deux ans d’emprisonnement et de 30000 euros d’amende (Loi Godfrain amendée par la Loi dans la Confiance en l’Economie Numérique dont le petit nom est LCEN), et 3 ans et 45000 euros d’amende en cas de modification ou destruction de données. Dans le cas de l’utilisation de la connexion wifi d’un tiers, l’anonymat est loin d’être garanti. L’administrateur du réseau local peut très bien intercepter vos données directement sur son LAN et ce type d’intrusion est facilement détectable (tien une ip en plus sur le réseau)… Si en plus vous faites tout passer en clair, vous avez intérêt à faire extrêmement confiance en la bienveillance ou l’ignorance de votre victime… au fait vous êtes bien sur que le réseau wifi utilisé n’est pas tout simplement un honeypot uniquement destiné à intercepter vos données personnelles ? Bref vous l’aurez compris, cette solution n’en est pas une, en outre elle protège une partie du contexte, mais surement pas le contenu.
  • Les serveurs proxy : un serveur proxy permet de masquer son IP pour une utilisation donnée correspondant au port utilisé par une communication. On trouve aisément des proxy pour les usages les plus fréquents (navigation web, transferts de fichiers…). Les proxy ne sont pas une solution satisfaisante pour l’anonymat, il ne protègent qu’une toute petite partie du contexte. Il est impératif d’utiliser SSL pour protéger le contenu de la communication et la protection du contexte peut également être améliorée en utilisant plusieurs proxy en chaîne (proxy chain). Attention, la contrepartie, c’est que chaque proxy est également un maillon faible puisqu’il peut loguer les connexions. Les proxy sont cependant un terme très générique et il convient de porter son choix sur les proxy anonymes qui ne loguent pas les communications et ne révèlent pas votre adresse ip à tous vents (attention, toujours dans le cadre d’une communication sur un port donné). On distinguera également les proxy SOCKS et CGI (généralement une page web avec une barre d’adresse dans laquelle on place l’url que l’on souhaite visiter discrètement), d’une manière générale les proxy SOCKS sont plus difficilement identifiables par le site cible que les CGI. Attention enfin aux proxy open socks, il s’agit en fait souvent de machines compromises par des hackers qui peuvent prendre un malin plaisir à intercepter vos données. Les proxy payants peuvent donc êtres considérés comme plus fiables. Les proxy ne gèrent pas correctement la protection du contexte, la protection du contenue, si elle est assurée par SSL peut également être faillible par Man in the Middle.
  • Le chaînage de proxy : une méthode également assez répandue mais qui a pour effet de ralentir les surfs, est de passer par plusieurs serveurs proxy. Là encore ce n’est pas parce qu’on utilise 3 ou 4 proxy de suite que l’on peut se considérer comme réellement anonyme. Ces proxy doivent être anonymes, ne pas loguer les connexions et ceci ne dispense absolument pas de chiffrer les contenus, l’utilisation de SSL n’est pas une option, mais là encore, certains vous diront à raison que SSL c’est bien … mais… Les protocoles plus exotiques apporteront donc une sécurité accrue mais seront évidemment plus difficiles à mettre en place ou à utiliser. C’est ce genre de solution, couplé à des règles drastiques sur les noeuds qui composent son réseau, que repose la solution JonDonym (JAP) : géographiquement distribués, préalablement audité, opérateurs de noeuds conventionnés, JonDonym est une solution de proxychain assez évoluée qui tend à protéger le contexte de manière quasi satisfaisante pour peu que l’utilisateur observe quelques bonnes pratiques complémentaires (comme utiliser pour surfer une machine virtuelle sous OpenBSD avec une redirection du serveur X sur SSH, la désactivation ds cookies ou de toutes les extensions de navigateur dangereuses dont nous allons parler un peu plus loin…).  Attention cependant JonDonym se traîne une réputation sulfureuse, et des rumeurs de backdoors ont couru. La police allemande se serait intéressée de près à ce réseau.
  • Les VPN : Un VPN est un réseau privé virtuel. On le dit virtuel car il n’y a pas de ligne physique dédiées qui relie les nœuds. On le dit également privé parce qu’il utilise le chiffrement. Les VPN utilisent un chiffrement fort entre les nœuds pour accentuer la protection du contenu (on ne se contente pas de faire confiance aux noeuds). Une des principales différences entre un proxy et un VPN est que le proxy opère sur la couche applicative du modèle OSI, alors que le VPN opère sur la couche réseau. Le VPN est donc naturellement plus résistant à des fuites d’adresses IP. En clair, un proxy anonymise une application (un client mail, un navigateur…), un VPN, lui, tend à anonymiser le trafic d’un OS, c’est à dire l’ensemble de ses applications en opérant sur la couche réseau permettant à ces applications de communiquer. Usuellement les services VPN utilisent des noeuds dans des juridictions offshore mais ceci ne suffit pas. En outre, les vertus anonymisantes des VPN ont largement été survendues, d’ailleurs, il n’est pas rare que certains (mêmes gros) acteurs qui prétendent ne pas loguer les connexion, en pratique, les loguent. Autant vous le dire tout de suite, les providers américains loguent, ils en ont la quasi obligation(Patriot Act).
  • Tor : Tor est une solution d’anonymat basée sur le concept d’onion routing (routage en oignon), il implique un chiffrement des données préalable qui, passant de noeud en noeud se voit cryptographiquement dénudé d’une couche, d’où son nom. Le concept d’onion routing a initialement été développé par l’US Navy et Tor est son implémentation la plus connue. Tor est un réseau semi-centralisé qui se compose d’un programme et d’un réseau d’environ 200 noeuds. Un utilisateur peut utiliser le réseau passivement ou choisir de relayer le trafic d’autres utilisateurs. Les communications passent par trois noeuds avant d’atteindre un noeud de sortie. Les routes des noeuds sont chiffrées, ainsi que le contenu. Chaque nœud enlève une couche de chiffrement avant de transmettre les communications. Contrairement à SSL, Tor est connu pour être résistant à des attaques par Man in the Middle en raison d’un chiffrement sur 80 bits (pas énorme mais suffisant) de l’authentification post communication. Nous reviendront dans le prochain billet sur Tor, ses vulnérabilités, ainsi que sur Freenet et I2P. Nous verront pour ces solutions que le contexte est faillible.
Les maillons faibles

Ce qui va suivre est loin d’être exhaustif, ces quelques éléments ne sont là que pour vous guider un peu mieux sur les bonnes solutions et les bonnes pratiques, en fonction du niveau de protection de vos données personnelles recherché. Il y a dont une bonne et une mauvaise nouvelle (nous creuserons plus tard la mauvaise). On commence par la mauvaise la quasi intégralité des solutions sont plus ou moins vulnérables aux éléments de protection de contexte ci-dessous. La bonne est que ce n’est pas innéluctable et que vous connaissez très bien votre pire ennemi, c’est à dire vous même.

  1. Les plugins de navigateurs bavards : Le premier maillon faible, c’est votre navigateur web et d’une manière générale toutes les applications qui se connectent à l’internet. Si sur la route, les protocoles de chiffrement peuvent vous protéger, vous n’êtres pas du tout à abri d’un plugin de navigateur trop bavard. Au hit parade de ces extensions, Acrobat Reader, Windows Media, QuickTime, et Flash.
  2. Les réseaux trop sociaux et les identifications un peu trop fédératrices : L’identification sur un site web, particulièrement quand il s’agit d’un super réseau social tout de javascript vêtu avec de supers API faites dans le but louable de rapprocher des personnes qui ne se connaissent pas et exportables sous forme de widgets sur des sites web tiers… toutes ressemblance avec un certain Facebook est purement pas du tout fortuite… est un danger énorme pour vos données personnelles. Il est même particulièrement simple de révéler votre véritable adresse IP en exploitant l’API du dit réseau social. La règle de base est donc de ne jamais s’identifier sur plus d’un site à la fois… finit les 57 onglets dans votre fenêtre de navigateur si vous voulez la paix, il faut être avant tout méthodique : une machine virtuelle = une authentification sur le Net. Au dessus, vous vous exposez de fait à un vol de session.
  3. Les mauvaises implémentations logicielles : Un mécanisme de sécurité, comme un algorithme de chiffrement, peut être compromis, ou plutôt contourné, suite à une mauvaise implémentation. Là encore c’est dramatiquement banal, on a par exemple tous encore tête la réintroduction d’une faiblesse d’implémentation du mécanisme de génération des clef WPA des BBox, les box du fournisseur d’accès Internet Bouygues. Attention, les mauvaises pratiques de développement ne touchent pas que des clients lourds, elles touchent aussi des sites web… oui même des gros sites très célèbres… surtout des gros sites très célèbres. Ainsi, un XSS bien placé et c’est le vol de session. Un simple cookie est susceptible de dévoiler votre véritable identité. Dans le monde de la sécurité les cookies ont deux fonctions : être mangés ou être supprimés (non acceptés c’est encore mieux).
  4. L’interface chaise / clavier : Si vous ne voyez pas de quoi je parle, il s’agit tout simplement de l’utilisateur lui même. Le vrai problème est qu’aujourd’hui, non seulement tout est fait dans les systèmes d’exploitation moderne pour vous masquer le plus posssible les couches complexes (combien de personnes ici savent comment fonctionnent une pile TCP/IP), mais tout ces marchands de sécurité, FAI en tête exploitent votre méconnaissance du réseau et s’en font un business particulièrement lucratif. Avec HADOPI, tout ce petit monde a une occasion rêvé pour vous vendre des solutions tantôt de sécurisation, tantôt de contournement. Le résultat est le même et la démarche est toute aussi sujette à réflexion.
  5. Le contenu cible : En fonction de votre solution d’anonymat, les sites que vous visitez peuvent eux aussi représenter une menace, il n’est pas rare que certains sites, eux mêmes victimes de failles distribuent du malware et compromettent la sécurité des données personnelles de leur visiteurs. D’autres encore, spécialement destinés à piéger les visiteurs, n’hésiteront par exemple pas à doter un formulaire de contact ou d’inscription d’une fonction de keylogin (une pratique pas courante mais existante sur certains sites de warez et destinée à dépouiller les visiteurs qui auraient la mauvaise idée d’utiliser pour ces sites les mêmes mots de passe qu’ils utilisent pour leur compte Paypal ou leur messagerie).

Dans le troisième et prochain billet de cette série, nous aborderons plus en détail les attaques possibles sur les solutions d’anonymat. Le billet sera donc un peu plus technique que celui-ci.

36 réponses sur “Anonymat – Acte 2 : Les solutions d’anonymat tiennent-elles réellement leurs promesses ?”

      1. Évidement si on va sur un forum et que l’on publie clé privée et adresse IP on peut remonter la piste.
        Mais on ne peut pas vraiment dire qu’ils soient “vulnérables”. C’est ce qui exploite le réseau qui peut compromettre.
        Je pense qu’on va assister à un durcissement de l’informatique de diffusion. Jusqu’à aujourd’hui, la sécurité c’était les virus, le fils du voisin qui installe VNC, etc les pare-feux, anti-virus, prise de conscience chez µ$, font que la sécurité “logicielle” est sur la bonne voie. Le nouveau défi de la sécurité çà va être la diffusion de l’information : qui sait quoi et peut en faire quoi.

  1. Salut,
    Je trouve cette série de billets fort intéressante. Je ne suis pas du tout informaticien (amateur éclairé tout au plus) et je me rend compte à la lecture de ces infos de tout ce qu’il me manque…en un mot: les bases.
    Comme beaucoup, je pensais que les VPN étaient la panacée… grossière erreur aparement. Ceci dit, vu le “haut” débit de ma connexion (65kb/s au taquet) je ne télécharge rien qui risque de me compromettre, et les murs en pierre de ma maison m’empèchent d’utiliser le wifi dans le jardin, donc mon voisin itou. Mais, pour ma culture, je suis impatient de lire la suite de ces billets.
    Bluetouff président !!

    1. Fais gaffe à la conclusion “je ne capte pas dans le jardin donc mon voisin non plus”. Avec du matériel de meilleure sensibilité et de plus forte puissance, il peut être possible de capter un signal Wifi là où tu n’en vois pas.

  2. En pratique, les lois du genre Patriot Act constituent-elles de vraies menaces ?

    Je veux dire, si je suis Américain (ou Français puisque je crois qu’en France aussi on obligation de conserver les logs), que je crée un petit serveur VPN maison et que, imaginons que je sois un vrai poissard, de tous les serveurs VPN du pays la police décide justement de s’intéresser au mien et me demande mes logs.

    Concrètement, qu’est-ce que je risque si je les ai justement malencontreusement complètement perdus en faisant un shred -uzn 42 sans faire gaffe, mes doigts ayant dérapé sur le clavier ?

    1. Je pense que tout dépend des faits quyi te sont reprochés et surtout, peu de chances qu’on viennent te voir si t’es pas en mode open proxy et qu’il n’y a pas un sérieux faisceau de présomption de preuves d’une activité délictueuse.
      Ensuite un disque dur shredé… fais gaffe c’est un peu louche 😉
      Dans le cas de cette “malencontreuse manip” je pense qu’ils tenteraient des corrélations entrées/sorties pour trouver quelque chose.

      1. Erf. Jamais entendu parler des corrélations entrées/sorties. Par “shred” je voulais dire “un moyen efficace d’effacer le fichier”, quoi…

        Sinon pour le mot “louche”… faut savoir ce que ça veut dire dans la police… Connaissant les flics français et américains, si un disque dur shreddé est aussi “louche” qu’un délit de sale gueule, d’origine ou d’opinion, en fait on risque pas grand chose de plus qu’en temps normal…

  3. bonjour,

    juste une question… on a beau utiliser un service VPN et être derrière une box + un routeur , l’adresse mac de l’ordi est toujours visible et donc on n’est jamais réellement anonyme?

    je n’ai pas trouvé d’article là-dessus..

    merci

    1. Hello, non pas de ton ordi mais de ta box , elle fait partie des informations que ton fournisseur d’accès log (comme les durées de session et l’adresse ip).

      1. ok

        l’idéal est donc d’être en direct sur internet via un VPN (en passthrough) et en ayant modifié l’adresse mac de l’ordi.

        1. Les pacuet (bout de données transitant sur un réseau, par exemple une requête) sur un réseau passent en général par plusieurs routeurs (machines connectées à 2 réseaux IP ou plus et qui permettent la communication entre ces réseaux). Lors du routage, le routeur modifie les adresses MAC source (lui-même) et destinataire (le prochain routeur ou le destinataire final). Mais les adresses IP bien sur ne bougent pas. On dit que les adresses MAC ne “passent” pas les routeurs. Du coup normalement l’adresse MAC de ton PC n’est accessible que sur ton réseau local chez toi, et celle de ta BOX par les machines communiquant directement avec elle, vraisemblablement les DSLAM dans le noeud de raccordement d’abonnés du coin. Le FAI connait l’adresse MAC de ta box. Tout ça pour dire que c’est plutôt par l’adresse IP qu’on va t’identifier, pas par ton adresse MAC.

          1. Merci pour ces précisions. C’est ce qu’il me semblait avoir compris des infos glanées par ci par là. Donc en gros on se fiche de l’adresse mac du pc ou de la box, puisque au delà du fai, personne n’y a accès. Il y a quand même un point qui reste obscur dans ma tête: Lorsqu’on est naté par le vpn (installé sur le pc et lancé depuis le pc) , qu’est ce que le serveur vpn voit au juste concernant les adresses mac ? L’adresse mac de la box ? Celle du PC ?

          2. Grysyl

            l’adresse mac de l’interface reseau de l’ordinateur qui heberge le logiciel de creation du tunnel vpn ( que l’interface soit physique ou virtuel )

  4. Bonjour,

    vous êtes un peu agressif sur JAP/JonDo, sans trop savoir de quoi vous parlez apparemment 🙂

    Au début de son histoire, JAP a effectivement reçu des injonctions de la police. Ces injonctions étaient illégales, et le projet n’a jamais répondu à ces demandes, une grosse partie du projet était justement de prouver la légalité de leur travail d’anonymat.

    Ensuite, la backdoor est une réelle connerie. Ils ont ajoutés à une époque, pour des raisons légales, quelques logs à leurs serveurs. Cependant, ces logs ne remettaient pas en cause la sécurité du système (regardez l’architecture de leur réseau. Ils ne loguaient que l’origine des paquets, et leur destination. Par le système de cascade, cette information ne permet pas de supprimer l’anonymat de l’utilisateur). Cela a fait les choux gras de quelques sites, mais personne n’a regardé de près ce qui changeait vraiment (dommage, tout le code est libre…).

    Depuis, la législation allemande a évolué et ces logs ont été supprimés.

    JAP/JonDo est avec Tor l’un des deux grands systèmes d’anonymat en temps réel sur Internet. La différence c’est que pour Tor, l’utilisateur peut choisir son chemin à travers le réseau lui-même. Pour JAP/JonDo, il doit prendre un chemin pré-défini. Dans les deux cas, la sécurité est longuement étudié et les projets sont soutenus par des équipes de recherches. Ce sont actuellement les deux meilleurs solutions d’anonymat (en temps réel, toujours. Ce n’est pas les mêmes contraintes qu’un anonymat différé (par exemple pour l’envoi d’un mail, si on peut se permettre qu’il arrivé trois heures plus tard).

    Cependant, utiliser ces réseaux pour télécharger des contenus multimédias sans avoir les droits, c’est de mon point de vue complètement stupide.

    1. C’est évident. Ces réseaux, de par les suppléments de couche qu’ils entraînent, ne sont pas rapides.
      C’est pratique pour surfer sur des sites textuels ou publier des news.
      Point.
      db

    2. En effet, j’ai trouvé moi aussi un peu sévère le commentaire sur Jondonym. La police allemande avait bien à un moment exigé un accès backdoor (exigence qui au moins prouve l’efficacité du système), mais la justice allemande a par la suite donné raison à l’équipe Jondo qui avait déposé plainte contre cette exigence.

      L’architecture est bien pensée je trouve, et le trafic est beaucoup mieux anonymisé qu’avec n’importe quelle chaîne de proxy. La différence avec Tor (au niveau pratique) c’est que Jondo a moins de noeuds, qu’on ne peut pas choisir ses noeuds (juste son “bloc de cascades”) et que l’identité de ces cascades est publique ; en contrepartie, les noeuds Jondo sont beaucoup plus fiables qu’avec Tor, et moins susceptibles d’être des espions.

      D’ailleurs, dans la version beta de jondonym, on peut cumuler les avantages des 2 réseaux en terme d’anonymat, en “encapsulant” une connexion Tor dans une connexion jondo: Le client jondo crypte le flux envoyé par l’utilisateur, et l’envoie à travers tor vers une cascade d’entrée Jondo. L’exit node Tor ne voit que le trafic crypté par le client Jondonym, et la cascade d’entrée ne connaît que l’exit node Tor.

      Les vitesses par contre sont assez misérables… 🙁

  5. Il est dommage que cet article n’insiste pas davantage sur le “devoir” de tester une solution avant de l’adopter.
    Par tester j’entends la faire pointer sur une machine à laquelle on a accès et d’observer ce qui est visible d’une extrémité à l’autre.
    Alors, bien entendu, le fait de tester la solution laisse des traces.
    Si vous testez la solution contre vos propres systèmes il sera facile de remonter à vous en observant les journaux de la site solution.
    C’est donc à double tranchant mais incontournable selon moi.
    db

  6. Pour vérifier toutes ces solutions, un très bon outil développé par Metasploit, qui tente d’initer des connexions via les plugins Itunes, Flash, Java, du navigateur et charger un document Word. Bien souvent, l’adresse véritable de la machine est retrouvée grâce au plugin flash qui ne passe pas par le navigateur mais qui ouvre une connexion TCP directe vers le serveur Flash et provoque la fuite.
    http://carlanoirci.wordpress.com/2010/08/19/howto-echapper-a-la-censure-en-carton-de-votre-fai-et-de-lump/

    1. Cette appli de Metasploit est très interessante, et c’est même la plus puissante de ce type que je connaisse sur le net, mais franchement, je n’ai jamais réussi à lui faire retrouver ma vraie ip lorsque j’utilisais un vpn (même un pptp), même en autorisant java, javascript, flash, etc.

      Par contre, lorsqu’on fait le test derrière un proxy cgi, la vraie ip fuite (surtout si on ne désactive pas javascript).

      Ce qui fait que je suis toujours en recherche d’un outil qui me permettrait de voir de mes yeux dans quelle mesure tel ou tel vpn est plus “fragile” qu’un autre au niveau fuite d’IP.

  7. Bonjour,

    Merci beaucoup pour ce blog que j’ai découvert il y a peu. Tout cela est très intéressant. Si je parle de quelque chose déjà évoqué ailleurs, veuillez accepter toutes mes excuses mais la question suivante me démange : comptez vous vous détailler les forces et les faiblesses de certains darknets comme Anonet, Freenet, etc. dans cette série “anonymat”?

  8. Personnellement je trouve les solutions VPN particulièrement dangereuses pour l’intégrité des données personnelles : faire du VPN c’est passer à travers son firewall pour ressortir sans protection on ne sait ou sur la toile. On expose en direct la machine qui initie le tunnel.
    Il y a aussi les solutions de sand-box, moins souple mais qui ont l’avantage de ne pas mélanger ses données personnelles avec l’utilisation de réseaux pirates : les softs peer-to-peer sur le serveur distant et pas sur ma machine.

    1. Uhm, je suppose que tu veux dire seedbox et pas sand-box (qui est tout autre chose…).
      Quand à l’opposition VPN / Pare-feu, c’est une question de logique : ton VPN doit commencer après ton pare-feu. Donc si tu as un pare-feu logiciel pas de problème, si tu as un pare-feu matériel c’est effectivement plus compliqué mais ça se fait.

      1. et si le pare-feu est matériel, mais que tu inities le VPN de ce même pare-feu ?
        genre routeur WRT-54G + firmware DD-WRT + connection PPTP voire OpenVPN, le pb n’est-il pas résolu ?

    2. Personnellement, j’utilise ma bbox comme firewall, web, ssh, et 2/3 jeux, puis les autres ports sont fermé (j’ai pas tester, mais il semblerer que ce soit sur la plupart des boxs pareille: on ouvre des ports) et avec le VPN, on relie sont réseaux local avec celui du serveur, ce qui est trés dangereux!

  9. mes deux cents…

    Si il n’existe aucune solution d’Anonymat absolu sur internet, il existe des solutions simples qui garantissent un usage du reseau P2P sans risque concernant la HADOPI.

    IPredator (non-testé) en est un bon exemple il me semble (en ayant pris soin de désactiver l’IPV6*)

    Comment la HADOPI envoie les fameux emails ?
    1 – La Hadopi capte les IP qui telechargent et/ou mettent à disposition du contenu illégal en greffants ses propres clients (société TMG) au reseau P2P comme des clients lambda : lorsque on télécharge sur un reseau P2P on se connecte directement aux autres clients lors des transferts.
    2 – Une identification de l’utilisateur de l’IP détectée est alors demandé au FAI qui posséde cette IP
    3 – La Hadopi envoie l’email d’avertissement ( à noter que si vous n’utilisez jamais l’email fournit par votre FAI vous aurez du mal à voir cet email )

    Comment fonctionne le VPN ?
    Lorsque on utilise une connexion VPN, tous le traffic internet passe par le serveur VPN, vu de l’exterieur (et de votre FAI) l’internaute se connecte à une seule adresse, celle du serveur VPN et c’est le seveur VPN qui lui se connecte à l’adresse demandé par le client : site web / serveur de mail / etc…

    Pourquoi est-ce efficace conte la Hadopi ?
    Si la NSA 🙂 ou plus simplement votr FAI pourrait effectivement décrypter (si necessaire) le traffic reseau entre votre box et le serveur VPN, la procedure de detection des IP reste un traitement de masse dans lequel les FAI ne sont pas impliqués (en terme de detection d’IP), ils n’ont donc aucun interet et ne sont pas mandatés pour sniffer votre traffic réseau : pour le moment le role du FAI pour Hadopi se limite à donner l’identitée de l’utilisateur d’une adresse IP.
    Ils ne peuvent pas non plus demander l’identité d’un abonné à un service VPN à l’étrangé : ce n’est pas prévu dans le processus Hadopi et l’entreprise fournissant le service VPN n’est d’ailleur pas tenue de leur répondre, l’abonné en question pourrait d’ailleur ne pas etre francais et donc non soumis à la legislation francaise.

    L’utilisation d’un service VPN dangereuse ?
    potentiellement oui, comme beaucoup de service sur internet ( lorsque le VPN est actif la société qui le fournit aura le même acces à votre traffic reseau que votre FAI), au cas ou… peutetre à éviter les pays trop “exautiques”, n’utiliser le VPN que pour le P2P, choisir un site “serieu”, etc… mais aprés tout on fait bien confiance à d’autres : FAI, Gmail, Msn, Skype etc…

    Donc ,(à mon humble avis) si un internaute prévoit un attentat, effectivment le VPN ne lui sera d’aucune utilité car dans ce cas l’analyse du traffic reseau par le FAI ainsi que l’identification de l’abonné au service VPN sera possible (et prévu dans les loies et certains accords internationaux)… mais pour contourner la Hadopi ca reste largement suffisant et sécurisé.

    *Lors de l’utilisation de IPV6 votre adresse IP peut etre transmise au travers du serveur VPN et donc détecté par les faux clients P2P (HADOPI/TMG).

  10. Je viens de rédiger un article pour ceux que ça intéresserai sur l’installation d’un proxy avec Privoxy, Squid et Tor, avec comme objectif de pouvoir router une partie du trafic sur le réseau tor en fonction de vos paramètres sur squid.

    Je ne prétend pas que ça soit la solution absolue, mais si ça vous intéresse.

    http://ilune.fr/tor_squid_privoxy.html

  11. et si, et si, on bloque juste toute les ip de tmg par exemple alors tmg ne pourra nous surprendre non ?

    (au pire comme hadopi ne surveille que les particulier on monte une sarl avec des amies avec une connexion de pro en débit symétrique après tout ils ont bien dit qu’il ne prendrai pas les sociétés non ?

  12. Excellente série d’articles (d’ailleurs il faudrait mettre à jour le lien de l’épisode 1 vers l’épisode 2). Plein d’infos intéressantes.

    Il faudrait par contre préciser que la sécurité n’est qu’une notion relative à une besoin.

    Si je prend un parallèle, une personne un peu connue et inquiète pour sa sécurité aura un garde du corps, une autre plus connue et plus menacée en aura 3 etc et si je suis le président des États-Unis 600 (et sans doute plus) chargées de ma protection rapprochée (ce qui n’empêche pas que je puisse être assassiné). Mais si moi péquin moyen je me prend 600 gardes du corps il est peu probable que cela me serve.

    Selon que l’on est l’internaute lambda, un dissident dans une dictature, un agent secret ou un terroriste etc, les besoins ne sont pas les mêmes.

    Si on veut aller dans l’extrême si la NSA (ou autre agence du même genre) décide d’écouter spécifiquement les communications d’un individu en particulier je doute qu’il y ait quoi de ce soit qui résiste vu la puissance de décryptage dont ils disposent. Ce qui nous protège nous simples citoyens c’est la masse d’information produite en temps réel. Effectivement comme rappeler dans l’article l’augmentation des communications chiffrées par Mme Dugenou va faire le bonheur des mafias, terroristes etc qui vont se fondre dans la masse.

    D’ailleurs il paraît que les services américains se sont plaints auprès de leur homologues français car Hadopi faisait augmenter le nombre de communications chiffrées et donc ralentissait les écoutes. http://www.desaunay.com/Hadopi-c-est-parti_a646.html

    Je doute qu’à court ou moyen terme les structures types Hadopi s’intéressent aux utilisateurs de VPN et autres mesures de ce genre. Ils préféreront toujours s’attaquer au grand public (plus simple, moins coûteux etc).

  13. L’article commence à dater, mais seulement il nous laisse sur notre faim… Où se trouve les articles suivant ?
    En tout cas c’est très intéressant !

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.