Atteintes aux libertés : tout ce qui rentre par Internet, finit par sortir d’Internet

Vidéo Répression à Nice

Peut être m’avez vous déjà entendu mettre en garde sur d’éventuelles transpositions d’usages, par arrêtés municipaux ou décrets ministériels, de dispositifs intrusifs, à d’autres champs d’applications que l’Internet. On y arrive aujourd’hui, c’est encore en beta test, mais on sait qu’il y a de l’avenir là dedans, et ce 1er novembre est le jour d’inauguration d’un truc qui va faire super plaisir aux niçois. Quand il s’agit d’atteinte aux libertés, tout ce qui rentre par Internet, finit par sortir d’Internet.

Quand on parle d’écoutes généralisées avec le Deep Packet Inspection sur Internet que certains souhaiteraient voir utilisé à des fins de reconnaissance des contenus pour “dépolluer Internet de toute infraction au droit d’auteur », on parle bien de surveillance de masse. Christian Estrosi, très zélé maire de Nice quand il s’agit de sécurité, et accessoirement ministre de l’industrie et des fiinances, le ministère de tutelle du secrétariat d’État à l’économie numérique ou auteur du rapport de l’Etat sur la neutralité des réseaux pas orienté du tout par le discours d’Alcateld’Orange… a eu l’excellente idée d’offrir à ses agents municipaux, le réseau des caméras de la ville, pour constater, en vidéo des infraction et ainsi pour les verbaliser. Pour l’instant ce n’est pas automatisé, un policier municipal est derrière l’écran, il constate l’infraction et verbalise. Mais la prochaine étape, soyez en assurés, ce sera l’automatisation de l’infraction grâce à une technologie de reconnaissance de caractères pour lire les plaques d’immatriculation et de traitement vidéo… un HADOPI Like, on va refaire du tout neuf avec du tout vieux, c’est une règle en politique.

Ce sont à Nice 600 caméras qui sont à disposition des agents municipaux pour punir les infractions au code de la route ! On attend le décret qui accordera une réduction d’impôts locaux aux foyers qui placent une camera de “vidéo protection municipale” dans leur salon. Certaines municipalités devraient elles aussi être fort tentées de suivre l’exemple.

Évidemment, Christian Estrosi précise qu’il souhaite étendre ce genre d’utilisation du dispositif de “vidéo protection” à d’autre infractions.

L’histoire de France reconnaîtra donc en Christian Estrosi le génialissime inventeur de la “vidéo répression automatisée“, de la “vidéo répression» ou de la “vidéo verbalisation», une nouvelle discipline lucrative et pleine d’avenir… et dire qu’on voudrait leur reprocher de ne pas être “modernes”.

Ah il va faire un très bon ministre de l’Internet Christian Estrosi, en tout cas rien qu’à l’entrainement, il pète les scores ! Ça serait dommage de ne civiliser qu’Internet après tout.

DPI over SSL, pour un Internet vachement plus civilisé

SonicWall NSA E7500 DPI SSL
SonicWall NSA E7500

Alors que des rumeurs de bridage, déjà en place, du moins en expérimentation chez certains fournisseurs d’accès font leur chemin, les internautes cherchent logiquement une parade et plus globalement des solutions contournement de toute cette faune nouvelle de la surveillance. Parmi les solutions les plus extrêmes que les ayants-droit aimeraient mettre en place pour “dépoluer” Internet, il y l’inspection en profondeur de paquets. Les VPN peuvent paraître une réponse séduisante au DPI, car l’usage d’une technologie de reconnaissance de contenu serait soit disant inopérante sur des flux chiffrés. Et bien j’en doute.

Il faut d’abord que nous soyons d’accord sur le périmètre du DPI pour comprendre de quoi on parle. Le Deep Packet Inspection est une technique faisant appel à plusieurs outils. Ces outils analysent des flux réseaux aussi bien que les paquets eux mêmes. On demande ensuite à une puissance de calcul d’exécuter des actions de routage, de drop, de trafic shaping, de QoS, sur des flux, en fonction de règles prédéterminées. Si on lui dit de faire quelque chose de débile, il fera quelque chose débile, il s’agit d’une loi cybernétique. Et à votre avis, comment réagit une IA quand on lui demande “drop moi tous les paquets illégaux ?”…. Et bien la machine vous demandera de définir le terme qu’elle ne comprend pas, le terme “illégal”. Même sans avoir à casser un chiffrement à la volée, de la simple reconnaissance de signatures, du marquage de paquets, une règle basée sur la taille… et hop, même votre DivX a du mal à passer d’un point à un autre du réseau. Il faut bien comprendre que ces règles ne s’appliquent donc pas simplement à un paquet, mais peuvent l’être à un flux réseau (le paquet et son contexte), à un protocole (bridage d’un port)…

Il y a deux points dérangeants dans cet usage du DPI :

1° les règles de filtrage qui entrainent une altération du réseau alors que celui-ci n’est physiquement pas menacé est une atteinte à sa neutralité ;

2° l’usage d’une technologie de reconnaissance de contenu c’est l’utilisation d’outils particulièrement intrusifs car détournés de leur vocation initiale.

Dans cet effort fait pour “civiliser notre Internet“, des constructeurs, qui ont senti le bon filon, annoncent des solutions d’inspection de paquets et de reconnaissance de contenus, même dans des flux chiffrés.

C’est le cas de LOPPHOLD en juin dernier qui avec son nouveau SONIC OS 5.6, annonçait capable de réaliser une inspection de paquets sur un flux chiffré en SSL.

“SonicOS 5.6 introduces SonicWALL’s new DPI-SSL feature, which does not rely on a proxy configuration on the end points to provide optimised protection against today’s encrypted threats and to enforce corporate data policies. The technology can inspect inside all SSL sessions across all ports, independently of the protocol, resulting in both encrypted and decrypted data being scanned, monitored and protected.”

Sincèrement, je ne sais trop quoi penser de cette déclaration très marketing mais techniquement, une intégration poussée de SSLSniff est loin d’être délirante. Il me semble cependant que la gamme SonicWall n’est pas adaptée à une écoute en coeur de réseau (son débit de traitement doit-être relativement limité, le haut de gamme, le E7500 annonce 8000 connexions chiffrées simultanées). Vous pouvez télécharger un PDF assez explicatif ici.

De là à se demander s’il n’existe pas des équipement de classe ISP, il n’y a qu’un pas. D’un point de vue puissance de calcul, le cassage à la volée n’est peut-être pas à l’ordre du jour, mais avec les nouvelles gammes d’équipements promises par certains équipementiers ça risque d’arriver plus tôt que prévu.

SCADA sous les balles

SCADA
SCADA

On a encore récemment parlé de SCADA à l’occasion de la propagation du ver Stuxnet qui visait des systèmes SCADA Siemens. Sa cible et ses auteurs présumés, comme son fonctionnement, ont été largement commentés et ceci est du à la nature des équipements sur lesquels les systèmes SCADA opèrent. L’une des 4 vulnérabilités inconnue jusqu’à Stuxnet, et qui affectait Windows, a tout juste été fixée. Stuxnet par son aspect ultra élaboré est soupçonné d’être l’oeuvre d’une agence gouvernementale dans le but de mettre à mal une centrale nucléaire iranienne. Nous n’aurons probablement jamais le fin mot de l’affaire mais ceci a peut être été l’occasion pour certains d’aller jeter un oeil sur la sécurité de ces systèmes dédiés au monitoring et à l’acquisition de données d’équipements industriels ou de génie civil, divers et variés.

Daté d’hier, un exploit révèle un buffer overflow dans les systèmes SCADA Realflex de DATAC Realwin.

Ce qui se passe aujourd’hui, en dehors du mystère Stuxnet, résulte de dizaines d’années de mauvaises pratiques sécuritaires chez quelques éditeurs et dans le secteur de l’informatique industrielle. La situation est toutefois assez inquiétante et tous les pays concernés devraient méditer un audit sans concession de ces infrastructures, ne serait-ce, que pour évaluer le risque, souvent amoindri au prétexte que ces équipements sont rarement interconnectés.

Si certains systèmes ne présentent que peu de risques, des systèmes dédiés à des sites bien identifiés comme à risque (ponts, tunnels, lignes de transport ferroviaire, installations nucléaires…) devraient faire l’objet d’attentions nouvelles.

Sans céder à la paranoia, il serait bienvenu, même au niveau français et c’est pas Ossama qui me contredira, de prendre la mesure exacte des risques de scénarios noirs sur ces systèmes et essayer de comprendre si nous y sommes préparés.

Start-VPN.com : spamming as a full time job

A la lecture du billet d’Arkados, je suis allé faire un petit tour dans les commentaires de mon blog à la recherche de l’IP du spammeur casse bonbon de Start-VPN qui pollue de manière quasi systématique tout billet en rapport de près ou de loin avec HADOPI (mais pas que…)

Vu que j’en avais supprimé pas mal, il n’en reste plus beaucoup, 6 avaient échappé à ma vigilence (et j’ai systématiquement pris soin de virer à chaque fois l’url de son site).

Notre ami Romaric, George, Émilien, Boris100… peu importe son pseudo est un véritable professionnel, non pas de l’anonymat, on s’en serait douté, mais du spam.

Visiblement assez doué pour arriver à faire parler de son site start-vpn.com par quelques sites importants, il semble avoir réussi à en duper plus d’un, comme par exemple Presse Citron,  Capital, j’en passe et des meilleurs.

La suite en image…

Vous constaterez que c’est bien la même adresse IP (une Freebox) qui vient nous les hacher menu avec son VPN alors que lui même ne semble pas foutu d’utiliser ce qu’il essaye de nous vendre. Je confirme donc parfaitement ce que nous explique Arkados. La méthode est d’ailleurs franchement risible :

Notez que notre spammeur  ne recule vraiment devant aucune opportunité, c’est un spammer polyglotte (qui ne comprend pas l’anglais de son propre frère) que même le coréen ne semble pas rebuter.

Toujours pas convaincus ? Et bien il suffit pourtant d’aller jeter un oeil là dessus pour comprendre à quel point notre spammeur n’en loupe pas une pour faire du backlink. C’est visiblement pour lui un job à plein temps, devenu encore plus rentable depuis le vote d’HADOPI.

DPI : Stonesoft découvre une AET (Advanced Evasion Technique ) sur les solutions d’inspection de contenus

Il va se passer aujourd’hui quelque chose de drôle… de très drôle… Je n’ai pas encore réussi à obtenir plus d’information sur la vulnérabilité dont il est fait état dans ce communiqué de presse ni son impact sur des technologies d’inspection de contenu que certains aimeraient utiliser pour faire la chasse aux contenus copyrightés, en tout cas, vu d’ici, je sens la bonne barre de rire en perspective.

Le CERT-FI devrait dans la journée nous apporter plus d’information mais en gros, STONESOFT aurait découvert une technique avancée d’évasion qui permettrait la compromission d’un grand nombre de technologies d’inspection de contenu. Pour le moment, impossible de dire si cette découverte aura un impact sur les technologies de deep packet inspection que certains souhaitent mettre à disposition de la chasse aux fichiers copyrightés. Cette information à prendre avec des pincettes, donnerait un terrible écho à ce billet ainsi qu’à celui ci si elle venait à être confirmée et si son impact sur les technologies de DPI était mis en évidence.

Voici le communiqué de la société :

Communiqué de presse

Découverte d’une nouvelle menace de sécurité : les entreprises du monde entier menacées

Des techniques d’évasion avancées capables de traverser la plupart des équipements de sécurité réseau ont été découvertes.

Levallois-Perret, le 18 octobre 2010 – Stonesoft, fournisseur innovant de solutions de sécurité réseau intégrées et de continuité de l’activité annonce aujourd’hui avoir découvert une nouvelle forme de techniques avancées d’évasion (AET = Advanced Evasion Techniques) qui menacent très sérieusement les systèmes de sécurité du monde entier. Cette découverte vient compléter et renforcer ce qui est déjà connu des techniques d’évasion dites plus classiques. L’information a été remontée au CERT et aux ICSA Labs qui ont également validé son sérieux et son fondement.

Les AET sont l’équivalent d’un passe-partout permettant aux cybercriminels d’ouvrir les portes de tout système vulnérable comme un ERP ou un CRM. Elles sont en effet capables de contourner les systèmes de sécurité réseau sans laisser aucune trace. Pour les entreprises, cela signifie qu’elles risquent de perdre des données confidentielles. Par ailleurs, on peut tout à fait imaginer que des cyber terroristes s’appuient sur ces AET afin de mener des activités illégales pouvant avoir des graves conséquences.

La découverte a eu lieu dans les laboratoires de recherche de Stonesoft basés à Helsinki. Les experts ont ensuite envoyé des échantillons et remonté l’information à l’organisme de sécurité nationale finlandais le CERT ainsi qu’aux laboratoires ICSA (division indépendante de Verizon Business) qui testent et délivrent des certifications aux solutions de sécurité et aux équipements connectés au réseau. Le CERT-FI, chargé coordonner au niveau mondial les parades aux vulnérabilités identifiées, en collaboration avec les éditeurs de sécurité réseau, a publié, le 4 octobre quelques
informations sur ces techniques avancées d’évasion et les mettront à jour, aujourd’hui même.

Les vulnérabilités identifiées par Stonesoft touchent un grand nombre de technologie d’inspection du contenu*. Pour contrer ces vulnérabilités, une collaboration permanente du CERT-FI de Stonesoft et des autres éditeurs de sécurité réseau est absolument essentielles. Le CERT-FI s’efforce de faciliter cette coopération » explique Jussi Eronen, à la tête du département Coordination sur les Vulnérabilités.

Juha Kivikoski, COO chez Stonesoft explique : « Beaucoup de facteurs nous poussent à croire que n’avons découvert que la partie émergée de l’iceberg.  La nature dynamique et indétectable de ces techniques avancées d’évasions peut potentiellement bouleverser l’ensemble du paysage de la sécurité réseau. Le marché rentre désormais dans une course sans fin contre ce nouveau type de menaces avancées et il semblerait que seules les solutions dynamiques pourront tirer leur épingle du jeu. »

« Stonesoft a découvert de nouvelles techniques de contournement des systèmes de sécurité réseau. Les laboratoires ICSA ont validé les recherches et la découverte de Stonesoft. Par ailleurs, nous pensons que ces techniques avancées d’évasion peuvent avoir des conséquences pour les entreprises touchées, comme entre autres la perte de données stratégiques et
confidentielles » déclare Jack Walsh, directeur des programmes IPS (Système de Prévention des Intrusions) chez ICSA Labs.

Les AET « dans la nature »

C’est à l’occasion du test de leurs propres solutions de sécurité réseau StoneGate face à des nouvelles attaques élaborées que les experts de Stonesoft ont découvert cette nouvelle catégorie de menaces. Les tests en conditions réelles et les données recueillies lors de l’expérience démontrent que la plupart des solutions de sécurité réseau n’ont pas su détecter ces AET et n’ont, par conséquent, pas pu les bloquer.

Stonesoft soutient l’idée que des pirates du monde entier sont peut-être déjà en train d’exploiter ces AET pour lancer des attaques élaborées et très ciblées. Seuls quelques produits sont à même de fournir une protection contre ce phénomène, les entreprises doivent donc mettre en place un moyen de défense très rapidement.

Quel est le meilleur moyen de se protéger contre une AET ?

Pour se protéger de ces techniques d’évasion dynamiques et en constante évolution, il est nécessaire de s’équiper de *systèmes logiciels de sécurité capables de se mettre à jour à distance et d’être administrés de façon centralisée.  Ces systèmes possèdent un avantage indéniable en termes de protection contre des menaces aussi dynamiques que les AET. Stonesoft fait partie des acteurs délivrant ce type de solutions, via sa gamme StoneGate.

Cependant, la grande majorité des équipements de sécurité réseau dans le monde sont des solutions matérielles, pour lesquelles il est difficile voire impossible de se mettre à jour au même rythme que ces techniques d’évasion, qui mutent en permanence.

Pour en savoir plus sur les techniques d’évasion et participer au débat sur la façon de les combattre, connectez-vous au site www.antievasion.com
Pour plus d’informations sur les solutions StoneGate de Stonesoft, rendez-vous à l’adresse suivante : www.stonesoft.com

Centre Mondial d’information 24h/24 sur ce sujet : + 358 40 823 7511

Contact presse ICSA Labs :
Brianna Carroll Boyle,
Public Relations Manager
Verizon and ICSA Labs
+1 703-859-4251
[email protected]

Le CERT-FI encourage les personnes désireuses de communiquer par email à utiliser la clé PGP. La clé est disponible est disponible à cette adresse :
https://www.cert.fi/en/activities/contact/pgp-keys.html
Les politiques du groupe de coordination sur les vulnérabilités sont disponibles à l’adresse suivante :
https://www.cert.fi/en/activities/Vulncoord/vulncoord-policy.html

A propos de Stonesoft :
Stonesoft Corporation (OMX : SFT1V) est un fournisseur innovant de solutions de sécurité réseau intégrées. Ses produits sécurisent le flux d’informations à l’échelle d’entreprises distribuées. Les clients de Stonesoft sont notamment des entreprises dont les besoins commerciaux croissants requièrent une sécurité réseau avancée et une connectivité professionnelle permanente.

La solution de connectivité sécurisée StoneGate™ fusionne les aspects de la sécurité réseau que sont le pare-feu (FW), le réseau privé virtuel (VPN), la prévention d’intrusion (IPS), la solution de réseau privé virtuel à technologie SSL (SSL VPN), la disponibilité de bout en bout, ainsi qu’un équilibrage des charges plébiscité, au sein d’une appliance dont la gestion est centralisée et unifiée. Les principaux avantages de la solution de connectivité sécurisée StoneGate se traduisent notamment par un coût total de possession faible, un excellent rapport prix/performances et un retour sur investissement élevé. La solution StoneGate virtuelle protège le réseau et assure une continuité de service aussi bien dans les environnements
réseaux virtuels que physiques.

La solution SMC (StoneGate Management Center) permet une gestion unifiée des solutions StoneGate Firewall with VPN, IPS et SSL VPN. Les solutions StoneGate Firewall et IPS fonctionnent en synergie pour fournir une défense intelligente à l’échelle du réseau de l’entreprise toute entière, tandis que la solution StoneGate SSL VPN renforce la sécurité dans le cadre d’une utilisation mobile et à distance. Fondé en 1990, Stonesoft Corporation a son siège mondial à Helsinki, en Finlande, et un autre siège social aux États-Unis, à Atlanta, en Géorgie.

Pour plus d’informations sur Stonesoft Corporation, ses produits et services, consultez le site www.stonesoft.com – le blog institutionnel :http://stoneblog.stonesoft.com


Anonymat – Acte 2 : Les solutions d’anonymat tiennent-elles réellement leurs promesses ?

Anonymat sur le Net
Anonymat sur le Net

L’anonymat sur le Net est quelque chose de bien trop sérieux pour laisser une place au hasard. Dans certain pays, il est le garant de la liberté de certaines personnes (journalistes, opposants politiques…), pour certaines personnes, une erreur et leur vie peut être mise en danger. Dans le premier billet de cette petite série, nous avons fait la différence entre la protection du contenu et du contexte. Nous avons vu que la protection des contenus passait par le chiffrement des données et que la protection du contexte, bien plus complexe, nécessitait un ensemble de mesures adaptées à des problématiques variées et qu’il existait une forte interdépendance entre ces mesures. Ce que l’on souhaite quand on parle d’anonymat, c’est bien évidemment une solution capable de protéger tant le contenu que le contexte.
Nous allons nous pencher maintenant sur quelques solutions d’’anonymat communément utilisées et tenter de comprendre ce qu’elles protègent exactement.

  • Utiliser le wifi du voisin : sachez dans un premier temps que ceci est parfaitement illégal, à moins que vous n’ayez expressément été invité à le faire. Sinon ça porte un nom : intrusion et maintien dans un système de traitement automatisé de données, auquel la LOPPSI devrait même venir ajouter une usurpation d’identité, et ça coûte relativement cher, à savoir de deux ans d’emprisonnement et de 30000 euros d’amende (Loi Godfrain amendée par la Loi dans la Confiance en l’Economie Numérique dont le petit nom est LCEN), et 3 ans et 45000 euros d’amende en cas de modification ou destruction de données. Dans le cas de l’utilisation de la connexion wifi d’un tiers, l’anonymat est loin d’être garanti. L’administrateur du réseau local peut très bien intercepter vos données directement sur son LAN et ce type d’intrusion est facilement détectable (tien une ip en plus sur le réseau)… Si en plus vous faites tout passer en clair, vous avez intérêt à faire extrêmement confiance en la bienveillance ou l’ignorance de votre victime… au fait vous êtes bien sur que le réseau wifi utilisé n’est pas tout simplement un honeypot uniquement destiné à intercepter vos données personnelles ? Bref vous l’aurez compris, cette solution n’en est pas une, en outre elle protège une partie du contexte, mais surement pas le contenu.
  • Les serveurs proxy : un serveur proxy permet de masquer son IP pour une utilisation donnée correspondant au port utilisé par une communication. On trouve aisément des proxy pour les usages les plus fréquents (navigation web, transferts de fichiers…). Les proxy ne sont pas une solution satisfaisante pour l’anonymat, il ne protègent qu’une toute petite partie du contexte. Il est impératif d’utiliser SSL pour protéger le contenu de la communication et la protection du contexte peut également être améliorée en utilisant plusieurs proxy en chaîne (proxy chain). Attention, la contrepartie, c’est que chaque proxy est également un maillon faible puisqu’il peut loguer les connexions. Les proxy sont cependant un terme très générique et il convient de porter son choix sur les proxy anonymes qui ne loguent pas les communications et ne révèlent pas votre adresse ip à tous vents (attention, toujours dans le cadre d’une communication sur un port donné). On distinguera également les proxy SOCKS et CGI (généralement une page web avec une barre d’adresse dans laquelle on place l’url que l’on souhaite visiter discrètement), d’une manière générale les proxy SOCKS sont plus difficilement identifiables par le site cible que les CGI. Attention enfin aux proxy open socks, il s’agit en fait souvent de machines compromises par des hackers qui peuvent prendre un malin plaisir à intercepter vos données. Les proxy payants peuvent donc êtres considérés comme plus fiables. Les proxy ne gèrent pas correctement la protection du contexte, la protection du contenue, si elle est assurée par SSL peut également être faillible par Man in the Middle.
  • Le chaînage de proxy : une méthode également assez répandue mais qui a pour effet de ralentir les surfs, est de passer par plusieurs serveurs proxy. Là encore ce n’est pas parce qu’on utilise 3 ou 4 proxy de suite que l’on peut se considérer comme réellement anonyme. Ces proxy doivent être anonymes, ne pas loguer les connexions et ceci ne dispense absolument pas de chiffrer les contenus, l’utilisation de SSL n’est pas une option, mais là encore, certains vous diront à raison que SSL c’est bien … mais… Les protocoles plus exotiques apporteront donc une sécurité accrue mais seront évidemment plus difficiles à mettre en place ou à utiliser. C’est ce genre de solution, couplé à des règles drastiques sur les noeuds qui composent son réseau, que repose la solution JonDonym (JAP) : géographiquement distribués, préalablement audité, opérateurs de noeuds conventionnés, JonDonym est une solution de proxychain assez évoluée qui tend à protéger le contexte de manière quasi satisfaisante pour peu que l’utilisateur observe quelques bonnes pratiques complémentaires (comme utiliser pour surfer une machine virtuelle sous OpenBSD avec une redirection du serveur X sur SSH, la désactivation ds cookies ou de toutes les extensions de navigateur dangereuses dont nous allons parler un peu plus loin…).  Attention cependant JonDonym se traîne une réputation sulfureuse, et des rumeurs de backdoors ont couru. La police allemande se serait intéressée de près à ce réseau.
  • Les VPN : Un VPN est un réseau privé virtuel. On le dit virtuel car il n’y a pas de ligne physique dédiées qui relie les nœuds. On le dit également privé parce qu’il utilise le chiffrement. Les VPN utilisent un chiffrement fort entre les nœuds pour accentuer la protection du contenu (on ne se contente pas de faire confiance aux noeuds). Une des principales différences entre un proxy et un VPN est que le proxy opère sur la couche applicative du modèle OSI, alors que le VPN opère sur la couche réseau. Le VPN est donc naturellement plus résistant à des fuites d’adresses IP. En clair, un proxy anonymise une application (un client mail, un navigateur…), un VPN, lui, tend à anonymiser le trafic d’un OS, c’est à dire l’ensemble de ses applications en opérant sur la couche réseau permettant à ces applications de communiquer. Usuellement les services VPN utilisent des noeuds dans des juridictions offshore mais ceci ne suffit pas. En outre, les vertus anonymisantes des VPN ont largement été survendues, d’ailleurs, il n’est pas rare que certains (mêmes gros) acteurs qui prétendent ne pas loguer les connexion, en pratique, les loguent. Autant vous le dire tout de suite, les providers américains loguent, ils en ont la quasi obligation(Patriot Act).
  • Tor : Tor est une solution d’anonymat basée sur le concept d’onion routing (routage en oignon), il implique un chiffrement des données préalable qui, passant de noeud en noeud se voit cryptographiquement dénudé d’une couche, d’où son nom. Le concept d’onion routing a initialement été développé par l’US Navy et Tor est son implémentation la plus connue. Tor est un réseau semi-centralisé qui se compose d’un programme et d’un réseau d’environ 200 noeuds. Un utilisateur peut utiliser le réseau passivement ou choisir de relayer le trafic d’autres utilisateurs. Les communications passent par trois noeuds avant d’atteindre un noeud de sortie. Les routes des noeuds sont chiffrées, ainsi que le contenu. Chaque nœud enlève une couche de chiffrement avant de transmettre les communications. Contrairement à SSL, Tor est connu pour être résistant à des attaques par Man in the Middle en raison d’un chiffrement sur 80 bits (pas énorme mais suffisant) de l’authentification post communication. Nous reviendront dans le prochain billet sur Tor, ses vulnérabilités, ainsi que sur Freenet et I2P. Nous verront pour ces solutions que le contexte est faillible.
Les maillons faibles

Ce qui va suivre est loin d’être exhaustif, ces quelques éléments ne sont là que pour vous guider un peu mieux sur les bonnes solutions et les bonnes pratiques, en fonction du niveau de protection de vos données personnelles recherché. Il y a dont une bonne et une mauvaise nouvelle (nous creuserons plus tard la mauvaise). On commence par la mauvaise la quasi intégralité des solutions sont plus ou moins vulnérables aux éléments de protection de contexte ci-dessous. La bonne est que ce n’est pas innéluctable et que vous connaissez très bien votre pire ennemi, c’est à dire vous même.

  1. Les plugins de navigateurs bavards : Le premier maillon faible, c’est votre navigateur web et d’une manière générale toutes les applications qui se connectent à l’internet. Si sur la route, les protocoles de chiffrement peuvent vous protéger, vous n’êtres pas du tout à abri d’un plugin de navigateur trop bavard. Au hit parade de ces extensions, Acrobat Reader, Windows Media, QuickTime, et Flash.
  2. Les réseaux trop sociaux et les identifications un peu trop fédératrices : L’identification sur un site web, particulièrement quand il s’agit d’un super réseau social tout de javascript vêtu avec de supers API faites dans le but louable de rapprocher des personnes qui ne se connaissent pas et exportables sous forme de widgets sur des sites web tiers… toutes ressemblance avec un certain Facebook est purement pas du tout fortuite… est un danger énorme pour vos données personnelles. Il est même particulièrement simple de révéler votre véritable adresse IP en exploitant l’API du dit réseau social. La règle de base est donc de ne jamais s’identifier sur plus d’un site à la fois… finit les 57 onglets dans votre fenêtre de navigateur si vous voulez la paix, il faut être avant tout méthodique : une machine virtuelle = une authentification sur le Net. Au dessus, vous vous exposez de fait à un vol de session.
  3. Les mauvaises implémentations logicielles : Un mécanisme de sécurité, comme un algorithme de chiffrement, peut être compromis, ou plutôt contourné, suite à une mauvaise implémentation. Là encore c’est dramatiquement banal, on a par exemple tous encore tête la réintroduction d’une faiblesse d’implémentation du mécanisme de génération des clef WPA des BBox, les box du fournisseur d’accès Internet Bouygues. Attention, les mauvaises pratiques de développement ne touchent pas que des clients lourds, elles touchent aussi des sites web… oui même des gros sites très célèbres… surtout des gros sites très célèbres. Ainsi, un XSS bien placé et c’est le vol de session. Un simple cookie est susceptible de dévoiler votre véritable identité. Dans le monde de la sécurité les cookies ont deux fonctions : être mangés ou être supprimés (non acceptés c’est encore mieux).
  4. L’interface chaise / clavier : Si vous ne voyez pas de quoi je parle, il s’agit tout simplement de l’utilisateur lui même. Le vrai problème est qu’aujourd’hui, non seulement tout est fait dans les systèmes d’exploitation moderne pour vous masquer le plus posssible les couches complexes (combien de personnes ici savent comment fonctionnent une pile TCP/IP), mais tout ces marchands de sécurité, FAI en tête exploitent votre méconnaissance du réseau et s’en font un business particulièrement lucratif. Avec HADOPI, tout ce petit monde a une occasion rêvé pour vous vendre des solutions tantôt de sécurisation, tantôt de contournement. Le résultat est le même et la démarche est toute aussi sujette à réflexion.
  5. Le contenu cible : En fonction de votre solution d’anonymat, les sites que vous visitez peuvent eux aussi représenter une menace, il n’est pas rare que certains sites, eux mêmes victimes de failles distribuent du malware et compromettent la sécurité des données personnelles de leur visiteurs. D’autres encore, spécialement destinés à piéger les visiteurs, n’hésiteront par exemple pas à doter un formulaire de contact ou d’inscription d’une fonction de keylogin (une pratique pas courante mais existante sur certains sites de warez et destinée à dépouiller les visiteurs qui auraient la mauvaise idée d’utiliser pour ces sites les mêmes mots de passe qu’ils utilisent pour leur compte Paypal ou leur messagerie).

Dans le troisième et prochain billet de cette série, nous aborderons plus en détail les attaques possibles sur les solutions d’anonymat. Le billet sera donc un peu plus technique que celui-ci.

Wifi Robin est maintenant disponible en France

wifirobin
Wifi Robin disponible en France

Il y a quelques temps, je vous avais parlé de Wifi Robin, un petit boiter magique qui envoi des lutins dans les airs pour capturer des trames et automatiser des attaques sur le protocole de chiffrement sans fil WEP qui comme chacun le sait n’est pas HADOPIProof. Et bien maintenant ça y est, Wifi Robin est disponible à la vente en France, chez Greezbee, pour 139 euros. C’est par ici que ça se passe (et non je n’ai pas d’actions). Tout comme les cartes Alfa (dont je soupçonne être le coeur de la bête, avec son chipset Realtek RTL8187L), ça patate quand même à 1w soit 10 fois la puissance autorisée en France… elle est donc bridée mais facilement débridable, il faut juste prendre soin de ne pas dormir à côté.

Si comme moi vous n’avez pas 139 euros à mettre dans ce gadget mais que la bidouille vous amuse et que vous avez une ou deux foneras qui trainent à la maison, allez donc jeter un oeil sur HostileWRT, un projet du /tmp/lab dont vous trouverez les slide de présentation au Hack.lu ici.

Il va de soi que vous ne jouerez avec que sur votre réseau local et que vous n’utiliserez pas la connexion de votre voisin pour seeder comme un puerco.

Merci à Abysce pour l’info 😉

tmplab HostileWRT 5

Deep Packet Inspection : vous voulez éviter une guerre numérique ?

ciscoHADOPI prévoit dans son dispositif des tests sur les technologies de deep packet inspection. C’est une volonté plusieurs foi affirmée par Nicolas Sarkozy lui même.  Le DPI est déjà en place chez de nombreux fournisseurs d’accès, et c’est normal, car il ne faut pas y voir que du mal. Le DPI a également certaines vertus en terme de gestion de trafic, de détection des attaques… Oui mais voilà, à partir du moment ou ces technologies servent à autre chose que le fonctionnement normal d’un réseau (comme c’est le cas dans le cadre de la chasse aux contenus copyrightés), il est nécessaire, non seulement que ceci soit particulièrement encadré légalement, et surtout que quelques expériences de savants fous ne soient pas menées dans l’opacité.

J’ai donc quelques questions à poser très ouvertement, et j’entends bien, comme des dizaines de milliers d’internautes sensibles à la question du DPI, et des millions d’internautes soucieux de la sécurité de leur données personnelles qu’on y réponde clairement :

  • Qui va mener ces tests (des FAI, des sociétés privées…) ?
  • Quelle sera la durée de ces tests ?
  • Quelles données seront collectées ?
  • La CNIL exercera t-elle un contrôle sur ces tests ?
  • Les résultats sur l’efficacité seront ils publiés ? (sinon merci de préciser pourquoi)
  • Quels types d’équipements seront utilisés ?
  • Où sur les réseau ces équipements seront ils placés ?

Je vous invite donc à faire toute la transparence sur ces questions, on parle d’un usage contre nature de technologies non maitrisées, le DPI étant le nucléaire de l’Internet, il me semble capital d’y répondre rapidement avant que le climat ne se tende encore un peu plus qu’il ne l’est déjà aujourd’hui.

Pour conclure, je vous laisse découvrir cette vidéo édifiante, elle concerne un gros équipementier américain qui vous laissera vous faire votre opinion sur le niveau de responsabilité assumé par ces marchands de flicage privé.

De la négligence caractérisée… comment avons nous pu en arriver là ?

Je me permet de vous livrer une petit réflexion rapide sur la dangerosité de la contravention pour négligence caractérisée introduite par le législateur dans HADOPI. Ce n’est évidemment pas le première fois que j’en parle ici, mais l’absurdité de ce terme, “négligence caractérisée” me fait me poser beaucoup de questions. Je me permet donc de réfléchir un peu tout haut…

Commençons par le pourquoi :

Devant un phénomène massif, il a fallu permettre une (in)justice expéditive se passant du juge. Sans crime constitué et avec un délit sans preuve valable, le législateur a du trouver un subterfuge, à savoir une ruse, un moyen détourné visant à se tirer de l’embarras.

  • Premier point, le plus évident, et pourtant visiblement pas assimilé du tout par la député Marland-Militello qui aime à afficher sur son blog que les internautes téléchargeurs sont des criminels qui tuent les artistes : en droit, un simple téléchargement, particulièrement dans le cadre d’un échange sur les réseaux P2P, peut difficilement être assimilé à un crime contre la propriété car ce terme désigne un transfert illégitime de propriété. Une oeuvre immatérielle qui s’échange ne change rien à la notion de propriété d’une oeuvre de l’esprit (son auteur continue à jouir de la propriété pleine et entière de sa création, même si cette dernière est dupliquée : il n’y a pas de soustraction, mais multiplication). Un tribunal requalifierait donc immédiatement un “crime de téléchargement d’un MP3 d’Enrico Macias” en une infraction mineure. Un téléchargement n’a jamais tué personne, ni un artiste, et encore moins la création. Les discours de Nicolas Sarkozy à ce propos sont ridicules, tant sur le plan de la création que sur le plan juridique, et plus que discutables, sur le plan économique.
  • Le délit de contrefaçon ( article L. 335-3 du Code de la propriété intellectuelle) était lui aussi proscrit. Pourtant, tout indiquait qu’il pouvait se matérialiser par des preuves tangibles… mais nécessitant une commission rogatoire, et une véritable action judiciaire pour constituer un dossier de preuves plus solide qu’une adresse IP collectée sur un tracker torrent (ça va vous seedez toujours là ?). En droit, est considéré comme un délit une infraction entraînant une réparation : par exemple des dommages et intérêts, ce qui nécessite l’estimation d’un préjudice, quasiment impossible à évaluer dans le cadre d’un téléchargement (dans la pratique du P2P, ce n’est pas parce que l’on télécharge ou que l’on met à disposition une oeuvre qu’on aurait couru l’acheter à la FNAC, et encore moins qu’on serait allé la revendre dans le métro à la sauvette comme c’est maintenant le cas grâce à HADOPI). Le téléchargement étant devenu un usage en plus d’une décennie pendant laquelle les majors se sont grattées le derrière en se demandant comment elles allaient pouvoir gagner plus d’argent grâce à Internet, le délit de contrefaçon était une réponse anecdotique à un usage massif.
  • Une contravention est en droit pénal l’infraction la moins grave. La sanction maximale d’une contravention est une amende de 3000 euros. La contravention pour négligence caractérisée a fixé son plafond à 1500 euros et prévoit une sanction assortie qui est la coupure de la connexion de l’abonné (dont le préjudice réel peut, de très loin, dépasser le plafond maximal d’une contravention). Nous disposions en plus dans le droit français d’un exemple concret en application : celui des radars routiers dont on a eu de cesse de nous rebattre les oreilles pendant les débats sur HADOPI. Mais voilà, Christine Albanel a eu beau nous exposer ses arguments, elle n’a pas plus convaincu les internautes qu’elle n’arrive à convaincre ses nouveaux collègues d’Orange. En effet, il est rarissime qu’un automobiliste change de plaque d’immatriculation avant de passer devant les radars, alors qu’HADOPI incite les internautes à changer d’IP avant de se faire flasher ou reflasher par les sondes de TMG, société privée à qui les ayants-droits ont confié la mission de s’occuper de leurs radars (oui j’ai bien dis sondes et j’y reviendrai dans un prochain billet). Mais si vous m’avez bien suivi ça nous donne des sociétés privées, qui mandatent d’autres sociétés privées pour se faire justice elles-mêmes… et ça en droit français, à ma connaissance, c’est une nouveauté… dangereuse. Enfin la sanction est confiée à une haute autorité administrative qui n’est ni un tribunal de police, ni une juridiction de proximité, qui étaient pourtant jusqu’ici seuls habilités à sanctionner ce type d’infractions. Dans un état de droit, ceci est susceptible de constituer une dérive inquiétante.

Quand le pourquoi “massif” explique un comment “ridicule”

Et c’est là, qu’on sombre dans le comique… le législateur, qui dans plus de  80% des cas n’est pas fichu de faire la différence entre son système d’exploitation et le contenu de son navigateur, a décidé de pointer du doigt le défaut de sécurisation de la “connexion Internet” pour matérialiser l’infraction de la contravention. Juridiquement, la loi n° 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur Internet (vous noterez que le nom même de cette loi est un mensonge de bas étage puisqu’elle ne favorise en rien ni la création ni la diffusion des oeuvres, la récente disparition de Jiwa est encore là pour nous le rapeler) modifie l’article L. 335-3 du Code de la propriété intellectuelle définissant le délit de contrefaçon, et ajoute une contravention pour négligence caractérisée qui n’annule en rien le délit de contrefaçon, laissant ainsi planer le spectre d’une double peine, et même d’une triple peine si on y ajoute la coupure de connexion.

Et enfin le risque

Quand on inscrit dans le corpus législatif une telle monstruosité, on est en droit de s’inquiéter sur l’applicabilité à des crimes, et non plus des délits ou des contraventions. Imaginez donc un seul instant, que la négligence caractérisée s’applique à une personne qui n’a pas su “sécuriser sa connexion” et qui s’est retrouvée victime de l’inoculation d’un cheval de Troie servant par exemple à diffuser des contenus pédophiles par vagues de spams. Le propriétaire de la machine, qui est aussi la victime d’un piratage, se trouve donc accusé d’une contravention pour négligence caractérisée, sur des faits passibles d’assises. Ces dérives sont malheureusement bien réelles aux USA ou des personnes sont emprisonnées à tort pour des faits de détention ou diffusion de contenus pédopornographiques. Le cynisme de la contravention pour négligence caractérisée est qu’elle équivaut à un “bien fait pour ta pomme” aux victimes d’intrusions dont la vie se retrouve brisée.

Mon sentiment

Je ne suis pas juriste mais il y a pas mal de choses qui me dérangent sur le fond comme sur la forme. Cette contravention est ridicule tant dans ses fondements que dans ce qu’elle prétend sanctionner. Elle vient se poser en épouvantail, en amont d’un délit de contrefaçon, lui bien applicable, mais en terme de dissuasion, impossible à gérer car il nécessite trop de moyens dans sa mise oeuvre à grande échelle pour répondre au téléchargement devenu un usage massif sortant du cadre de l’exception au droit d’auteur alors que l’on paye pourtant une taxe sur la copie privée (cherchez l’erreur, elle est soit fiscale soit législative, mais il y a bien là encore une incohérence car on taxe une pratique déclarée illicite… ).

L’ applicabilité de la contravention pour négligence caractérisée pourrait bien se voir compromise au moindre déferrement devant un tribunal, ce qui m’invite à penser que si l’étape 2 du dispositif, c’est pas pour demain, l’étape 3, à savoir la coupure de connexion, ne sera jamais appliquée. D’ailleurs il est entendu par circulaire de la chancellerie que les tribunaux n’ont aucune envie de voir défiler le produit d’une telle sotise.

Enfin, la négligence caractérisée, pour défaut de sécurisation de l’accès Internet, est d’une hypocrisie sans faille, qui consacre le terme de “sécurité” à la surveillance d’une connexion contre un usage, qui est le téléchargement, au lieu de porter son dévolu sur une notion fondamentale et à laquelle chacun à droit : la protection de ses données personnelles qui fait pourtant en pratique tant défaut à de nombreuses sociétés et administration qui en exposent par dizaines de milliers. une situation d’un cynisme inacceptable.

Anonymat – Acte 1 : VPN et HADOPI… et vous vous pensez anonymes ?

Ce billet est le premier d’une petite série sur le thème de l’anonymat, des VPNs, et par extension, des attaques possibles. Pour un plus grand confort de lecture, ce qui ne devait faire qu’un seul billet va du coup en faire plusieurs, ils auront un caractère plus ou moins technique. Le premier est une (longue) introduction aux bases de l’anonymisation IP… bonne lecture.

/Greetz wizasys /-)

Fallait pas me chercher…

VPN par ci, VPN, par là, je commence à être blasé d’entendre ce mot utilisé n’importe comment et à toutes les sauces, et surtout d’entendre tellement de contre-vérités sur leurs vertus “anonymisantes”. Comme promis, voici quelques réflexions sur les VPNs, motivées par une recrudescence de spams sur ce blog liés à l’exploitation du bruit autour d’HADOPI. Si certains, plutôt courtois me proposent d’essayer leurs solutions, d’autres viennent carrément pourrir systématiquement tous les billets où ils décellent le mot “HADOPI” pour venir coller un lien sur leur site web qui prétend vendre de la sécurité à 5 euros par mois. Mais le plus dérangeant dans tout ça, c’est surtout les idées fausses qui sont véhiculées sur de nombreux sites ou wikis, et tendant à dire qu’un VPN est l’arme absolue pour vous mettre à l’abri de l’inspection en profondeur de paquets (DPI) et préserver votre anonymat.

Qu’est ce qu’un VPN ?

Un réseau privé virtuel ou VPN est un tunnel chiffré dans lequel on fait passer ses communications dans le but de les sécuriser. Ainsi, on entend contrôler les routes empruntées par les informations afin d’éviter la captation par des tiers non autorisés.

Si les VPNs sont pour l’instant une réponse très relativement efficace pour passer sous les radars de Trident Media Guard (je dis bien pour l’instant car sur certains protocoles de P2P, ça risque de ne pas durer, et pour le reste…), ils ne sont pas la panacée, et ne suffisent pas à garantir votre anonymat. Que ce soit sur les réseaux P2P ou sur de simples sites web, il existe, même derrière un VPN, plusieurs techniques permettant de révéler votre véritable adresse IP. Les pièges sont nombreux, ils émanent autant des sites que vous visitez que de votre propre fait, il est donc primordial d’en avoir conscience.

Les racines du mal

En pondant un texte aussi peu inspiré qu’HADOPI, notre bon législateur s’est involontairement exposé à une menace bien réelle dont on peut observer quelques effets indésirables dans d’autres pays. De nombreuses sociétés se sont engouffrées dans ce nouveau marché de la surveillance de masse et du contrôle généralisé, d’autres tentent d’y apporter des parades. Notre Ministre de l’industrie a de quoi se frotter les mains, il va ici voir emerger un nouveau pan de l’économie hexagonale, bien nauséabond, celui de la course à l’armement numérique. Sur Internet comme dans la vraie vie, les marchands de canons peuvent être des personnes très sympathiques, c’est de la protection qu’ils vous vendent sur le papier, mais la mort reste leur fond de commerce. Fabrice Epelboin en parlait très bien dans sa publication sur les révélations d’un CTO de réseau pédopornographique, ses prémonitions sont en train de se concrétiser. Jusque là, les gens qui avaient besoin d’assurer leur parfait anonymat étaient soit des professionnels dont la confidentialité des échanges est nécessaire de par la nature de leurs fonctions, soit des gens dont la nature illicite et criminogène des activités nécessitaient d’éviter de se faire pincer. En ramenant le besoin d’anonymat à des comportements d’ordre délictuels du type téléchargement de MP3 copyrightés, il ne faut pas s’étonner de voir certains réseaux mafieux se frotter les mains en se disant qu’ils vont pouvoir s’attaquer à des marchés plus grands publics. Leurs infrastructures sont là, elles n’attendent plus que les bons gogos… et ces gogos, c’est nous tous !

Ceci est très dérangeant et paradoxal car l’anonymat et la vie privée (ou la protection de la confidentialité) est un besoin légitime, la sécurisation des échanges l’est aussi. Les démarches administratives (impôts, URSSAF…), les opérations bancaires ou financières(…) nécessitent des échanges sécurisés.

On peut donc remercier nos élus d’avoir fait pour l’Internet ce choix de société, souvent par manque de courage politique, quelques fois par e-gnorance, mais aussi et surtout par jemenfoutisme. Vous trouvez que j’y vais un peu fort ? Dans ce cas, respirez un grand coup avant de lire la suite car je n’ai pas terminé… l’échauffement.

Internet est un réseau public

Internet n’a pas été pensé pour l’anonymat ou la vie privée, il s’agit d’un réseau public, les informations de routage sont donc publiques et les données ne sont à l’origine pas chiffrées. Internet permet naturellement le chiffrement mais ce dernier ne cache pas l’identité de l’émetteur ni du destinataire (le chiffrement cache le payload mais pas les informations de routage ni les métadonnées).

L’Internet est constitué d’AS (systèmes autonomes) qui appartiennent à des fournisseurs d’accès, les AS communiquent via des IX (Internet Exchange). C’est dans les AS (je n’ose imaginer que des ayants-droit ou des officines privées accèdent un jour aux IX) que des personnes qui veulent vous “sécuriser” iront, si on les laisse faire, placer leurs dispositifs d’écoute… tout simplement car c’est là que passent le plus de communications. Ce ne sera pas un problème pour Orange ou SFR (qui utilisent déjà le Deep Packet Inspection pour détecter les DDoS, Spam, Botnets et autres attaques virales) que de faire directement de l’écoute sur leur AS, en revanche sur les IX, d’autres FAI pourraient voir ça d’un très mauvais oeil. Mais aux USA, il est par exemple admis que la NSA puisse réaliser ses écoutes directement au niveau des IX. En France, on imagine bien que la DGSE puisse pratiquer elle aussi de telles captations sur un IX, mais Jean-Marc Manach vous en parlerait sûrement mieux que moi.

Toujours est-il que les FAI (beaucoup) conservent les logs au niveau des AS et sont en mesure de vous dire qui a communiqué avec qui à une date donnée. Je suis un peu plus circonspect concernant la production et la rétention des logs sur les IX, c’est un sujet que je ne maîtrise pas spécialement, mais selon les politiques de surveillance des agences gouvernementales de certains pays, certains IX font l’objet d’une capture de l’intégralité du trafic. A contrario, en Russie par exemple, où il existe peu d’IX, tout est extrêmement surveillé.

Les bases de l’anonymat

Je n’ai certes pas la prétention de donner un cours exhaustif sur l’anonymat mais ayant conscience de ce qu’il implique, je me permettrai simplement, je l’espère, de briser un mythe qui consiste à vous faire gober que des “solutions” simplistes répondant à peine à 10% des problématiques de l’anonymat sont des solutions pérennes pour la protection de votre identité sur les réseaux. Tout ceci est bien plus complexe qu’on aime à vous le dire.

Un VPN (réseau privé virtuel), propose la création d’un tunnel, généralement chiffré entre votre ordinateur (ou dans certains cas votre routeur) et le fournisseur du service. Dans la majorité des cas, tout ce qui passe entre le fournisseur du service et le contenu que vous ciblez passe en clair sur le réseau. Peu de services proposent un chiffrement “end to end” (de bout en bout) , c’est là la première vulnérabilité des solutions de VPN. Si tout passe en clair entre votre prestataire et le contenu que cible votre visite, généralement sur un serveur distant, au fond à droite des Internets, vous avez intérêt à avoir sacrément confiance en lui. Prenez bien conscience qu’en choisissant un fournisseur de service VPN, vous lui confiez la même chose que ce que vous confiez à votre fournisseur d’accès Internet, la moindre des précautions est donc de connaitre la législation en vigueur dans le pays de ce fournisseur de service.

Au chapitre des erreurs, la plus communément observée est l’amalgame fait entre la protection du contenu (ie chiffrement) et la protection du contexte (ie anonymat), entre chiffrement et processus visant à réduire les risques de captation de données. Si on devait résumer ça simplement on dirait que :

  • Les contenus définissent l’information
  • Le contexte définit l’environnement et les modalités d’accès à l’information.
  • On protège les contenus par le biais du chiffrement.
  • On protège le contexte par une série de méthodes et techniques adaptées, et sûrement pas par un produit, qu’il soit matériel ou logiciel.

Si le contenu ou le contexte est compromis, c’est votre anonymat qui est compromis.

Il convient également de faire la différence entre protection de la vie privée et anonymat :

  • Anonymat : la faculté de ne pas se faire identifier par un tiers ;
  • Protection de la vie privée : la faculté de protéger ses communications de la captation par des tiers non autorisés… Autrement dit, d’empêcher des tiers de savoir ce que vous dites ou ce que vous faites.

Si vous m’avez bien lu, vous devez donc comprendre par exemple qu’un réseau chiffré n’est pas forcément garant de votre anonymat. Et inversement, TOR protège le contexte… mais pas le contenu (mais nous allons y revenir dans un prochain billet de cette même petite série).

Qui écoute quoi et où ?

Vous avez tous entendu une phrase stupide, même sortant de la bouche de personnes connues comme Mark Zuckerberg (le fondateur de Facebook) du type : si on a rien à se reprocher, on a rien à cacher“. Il doit s’agir de personnes qui n’ont jamais par exemple effectué un achat sur Internet ou qui n’ont jamais échangé un mail ou des photos avec leur famille…

En France, la captation de données informatiques, particulièrement quand il s’agit de données à caractère personnel, est très encadrée, elle nécessite l’intervention d’un juge, une enquête judiciaire…

Oui mais voilà, si l’internet s’arrêtait aux frontières françaises, on appellerait ça le Minitel… ou l’Internet par Orange. Vos communications, même nationales empruntent des routes qui ne sont pas toujours sur le territoire national, et donc non soumises aux mêmes contraintes juridiques, un fournisseur de services peut très bien décider de capter ces données pour une raison x ou y… comme par exemple le Patriot Act aux USA. Du coup, si vous en venez à passer par un fournisseur de service VPN aux USA, il ne faudra pas vous étonner si vos communications sont interceptées par les services américains, c’est la loi américaine qui est ainsi. Son pendant européen est la loi sur la rétention des données. Le choix de l’implantation des serveurs du provider dans telle ou telle juridiction est particulièrement important. Fournir des solutions d’anonymat ou du VPN demande une vraie maitrise juridique car c’est un paramètre crucial.

Est-ce que vous confieriez vos données personnelles à ….

Allez, fermez les yeux, et imaginez un instant que je travaille pour Universal Music, comment je procéderai à votre avis si je voulais faire la chasse aux petits resquilleurs ? Bingo, je monterai un service de VPN plus ou moins clairement brandé “contourner hadopi”, je l’appellerai par exemple Hadopi en verlan…. ça fait djeuns, ça fait rebelz, et c’est surtout un super moyen de diriger (et même capturer) tout le trafic des gros téléchargeurs vers chez moi afin de mieux les identifier… et en plus, pour une fois, ils sont assez gogos pour payer.

La suite dans : Anonymat – Acte 2 : Les solutions d’anonymat tiennent-elles réellement leurs promesses ? (to come soon)