La différence entre un #VPN et Garcimore

Suite à ma récente condamnation par la Cour d’Appel de Paris (appel formé par le parquet suite à ma relaxe en première instance), pas mal d’articles circulent sur Internet et je vois revenir des éléments techniques parfois mal interprétés (et souvent proches du raisonnement de la cour d’appel). En plus du classique débat sur l’authentification à la racine de l’extranet, le cas assez emblématique est celui du VPN.

Un VPN est un réseau privé virtuel. Il permet de se connecter d’un point A à un point B de manière souvent chiffrée.

L’une des citations largement reprise, c’est celle ci :

Il y avait trouvé et téléchargé huit mille documents, par l’intermédiaire d’un réseau privé virtuel (VPN) vers une adresse IP située au Panama, ce qui explique que l’opération soit passée inaperçue

… Là, par exemple ce qui est en gras est un non-sens.

Les petits dessins

vpn1

Un VPN sert aussi bien à dissimuler son identité qu’il répond au besoin contraire, c’est à dire se connecter de manière sécurisée et parfaitement authentifiée, sans craindre l’interception de données par des tiers, par exemple pour se connecter à son compte bancaire ou à l’intranet de sa rédaction, quand on est un journaliste qui couvre les jeux olympiques d’hiver à Sotchi. La vocation première d’un VPN, c’est la protection de vos données personnelles et de votre identité sur Internet. Un VPN aujourd’hui devrait être une norme, proposée sans supplément par vos fournisseurs d’accès Internet.

Un internaute sans VPN, c’est ça :

ConnexionInternetNonSecure-413x550

Mythbusting

Je précise que sur la machine et le système (Debian GNU Linux) qui nous intéresse, le VPN se lance au démarrage de ma machine, l’adresse IP panaméenne m’est donc attribuée mais je peux choisir un point de sortie localisé dans un autre pays (Suisse, USA, Suède…), ou mieux si j’avais vraiment voulu brouiller les pistes, par un bridge TOR qui change mon adresse IP visible toutes les 10 minutes et spécialement dédié à renforcer l’anonymisation des connexions (mais pas de les rendre invisibles).

Si les enquêteurs sont remontés jusqu’à moi, c’est bien parce qu’ils m’avaient identifié, grâce à un tweet parfaitement public où j’appelais des journalistes à nous aider à comprendre les documents, ou peut-être justement parce que l’objet de la plainte, c’était un article sur Reflets.info… bref le VPN n’a rien à voir dans cette histoire.

Mais alors pourquoi c’est passé inaperçu ?

Tout simplement parce qu’il n’y a eu ni intrusion pour y accéder et donc justifiant de faire hurler un pare-feu, ni comportement déviant caractérisé par un téléchargement des contenus du répertoire, qui, encore une fois, ne comportait que des documents bureautiques et aucun fichier système pouvant mettre la puce à l’oreille que le repertoire n’avait pas à être public). Les octets naissent sur le papier libres et égaux en droits, et quand ils croisent le douanier du firewall de l’ANSES, ce dernier fait son travail correctement :

Accès régulier et usage régulier = rien à signaler.

Il aura fallu que l’ANSES constate un article publié sur Reflets et utilisant ces documents pour se rendre compte que ces documents, au bout du compte, c’est peut être pas normal qu’ils soient accessibles… c’est amusant car la vérification aurait par exemple pu être faite avant de porter plainte pour “piratage” non ?

Conclusion ?

Je ne suis pas Garcimore 🙁


Les Visiteurs Du Mercredi Garcimore par SUN42

Je vous présente le blog d’un nouveau copain

sécuritéCher Gnuzer,
Tu as pris le temps de répondre, de manière argumentée, à certaines de mes positions. Je trouve ta démarche honorable, du coup, je vais te donner un petit coup de pouce en te répondant publiquement et surtout en te donnant la visibilité que mérite ta réponse. Je suis assez embêté de ne pouvoir linker l’article lui même mais ceci est du à la redirection de ton nom de domaine, un AName aurait été préférable. Là le pointage de ton nom de domaine n’observe pas la première des bonnes pratiques du web, à savoir une URL par contenu.
Je passe sur tes attaques personnelles, je ne m’abaisserai même pas à y répondre. Je vais me concentrer sur ton contre-argumentaire…

1° “Thèse : Le VPN, Çaylemal.
Là tu as soit un problème de lecture, soit tu tombe dans le travers que tu me reproche dans le premier couplet de ta chanson.

2° “Ça, c’est le bruit de la claque que prend dans la tronche un cyberrésistant récemment converti au crypto-anarchisme comme moi
Si tu as besoin de mettre en avant tes talents de crypto anarcho pour contourner HADOPI c’est que tu n’as pas compris grand chose :

  • ni à la loi HADOPI
  • ni à Internet

Tu te qualifies de cyber résistant ? En te cachant pour downloader un MP3 ? C’est où que tu résistes dans l’histoire là ?
Tu fais la bêtise de confondre clicodrome VPN et cryptoanarchisme, là on est carrément dans l’amalgame de noobs qui va pas tarder à nous dire qu’il est rentré dans la matrice pour échapper à HADOPI.

3° “le lectorat de Bluetouff’s blog n’est finalement pas aussi élitiste que peuvent le faire croire ses articles très pointus sur la sécurité informatique.
Je n’ai pas la prétention de m’adresser  aux l33tz, d’ailleurs je doute qu’ils trouvent des choses intéressantes dans mon blog, mon action se situe plutôt au niveau de la sensibilisation, et à te lire, je vois que j’ai encore du travail.

4° “N’oublions pas qu’avec HADOPI et LOPPSI nous sommes tous des criminels…
Tu te présente aux élections présidentielles ? Tu es déjà en campagne là ?

5° “Remarque : Bluetouff clarifie sa pensée dans sa réponse à Korben : selon Bluetouff, il ne faudrait pas se cacher pour exercer notre activité illégale
Ok c’est donc que tu as bien tout compris de travers, selon moi cette activité ne devrait pas être illégale, et te cacher c’est comme bloquer un site web, ça s’appelle fermer les yeux, c’est une attitude de couille molle.

6° “Tout délinquant essaye d’échapper à la répression. Si désormais nous sommes tous des délinquants, il est naturel que nous essayions tous d’échapper à la répression.
Tu te considère comme un délinquant ? Bravo, moi pas et j’essayais de me battre pour expliquer que tu n’en étais pas un… ton billet me refroidit pas mal…

7° “je donne d’avantage de chances de survie aux “planqués” qu’aux héros contestataires.”
A chacun son truc mais en dehors du fait qu’on a pas besoin d’être un héro pour dire qu’on est pas d’accord avec une loi débile, il va falloir que tu m’explique comment un planqué peut faire changer une loi injuste. Ce qui me fait dire que tu n’es pas du tout un cyber résistant, tu es juste une personne qui ne pense qu’à sa tronche et à pouvoir télécharger tranquilement… planquée. Ce qui compte ici c’est ta survie à toi, surement pas le respect des libertés d’autrui.

8° Je ne reviendrai pas une fois de plus sur les usages du VPN, mais la “panacée” c’est :

  • un darknet privatif où on accorde confiance à chaque node
  • l’utilisation de protocoles non standards multiplexés, bien évidemment chiffrés, end to end (on est loin du VPN à papa là)
  • une connaissance juridique sur les points d’entrées et de sorties
  • Le tout dans une VM avec un OS fait pour (au pif OpenBSD)
  • Un serveur X over SSH
  • Pas de plugin à la con dans le navigateur
  • … et accessoirement allumer son cerveau pendant qu’on surf.

9° Sur la suite c’est amusant car tu as une bonne compréhension technique de la problématique, c’est donc bien sur la philosophie que nos avis divergent. Le hic c’est que j’ai du mal à percevoir ton contre argumentaire philosophique dans tout ça. Enfin il y a quand même une erreur technique “Ceux-ci sont renvoyés par le VPN et atteignent leur destination finale par le chemin le plus court.” Quand tu visite le site de la HADOPI derrière un VPN dont le noeud de sortie est à HongKong, j’ai le sentiment que tu dis une bêtise… je sais pas pourquoi…

10° “c’est en revanche parfaitement raisonnable dans un pays où le gouvernement a des tendances orwelliennes.
Tu prêtes des facultés au gouvernement qu’il n’a pas, ce qu’il a mis en place jusque là atteste plus de son e-gnorance que de quelques volontés orweliennes. Le blocage des sites sur LOPPSI, c’est pas orwerlien, c’est de la lâcheté qui vise à dire “la pédopornographie n’existe pas”.

11° “Je vois ces sûrcoûts engendrés plus comme un effet collatéral du système répression + résistance.
Encore une fois, tu ne résistes pas, tu te planques.

DPI over SSL, pour un Internet vachement plus civilisé

SonicWall NSA E7500 DPI SSL
SonicWall NSA E7500

Alors que des rumeurs de bridage, déjà en place, du moins en expérimentation chez certains fournisseurs d’accès font leur chemin, les internautes cherchent logiquement une parade et plus globalement des solutions contournement de toute cette faune nouvelle de la surveillance. Parmi les solutions les plus extrêmes que les ayants-droit aimeraient mettre en place pour “dépoluer” Internet, il y l’inspection en profondeur de paquets. Les VPN peuvent paraître une réponse séduisante au DPI, car l’usage d’une technologie de reconnaissance de contenu serait soit disant inopérante sur des flux chiffrés. Et bien j’en doute.

Il faut d’abord que nous soyons d’accord sur le périmètre du DPI pour comprendre de quoi on parle. Le Deep Packet Inspection est une technique faisant appel à plusieurs outils. Ces outils analysent des flux réseaux aussi bien que les paquets eux mêmes. On demande ensuite à une puissance de calcul d’exécuter des actions de routage, de drop, de trafic shaping, de QoS, sur des flux, en fonction de règles prédéterminées. Si on lui dit de faire quelque chose de débile, il fera quelque chose débile, il s’agit d’une loi cybernétique. Et à votre avis, comment réagit une IA quand on lui demande “drop moi tous les paquets illégaux ?”…. Et bien la machine vous demandera de définir le terme qu’elle ne comprend pas, le terme “illégal”. Même sans avoir à casser un chiffrement à la volée, de la simple reconnaissance de signatures, du marquage de paquets, une règle basée sur la taille… et hop, même votre DivX a du mal à passer d’un point à un autre du réseau. Il faut bien comprendre que ces règles ne s’appliquent donc pas simplement à un paquet, mais peuvent l’être à un flux réseau (le paquet et son contexte), à un protocole (bridage d’un port)…

Il y a deux points dérangeants dans cet usage du DPI :

1° les règles de filtrage qui entrainent une altération du réseau alors que celui-ci n’est physiquement pas menacé est une atteinte à sa neutralité ;

2° l’usage d’une technologie de reconnaissance de contenu c’est l’utilisation d’outils particulièrement intrusifs car détournés de leur vocation initiale.

Dans cet effort fait pour “civiliser notre Internet“, des constructeurs, qui ont senti le bon filon, annoncent des solutions d’inspection de paquets et de reconnaissance de contenus, même dans des flux chiffrés.

C’est le cas de LOPPHOLD en juin dernier qui avec son nouveau SONIC OS 5.6, annonçait capable de réaliser une inspection de paquets sur un flux chiffré en SSL.

“SonicOS 5.6 introduces SonicWALL’s new DPI-SSL feature, which does not rely on a proxy configuration on the end points to provide optimised protection against today’s encrypted threats and to enforce corporate data policies. The technology can inspect inside all SSL sessions across all ports, independently of the protocol, resulting in both encrypted and decrypted data being scanned, monitored and protected.”

Sincèrement, je ne sais trop quoi penser de cette déclaration très marketing mais techniquement, une intégration poussée de SSLSniff est loin d’être délirante. Il me semble cependant que la gamme SonicWall n’est pas adaptée à une écoute en coeur de réseau (son débit de traitement doit-être relativement limité, le haut de gamme, le E7500 annonce 8000 connexions chiffrées simultanées). Vous pouvez télécharger un PDF assez explicatif ici.

De là à se demander s’il n’existe pas des équipement de classe ISP, il n’y a qu’un pas. D’un point de vue puissance de calcul, le cassage à la volée n’est peut-être pas à l’ordre du jour, mais avec les nouvelles gammes d’équipements promises par certains équipementiers ça risque d’arriver plus tôt que prévu.

Start-VPN.com : spamming as a full time job

A la lecture du billet d’Arkados, je suis allé faire un petit tour dans les commentaires de mon blog à la recherche de l’IP du spammeur casse bonbon de Start-VPN qui pollue de manière quasi systématique tout billet en rapport de près ou de loin avec HADOPI (mais pas que…)

Vu que j’en avais supprimé pas mal, il n’en reste plus beaucoup, 6 avaient échappé à ma vigilence (et j’ai systématiquement pris soin de virer à chaque fois l’url de son site).

Notre ami Romaric, George, Émilien, Boris100… peu importe son pseudo est un véritable professionnel, non pas de l’anonymat, on s’en serait douté, mais du spam.

Visiblement assez doué pour arriver à faire parler de son site start-vpn.com par quelques sites importants, il semble avoir réussi à en duper plus d’un, comme par exemple Presse Citron,  Capital, j’en passe et des meilleurs.

La suite en image…

Vous constaterez que c’est bien la même adresse IP (une Freebox) qui vient nous les hacher menu avec son VPN alors que lui même ne semble pas foutu d’utiliser ce qu’il essaye de nous vendre. Je confirme donc parfaitement ce que nous explique Arkados. La méthode est d’ailleurs franchement risible :

Notez que notre spammeur  ne recule vraiment devant aucune opportunité, c’est un spammer polyglotte (qui ne comprend pas l’anglais de son propre frère) que même le coréen ne semble pas rebuter.

Toujours pas convaincus ? Et bien il suffit pourtant d’aller jeter un oeil là dessus pour comprendre à quel point notre spammeur n’en loupe pas une pour faire du backlink. C’est visiblement pour lui un job à plein temps, devenu encore plus rentable depuis le vote d’HADOPI.

Notre Internet est malade, ne l’achevez pas…

Il n'est pas trop tard

Bon, c’est pas la première fois que je peste sur les VPN qui pourrissent notre Internet. Mais à la lecture d’un commentaire sur le billet précédent, je viens de m’apercevoir que ce qui parait évident pour certaines personnes, est loin d’être acquis pour tout le monde. Je commence à peine à prendre la mesure des dégâts d’HADOPI sur notre Internet. Aujourd’hui je dois vous avouer que je suis particulièrement inquiet et énervé de voir des internautes qui se ruent sur ces solutions de _merde_ pour tenter de contourner une loi de _merde_… Résultat, c’est l’Internet qui trinque et l’Internet c’est vous tous.

Pour comprendre de quoi je parle, il faut certaines bases qui font autant défaut aux personnes qui ont porté HADOPI, qu’aux personnes crédules qui se ruent sur les VPN en pensant qu’ils résoudront tous leurs problèmes.

L’Internet est un réseau acentré et ouvert. Chaque machine reçoit et émet des données. Pour que ceci soit possible, elles ont besoin de se voir ces machines. Aujourd’hui elles se voient encore à peu près, où qu’elles se trouvent . Ce sont ces machines, situées en extrémités du réseau qui sont sensées apporter au réseau son l’intelligence. En masquant ces extrémités, en cherchant à disparaitre, vous amputez le réseau de son intelligence et vous laissez aux FAI comme marchands de minitel en haute définition, un boulevard pour qu’ils apportent leur intelligence à eux.

Oui je suis en rogne, car l’usage massif des VPN  ou des solutions d’anonymat pour le téléchargement, c’est la mort de l’Internet ouvert !

  • En adoptant les VPN pour télécharger vous êtes en train de transformer l’Internet en Minitel !
  • Vous êtes en train de laisser gagner les gens qui cherchent à vérouiller le Net !
  • Vous verrouillez le Net vous même !

Réveillez vous bordel !

En cherchant à disparaitre d’Internet vous tuez un bout de l’Internet, vous luttez contre le réseau… c’est complètement stupide !

Les solutions d’anonymat sont nécessaires pour l’exercice de libertés, par exemple pour des journalistes ou pour des opposants politiques de certains pays dont nous ne faisons pas encore partie. Les utiliser pour se cacher de son propre Etat à cause d’une loi aussi débile qu’HADOPI est une solution extrême, un pas de plus vers une escalade inacceptable pour les valeurs auxquelles nous sommes tous plus ou moins consciemment attachés. En cela, HADOPI est une loi terroriste, qui par effet non mesuré par ses géniteurs, est en train de TUER notre Internet.  Si le mal trouve ses origines dans les mesures d’un gouvernement qui n’a pas su mesurer le risque qu’il encourait en les prenant, ne lui donnez pas raison, par pitié, faites lui remarquer en vous exprimant mais pas en vous cachant.

Vous cacher c’est renoncer alors que vous êtes dans votre bon droit et c’est au moins aussi irresponsable que d’avoir voté HADOPI.

HADOPI et les marchands de VPN

Hardware VPN

Comme c’était à prévoir, les marchands de VPN sortent leurs sites de pseudo contre-mesures HADOPI et spamment blogs et forums avec leur solutions qui n’en sont pas… comme Start-VPN (j’invite d’ailleurs tous les blogeurs à reporter comme spam tous les commentaires avec un lien pointant vers ce site).

Le dernier en date c’est anti-hadopi.com (et non je ne le link pas), un site bien commercial qui exploite la peur des internautes et qui n’hésite pas à afficher les logos d’antis historiques comme la Quadrature du Net, à côté d’un lien sur un compte PayPal pour vous vendre sa soupe… routeur VPN et SSL soit disant “inviolable“.

Le site, sur sa page d’accueil, affiche votre adresse IP avec un script à 2ct pour vous proposer un abonnement VPN et affiche dans son footer un beau logo de la Quadrature du Net.  Le site est enregistré aux USA chez GoDaddy et on comprend que son auteur souhaite se faire discret. Si les VPN sont une solution à peu près viable (mais loin d’être infaillible) pour vous “cacher” et ainsi faire de l’anti Internet (qui repose sur un modèle ouvert où les machines ont besoin de se voir pour communiquer)… il est important d’identifier les personnes à qui vous confiez vos flux de données… tout ceci repose en grande partie sur la confiance.

En attendant, au lieu de vous faire empapaouter par ce genre de marchands de pseudo sécurité à 5 euros par mois que je soupçonne fortement d’être malhonnêtes (ou complètement stupides pour utiliser un nom de domaine comme ça), je vous invite à lire ce billet et celui-ci.

Si ce site proposait une solution viable, il disposerait d’une raison sociale (même offshore) et d’un nom de domaine ne s’exposant pas à une procédure…

Il va de soi que la Quadrature du Net n’a rien à voir avec ce site web.

Si vous voulez aider la Quadrature à continuer à mener son combat sur le seul terrain qui vaille, vous pouvez faire un don ponctuel, ou un don mensuel. Elle en a grandement besoin pour continuer son action sur les dossiers ACTA, Neutralité du Net, LOPPSI… le compteur est formel, la Quadrature n’a aujourd’hui de quoi tenir que jusqu’en Janvier 2011.

Anonymat – Acte 2 : Les solutions d’anonymat tiennent-elles réellement leurs promesses ?

Anonymat sur le Net
Anonymat sur le Net

L’anonymat sur le Net est quelque chose de bien trop sérieux pour laisser une place au hasard. Dans certain pays, il est le garant de la liberté de certaines personnes (journalistes, opposants politiques…), pour certaines personnes, une erreur et leur vie peut être mise en danger. Dans le premier billet de cette petite série, nous avons fait la différence entre la protection du contenu et du contexte. Nous avons vu que la protection des contenus passait par le chiffrement des données et que la protection du contexte, bien plus complexe, nécessitait un ensemble de mesures adaptées à des problématiques variées et qu’il existait une forte interdépendance entre ces mesures. Ce que l’on souhaite quand on parle d’anonymat, c’est bien évidemment une solution capable de protéger tant le contenu que le contexte.
Nous allons nous pencher maintenant sur quelques solutions d’’anonymat communément utilisées et tenter de comprendre ce qu’elles protègent exactement.

  • Utiliser le wifi du voisin : sachez dans un premier temps que ceci est parfaitement illégal, à moins que vous n’ayez expressément été invité à le faire. Sinon ça porte un nom : intrusion et maintien dans un système de traitement automatisé de données, auquel la LOPPSI devrait même venir ajouter une usurpation d’identité, et ça coûte relativement cher, à savoir de deux ans d’emprisonnement et de 30000 euros d’amende (Loi Godfrain amendée par la Loi dans la Confiance en l’Economie Numérique dont le petit nom est LCEN), et 3 ans et 45000 euros d’amende en cas de modification ou destruction de données. Dans le cas de l’utilisation de la connexion wifi d’un tiers, l’anonymat est loin d’être garanti. L’administrateur du réseau local peut très bien intercepter vos données directement sur son LAN et ce type d’intrusion est facilement détectable (tien une ip en plus sur le réseau)… Si en plus vous faites tout passer en clair, vous avez intérêt à faire extrêmement confiance en la bienveillance ou l’ignorance de votre victime… au fait vous êtes bien sur que le réseau wifi utilisé n’est pas tout simplement un honeypot uniquement destiné à intercepter vos données personnelles ? Bref vous l’aurez compris, cette solution n’en est pas une, en outre elle protège une partie du contexte, mais surement pas le contenu.
  • Les serveurs proxy : un serveur proxy permet de masquer son IP pour une utilisation donnée correspondant au port utilisé par une communication. On trouve aisément des proxy pour les usages les plus fréquents (navigation web, transferts de fichiers…). Les proxy ne sont pas une solution satisfaisante pour l’anonymat, il ne protègent qu’une toute petite partie du contexte. Il est impératif d’utiliser SSL pour protéger le contenu de la communication et la protection du contexte peut également être améliorée en utilisant plusieurs proxy en chaîne (proxy chain). Attention, la contrepartie, c’est que chaque proxy est également un maillon faible puisqu’il peut loguer les connexions. Les proxy sont cependant un terme très générique et il convient de porter son choix sur les proxy anonymes qui ne loguent pas les communications et ne révèlent pas votre adresse ip à tous vents (attention, toujours dans le cadre d’une communication sur un port donné). On distinguera également les proxy SOCKS et CGI (généralement une page web avec une barre d’adresse dans laquelle on place l’url que l’on souhaite visiter discrètement), d’une manière générale les proxy SOCKS sont plus difficilement identifiables par le site cible que les CGI. Attention enfin aux proxy open socks, il s’agit en fait souvent de machines compromises par des hackers qui peuvent prendre un malin plaisir à intercepter vos données. Les proxy payants peuvent donc êtres considérés comme plus fiables. Les proxy ne gèrent pas correctement la protection du contexte, la protection du contenue, si elle est assurée par SSL peut également être faillible par Man in the Middle.
  • Le chaînage de proxy : une méthode également assez répandue mais qui a pour effet de ralentir les surfs, est de passer par plusieurs serveurs proxy. Là encore ce n’est pas parce qu’on utilise 3 ou 4 proxy de suite que l’on peut se considérer comme réellement anonyme. Ces proxy doivent être anonymes, ne pas loguer les connexions et ceci ne dispense absolument pas de chiffrer les contenus, l’utilisation de SSL n’est pas une option, mais là encore, certains vous diront à raison que SSL c’est bien … mais… Les protocoles plus exotiques apporteront donc une sécurité accrue mais seront évidemment plus difficiles à mettre en place ou à utiliser. C’est ce genre de solution, couplé à des règles drastiques sur les noeuds qui composent son réseau, que repose la solution JonDonym (JAP) : géographiquement distribués, préalablement audité, opérateurs de noeuds conventionnés, JonDonym est une solution de proxychain assez évoluée qui tend à protéger le contexte de manière quasi satisfaisante pour peu que l’utilisateur observe quelques bonnes pratiques complémentaires (comme utiliser pour surfer une machine virtuelle sous OpenBSD avec une redirection du serveur X sur SSH, la désactivation ds cookies ou de toutes les extensions de navigateur dangereuses dont nous allons parler un peu plus loin…).  Attention cependant JonDonym se traîne une réputation sulfureuse, et des rumeurs de backdoors ont couru. La police allemande se serait intéressée de près à ce réseau.
  • Les VPN : Un VPN est un réseau privé virtuel. On le dit virtuel car il n’y a pas de ligne physique dédiées qui relie les nœuds. On le dit également privé parce qu’il utilise le chiffrement. Les VPN utilisent un chiffrement fort entre les nœuds pour accentuer la protection du contenu (on ne se contente pas de faire confiance aux noeuds). Une des principales différences entre un proxy et un VPN est que le proxy opère sur la couche applicative du modèle OSI, alors que le VPN opère sur la couche réseau. Le VPN est donc naturellement plus résistant à des fuites d’adresses IP. En clair, un proxy anonymise une application (un client mail, un navigateur…), un VPN, lui, tend à anonymiser le trafic d’un OS, c’est à dire l’ensemble de ses applications en opérant sur la couche réseau permettant à ces applications de communiquer. Usuellement les services VPN utilisent des noeuds dans des juridictions offshore mais ceci ne suffit pas. En outre, les vertus anonymisantes des VPN ont largement été survendues, d’ailleurs, il n’est pas rare que certains (mêmes gros) acteurs qui prétendent ne pas loguer les connexion, en pratique, les loguent. Autant vous le dire tout de suite, les providers américains loguent, ils en ont la quasi obligation(Patriot Act).
  • Tor : Tor est une solution d’anonymat basée sur le concept d’onion routing (routage en oignon), il implique un chiffrement des données préalable qui, passant de noeud en noeud se voit cryptographiquement dénudé d’une couche, d’où son nom. Le concept d’onion routing a initialement été développé par l’US Navy et Tor est son implémentation la plus connue. Tor est un réseau semi-centralisé qui se compose d’un programme et d’un réseau d’environ 200 noeuds. Un utilisateur peut utiliser le réseau passivement ou choisir de relayer le trafic d’autres utilisateurs. Les communications passent par trois noeuds avant d’atteindre un noeud de sortie. Les routes des noeuds sont chiffrées, ainsi que le contenu. Chaque nœud enlève une couche de chiffrement avant de transmettre les communications. Contrairement à SSL, Tor est connu pour être résistant à des attaques par Man in the Middle en raison d’un chiffrement sur 80 bits (pas énorme mais suffisant) de l’authentification post communication. Nous reviendront dans le prochain billet sur Tor, ses vulnérabilités, ainsi que sur Freenet et I2P. Nous verront pour ces solutions que le contexte est faillible.
Les maillons faibles

Ce qui va suivre est loin d’être exhaustif, ces quelques éléments ne sont là que pour vous guider un peu mieux sur les bonnes solutions et les bonnes pratiques, en fonction du niveau de protection de vos données personnelles recherché. Il y a dont une bonne et une mauvaise nouvelle (nous creuserons plus tard la mauvaise). On commence par la mauvaise la quasi intégralité des solutions sont plus ou moins vulnérables aux éléments de protection de contexte ci-dessous. La bonne est que ce n’est pas innéluctable et que vous connaissez très bien votre pire ennemi, c’est à dire vous même.

  1. Les plugins de navigateurs bavards : Le premier maillon faible, c’est votre navigateur web et d’une manière générale toutes les applications qui se connectent à l’internet. Si sur la route, les protocoles de chiffrement peuvent vous protéger, vous n’êtres pas du tout à abri d’un plugin de navigateur trop bavard. Au hit parade de ces extensions, Acrobat Reader, Windows Media, QuickTime, et Flash.
  2. Les réseaux trop sociaux et les identifications un peu trop fédératrices : L’identification sur un site web, particulièrement quand il s’agit d’un super réseau social tout de javascript vêtu avec de supers API faites dans le but louable de rapprocher des personnes qui ne se connaissent pas et exportables sous forme de widgets sur des sites web tiers… toutes ressemblance avec un certain Facebook est purement pas du tout fortuite… est un danger énorme pour vos données personnelles. Il est même particulièrement simple de révéler votre véritable adresse IP en exploitant l’API du dit réseau social. La règle de base est donc de ne jamais s’identifier sur plus d’un site à la fois… finit les 57 onglets dans votre fenêtre de navigateur si vous voulez la paix, il faut être avant tout méthodique : une machine virtuelle = une authentification sur le Net. Au dessus, vous vous exposez de fait à un vol de session.
  3. Les mauvaises implémentations logicielles : Un mécanisme de sécurité, comme un algorithme de chiffrement, peut être compromis, ou plutôt contourné, suite à une mauvaise implémentation. Là encore c’est dramatiquement banal, on a par exemple tous encore tête la réintroduction d’une faiblesse d’implémentation du mécanisme de génération des clef WPA des BBox, les box du fournisseur d’accès Internet Bouygues. Attention, les mauvaises pratiques de développement ne touchent pas que des clients lourds, elles touchent aussi des sites web… oui même des gros sites très célèbres… surtout des gros sites très célèbres. Ainsi, un XSS bien placé et c’est le vol de session. Un simple cookie est susceptible de dévoiler votre véritable identité. Dans le monde de la sécurité les cookies ont deux fonctions : être mangés ou être supprimés (non acceptés c’est encore mieux).
  4. L’interface chaise / clavier : Si vous ne voyez pas de quoi je parle, il s’agit tout simplement de l’utilisateur lui même. Le vrai problème est qu’aujourd’hui, non seulement tout est fait dans les systèmes d’exploitation moderne pour vous masquer le plus posssible les couches complexes (combien de personnes ici savent comment fonctionnent une pile TCP/IP), mais tout ces marchands de sécurité, FAI en tête exploitent votre méconnaissance du réseau et s’en font un business particulièrement lucratif. Avec HADOPI, tout ce petit monde a une occasion rêvé pour vous vendre des solutions tantôt de sécurisation, tantôt de contournement. Le résultat est le même et la démarche est toute aussi sujette à réflexion.
  5. Le contenu cible : En fonction de votre solution d’anonymat, les sites que vous visitez peuvent eux aussi représenter une menace, il n’est pas rare que certains sites, eux mêmes victimes de failles distribuent du malware et compromettent la sécurité des données personnelles de leur visiteurs. D’autres encore, spécialement destinés à piéger les visiteurs, n’hésiteront par exemple pas à doter un formulaire de contact ou d’inscription d’une fonction de keylogin (une pratique pas courante mais existante sur certains sites de warez et destinée à dépouiller les visiteurs qui auraient la mauvaise idée d’utiliser pour ces sites les mêmes mots de passe qu’ils utilisent pour leur compte Paypal ou leur messagerie).

Dans le troisième et prochain billet de cette série, nous aborderons plus en détail les attaques possibles sur les solutions d’anonymat. Le billet sera donc un peu plus technique que celui-ci.

Anonymat – Acte 1 : VPN et HADOPI… et vous vous pensez anonymes ?

Ce billet est le premier d’une petite série sur le thème de l’anonymat, des VPNs, et par extension, des attaques possibles. Pour un plus grand confort de lecture, ce qui ne devait faire qu’un seul billet va du coup en faire plusieurs, ils auront un caractère plus ou moins technique. Le premier est une (longue) introduction aux bases de l’anonymisation IP… bonne lecture.

/Greetz wizasys /-)

Fallait pas me chercher…

VPN par ci, VPN, par là, je commence à être blasé d’entendre ce mot utilisé n’importe comment et à toutes les sauces, et surtout d’entendre tellement de contre-vérités sur leurs vertus “anonymisantes”. Comme promis, voici quelques réflexions sur les VPNs, motivées par une recrudescence de spams sur ce blog liés à l’exploitation du bruit autour d’HADOPI. Si certains, plutôt courtois me proposent d’essayer leurs solutions, d’autres viennent carrément pourrir systématiquement tous les billets où ils décellent le mot “HADOPI” pour venir coller un lien sur leur site web qui prétend vendre de la sécurité à 5 euros par mois. Mais le plus dérangeant dans tout ça, c’est surtout les idées fausses qui sont véhiculées sur de nombreux sites ou wikis, et tendant à dire qu’un VPN est l’arme absolue pour vous mettre à l’abri de l’inspection en profondeur de paquets (DPI) et préserver votre anonymat.

Qu’est ce qu’un VPN ?

Un réseau privé virtuel ou VPN est un tunnel chiffré dans lequel on fait passer ses communications dans le but de les sécuriser. Ainsi, on entend contrôler les routes empruntées par les informations afin d’éviter la captation par des tiers non autorisés.

Si les VPNs sont pour l’instant une réponse très relativement efficace pour passer sous les radars de Trident Media Guard (je dis bien pour l’instant car sur certains protocoles de P2P, ça risque de ne pas durer, et pour le reste…), ils ne sont pas la panacée, et ne suffisent pas à garantir votre anonymat. Que ce soit sur les réseaux P2P ou sur de simples sites web, il existe, même derrière un VPN, plusieurs techniques permettant de révéler votre véritable adresse IP. Les pièges sont nombreux, ils émanent autant des sites que vous visitez que de votre propre fait, il est donc primordial d’en avoir conscience.

Les racines du mal

En pondant un texte aussi peu inspiré qu’HADOPI, notre bon législateur s’est involontairement exposé à une menace bien réelle dont on peut observer quelques effets indésirables dans d’autres pays. De nombreuses sociétés se sont engouffrées dans ce nouveau marché de la surveillance de masse et du contrôle généralisé, d’autres tentent d’y apporter des parades. Notre Ministre de l’industrie a de quoi se frotter les mains, il va ici voir emerger un nouveau pan de l’économie hexagonale, bien nauséabond, celui de la course à l’armement numérique. Sur Internet comme dans la vraie vie, les marchands de canons peuvent être des personnes très sympathiques, c’est de la protection qu’ils vous vendent sur le papier, mais la mort reste leur fond de commerce. Fabrice Epelboin en parlait très bien dans sa publication sur les révélations d’un CTO de réseau pédopornographique, ses prémonitions sont en train de se concrétiser. Jusque là, les gens qui avaient besoin d’assurer leur parfait anonymat étaient soit des professionnels dont la confidentialité des échanges est nécessaire de par la nature de leurs fonctions, soit des gens dont la nature illicite et criminogène des activités nécessitaient d’éviter de se faire pincer. En ramenant le besoin d’anonymat à des comportements d’ordre délictuels du type téléchargement de MP3 copyrightés, il ne faut pas s’étonner de voir certains réseaux mafieux se frotter les mains en se disant qu’ils vont pouvoir s’attaquer à des marchés plus grands publics. Leurs infrastructures sont là, elles n’attendent plus que les bons gogos… et ces gogos, c’est nous tous !

Ceci est très dérangeant et paradoxal car l’anonymat et la vie privée (ou la protection de la confidentialité) est un besoin légitime, la sécurisation des échanges l’est aussi. Les démarches administratives (impôts, URSSAF…), les opérations bancaires ou financières(…) nécessitent des échanges sécurisés.

On peut donc remercier nos élus d’avoir fait pour l’Internet ce choix de société, souvent par manque de courage politique, quelques fois par e-gnorance, mais aussi et surtout par jemenfoutisme. Vous trouvez que j’y vais un peu fort ? Dans ce cas, respirez un grand coup avant de lire la suite car je n’ai pas terminé… l’échauffement.

Internet est un réseau public

Internet n’a pas été pensé pour l’anonymat ou la vie privée, il s’agit d’un réseau public, les informations de routage sont donc publiques et les données ne sont à l’origine pas chiffrées. Internet permet naturellement le chiffrement mais ce dernier ne cache pas l’identité de l’émetteur ni du destinataire (le chiffrement cache le payload mais pas les informations de routage ni les métadonnées).

L’Internet est constitué d’AS (systèmes autonomes) qui appartiennent à des fournisseurs d’accès, les AS communiquent via des IX (Internet Exchange). C’est dans les AS (je n’ose imaginer que des ayants-droit ou des officines privées accèdent un jour aux IX) que des personnes qui veulent vous “sécuriser” iront, si on les laisse faire, placer leurs dispositifs d’écoute… tout simplement car c’est là que passent le plus de communications. Ce ne sera pas un problème pour Orange ou SFR (qui utilisent déjà le Deep Packet Inspection pour détecter les DDoS, Spam, Botnets et autres attaques virales) que de faire directement de l’écoute sur leur AS, en revanche sur les IX, d’autres FAI pourraient voir ça d’un très mauvais oeil. Mais aux USA, il est par exemple admis que la NSA puisse réaliser ses écoutes directement au niveau des IX. En France, on imagine bien que la DGSE puisse pratiquer elle aussi de telles captations sur un IX, mais Jean-Marc Manach vous en parlerait sûrement mieux que moi.

Toujours est-il que les FAI (beaucoup) conservent les logs au niveau des AS et sont en mesure de vous dire qui a communiqué avec qui à une date donnée. Je suis un peu plus circonspect concernant la production et la rétention des logs sur les IX, c’est un sujet que je ne maîtrise pas spécialement, mais selon les politiques de surveillance des agences gouvernementales de certains pays, certains IX font l’objet d’une capture de l’intégralité du trafic. A contrario, en Russie par exemple, où il existe peu d’IX, tout est extrêmement surveillé.

Les bases de l’anonymat

Je n’ai certes pas la prétention de donner un cours exhaustif sur l’anonymat mais ayant conscience de ce qu’il implique, je me permettrai simplement, je l’espère, de briser un mythe qui consiste à vous faire gober que des “solutions” simplistes répondant à peine à 10% des problématiques de l’anonymat sont des solutions pérennes pour la protection de votre identité sur les réseaux. Tout ceci est bien plus complexe qu’on aime à vous le dire.

Un VPN (réseau privé virtuel), propose la création d’un tunnel, généralement chiffré entre votre ordinateur (ou dans certains cas votre routeur) et le fournisseur du service. Dans la majorité des cas, tout ce qui passe entre le fournisseur du service et le contenu que vous ciblez passe en clair sur le réseau. Peu de services proposent un chiffrement “end to end” (de bout en bout) , c’est là la première vulnérabilité des solutions de VPN. Si tout passe en clair entre votre prestataire et le contenu que cible votre visite, généralement sur un serveur distant, au fond à droite des Internets, vous avez intérêt à avoir sacrément confiance en lui. Prenez bien conscience qu’en choisissant un fournisseur de service VPN, vous lui confiez la même chose que ce que vous confiez à votre fournisseur d’accès Internet, la moindre des précautions est donc de connaitre la législation en vigueur dans le pays de ce fournisseur de service.

Au chapitre des erreurs, la plus communément observée est l’amalgame fait entre la protection du contenu (ie chiffrement) et la protection du contexte (ie anonymat), entre chiffrement et processus visant à réduire les risques de captation de données. Si on devait résumer ça simplement on dirait que :

  • Les contenus définissent l’information
  • Le contexte définit l’environnement et les modalités d’accès à l’information.
  • On protège les contenus par le biais du chiffrement.
  • On protège le contexte par une série de méthodes et techniques adaptées, et sûrement pas par un produit, qu’il soit matériel ou logiciel.

Si le contenu ou le contexte est compromis, c’est votre anonymat qui est compromis.

Il convient également de faire la différence entre protection de la vie privée et anonymat :

  • Anonymat : la faculté de ne pas se faire identifier par un tiers ;
  • Protection de la vie privée : la faculté de protéger ses communications de la captation par des tiers non autorisés… Autrement dit, d’empêcher des tiers de savoir ce que vous dites ou ce que vous faites.

Si vous m’avez bien lu, vous devez donc comprendre par exemple qu’un réseau chiffré n’est pas forcément garant de votre anonymat. Et inversement, TOR protège le contexte… mais pas le contenu (mais nous allons y revenir dans un prochain billet de cette même petite série).

Qui écoute quoi et où ?

Vous avez tous entendu une phrase stupide, même sortant de la bouche de personnes connues comme Mark Zuckerberg (le fondateur de Facebook) du type : si on a rien à se reprocher, on a rien à cacher“. Il doit s’agir de personnes qui n’ont jamais par exemple effectué un achat sur Internet ou qui n’ont jamais échangé un mail ou des photos avec leur famille…

En France, la captation de données informatiques, particulièrement quand il s’agit de données à caractère personnel, est très encadrée, elle nécessite l’intervention d’un juge, une enquête judiciaire…

Oui mais voilà, si l’internet s’arrêtait aux frontières françaises, on appellerait ça le Minitel… ou l’Internet par Orange. Vos communications, même nationales empruntent des routes qui ne sont pas toujours sur le territoire national, et donc non soumises aux mêmes contraintes juridiques, un fournisseur de services peut très bien décider de capter ces données pour une raison x ou y… comme par exemple le Patriot Act aux USA. Du coup, si vous en venez à passer par un fournisseur de service VPN aux USA, il ne faudra pas vous étonner si vos communications sont interceptées par les services américains, c’est la loi américaine qui est ainsi. Son pendant européen est la loi sur la rétention des données. Le choix de l’implantation des serveurs du provider dans telle ou telle juridiction est particulièrement important. Fournir des solutions d’anonymat ou du VPN demande une vraie maitrise juridique car c’est un paramètre crucial.

Est-ce que vous confieriez vos données personnelles à ….

Allez, fermez les yeux, et imaginez un instant que je travaille pour Universal Music, comment je procéderai à votre avis si je voulais faire la chasse aux petits resquilleurs ? Bingo, je monterai un service de VPN plus ou moins clairement brandé “contourner hadopi”, je l’appellerai par exemple Hadopi en verlan…. ça fait djeuns, ça fait rebelz, et c’est surtout un super moyen de diriger (et même capturer) tout le trafic des gros téléchargeurs vers chez moi afin de mieux les identifier… et en plus, pour une fois, ils sont assez gogos pour payer.

La suite dans : Anonymat – Acte 2 : Les solutions d’anonymat tiennent-elles réellement leurs promesses ? (to come soon)

Contourner HADOPI pour les nuls (partie 11) : IPODAH et VPN

image-31Comme prévu, HADOPI aura des effets assez pervers sur sur la population des internautes français. Première perversion : le chiffrement à outrance va se démocratiser et se généraliser. Ceci n’a l’air de rien mais peut vite relever du casse tête pour des problèmes plus sérieux que le téléchargement, comme celui de la sécurité intérieure … mais nous y reviendrons plus tard.
Aujourd’hui, ce qui nous intéresse, c’est les VPN, ou réseaux privés virtuels.
Il s’agit généralement de services payants (quelques euros) qui permettent à son bénéficiaire du surfer depuis une adresse IP non localisée sur le territoire national.
C’est parfaitement légal et difficilement contrôlable, en ce sens que les VPN sont largement utilisés depuis des lustres en environnement professionnel… c’est donc pas demain qu’on va les interdire.
Pour que la fête soit plus folle, il est évident que les services de VPN vont proposer un arsenal cryptographique pour pour masquer le contenu du trafic entre l’IP française et celle visible du VPN.
Autre regrettable erreur d’appréciation du législateur, les VPN sont nécessaires et fatalement appelés à se développer, particulièrement à cause de l’insécurité des hotspot wifi publics. Nous verrons dans un prochain billet que les hotspots, de par leur nature, sont sujets aux écoutes et interceptions de trafic (wireshark), et même de passwords (dsniff). Dans ces conditions, les VPN sont une solution idéale pour avoir la paix, même sur ces réseaux… ainsi j’avoue comme de nombreux professionnels, ne pas avoir attendu HADOPI pour utiliser un VPN.
Mais ce qu’il y a de magique avec HADOPI, c’est que tout ceci va se démocratiser : c’est en soit techniquement très simple à mettre en œuvre et les services payants de VPN, fort d’une nouvelle clientèle massive vont pouvoir proposer des tarifs ultra attractifs.
Parmi ces services, il y en a un qui semble assez prometteur, c’est IPODAH. C’est un projet d’origine française, qui propose un VPN sécurisé et anonyme, ses concepteurs pensent en ce moment même établir leur domiciliation numérique aux Pays-Bas. Ce service sera payant pour assurer une bonne qualité de service, c’est tout a fait normal.
Vous pouvez cependant déjà tester ce service (l’infrastructure est pour le moment en France), elle se délocalisera le moment venu si le Conseil Constitutionnel ou l’Europe n’arrêtent pas les velléités Big Brotheriennes de notre bien aimé président… ah ben oui le filtrage de paquets là vu comme ça pour la sécurité intérieure, ça va beaucoup moins bien marcher maintenant … ou comment l’HADOPI va favoriser le crypto terrorisme à l’insu de son plein gré…