Vous êtes sur la page 1sur 27

Les dossiers pratiques de www.anonymat.

org

Comment tre Anonyme sur le Web ?

2 Edition du 01 septembre 2000

Copyright 2000 Anonymat.org - tous droits rservs.


Les marques et produits cits dans ce dossier sont dposs par leurs propritaires respectifs.

Table des matires

Intoduction I
Les techniques didentifications..II
Les Parades.III
La navigation sur le Web..A
Configurer au mieux son navigateur.1
Grer ses cookies..2
Les Web bugs
Les Proxies..3
Surfez sans laisser de traces
Les proxies anonymes publics
Les Tunnels.4
Les Firewalls..5
La Messagerie lectronique...B
Les Remailers.1
Les serveurs de pseudonymes.2
Les Certificats de scurit.....3
La Cryptographie...4
La cryptographie avec PGP
Lalgorithme RSA
La Stganographie
Les messageries anonymes..5
Les rseaux despionnage dEtat Echelon..6
Les groupes de discussions..C

Les Messageries instantanes..D


Les messageries communautaires
Les services danonymat Mixtes.E
Conclusion..F

I.- Introduction
Pourquoi vouloir absolument chercher rester anonyme ? non pas (et surtout pas) pour
assouvir quelques perversions malsaines ou se rendre coupable dactes moralement
condamnables, mais simplement pour permettre au Netoyen (citoyen du Net)
responsable que nous sommes, de pouvoir jouir de son droit lgitime et lgal (au vue de
la loi Europenne) lanonymat parce que cest par l que passe le respect de la vie
prive et des liberts individuelles.
Lanonymat est un droit inalinable et non un gadget ou un privilge futile. Revendiquons
nos droits pour que lInternet reste et demeure une zone de libert.
Ce dossier, remis jour rgulirement, est une compilation de connaissances sur les
techniques danonymat. Vous pouvez lenrichir de vos expriences et connaissances et y
apporter dventuelles corrections ou prcisions.

Les bases juridiques de lanonymat


Convention Europenne de sauvegarde des Droits de lHomme
et des Liberts fondamentales.

Article 8
1. Toute personne a droit au respect de sa vie prive et familiale, de son domicile et
de sa correspondance.
2. Il ne peut y avoir ingrence d'une autorit publique dans l'exercice de ce droit que
pour autant que cette ingrence est prvue par la loi et qu'elle constitue une mesure
qui, dans une socit dmocratique, est ncessaire la scurit nationale, la
sret publique, au bien-tre conomique du pays, la dfense de l'ordre et la
prvention des infractions pnales, la protection de la sant ou de la morale, ou
la protection des droits et liberts d'autrui.
Article 10
1. Toute personne a droit la libert d'expression. Ce droit comprend la libert
d'opinion et la libert de recevoir ou de communiquer des informations ou des ides
sans qu'il puisse y avoir ingrence d'autorits publiques et sans considration de
frontire. Le prsent article n'empche pas les tats de soumettre les entreprises de
radiodiffusion, de cinma ou de tlvision un rgime d'autorisations.

II.- Les techniques didentifications.


Lorsque vous surfez sur le Web, rien ne garantit que votre anonymat soit prserv bien
au contraire !
Quels sont les acteurs de ces traques et quels en sont les enjeux ? nombreux sont les
acteurs indlicats qui ont intrt vous identifier :

Les rgies publicitaires en ligne (dont la tristement clbre et trs rpandu


DoubleClick, Naviant, etc.) tentent de rpertorier vos gots et vos habitudes
dachats dans une immense base de donne nominative mondiale, des fins
Marketing.

Les diteurs despiogiciels (ou SpyWare) qui envoient des informations


personnelles votre insu, via des mouchards prsents dans de nombreux petits
utilitaires (ou parfois mme dans de grandes applications) dont certains trs
connus, des fins statistiques ou Marketing.

Les services de renseignement des grands pays industrialiss qui coutent les
tlcommunications du monde entier des fins de scurit ou despionnage
industriel.

Il existe de nombreuses techniques didentification des internautes, dont nous


apprendrons nous protger :

Les cookies, certainement la mthode plus rpandue. Ces petits fichiers de texte
contiennent un numro didentification, non-nominatif, et des statistiques propre
vos visites sur le site concern (pages consultes, nombre de visites, actions
effectues, etc.). Ils peuvent rester des mois sur votre disque dur. Certains sont
utiles (Caddies virtuels qui mmorisent vos achats sur un site marchand), dautres
servent vous pister ! Nous verront des outils de filtrage qui savent faire la
diffrence

Ladresse IP de linternaute. Au dbut de chaque connexion, chaque utilisateur se


voit attribuer dynamiquement un numro sur 32 bits (srie de 4 chiffres de 1
255) qui identifie votre ordinateur sur lInternet. Ce numro permet de rcuprer
le contenu d'une page Web, suite la requte de l'utilisateur : c'est grce lui
que le serveur Web expdie la bonne page Web la bonne personne. Vous pister
grace votre adresse IP est un jeu denfant, toutefois cette technique est moins
fiable : dans certains cas, ladresse IP de linternaute est amene changer
rgulirement (cas dune connexion RTC par Modem) ou tre substitue (cas de
machines se trouvant derrire un firewall et prsentant la mme adresse IP).

Les Web bugs , ces cookies intelligents sont prsents sous forme dune image
invisible et indtectable constitue dun unique pixel prsent, soit dans un E-mail
au format HTML (appel Taupe , gnralement une publicit non sollicite), qui
vous est envoy anodinement, soit sur certains sites Web (notamment ceux
prsentant des publicits DoubleClick) voire dans des groupes de discussions. Si
vous utilisez un client de messagerie capable de visualiser les messages en HTML
(comme OutLook) cette image provoque la connexion automatique un
serveur distant qui est capable de converser avec tous les cookies de la mme
socit prsents sur votre disque (et den crer de nouveaux !) et peut rcuprer

en mme temps votre adresse E-mail et votre adresse IP !


Cette technique est dcrite en dtail (et en Anglais) sur le site Web de Richard
Smith expert en scurit informatique et dcouvreur de nombreux mouchards
dont celui de Windows 98.
-

Lespionnage, la vole, de donnes informatiques tels que les E-mails. Nous


essayerons de vous donner quelques conseils pour tromper la vigilance du rseau
Echelon par exemple dont la technique de base repose sur la dtection de motsclefs sensibles dans vos messages.
Pour plus dinformations voir notre dossier sur le rseau Echelon.

De mme, chaque site que vous visitez peut connatre l'adresse IP de votre ordinateur, le
site d'o vous venez, le type de connexion, votre systme d'exploitation et le navigateur
utilis et bien dautres choses encore. Tout cela grce aux variables d'environnement
mises par votre navigateur prfr. Pour sen faire une ide, vous pouvez aller voir le
site Web de la Cnil ou le site amricain BrowsInfo encore plus complet. Ces informations
servent adapter les pages Web aux diffrentes plateformes du client mais peuvent tre
utilises dautres fins notamment didentification.

Chaque information personnelle prsente sur votre machine est autant didentifiant qui
reprsente un danger pour votre vie prive :
-

La base de registration de Windows fourmille de nombreuses informations


pouvant vous identifier (nom, adresse e-mail, numro de srie de Windows) et
pouvant tre lu par un VbScript ou un ActiveX inclut dans une page Web.

Ladresse MAC unique de votre carte rseau peut vous trahir ! dautant quelle est
insre automatiquement dans les documents MS-Office 97 (un patch existe).

Le Processor Serial Number, ce numro de srie intgr au Pentium III, peut


vous identifier, si vous ne lavez dsactiv dans le BIOS de votre ordinateur ou
laide dun utilitaire que vous trouverez dans notre rubrique Patchs .

Le but de cette traque sur Internet ? La plupart du temps le Marketing. Les fichiers ainsi
crs peuvent-tre lous ou vendus aux entreprises des fins de marketing direct. La
valeur d'un e-mail ? Entre 0,60 et 1,50 F. Plus linfo est cible et plus le fichier vaut cher,
do cette course effrne linformation chez les Cyberannonceurs.
Mme votre fournisseur daccs vous espionne : Quand un abonn de notre service
tape une adresse (ndlr : dun site Web) dans son navigateur un logiciel compare cette
adresse avec celle d'un annuaire de type Yahoo, de cette manire, nous savons quel
thme appartient cette adresse cela nous permet d'tablir des profils - Herv Simonin
Directeur gnral de Freesbee, fournisseur d'accs gratuit.

III.- Les Parades.


A.- La navigation sur le Web
1.- Configurer au mieux son navigateur.
La configuration par dfaut de votre navigateur Internet nassure pas un niveau de
scurit optimal.
Configuration par dfaut :
-

Les cookies sont accepts


Le Scripting est activ (JavaScript et VBScript)
Les applets Java et les ActiveX sont excuts.

Nhsitez pas jouer sur les options de la bote de dialogue des Paramtres de scurit
afin de dsactiver ou demander confirmation pour le Scripting, les applets Java ou les
ActiveX.
Outlook Express vous permet galement dinsrer ladresse de sites sensibles (par
exemple ayant des publicits DoubleClick ou celle de sites Underground ) dans une
section plus restrictive au niveau de scurit trs lev, nhsitez pas utiliser cette
possibilit en allant dans le menu Outils, sous-menu Options Internet Onglet Scurit,
cliquer sur licne sites sensibles puis sur le bouton Sites et saisir lURL du site.
Puis indiquons Outlook Express de ne pas lancer de code JavaScript attach un Email :
Dans Outlook Express, cliquez sur Outils, Options, Scurit et Zone sites sensibles puis
sur OK. Dans le Panneau de configuration cliquez sur l'icne Options Internet, puis sur
Scurit, Sites sensibles, Personnaliser le niveau. Dans la bote de dialogue qui s'affiche,
dsactivez l'option "Active Scripting" puis validez les modifications.

2.- Grer ses cookies.


Le cookies ont t crs pour viter de stocker des masses dinformations normes sur
les serveurs des sites Web, ces informations sont donc dportes sur les machines
clientes pour plus de souplesse dans leur gestion.
Les cookies sont placs en mmoire vive et ne sont inscrits sur le disque dur que lorsque
lon quitte son navigateur Internet.
Sous la pression des associations amricaines et europennes de dfense de la vie
prive, les fabricants de logiciels ont t contraints d'intgrer des fonctions de
dsactivation des cookies au sein de leurs navigateurs.
Cependant, je vous dconseille fortement de dsactiver les cookies car de nombreux
sites vous resteront inaccessibles. Nous utiliserons plutt un gestionnaire de cookies que
vous trouverez dans la section outils du site. Ceux-ci analysent les cookies entrant,
en tche de fond et en temps rel, et les acceptent ou les rejettent en fonction de leurs
utilisation.
En labsence de Gestionnaire de cookies, supprimez systmatiquement vos cookies
chaque fin de cession. Pour ce faire :
Sous Netscape recherchez le fichier 'cookies.txt' (C:\Program
Files\Netscape\...\cookies.txt) et ditez le en double-cliquant dessus. Effacez toutes les
entres sous la ligne 'file! Do not edit.'.
Sous Internet Explorer supprimez manuellement tous les fichiers (sauf index.dat)
prsents dans le dossier "C:\Windows\Cookies" ou rajoutez cette ligne la fin de votre
fichier "autoexec.bat" :
ECHO O | DEL C:\WINDOWS\COOKIES\*.*
A chaque dmarrage, tous les fichiers prsents dans le dossier Cookies du rpertoire
Windows seront automatiquement effacs !

Les Web bugs


Comment se prmunir de ces cookies intelligents constitus dune image gif de 1 pixel
que nous avons dcrit dans le chapitre II. car ils sont indtectables par les filtres anticookies ?
Les navigateurs de dernire gnration permettent une gestion plus fine des cookies :
Microsoft nous en donne la possibilit avec Internet Explorer 5.5, au grand Dam des
cyberannonceurs. Ce dernier exprimente une fonction qui permet linternaute de
rejeter les cookies ne provenant pas du site Web quil est en train de visiter.
Dans Netscape 6, une option intitule Accepter uniquement les cookies renvoys au
serveur dorigine , autorise la lecture dun cookie que par le serveur qui la mis. Evitant
la lecture de cookies de la mme socit mais qui auraient t mis par diffrents
serveurs de diffrents sites (cas DoubleClick).

3.- Les Proxies.


Certains sites Web servent de serveurs relais : Ils vous proposent de se connecter sur
un serveur (Web ou parfois FTP) votre place puis vous retransmettent les donnes.
Pour le serveur distant le serveur proxy est le client, vous tes inexistant donc anonyme.
Faisant les requtes en leur nom, ils interceptent cookies, applets Java et
JavaScripts/VBScripts ainsi que les ActiveX et les bandeaux publicitaires, vous vitant
ainsi dtre identifi et donc Spamm , puis ils vous renvoient les pages
anonymises en lger diffr peine perceptible.
Toutefois, il arrive que certains services augmentent la temporisation de la redirection
des pages vers votre navigateur, en contrepartie de la gratuit, pour vous inciter vous
abonner.
Le service Web identifie ladresse IP et les diffrentes informations (comme ladresse email ou lhistorique des navigations) du serveur proxy et non les votres !
La confidentialit est galement assure du ct de votre FAI qui ignore tout de votre
parcours sur le Web, chaque requte ayant lieu sur le proxy, qui se charge de vous
connecter sur le site dsir.
Sachez toutefois sachez quen cas denqute judicaire (trs) srieuse votre vritable
adresse IP sera retrouve.
Vrifiez que le proxy que vous utilisez soit bien anonyme, afin quil ne transmette pas
votre adresse IP au serveur sur lequel vous voulez vous connecter !
A cette fin je vous conseille de vous connecter, via le proxy de votre choix, sur lun des
sites de test que vous trouverez dans notre annuaire des sites danonymat , qui vous
renverra votre adresse IP, qui doit tre diffrente de celle que votre FAI vous a attribu
en dbut de connexion et que vous pouvez obtenir grace lutilitaire de Configuration
IP (winipcfg.exe) de Windows 95/98 ou en tapant ipconfig sous la fentre de
commande de Windows 2000.
Bien sur, le serveur proxy enregistrera votre passage dans ses logs mais pour tous les
services visits vous serez anonymes excepter les accs FTP, les messageries en direct
(ICQ, AOL messenger), ou encore les sites Webmail comme MS-Hotmail.
Enfin, sachez que certains services tiennent jour une liste noire dadresses IP de
proxies. Dans ce cas le site refusera la connexion. Il vous suffira dutiliser les services
dun autre proxy.
Il existe diffrentes faons dexploiter les serveurs proxy :

Les sites Web danonymat, comme Anonymizer.com ou SpaceProxy utilisent des


serveurs proxy pour masquer votre navigation. Dans ce cas on saisie directement
ladresse du site o lon souhaite naviguer incognito dans un champs prvu cet
effet sur le site Web du service. Dans la rubrique Annuaire des sites
danonymat vous trouverez un grand choix de tels sites souvent gratuits.

Une ligne de commande placer dans votre navigateur dans la section


Paramtres du rseau local dInternet Explorer par exemple. La plupart des
sites Web proposent cette possibilit dintgrer, dans votre navigateur, une ligne
de commande vers le proxy. Avantage : pas besoin daller sur le site Web du

service, tapez votre adresse normalement dans votre navigateur et le tour est
jou ! ex : http://proxy.spaceproxy.com:8080 ou www.anonymizer.com:8080
(8080 est le numro du port gnralement utilis par les proxies).

Les applications qui fonctionnent en tche de fond comme Anonymity 4Proxy


(A4P) qui offre une liste de serveurs proxy avec une gestion centralise vitant
ainsi davoir besoin de (re)paramtrer son navigateur et qui permet galement de
substituer votre adressse IP contre une adresse IP anonyme.

Certaines formules mixtes conjuguent logiciel tournant en tche de fond + proxy


Web comme Freedom ou PrivadaProxy. (voir la rubrique annuaire des sites
danonymat ). Leur niveau de scurit est gnralement des plus lev mais ces
solutions sont gnralement payantes.

Vous trouverez une liste jour de proxies sur : http://proxy.nikto.net/all_list.htm


Dans tous ces cas de figure le principe de fonctionnement des proxies est identique ce
que nous avons dcrit.

Surfez sans laisser de traces

De plus en plus de fournisseurs daccs Internet (FAI), utilisent des Proxies, sorte de gros
disque dur qui font offices de mmoire cache pour stocker les pages des sites les plus
sollicits, en vue d'acclrer les requtes ces sites par les utilisateurs.
Si pour une raison ou pour une autre, vous ne dsiriez pas que les pages ou les images
dun site soient stockes (mme provisoirement) sur le proxy de votre FAI, vous avez la
possibilit de configurer une connexion directe Internet :
Sous Netscape : Prfrences, Avances, Proxy, connexion directe internet, sans
passer par le proxy donc sans laisser de traces.
Sachez cependant que vous perdrez l'avantage de la clrit de la connexion aux sites
Web les plus populaires qui sont gnralement prsents dans leur globalit dans les
proxies des FAI mais que vous gagnerez du temps pour les autres sites car chaque
requte une recherche est effectue dans le proxy afin de dterminer si la page dsire y
est prsente ou non.

Les Proxies anonymes publics

Ces proxies anonymes et gratuits, sans login ni mot de passe, sutilisent le plus souvent
en ligne de commande intgrer dans votre navigateur.
Souvent issues dentreprises ou dadministrations, ils sont thoriquement censs tre
ferms au public ce qui explique que quelques proxies ne fonctionnent qu certains
moments de la journe, ou certaines priodes.
Vous trouverez une liste de proxies anonymes rgulirement mis jour sur :
http://proxy.nikto.net/anon_list.htm
et galement sur les sites undergrounds suivants :
http://www.novelsoft.com/dark/proxy/
http://tools.rosinstrument.com/proxy/proxiesn.htm
Toutefois vous pouvez vous inscrire la liste proxies de e-groups afin de recevoir une
liste de proxies tests, accompagne de liens vous permettant de les vrifier.
Pour vous abonner envoyez simplement un e-mail :
mailto:proxies-subscribe@egroups.com

Si vous avez envie de surfer anonymement sur le net, voici un exemple pratique qui met
en uvre ces proxies anonymes :

1.- Allez dans Internet Explorer 4 ou 5. Allez dans "Outils", sous-menu "Options
Internet", onglet "Connexion". Cliquez sur le bouton "Paramtres LAN" ("Utiliser un
serveur proxy" sous IE4)
Placez-vous dans les paramtres "avancs" et entrez l'URL d'un serveur proxy anonyme
(voir ci-dessous) dans le champ HTTP en y ajoutant le numro du port associ
(gnralement 8080).
Cliquez sur la case "Utiliser le mme serveur proxy pour tous les protocoles" (les
serveurs anonyme ci-dessous fonctionnent avec les protocoles HTTP, FTP et Gopher)
Dans Netscape : allez dans les menus Editer, Preferences, Avanes, Proxies, puis
Configuration manuelle du proxy et cliquez sur Voir, remplissez la zone HTTP et
Port .
2.- Inscrivez-vous un fournisseur d'accs gratuit (FAI) du genre "fnac.net" (en ralit
Mageos.com dont le CD-Rom est disponible gratuitement). Pourquoi Fnac.net ? parce que
l'inscription s'effectue en ligne et votre identit n'est pas vrifie (pas de numro de
Carte de paiement saisir, pas de confirmation par courrier). Pensez donner un nom
de compte bidon (surtout pas votre nom !) et pensez faire prcder votre numro
d'accs par le "36 51" afin de camoufler l'affichage ventuel votre numro de tlphone
(des fois que votre FAI lorgne dessus !). De cette faon, seuls les Pompiers, la Police et
l'Elyse peuvent voir votre numro directement...
Pour les paranos, vous pouvez crer votre compte partir d'un Cyber-caf.

Il ne vous reste plus qu' insrer le numro de tlphone du FAI gratuit prcd du "36
51" dans la partie "Accs rseau distance" du Poste de travail.
3.- Vrifiez que vous tes anonyme : Allez sur le site de la CNIL, et regardez si l'adresse
IP qui s'affiche est celle attribue par votre FAI. Pour ce faire, regardez dans l'utilitaire
Winipcfg.exe dans le rpertoire "Windows" de 95/98 ou tapez ipconfig.exe dans la fentre
"d'invit de commandes" sous Windows 2000, puis comparez l'adresse qui s'affiche
sur le site de la Cnil. Si c'est la mme, recommencez la procdure !, vous avez oubli
quelque chose... En revanche, si l'IP correspond celui de votre proxy alors vous tes
l'homme invisible !
Explications.- Il existe sur le net des proxies anonymes (sans login ni password) et
gratuits o les internautes on la possibilit de s'y connecter dans certaines circonstances.
Le proxy, comme nous lavons vu, via notre requte se charge de rcuprer la page
souhaite avec son IP qui elle est statique. Donc la votre est invisible.
L'idal est de chaner plusieurs proxies, de prfrences localiss dans des pays diffrents
du votre. Les chances de remonter jusqu' vous sont quasi-nulles. Sachez toutefois que
votre FAI peut trs bien regarder ce qui transite sur votre compte, quel que soit le
nombre de proxies utiliss. Mais vous tes couvert dans la mesure o votre compte est
bidon et vous cachez votre numro de tlphone (vous me suivez ?).
Par-contre si une instruction judiciaire est ouverte votre encontre, alors votre FAI peut
"unshadower" votre numro de tlphone l'aide de France Tlcom pour remonter
jusqu' vous.
De plus, les proxies peuvent vous identifier car ils loguent (gnrent un fichier
d'information) vos connexions, d'o la ncessit de les chaner.

Quelques bons proxies anonymes

URL

Port

Date de test

alpha.cosapidata.com.pe

80

19.08.2000

cache1.cc.interlog.com

3128

19.08.2000

proxy.cybergate.co.zw

8080

19.08.2000

proxy.qatar.net.qa

8080

19.08.2000

sunsite.icm.edu.pl

8080

19.08.2000

zm4.zptc.co.zw

8080

19.08.2000

4.- Les Tunnels

Nous avons vu que malgr lutilisation de proxies, lanonymat est toute relative car votre
fournisseur daccs Internet (FAI), bien que ne connaissant pas le dtail de vos
navigations, peut parfaitement intercepter et analyser les donnes transitant entre votre
ordinateur et votre proxy. De plus de tierces personnes peuvent galement surveiller vos
donnes en transit sur le rseau.
Un tunnel est une liaison crypte entre votre ordinateur et le service que vous utilisez
comme proxy.
Les donnes que vous enverrez un service Proxy devront tre cryptes par vos soins,
ce dernier les dcryptera et les enverra leur destinataire. A contrario, les donnes qui
vous seront envoyes en retour, seront cryptes en temps rel par le proxy qui vous les
enverra. Ces donnes seront donc illisibles par votre FAI et par toute personne
interceptrice.
Les donnes peuvent concerner des E-mails, des articles de forums de discussion, des
adresses Web ou FTP, etc.
Les proxies qui acceptent de crypter/dcrypter vos donnes sont gnralement payants
comme le tunnel de anonymizer.com nomm Pipeline anonymizer ou encore,
celui de IDSecure.
Il est ncessaire de se procurer un logiciel, comme le partagiciel Secure CRT, qui
cryptera/dcryptera vos donnes, ce dernier doit tre le mme que celui utilis par le
proxy. Il vous faudra le paramtrer (nom ou adresse IP du Proxy) et lui indiquer quelles
donnes devront tre traites : E-mails, HTTP, FTP ou newsgroups. Les cls personnelles
de cryptage/dcryptage vous seront envoyes lors de votre premire connexion au
Proxy.
Enfin, votre client Web, de messagerie ou de groupe de discussion devra tre configur
afin quil reconnaisse votre tunnel et y envoie vos requtes que ce soit pour le Web,
vos e-mails ou les Newsgroups.
Comme tout Proxy, vous bnfierez galement du camouflage de votre adresse IP.

5.- Les Firewalls

Les pare-feu sont des outils consacrs votre dfense. Cest une protection logicielle (ou
matrielle) qui pour mission de protger les changes de donnes entre votre machine
et le rseau Internet. Son rle est danalyser les paquets IP qui circulent entre le rseau
et votre ordinateur afin de filtrer le flux de donnes entrantes et sortantes.
Un micro connect lInternet est vulnrable aux attaques de pirates : visites, vol,
destruction de fichiers, introduction de virus ou de code dommageable pour vos
donnes, car il prsente de nombreuses portes ouvertes, appels ports, que les hackers
savent exploiter pour pntrer votre intimit informatique.
Sachez que votre machine communique avec lInternet au travers de 65536 Ports de
communication et que les ports non utiliss restent ouverts, qui sont autant de portes
dentres ! Chaque service Internet (ou protocole) son numro de port, par exemple
HTTP utilise le port 80, FTP le port 21, Telnet le port 23, le courrier expdi (SMTP)
utilise le port 25 et celui reu (POP3) le port 110, etc.
Microsoft a choisi douvrir des ports permettant lchange de fichiers au sein dun rseau
dans Windows 95/98/NT. Ces ports (par dfaut les 137, 138, 139) sont de vritables
trous bants pour les hackers qui ne cessent de les exploiter. Steve Gibson dcrit une
mthode sur son site, permettant de sassurer que votre port 139 (et accessoirement les
137 et 138) ne restent pas ouverts la merci dune ventuelle intrusion.
Le firewall ferme les ports non utiliss et tient lil les applets Java et contrles
ActiveX. Quand un pare-feu dtecte une connexion suspecte il affiche une fentre dalerte
avec quelques informations dont ladresse IP de lintrus, quelques firewalls identifient
mme le fournisseur daccs Internet ! (Cest le cas de NetCommando). Lockdown 2000,
lui, est capable de dtecter un scan de votre adresse IP et de vous renvoyer ladresse
IP de lauteur de la recherche ! (une version de larroseur arros).
Notez au passage quil est possible didentifier la machine dun intrus partir de son
numro IP, grce la base dinterrogation WHOIS (http://www.ripe.net/cgi-bin/whois).
Je vous recommande vivement de mettre en place un firewall simple configurer
(beaucoup sont complexes), comme lexcellent ZoneAlarm qui la particularit dtre
gratuit et accessible aux novices !
Vous trouverez toutes les infos en franais sur tous les firewalls sur le site Firewall.net.
En dehors des intrusions, il assurera galement la surveillance des informations mises
par les espiogiciels (ou spyware), ces petits utilitaires (ou grandes applications) qui se
connectent lInternet afin denvoyer des informations personnelles votre insu.
Aprs avoir bloqu la connection, ZoneAlarm vous permettra daccepter ou de refuser
(dfinitivement ou ponctuellement) tout accs Internet et ce , pour chaque application !
Le site de Steve Gibson permet de tester en ligne la scurit de sa connection Internet
ainsi que tous vos ports ouverts en allant dans la section ShieldsUP! et en slectionnant
au choix le menu Test my Shield (tester mon bouclier) ou Probe my Ports
(scanner mes Ports). Un compte rendu trs explicite est gnr avec des
recommandations (malheureusement en Anglais).
Je vous conseille de faire le test avant linstallation dun fireWall et aprs. En ce qui me
concerne, les ports pralablement ouverts dont le 139 taient tous ferms et la scurit
parfaitement assure aprs linstallation par dfaut de ZoneAlarm.

Enfin, petite prcision qui a son importance sur la configuration rseau de votre machine.
Allez dans les proprits rseau et supprimez tous les protocoles autres que TCP/IP si
votre machine nest pas en rseau.
Tout le reste doit tre supprim car ils aggravent la vulnrabilit de votre PC en matire
d'intrusion. S'agissant d'IPX/SPX, il est vrai que ceux d'entre vous qui jouent des jeux
ncessitant ce protocole, il vous faudra le conserver.

B.- La Messagerie Electronique.


1.- Les Remailers.
Vous pouvez souhaiter envoyer un courrier de faon anonyme cest dire sans divulguer
votre identit au destinataire. Bien sur vous pouvez modifier votre adresse e-mail dans
votre navigateur mais len-tte de votre courrier comporte de nombreuses informations
dans son en-tte, dont votre adresse IP.
Comme nous lavons vu ci-dessus, partir de votre adresse IP les bases dinterrogation
spcialises peuvent divulguer votre identit ou celle de votre fournisseur daccs (qui
enregistre vos connexions dans ses fichiers log).
De plus, votre fournisseur daccs Internet (FAI) peut lire votre courrier, il convient donc,
pour une plus grande confidentialit, en plus de cacher votre adresse IP, de crypter vos
messages entrants et sortants.
Cest le rle dvolu aux remailers ou r-achemineurs, qui cryptent votre courrier sortant
tout en dissimulant les informations pouvant vous identifier, dont votre adresse IP.
Un r-achemineur, digne de ce nom, ne connat pas votre adresse e-mail relle.
La procdure a suivre est dindiquer au remailer ladressse de votre correspondant qui
peut tre un autre remailer ! vous pouvez chaner autant de remailers que vous le
souhaitez, et je vous le recommande vivement pour deux raisons :
-

Le dernier remailer de la chane ne saura pas dou vient le message.

En cas de contrle par les services de police, il suffit que lun deux ne soit pas
contrl pour que votre message soit confidentiel.

Sachez toutefois que le risque de perte de votre message est proportionnel au nombre de
remailers et que plus il y a dintermdiaire plus votre message sera long arriver
son destinataire. De plus si un des remailers nest plus en activit votre message est
perdu, do la ncessit dun suivi accru.
Il existe une cinquantaine de remailers de par le monde scinds en deux familles : les
Cypherpunks et les Mixmaster.
Ces derniers dcoupent vos messages en morceaux de 29Ko, rendant la surveillance des
messages plus difficile et le niveau de scurit sen trouve accru par rapport aux
premiers.
Le plus connu est certainement Anonymizer, citons aussi AnonMailNet et MailAnon.
Certains remailers nacceptent que les messages crypts laide de PGP (Pretty Good
Privacy) et rejettent tout autre message. Dans ce cas vous pouvez utiliser Private Idaho

ou Jack B. Nymble (JBN) qui automatise le travail dencryption et tient une liste de
remailers jour (trs important) de plus, la procdure de composition des messages,
trs strict, est automatise.
Vous trouverez une liste de remailers jour ladresse :
http://www.cs.berkeley.edu/~raph/remailer-list.html
Ou sur le site du Centre dInformation pour lAnonymat Electronique (Epic) qui maintient
jour une liste de r-achemineurs fiables.
La rception anonyme de courriers lectroniques est finalement plus problmatique car
les remailers ne le permettent pas et les messageries gratuites, malgr le fait de pouvoir
entrer de fausses informations nominatives, offrent trs peu de possibilit danonymat du
fat quelles mmorisent souvent votre adresse IP ou quelles vous obligent accepter un
cookie. Les proxies peuvent tre une solution partielle mais les Nymservers vous
garantissent lanonymat absolu

2.- Les Serveurs de pseudonymes.


Un nymserver est un serveur de mail auprs duquel vous ouvrez un compte, comme tout
serveur de mail, la diffrence duquel le courrier envoy indiquera comme expditeur le
suffixe <votre_email@ServerNym> en lieu et place du nom de votre fournisseur
daccs.
De plus le courrier reu sera automatiquement rexpdi vers une compte e-mail ou un
forum de discussion public sous forme crypt (vous seul saurez le dcrypter) , sans que
le nymserver puisse savoir qui le recevra en bout de chaine.
Lavantage du forum de discussion pour recevoir votre courrier cest que vous ntes pas
oblig davoir un compte chez un prestataire auprs duquel il faudrait vous identifier.
Allez voir sur alt.privacy.anon-messages , afin de voir quoi ressemble un message
mis par un nymserver.
Au moment de la cration de votre compte, envoyez un e-mail vide au nymserver de
votre choix (list@nymserver), vous recevrez en retour une liste des noms dj utiliss
sur ce nymserveur.
Utilisez le logiciel JBN (voir la section sur les remailers) pour crer, paramtrer et
maintenir votre compte. Il vous faudra pralablement bien comprendre le principe des
remailers et plus particulirement des chaines de remailers avant de vous attaquer aux
nymservers car ils sont utiliss pour dfinir le chemin que devront prendre les messages
pour vous parvenir (Reply Blocks).
Il existe actuellement 3 nymservers :
-

nym.alias.net
redneck.gacracker.org
anon.xg.nu

Recevoir un message sur un compte nym peut prendre plusieurs heures contrairement
un e-mail classique mais cest la contrepartie de la garantie dun anonymat absolu pour
un compte nym bien configur.

3.- Les Certificats de scurit.

Les identifications numriques (galement appeles certificats) ont deux rles :


1- S'assurer de l'identit de l'expditeur d'un message ou d'une transaction lectronique
(pour le cas d'un site Web) de la mme manire que vous prsentez votre carte
d'identit une administration. Elle assure l'authenticit des documents envoys et qu'ils
ne sont en aucune manire intercepts ou lus par des personnes autres que leur
destinataire d'origine.
2- Cette identification numrique peut aussi vous servir crypter des messages (et leurs
pices jointes) pour les rendre inviolables. Pour ce faire, ils intgrent la norme S/MIME
pour le courrier lectronique scuris.
Le format de normalisation est le X509. Il sagit du format le plus utilis dans les
navigateurs Web pour scuriser le transfert des pages Web. Les certificats X509 sont
analogues une signature PGP. Ainsi vous pouvez mme les demander pour votre cl
PGP existante (voir la section sur la cryptographie).
Un identificateur numrique inclus une "cl publique", une "cl prive" et une signature
numrique. La combinaison signature numrique + "cl publique" est appele "certificat".

Les destinataires de vos messages peuvent :


- Utiliser votre signature numrique pour vrifier votre identit.
- Utiliser votre "cl publique" pour vous envoyez des messages crypts.

De votre ct (en tant que destinataire) :


- Utilisez votre "cl prive" pour dcrypter vos messages crypts et les lire en clair.
- Utilisez la "cl publique" de vos destinataires pour leur envoyer des messages
crypts. (attention, dans ce cas il est indispensable votre carnet d'adresses contienne les
identifications numriques de vos destinataires).

Avant de pouvoir envoyer un message sign numriquement, vous devez vous procurer
une identification numrique (voir ci-dessous). Si vous envoyez des messages crypts,
l'identification numrique de tous les destinataires de ce message doivent tre
enregistres dans votre carnet d'adresses.
Les identifications numriques sont dlivres par des autorits de certifications
indpendantes (Verisign, GlobalSign, American Express, etc.) qui contrlent votre
identit avant d'mettre l'identification. Leur cot est denviron 60 FF le certificat
(variable selon lautorit), mais le site Web Thawte dans le cadre de son offre Freemail,
propose gratuitement des certificats au format S/MIME, PGP et SSL.

Pour Outlook et Outlook Express, en dehors de PGP, il existe une autre possibilit interne
au programme. Si un de vos correspondant vous a dj envoy un message crypt, vous
disposez de sa signature numrique et vous pouvez donc, vous aussi, lui envoyer un
message protg en cliquant sur l'icne "Crypter" de la fentre de message.
Sinon, vous pouvez vous procurer un certificat numrique en suivant la dmarche cidessous :
Slectionnez "Outils", "Options", puis cliquez sur l'onglet "Scurit". Choisissez la case
"Obtenir une identification numrique".
Netscape Messenger propose uniquement un module S/MIME dsactiv par dfaut. Le
cryptage se fait alors en mode SSL. Il vous faut obtenir un certificat numrique :
Slectionnez le menu "Communicator", sous-menu "Outils", "Informations sur la
scurit". Cliquez sur le lien "Vos certificats" dans la colonne de gauche de la bote de
dialogue qui s'affiche. Cliquez ensuite sur le bouton "Retirer un certificat".
Lorsque vous crivez un message, cliquez sur l'onglet "Options" de votre fentre de
message puis slectionnez la case "Chiffr".
Pour coder un message avec AOL, utilisez le plug-in PowerMail developp par BPS
Software. Il cote environ une centaine de francs avec une version gratuite pour vos
correspondants, afin qu'ils puissent dchiffrer vos messages.

4.- La Cryptographie.
La cryptographie avec PGP

La mthode permettant de dissimuler du texte en clair en masquant son contenu est


appel le cryptage. La cryptographie est la science qui utilise les mathmatiques pour le
cryptage et le dcryptage des donnes.
Elle vous permet ainsi de stocker des informations confidentielles ou de les transmettre
sur des rseaux non scuriss tel que lInternet, afin quaucune personne autre que le
destinataire ne puisse les lire.
Le chiffrement fait appel deux techniques, le cryptage symtrique (une seule cl pour
chiffrer et dchiffrer) et le cryptage asymtrique qui utilise une cl publique non protge
qui chiffre mais ne dchiffre pas et une cl prive (jamais transmise et protge) pour
dchiffrer. PGP (Pretty Good Privacy traduisez par relativement bonne protection !),
cr par lamricain Phil Zimmerman (devenu un mythe), combine les deux mthodes.
Nous allons tudier le principe de fonctionnement de PGP Freeware et son installation,
fort simple rassurez vous. Pourquoi PGP ? sachez que cest la rfrence absolue en terme
de chiffrement fort comme en terme de confidentialit et dauthentification.
PGP est la solution de cryptographie la plus invulnrable capable dempcher les
gouvernements les plus puissants de lire vos fichiers. A ce jour, mme la NSA, lagence
de renseignement amricaine, malgr ses supercalculateurs et ses cryptanalystes, na
pas russi casser les cls de PGP !
De plus, ce produit est disponible sur toutes les plateformes matrielles et tous les
systmes dexploitations (Windows, Mac, Linux, Unix, OS/2, BeOS), mme alternatifs ou
ludiques (Atari, Amiga, etc). Cest un produit rellement universel.
Il existe plusieurs utilitaires utilisant la technologie PGP :

Le freeware comporte deux modules PGPKeys pour la gestion des cls et


PGPtools pour le chiffrement, le dchiffrement, la signature et leffacement.

PGPdisk sert au cryptage des donnes de tout ou partie dun disque dur. Il nest
malheureusement plus disponible dans la version freeware, mais dans la version
payante. Il permet de crer un volume PGPdisk qui, une fois mont permet
dtre utilis comme un disque dur externe. On peut y installer des applications et
stocker des fichiers protgs par un mot de passe complexe secret.

PGPnet permet la mise en uvre dun rseau local dont les communications
TCP/IP sont scurises entre les postes o PGPnet est install.

Des Plug-ins existent pour la plupart des clients de messagerie afin de crypter
simplement ses e-mails ou ses pices jointes : Outlook, Outlook Express, Eudora
et Lotus Notes.

La version payante de NAI (Network Associates, la socit qui distribue PGP)


inclus des fonctions comme lauto-dcryptage qui permet de convertir des
fichiers ou des dossiers en archive dauto-dcryptage pouvant tre envoye des
utilisateurs ne possdant pas PGP.

La procdure de cryptage PGP


Avant de crypter un message, celui-ci est comprim par PGP pour limiter la dure de
transmission et renforcer la scurit cryptographique. Puis le programme crer une cl
de cession alatoire qui sert chiffrer notre texte. Ce nombre alatoire est gnr
partir de la frappe sur le clavier et des dplacements de la souris puis un traitement
algorithmique lui est appliqu pour le rendre unique. Une fois gnre, la cl de cession
est code avec la cl publique du destinataire du message. Ce destinataire va recevoir en
plus du message chiffr, la cl de cession crypte (avec sa propre cl publique).
La procdure de dcryptage PGP
Lors de la rception du message crypt, le destinataire se sert de sa cl prive pour
rcuprer la cl de cession alatoire utilise pour coder le message. Puisque lexpditeur
du message cr la cl de cession (en fait la cl de cryptage) avec la clef publique du
destinataire, ce dernier peut parfaitement la reconstituer laide de sa cl prive car les
cls fonctionnent par paires. Une fois en possesion de la cl de cession alatoire, il ne lui
reste plus qu dchiffrer le message qui lui a t adress.
Notez que le mode de cryptage asymtrique sapplique en fait, la cl de cession, qui est
de 128-bit, et non au texte lui-mme qui subit un cryptage de type conventionnel, ce qui
permet un gain de temps considrable.
Comment lexpditeur peut-il entrer en possession de la cl publique du destinataire ?
!"La clef publique gnre par PGPkey, peut tre envoye soit par e-mail, dans le
corps du message ou en tant que pice jointe, soit sur un serveur de cls
publiques (comme pgpkeys.mit.edu) ou dentreprise, qui stocke les cls publiques
de nombreux utilisateurs de PGP. Il faut rcuprer la cl publique de la personne
laquelle vous voulez envoyer un message chiffr. Pour cela il faut vous constituer
un trousseau de cls publiques comprenant les cls publiques authentifies de
vos interlocuteurs.
!"Vous trouverez notre cl publique dans la rubrique Contact de notre page
daccueil.
Comment tre sur que la cl publique est bien celle de son propritaire suppos ?
!"Comparez lempreinte digitale numrique (fingerprint) de la copie de la cl
publique sur votre machine avec celle de la cl dorigine. Cette empreinte est
constitue dune liste de mots gnrs alatoiremet par lutilisateur et
phontiquement distincts pour tre facilement comprhensible. En comparant
cette liste de mots entre la copie de la cl et une disquette remise en main
propre, il est possible dauthentifier le dtenteur de la cl. Il est galement
possible de faire lire, au tlphone, lempreinte digitale de sa cl par le dtenteur
de la cl publique.
Si vous tes certain de possder une copie valide de la cl publique dun utilisateur,
vous pouvez signer cette cl avec votre cl prive. Par cette action vous affirmez
votre certitude que la cl appartient bien son utilisateur prsum. Vous pouvez
ensuite exporter cette cl vers un serveur de cls publiques, ce qui renforcera sa
crdibilit auprs des autres utilisateurs.

Comment peut-on tre sr de lintgrit dun document ?


!"PGP utilise un procd dauthentification qui empche la rcupration de la
signature dun document pour la joindre un autre document. Le message est
transform en un court rsum de 160 bits par une fonction de hachage. Toute
modification du message transforme ce rsum qui est ensuite chiffr avec la cl
prive de lexpditeur. Le texte en clair et sa signature crypte sont envoys au
destinataire du message. Ce dernier utilise la cl publique de lexpditeur du
message pour vrifier si la signature est correcte.

Installation de PGP freeware

Tlchargez la version franaise internationnale de PGP freeware ladresse suivante :


Site FTP

Site Web :

ftp://ftp.pgpi.org/pub/pgp/6.5/
http://www.pgpi.com/

ou sur lun des nombreux sites Web qui le propose en tlchargement (voir notre
rubrique tlchargement ).
Une fois installe (16Mo), la premire tape consiste crer la cl publique et la cl
prive.
Pour ce faire, lancez le module PGPkeys puis suivez les conseils de l Assistant de
gnration de cls . Nous vous conseillons de ne pas toucher aux options de rglage par
dfaut concernant le choix de lalgorithme et la taille des cls (2048 bits par dfaut).
A noter : la loi franaise du 17 mars 1999, qui autorise les cls dune longueur comprise
entre 40-bit et 128-bit sapplique la cl de cession alatoire, qui chiffre les documents,
et non pas aux cls publiques et prives qui comprennent au minimum 1024-bit.
Vous pouvez dfinir une date dexpiration pour votre cl publique (illimite par dfaut),
mais vous ne pourrez plus revenir sur votre choix.
Ensuite, saisissez votre phrase cl complexe (passphrase) qui protge votre cl secrte.
Utilisez de 20 25 caractres au minimum, facilement mmorisables sous forme de mots
familiers, de maxime ou de proverbe, par exemple. Evitez de noter cette phrase. Elle
vous sera demande chaque utilisation de votre cl prive, lors de lenvoi et de la
rception des messages crypts.
Votre cl prive secrte est stocke dans le fichier secring.pkr, et votre trousseau de
cls publiques est stock dans le fichier pubring.pkr, sauvegardez bien ces fichiers !
Car si quelquun recopie votre cl prive, il ne lui manque plus que la phrase de passe
(passphrase) pour dchiffrer les documents qui vous sont destins.
Vous pouvez maintenant diffuser votre cl publique (et seulement celle l !) afin quelle
soit utilise par toutes les personnes dsireuses de communiquer avec vous. Pour
linsrer dans le corps dun message ou en tant que pice jointe, lancer le module
PGPKeys, slectionnez votre cl publique, puis cliquez sur Exporter dans le menu Cls.

Entrez un nom de fichier et slectionnez un dossier de destination. Votre cl publique


tant simplement un bloc de texte il est ais de lchanger par un copier-coller vers votre
client e-mail ou de linsrer dans votre message en tant que pice jointe.
Pour la publier sur un serveur de cls (voir plus haut) afin de la rendre accessible au plus
grand nombre, connectez-vous Internet, et laissez vous guider par l Assistant de
gnration de cls qui vous proposent une liste de serveurs. Cochez la case Envoyer
ma cl maintenant sur un serveur de cls . Il est impossible de supprimer une cl dun
serveur aprs envoi.
Une fois obtenu la cl publique de votre correspondant vous pouvez crypter et envoyer
un message son intention, directement dans votre client de messagerie, si il supporte
les Plug-ins PGP (principalement Outlook et Eudora).

Le plug-in PGP pour les messageries.

Le plug-in PGP intgre directement les fonctions de PGP dans linterface de messageries
lors de la procdure dinstallation. Slectionnez le plug-in correspondant votre
messagerie et dselectionnez bien les autres, un risque de bloquage du systme pourrait
survenir. Ne confondez pas OutLook et Outlook Express.
Lors de lenvoi dun message un ou plusieurs destinataires, les messages en clairs
seront directement crypts par PGP avant dtre expdis. Chaque message est crypt
avec la cl publique du destinataire reconnu automatiquement par PGP laide de
ladresse de messagerie.
Pour pouvoir relire les messages que vous avez envoy, il est indispensable de se mettre
en copie du message original cest dire de senvoyer une copie du message ! Votre
copie sera crypte automatiquent avec votre cl publique vous pourrez donc relire le
message avec votre cl prive et aucune tierce personnne ne pourra le consulter.
La lecture dun message chiffr avec votre cl publique peut tre ralise de manire
automatique avec le bouton de dchiffrement. La phrase cl (passphrase) vous sera
demande et le message apparatra en clair sur votre cran.
Enfin, pour viter la saisie trop frquente de la phrase cl, il est possible de la mmoriser
dans un cache pendant une priode prdfinie (menu Edit de PGPkeys).

Cryptographie : lalgorithme RSA.

Lalgorithme RSA fut invente par trois scientifiques du MIT : Ronald Rivest (R), Adi
Shamir (S) et Leonard Adleman (A) la fin des annes 70. En 1983, ils la brevetrent
comme procd de chiffrement cl publique, sans se douter qu'elle deviendrait la base
des transactions sur Internet.
RSA se retrouve aujourd'hui universellement utilis pour les changes scuriss, mais
constitue surtout la pierre angulaire des oprations de chiffrement et d'authentification
sur Internet dans les protocoles S/MIME (messagerie lectronique scurise), SSL
(Secure Socket Layer pour les transactions chiffres) ou S/WAN (systme d'changes
Internet protgs).
Elle est intgre dans les principaux navigateurs Internet pour permettre les transactions
scurises et quelques services de messageries en lignes (comme ZipLip) lutilise pour
scuriser leurs messages par chiffrement via SSL ou S/MIME. A ce propos, nous vous
recommandons dutiliser les versions 128-bit de vos navigateurs, qui bnficierons dune
bien meilleure protection cryptographique pour les services scuriss en ligne.
Allez dans la bote de dialogue Aide | A Propos dInternet Explorer. Regardez la ligne
nomme Puissance de chiffrement qui indique le niveau de cryptographie actuelle
(par dfaut 40-bit). Si ce niveau est infrieur a 128-bit allez sur le site de Microsoft ou de
Netscape pour tlcharger la version ou le patch high encryption128-bit disponible
pour Windows, Windows 2000 et Mac (galement sur notre CD-ROM).
Aujourdhui que le brevet RSA est tomb dans le domaine public, chacun peut dsormais
l'intgrer ses logiciels sans devoir payer de droits.

La Stganographie

Cest une technique de cryptographie qui consiste insrer (fusionner) un fichier


quelconque dans un second fichier (image, son Wav, page HTML, etc.) sans que laspect
extrieur de ce dernier ne soit modifi, hormis sa taille.
Le camouflage est parfait et le fichier, dapparence ordinaire, peut passer tous les
rseaux despionnage comme Echelon, sans tre inquit.
Le meilleur programme de ce genre est certainement Invisible Secrets Pro qui dispose
mme dun petit Reader gratuit qui permet votre destinataire dextraire vos
messages sans possder le programme complet (voir notre section outils ).

5.- Les messageries anonymes


Sur lInternet il existe de nombreux sites, souvent gratuits, qui proposent denvoyer des
e-mails de faon plus ou moins anonyme au travers dune interface de type Webmail
ou quelquefois un applet Java. Cest une solution qui le mrite de la simplicit,
lutilisation de remailers ventuels tant transparente pour lutilisateur final.
Citons le site franais SiteFacile, le site miroir franais de Anonymizer ou encore le site
ZipLip qui crypte vos e-mails avec le protocole scuris SSL. Vous trouverez une liste
exhaustive dtaille dans la rubrique annuaire des sites danonymat sur notre site.
Certains sites imposent un formulaire denregistrement, dautres sont en entre libre.
Prfrez les seconds.
Des logiciels danonymat sous Windows ou Dos permettent d anonymizer vos
messages voire pour certains den personnaliser les en-ttes. Ils peuvent utiliser ou non
des remailers. Ces anonymous e-mailers sont trs peu nombreux et difficiles
dbusquer d leur caractre underground .
Citons GhostMail qui sous une interface sympathique, permet, en plus des e-mails, de
poster des messages anonymes sur les groupes de discussions.
Vous trouverez une liste de quelques logiciels de messagerie anonyme dans notre
rubrique Outils , utiliser avec prcautions.

6.- Les rseaux despionnage dEtat Echelon.


Peut-on envoyer un e-mail en tant certain de ntre pas intercept par les grandes
oreilles lectroniques des rseaux despionnage tels que Echelon ?
Rappelons que le rseau amricain Echelon intercepte toutes les commnunications (et
pas seulement les e-mails) partir de mots cls dits sensibles et dont vous trouverez
une liste (au format Acrobat pour viter les rfrencements) dans notre dossier sur
Echelon.
Il est prtentieux de prtendre passer au travers dun tel systme, de par son envergure
et les moyens monumentaux mis en uvre, cependant je vais tenter de vous proposer
quelques solutions.
-

Le cryptage avec PGP est la solution la plus connue pour protger ses
correspondances de la curiosit des gouvernements (voir la section sur PGP). La
cl semble rsister aux supercalculateurs de la NSA mais pour combien de temps
encore ? et en est-on vraiment certains ?

La Stganographie est une technique de cryptographie qui permet de camoufler


un fichier quelconque (MP3, texte, page HTML) dans une image, de faon
invisible. Cette technique est redoutable defficacit dautant que le document
peut-tre pralablement crypt avec PGP.

Puisque Echelon cherche des mots cls, pourquoi ne pas crire son courrier dans
un logiciel de dessin ? en gnrant un fichier graphique contenant le texte en
clair, mais indtectable sauf passer chaque image lO.C.R. (dans ce cas on
utilisera une police fantaisie et un format de fichier peu courant). Aucun mot cl
sensible ne sera dtect par Echelon !

C.- Les groupes de discussions.


Poster un message dans un Newsgroup nest pas aussi anonyme quon le croit : tout
chacun, assez proche de vous pour simplement connatre votre nom, peut vous
surveiller !
Des moteurs de recherche spcialiss traquent les messages comme Dejanews, outil
redoutable s'il en est, ce service indexe le contenu de quatre-vingt mille forums de
discussions depuis cinq ans, par nom, e-mail, auteur et sujet.
On serait alors tent de modifier simplement son nom par un pseudonyme et son adresse
E-mail par une adresse gratuite, dans les prfrences de son navigateur prfr. Cela
sera certainement suffisant pour viter le reprage dans Dejanews mais certainement
pas pour assurer votre anonymat : la plupart des serveurs de news enregistrent et
transmettent votre adresse IP qui est affiche dans len-tte du message post !
Poster un message anonyme, require la mme dmarche que pour les e-mails, vous
pouvez soit :
-

Passer par un site Web qui prend en charge lanonymat du message post en se
faisant passer pour lexpditeur votre place.

Passer par un logiciel spcialis dans lanonymat comme GhostMail qui


anonymize les informations prsentes dans le message.

Poster votre message travers une chane de remailers, comme pour les e-mails
anonymes. Votre IP ne sera pas indique mais les forums franais napprcieront
pas et vous risqueriez dtre censur ! (vive la dmocratie)

Passer par un serveur Proxy Socks pour vous connecter a un serveur de news.
Ce sera ladresse IP du socks qui sera affiche dans vos messages. Mieux, chanez
2 ou 3 Socks ! Anonymat garantie.

Quest-ce un Proxy Socks ?


Egalement appels Socks , ces proxies particuliers permettent de relayer une requte
NNTP ou FTP/IRC afin de se connecter votre place selon le mme principe que les
proxies normaux .
Les Socks (type 4 ou 5) sont des proxies particuliers qui utilisent le port 1080.
Pour dclarer votre Proxy Socks utilisez le programme gratuit SocksCaps (ou
ftp://ftp.nec.com/pub/socks/) si le logiciel de news ne prvoit pas cette possibilit, mais
nindiquez pas un Socks dans la zone rserve aux Proxies de votre navigateur !
Les logiciels de News comme Agent ou Free Agent , sa version gratuite, ou Gravity
fonctionnent parfaitement lorquils sont excuts travers SockCaps, votre adresse IP
est alors celle du Socks, sil est situ en Thalande, ce sera une adresse IP Thalandaise !
Cependant , bien que votre adresse IP soit celle du Socks, le path indiquera votre
fournisseur de news (news.monfai.fr par exemple). Lidal est alors dutiliser un serveur
de News ouvert afin de poster vos messages dans les groupes qui vous interressent.
Le logiciel News Hunters vous permet de trouver les serveurs ouverts en criture en
testant tous les serveurs de news de tous les participants dun forum, il fonctionne dans
20% des cas, ce nest dj pas si mal.

D.- Les messageries en direct.

Ils constituent ce que lon appelle les Chat (bavardage) ou IRC (Internet Relay Chat).
Ce rseau est trs peu scuris et les donnes transitent en clair et sont donc
parfaitement lisibles.
Les plus connus sont Microsoft-Chat, Mirc et AOL ICQ (rachet la socit isralienne
Mirabilis).
Sachez quil nest pas ais dtre anonyme sous ces services : votre adresse IP est
facilement accessible et est toujours disponible sous ICQ.
Deux solutions soffrent vous :
-

Utiliser un Proxy Socks .

Utiliser un service danonymat qui supporte le protocole IRC.

Quest-ce un Proxy Socks ?


Nous avons vue le rle dun proxy normal : se connecter sur un serveur (Web ou
parfois FTP) au nom du client (vous) puis vous retransmettre les donnes. Pour le
serveur dapplication le serveur proxy est le client, vous tes donc inexistant donc
anonyme.
Egalement appels Socks , ces proxies particuliers permettent de relayer une requte
lance par ICQ ou par un logiciel IRC/FTP/Telnet afin de se connecter votre place
Les Socks (type 4 ou 5) sont des proxies particuliers qui utilisent le port 1080.
Pour dclarer votre Proxy Socks utilisez le programme gratuit SocksCaps (ou sur
ftp://ftp.nec.com/pub/socks/) si le logiciel ne prvoit pas cette possibilit. Lancez votre
logiciel travers SocksCap, ladresse IP visible sera celle du Socks, sil est situ en
Thalande ce sera une adresse IP Thalandaise !
Les services danonymat sous IRC
Il existe trs peu de solutions spcialises danonymat qui supportent le protocole IRC,
citons lexcellent Freedom (voir notre annuaire des services danonymat et notre
article sur Freedom dans les archives ), qui propose contre un abonnement
raisonnable, un anonymat absolu sur ces canaux IRC (entre autre) galement le
programme Ultimate Anonymity (voir plus bas).
Concernant ICQ, sachez quil intgre un mouchard ! celuici ferait linventaire de vos
programmes et numros de sries associs avant de renvoyer le tout aux serveurs dICQ.
Voici comment dsactiver ce mouchard :
Lancez Regedit (Dmarrer|Excuter), lditeur de la base de registre.
Placez vous sur HKEY_CURRENT_USER/Software/Mirabilis/ICQ/Defaultprefs

Trouvez la clef Auto Update et changez la valeur de Yes en No.

Flicitations, vous venez de terrasser votre premier mouchard !

Enfin, si vous ne vous sentez pas de taille affronter la base de registration de Windows,
vous pouvez utiliser un utilitaire qui fera le travail tout seul. Citons pas exemple
lexcellent Hulk Maximizer qui, sous longlet Mouchards , cache une arme redoutable
qui supprimera galement le mouchard de Windows 98 !

Les messageries communautaires

Le concept de partage de fichiers distribus a donn naissance toute une gamme de


messageries instantanes bases sur un systme dchange horizontaux, ayant pour
point commun une architecture poste poste (point par point), brouillant la distinction
entre client et serveur pour davantage danonymat.
Napster, dvelopp par un jeune tudiant en informatique de 19 ans, Shawn Fanning, a
initi lre dun nouveau type de messagerie communautaire ou , tout chacun peut
partager tout ou partie de son disque dur afin de mettre disposition son catalogue de
fichiers MP3. Malheureusement son modle, bas sur un serveur central unique est
fragile et son avenir, mis mal par les coups de boutoir des Majors de lindustrie du
disque, est pour le moins incertain.
Gnutella, produit open source , reprend ce principe mais ltend tous les types de
fichiers et supprime ce concept de serveur central, talon dachille du systme. Chaque
station connecte est la fois serveur et client. Il diffuse la recherche lensemble des
serveurs du rseau, passant la requte de machine en machine, celle qui a le fichier
dsir lenvoie au suivant empruntant le chemin inverse et le tlchargement peut
dbuter. Gnutella fonctionne sur tous les systmes dexploitation.
Imagin par un jeune programmeur irlandais Freenet a demand plus de deux annes de
dveloppements. Son protocole garantie un anonymat complet aussi bien de
lmetteur dinformation que des lecteurs : la requte circule (et est ritre) de nud
en nud jusqu avoir dcel le document demand mais on ne peut pas retrouver qui
est le demandeur dorigine, ni le vrai serveur.
Son architecture est elle que toute censure y est impossible : tout document demand
est aussitt reproduit sur tous les ordinateurs participant au rseau ! De plus il intgre un
processus qui rduit les risques de contrle.
Sur Freenet chaque serveur possde une partie de lindex listant tous les fichiers
disponibles. Chaque fichier est dcoup en huit parties qui empruntent des chemins
diffrents et se rpliquent en fonction de la demande ; il suffit den rcuprer quatre pour
reconstituer le document !.
Freenet, comme Gnutella, est un logiciel libre au code source disponible, ce qui le met
labri dventuels mouchards ou backdoors.

E.- Les services danonymat Mixtes.

Une nouvelle catgorie de services redoutablement efficaces viennent dapparatre. Ils


associent une application tournant en tche de fond un proxy en ligne.
Citons les deux principaux : Freedom de Zero Knowledge et PrivadaProxy que vous
trouverez dans notre section Annuaire sur notre site Web.
Freedom est un cas part car cest le plus complet des services danonymat. Il tend ses
capacits presque tous les protocoles Internet : navigation Web, messageries : E-mail
et Chat, Usenet (groupes de discussions) et Telnet lexception remarquable de FTP.
Il utilise des algorithmes de chiffrement fort bas sur un systme de cryptage
asymtrique avec une cl publique (voir section sur PGP).
Comme aucune information nominative nest demand linscription, lauteur nhsite
pas se dire dans limpossibilit de lever le voile sur lidentit de ses clients !
Mais ne vous croyez pas soumis limpunit : un comportement illgal peut entrainer la
rsiliation de votre compte, mme si celui-ci reste anonyme.
Enfin, si vous ne vous sentez pas de taille grer les proxies, socks et autres remailers,
un programme Ultimate Anonymity vous donne accs toute la panoplie : E-mails, surf,
newsgroups, ICQ/IRC et Web-Chat entirement anonymes ! il vous en cotera 19$
(contre la gratuit pour nos mthodes), mais plus vous naurez pas le choix des proxies,
remailers et socks utiliss.

F.- Conclusion.
Jespre que ce tour dhorizon sur lanonymat, vous aura permis dapprendre beaucoup
de choses nouvelles. Sachez que ce dossier est mis jour au fur et mesure des
informations qui entrent en ma possession. Nhsitez pas me faire part dventuelles
erreurs, de prcisions utiles, de nouveaux sites ou services et surtout enrichissez-le de
votre exprience.
Jespre que ce dossier ne sera pas utilis mauvais escient, mais uniquement pour
protger votre droit la vie prive.
Vous trouverez tous les utilitaires dcrits dans ce dossier et sur notre site (et bien plus)
sur notre CD-ROM remis jour priodiquement. Contactez-nous.
Enfin, selon la formule consacre, je dcline toute responsabilit, de quelques natures
quelles soient, quand lutilisation qui sera faite des services, techniques et mthodes
dcrites dans ce dossier .

Denis Dubois
Webmestre de anonymat.org