Vous êtes sur la page 1sur 164

guide

dautodfense
numrique
tome 2
en ligne

deuxime dition
hiver 2017

ouvrage collectif
Guide dautodfense numrique
Tome 2 : En ligne
deuxime dition

Ouvrage collectif
guide@boum.org

Empreinte OpenPGP :
D487 4FA4 F6B6 88DC 0913
C9FD 326F 9F67 250B 0939

hiver 2017


Copyleft : cette uvre est libre, vous pouvez la co-
pier, la diuser et la modier selon les termes de la
Licence Art Libre http://www.artlibre.org/
Prface

Le premier tome de ce Guide sest attach donner quelques bases sur le fonctionne-
ment des ordinateurs hors ligne, an de mettre en lumire ce quils peuvent dvoiler
sur leurs utilisateurs, puis de proposer quelques cas concrets de leur usages et enn
des outils associs aux problmatiques souleves. Comme annonc, ce second volet
sintressera donc lutilisation des ordinateurs en ligne. Vaste programme. . . car si
une plonge dans les arcanes de ces machines pourtant familires stait dj avre
un brin complexe, quen sera-t-il maintenant quon se propose de connecter les ordi-
nateurs entre eux ? Rappelons ds prsent quun ordinateur connect est avant tout
un ordinateur ; la (re)lecture du premier tome est donc un prrequis essentiel pour
apprhender toutes les facettes de la scurit en ligne.
Internet, pourtant, nous est galement devenu familier. Consulter ses mails, tlchar-
ger des chiers, obtenir des informations en ligne sont aujourdhui pour beaucoup
dentre nous des gestes quotidiens. Chacun pourrait dire que dune certaine manire,
il sait ce que cest quInternet. Admettons plutt que tout le monde, ou presque, est
capable de sen servir pour quelques usages communs.
Notre propos dans ce second tome, pour autant, ne sera pas de dnir dans les
moindres dtails ce quest Internet. Tout au plus fournira-t-on quelques lments
de comprhension susants pour permettre au lecteur dy naviguer ambigut du
terme, qui renvoie autant la navigation sur le web qu la possibilit de sorien-
ter dans un espace complexe laide doutils adapts. Ou le retour du sextant et de
la boussole. . .

Commenons par le dbut. Internet est un rseau. Ou plutt, un ensemble de rseaux


connects entre eux qui, partir dune obscure application vise militaire, sest
tendu au l de dizaines dannes au monde entier. Rseau qui a vu se multiplier les
applications, les usages et les usagers, les technologies et les techniques de contrle.
Certains ont pu disserter linni sur le nouvel ge qui souvrait, les supposes
possibilits dhorizontalit et de transparence dans la diusion de linformation et
des ressources, ou dans lorganisation collective, auxquelles a pu ouvrir cette nouvelle
technologie y compris dans lappui quil pouvait orir pour les luttes politiques.
Cependant, comme il semble vident que les pouvoirs naiment pas ce qui peut leur
chapper, mme partiellement, il sest dvelopp, en mme temps que lexpansion des
usages, une expansion des techniques de contrle, de surveillance et de rpression,
dont les consquences se font de plus en plus sentir.
Au cours de lanne 2011, pour la premire fois, des gouvernements ont organis
la dconnexion de la quasi-totalit de leurs habitants vis--vis du rseau mondial.
Lgypte, comme lIran, puisque cest deux quil sagit, ont estim que pour mieux
iv

contenir les rvoltes qui prenaient place sur leurs sols, ils avaient tout intrt limiter
au maximum les possibilits de communication par le rseau ce qui ne les a pas
empchs, dans le mme mouvement, de chercher organiser la surveillance et le
pistage sur le rseau. LIran fut ainsi capable de mettre en place un systme danalyse
de trac demandant des ressources importantes pour surveiller les opposants, connus
ou non, tablir une cartographie de leurs relations et plus tard confondre et condamner
les rvolts qui utilisaient le rseau pour sorganiser.
Autre exemple, depuis la mise en place dune version chinoise de Google 1 en 2006, et
jusquen 2010, lentreprise acceptait la politique du gouvernement chinois de ltrage
des rsultats de recherche.
Des mthodes similaires ont aussi cours dans des pays dits dmocratiques. Ainsi,
la n de lt 2011, aprs plusieurs journes dmeutes Londres, deux jeunes
anglais ont t condamns 2 4 ans de prison pour avoir appel sur Facebook des
rassemblements dans leurs quartiers et ce, alors mme que leurs appels nont
pas t suivis.
De mme, les rvlations dEdward Snowden 3 sur ltat de la surveillance lectro-
nique mise en place par la NSA 4 lchelle mondiale ont rendu crdibles les hypo-
thses parmi les plus pessimistes. partir de l, il apparat indispensable de prendre
conscience que lutilisation dInternet, tout comme celle de linformatique en gnral,
est tout sauf anodine. Elle nous expose la surveillance, et la rpression qui peut lui
succder : cest lobjet principal de ce second tome que de permettre tout un chacun
de comprendre quels sont les risques et les limites associs lutilisation dInternet.
Mais il sagit aussi de se donner les moyens de faire des choix clairs quant nos
usages de lInternet. Des choix qui peuvent permettre de compliquer la tche des sur-
veillants, de contourner des dispositifs de censure, voire de mettre en place des outils,
des infrastructures, de manire autonome. Une premire amorce pour reprendre le
contrle de technologies qui semblent parfois voues nous chapper ambition qui
dpasse cependant largement les objectif de ce guide.
Nous voici donc repartis pour un nouveau voyage dans les eaux troubles du monde nu-
mrique. Notre traverse se fera en trois parties, une premire expliquant le contexte,
les notions de base, permettant une comprhension gnrale, une seconde partie trai-
tant de cas dusage typiques, et enn une troisime dcrivant prcisment les outils
ncessaires la mise en uvre de politiques de scurit abordes dans la seconde
partie ainsi que leurs usages.

1. Wikipdia, 2014, Google China [https://fr.wikipedia.org/wiki/Google_China].


2. France Soir, 2011, meutes Londres : Deux jeunes condam-
ns quatre ans de prison [http://www.francesoir.fr/actualite/international/
emeutes-londres-deux-jeunes-condamnes-quatre-ans-prison-128302.html].
3. Wikipdia, 2014, Edward Snowden [https://fr.wikipedia.org/wiki/Edward_Snowden]
4. National Security Agency, agence dpendant du dpartement de la Dfense des tats-Unis,
charge de la collecte et de lanalyse des donnes trangres et de la protection des donnes tats-
uniennes.
Prface la deuxime dition

Deux ans dj sont passs depuis la dernire mouture du Guide, et les technologies
comme les lois ont volu. Voici donc la premire mise jour de ce deuxime tome
consacr lutilisation des ordinateurs en ligne.
Nous nallons pas rpter la prface du permier tome : la tendance est la normalis- tome 1 ch.
taion et la lgalisation de la surveillance tous azimuts. En ce qui concerne Internet,
un exemple agrant est la criminalisation de la simple consultation habituelle
de sites web faisant lapologie du terrorisme 5 , qui a dj envoy en prison deux
personnes : le premier se disait apprenti journaliste 6 et le second disait agir par
curiosite 7 . Les deux ont cop de deux ans de prison ferme.
Plusieurs personnes ont aussi t condamnes pour avoir publi des contenus accuss
de faire lapologie du terrorisme . Le rapport Freedom on the Net (libert dIn-
ternet) de 2015 rapport ainsi qu Nantes, une personne de 16 ans a t arrte
pour avoir partage une caricature lie lattaque de Charlie Hebdo sur Facebook. La
caricature en question se moquait de la couverture de juillet 2013 de Charlie Hebdo,
publie aprs le massacre de centaines dgyptiens qui manifestaient contre lancien
prsident islamiste Mohamed Morsi, et reprsentait un homme musulman qui tenait
un Coran devant lui pour ce protger des balles mais qui tait quand mme atteint et
sur lequel on pouvait lire a narrte pas les balles. Attribue lartiste Dedko elle
remplaait le Coran par le magazine Charlie Hebdo et lhomme musulman par lun
de ses dessinateurs. Des voix ont accus les autorits franaise davoir deux poids,
deux mesures lorsquil sagit de prserver la libert dexpression. 8 .
Ainsi, la protection de lintimit et de la libert dexpression sur Internet sont plus
que jamais dactualit.

Du ct des outils, le printemps 2015 a vu la sortie de la nouvelle version de Debian,


baptise Jessie . En janvier 2016 sortait la version 2.0 du systme live Tails,
dornavant bas sur Jessie. Cette mise jour a apport de nombreux changements
dans linterface graphique, avec larrive de GNOME 3 9 , ainsi que dans les logiciels
5. Rpublique Franaise, 2016, Loi n 2016-731 du 3 juin 2016 renforant la lutte contre le crime
organis, le terrorisme et leur nancement, et amliorant lecacit et les garanties de la procdure
pnale [https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000032627231]
6. Le Monde.fr, 2016, Deux ans de prison ferme pour consultations rptes de sites
djihadistes dans une bibliothque [http://www.lemonde.fr/police-justice/article/2016/09/15/
deux-ans-de-prison-ferme-pour-consultations-repetees-de-sites-djihadistes-dans-une-bibliotheque_
4998451_1653578.html]
7. Le Monde, 2016, A Chartres,deux ans de prison ferme pour consul-
tation de sites terroristes [http://www.lemonde.fr/pixels/article/2016/08/09/
a-chartres-deux-ans-de-prison-ferme-pour-consultation-de-sites-terroristes_4980236_4408996.html]
8. Freedom House, 2015 Freedom Of The Net : Privatizing Censorship, Eroding Privacy,
p. 317 [https://freedomhouse.org/sites/default/files/FOTN%202015%20Full%20Report.pdf] (en anglais,
traduit par nos soins).
9. GNOME, 2017, GNOME 3 [https://www.gnome.org/gnome-3/]
vi

proposs. Il a donc fallu revoir les outils pour que les recettes fonctionnent sur ces
nouveaux systmes.

Grce cette rvision, nous esprons que les pages suivantes restent dune compagnie
avise dans la traverse de la jungle numrique. . . du moins, jusqu la suivante.
Tome 2

En ligne
Sommaire

Prface iii

Prface la deuxime dition v

Sommaire 1

I Comprendre 5

1 Bases sur les rseaux 9


1.1 Des ordinateurs branchs entre eux . . . . . . . . . . . . . . . . . . . 9
1.2 Protocoles de communication . . . . . . . . . . . . . . . . . . . . . . . 11
1.3 Les rseaux locaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.4 Internet : des rseaux interconnects . . . . . . . . . . . . . . . . . . . 16
1.5 Des applications varies . . . . . . . . . . . . . . . . . . . . . . . . . . 19
1.6 Des clients, des serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . 21

2 Traces sur toute la ligne 25


2.1 Sur lordinateur client . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.2 Sur la box : ladresse matrielle de la carte rseau . . . . . . . . . 28
2.3 Sur les routeurs : les en-ttes de paquets . . . . . . . . . . . . . . . . 28
2.4 Sur le serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.5 Les traces quon laisse soi-mme . . . . . . . . . . . . . . . . . . . . . 31

3 Surveillance et contrle des communications 33


3.1 Qui veut rcuprer les donnes ? . . . . . . . . . . . . . . . . . . . . . 33
3.2 Journaux et rtention de donnes . . . . . . . . . . . . . . . . . . . . 36
3.3 coutes de masse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
3.4 Attaques cibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.5 En conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

4 Web 2.0 49
4.1 Des applications Internet riches ... . . . . . . . . . . . . . . . . . . 49
4.2 et des clients devenus bnvoles . . . . . . . . . . . . . . . . . . . . 50
4.3 Centralisation des donnes . . . . . . . . . . . . . . . . . . . . . . . . 50
4.4 Mainmise sur les programmes . . . . . . . . . . . . . . . . . . . . . . 51
4.5 De la centralisation lauto-hbergement dcentralis . . . . . . . . . 52

5 Identits contextuelles 53
5.1 Dnitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
2 SOMMAIRE

5.2 De lidentit contextuelle lidentit civile . . . . . . . . . . . . . . . 54


5.3 La compartimentation . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
5.4 Les mdias sociaux : centralisation de fonctions et identit unique . . 56

6 Cacher le contenu des communications : la cryptographie asym-


trique 59
6.1 Limites du chirement symtrique . . . . . . . . . . . . . . . . . . . . 59
6.2 Une solution : la cryptographie asymtrique . . . . . . . . . . . . . . 59
6.3 Signature numrique . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
6.4 Vrier lauthenticit de la cl publique . . . . . . . . . . . . . . . . . 63
6.5 Condentialit persistante . . . . . . . . . . . . . . . . . . . . . . . . 67
6.6 Rsum et limites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

7 Cacher les parties prenantes de la communication : le routage en


oignon 69
7.1 Prsentation du routage en oignon . . . . . . . . . . . . . . . . . . . . 69
7.2 Participer au rseau Tor . . . . . . . . . . . . . . . . . . . . . . . . . 72
7.3 Quelques limites de Tor . . . . . . . . . . . . . . . . . . . . . . . . . . 72

II Choisir des rponses adaptes 77

8 Consulter des sites web 79


8.1 Contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
8.2 valuer les risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
8.3 Dnir une politique de scurit . . . . . . . . . . . . . . . . . . . . . 80
8.4 Choisir parmi les outils disponibles . . . . . . . . . . . . . . . . . . . 82
8.5 Naviguer sur des sites web avec le Navigateur Tor . . . . . . . . . . . 84
8.6 Naviguer sur des sites web avec Tails . . . . . . . . . . . . . . . . . . 84

9 Publier un document 87
9.1 Contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
9.2 valuer les risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
9.3 Dnir une politique de scurit . . . . . . . . . . . . . . . . . . . . . 87
9.4 Contact public . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

10 changer des messages 91


10.1 Contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
10.2 valuer les risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
10.3 Deux problmatiques . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
10.4 Webmail ou client mail ? . . . . . . . . . . . . . . . . . . . . . . . . . 93
10.5 Webmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
10.6 Client mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
10.7 changer des emails en cachant son identit . . . . . . . . . . . . . . 95
10.8 Echanger des emails condentiels (et authentis) . . . . . . . . . . . 97

11 Dialoguer 101
11.1 Contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
11.2 valuer les risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
11.3 Dnir une politique de scurit . . . . . . . . . . . . . . . . . . . . . 101
11.4 Les limites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
SOMMAIRE 3

III Outils 107

12 Installer et congurer le Navigateur Tor 111


12.1 Tlcharger et vrier le Navigateur Tor . . . . . . . . . . . . . . . . 112
12.2 Dcompresser le Navigateur Tor . . . . . . . . . . . . . . . . . . . . . 113
12.3 Lancer le Navigateur Tor . . . . . . . . . . . . . . . . . . . . . . . . . 113

13 Naviguer sur le web avec Tor 115


13.1 Lancer le navigateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
13.2 Quelques remarques sur la navigation . . . . . . . . . . . . . . . . . . 115

14 Choisir un hbergement web 117


14.1 Quelques critres de choix . . . . . . . . . . . . . . . . . . . . . . . . 117
14.2 Type de contenu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
14.3 En pratique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

15 Vrier un certicat lectronique 121


15.1 Vrier un certicat ou une autorit de certication . . . . . . . . . . 121
15.2 Trouver lempreinte dun certicat dj install . . . . . . . . . . . . . 123

16 Utiliser un clavier virtuel dans Tails 125


16.1 Utiliser un clavier virtuel dans Tails . . . . . . . . . . . . . . . . . . . 125

17 Utiliser le client mail Icedove 127


17.1 Installer le client mail Icedove . . . . . . . . . . . . . . . . . . . . . . 127
17.2 Lancer Icedove . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
17.3 Congurer un compte email . . . . . . . . . . . . . . . . . . . . . . . 127
17.4 Conguration avance de Icedove . . . . . . . . . . . . . . . . . . . . 128

18 Utiliser OpenPGP 129


18.1 Importer une cl OpenPGP . . . . . . . . . . . . . . . . . . . . . . . . 129
18.2 Vrier lauthenticit dune cl publique . . . . . . . . . . . . . . . . 130
18.3 Signer une cl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
18.4 Crer et maintenir une paire de cls . . . . . . . . . . . . . . . . . . . 132
18.5 Exporter une cl publique OpenPGP . . . . . . . . . . . . . . . . . . 136
18.6 Utiliser la crytographie asymtrique pour chirer ses emails . . . . . . 136
18.7 Dchirer des emails . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
18.8 Vrier une signature numrique OpenPGP . . . . . . . . . . . . . . 138
18.9 Signer des emails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
18.10 Signer des donnes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
18.11 Rvoquer une paire de cls . . . . . . . . . . . . . . . . . . . . . . . . 140

19 Utiliser la messagerie instantane avec OTR 143


19.1 Installer le client de messagerie instantane Pidgin . . . . . . . . . . . 143
19.2 Lancer Pidgin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
19.3 Congurer un compte de messagerie . . . . . . . . . . . . . . . . . . . 143
19.4 Crer un compte de messagerie instantane . . . . . . . . . . . . . . . 144
19.5 Chirer la connexion au serveur XMPP . . . . . . . . . . . . . . . . . 144
19.6 Activer le plugin O-the-Record . . . . . . . . . . . . . . . . . . . . . 144
19.7 Mettre en place une conversation prive . . . . . . . . . . . . . . . . . 145

20 Grer des mots de passe 147


20.1 Choisir une bonne phrase de passe . . . . . . . . . . . . . . . . . . . . 147
20.2 Utiliser un gestionnaire de mots de passe . . . . . . . . . . . . . . . . 147

Index 151
4 SOMMAIRE

Crdits 153
Premi`ere partie

Comprendre

Dans le premier tome de ce guide dautodfense numrique, nous avons commenc par
expliquer dans quelle mesure lutilisation dordinateurs pouvait constituer une menace
pour nos intimits dans le monde numrique, notamment par rapport aux donnes
quon leur cone. La plonge dans les arcanes de ces machines pourtant familires
stait dj avre un brin complexe, quen sera-t-il maintenant quon se propose de se
connecter Internet, cest--dire de connecter notre ordinateur dautre ordinateurs,
sur lesquels on a peu ou pas de prise du tout ? Il semble donc necessaire dinsister
ds prsent sur le fait quun ordinateur connect est avant tout un ordinateur ; la
(re)lecture du premier tome est donc un prrequis essentiel pour apprhender ce tome
2 et toutes les facettes de la scurit en ligne.

Octobre 2010, Paris

Ce matin, Alice arrive en avance au travail. Elle est employe La Re-


boute, une entreprise de vente de vtements par correspondance, situe au
dernier tage dun immeuble rue Jaurs : pou, 18 tages, vivement
que cet ascenseur soit rpar ! . Elle sinstalle son bureau, se penche et
appuie sur le bouton dallumage de lordinateur.

Sur lcran de lordinateur, une petite fentre vient dapparatre.


Connexion rseau tablie . Avant de se mettre au boulot, elle veut
regarder ses emails. Alice clique sur licne du navigateur web, provo-
quant louverture dune fentre qui reste vierge quelques millisecondes,
avant de faire apparatre la page daccueil de Google. Tout en apprciant
mentalement la page daccueil spciale Halloween de Google, Alice
dplace le pointeur de sa souris et clique sur le lien Connexion. Une fois
la page charge, elle y rentre son nom dutilisatrice et son mot de passe,
puis clique sur Gmail. Quelque part dans une obscure salle bonde dordi-
nateurs, un disque dur grsille. Quelques secondes aprs avoir ouvert son
navigateur web, Alice commence parcourir sa bote mail. Alors quelle
consulte un email reu du site leboncoin.fr , son regard est attir par le
lien qui vient de sacher dans la colonne de droite : Tiens, quelquun
vend le mme modle dappareil photo que celui que je cherche, juste au
coin de la rue... je devrais peut-tre y faire un saut.

Ah ben tes l ?
8 I. COMPRENDRE

La voix dans le dos dAlice la fait lgrement sursauter. Cest Benot, un


collgue.

Ben oui, je me suis leve un peu plus tt que dhabitude, alors jai pris
le RER de 7h27 au lieu de 7h43. Je regarde vite fait mes emails avant de
my mettre. Jattends la conrmation dune rservation de billet pour
les Balares cet hiver.
Vacances au soleil, jvois le genre... Et ten as pour longtemps ?

Benot a lair press.

Euh... non non, javais presque ni. Pourquoi ?


Ben, si a te drange pas, je temprunterais bien ton poste 2 minutes...
Le mien est plant depuis hier, jattend que la nouvelle responsable
informatique, arrive pour rgler a .

Aussitt assis, Benot clique nerveusement sur la barre dadresse du na-


vigateur web, et rentre directement ladresse du blog sur lequel sont rgu-
lirement publies des informations sur les personnages politiques de son
arrondissement. Il naime pas passer par Google pour ses recherches, alors
il la apprise par cur. Sait-on jamais, a pourrait viter les mouchards.
Ouvrant un deuxime onglet, il entre galement ladresse de no-log, sa
bote mail, et sy connecte. Nickel, il est l ! Le document concernant les
comptes bancaires en Suisse du Maire de son arrondissement, M. Ala-
voine ! Benot tlcharge aussitt le document et louvre dans lditeur de
texte. Il le parcourt rapidement, et supprime quelques informations quil
vaut mieux ne pas laisser. Aprs avoir entr son identiant et son mot de
passe pour se connecter au blog, Benot copie-colle le contenu du document
depuis sa bote mail, et clique sur Envoyer. Esprons que cela inspire
dautres personnes !

Satisfait davoir pu enn envoyer son document, Benot se relve aussitt


et rend sa place Alice.

On va se prendre un caf ?

Novembre 2010. Sige social de La Reboute

En arrivant au bureau, Samuel Coustant, PDG de La Reboute, commence


par plucher le courrier reu en buvant son caf. Une convocation au
commissariat. Pour une fois, il y a autre chose que des factures ! Sans
doute une erreur ou une enqute de voisinage ?

Samuel ne pense pas avoir quoi que ce soit se reprocher, alors inutile de
sinquiter. Il se rend donc au commissariat le jour de sa convocation.

M. Coustant ? Bonjour, nous voudrions vous poser quelques questions


concernant une plainte pour diamation...

Plus tard le mme jour. Bureau dAlice

Allo ressources humaines de La Reboute, Alice jcoute.


Bonjour, M. Coustant lappareil. coutez, je viens de passer 2 heures
au poste de police. Jai t interrog quant des documents bancaires
publis sur Internet et concernant un certain M.Alavoine, Maire du
10me, dont jignorait lexistence jusqualors. En plus de a, lors de
9

mon audition, ils mont prsent un papier les autorisant faire une
perquisition aux bureaux rue Jaurs.
Quelle histoire ! Mais quel rapport avec nos bureaux ?
Et bien cest galement pour a que je vous appelle. Ils arment quils
ont toutes les preuves comme quoi ces documents ont t publis depuis
vos bureaux. Je leur ai dit que ce ntait pas moi, que je ne voyais pas
de quoi ils parlaient. Ils ont fait des recherches, contact je ne sais qui.
Mais ils disent quune enqute a t ouverte, et quelle ira jusquau bout.
Quils retrouveront les responsables. Autant vous dire que je ne suis pas
franchement rassur. Jespre bien que vous ny tes pour rien et quil
sagit dun regrettable erreur.
Honntement, jen suis la premire tonne, je ne vois absolument pas
ce que jaurais voir l-dedans, ni ce dont il sagit.
Jespre bien... Enn bref, cest la police de faire son travail dsormais.
Je vous rappellerai si jai des nouvelles de leur part.
Daccord, je ferais de mme sils appellent ici.
Au revoir.

Alice repose le combin, hbte. Se gratte la tte. Mais quest-ce donc que
cette histoire de documents bancaires ? Qui aurait pu faire a ?

Commissariat central de Paris, quelques semaines plus tard.

Commissaire Mathias ?
Lui-mme.
Ocier Nerret lappareil. Je vous appelle propos de laaire Ala-
voine. On a eu un fax des collgues de la technique et scientique qui
ont les ordinateurs saisis entre les mains. Et on a du neuf.
Allez-y, Nerret. Je vous coute.
Apparement, les collgues ont ni par retrouver le document sur un des
ordinateurs. Il a t tlcharg depuis le navigateur, et modi. Il y
aurait eu une connexion une bote mail dont ladresse correspond
une certaine Alice, chez Gmail, ainsi quune autre adresse email, chez
no-log cette fois-ci, peu de temps avant la publication des documents
incrimins.
Ah, trs bien. Mais vous ne comptez pas prendre un annuaire et inter-
roger toutes les Alice de La Reboute quand mme ?
Non, on va dabord la retrouver puis utiliser lannuaire !
Quel humour ocier !
On va demander Gmail ainsi qu no-log les informations sur ces
adresses email. partir de l on pourra sans doute mettre la main sur
les personnes responsables de cette publication.
Bien, Nerret. Trs bien. De mon ct, je contacte le proc. Et tenez-moi
au courant ds quil y a du neuf.
Bien, commissaire. Bonne journe.

Voil pour la mise en contexte. Cette petite histoire ctive pourra en rappeler dautres,
bien plus relles. Lide tait simplement de montrer combien il est facile et rapide
de sexposer lors de la moindre connexion Internet, et cela sans quaucune forme de
surveillance cible ne soit ncessaire.
Quant savoir quelles traces numriques permettent de remonter jusqu Alice et
Benot, lun des objectifs de ce second tome est, justement, dapporter des clair-
cissements sur ces points. Avant de baliser, encore une fois, quelques pistes pour se
protger des attaques cibles ou non.
Chapitre 1
Bases sur les rseaux

Internet, ce nest pas un espace virtuel, un nuage dinformation abstrait o lon trouve
tout et nimporte quoi. En tout cas ce nest pas seulement cela.

Ce quon appelle Internet est avant tout un ensemble de rseaux. Des millions de
rseaux, agrgs sur plusieurs dcennies et, de faon plus ou moins chaotique, grs
aussi bien par des entreprises, des universits, des gouvernements, des associations
que des particuliers ; des millions dordinateurs et de matriaux de tous types, relis
entre eux par des technologies trs diverses, allant du cble de cuivre la bre optique
en passant par le sans-l.

Mais pour nous, derrire notre petit cran, Internet cest avant tout ce quil nous
permet de faire : visiter des sites web, envoyer des emails, tchatter avec des gens
ou tlcharger des chiers. De nouvelles applications apparaissent en permanence et
seule limagination humaine semble en limiter les possibles.

Comprendre comment fonctionne Internet et comment sy protger cest donc d-


cortiquer un minimum cette complexit, an de comprendre comment ces matriaux
communiquent entre eux, mais aussi comment fonctionnent les diverses applications
quon y utilise.

1.1 Des ordinateurs branchs entre eux


Assez tt dans lhistoire de linformatique il est apparu ncessaire, notamment dans le
travail universitaire et dans le domaine militaire, de faire en sorte que des ordinateurs
puissent partager des ressources ou des informations et ce, des distances de plus
en plus grandes. Ainsi sont ns les rseaux informatiques. On a dabord reli des
ordinateurs les uns aux autres dans un lieu restreint gnralement une universit,
une entreprise ou un site militaire, puis on a reli ces lieux entre eux. Aux tats-
Unis, la n des annes 60, est cr ARPANET (Advanced Research Projects Agency
Network), un rseau qui reliait les universits dans tout le pays. Pour sa mise en
place et son amlioration ont t inventes une bonne partie des techniques utilises
aujourdhui avec Internet. La naissance dInternet est lie celle des logiciels libres,
et il fonctionne selon des principes similaires douverture et de transparence 1 , ce qui
nempche pas quau dpart il a t dvelopp pour rpondre des besoins militaires.

Les dirents rseaux informatiques furent relis au fur et mesure, constituant ainsi
progressivement Internet, qui se dveloppe de faon importante depuis les annes 90.

1. Selon Benjamin Bayart, on ne peut pas dissocier Internet et logiciel libre car ils sont
apparus aux mmes dates, avaient les mmes acteurs, une croissance et un fonctionnement similaires.
Benjamin Bayart, 2007, Internet libre, ou Minitel 2.0 ?, confrence aux 8e rencontres mondiales du
logiciel libre Amiens [https://www.fdn.fr/internet-libre-ou-minitel-2.html].
12 I. COMPRENDRE

1.1.1 Un rseau dordinateurs


Un rseau est un ensemble de nuds [. . . ] relis entre eux par des liens 2 . Dans
tome 1 ch. 1 un rseau informatique, les nuds sont des ordinateurs. Cest donc un ensemble dor-
dinateurs relis entre eux par des cbles, des ondes, etc.
plus bas
Les ordinateurs qui font partie des rseaux ne ressemblent pas tous aux ordinateurs
personnels, xes ou portables que lon utilise en gnral. Certains sont en eet sp-
cialiss pour assurer des fonctions particulires au sein du rseau. Ainsi, la box
qui permet la plupart dentre nous daccder Internet est un petit ordinateur ; de
mme, les serveurs sur lesquels sont enregistrs les sites web sont aussi des ordina-
teurs. Dautres types dordinateurs spcialiss pourraient encore tre ajouts cette
liste : on en dcouvrira certains dans les pages qui viennent.

1.1.2 Carte rseau


Malgr leurs dirences, tous les ordinateurs connects un rseau ont ncessairement
tome 1 1.2 un point commun : en plus du matriel minimum qui compose un ordinateur, ils
doivent disposer dau moins un priphrique qui sert se connecter au rseau. On
tome 1 1.2.5 lappelle carte rseau. Elle permet dtablir le lien avec dautres ordinateurs. De nos
jours, plusieurs cartes rseau sont souvent intgres dans tout ordinateur personnel
plus bas
(une laire et une Wi-Fi par exemple).
Chaque carte rseau possde une adresse matrielle, qui lidentie de faon plus ou
moins unique. Dans la technologie laire domestique, appele Ethernet, comme dans
la technologie sans-l Wi-Fi, ladresse matrielle est appele adresse MAC. Ladresse
MAC livre avec la carte est conue pour que la probabilit que deux cartes rseau
possdent la mme adresse matrielle soit trs faible 3 , ce qui nest pas sans poser
page 28 problme en matire danonymat, comme nous le verrons plus loin.

1.1.3 Dirents types de liens


Les faons les plus courantes de connecter des ordinateurs personnels en rseau sont
soit dy brancher un cble, que lon appelle cble Ethernet, soit dutiliser des ondes
radio, avec le Wi-Fi.
Mais au-del de notre prise tlphonique, nos communications sur Internet sont trans-
portes par bien dautres moyens. Il existe de nombreux supports pour transmettre
linformation : cble de cuivre, bre optique, ondes radio, etc. De la transmission par
modem 4 des annes 90 la bre optique 5 utilise pour les connexions intercontinen-
tales, en passant par lADSL 6 des annes 2000, chacun deux a des caractristiques
direntes, notamment en termes de dbit dinformation (galement appel bande
passante) et de cot dinstallation et dentretien.
Ces direntes technologies nont pas les mmes faiblesses vis--vis de la conden-
tialit des communications quon leur cone ou des traces quelles laissent : il sera
ainsi plus facile dintercepter distance un signal radio que de la lumire qui passe
lintrieur dune bre optique.

2. Wikipdia, 2014, Rseau informatique [https://fr.wikipedia.org/wiki/Rseau_informatique]


3. Une adresse MAC se prsente sous la forme dune suite de 12 chires hexadcimaux (0 9 et
a pour 10, b pour 11 et ainsi de suite jusqu f pour 15) comme par exemple 00:3a:1f:57:23:98.
4. Modem est le mot condens de modulateur dmodulateur : il permet de transmettre des donnes
numriques [tome 1 1.2.2] sur un canal permettant de vhiculer du son, comme par exemple une
ligne tlphonique.
5. Une bre optique est un l constitu dun matriau transparent permettant de transmettre
des donnes sous forme dimpulsions lumineuses. Cela permet la transmission dimportants volumes
dinformation, mme sur de longues distances.
6. LADSL (pour Asymmetric Digital Subscriber Line) est une technologie permettant de trans-
mettre des donnes numriques [tome 1 1.2.2] sur une ligne tlphonique de manire indpendante
du service tlphonique.
1. BASES SUR LES RSEAUX 13

Un connecteur Ethernet standard RJ-45

1.2 Protocoles de communication


Pour que des machines puissent se parler, il ne sut pas quelles soient relies entre
elles, il faut aussi quelles parlent une langue commune. On appelle cette langue
un protocole de communication. La plupart des langues utilises par les machines
sur Internet sont dnies de faon prcise dans des documents publics : cest ce qui
permet des ordinateurs et logiciels varis de fonctionner ensemble, pour peu quils
respectent ces standards. Cest ce que recouvre la notion dinteroprabilit.

1.2.1 Des fonctions complmentaires


Le fonctionnement dInternet est bas sur lutilisation de divers protocoles, rpondant
dirents besoins : le tlchargement dun chier, lenvoi dun email, la consultation
dun site web, etc. fera intervenir direntes conventions, appeles protocoles.
Pour simplier, nous dtaillerons ci-dessous ces dirents protocoles en les classant
en trois catgories : protocoles physiques, rseau, puis applicatifs.
Et an de bien comprendre, quoi de mieux quune analogie ?
Comparons donc le voyage de nos informations travers Internet lacheminement
dune carte postale, dont les tapes, du centre de tri postal la bote aux lettres,
correspondraient aux dirents ordinateurs traverss.

Les protocoles physiques


An de livrer notre courrier bon port, plusieurs moyens de transport peuvent tre
utiliss successivement : avion, bateau, camion, ou encore bicyclette.
Chacun de ces itinraires obit un certains nombres de rglements : code de la route,
aiguillage arien, droit maritime, etc.
De mme, sur Internet, les diverses technologies matrielles prsentes prcdemment page precedente
impliquent lusage de direntes conventions. On parle dans ce cas de protocoles phy-
siques.
14 I. COMPRENDRE

Les protocoles rseau


Cependant, savoir naviguer ne sut pas pour pouvoir acheminer notre carte postale.
Il faut galement savoir lire un code postal et possder quelques notions de gographie
pour atteindre le destinataire, ou du moins le centre de tri le plus proche.

Cest l quinterviennent les protocoles rseau : leur but est de permettre lachemine-
ment dinformations dune machine une autre, parfois trs loigne, indpendam-
ment des connexions physiques entre ces machines.

Les protocoles applicatifs


Maintenant que nous avons la possibilit de faire transiter des informations entre nos
interlocuteurs, et de les faire parvenir bon port, reste saccorder sur un dernier
point : la langue utilise sur la carte postale.

page 19 Aussi est-il ncessaire que, dans les changes informatiques, les applications, utilisent
une langue commune. Pour cela, elles saccordent sur lusage de protocoles applicatifs
similaires.

Des protocoles encapsuls


En ralit, ces protocoles sont employs simultanment lors dune communication,
chacun dentre eux ayant un rle dans lacheminement des informations.

Il est courant de reprsenter ces dirents protocoles en couches qui se superposent.

Des protocoles encapsuls

De fait, lorsquon communique par courrier, notre communication se base sur lcri-
ture, puis sur lacheminement par la Poste, qui se base elle-mme sur dirents moyens
de transport.

De manire similaire, une application Internet utilisera un protocole applicatif pr-


cis, sera aiguille grce lusage de protocoles rseau, et parcourera les direntes
infrastructures en respectant les protocoles physiques en vigueur.

On parle dencapsulation (mettre dans une capsule) : le protocole applicatif est en-
capsul dans le protocole de communication, protocole lui-mme encapsul dans le
protocole rseau.

1.2.2 Le protocole IP
Il est intressant de remarquer que contrairement aux protocoles physiques et ap-
plicatifs, les protocoles rseau sont relativement universels. Les protocoles physiques
voluent au gr des avances technologiques, laires ou sans-l. Les protocoles appli-
catifs voluent avec le dveloppement de nouvelles applications : web, email, chat,
etc. Entre ces deux niveaux, pour savoir par o passer et comment acheminer nos
paquets travers les millions de rseaux dInternet, tout passe depuis les annes 80
par le protocole IP : Internet Protocol.
1. BASES SUR LES RSEAUX 15

Paquets
Dans le protocole IP, les informations transmettre sont dcoupes et emballes
dans des paquets, sur lesquels sont crits notamment ladresse dexpdition et celle
de destination. Cette tiquette sur laquelle sont crites les informations utiles
lacheminement des paquets, laller comme au retour, est appele len-tte du paquet.
Les paquets dinformations sont ensuite transmis indpendamment les uns des autres,
parfois en utilisant dirents chemins, puis rassembls une fois arrivs destination.
Cest pourquoi un autre protocole, appel TCP, pour Transmission Control Protocol,
est couramment utilis, en complment du protocole IP, pour sassurer que tous les
paquets sont arrivs et quils sont rassembls dans le bon ordre. Cela dit, il existe
dautres protocoles de transport de ces paquets 7 .

Adresse IP
Pour que cela fonctionne, tout ordinateur connect au rseau doit avoir une adresse,
qui est utilise pour lui envoyer des paquets : ladresse IP. Cette adresse doit tre
unique au sein dun rseau. En eet, si plusieurs ordinateurs du rseau avaient la
mme adresse, le rseau ne pourrait pas savoir quel ordinateur envoyer les paquets.

On peut comparer ladresse IP un numro de tlphone : chaque poste tlphonique


doit avoir un numro de tlphone pour quon puisse lappeler. Si plusieurs postes
tlphoniques avaient le mme numro de tlphone, il y aurait un problme.

Les adresses utilises depuis les dbuts dInternet se prsentent sous la forme de quatre
numros, spars par un point : on parle dadresses IPv4. Une adresse IPv4 ressemble
: 203.0.113.12.

Ces adresses IPv4 ont t standardises une poque o les ordinateurs personnels
ntaient pas si rpandus ; il y a 4 milliards dadresses IPv4 possibles et cela semblait
amplement susant, tel point quelles ont t utilises sans parcimonie. Depuis, le
nombre dadresses possibles est devenu trop petit par rapport la quantit dordi-
nateurs utiliss de nos jours. Pour cette raison, dans un futur proche, une nouvelle
norme est suppose se gnraliser, lIPv6 8 , qui permet de connecter beaucoup plus
dordinateurs Internet 9 sans que deux dentre eux ne se retrouvent avec la mme
adresse IP.

Ladresse IP est une information extrmement utile pour quiconque cherche sur-
veiller ce qui se passe sur un rseau, car elle identie un ordinateur du rseau de
faon unique un instant donn sans pour autant tre une preuve relle 10 contre une
personne (un ordinateur peut tre utilis par plusieurs personnes). Elle peut nan-
moins indiquer lorigine gographique dune connexion, donner des indices, amorcer
ou conrmer des suspicions.

1.3 Les rseaux locaux


On peut faire des rseaux sans Internet. Dailleurs, les rseaux informatiques sont
apparus bien avant Internet. Dans les annes 60, des protocoles rseau comme HP-

7. Un autre protocole couramment utilis pour la transmission est UDP, pour User Datagram
Protocol, utilis notamment quand il est ncessaire de transmettre des donnes trs rapidement,
quitte en perdre une partie, comme pour la tlphonie sur Internet : les micro-coupures dans la
communication entraines par de lgres pertes de donnes seront imperceptibles pour les utilisateurs,
comme cest le cas avec la tlphonie classique.
8. Une adresse IPv6 ressemble : 2001:0db8:85a3:0000:0000:8a2e:0370:7334.
9. Cette nouvelle norme pose de nouveaux problmes vis--vis de notre anonymat en ligne. F.
Florent, 2011, Journal IPv6 et consquences sur lanonymat [https://linuxfr.org/users/ffourcot/
journaux/ipv6-et-consquences-sur-lanonymat]. suivre, donc. . .
10. legalis, 2013, Ladresse IP, preuve insusante de lauteur dune suppression de donnes sur
Wikipdia [http://www.legalis.net/spip.php?page=breves-article&id_article=3885]
16 I. COMPRENDRE

IB 11 , ne permettant de connecter quun nombre restreint dordinateurs, faisaient dj


fonctionner des rseaux locaux.

1.3.1 Le rseau local, structure de base de lInternet


Quand on branche plusieurs ordinateurs entre eux dans un mme btiment, maison,
cole, universit, bureau, etc., on parle de rseau local (ou LAN, pour Local Area
Network). Les ordinateurs peuvent alors communiquer entre eux, par exemple pour
changer des chiers, partager une imprimante ou jouer en rseau.
On peut comparer les rseaux locaux aux rseaux tlphoniques internes de certaines
organisations (entreprise, universit).
Ces rseaux locaux sont souvent composs de dirents appareils qui communiquent
entre eux :

Schma dun rseau local

1.3.2 Le switch
Pour relier les machines constituant un rseau local, on les connecte en gnral cha-
cune une multiprise rseau, que ce soit avec un cble ou par des ondes Wi-Fi. On
utilise souvent un switch , que lon peut comparer une multiprise intelligente :
au lieu de transmettre chaque paquet qui lui arrive tous les ordinateurs branchs,
un switch lit ladresse indique sur le paquet pour ne lenvoyer qu la bonne prise de
destination.
Lquivalent du switch des rseaux laires sappelle un Point daccs dans le
monde sans-l. Chaque point daccs possde un nom, qui est dius aux environs
(cest la liste des rseaux Wi-Fi quache notre logiciel rseau).
Pour reprendre notre comparaison, le switch est un peu comme la factrice de quartier,
qui va dispatcher le courrier, dans tout le quartier, chaque destinataire. Pour cela, le
page 10 switch se souvient de la liste des cartes rseau, identies par leur adresse matrielle,
branches sur chacune de ses prises.
Tout comme laccs physique une machine donne beaucoup de possibilits pour
rcuprer les informations qui sy trouvent, avoir accs physiquement un rseau
permet, sauf dfenses particulires, de se faire passer pour lune des autres machines
de ce rseau. Cela rend possible de collecter beaucoup dinformations sur les com-
page 64 munications qui y circulent, en mettant en place une attaque de type homme du
milieu 12 . Laccs physique au rseau peut se faire en branchant un cble un switch,
mais aussi en y pntrant via un point daccs Wi-Fi.
11. Wikipdia, 2014, HP-IB [https://fr.wikipedia.org/wiki/HP-IB].
12. Vinc14 et junior0, 2013, Lattaque de lhomme du milieu (MITM) [http://fr.openclassrooms.
com/informatique/cours/les-reseaux-de-zero/l-attaque-de-l-homme-du-milieu-mitm]
1. BASES SUR LES RSEAUX 17

1.3.3 Adressage
Pour que les machines quon connecte au rseau puissent communiquer avec le proto-
cole IP, elles doivent avoir chacune une adresse IP. Plutt que de congurer ladresse page 12
IP et les paramtres du rseau manuellement sur chaque machine, des logiciels et
protocoles ont t dvelopps pour automatiser cette tape lors du branchement un
rseau, comme par exemple le protocole DHCP 13 .

Pour fonctionner, ce logiciel doit garder en mmoire lassociation de telle carte rseau,
identie par son adresse matrielle, telle adresse IP. Ce logiciel fonctionne souvent page 10
sur un petit ordinateur qui peut se trouver dans le mme botier que le switch (comme
par exemple dans une box internet), mais il peut tre ailleurs sur le rseau local.
Cette correspondance entre ladresse IP et ladresse matrielle nest utile que dans ce
rseau local, car elle est lie au protocole physique utilis en son sein. Ces adresses
matrielles nont donc aucune raison technique de circuler sur Internet, mais cela
arrive tout de mme 14 .

1.3.4 Connexion dautres rseaux


Si la plupart des rseaux locaux sont de nos jours relis Internet, cela nest pas
ncessaire : des ordinateurs peuvent tout fait communiquer entre eux, au sein dun
rseau local, sans connexion Internet. Ce quon appelle Internet nest dailleurs
quune interconnexion de rseaux locaux.

Pour connecter le rseau local dautres rseaux, il faut un routeur. Cest un ordina-
teur dont le rle est de faire transiter des paquets entre deux rseaux ou plus. Quand
ce routeur sert faire transiter les paquets entre un rseau local et Internet, il est
appel passerelle.

Une box que lon utilise pour raccorder une maison Internet joue ce rle de
routeur. Elle dispose dune carte rseau connecte au rseau local, mais aussi dun
modem ADSL connect au rseau du fournisseur daccs Internet : on parle de
modem-routeur. Elle fait partie non seulement du rseau local, mais aussi dInternet :
cest ladresse IP de la box qui est visible depuis Internet sur tous les paquets
quelle achemine pour les ordinateurs du rseau local.

Le fournisseur daccs Internet (ou FAI ) est une organisation orant une connexion
Internet, que ce soit via une ligne tlphonique, un cble coaxial ou une bre optique.
En France, les principaux fournisseurs daccs Internet commerciaux sont, pour
un usage domestique, Orange, Free, SFR ou numericable. Il existe aussi des FAI
associatifs tels FDN.

La box est un petit ordinateur qui intgre, dans le mme boitier que le modem-
routeur, les logiciels permettant la gestion du rseau local (comme le logiciel de
DHCP), ainsi quun switch Ethernet ou Wi-Fi pour brancher plusieurs ordinateurs plus bas
mais aussi parfois un dcodeur de tlvision, un disque dur, etc.

1.3.5 NAT et adresses rserves pour les rseaux locaux


Les organismes de standardisation dInternet se sont rendus compte dans les annes
90 que le nombre dadresses IPv4 disponibles nallait pas tre susant pour faire face page 12
la croissance rapide du rseau. Pour rpondre ce problme, on a rserv certaines
plages dadresses pour les rseaux privs, qui ne sont pas utilises sur Internet : ce
sont les adresses prives.

13. Utilis dans les rseaux IPv4, DHCP signie protocole de conguration dynamique dhte
(Dynamic Host Conguration Protocol en anglais).
14. Lun des cas o ladresse matrielle circule sur Internet est lutilisation de portails captifs, dont
on parlera plus tard [page 28].
18 I. COMPRENDRE

Ainsi, la plupart des box assignent aux ordinateurs qui sy connectent des
adresses commenant par 192.168 15 . Plusieurs rseaux locaux peuvent utiliser les
mmes adresses IP prives, au contraire des adresses IP sur Internet, qui doivent tre
uniques au niveau mondial.
Les paquets portant ces adresses ne peuvent pas sortir du rseau priv tels quels.
Ces adresses prives ne sont donc utilises que sur le rseau local : ma machine a
lIP 192.168.0.12 sur le rseau local, mais semblera utiliser ladresse IP de la box
pour les autres machines avec qui elle communiquera par Internet (par exemple,
203.0.113.48) : ce sera ladresse publique. La box se charge de modier les paquets
en consquence grce la traduction dadresse rseau (NAT pour Network Address
Translation).

1.4 Internet : des rseaux interconnects


Internet signie interconnected networks, cest--dire interconnexion de rseaux .
Comme son nom le suggre, le terme Internet dsigne la connexion entre eux de
nombreux rseaux de taille variable, comparables aux rseaux locaux dont on vient
de parler. Chacun de ces rseaux est appel systme autonome (Autonomous System
ou AS en anglais).

1.4.1 Des systmes autonomes


Un systme autonome peut typiquement tre celui dun fournisseur daccs Internet
(par exemple Free ou SFR). Chaque box qui sert connecter un rseau local do-
mestique Internet fait ainsi partie du rseau du fournisseur daccs, qui est lui-mme
interconnect dautres systmes autonomes pour former Internet. Les organisations
qui hbergent des sites Internet (par exemple Dailymotion ou Google) et celles qui
grent les gros tuyaux , comme les cbles transatlantiques par lesquels passent une
grande partie des ux de donnes de lInternet, possdent aussi leurs propres systmes
autonomes.

Internet est une inter-connexion de rseaux autonomes

Ainsi, Internet nest pas un grand rseau homogne qui serait gr de faon centrale,
mais est plutt constitu dun ensemble dordinateurs et de liaisons rseau qui ap-
partiennent des organisations et des entreprises diverses et varies, chacune ayant
son fonctionnement propre.
Tous ces rseaux, infrastructures et ordinateurs ne marchent pas tous seuls : ils sont
grs au quotidien par des gens, appels administrateurs ou administratrices systmes

15. Les plages dadresses prives sont dnies par convention dans un document appel RFC
1918 . Elles incluent, en plus des adresses commenant par 192.168, celles qui commencent par 10
et de 172.16 172.31.
1. BASES SUR LES RSEAUX 19

et rseau, ou admins 16 . Ce sont eux qui soccupent dinstaller, dentretenir et


de mettre jour ces machines. Pour cela, ils ont ncessairement accs normment
dinformation sur les ordinateurs dont ils soccupent.

En termes de surveillance, les intrts commerciaux et les obligations lgales des sys-
tmes autonomes sont trs varis en fonction des tats et des types dorganisation en
jeu (institutions, entreprises, associations, etc.). Personne ne contrle entirement In-
ternet, et son caractre mondial rend complique toute tentative de lgislation unie.
Il ny a donc pas dhomognit des pratiques.

Interconnexion de rseaux
De la mme faon que lon a branch notre rseau local au systme autonome de
notre FAI, celui-ci tablit des connexions dautres rseaux. Il est alors possible
de faire passer des informations dun systme autonome un autre. Cest grce
ces interconnexions que nous pouvons communiquer avec les dirents ordinateurs
formant Internet, indpendamment de lAS auquel ils appartiennent.

Un routeur

Un routeur est un ordinateur qui relie et fait communiquer plusieurs rseaux. Il est
allum en permanence et sa forme ressemble davantage une grosse bote de pizza qu
un ordinateur personnel ; son principe de fonctionnement reste cependant similaire
celui des autres ordinateurs, et on lui adjoint quelques circuits spcialiss pour
basculer trs vite les paquets dun rseau un autre.

Les systmes autonomes se mettent daccord pour tablir ces connexions au cas par
cas, en gnral en fonction de leurs intrts conomiques : il sagit pour eux denvoyer
leur trac rseau bon port au moindre cot. Cela passe souvent par des accord
dchange de trac, qui dcoulent parfois sur des litiges : ainsi, en 2011, loprateur
de transit Cogent et le fournisseur daccs Internet franais Orange avaient un
accord de troc de trac rseau, mais Cogent envoyait jusqu 13 fois plus de
trac quOrange. Orange a alors ralenti volontairement le trac rseau venant de
Cogent, qui a son tour port plainte contre Orange. . . et perdu 17 .

Des points dinterconnexion. . .


Les oprateurs fournissant linfrastructure rseau ont dabord commenc par tirer
des cbles directement entre leurs routeurs, avant de se rendre compte que a faisait
beaucoup de cbles, et beaucoup de frais, et donc que a serait souvent plus simple
si tout le monde en tirait un qui arrivait au mme endroit.

Il y a donc des endroits o de nombreux systmes autonomes se relient entre eux.


Chacun de ces endroits est appel point dinterconnexion (IX pour Internet Exchange
Point) : les systmes autonomes qui veulent sy connecter y amnent chacun un cble
et y installent des routeurs. Du fait de la quantit importante de trac qui passe par

16. On parlera plus loin d admins pour dsigner les administrateurs ou administratrices.
17. Marie-Ccile Renault, 2012, Neutralit du Net : Orange
gagne face Cogent [http://www.lefigaro.fr/hightech/2012/09/20/
01007-20120920ARTFIG00732-neutralite-du-net-orange-gagne-face-a-cogent.php].
20 I. COMPRENDRE

ces lieux, ceux-ci sont dune grande importance stratgique pour les tats et autres
organisations qui voudraient surveiller ce qui transite par le rseau. 18

. . . relis entre eux


Les grands centres dinterconnexion sont relis par de gros faisceaux de bres op-
tiques. Lensemble de ces liaisons forment les pines dorsales (backbones en anglais)
dInternet 19 .
Ainsi, pour relier lEurope lAmrique, plusieurs faisceaux de bres optiques courent
au fond de locan Atlantique. Ces faisceaux de bres sont autant de points de fai-
blesse, et il arrive de temps en temps quun accident, par exemple une ancre de bateau
qui coupe un cble, ralentisse fortement Internet lchelle dun continent 20 . a peut
paratre trange, vu quhistoriquement, lide dInternet tait dinspiration militaire :
un rseau dcentralis, qui multiplie les liens pour tre rsistant la coupure de lun
deux.

page 12 1.4.2 Routage


Nous avons vu que les ordinateurs schangeaient des informations en les mettant
dans des paquets.
Imaginons deux ordinateurs connects Internet sur des rseaux dirents qui veulent
senvoyer un paquet dinformations. Par exemple, lordinateur personnel dAlice, situ
en Europe, se connecte celui de Betty, situ aux tats-Unis.

Routage

Lordinateur dAlice accde Internet par sa box , qui se trouve sur le rseau de
son fournisseur daccs Internet (ou FAI).
Lordinateur de Betty, lui, fait partie du rseau de son universit.
Le paquet destin lordinateur de Betty arrivera tout dabord sur le rseau du FAI
dAlice. Il sera transmis au routeur C de son FAI, qui joue le rle de centre de tri.
Le routeur lit ladresse de lordinateur de Betty sur le paquet, et doit dcider qui

18. Guillaume Champeau, Juin 2013, Comment lAllemagne aussi espionne nos communica-
tions [http://www.numerama.com/magazine/26279-comment-l-allemagne-aussi-espionne-nos-communications.
html]
19. TeleGeography, 2017, Submarine Cable Map [http://www.submarinecablemap.com/] (en anglais)
20. Pierre Col, 2009, Internet, les ancres de bateaux et les sismes sous-marins [http://www.zdnet.
fr/blogs/infra-net/internet-les-ancres-de-bateaux-et-les-seismes-sous-marins-39602117.htm] (en
franais), Earl Zmijewski, 2008, Mediterranean Cable Break [https://www.renesys.com/blog/2008/01/
mediterranean_cable_break.shtml] (en anglais).
1. BASES SUR LES RSEAUX 21

faire passer le paquet pour quil se rapproche de sa destination. Comment seectue


ce choix ?

Chaque routeur maintient une liste des rseaux auxquels il est connect. Il envoie
rgulirement les mises jour de cette liste aux autres routeurs qui il est branch,
ses voisins, qui font de mme. Cest grce ces listes quil peut aiguiller les paquets
reus et les transmettre vers leur destination.

Ainsi, le routeur du FAI dAlice sait quil peut joindre le rseau de luniversit de
Betty par 4 intermdiaires en envoyant le paquet au routeur D. Mais il peut aussi
lenvoyer par 2 intermdiaires, en le passant au routeur E. Il va choisir denvoyer le
paquet E, qui a un chemin plus direct.

Le paquet arrive ainsi E, le routeur dun oprateur de transit, une organisation paye
par le FAI dAlice pour acheminer des paquets. E va faire le mme genre de calcul,
et envoyer le paquet F. Le rseau de F comprend des ordinateurs non seulement en
Europe, mais aussi aux tats-Unis, relis par un cble transatlantique. F appartient
une entreprise, similaire celle qui gre E, qui est paye par luniversit de Betty.
F envoie nalement le paquet au routeur de luniversit, qui lenvoie lordinateur
de Betty. Ouf, voil notre paquet arriv destination.

Ainsi, chaque paquet dinformation qui traverse Internet passe par plusieurs rseaux.
chaque fois, un routeur joue le rle de centre de tri, et lenvoie un routeur
voisin. Au nal, chaque paquet passe par beaucoup dordinateurs dirents, qui ap-
partiennent des organisations nombreuses et varies.

De plus, la topologie du rseau, savoir son architecture, la disposition des dirents


postes informatiques ainsi que leur hirarchie changent au l du temps. Lorsque le
lendemain Alice se connecte de nouveau lordinateur de Betty, les paquets que son
ordinateur envoie ne prendront pas ncessairement le mme chemin que la veille. Par
exemple, si le routeur E est teint la suite dune coupure de courant, le routeur du
FAI dAlice fera passer le paquet par D, qui avait auparavant une route plus longue.

Cest en agissant au niveau du routage que le gouvernement gyptien a fait couper


Internet lors de la rvolution de 2011. Les routeurs des principaux fournisseurs daccs
Internet du pays ont cess de dire aux autres routeurs que cest eux quil fallait
sadresser pour acheminer les paquets vers les ordinateurs gyptiens 21 . Ainsi, les
paquets destins lgypte ne pouvaient plus trouver de chemin, interrompant de
fait laccs au rseau, le tout sans avoir coup le moindre cble.

1.5 Des applications varies


On se sert souvent dInternet pour accder des pages web, cest--dire un ensemble
de pages accessibles sur des serveurs, que lon consulte partir dun navigateur web : page 21
https://guide.boum.org est un exemple de site web. Le langage courant confond fr-
quemment le web avec Internet, avec des expressions comme aller sur Internet
par exemple. Or, le web nest quun des nombreux usages dInternet.

Il existe en fait de trs nombreuses applications qui utilisent Internet, que la plupart
des internautes nont pas conscience dutiliser. Outre le web, on peut ainsi citer le
courrier lectronique, la messagerie instantane, le transfert de chiers, les monnaies
numriques comme Bitcoin, etc.

Ainsi, vous pourrez rencontrer ces dirents protocoles qui, sils utilisent Internet, ne
sont pas du web :

21. Stphane Bortzmeyer, 2011, Coupure de lInternet en gypte [http://www.bortzmeyer.org/


egypte-coupure.html].
22 I. COMPRENDRE

SMTP, POP, IMAP sont des protocoles utiliss dans la messagerie lectronique 22 ,
dont il existe galement des versions chires IMAPS, POPS, SMTPS ;
Skype, Yahoo Messenger, IRC et XMPP sont des protocoles utiliss dans la messa-
gerie instantane.
En fait, une personne qui a des connaissances susantes en programmation peut crer
elle-mme un nouveau protocole et donc une nouvelle application dInternet.

1.5.1 Protocole applicatif


Chaque application dInternet utilise ainsi un langage particulier, appel protocole ap-
page 11 plicatif, et met ensuite le rsultat dans les paquets qui sont transmis par les protocoles
rseau dInternet. On peut comparer le protocole applicatif la langue dans laquelle
on crit le texte dune carte postale : il faut que lexpditeur et le destinataire com-
prennent cette langue. Cependant, la Poste na pas besoin dy comprendre quoi que
ce soit, tant que la lettre contient une adresse valide.
En gnral, les cartes postales ne sont pas mises dans des enveloppes : nimporte qui
sur la route peut les lire. De mme, les langages de la plupart des applications ne
tome 1 ch. 5 sont absolument pas chirs : non seulement la source et la destination crites dans
len-tte des paquets sont lisibles par quiconque, mais le contenu des paquets lest
aussi.
Les protocoles applicatifs ne sont pas gaux non plus pour ce qui est de leur trans-
parence. Si beaucoup dentre eux sont dnis par des conventions ouvertes, acces-
sibles (et donc vriables) par tous, certaines applications utilisent des protocoles
tome 1 4.1 propritaires pas ou peu documents. Il est alors dicile danalyser les ventuelles
informations sensibles que contiendraient les donnes changes. Par exemple, Skype
fonctionne comme une vritable bote noire, qui fait ce quon veut (communiquer),
mais possiblement beaucoup dautres choses : il a t notamment dcouvert que
le contenu des messages est analys et ventuellement censur 23 et que toutes les
adresses web qui sont envoyes via la messagerie sont transmises Microsoft 24 .

1.5.2 Port
On peut utiliser de nombreuses applications simultanment partir dun mme ordi-
nateur : lire ses emails dans le gestionnaire demails Thunderbird, regarder le site web
de la SNCF, tout en tchattant avec ses potes par messagerie instantane en coutant
de la musique en ligne. Chaque application doit recevoir seulement les paquets qui lui
sont destins et qui contiennent des messages dans une langue quelle comprend. Or,
chaque ordinateur connect au rseau na quune seule adresse IP. On ajoute donc,
cette adresse, un numro, qui permet lordinateur de faire parvenir le paquet
la bonne application. On crit ce numro sur le paquet, en plus de ladresse : cest le
numro de port.
Pour comprendre, comparons notre ordinateur un immeuble : limmeuble na quune
seule adresse, mais abrite de nombreux appartements, et direntes personnes. Le
numro dappartement inscrit sur une enveloppe permet de faire parvenir le courrier
au bon destinataire. Il en est de mme pour les numros de port : ils permettent de
faire parvenir les donnes la bonne application.
Certains numros de port sont assigns, par convention, des applications particu-
lires. Ainsi, quand notre navigateur veut se connecter un serveur web, il sait quil
22. Il existe une dirence notable dans les protocoles employs, qui a des consquences en termes
de condentialit et danonymat, selon quon utilise une bote mail par le biais de son navigateur
(webmail) ou par le biais dun client de messagerie. Tout cela sera dvelopp plus loin [page 93].
23. Slate.com, 2013, Lance des ufs , cinma coquin . . . La liste des mots surveills par Skype
en Chine [http://www.slate.fr/monde/69269/tom-skype-surveillance-chine-espionnage-liste-noire].
24. Jrgen Schmidt, 2013, Skypes ominous link checking : Facts and speculation [http://www.
h-online.com/security/features/Skype-s-ominous-link-checking-Facts-and-speculation-1865629.html]
(en anglais).
1. BASES SUR LES RSEAUX 23

doit toquer au port 80 (ou 443 dans le cas dune connexion chire). De la mme
faon, pour livrer un email, notre ordinateur se connectera en gnral au port 25 du
serveur (ou 465 sil sagit dune connexion chire). plus bas
Sur lordinateur quon utilise, chaque application connecte Internet ouvre au moins
un port, que ce soit un navigateur web, un logiciel de messagerie instantane, un lec-
teur de musique, etc. Ainsi, le nombre de ports ouverts dans le cadre dune connexion
Internet peut tre trs lev, et fermer son navigateur web est souvent loin dtre
susant pour couper toute connexion au rseau. . .

Plus il y a de ports ouverts, plus il y a de points par


lesquels sinltrer dans un ordinateur connect au r-
seau. Cest le rle habituellement dvolu aux pare-feu
(rewall en anglais) que de ne laisser ouverts que cer-
tains ports dnis dans leur conguration et de rejeter
les requtes allant vers les autres.
.

1.6 Des clients, des serveurs


Historiquement, dans les annes 80, chaque ordinateur connect Internet fournissait
une partie dInternet. Non seulement il servait aller voir des choses sur Internet ,
mais il proposait galement des informations, des donnes et des services aux autres
utilisateurs connects Internet : il faisait Internet autant quil y accdait.
Le tableau gnral est trs dirent de nos jours. On a vu quil existe des ordinateurs
allums en permanence qui se chargent de relier des bouts dInternet entre eux, les
routeurs. De mme il y a une autre catgorie dordinateurs allums en permanence qui,
eux, contiennent presque toutes les donnes et services disponibles sur Internet. On
appelle ces ordinateurs des serveurs, car ils servent des informations et des services.
Ils centralisent la plupart des contenus, que ce soient des sites web, de la musique, des
emails, etc. Cela induit de la verticalit dans la hirarchie du rseau. En eet, plus
on dispose dinformation, au sens large, plus on a potentiellement de pouvoir.
Les serveurs sopposent aux clients, qui ne font quaccder aux informations. Cette si-
tuation correspond un Internet o les utilisateurs deviennent des clients et sont donc
principalement passifs, centralisant Internet autour des fournisseurs de contenus 25 .
Prenons lexemple dun des services disponibles sur Internet, le site web du Guide
dautodfense numrique [https://guide.boum.org/] : lorsque Alice consulte une page
de ce site web, son ordinateur joue le rle de client, qui se connecte au serveur qui
hberge le Guide dautodfense numrique.
Cela dit, nimporte quel ordinateur peut tre la fois client et serveur, que ce soit
dans un mme temps ou successivement. Ces deux usages ne sont pas dtermins par
le type de machine.

1.6.1 Les serveurs de noms


LorsquAlice demande son navigateur web daller sur le site du Guide dautodfense
numrique, son ordinateur doit se connecter au serveur qui hberge ce site.
Pour cela, il est ncessaire de connatre ladresse IP du serveur. Or une adresse page 12
IP est une suite de nombres assez pnible mmoriser, taper ou transmettre :
204.13.164.188 (une adresse IPv4). Pour rsoudre ce problme, il existe des serveurs

25. La confrence de Benjamin Bayart, Internet ou Minitel 2.0 (confrence aux 8e rencontres
mondiales du logiciel libre, 13 juiller 2007, Amiens) [http://www.fdn.fr/Internet-libre-ou-Minitel-2.
html] explique trs bien ce glissement et les enjeux quil recouvre.
24 I. COMPRENDRE

qui on peut poser des questions comme quelle est ladresse IP de guide.boum.org ? ,
comme on chercherait dans lannuaire tlphonique quel est le numro dun corres-
pondant. Ce systme sappelle le DNS (Domain Name System, ce qui donne sys-
tme de noms de domaine en franais). Lordinateur dAlice commence donc, via
sa box , par interroger le serveur DNS de son fournisseur daccs Internet pour
obtenir ladresse IP du serveur qui hberge le nom de domaine guide.boum.org.
Lordinateur dAlice reoit en retour ladresse IP du serveur et peut donc communi-
quer avec celui-ci.

1.6.2 Chemin dune requte web


Lordinateur dAlice se connecte alors cette IP, donc au serveur, et lui envoie une
requte qui signie envoie-moi la page daccueil du site web guide.boum.org . Les
paquets qui vhiculent la demande partent de son ordinateur et passent alors par
sa box pour arriver au routeur de son fournisseur daccs. Ils traversent ensuite
page 16 plusieurs rseaux et routeurs, pour atteindre enn le serveur de destination.

page 28

Schma dune requte web

1.6.3 Le logiciel serveur


An denvoyer Alice la page web demande, le serveur recherche alors celle-ci dans
sa mmoire, sur son disque dur, ou la fabrique :
Les pages consultables sur le web nexistent pas forcment sous une forme telle quon
peut la voir sur notre ordinateur avant quon ait demand y accder. Elle sont sou-
vent gnres automatiquement, la demande. On parle alors de site web dynamique,
par opposition au site web statique dont les pages sont crites par avance.
Par exemple, si lon cherche ouistiti moteur virtuose dans un moteur de recherche,
tome 1 4.1.1 il na pas encore la rponse en rserve. Le serveur excute alors le code source du site
pour calculer la page contenant la rponse avant de nous lenvoyer.
Sur le serveur, il y a donc un logiciel qui fonctionne, et qui rpond lorsquon lui
fait une requte. Ce logiciel serveur est spcique chaque application : cest lui qui
page 11 comprend le protocole applicatif. Dans le prsent exemple, ce logiciel recherche et sert
lordinateur dAlice la page web : on lappelle donc un serveur web.

1.6.4 Lhbergement des serveurs


plus bas Les serveurs, ordinateurs sur lesquels fonctionnent les logiciels serveurs voqus
prcdemment, sont en gnral regroups dans des immeubles disposant dune bonne
connexion au rseau et dune alimentation lectrique trs able : des centres de don-
nes (ou data center en anglais).
1. BASES SUR LES RSEAUX 25

Une alle de routeurs dans un centre de donnes

De nos jours, la mode est de parler de cloud computing ( informatique en nuage en


anglais). Ce concept de marketing ne remet pas en cause la sparation entre clients
et serveurs, bien au contraire. Il signie simplement que les donnes sont susceptibles
dtre dplaces dun serveur un autre, pour des raisons lgales, techniques ou
conomiques. Et cela sans que leurs propritaires en soient ncessairement informs.

La socit Google possde par exemple au moins 12


data centers rpartis sur 3 continents 26 an dassu-
rer loprabilit de ses services 24h/24h, 7j/7j, mme
lorsque certains quipements sont indisponibles.
Ce type dhbergeur fait tourner des centaines de ma-
chines physiques rparties dans plusieurs centres de
donnes autour du monde et mettent en commun
leur puissance de stockage et de calcul pour en faire
une super-machine abstraite. Ensuite, ils vendent des
machines virtuelles , cest--dire des parts de puis-
sance de calcul et de stockage de cette super-machine.
L Amazon Elastic Compute Cloud ou EC2 est lun
des services les plus connus dans ce domaine 27 .
.

Une machine virtuelle peut tre dplace automatiquement en fonction de lutilisation


des machines physiques, de la qualit de leur connexion au rseau, etc. Avec une telle
infrastructure, il est impossible de savoir lavance sur quelle machine physique et
donc prcisment quel endroit se trouve une machine virtuelle donne.
Cela rend en pratique impossible davoir du contrle sur nos donnes 28 . Seront-elles
rellement eaces des machines physiques si on les supprime ? On a vu dans
le premier Tome qu eacer des donnes sur un ordinateur tait quelque chose de tome 1 4.3
compliqu. Ce problme se corse encore si nous ne savons pas de quel ordinateur il
sagit. De plus, cela pose des problmes juridiques : des donnes lgales un endroit

26. Google, 2013, Data center locations [https://www.google.com/about/datacenters/inside/


locations/index.html](en anglais).
27. Wikipdia, 2014, Amazon EC2 [https://fr.wikipedia.org/wiki/Amazon_EC2]
28. Jos Poortvliet, 2011, openSUSE and ownCloud [https://news.opensuse.org/2011/12/20/
opensuse-and-owncloud/] (en anglais).
26 I. COMPRENDRE

peuvent se retrouver illgales parce que la machine qui les contient ou les sert sur
Internet a chang de juridiction.
Il y a donc eu un glissement dun Internet o tout le monde consultait et distribuait des
donnes, vers un modle o les donnes taient centralises sur des machines physiques
appeles serveurs, puis aujourdhui vers le cloud, o ces mmes donnes peuvent tre
enregistres, parfois parpilles, sur des serveurs indtermins. Il devient extrmement
compliqu de savoir au nal o elles sont rellement stockes, et lutilisateur a encore
moins de prise sur le devenir de ses donnes.
Chapitre 2
Traces sur toute la ligne

Le fonctionnement normal des rseaux implique que de nombreux ordinateurs voient


ce que lon y fait. Il nest pas question ici de surveillance active. Cest parfois compl-
tement ncessaire leur fonctionnement. Il arrive aussi que ces informations soient
collectes parce que cest plus pratique , par exemple pour diagnostiquer des pro-
blmes.
Or, le fonctionnement de nimporte quel ordinateur laisse un certain nombre de traces.
Cest le thme du premier tome de ce Guide. tome 1 ch. 2
Dans le cas dune utilisation en ligne, ce nest pas seulement lordinateur que lon a
devant les yeux qui peut garder des traces de ce que lon fait sur le rseau, mais aussi
chacun des ordinateurs par lesquels transitent les informations. Or ces informations
circulent en gnral telles quelles, cest--dire en clair, et non de faon chire. tome 1 5.1

2.1 Sur lordinateur client


Le client utilis pour se connecter au rseau a accs tout ce que lon y fait. Et
comme lors de nimporte quelle autre utilisation, lordinateur en garde, bien souvent,
des traces.
Comme cela a t longuement expliqu dans le premier tome de ce Guide, ces traces, tome 1 ch. 2
et laisance avec laquelle elles peuvent tre exploites, dpendent trs largement de
lordinateur et du systme dexploitation utiliss.

2.1.1 La mmoire des navigateurs


Pour tre plus agrables utiliser, les navigateurs web enregistrent de nombreuses
informations sur les pages que lon consulte. Quelques exemples : la plupart des na-
vigateurs web gardent un historique des pages web consultes ; ils proposent aussi
souvent denregistrer ce que linternaute saisit dans les formulaires qui se trouvent
sur certaines pages web, ainsi que les mots de passe des dirents comptes en ligne ;
et ils enregistrent en gnral les pages rcemment, ou courament, consultes, pour en
acclrer le chargement : on parle de mise en cache 1 . Cest lun des moyens pou-
vant permettre la police de retracer notre navigation sur Internet. Souvenons-nous,
dans notre histoire du dbut :

Apparemment, sur lordinateur ayant servi mettre en ligne les relevs


bancaires, il y aurait eu une connexion une bote mail dont ladresse
correspond une certaine Alice, chez Gmail, ainsi quune autre adresse
email, chez no-log cette fois-ci, peu de temps avant la publication des
documents incrimins.
1. Pour voir le contenu du cache du navigateur web Firefox ou de nimporte lequel de ses drivs,
comme Iceweasel ou le Navigateur Tor, taper about:cache dans la barre dadresse.
28 I. COMPRENDRE

2.1.2 Les cookies


Le mot Cookie vient de langlais fortune cookie , en rfrence des gteaux
qui cachent un message sur un petit papier. Un cookie est un petit texte
envoy par un site web que le navigateur de linternaute stocke, puis renvoie au site
chaque visite. Cest ce qui permet par exemple aux applications de mail en ligne
( webmail ) de se rappeler quon est bien authenti avec notre adresse et notre
mot de passe pendant notre session, ou de mmoriser la langue que lon dsire utiliser.
Les cookies permettent aussi un site web de pister les personnes qui le visitent.
Ainsi, les rgies publicitaires sur Internet incluent, dans les publicits quelles achent
sur les sites, des cookies traceurs qui permettent de suivre linternaute dans ses
dplacements sur tous les sites qui achent des publicits en provenance de la mme
rgie publicitaire. Ainsi, elles peuvent collecter des informations de plus en plus
prcises sur celui-ci et par consquent lui proposer une publicit de mieux en mieux
cible. 2
De plus, lorsquon consulte des pages web, celles-ci tablissent en fait des connexions
vers des sites de publicits et souvent vers les mmes sites, ce qui augmente dautant
plus la possibilit de pistage de la part de ces sites.
Enn, certains cookies ont une date dexpiration, mais dautres sont dure indnie
les sites qui nous les auront rels pourront identier notre navigateur pendant des
annes !
Les cookies classiques sont cependant restreints en termes de volume de donnes,
et faciles supprimer par un utilisateur averti. Aussi ont-ils t amliors tout
dabord via la technologie Flash par un objet local partag (en anglais Local Shared
Object ou LSO), aussi appel cookie Flash, qui permet de stocker plus de donnes 3 .
La nouvelle norme HTML5 inclut un mcanisme similaire, appel Stockage web
local 4 .
Dautres techniques consistent stocker le mme cookie dirents emplacements
dans le navigateur et recrer chaque visite ceux qui auraient t supprims en
partant du principe que si chacun peut tre supprim, ils ne le seront pas tous en
mme temps 5 .

2.1.3 Applications ct client


Dans lvolution du web et de ses navigateurs, il est rapidement devenu clair que pour
tome 1 4.1.1 avoir un minimum dinteractivit, il tait ncessaire quune partie du code source du
site web soit excute du ct du client, par le navigateur, et non sur le serveur web
page 22 qui hberge le site.
Cela a plusieurs aspects pratiques : du ct du serveur web, cest du travail en moins et
des conomies sur le matriel. Du ct du client, lachage et les fonctionnalits du
site sont acclrs. Cela permet aussi de minimiser le trac rseau entre le navigateur
et le site web : plus besoin de demander une page complte du site chaque fois que
lon clique sur un petit bouton, seul un petit fragment de la page doit tre transmis.
Des technologies ont t ajoutes aux navigateurs web pour permettre ces fonction-
nalits : JavaScript et Ajax, Flash et Java en sont les principaux reprsentants.

2. CNIL, La publicit cible en ligne, communication prsente en sance plnire le 5 f-


vrier 2009, M. Peyrat (rapporteur) [http://www.cnil.fr/PRIVOXY-FORCE/fileadmin/documents/La_CNIL/
actualite/Publicite_Ciblee_rapport_VD.pdf]
3. Wikipdia, 2014, Objet local partag [https://fr.wikipedia.org/wiki/Objet_local_partag].
4. Simon K., 2012, Stockage des donnes locales : Web Storage, alsacrations [http://www.
alsacreations.com/article/lire/1402-web-storage-localstorage-sessionstorage.html]
5. La bibliothque JavaScript evercookie [http://samy.pl/evercookie/] (en anglais) est un exemple
de ce type de technologies.
2. TRACES SUR TOUTE LA LIGNE 29

Mais ces petits plus ont galement un cot : comme prcis plus haut, cela signie
que lauteur dun site est en mesure dexcuter le code de son choix sur lordinateur
des personnes qui le visitent (ce qui pose de nombreux problmes de scurit, comme tome 1 3.2
nous lavons vu dans le premier tome de ce guide). Bien sr, des protections ont t
mises en place au sein des navigateurs 6 , mais elles ne couvrent pas tous les risques
et ne remplacent en tout cas pas la vigilance des internautes 7 .
Dautant que ces technologies ont parfois des fonctionnalits qui, si elles peuvent tre
utiles, posent question : ainsi, Flash ou WebRTC 8 peuvent accder au micro et
la camra de lordinateur sur lequel ils sont excuts 9 . Et dans le cas de Flash, il
sagit dun logiciel propritaire. . . Lusage de Flash est galement problmatique car tome 1 4.1.2
lintrieur mme du moteur dexcution ne peut tre inspect, et les corrections de
trous de scurit ne peuvent tre faites que par la socit Adobe qui le distribue.
On a vu que placer sa conance dans un logiciel tait un choix complexe. Ds lors, tome 1 4.1
lexcution de ce genre de programmes pose des questions quant au pouvoir donn aux
auteurs de sites ou dapplications web daccder aux ressources de notre ordinateur,
et aux informations quil contient.
De plus, avant dtre excuts par le navigateur, ces bouts de code transitent par
le rseau, souvent sans aucune authentication. Cela laisse le loisir aux personnes
malintentionnes et bien places de les modier, tout comme le reste dune page web.
Pour y introduire, par exemple, un logiciel malveillant. Il est aussi possible de jouer tome 1 ch. 3
avec les donnes que ces codes doivent traiter pour tenter de dtourner leur usage.
Ce genre de manipulation de pages web a par exemple t dtect par le pass lors de
lutilisation du point daccs Wi-Fi dun htel New York qui utilisait un quipement
rseau ddi cette tche. 10
Au nal, un navigateur web moderne a tellement de fonctionnalits quun ventuel
adversaire dispose dun nombre considrable dangles dattaque.

2.1.4 Dans les journaux des logiciels


Le navigateur web nest pas le seul logiciel enregistrer des traces sur lordinateur
utilis ; la plupart des logiciels ont des journaux. tome 1 2.4
Par exemple, les logiciels de messagerie instantane enregistrent souvent lhistorique
des conversations ; les logiciels de P2P ou Torrent, eux aussi, ont tendance se souve-
nir de ce quon a tlcharg rcemment ; les logiciels de mail gardent les emails quon
a tlchargs, etc.

Apparement, les collgues ont ni par retrouver le document sur un des


ordinateurs. Il a t tlcharg depuis le navigateur, et modi.

Dans notre histoire, ce sont les journaux de logiciels tels que le navigateur web et
lditeur de texte qui ont permis de retrouver les trace du document de Benot.

6. Il sagit en gnral de ne donner accs au code des sites web qu des fonctions limites en
lexcutant dans un bac sable . (Wikipdia, 2014, Sandbox (scurit informatique) [https:
//fr.wikipedia.org/wiki/Sandbox_(scurit_informatique)]
7. Flix Aim, 2012, Scurit des navigateurs [http://free.korben.info/index.php/Scurit_des_
navigateurs]
8. Technologie qui vise intgrer aux navigateurs web les communications en temps rel, par
exemple la voix sur IP (VOIP).
9. Une faille de scurit dans Flash permettait un pirate de dclencher leur insu
la webcam des personnes qui visitent un site web. Vincent Hermann, 2011, Flash corrig
pour empcher lespionnage par webcam et micro, PC INpact [http://www.pcinpact.com/news/
66557-adobe-flash-correction-faille-webcam-espion.htm]
10. Justin Watt, 2012, Hotel Wi JavaScript Injection [http://justinsomnia.org/2012/04/
hotel-wifi-javascript-injection/] (en anglais).
30 I. COMPRENDRE

2.2 Sur la box : ladresse matrielle de la carte rseau


On a vu que la carte rseau utilise par tout ordinateur pour se connecter possde une
page 10 adresse matrielle, ou adresse MAC. Cette adresse est utilise par les quipements
rseaux pour rediriger un paquet de donnes vers la bonne carte rseau, lorsque
plusieurs ordinateurs sont connects sur la mme box par exemple.
Normalement, cette adresse ne sort pas du rseau local. Cependant, on se connecte
en gnral directement la box dun fournisseur daccs Internet. Chaque carte
rseau connecte la box lui donne donc son adresse matrielle.
Le plupart des box gardent un journal qui contient ces adresses matrielles,
au moins pendant le temps o elles sont allumes. Elles ne sont pas supposes laisser
fuiter ce journal. Cependant, il est dicile de savoir les types et la quantit dinforma-
tions contenues dans ce journal, ainsi que lexistence potentielle de portes drobes 11
ou de failles de scurit permettant dy accder. En eet, ces box fonctionnent
tome 1 1.4 avec un logiciel install par le fournisseur daccs Internet, qui y garde un accs
privilgi, ne serait-ce que pour eectuer les mises jour du logiciel. Pour nous, la
box est donc considrer comme une vritable bote noire, dont nous navons
pas les cls, qui peut connatre (et faire) beaucoup de choses sur le rseau local.
De plus, lorsque le rseau local inclut lusage du Wi-Fi, il se peut que de manire
plus ou moins accidentelle les adresses matrielles des ordinateurs se connectant la
box en Wi-Fi soient enregistres par dautres ordinateurs coutant ce qui passe
dans les airs . Cest ainsi que les Google Cars, en mme temps quelles parcouraient
des milliers de rues pour tablir la carte de Google Street View, en ont prot pour
capturer les adresses MAC des ordinateurs environnants 12 .
Il est par contre possible de changer temporairement ladresse matrielle dune carte
rseau, an par exemple de ne pas tre pists avec nos ordinateurs portables 13 lors
de nos dplacements.
Il faut aussi mentionner les cas o, avant de pouvoir se connecter Internet, on doit
entrer un login et un mot de passe dans son navigateur web : cest souvent le cas sur
les rseaux Wi-Fi publics, que ce soit ceux dune agglomration, dune institution ou
dun fournisseur daccs Internet (FreeWi, SFR WiFi public et autres Bouygues
Telecom Wi-Fi). On appelle ces pages des portails captifs. Dans ce cas, en plus de
ladresse matrielle de la carte Wi-Fi, on donne lorganisation qui gre le portail
lidentit de la personne abonne correspondant ces identiants.

2.3 Sur les routeurs : les en-ttes de paquets


Sur le chemin entre un ordinateur et le serveur auquel on souhaite se connecter, il y
page 16 a de nombreux routeurs, qui relaient les paquets et les envoient au bon endroit.
Pour savoir o envoyer un paquet, ces routeurs lisent une sorte denveloppe sur laquelle
un certain nombre dinformations sont crites ; on appelle cette enveloppe len-tte
page 12 du paquet.
Len-tte dun paquet contient de nombreuses informations qui sont ncessaires son
acheminement, et notamment ladresse IP du destinataire, mais aussi celle de lexp-
diteur ( qui la rponse devra tre envoye). Le routeur voit donc quel ordinateur veut
parler quel autre ordinateur, de la mme manire que le facteur doit avoir ladresse
du destinataire pour lui transmettre le courrier, ainsi que ladresse de lexpditeur
pour un ventuel retour.
11. Une revue dtaile de nombreux routeurs compromis est disponible dans larticle Tiger-222,
2013, Routeurs dchus [http://tiger-222.fr/?d=2013/10/29/23/59/51-routeurs-dechus].
12. TOMHTML, 2011, Google condamn, lanalyse des Google cars dvoile [http://www.zorgloob.
com/2011/03/21/google-street-view-cnil/].
13. Wikipdia, 2014, Mac Spoong [https://fr.wikipedia.org/wiki/Filtrage_par_adresse_MAC#MAC_
Spoofing].
2. TRACES SUR TOUTE LA LIGNE 31

Les en-ttes contiennent aussi le numro du port source et celui du port de destination, page 20
ce qui peut renseigner sur lapplication utilise.
Pour faire leur travail, les routeurs doivent lire ces informations ; ils peuvent aussi en
garder la trace dans des journaux.
Bien quils naient pas de bonne raison de le faire, les routeurs sont aussi en mesure
daccder lintrieur de lenveloppe transporte ; par exemple, le contenu de la page page 46
web consulte par un internaute, ou celui dun email envoy : on parle alors dexamen
approfondi des paquets 14 (Deep Packet Inspection ou DPI en anglais).
Le fournisseur daccs Internet franais Orange inclut par exemple dans le contrat
de ses abonns une clause concernant lusage des donnes relatives son trac 15 .

2.4 Sur le serveur


Le serveur a accs comme les routeurs aux en-ttes des paquets IP et donc toutes page 12
ces informations dont on vient de parler. Il regarde notamment ladresse IP de la box
utilise par lordinateur qui se connecte pour savoir qui envoyer la rponse.
En plus des en-ttes IP, correspondant la couche rseau de la communication, le page 11
serveur lira les en-ttes de protocole applicatif qui correspond la couche applicative
de la communication. page 20

Mais le serveur lit aussi le contenu des paquets eux-mmes : cest en eet lui qui
doit ouvrir lenveloppe et lire la lettre pour y rpondre. Le logiciel serveur va alors
interprter la lettre reue, qui est crite avec le protocole applicatif, pour fournir la
rponse adapte.
Or, de trs nombreux protocoles applicatifs vhiculent aussi des informations qui
permettent didentier lordinateur qui se connecte - cest ce que nous allons voir en
dtails ici.
Les serveurs ont, comme les ordinateurs clients, des journaux systmes on en
parlera davantage dans la partie suivante. page 33

2.4.1 Les en-ttes HTTP


Lorsquun navigateur demande une page web, il inclut dans la requte le nom du
logiciel, son numro de version, le systme dexploitation utilis et la langue dans
laquelle celui-ci est congur.
Voici une requte envoy par le navigateur web Firefox :

GET /index.html HTTP/1.1


Host :example.org
User-Agent :Mozilla/5.0 (X11 ; Linux x86_64 ; rv :45.0) Gecko/20100101 Firefox/45.0
Accept :text/html,application/xhtml+xml,application/xml ;q=0.9,*/* ;q=0.8
Accept-Language :fr-FR,en ;q=0.5
Accept-Encoding :gzip, deflate
Referer :https ://www.google.com/search ?q=example+domain&ie=utf-8&oe=utf-8&aq=t
Cookie :PHPSESSID=r2t5uvjq435r4q7ib3vtdjq120

14. Wikipdia, 2014, Deep Packet Inspection [https://fr.wikipedia.org/wiki/Deep_packet_


inspection]
15. Martin Untersinger, 2012, Fin de lInternet illimit : a
se prcise chez Orange, qui dment [http://www.rue89.com/2012/10/11/
fin-de-linternet-illimite-ca-se-precise-chez-orange-236102].
32 I. COMPRENDRE

On y voit tout dabord une commande contenant le nom de la page demande


(index.html), le nom de domaine correspondant (www.example.org), suivie dun en-
tte qui contient entre autres le nom et la version de navigateur (Mozilla/5.0 Ge-
cko/20100101 Firefox/45.0) ainsi que le systme dexploitation utilis (Linux x86 64),
les langues acceptes (fr-FR pour franais de France, en pour anglais), la page sur
laquelle se trouvait le lien que linternaute a suivi pour arriver la page deman-
de (https://www.google.com/search?q=example+domain&ie=utf-8&oe=utf-8&aq=t, no-
page 26 ter les termes de recherche : example et domain ), et le cookie de session
(PHPSESSID=r2t5uvjq435r4q7ib3vtdjq120).
Ces informations sont l pour tre utilises par le serveur web, qui va adapter sa
rponse en fonction : cest notamment grce cela quun site disponible en plusieurs
langues sache dans notre langue sans que nous ayons eu lindiquer.
Mais ces informations, comme toutes celles qui transitent par le serveur, sont aussi
accessibles aux personnes qui soccupent de la maintenance du serveur : ses admins. . .
et leur hirarchie. En gnral, les serveurs gardent aussi ces informations dans des
page 36 journaux, plus ou moins longtemps, notamment pour faire des statistiques et pour
faciliter les diagnostics en cas de panne. Ils ajoutent aux en-ttes ladresse IP dorigine
ainsi que la date et lheure. Voici une ligne de journal enregistre pour notre requte
(ladresse IP se trouve au dbut : 203.0.113.16) :

203.0.113.16 - - [01/Jan/2010 :00 :00 :00 +0100] GET /page.html HTTP/1.1 200 9042
, http ://www.exemple.org/index.html Mozilla/5.0 (Windows ; U ; Windows NT
, 6.1 ; en-US ; rv :1.9.2.3) Gecko/20100401 Firefox/3.6.3

2.4.2 Les en-ttes email


Chaque courrier lectronique inclut un en-tte ; malgr son nom, ce dernier na stric-
tement rien voir avec len-tte dune page web. Cet en-tte contient des informa-
tome 1 2.6 tions sur les donnes contenues dans lemail : un autre exemple de mta-donnes, les
donnes sur les donnes . Il est rarement montr dans sa totalit par notre logiciel
de courrier lectronique, mais il reste nanmoins bien prsent. Il inclut souvent de
nombreuses informations sur lexpditeur - bien plus que son adresse email.
Dans lexemple suivant, on peut lire ladresse IP publique, savoir celle qui sera
page 15 visible sur Internet, de lordinateur utilis pour envoyer lemail (203.0.113.98), ce qui
permet de connatre lendroit o lexpditeur se trouvait ce moment-l, ladresse
IP de son ordinateur lintrieur de son rseau local (192.168.0.10), le logiciel de
mail utilis (Icedove 24.4.0) ainsi que le systme dexploitation (Linux) et le type de
machine (i686) :
2. TRACES SUR TOUTE LA LIGNE 33

Return-Path :<betty@fai.net>
Delivered-To :alice@exemple.org
Received :from smtp.fai.net (smtp.fai.net [198.51.100.67])
by mail.exemple.org (Postfix) with ESMTP id 0123456789
for <alice@exemple.org> ; Sat, 1 Jan 2014 20 :00 :00 +0100 (CET)
Received :from [192.168.0.10] (paris.abo.fai.net [203.0.113.98])
by smtp.fai.com (Postfix) with ESMTP id ABCDEF1234 ;
Sat, 1 Jan 2014 19 :59 :49 +0100 (CET)
Message-ID :<CB0ABB91.17B7F@fai.net>
Date :Sat, 1 Jan 2014 19 :59 :45 +0100
From :Betty <betty@fai.net>
User-Agent :Mozilla/5.0 (X11 ; U ; Linux i686 ; en-US ;
rv :1.9.1.16) Gecko/20111110 Icedove/24.4.0
MIME-Version :1.0
To :Alice <alice@exemple.org>
Subject : mardi
Content-Type :text/plain ; charset=iso-8859-1
Content-Length :22536
Lines :543

Ces en-ttes contiennent aussi parfois lidentiant de labonn chez son prestataire
demail ou le nom de sa machine 16 .
linstar de ces quelques exemples courants, quasiment toutes les applications en-
voient des informations sur le contenu, mais aussi des mta-donnes dans leur proto- tome 1 2.6
cole.

2.5 Les traces quon laisse soi-mme


Il ny a pas que les traces que laisse le fonctionnement des rseaux : il y a bien sr aussi
celles que nous laissons nous-mmes, de faon plus ou moins volontaire, par exemple
en saisissant des informations sur des sites web ou simplement en nous connectant
des services.
Tenter de matriser les traces quon laisse sur les rseaux, cest donc aussi rchir
aux utilisations quon fait des services proposs sur Internet, et aux donnes quon
leur cone des thmes quon traitera plus avant dans les parties venir.

16. La plupart du temps, cela se trouve dans la ligne Received de la premire machine ou dans
le Message-Id. Mais certains autres logiciels ou services de messagerie rajoutent dautres lignes plus
spciques.
Chapitre 3
Surveillance et contrle des
communications

Au-del des traces laisses par le fonctionnement mme des rseaux en gnral et
dInternet en particulier, il est possible d couter nos activits sur Internet
plusieurs niveaux. De plus en plus souvent, les organismes qui font fonctionner des
parties dInternet (cbles, serveurs, etc.) sont mme dans lobligation lgale de conser-
ver un certain nombre de donnes sur ce qui se passe sur leurs machines, au titre de
lois de rtention de donnes.

3.1 Qui veut rcuprer les donnes ?


Diverses personnes ou organisations peuvent porter des regards indiscrets sur les
changes via Internet. Parents un peu trop curieux, sites web la recherche de consom-
mateurs cibler, multinationales comme Microsoft, gendarmes de Saint-Tropez, ou
National Security Agency tats-unienne. . . Comme dans le cas des mouchards sur les tome 1 ch. 3
ordinateurs personnels, les direntes entits impliques ne collaborent pas forcment
ensemble, et ne forment pas une totalit cohrente. Si les curieux sont trop varis pour
prtendre dresser une liste exhaustive des intrts en jeu, on peut toutefois dcrire
quelques motivations parmi les plus courantes.

3.1.1 Des entreprises la recherche de prols revendre


Vous dcidez de rserver un billet davion pour New-York sur Internet. Deux jours
plus tard, en lisant votre quotidien en ligne, une publicit vous propose une ore
intressante pour une location de voitures New York. Ce nest pas une simple
concidence : il sagit dun mcanisme de publicit cible, comme il sen dveloppe
actuellement de plus en plus sur Internet. 1 .
La publicit est lune des principales sources de revenus des entreprises qui fournissent
des services gratuits sur Internet : botes mails, moteurs de recherche, mdias
sociaux, etc. Or, du point de vue des annonceurs, la qualit et donc le prix dun
espace publicitaire en ligne est fonction de lintrt que les internautes vont porter
aux publicits.
Ds lors, les donnes personnelles valent de lor. Centres dintrt, sexe, ge, etc. :
autant dinformations qui permettent de prsenter les publicits auxquelles linter-
naute est le plus susceptible de ragir. Ainsi, Gmail, le service demail de Google,
utilise-t-il le rsultat de lanalyse du contenu des emails pour acher des publicits
correspondantes 2 : pour prendre un exemple (authentique !), une personne en train
1. CNIL, 2009, La publicit cible en ligne [http://www.cnil.fr/fileadmin/documents/La_CNIL/
actualite/Publicite_Ciblee_rapport_VD.pdf].
2. nous traitons automatiquement vos messages pour vous aider les trier [. . . ]. Nous procdons
de mme lorsquil sagit dannonces. [. . . ] Le processus dachage des annonces dans Gmail est
36 I. COMPRENDRE

de se sparer de son partenaire pourra voir sacher, en marge de ses emails, des
publicits pour des sites de rencontres. . .

En outre, chaque site visit est un centre dintert de plus. En additionnant


ces informations les unes aux autres, cest tout un prol qui se dessine. Un petit
page 26 logiciel permet de voir quels cookies se tlchargent sur notre ordinateur chaque page
consulte 3 . Si linternaute commence par visiter allocine.fr, quatre rgies publicitaires
enregistrent sa visite. Se rendant ensuite sur le site du Monde ce sera quatre rgies qui
seront au courant, dont deux qui se trouvaient dj sur le site dallocin. Elles savent
donc que linternaute a visit ces deux sites et peut donc recouper ces deux centres
dintrt. En se rendant par la suite sur deux autres sites (Gmail et Dailymotion),
ce sont au total 21 rgies publicitaires qui ont eu connaissance de la visite de cet
utilisateur. Dans chacune de ces visites se trouvaient les rgies publicitaires XiTi et
Google-Analytics. Le plus gros moteur de recherche a donc eu connaissance de la
totalit des sites visits et peut maintenant mettre en place sa publicit cible.

Les mdias sociaux sont particulirement bien placs pour obtenir directement des in-
ternautes des donnes personnelles les concernant. Ainsi, sur Facebook, un annonceur
peut cibler une publicit auprs des jeunes de 13 15 ans habitant Birmingham en
Angleterre et ayant la boisson comme centre dintrt. De plus, Facebook indique
que la cible choisie comporte approximativement une centaine de personnes 4 . La so-
cit Facebook exploite ainsi les donnes quelle collecte de ses membres de manire
fournir une publicit qui peut tre trs cible 5 .

La publicit cible est dailleurs lune des raisons qui a pouss les acteurs Internet
diversier leurs services et leurs activits, an de collecter toujours plus dinformations
sur le comportement des utilisateurs sur Internet. Par exemple, Google fournit
des services de recherche. Il a rachet des socits de publicit comme DoubleClick. Il
a rcemment lanc un service Google Suggest, intgr son navigateur Chrome, qui
envoie Google lensemble des pages web visites par les internautes, mme quand
ces derniers ny ont pas accd via le moteur de recherche, etc. 6

Pour se donner une ide de limportance des enjeux, notons que Google a rachet la
socit Doubleclick pour la somme de 3,1 milliards de dollards 7 .

Cette accumulation de donnes et leur traitement permet galement Google de


trier et dadapter les rsultats aux supposs centres dintrt de linternaute. Ainsi,
pour une recherche identique, deux personnes ayant un prol dirent nobtiendront
pas le mme rsultat, ce qui a pour eet de renforcer chaque personne dans ses
propres intrts et ses propres convictions. Cest ce que certaines personnes nomment
lindividualisation de lInternet 8 .

En plus dtre cible thmatiquement, la publicit lest aussi gographiquement : grce


aux GPS intgrs dans les terminaux mobiles tels les smartphones, mais aussi grce
ladresse IP et aux rseaux Wi-Fi visibles porte de lordinateur portable ou du

entirement automatis. Personne ne lit vos e-mails an de choisir les annonces qui vous seront
prsentes. Google, 2017, Fonctionnement des annonces dans Gmail [https://support.google.com/
mail/answer/6603?hl=fr].
3. Clochix, 2011, Collusion, pour visualiser comment nous sommes tracs en ligne [http://www.
clochix.net/post/2011/07/10/Collusion,-pour-visualiser-comment-nous-sommes-tracs-en-ligne].
4. Une interface similaire est disponible publiquement et permet de rpondre des requtes
inquitantes : Tom Scott, 2014, Actual Facebook Graph Searches [http://actualfacebookgraphsearches.
tumblr.com/] (en anglais).
5. CNIL, La publicit cible en ligne (op. cit.), p. 13.
6. CNIL, La publicit cible en ligne (op. cit.), p. 4.
7. Le Monde, 2007, Google rachte DoubleClick pour 3,1 milliards de dollars [http://www.lemonde.
fr/technologies/article/2007/04/14/google-rachete-doubleclick-pour-3-1-milliards-de-dollars_
896316_651865.html].
8. Xavier de la Porte, 2011, Le risque de lindividualisation de lInternet, Inter-
netActu.net, Fondation Internet nouvelle gnration [http://www.internetactu.net/2011/06/13/
le-risque-de-lindividualisation-de-linternet].
3. SURVEILLANCE ET CONTRLE DES COMMUNICATIONS 37

tlphone 9 . Ainsi, il est par exemple possible de faire apparatre des publicits pour
des boutiques situes proximit de labonn.

Des intrts conomiques poussent ainsi les fournisseurs de services Internet ras-
sembler des prols dinternautes, les plus prcis possibles, pour ensuite vendre, direc-
tement ou pas, des espaces publicitaires cibls.

Une fois ces informations rassembles, les entreprises en question ne rechigneront


en gnral pas les communiquer aux ics sils les leur demandent. Tous les gros
fournisseurs de contenus ont des bureaux ddis rpondre aux requtes et donc des
formulaires, procdures, etc. crites pour les ics, pour expliquer la meilleure marche
suivre pour demander des informations 10 .

3.1.2 Des entreprises et des tats cherchant prserver leurs


intrts
Dautres entreprises sintressent ce qui se passe sur Internet pour prserver leurs
intrts. Cela va de la lutte mene par lindustrie de laudiovisuel contre le tlcharge-
ment illgal la veille technologique : les entreprises observent et analysent en temps
rel et de manire automatise des centaines de sources (sites dactualit, bases de d-
pt de brevets, blogs dexperts. . . ) an de connatre rapidement les dernires avances
technologiques et de rester les plus comptitives possible.

Les entreprises sont loin dtre les seules scruter Internet. Les tats, de la justice aux
services secrets en passant par les dirents services de police sont mme certainement
les plus curieux.

De plus en plus de pays mettent en place des lois visant rendre possible lidenti-
cation des auteurs de toute information qui circule sur Internet 11 .

Mais cela va plus loin encore. Les agences de renseignement et autres services secrets
ne se contentent plus despionner quelques groupes ou personnes quelles considrent
comme des cibles. la limite de la lgalit, la NSA, agence de renseignement tats-
unienne, collecte toutes sortes de donnes sur les personnes nous pensons que
cela concernerait des millions de personnes 12 . Parmi ses objectifs : examiner
quasiment tout ce que fait un individu sur Internet 13 et tablir un graphe social,
cest--dire le rseau de connexions et de relations entre les gens 14 . En gnral,
ils analysent les rseaux situs deux degrs de sparation de la cible. Autrement
dit, la NSA espionne aussi ceux qui communiquent avec ceux qui communiquent avec
ceux qui sont espionns 15 .

9. Audenard, 2013, Bornes wi et smartphones dans les magasins, blogs/s-


curit, Orange Business [http://www.orange-business.com/fr/blogs/securite/mobilite/
souriez-vous-etes-pistes-merci-aux-bornes-wifi-des-magasins].
10. Plusieurs versions du guide publi par Facebook ont fuit [http://publicintelligence.net/
facebook-law-enforcement-subpoena-guides/] ces dernires annes. On trouve galement plusieurs
autres guides du mme acabit (mais tout nest pas forcment juste) sur cryptome.org [http:
//cryptome.org/isp-spy/online-spying.htm] (liens en anglais).
11. Begeek, 2013, Facebook publie son premier rapport in-
ternational des demandes gouvernementales [http://www.begeek.fr/
%20facebook-publie-premier-rapport-international-demandes-gouvernementales-102351].
12. Bruce Schneier, cit par Guillaud, 2013, Lutter contre la surveillance : ar-
mer les contre-pouvoirs, Internet Actu [http://www.internetactu.net/2013/06/13/
lutter-contre-la-surveillance-armer-les-contre-pouvoirs/]
13. Maxime Vaudano, 2013, Plonge dans la pieuvre de la cybersur-
veillance de la NSA, Le Monde.fr [http://www.lemonde.fr/technologies/visuel/2013/08/27/
plongee-dans-la-pieuvre-de-la-cybersurveillance-de-la-nsa_3467057_651865.html]
14. Pisani, 2007, Facebook/5 : la recette, Transnets [http://pisani.blog.lemonde.fr/2007/06/19/
facebook5-la-recette/]
15. Manach, 2013, Pourquoi la NSA espionne aussi votre papa (#oupas), Bug Brother [http:
//bugbrother.blog.lemonde.fr/2013/06/30/pourquoi-la-nsa-espionne-aussi-votre-papa-oupas/]
38 I. COMPRENDRE

Les services de renseignement franais disposent dsormais dun arsenal de lois qui
leur permettent deectuer des analyses sur lensemble du trac Internet ou sur des
personnes cibles en toute lgalit, en France 16 comme ltranger 17 .

3.2 Journaux et rtention de donnes


La plupart des organisations qui fournissent des services sur Internet (connexion,
hbergement de site, etc.) conservent plus ou moins de traces de ce qui transite entre
leurs mains, sous forme de journaux de connexion : qui a fait quoi, quel moment.
tome 1 2.4 On appelle ces journaux des logs .
Historiquement, ces journaux rpondent un besoin technique : ils sont utiliss par
les personnes qui soccupent de la maintenance des serveurs an de diagnostiquer et
rsoudre les problmes. Cependant, ils peuvent aussi tre trs utiles pour recueillir
des donnes sur les utilisateurs de ces serveurs.

3.2.1 Lois de rtention de donnes


Dsormais, dans la plupart des pays occidentaux, les fournisseurs de services Internet
sont lgalement tenus de conserver leurs journaux pendant un certain temps, pour
pouvoir rpondre des requtes lgales. Les lois qui rglementent la rtention de
donnes dnissent de faon plus ou moins claire les informations qui doivent tre
conserves dans ces journaux. La notion de fournisseur de service Internet peut ainsi
tre entendue de faon assez large 18 : un cybercaf est un fournisseur de service
Internet qui fournit aussi une machine pour accder au rseau.
Au-del des obligations lgales, il est probable que de nombreux fournisseurs de ser-
vices Internet conservent de plus ou moins grandes quantits dinformation sur les
internautes qui utilisent leurs services, notamment pour la publicit cible. Comme vu
prcedemment, certaines entreprises, telles Google, Yahoo ou Facebook, sont particu-
lirement connues pour cela. Cependant, tant donn que ce modle de fourniture
de services adosss de la publicit est quasiment devenu la norme 19 , on peut
supposer que nombre dautres font de mme plus discrtement.
Au Royaume-Uni, un FAI a ainsi cr une polmique lorsquil est apparu quil gardait
la trace de lensemble des pages web visites par ses abonns pour tester une techno-
logie de prolage destine orir de la publicit comportementale 20 21 .
Le serveur qui hberge le contenu utilis (page web, bote mail. . . ) et le fournisseur
daccs Internet sont particulirement bien placs pour disposer des informations
permettant didentier qui est lorigine dune requte de connexion. En France, ce
sont eux qui sont particulirement viss par les lois de rtention de donnes.

3.2.2 Les journaux conservs par les hbergeurs


On a vu que le serveur qui hberge un service (comme un site web, une bote mail ou
page 29 un salon de messagerie instantane) avait accs une grande quantit de donnes.

16. Rpublique Franaise, Code de la Scurit Intrieure, article L851-2 et L851-


3 [https://www.legifrance.gouv.fr/affichCode.do?idSectionTA=LEGISCTA000030935579&cidTexte=
LEGITEXT000025503132#LEGIARTI000032925403]
17. Rpublique Franaise, Code de la Scurit Intrieure, article L854-1 [https://www.legifrance.
gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000031552057&cidTexte=LEGITEXT000025503132]
18. CNIL, 2010, Conservation des donnes de trac : hot-spots wi-, cybercafs, em-
ployeurs, quelles obligations ? [http://www.cnil.fr/documentation/fiches-pratiques/fiche/article/
conservation-des-donnees-de-trafic/].
19. CNIL, La publicit cible en ligne (op. cit.), p. 4
20. CNIL, La publicit cible en ligne (op. cit.), p. 17
21. Arnaud Devillard, 2009, Aaire Phorm : Bruxelles demande
des comptes au Royaume-Uni [http://www.01net.com/editorial/501173/
affaire-phorm-bruxelles-demande-des-comptes-au-royaume-uni/]
3. SURVEILLANCE ET CONTRLE DES COMMUNICATIONS 39

En France, cest la Loi pour la Conance dans lconomie Numrique 22 (issue de


la directive europenne 2006/24/EC sur la rtention de donnes 23 ) qui oblige les
hbergeurs de contenus publics conserver les donnes de nature permettre
lidentication de toute personne ayant contribu la cration dun contenu mis
en ligne 24 : crire sur un blog ou sur un site de mdia participatif, envoyer un
email, poster sur une liste de diusion publique, par exemple. Concrtement, il sagit
de conserver pendant un an les ventuels identiants ou pseudonymes fournis par
lauteur, mais surtout ladresse IP associe chaque modication de contenu 25 . Une page 12
requte auprs du fournisseur daccs Internet qui fournit cette adresse IP permet
ensuite gnralement de remonter jusquau propritaire de la connexion utilise.
De plus, la Loi relative la programmation militaire 26 , promulgue n dcembre
2013, permet de demander ces mmes informations, en temps rel, pour des motifs
aussi varis que : les attaques terroristes, les cyber-attaques, les atteintes au potentiel
scientique et technique, la criminalit organise, etc.
Cest donc cette obligation de rtention de donnes qui permet la police, dans notre
histoire introductive, dobtenir des informations auprs des organismes hbergeant
les adresses emails incrimines :

On va demander Gmail ainsi qu no-log les informations sur ces


adresses email. partir de l on pourra sans doute mettre la main sur
les personnes responsables de cette publication.

Les hbergeurs pourront tre plus ou moins coopratifs sur la faon de vrier la
lgalit des requtes que leur adressent les ics et dy rpondre : il semblerait que
certains rpondent un simple email des ics alors que dautres attendront davoir
un courrier sign dun juge 27 , voire ne rpondent pas aux requtes 28 .
Non seulement les personnes ayant accs au serveur peuvent collaborer avec les ics de
plein gr, mais un adversaire peut aussi, comme dans le cas dun ordinateur personnel,
sy introduire et espionner ce qui sy passe en utilisant des failles, sans passer par

22. Rpublique Franaise, 2014, LOI n 2004575 du 21 juin 2004 pour la conance dans lconomie
numrique, Journal Ociel n 143 du 22 juin 2004 page 11168, NOR : ECOX0200175L [http://www.
legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000801164&dateTexte=&categorieLien=id]
23. EUR-lex, 2006, Directive 2006/24/CE du Parlement europen et du Conseil du 15 mars 2006
sur la conservation de donnes gnres ou traites dans le cadre de la fourniture de services de
communications lectroniques accessibles au public ou de rseaux publics de communications [http:
//eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32006L0024:FR:HTML].
24. Rpublique Franaise, 2011, Dcret n 2011-219 du 25 fvrier 2011 relatif la conserva-
tion et la communication des donnes permettant didentier toute personne ayant contribu
la cration dun contenu mis en ligne [http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=
JORFTEXT000023646013&dateTexte=&categorieLien=id].
25. Les personnes physiques ou morales qui assurent, mme titre gratuit, pour mise dis-
position du public par des services de communication au public en ligne, le stockage de signaux,
dcrits, dimages, de sons ou de messages de toute nature fournis par des destinataires de ces ser-
vices (LCEN, op. cit.), cest--dire les hbergeurs sont tenus de conserver pendant un an : a)
Lidentiant de la connexion lorigine de la communication ; b) Lidentiant attribu par le systme
dinformation au contenu, objet de lopration ; c) Les types de protocoles utiliss pour la connexion
au service et pour le transfert des contenus ; d) La nature de lopration ; e) Les date et heure de
lopration ; f) Lidentiant utilis par lauteur de lopration lorsque celui-ci la fourni ; (Dcret n
2011-219 du 25 fvrier 2011, op. cit.)
26. Legifrance, 2014, LOI n 2013-1168 du 18 dcembre 2013 relative la program-
mation militaire pour les annes 2014 2019 et portant diverses dispositions concer-
nant la dfense et la scurit nationale [http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=
JORFTEXT000028338825&dateTexte&categorieLien=id].
27. Globenet, 2014, No-log, les logs et la loi [http://www.globenet.org/No-log-les-logs-et-la-loi.
html].
28. Prcisons que les serveurs hbergeant les sites du rseau Indymedia, domicilis aux USA
Seattle, refusent systmatiquement de donner connaissance aux autorits des logs de connexion des
ordinateurs consultant ces sites ou y dposant une contribution, rendant de fait non-identiable les
auteurs des contributions (dossier dinstruction judiciaire cit par Anonymes, 2010, Analyse dun
dossier dinstruction antiterroriste [http://infokiosques.net/lire.php?id_article=789].
40 I. COMPRENDRE

ltape requte lgale. Il aura alors accs toutes les donnes stockes sur le serveur,
y compris les journaux.
Mais le serveur ne connat pas toujours lidentit relle des clients qui sy connectent :
en gnral, tout ce quil peut donner cest une adresse IP.
Cest alors quintervient le fournisseur daccs Internet.

3.2.3 Les journaux conservs par les fournisseurs daccs Internet


(FAI)
page 15 On a vu quon accdait Internet par lintermdiaire dun fournisseur daccs
Internet (FAI). Ce FAI est en gnral une socit qui fournit une box connecte
Internet. Mais a peut aussi tre une association ou une institution publique (une
universit, par exemple, quand on utilise leurs salles informatiques). Les FAI sont eux
aussi soumis des lois concernant la rtention de donnes.
Au sein de lUnion Europenne, une directive oblige les fournisseurs daccs Internet
(FAI) garder la trace de qui sest connect, quand, et depuis o. En pratique, cela
consiste enregistrer quelle adresse IP a t assigne quel abonn pour quelle p-
riode 29 . Les institutions qui fournissent un accs Internet, comme les bibliothques
et les universits, font de mme : en gnral il faut se connecter avec un nom dutilisa-
teur et un mot de passe. On peut ainsi savoir qui utilisait quel poste quel moment.
La directive europenne prcise que ces donnes doivent tre conserves de 6 mois
2 ans. En France, la dure lgale est de un an 30 .
De plus, FAI et hbergeurs franais sont tenus de conserver les informations fournies
lors de la souscription dun contrat par un utilisateur ou lors de la cration dun
compte pendant un an aprs la fermeture du compte. Lorsque la souscription
du contrat ou du compte est payante , ils doivent aussi conserver les informations
relatives au paiement 31 .
Lobjectif des lois de rtention de donnes est donc de rendre facile, pour les autorits,
dassocier un nom tout geste eectu sur Internet.
Des ics qui enquteraient par exemple sur un article publi sur un blog peuvent
demander aux responsables du serveur hbergeant le blog ladresse IP de la personne
qui a post larticle, ainsi que la date et lheure correspondantes. Une fois ces infor-
mations obtenues, ils vont demander au fournisseur daccs Internet responsable de
cette adresse IP qui elle tait assigne au moment des faits.

29. Les personnes dont lactivit est dorir un accs des services de communication au public en
ligne (LCEN, op. cit.), cest--dire les FAI, sont tenues de conserver durant un an : a) Lidentiant
de la connexion ; b) Lidentiant attribu par ces personnes labonn ; c) Lidentiant du terminal
utilis pour la connexion lorsquelles y ont accs ; d) Les dates et heure de dbut et de n de la
connexion ; e) Les caractristiques de la ligne de labonn ; (Dcret n 2011-219 du 25 fvrier 2011,
op. cit.)
30. Parlement Europen et Conseil, 2006, Directive 2006/24/CE du Parlement europen et du
Conseil du 15 mars 2006 sur la conservation de donnes gnres ou traites dans le cadre de la
fourniture de services de communications lectroniques accessibles au public ou de rseaux publics
de communications, et modiant la directive 2002/58/CE [http://eur-lex.europa.eu/LexUriServ/
LexUriServ.do?uri=CELEX:32006L0024:FR:HTML]
31. 3 Pour les personnes mentionnes aux 1 et 2 du I du mme article [FAI et hbergeurs, NdA],
les informations fournies lors de la souscription dun contrat par un utilisateur ou lors de la cration
dun compte : a) Au moment de la cration du compte, lidentiant de cette connexion ; b) Les nom
et prnom ou la raison sociale ; c) Les adresses postales associes ; d) Les pseudonymes utiliss ; e) Les
adresses de courrier lectronique ou de compte associes ; f) Les numros de tlphone ; g) Le mot de
passe ainsi que les donnes permettant de le vrier ou de le modier, dans leur dernire version mise
jour ; 4 Pour les personnes mentionnes aux 1 et 2 du I du mme article [FAI et hbergeurs, NdA],
lorsque la souscription du contrat ou du compte est payante, les informations suivantes relatives au
paiement, pour chaque opration de paiement : a) Le type de paiement utilis ; b) La rfrence du
paiement ; c) Le montant ; d) La date et lheure de la transaction. Les donnes mentionnes aux 3
et 4 ne doivent tre conserves que dans la mesure o les personnes les collectent habituellement.
(Dcret n 2011-219 du 25 fvrier 2011, op. cit.)
3. SURVEILLANCE ET CONTRLE DES COMMUNICATIONS 41

Quelle histoire ! Mais quel rapport avec nos bureaux ?


Et bien cest galement pour a que je vous appelle. Ils arment quils
ont toutes les preuves comme quoi ces documents ont t publis depuis
vos bureaux. Je leur ai dit que ce ntait pas moi, que je ne voyais pas
de quoi ils parlaient.

Cest exactement de a quil sagit quand, dans notre histoire du dbut, la police
prtend, traces lappui, que les relevs bancaires ont t posts depuis les bureaux
rue Jaurs. Elle a au pralable obtenu auprs des hbergeurs du site de publication
ladresse IP qui correspond la connexion responsable de la publication des docu-
ments incrimins. Cette premire tape permet de savoir do, de quelle box ,
provient la connexion. La requte auprs du FAI permet de savoir quel est le nom de
labonn adresse en prime via son contrat, associ ladresse IP.

3.2.4 Requtes lgales


En France, lorsque les ics souhaitent accder aux journaux prvus par les lois de
rtention de donnes, ils sont supposs passer par une requte lgale : une demande
ocielle qui oblige les personnes qui administrent un serveur leur fournir les in-
formations demandes. . . ou dsobir. Ces requtes lgales sont supposes prciser
les informations demandes. Mais elles ne le font pas toujours, et les fournisseurs de
services Internet donnent parfois davantage dinformations que ce que la loi les oblige
fournir.
Voici lextrait dune requte lgale reue par un hbergeur de mail franais, ladresse
mail du compte vis a t anonymise en remplaant lidentiant par adresse. Lor-
thographe na pas t modie.

REQUISITION JUDICIAIRE
Lieutenant de Police En fonction la B.R.D.P
Prions et, au besoin, requrons :
Monsieur le prsident de lassociation GLOBENET 21ter, rue Voltaire
75011 Paris
leet de bien vouloir :
Concernant ladresse de messagerie adresse@no-log.org
Nous communiquer lidentit complte (nom, prnom date de naissance,
liation) et les coordonnes (postales, tlphoniques, lectroniques et ban-
caires) de son titulaire
Nous indiquer les TRENTE dernires donnes de connexion (adresse IP, date
heures et fuseau horaire) utilises pour consulter, relever o envoyer des
messages avec ladite adresse (Pop, Imap ou Webmail)
Nous indiquer si une redirection est active sur cette messagerie, et nous
communiquer le ou les e-mails de destination, le cas chant
Nous communiquer le numro de tlphone labonnement internet du
compte no-log.org adresse et les trente dernires donnes de connexion
qui lui sont relatives
Nous communiquer les TRENTES dernires donnes de connexion
(adresse IP, date heure et fuseau horaire) aux pages daministration du
compte no-log adresse

De plus, il est avr que les ics demandent parfois de telles informations dans un
simple courrier lectronique, et il est probable que de nombreux fournisseurs de ser-
vices Internet rpondent directement de telles requtes ocieuses, ce qui implique
42 I. COMPRENDRE

que nimporte qui peut obtenir de telles informations en se faisant passer pour la
police.
Les requtes lgales sont monnaie courante. Les gros fournisseurs de services Inter-
net ont dsormais des services lgaux ddis pour y rpondre, et une grille tarifaire
chire chaque type de demande 32 . Depuis octobre 2013, en France, une grille tarifaire
indexe par ltat vient mme homogniser ces direntes prestations 33 : identier
un abonn partir de son adresse IP cotait ainsi 4 (tarifs en vigueur en octobre
2013). Au-del de 20 demandes, ce tarif est rduit 18 centimes.
Ainsi pour la premire moiti de lanne 2016, Google a reu chaque mois, en moyenne,
717 demandes de renseignements sur ses utilisateurs de la part de la France, concer-
nant au total 5185 comptes des chires en augmentation constante depuis 2009.
Aprs analyse de la recevabilit des requtes sur le plan juridique, la socit a r-
pondu 60% dentre elles 34 : lautre moiti des requtes nentrait donc pas dans le
cadre de ce que lentreprise sestimait lgalement contrainte de fournir.

3.3 coutes de masse


Au-del des journaux et des requtes lgales prvus par les lois de rtention de don-
nes, les communications sur Internet sont surveilles de faon systmatique par divers
services tatiques.
Un ancien employ de loprateur de tlcommunications tats-unien AT&T a t-
moign 35 du fait que la NSA (lagence de renseignement lectronique tats-unienne)
surveillait lensemble des communications Internet et tlphoniques qui passaient par
une importante installation de loprateur de tlcommunication AT&T San Fran-
cisco. Ceci, laide dun superordinateur spcialement conu pour la surveillance de
masse, en temps rel, de communications 36 . Il a aussi dclar que de telles installa-
tions existaient probablement au sein dautres infrastructures similaires dans dautres
villes des tats-Unis, ce que conrment les rvlation dun ex-employ de la NSA et
de la CIA 37 . Des installations similaires seraient mises en place par les services secrets
britanniques sur plus de 200 bres optiques sous-marines 38 .
Les services de scurit franais sont dsormais autoriss mettre en place dans le
rseau des fournisseurs daccs Internet de tels outils danalyse de tout le trac
pour dtecter des connexions susceptibles de rvler une menace terroriste [CSI-
L851-2].
La NSA a aussi obtenu un accs direct aux serveurs de plusieurs gants du net
(Microsoft, Yahoo, Google, Facebook, PalTalk, Youtube, Skype, AOL et Apple) 39 ,
32. Christopher Soghoian, 2010, Your ISP and the Government : Best Friends Forever [http:
//www.defcon.org/html/defcon-18/dc-18-speakers.html#Soghoian] (en anglais).
33. Rpublique Franaise, 2013, Arrt du 21 aot 2013 pris en application des articles R. 213-1
et R. 213-2 du code de procdure pnale xant la tarication applicable aux rquisitions des op-
rateurs de communications lectroniques [http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=
JORFTEXT000028051025].
34. Google, 2017, France - Google Transparence des infortmations [https://www.google.com/
transparencyreport/userdatarequests/FR/].
35. Mark Klein, 2004, AT&Ts Implementation of NSA Spying on American Citizens [http://www.
audioactivism.org/text/att_klein_wired.pdf] (en anglais).
36. Reets.info, 2011, #OpSyria : BlueCoat matre artisan de la censure syrienne [http://reflets.
info/opsyria-bluecoat-maitre-artisan-de-la-censure-syrienne/].
37. Craig Timberg et Barton Gellman, 2013, NSA paying U.S. compa-
nies for access to communications networks [http://www.washingtonpost.com/world/
national-security/nsa-paying-us-companies-for-access-to-communications-networks/2013/08/29/
5641a4b6-10c2-11e3-bdf6-e4fc677d94a1_story.html] (en anglais).
38. Lexpansion.com, 2013, Operation Tempora : comment les Britanniques d-
passent les Amricains pour espionner Internet [http://lexpansion.lexpress.fr/high-tech/
operation-tempora-comment-les-britanniques-depassent-les-americains-pour-espionner-internet_
390971.html].
39. NSA, 2013, Dates When PRISM Collection Began For Each Provider [https://commons.
wikimedia.org/wiki/File:Prism_slide_5.jpg].
3. SURVEILLANCE ET CONTRLE DES COMMUNICATIONS 43

ce qui lui permet daccder aux donnes quils hbergent ou qui transitent par leurs
serveurs 40 . La DGSE, lquivalent franais de la NSA dispose dun tel accs direct
aux rseaux dOrange 41 .

De mme, les communications satellites sont coutes par le rseau Echelon, un sys-
tme mondial dinterception des communications prives et publiques 42 labor par
des pays anglo-saxons 43 . Les informations ce sujet restent oues, mais la France
semble aussi disposer dun rseau dcoute des tlcommunications sur son terri-
toire 44 .

La NSA surveille et recoupe galement les changes demails pour tablir une carte
des relations entre tous les habitants des tats-Unis 45 . Si ce genre de pratiques nest
pas forcment attest ailleurs dans le monde, elles y sont tout aussi possibles.

De plus, pour toute organisation ayant les moyens dtre un nud consquent du
rseau, que ce soit ociellement ou non, lutilisation du Deep Packet Inspection (ou page 28
DPI : Inspection en profondeur des paquets, en franais) se gnralise. Lavantage
de cette technique par rapport aux techniques classiques est que la surveillance ne
se limite plus aux seules informations inscrites dans les en-ttes des paquets IP, mais page 28
touche au contenu mme des communications : si celles-ci ne sont pas chires, il est
possible de retrouver par exemple le contenu complet demails, ou lintgralit de nos
consultations et recherches sur le web.

Lutilisation de cette technique, en Lybie ou en Syrie par exemple, a permis dans un


premier temps de mettre sous surveillance numrique toute la population du pays,
pour dans un second temps notamment eectuer des attaques cibles. La socit plus bas
Amesys, base en France, a en eet, avec laide et lappui du gouvernement 46 de
lpoque, install de tels systmes en Lybie 47 , au Maroc, au Qatar 48 ou encore en
France 49 .

3.4 Attaques cibles


Lorsquune internaute ou quune ressource disponible via Internet comme un site
web ou une bote mail veille la curiosit dun adversaire, ce dernier peut mettre en
place des attaques cibles. Ces attaques cibles peuvent avoir lieu dirents niveaux :
les annuaires qui permettent de trouver la ressource, les serveurs qui lhbergent, les
clients qui y accdent, etc. Nous tudions ces direntes possibilits dans cette partie.

40. Le Monde, 2013, Le FBI aurait accs aux serveurs de Google, Facebook, Micro-
soft, Yahoo ! et dautres gants dInternet [http://www.lemonde.fr/ameriques/article/2013/06/07/
le-fbi-a-acces-aux-serveurs-des-geants-d-internet_3425810_3222.html].
41. Jacques Follorou, 2015, Espionnage : comment Orange et les services secrets cooprent,
Le Monde [www.lemonde.fr/international/article/2014/03/20/dgse-orange-des-liaisons-incestueuses_
4386264_3210.html]
42. Wikipdia, 2014, Echelon [https://fr.wikipedia.org/wiki/Echelon].
43. Gerhard Schmid, 2001, Rapport sur lexistence dun systme dinterception mondial des
communications prives et conomiques (systme dinterception ECHELON) [http://www.europarl.
europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+REPORT+A5-2001-0264+0+DOC+PDF+V0//FR].
44. Wikipdia, 2014, Frenchelon [https://fr.wikipedia.org/wiki/Frenchelon].
45. Gorman, Siobhan, 2008, NSAs Domestic Spying Grows As Agency Sweeps Up Data :
Terror Fight Blurs Line Over Domain ; Tracking Email. [http://online.wsj.com/article/
SB120511973377523845.html] (en anglais).
46. kitetoa, 2011, Amesys : le gouvernement (schizophrne) franais a valid lexporta-
tion vers la Libye de matriel dcoute massive des individus, Reets.info [http://reflets.info/
amesys-le-gouvernement-schizophrene-francais-a-valide-lexportation-vers-la-libye-de-materiel-decoute-massive-des-individus/].
47. Fabrice Epelboin, 2011, Kadha espionnait sa population avec laide de la France [http://
reflets.info/kadhafi-espionnait-sa-population-avec-l%E2%80%99aide-de-la-france/].
48. Reets.info, 2011, Qatar : Le Finger tendu bien haut dAmesys [http://reflets.info/
qatar-le-finger-tendu-bien-haut-damesys/].
49. Jean Marc Manach, 2011, Amesys surveille aussi la France [http://owni.fr/2011/10/18/
amesys-surveille-france-takieddine-libye-eagle-dga-dgse-bull/].
44 I. COMPRENDRE

En France, la loi oblige les fournisseurs daccs Internet bloquer laccs aux sites
web qui ont t inscrits sur une liste noire la suite dune dcision de justice 50
ou considrs par loce central de lutte contre la criminalit lie aux technologies de
linformation et de la communication comme ayant du contenu pdopornographique,
provoquant directement des actes de terrorisme ou en faisant lapologie 51 .
Cest ainsi quen octobre 2011, le tribunal de Grande Instance de Paris a ordonn
sept fournisseurs daccs Internet franais de bloquer par IP ou par DNS le
site web https://copwatchnord-idf.org/ 52 ; ce site tait accus de propos injurieux
et diamatoires, et de collecter des donnes caractre personnel sur des policiers.
En fvrier 2012, le tribunal ordonnait le blocage de lun des 35 sites miroirs 53 que le
ministre de lIntrieur voulait faire bloquer 54 .
Par contre, le tribunal na pas ordonn le blocage des 34 autres miroirs rfrencs par
le ministre de lIntrieur, car ce dernier nindique pas sil a tent ou non didentier
leurs diteurs et leurs hbergeurs , ni celui des sites miroirs qui pourraient apparatre.

3.4.1 Bloquer laccs au fournisseur de ressources


Penchons-nous maintenant sur les dirents moyens qui permettent de bloquer laccs
une ressource sur Internet.

Saisie de domaines
Il est possible de dtourner le trac qui devait aller vers un certain nom dhte en
modiant lannuaire utilis pour passer du nom de domaine ladresse IP, cest--dire
page 21 le DNS.
Cela peut se faire dirents niveaux.

Les tapes clefs dune requte DNS

Pour des raisons decacit et de robustesse, le Domain Name Systme est gr par
diverses organisations, en un systme dinformation hirarchis et distribu.
50. Rpublique Franaise, 2011, Loi n 2011-267 du 14 mars 2011 dorientation et de pro-
grammation pour la performance de la scurit intrieure, article 4 [http://www.legifrance.gouv.
fr/affichTexteArticle.do?idArticle=JORFARTI000023707337&cidTexte=JORFTEXT000023707312&dateTexte=
29990101].
51. Rpublique Franaise, 2015, Dcret n 2015-125 du 5 fvrier 2015 relatif au blocage des sites
provoquant des actes de terrorisme ou en faisant lapologie et des sites diusant des images et
reprsentations de mineurs caractre pornographique [https://www.legifrance.gouv.fr/affichTexte.
do?cidTexte=JORFTEXT000030195477]
52. Tribunal de Grande Instance de Paris, 2011, jugement en rfr du 14 octobre 2011 ordonnant
le blocage Copwatch [http://www.pcinpact.com/media/20111014_tgi_paris_copwatch.pdf].
53. Un site miroir est une copie exacte dun autre site web.
54. Tribunal de Grande Instance de Paris, 2012, ordonnance de rfr rendue le 10 fvrier
2012 [http://cnd.pcinpact.com/media/20120210_tgi_paris_ordonnance_refere_copwatch_v2.pdf].
3. SURVEILLANCE ET CONTRLE DES COMMUNICATIONS 45

La base de donnes globale du DNS est rpartie entre plusieurs serveurs de noms,
chacun de ces serveurs ne maintenant quune partie de la base. Ainsi tous les domaines
nissant par .fr relvent du serveur de nom de l AFNIC, une association cre cet
eet en 1997. De mme, cest une Socit Anonyme tasunienne cote en bourse,
Verisign, qui a reu la dlgation pour caractriser lemplacement (ladresse IP) de
tous les domaines nissant par .com ou lemplacement de lorganisation qui Verisign
a elle-mme dlgu une zone grer.
On peut lire la liste des organisations et entreprises qui sont charges de grer les noms
dits de premier niveau (TLD, Top Level Domain) comme .com, .fr, .org, etc. sur le
site web de lIANA 55 (Internet Assigned Numbers Authority), qui gre le serveur
racine du DNS, celui qui fait autorit sur tous les autres.
Si les gestionnaires au niveau des TLD ont un rle purement technique (tenir jour
une liste des domaines dont ils ont la charge), ceux qui elle dlgue sont gnralement
des entreprises commmerciales (appeles registrars) qui vendent des noms de domaine.
Ainsi, louer un nom de domaine est une opration disctincte de louer une IP : par
exemple, pour monter son propre site web, il faudra dune part acheter un nom de
domaine et dautre part trouver un hbergement pour le site, avec une adresse IP
qui lui est attache. Et ensuite mettre en place la liaison entre les deux. Certaines
entreprises proposent tous ces services en mme temps, mais ce nest ni systmatique
ni obligatoire.
On voit maintenant se dessiner une carte des points nvralgiques o peut intervenir
la censure.
La saisie de nom de domaine la plus spectaculaire ce jour fut certainement celle ins-
crite dans le cadre de la fermeture du site dhbergement de chiers megaupload.com
par le Dpartement de la Justice des tats-Unis. Pour rendre inaccessibles les services
de ce site, le FBI a notamment demand Verisign, lentreprise qui gre les .com, de
modier ses tables de correspondance an que cette adresse pointe non plus vers les
serveurs de Megaupload mais vers un serveur du FBI indiquant que le site avait t
saisi 56 .
Cependant, une des premires censures connues par suspension dun nom de domaine
sest produite, en 2007, au niveau dun registrar : GoDaddy (le plus important au
monde). Dans le cadre dun conit entre un de ses clients, seclists.org, et un autre
site, myspace.com, GoDaddy prit le parti de ce dernier et modia sa base de donnes,
rendant, du jour au lendemain et sans avertir personne, le site injoignable 57 (sauf
pour les personnes connaissant son adresse IP par cur).
Enn, si modier les annuaires globaux nest la porte que de quelques tats et
socits, nombreux sont ceux qui peuvent simplement falsier leur propre version de
lannuaire. Ainsi, chaque fournisseur daccs Internet (FAI) a en gnral ses propres
serveurs de noms de domaines, qui sont utiliss par dfaut par ses abonns.
Cest ce niveau que fonctionne le blocage administratif des sites en France : les FAI
doivent modier leur annuaire pour rediriger les adresses listes par loce central de
lutte contre la criminalit lie aux technologies de linformation et de la communication
vers une page du ministre de lintrieur 58 .
55. IANA, 2014, Root Zone Database [http://www.iana.org/domains/root/db] (en anglais).
56. Aprs cette coupure, des milliers dutilisateurs se sont vus privs de leurs contenus en un
claquement de doigts (et pas que de leurs chiers pirates, au vu des ptitions en ligne et de tous
ces gens disant que leur vie professionnelle tait ruine car ils navaient plus accs tous leurs
documents).
57. Fyodor, 2007, Seclists.org shut down by Myspace and GoDaddy [http://seclists.org/
nmap-announce/2007/0] (en anglais).
58. Rpublique Franaise, 2015, Dcret n 2015-125 du 5 fvrier 2015 relatif au blocage des sites
provoquant des actes de terrorisme ou en faisant lapologie et des sites diusant des images et
reprsentations de mineurs caractre pornographique [https://www.legifrance.gouv.fr/affichTexte.
do?cidTexte=JORFTEXT000030195477]
46 I. COMPRENDRE

Les personnes utilisant le FAI Orange ont pu exprimenter ce blocage malgr elles le
17 octobre 2016. la suite dune erreur humaine lors de lactualisation des sites
bloqus 59 , le rsolveur dOrange a donn pendant une heure une rponse fausse
ladresse www.wikipedia.fr en pointant non pas vers les serveurs de Wikipdia, mais
vers une page sur laquelle on pouvait lire Vous avez t redirig vers cette page du
site du ministre de lintrieur car vous avez tent de vous connecter une page dont
le contenu incite des actes de terrorisme ou fait publiquement lapologie dactes de
terrorisme 60 .

Hameonnage
Dans le mme ordre dide, lhameonnage 61 (appel galement loutage, ou phishing
en anglais) consiste pousser linternaute se connecter un site qui nest pas celui
quil croit tre, mais qui y ressemble beaucoup. Par exemple, un site qui ressemble
comme deux gouttes deau celui dune banque, an dobtenir des mots de passe
de connexion une interface de gestion de comptes bancaires. Pour cela, ladversaire
achte un nom de domaine quon croira tre le bon au premier coup dil. Il ne lui
reste plus qu inciter la personne cible se connecter ce site, gnralement en lui
faisant peur, par exemple Nous avons dtect une attaque sur votre compte ou
Vous avez dpass votre quota , suit alors la proposition de rgulariser la situation
en cliquant sur le lien pig.
Pour que le nom de domaine ach ressemble lui aussi comme deux gouttes deau
celui du site copi, il existe plein de techniques : ladversaire peut par exemple
utiliser des caractres spciaux qui ont lapparence des caractres de lalphabet latin.
Ainsi, en substituant un e cyrillique un e latin dans exemple.org, on
obtient une adresse qui sache de faon (quasi) identique loriginale, mais qui
reprsente pour lordinateur une adresse dirente ; on trouve parfois aussi des tirets
en plus ou en moins (ma-banque.fr au lieu de mabanque.fr) ; il sagit parfois dun nom
identique, avec un nom de domaine de premier niveau (top-level domain, ou TDL :
.com, .net, .org, .fr. . . ) dirent (site.com au lieu de site.org) ; certains utilisent aussi
des sous-domaines (paypal.phishing.com renvoie vers le site de phishing, et non vers
paypal.com), etc.
Une parade intgre dans les navigateurs web consiste avertir lutilisateur du danger
et lui demander une conrmation avant daccder au site suspect. Cela dit, cette
solution ncessite que le navigateur web contacte une base de donnes centralise,
recensant les sites considrs comme malveillants, et peut donc poser des problmes
de discrtion : le serveur hbergeant cette liste aura ncessairement connaissance des
sites que lon visite.

Drfrencement
Enn, une faon simple mais ecace de empcher laccs un site web est de le
supprimer des moteurs de recherches et autres annuaires : on parle de drfrence-
ment. Le site existe toujours, mais il napparat plus sur les moteurs de recherche (par
exemple google).
En France, le dfrfencement fait partie des techniques de blocage administratif des
sites : loce central de lutte contre la criminalit lie aux technologies de linformation
et de la communication transmet aux moteurs de recherches ou aux annuaires une liste
dadresses qui considre comme ayant du contenu pdopornographique, provoquant
59. Marc Rees, 2016, Blocage de Google, OVH et Wikipedia : on ne cherche pas
vous cacher la vrit assure Orange, Nextinpact [http://www.nextinpact.com/news/
101785-blocage-google-ovh-et-wikipedia-on-ne-cherche-pas-a-vous-cacher-verite-assure-orange.
htm]
60. Yannux, 2016, Copie dcran de la page du ministre de lIntrieur, twitter.com [https://pbs.
twimg.com/media/Cu9JoGNWAAAQAO9.jpg]
61. Voir ce sujet Wikipdia, 2014, Hameonnage [https://fr.wikipedia.org/wiki/Hameonnage], qui
explique notamment quelques parades (partielles) cette attaque.
3. SURVEILLANCE ET CONTRLE DES COMMUNICATIONS 47

directement des actes de terrorisme ou en faisant lapologie [decret-2015-


253]. Ils ont alors 48 heures pour faire en sorte que ces adresses naparaissent plus
dans leurs rsultats. 855 demandes de drfrencement ont t faites en 2015 62 .

3.4.2 Attaquer le serveur


Une autre catgorie dattaques consiste, pour ladversaire, sen prendre lordi-
nateur qui hberge la ressource qui lintresse. a peut se faire physiquement ou
distance.

Saisie de serveurs
Il sagit tout simplement pour un adversaire qui en a les moyens, par exemple la police
ou la justice, daller l o se trouve lordinateur auquel il sintresse. Ladversaire peut
alors semparer de la machine, ou copier les donnes quelle abrite. Il pourra ensuite
tudier toutes les traces qui ont t laisses dessus par les personnes qui sy sont tome 1 ch. 2
connectes. . . du moins si son disque dur nest pas chir.
tome 1 5.1
Au moins quatorze serveurs ont t saisis par la justice en Europe entre 1995 et 2007 63 .
Ainsi en 2007, un serveur de Greenpeace Belgique a t emmen par la police belge
suite une plainte pour association de malfaiteurs dune compagnie dlectricit
belge 64 contre laquelle lorganisation cologiste avait appel manifester.

Piratage de serveurs
Comme tout ordinateur, un serveur peut tre pirat : cela consiste pour lattaquant
sintroduire par eraction dans lordinateur. Des erreurs de conception ou de
programmation, qui permettent de dtourner le fonctionnement dun programme et
de sintroduire dans lordinateur sur lequel il fonctionne, sont rgulirement dcou-
vertes dans les programmes couramment utiliss sur les serveurs. Des erreurs dans la
conguration des logiciels de la part des admins de ces serveurs sont aussi possibles.
Ainsi, en avril 2011, lexploitation de failles dans les logiciels utiliss sur leurs serveurs
a permis des pirates de sintroduire dans les serveurs de Sony Online, du PlayStation
Network et de Qriocity (Sony Entertainment Network). Cela leur a donn accs aux
donnes personnelles et bancaires de millions dutilisateurs de ces rseaux de jeux
vido 65 : pseudonymes, mots de passe, adresses postales et lectroniques, etc.
Si cet exemple a beaucoup fait parler de lui, les failles qui rendent ce genre de pira-
tage possible ne sont pas rares, et nimporte quel serveur peut tre touch. Une fois
introduits dans le serveur, les pirates peuvent potentiellement avoir accs distance
toutes les donnes enregistres sur celui-ci.

Attaque par dni de service


Sans saisir le serveur ni mme le pirater, il est possible dempcher celui-ci de fonc-
tionner en le saturant : ladversaire fait en sorte que de trs nombreux robots tentent
en permanence de se connecter au site attaquer. Au del dun certain nombre de
requtes, le logiciel serveur est dbord et narrive plus rpondre : le site est alors page 22

62. Alexandre Linden, 2016, apport dactivit 2015 de la personnalit qualie prvue par larticle
6-1 de la loi n 2004-575 du 21 juin 2004 cr par la loi n 2014-1353 du 13 novembre 2014
renforant les dispositions relatives la lutte contre le terrorisme, CNIL, p. 9 [https://www.cnil.fr/
sites/default/files/atoms/files/cnil_rapport_blocage_sites_internet_2016_0.pdf]
63. Globenet, 2007, Les saisies de serveurs en Europe : un historique [http://www.globenet.org/
Les-saisies-de-serveurs-en-Europe.html?start_aff=6].
64. Greenpeace, 2007, Greenpeace dplore labus de procdure et la raction disproportionne
dElectrabel [http://www.greenpeace.org/belgium/fr/pers/persberichten/perquisition/].
65. Wikipdia, 2014, Piratage du PlayStation Network [https://fr.wikipedia.org/wiki/Piratage_
du_PlayStation_Network] ; Diowan, 2011, Retour sur le piratage de Sony [http://www.jeuxvideo.com/
dossiers/00014882/le-piratage-du-psn.htm]
48 I. COMPRENDRE

inaccessible. On appelle cette attaque une attaque par dni de service 66 . Les robots
tome 1 3.2 utiliss pour ce type dattaque sont souvent des logiciels malveillants installs sur des
ordinateurs personnels linsu de leurs propritaires.

3.4.3 Sur le trajet


Enn, un adversaire qui contrle une partie du rseau comme un fournisseur daccs
Internet peut couter ou dtourner des paquets de plusieurs manires.

Filtrage
page 28 Comme voqu prcdemment, un adversaire qui contrle lun des routeurs par les-
quels passe le trac entre un internaute et une ressource peut lire plus ou moins en
page 16 profondeur le contenu des paquets et ventuellement le modier, et ce dautant plus
facilement sil nest pas chir.
De nos jours, quasiment tous les fournisseurs daccs Internet pratiquent ce genre
page 40 dinspection, le DPI , a minima des ns de statistiques. De plus, ils sont de plus en
plus nombreux, de faon plus ou moins discrte, plus ou moins assume, sen servir
pour faire passer certains paquets avant les autres, en fonction de leur destination
ou de lapplication laquelle ils correspondent. Par exemple pour ralentir la vido
la demande, qui gnre beaucoup de trac (et donc leur cote cher), et privilgier
le tlphone par Internet 67 . Ce type de moyens est par exemple utilis par le FAI
SFR 68 an de modier les pages web visites par ses abonns en 3G 69 .
Le dploiement massif dquipements permettant cet examen approfondi des paquets
rend beaucoup plus facile une surveillance aux portes des rseaux des FAI.
En analysant ce type de donnes, les gouvernements peuvent identier la position
dun individu, de ses relations et des membres dun groupe, tels que des opposants
politiques. 70 . De tels systmes ont t vendus par des socits occidentales la
Tunisie, lgypte, la Libye, au Bahren et la Syrie 71 , et sont galement en service
page 40 dans certains pays occidentaux. Ceux-ci permettent, sur la base dune surveillance de
masse, de cibler des utilisateurs et ltrer, censurer du contenu.

coutes
linstar des bonnes vieilles coutes tlphoniques, il est tout fait possible denre-
gistrer tout ou partie des donnes qui passent par un lien rseau : on parle d in-
terceptions IP . Cela permet par exemple dcouter tout le trac chang par un
serveur, ou celui qui passe par une connexion ADSL domestique.
En France, de telles interceptions sont autorises dans le cadre dune enqute juri-
dique, mais aussi pour la prvention du terrorisme pour recueillir des informa-
tions ou documents [. . . ] relatifs une personne [. . . ] susceptible dtre en lien avec
une menace. mais aussi des personnes appartenant lentourage de la personne
concerne . 72
Si lon ne prend pas de prcautions particulires, une interception IP rvle un
adversaire une bonne partie de nos activits sur Internet : pages web visites, emails
66. Wikipdia, 2014, Attaque par dni de service [https://fr.wikipedia.org/wiki/Ddos].
67. Christopher Parsons et Colin Bennet, 2010, What Is Deep Packet Inspection [http://www.
deeppacketinspection.ca/what-is-dpi/] (en anglais).
68. bluetou, 2013, SFR modie le source HTML des pages que vous visitez en 3G [http://reflets.
info/sfr-modifie-le-source-html-des-pages-que-vous-visitez-en-3g/].
69. Wikipdia, 2014, 3G [https://fr.wikipedia.org/wiki/3G].
70. Elaman, 2011, Communications monitoring solutions [http://wikileaks.org/spyfiles/docs/
elaman/188_communications-monitoring-solutions.html] (en anglais).
71. Jean Marc Manach, 2011, Internet massivement surveill [http://owni.fr/2011/12/01/
spy-files-interceptions-ecoutes-wikilleaks-qosmos-amesys-libye-syrie/].
72. Rpublique Franaise, Code de la Scurit Intrieure, article L851-2 [https://www.legifrance.
gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000032925403&cidTexte=LEGITEXT000025503132]
3. SURVEILLANCE ET CONTRLE DES COMMUNICATIONS 49

et leurs contenus, conversations de messagerie instantane. . . tout ce qui sort de notre


ordinateur en clair . Le chirement des communications rend lanalyse du contenu
issu de ces coutes beaucoup plus dicile : ladversaire a toujours accs aux donnes
changes, mais il ne peut pas les comprendre et les exploiter directement. Il peut alors
essayer de casser le chirement utilis. . . ou tenter de contourner la faon dont il est
mis en uvre. On parlera plus loin de ces questions lies au chirement. Dans tous les page 59
cas, ladversaire aura toujours accs un certain nombre dinformations prcieuses,
comme par exemple les adresses IP des dirents interlocuteurs impliqus dans une page 12
communication.

Analyse du trac rseau


Lorsque le trac est chir, il reste possible de mettre en place des attaques plus
subtiles. Un adversaire pouvant couter le trac rseau, mme sil na pas accs au
contenu, dispose dautres indices, comme la quantit dinformations transmises un
moment donn.
Ainsi, si Alice envoie 2 Mo de donnes chires vers un site web de publication, et
que quelques instants plus tard un nouveau document de 2 Mo apparat sur ce site,
cet adversaire pourra en dduire quil est probable que ce soit Alice qui ait envoy ce
document.
En tudiant la quantit dinformations transmises par unit de temps, ladversaire
peut aussi dessiner une forme : on lappellera le motif de donnes. Le contenu dune
page web chire naura ainsi pas le mme motif quune conversation de messagerie
instantane chire.
De plus, si un mme motif de donnes est observ deux points du rseau, ladversaire
peut supposer quil sagit dune mme communication.
Pour prendre un exemple prcis : considrons un adversaire qui coute la connexion
ADSL dAlice, et qui observe du trac chir quil ne peut pas dchirer, mais qui
souponne Alice de discuter avec Betty par messagerie instantane chire. Consid-
rons quil a galement les moyens de mettre sous coute la connexion de Betty. Sil
observe une forme similaire entre les donnes sortant de chez Alice et celles entrant
chez Betty quelques (milli)secondes plus tard, il sera confort dans son hypothse
sans toutefois disposer dune preuve formelle.
Ce type dattaque permet de conrmer une hypothse prexistante, mais pas den
laborer une partir des seules informations collectes, moins que ladversaire naie
les moyens dcouter tout le rseau o se situe le trac entre Betty et Alice, et quil
dispose dune puissance de calcul colossale. Lexistence dun adversaire global de ce
type est techniquement possible, mais peu raliste. Par contre, des agences comme la
NSA sont capables de mener ce type dattaque, au moins lchelle de leur pays : la
NSA dispose dune puissance de calcul qui peut tre susante et des fuites indiquent
quelle couterait 75 % du trac Internet des tats-Unis dAmrique 73 .

3.4.4 Piratage du client


Lordinateur de linternaute, lui aussi, peut tre une cible. De la mme faon que dans
un serveur, un attaquant peut sintroduire par eraction dans un ordinateur person- tome 1 ch. 3
nel. Des erreurs de programmation ou dautres failles dans le systme dexploitation
ou dans les applications installes permettent parfois des adversaires deectuer un
tel piratage lgal ou illgal depuis Internet, sans avoir daccs physique la ma-
chine. De plus, lintrusion peut tre facilite par de mauvaises pratiques de la part des
utilisateurs, comme ouvrir une pice jointe frauduleuse ou installer des programmes
trouvs au hasard sur le web.
73. latribune.fr, 2012, A peine 25% du trac web amricain chappe la surveillance
du NSA [http://www.latribune.fr/actualites/economie/international/20130821trib000781040/
a-peine-25-du-trafic-web-americain-echappe-a-la-surveillance-du-nsa.html].
50 I. COMPRENDRE

Un groupe de hackers allemands renomm, le Chaos Computer Club, a mis la main


sur un mouchard utilis par la police allemande qui lui permettait despionner et
de contrler un ordinateur distance 74 . De tels mouchards peuvent tre installs
tome 1 3.1 distance et sont autoriss par la loi franaise.
Mais lespionnage distance nest pas seulement rserv aux pratiques policires.
Aux tats-Unis, cest un lyce qui sest lanc dans lespionnage de grande ampleur.
Sous couvert de vouloir retrouver des ordinateurs portables vols ou perdus , le
lyce avait install une fonction permettant dallumer, au bon vouloir de ltablis-
sement, la webcam des quelques milliers dordinateurs distribus aux lves. Laaire
a t rvle n 2009 : un des lves sest vu reprocher davoir eu un comporte-
ment inappropri , en loccurrence davoir consomm de la drogue. Le responsable
accusant cet lve produisit, en guise de preuve, une photo qui sest rvle avoir t
prise linsu de ltudiant, par la webcam de son ordinateur lorsquil tait chez lui
dans sa chambre ! 75

3.5 En conclusion
Identication de linternaute par son adresse IP, lecture de lorigine et de la destination
des paquets par le biais de leurs en-ttes, enregistrement de diverses informations
direntes tapes du parcours, voire accs au contenu mme des changes. . . tout ceci
est plus ou moins simple en fonction de lentit implique.
Pirate, publicitaire, gendarme de Saint-Tropez ou NSA nont en eet pas les mmes
possibilits techniques et lgales daccs aux traces voques dans ce chapitre.
On se contentera simplement dobserver, pour conclure, que la manire dont Inter-
net fut conu et est le plus couramment utilis est quasiment transparente pour un
adversaire un tant soit peu attentif. . . moins dutiliser toute une srie de parades
adaptes pour rendre ces indiscrtions plus diciles ; ces parades seront voques plus
loin.

74. Mark Rees, 2011, Le CCC dissque un cheval de Troie gouvernemental trou, PCInpact [http:
//www.pcinpact.com/news/66279-loppsi-ccc-cheval-de-troie-faille-malware.htm]
75. Me, myself and the Internet, 2011, Mais qui surveillera les surveillants ? [http://
memyselfandinternet.wordpress.com/2011/02/14/-mais-qui-surveillera-les-surveillants-/]
Chapitre 4
Web 2.0

Le terme web 2.0 est de nos jours presque une banalit. Pour autant, il semble dicile
den saisir la vritable consistance force demploi tort et travers ou au contraire
de dnitions parfois trop techniques 1 .
Il sagit avant tout dun terme marketing, qui dnit une volution du web une
poque o la massication de laccs lInternet en fait un march juteux. Nombre
dentreprises ne peuvent plus se permettre de lignorer, que leur domaine dactivit
soit les mdias, la communication ou le commerce. Il a bien fallu quelles adaptent
leur business model ce nouveau march.
Larrive de ces nouveaux acteurs sur un web jusque-l compos principalement duni-
versitaires et de passionns a transform la conception des sites web, et de ce fait
lutilisation quen ont les internautes.
Au-del de ces formulations marketing, nous allons tenter de voir plus prcis-
ment comment ces volutions se manifestent aux internautes, et les changements
topologiques quelles impliquent. page 18

4.1 Des applications Internet riches ...


Lune de ces volutions porte sur linteractivit des sites web. Ce ne sont plus seule-
ment des pages statiques limage de celles dun livre ou dun magazine. En utilisant
des technologies pr-existantes au web 2.0 comme le JavaScript et le Flash, les sites
web ressemblent de plus en plus des applications telles que celles que lon trouve sur
nos ordinateurs personnels : des sites web dynamiques rpondant aux sollicitations page 22
de linternaute.
De plus, la plupart des logiciels habituellement installs sur un ordinateur personnel
sont transposs en version web, et deviennent accessibles depuis un navigateur web.
On voit mme apparatre des systmes dexploitation, comme Chrome OS, conus tome 1 1.4.1
entirement selon ce principe. Ce mouvement, ce dplacement du logiciel install sur
lordinateur vers le web, est notamment une rponse aux soucis dincompatibilit des
logiciels, de licences et de mises jour.
En eet, plus besoin dinstallation : une simple connexion Internet et on dispose,
via un navigateur web, de la plupart des applications traditionnelles : traitement de
texte, tableur, messagerie lectronique, agenda collaboratif, systme de partage de
chiers, lecteur de musique, etc.
Ainsi Google Drive permet entre autres de rdiger des documents ou bien de faire sa
comptabilit en ligne. Mais ce service permet galement de la partager avec des amis,
des collgues, etc.
1. Lexpos douverture de la confrence de OReilly et Battelle sur le Web 2.0, cit par Wiki-
pdia, 2014, Web 2.0 [https://fr.wikipedia.org/wiki/Web_2.0] est un bel exemple de dnition trop
technique.
52 I. COMPRENDRE

Certains vont mme jusqu voir dans cette possibilit daccder ces outils en ligne
depuis nimporte quel ordinateur, dans nimporte quel pays et nimporte quelle
heure 2 une faon de concilier le travail avec dventuels problmes mdicaux, m-
torologiques voir mme en cas de pandmie. . . Plus besoin daller au bureau, un
ordinateur connect Internet sut reconstituer immdiatement lenvironnement
de travail.

4.2 et des clients devenus bnvoles


En arrivant sur le march web, ces entreprises durent revoir leur modle conomique.
Laudience de lInternet grandissant, il ntait pas possible de nancer un site web sur
la seule publicit, tout en payant une arme de rdacteurs pour fournir du contenu
en quantit toujours plus importante.
Les fournisseurs de services utilisrent une technique dj prsente sur le web depuis
longtemps : miser sur la participation des internautes. Ce sont dornavant ceux-ci qui
se chargent de rdiger le contenu qui alimente les sites. Les fournisseurs de services
se contentent dhberger les donnes et de fournir linterface permettant dy accder,
mais aussi et surtout dajouter de la publicit autour. . . et dencaisser la monnaie.
Ainsi, la plateforme de partage de vido YouTube a, pendant de nombreuses annes,
permis ses internautes de mettre en ligne et de visionner gratuitement les vidos
de leur choix sans contrepartie visible. Aujourdhui, suite au succs et fort de son
monopole, la plupart des personnes voulant visionner et partager des vidos sont
dpendantes de cette plateforme, ce qui permet alors YouTube dimposer petit
petit de la publicit. Au dbut, elle se situait sur un bandeau ct de limage, puis
sur un bandeau transparent sur limage et maintenant cest tout simplement une vido
incruste au dbut de celle que lon souhaite visionner 3 .
Autre avantage de cette solution pour les fournisseurs de services, les internautes
fournissent ainsi plus ou moins consciemment tout un ensemble de donnes 4 quil est
ensuite possible de monnayer, notamment en constituant des prols de consomma-
page 33 teurs et en adaptant les publicits aches au public.
Il est ainsi courant que les internautes nutilisent plus Internet uniquement pour t-
lcharger des lms ou aller y lire leur priodique favori. De plus en plus, par exemple
via le remplissage de leur page Facebook, les internautes produisent du contenu et
lorent pour ainsi dire aux hbergeurs ou autres entreprises qui fournissent ces ser-
vices. Linternaute va de lui-mme mettre en ligne la liste de la musique quil
coute, les photos de ses vacances au Mexique, ou encore ses cours dhistoire contem-
poraine pour les partager avec ses camarades de classe.
Bien sr, en fournissant du contenu, on fournit aussi des informations sur soi, informa-
page 33 tions que les regards indiscrets des publicitaires et autres adversaires ne manqueront
pas dutiliser.
page 35

4.3 Centralisation des donnes


Lutilisation dInternet comme espace de stockage de donnes va de pair avec la
centralisation des donnes des internautes aux mains de quelques organisations, dans
quelques lieux gographiques.

2. Lionel Damm et Jean-Luc Synave, 2009, Entrepreneur 2.0, la boite outils de la


comptitivit. . . petit frais [http://www.confederationconstruction.be/Portals/28/UserFiles/Files/
WP2guideentrepreneurweb20.pdf].
3. Jean-Baptiste Liouville, 2013, YouTube : Changement des rgles, oui, mais pour quelles rai-
sons ? [http://atelierdunumerique.com/youtube-changement-des-regles/].
4. Fanny Georges, Antoine Seilles, Jean Sallantin, 2010, Des illusions de lanonymat Les stra-
tgies de prservation des donnes personnelles lpreuve du Web 2.0, Terminal numro 105,
Technologies et usages de lanonymat lheure dInternet.
4. WEB 2.0 53

Lutilisation dapplications en ligne signie entre autres que les documents ne sont
plus stocks sur un ordinateur personnel, un disque dur ou une cl USB. Ils se re-
trouvent sur des serveurs distants comme ceux de Google 5 ou dUbuntu One, dans
des centres de traitement de donnes. Susamment loin de linternaute, gographi-
quement comme techniquement, pour que lon puisse douter du pouvoir quil a dessus.
Une simple absence de connexion Internet et il devient impossible davoir accs ses
documents, moins den avoir eectu une sauvegarde. Ce dplacement du stockage
rend galement impossible de pouvoir eacer avec certitude et de faon scurise les tome 1 4.3
documents qui y sont placs.

Cette tendance faire migrer donnes et applications de lordinateur personnel vers


Internet cre du mme coup une dpendance la connexion . Quand toute sa
musique, son carnet dadresses et les cartes de sa ville nexistent plus que par Internet,
il devient plus dicile dimaginer utiliser un ordinateur hors connexion. Or toute page 33
connexion Internet ouvre des portes. Et plus un ordinateur est expos, plus il
est dicile de garantir sa scurit de lanonymat de linternaute qui lutilise la
condentialit des donnes quon lui cone.

Rien ne nous garantit non plus que nos donnes stockes en ligne soient bien gar-
des. Mme si une organisation nous donne aujourdhui tous les gages de scurit (et
encore, quest-ce qui nous le prouve ?) elle nest de toute faon pas labri, demain,
de la dcouverte dune faille, ou dune erreur de conguration dun programme qui page 45
donnerait accs ces donnes nimporte qui, comme ce fut le cas pour le service de
stockage chir de donnes en ligne Dropbox 6 .

Les entreprises qui on cone nos donnes peuvent aussi supprimer notre compte 7 ,
voire choisir de fermer leurs services sans que lon y puisse rien - ou simplement faire
faillite, ou se faire fermer par dcision de justice comme dans le cas de Megaupload. page 42

4.4 Mainmise sur les programmes

La plupart du temps, ces applications en ligne sont dveloppes de manire plus ferme tome 1 4.1
que les applications libres que lon peut installer sur son ordinateur. Lorsque Google
ou Facebook dcident de modier son interface ou de changer le fonctionnement du
service, de faire du rangement , linternaute na pas son mot dire.

De plus, linteractivit de ces applications web implique quune partie de leur pro-
gramme soit excut sur lordinateur client (le ntre), travers des technologies
comme JavaScript, Flash, ou encore Java. Ces technologies sont dsormais actives, page 26
par dfaut, dans nos navigateurs, et ceci pour tous les sites. Cest sympa, pratique,
moderne. Mais ces technologies posent quelques problmes quant la scurit de nos tome 1 3.2
ordinateurs, et donc quant la condentialit de nos donnes. . . Il est cependant
possible 8 de nautoriser leur usage que site par site, en fonction de la conance quon
leur accorde.

5. Le paragraphe vos contenus et nos Services des Conditions Gnrales dUtilisation [https:
//www.google.com/intl/fr/policies/terms/] des services fournis par Google dmontre assez clairement
labsence de pouvoir concret dun utilisateur sur les contenus quil a stocks en ligne. Ce qui est
vous, reste vous mais libre Google den faire ce quil en a envie tant que vous laissez votre
contenu sur ses serveurs.
6. Vincent Hermann, 2011, Dropbox admet possder un double des cls daccs aux donnes [http:
//www.pcinpact.com/breve/64460-dropbox-conditions-utilisation-chiffrement-securite.htm].
7. Owni, 2011, Aprs 7 ans dutilisation, il se fait supprimer son compte
Google, donc les emails, le calendriers, les docs, etc. [http://owni.fr/2011/08/29/
google-suppression-compte-donnees-personnelles-vie-privee-god/].
8. Suivant le navigateur quon utilise, il existe des extensions, comme noscript [http://noscript.
net], qui permettent de grer ces paramtres.
54 I. COMPRENDRE

4.5 De la centralisation lauto-hbergement dcentralis


Face une centralisation toujours croissante des donnes et des applications, peut-on
proter des avantages dun rseau participatif et interactif sans perdre le contrle sur
nos donnes ? Le d parat ardu. Mais des travaux sont en cours pour dvelopper des
applications web qui fonctionneraient de faon dcentralise chez chaque internaute
au lieu dtre centralises sur quelques serveurs. Des projets comme les mdias sociaux
de pair pair, ownCloud 9 , la FreedomBox 10 , ou encore la distribution YunoHost 11
travaillent dans cette direction.
En attendant quils soient aussi simples dutilisation que les solutions proposes par
les gants du web 2.0, il est dores et dj possible, en mettant un peu les mains
dans le cambouis, dhberger soi-mme la plupart des services quon souhaite orir
ou utiliser.

9. Owncloud [http://owncloud.org/] (en anglais)


10. Freedombox foundation [http://freedomboxfoundation.org] (en anglais).
11. Page francophone du projet YunoHost [https://doc.yunohost.org/#/index_fr]
Chapitre 5
Identits contextuelles

Lun des prsupposs de ce guide est le dsir que nos faits, gestes et penses ne soient
pas automatiquement, voire pas du tout, relis notre identit civile.
Pour autant, il peut tre ncessaire ou simplement prfrable de savoir qui on
sadresse : pour entamer une discussion sur un forum ou envoyer des emails par
exemple. Dans ces cas l, avoir une identit, cest--dire tre identiable par notre
correspondant, simplie la communication.

5.1 Dnitions
Pour commencer, deux dnitions :
lanonymat, cest ne pas laisser apparatre de nom ;
le pseudonymat, cest choisir et utiliser un nom dirent de son nom civil.
De par son fonctionnement, il est trs dicile dtre anonyme ou de rester un pseu-
donyme sur Internet.

5.1.1 Pseudos
Un pseudo, cest une identit qui nest pas celle assigne un individu par ltat
civil. On peut choisir de se faire appeler Spartacus , Amazone enrage , Zi-
gouigoui , ou mme Jeanne Dupont . En conservant un mme pseudonyme lors
de dirents changes, nos interlocuteurs auront de bonnes chances de penser que les
divers messages crits par ce pseudo viennent de la mme personne : ils pourront alors
nous rpondre, mais ne pourront pas venir nous casser la gueule en cas de dsaccord.
Il faut nanmoins tre conscient lors du choix dun pseudonyme que celui-ci peut en
lui-mme tre un indice qui permet de remonter la personne qui lutilise, au moins
pour les personnes qui connaissent dj ce pseudonyme par ailleurs.

5.1.2 Identit contextuelle

En reprenant le l de notre histoire introductive, lidentit contextuelle


correspondrait une ou plusieurs personnes publiant des informations
sur le Maire du 10me arrondissement , et la personne physique Benot.

Que lon discute avec des personnes avec qui on partage la passion de lescalade, ou de
notre projet professionnel avec un agent Ple Emploi ou encore avec notre banquier,
la teneur des propos, la manire dont on en parle nest pas la mme. Dun ct on sera
plutt exalte, aventureuse, de lautre plutt sobre, srieuse. . . on peut donc parler
didentit contextuelle.
56 I. COMPRENDRE

Il en va de mme lors de lutilisation dun ordinateur : quand on poste un message sur


un forum de rencontre, quand on annonce une grosse soire sur son compte Facebook
ou quand on rpond un email de papa, on fait appel direntes identits contex-
tuelles. Celles-ci peuvent bien videmment tre mlanges et donc rejoindre une mme
identit compose des trois identits contextuelles mobilises ci-dessus, la clibataire,
la ftarde, la lle de. Elles sont en dnitive toutes constitutives des personnalits de
leur propritaire.
Une identit contextuelle est donc un fragment dune identit globale cense
correspondre une personne physique, ou un groupe. Tout comme une photographie
est un instantan dune personne ou dun groupe, sous un certain angle, un certain
ge, etc.
page 25 tre absolument anonyme sur Internet, cest trs compliqu : comme on la vu, de
nombreuses traces sont enregistres via le rseau lors de son utilisation. Ce phnomne
est dautant plus vrai avec les mdias sociaux pour lesquels la gnration dune identit
unique et traable est un fond de commerce 1 . Il est impossible de ne laisser aucune
trace, mais il est peut-tre possible de laisser des traces qui ne ramnent nulle part.
On rencontre des dicults similaires lorsquon fait le choix du pseudonymat : plus
on utilise un pseudo, plus les traces quon laisse saccumulent. Des petits indices qui,
une fois recoups, peuvent permettre de rvler lidentit civile qui correspond un
pseudonyme.

5.2 De lidentit contextuelle lidentit civile


Il existe direntes manires, plus ou moins oensives, de mettre mal un pseudonyme
ou de rvler le lien entre une identit contextuelle et la ou les personnes physiques
qui lutilisent.

5.2.1 Le recoupement
page prec. En partant de lexemple des trois identits contextuelles, il est lgitime de se deman-
der ce que jongler entre ces direntes identits implique en termes danonymat. En
imaginant quon utilise un pseudonyme et non son tat civil, il peut tre plus perti-
nent davoir une identit, donc un pseudo, dans chaque contexte : une pour les sites
de rencontres, une autre pour les mdias sociaux, et une pour les relations familiales,
etc. an dviter les recoupements. Si les informations manant des dites identits ne
sont pas compartimentes, cest--dire si un mme pseudo est utilis, leur recoupe-
ment permet de rduire le nombre de personnes qui elles peuvent correspondre. Il
devient alors plus facile de faire le lien entre une prsence numrique et une personne
physique, et donc de mettre un nom sur lidentit contextuelle correspondante.
Considrons par exemple un internaute qui utilise le pseudonyme bruce76 sur un
blog o il dit tre vgtarien et aimer les lms daction. Il nexiste quun certain
nombre de personnes correspondant ces critres. Ajoutons cela le fait que ce
mme pseudonyme est utilis pour organiser une esta dans telle ville via un rseau
social et pour communiquer par email avec Mme Unetelle. Il ny a sans doute pas
beaucoup de personnes vgtariennes, aimant les lms dactions, organisant une fte
dans cette mme ville et communiquant par email avec Mme Unetelle.
Plus les utilisations dun pseudonyme sont nombreuses et varies, plus le nombre de
personnes pouvant correspondre ce pseudonyme est restreint. Il est donc possible,
en recoupant les utilisations dun mme pseudonyme par exemple, daaiblir voire de
casser le pseudonymat.
Cest ce que nombre dutilisateurs dAOL dcouvrirent leurs dpends lors de la
publication de plus de trois mois de rsultats dutilisation du moteur de recherche de la
1. ippolita, 2012, Jaime pas Facebook, Payot [http://www.ippolita.net/fr/jaime-pas-facebook]
5. IDENTITS CONTEXTUELLES 57

rme 2 . Nombre de chercheurs purent facilement briser le faible pseudonymat appliqu


par AOL sur ces donnes. Le gouverneur de ltat du Massachusetts a lui aussi fait
les frais de ces recoupements lorsque son dossier mdical, soit-disant anonymis, a
pu tre identi parmi ceux de tous les citoyens de cet tat. La chercheuse ayant
eectue cette dmonstration de dsanonymisation de donnes poussa lironie jusqu
lui envoyer son dossier mdical par la poste 3 .

5.2.2 Corrlation temporelle


Procd un peu plus technique cette fois-ci, la corrlation temporelle permet ga-
lement de briser ou daaiblir un peu plus lanonymat ou le pseudonymat. En ef-
fet, si dans un intervalle de temps rduit, il y a connexion vers la bote mail ama-
zone@exemple.org ainsi que jeanne.dupont@courriel.fr, la probabilit que ces deux
adresses emails soient aux mains de la mme personne augmente, et ce dautant plus
si cette observation se rpte. Diverses parades, rpondant des besoins divers, seront
explicites plus loin.

5.2.3 Stylomtrie
Il est possible dappliquer des analyses statistiques sur la forme de nimporte quel
type de donnes, et notamment aux textes. En analysant 4 direntes caractristiques
dun texte, comme la frquence des mots-outils 5 , la longueur des mots, des phrases et
des paragraphes, la frquence des signes de ponctuation, on peut corrler des textes
anonymes avec dautres textes, et en retirer des indices sur leur auteur.
Ce type danalyse fut par exemple utilis lors du procs de Theodore Kaczynski 6
pour accrditer le fait quil soit lauteur du manifeste La socit industrielle et son
avenir 7 .
Les auteurs dune tude rcente 8 ont cherch simuler une tentative didentica-
tion de lauteur dun blog publi de manire anonyme. Si lauteur est susamment
prudent pour viter de rvler son adresse IP ou tout autre identiant explicite, son
adversaire (par exemple un censeur gouvernemental) peut se pencher sur lanalyse de
son style dcriture . Leurs conclusions montrent que la stylomtrie permet de rduire
fortement, parmi de trs nombreuses possibilits, le nombre dauteurs possibles dun
texte anonyme la prcision augmentant videmment avec le nombre dchantillons
signs , cest--dire dont lauteur est connu, fournis au logiciel danalyse.
Le plus souvent, cela leur permet de rduire la taille de lensemble des auteurs pos-
sibles de 100 200 sur 100 000 initialement. [. . . ] ajout une autre source din-
formation, cela peut tre susant pour faire la dirence entre lanonymat et liden-
tication dun auteur . lheure o sont crites ces lignes, il est mme possible dans
20 % des cas didentier directement lauteur anonyme.
La particularit de ce travail est quil dpasse le cadre de petits chantillons (une
centaine de possibilits) auxquels staient cantonnes les tudes prcdentes, pour
2. Nate Anderson, 2006, AOL releases search data on 500,000 users [http://arstechnica.com/
uncategorized/2006/08/7433/] (en anglais).
3. Paul Ohn, 2009, Broken Promises of Privacy : Responding to the Surprising Failure of Ano-
nymization [http://www.uclalawreview.org/pdf/57-6-3.pdf] (en anglais).
4. Par exemple grce des logiciels comme The Signature Stylometric System [http://www.
philocomp.net/?pageref=humanities&page=signature] ou Java Graphical Authorship Attribution Pro-
gram [http://www.jgaap.com/] (liens en anglais).
5. Les mot-outils sont des mots dont le rle syntaxique est plus important que le sens. Il sagit
typiquement de mots de liaison [https://fr.wikipedia.org/wiki/Mot-outil]
6. Kathy Bailey, 2008, Forensic Linguistics in Criminal Cases, Language in Social Contexts [http:
//ksbailey.writersresidence.com/samples/forensic-linguistics-in-criminal-cases] (en anglais).
7. Theodore Kaczynski, 1998, La socit industrielle et son avenir [http://www.fichier-pdf.fr/
2012/12/20/kaczynski/kaczynski.pdf]
8. Hristo Paskov, Neil Gong, John Bethencourt, Emil Stefanov, Richard Shin, Dawn Song, 2012,
On the Feasibility of Internet-Scale Author Identication [http://randomwalker.info/publications/
author-identification-draft.pdf] (en anglais).
58 I. COMPRENDRE

sintresser lidentication de lauteur parmi un trs grand nombre de possibilits ;


en dautres termes, il dmontre que la stylomtrie peut tre employe pour conrmer
lorigine dun texte sur la base dun trs grand nombre dchantillons.
Cependant, crire en essayant de masquer son style, sans expertise particulire, semble
permettre de rendre inecaces les analyses stylomtriques. Imiter le style de quelquun
dautre permet mme de les tromper dans plus de la moiti des cas 9 .
Dautres chercheurs dveloppent des logiciels qui suggrent les modications eec-
tuer pour anonymiser un texte 10 .

5.3 La compartimentation
Comme on vient de le voir, de nombreuses possibilits dattaques permettent de faire
correspondre une identit civile et une identit contextuelle. Lutilisation dun seul et
mme nom pour ses direntes activits est sans doute la pratique la plus mme de
nous confondre.
Face cela, il est donc important de bien rchir lusage que lon a de ses pseu-
donymes. Il est souvent dangereux de mlanger plusieurs identits contextuelles sous
un mme pseudo. La meilleure prvention reste de les sparer clairement ds le d-
part an de limiter les ennuis par la suite. Aprs tout, une pratique ou une identit
qui peut tre utilise un moment donn peut dun coup se transformer en source
de problmes en raison de conditions extrieures quil nest pas forcment possible
danticiper ou de matriser.
Cependant, ces pratiques ne sont pas toujours faciles mettre en place. Car en plus
page 54 des techniques dcrites prcdemment, la sparation entre ces direntes identits
contextuelles dpend de beaucoup dautres paramtres. Notamment des relations que
lon tablit avec dautres personnes, que ces relations soient numriques ou non. Il
nest pas forcment facile davoir une identit contextuelle dirente pour absolument
chacune des facettes de sa personnalit ou chacune de ses activits, ni dviter que
certaines dentre elles ne se recoupent. Ces identits voluent au gr des activits quon
leur attribue et au l du temps. Plus longtemps on les utilise, plus leur sparation
a tendance samenuiser. Il est donc souvent dicile dquilibrer et de mesurer les
eorts ncessaires la mise en place des multiples identits contextuelles avec les
bnces escompts. Dautant plus quil est gnralement compliqu de faire marche
arrire dans ce domaine.
Certains outils tels les mdias sociaux les rendent mme quasiment impraticables en
imposant une transparence absolue.

5.4 Les mdias sociaux : centralisation de fonctions et


identit unique
Les mdias sociaux tendent en eet centraliser des fonctions qui taient auparavant
assures par dirents outils, de lchange de messages la publication de nouvelles,
en passant par les groupes de discussion. Ils tendent se substituer la fois lemail,
la messagerie instantane, aux blogs ainsi quaux forums.
Dans le mme temps se dveloppent de nouvelles fonctions, comme une certaine vie
relationnelle numrique o lexistence dune communication prime sur son contenu,

9. M. Brennan, R. Greenstadt, 2009, Practical attacks against authorship recognition techniques,


dans Proceedings of the Twenty-First Innovative Applications of Articial Intelligence Confe-
rence [http://www.cs.drexel.edu/~greenie/brennan_paper.pdf] (en anglais).
10. Andrew W.E. McDonald, Sadia Afroz, Aylin Caliskan, Ariel Stolerman, Rachel Greenstadt,
2012, Use Fewer Instances of the Letter i : Toward Writing Style Anonymization, The 12th
Privacy Enhancing Technologies Symposium [https://www.cs.drexel.edu/~sa499/papers/anonymouth.
pdf] (en anglais).
5. IDENTITS CONTEXTUELLES 59

pousse son paroxysme avec les pokes , ces messages sans contenu 11 . Le web
2.0 encourage lexpression sur des sujets qui taient auparavant considrs comme
intimes 12 .

Finalement, pas grand-chose de bien nouveau, si ce nest la centralisation de nom-


breuses fonctions et de pratiques varies vers un outil unique. Cest dailleurs le ct
tout-en-un de ces plateformes, le graphisme ainsi que la facilit dusage qui en
font le succs. Mais cette centralisation pose question quant aux consquences de
lutilisation de ces outils sur nos intimits.

La pression sociale pour utiliser les mdias sociaux est trs forte dans certains mi-
lieux : lorsque des groupes les utilisent pour la majorit de leurs communications,
des messages interpersonnels aux invitations en passant par la publication dinforma-
tions, ne pas participer aux mdias sociaux, cest tre marginalis. Le succs de ces
sites repose sur leet de rseau : plus il y a de personnes qui les utilisent, plus
il est important dy tre prsent.

Mais dans le mme temps, ces mdias sociaux permettent aussi de svader de ces
pressions de groupes et dassumer ou dexprimenter plus facilement certaines parts
de sa personnalit qui ne sont pas forcment tolres par ces groupes.

La centralisation de toutes les activits sur une seule plateforme rend extrmement
dicile lusage de pseudonymes dirents pour direntes identits contextuelles. En
eet, en mettant toutes les informations au mme endroit, le risque de recoupement de
direntes identits contextuelles est maximis. Nombre de mdias sociaux demandent
une identit unique, celle correspondant ltat civil dune personne physique. Cest
l une dirence cl par rapport un modle o un individu peut avoir plusieurs
blogs avec des tons et des contenus dirents, chacun sous un pseudonyme dirent.
De plus, linstar des sites de rencontres, o plus on est honnte, meilleurs sont les
rsultats, ici plus on fournit du contenu, plus on utilise cette plateforme, meilleures
sont les interactions.

Ceci est dautant plus vrai quutiliser son nom dtat civil fait partie des rgles de
rseaux comme Facebook, qui met en place dirents mcanismes pour traquer les
pseudonymes 13 . Ces entreprises poussent jusquau bout le business model de la pu-
blicit cible et de la vente de prols : ils mettent en place dirents procds
techniques de captation de lidentit des usagers, depuis lidentit fonde sur leurs
dclarations, jusqu lidentit agissante 14 et lidentit calcule fonde sur lanalyse
de leurs comportements : sites visits, nombre de messages, etc. Il apparat que lano-
nymat total devient impossible dans un univers virtuel o les usagers sont avant tout
des consommateurs quil sagit dobserver. 15

Ainsi, en juillet 2011, Max Schrems a russi obtenir lensemble des donnes dont
Facebook dispose sur lui en invoquant une directive europenne. Le dossier quil a

11. Fanny Georges, 2008, Les composantes de lidentit dans le web 2.0, une tude smiotique
et statistique, Communication au 76me congrs de lACFAS : Web participatif : mutation de la
communication ?, Qubec, Canada [http://hal.archives-ouvertes.fr/hal-00332770/]
12. Alain Rallet et Fabrice Rochelandet, 2010, Exposition de soi et dcloisonnement des espaces
privs : les frontires de la vie prive lheure du Web relationnel, Terminal numro 105, Tech-
nologies et usages de lanonymat lheure dInternet [http://ead.univ-angers.fr/~granem08/IMG/pdf/
Rochelandet.pdf]
13. Nikopik, 2012, Facebook et la dlation [http://www.nikopik.com/2012/07/
facebook-vous-demande-de-denoncer-vos-amis-a-pseudonyme.html].
14. Identit agissante : messages notis par le Systme concernant les activits de lutilisateur .
Par exemple, a modi sa photo de prol , est dsormais ami avec dans lhistorique de
Facebook ou Linkedin (Fanny Georges, Antoine Seilles, Jean Sallantin, 2010, Des illusions de
lanonymat Les stratgies de prservation des donnes personnelles lpreuve du Web 2.0,
Terminal numro 105, Technologies et usages de lanonymat lheure dInternet)
15. Chantal Enguehard, Robert Panico, 2010, Approches sociologiques, Terminal numro 105,
Technologies et usages de lanonymat lheure dInternet [http://www.revue-terminal.org/www/
articles/105/introPartie2Anonymat105.pdf]
60 I. COMPRENDRE

reu comprend 1222 pages 16 , qui incluent non seulement lensemble des informa-
tions disponibles sur son prol, mais aussi tous les vnement auxquels il a t invit
(y compris les invitations dclines), tous les messages envoys ou reus (y compris
les messages supprims), toutes les photos charges sur Facebook accompagnes de
tome 1 2.6 mta-donnes concernant notamment la golocalisation, tous les pokes mis ou
reus, tous les amis (y compris les amis eacs), les journaux de connexions
Facebook (incluant ladresse IP et sa golocalisation), toutes les machines (iden-
page 26 ties par un cookie) utilises par un prol, ainsi que les autres prols utilisant les
mmes machines ou encore la localisation de sa dernire connexion connue
Facebook (longitude, latitude, altitude).
Enn, malgr les dclarations du fondateur de Facebook, comme quoi lre de la vie
prive est rvolue 17 , nombre de stratgies restent dvelopper, remanier, an de
jouer avec les direntes marges encore dactualit. Et ceci dans loptique davoir un
peu de prise sur ces questions fondamentales : Quest-ce que lon souhaite mon-
trer ? , Quest-ce que lon accepte de rendre visible ? et Quest-ce que lon veut
cacher et quel prix ? .

16. Europe versus Facebook, 2012, Facebooks Data Pool [http://europe-v-facebook.org/EN/Data_


Pool/data_pool.html](en anglais).
17. Bobbie Johnson, 2010, Privacy no longer a social norm, says Facebook founder [http://www.
theguardian.com/technology/2010/jan/11/facebook-privacy] (en anglais).
Chapitre 6
Cacher le contenu des
communications : la cryptographie
asymtrique

Dans le premier tome de ce guide, nous avons vu que la piste la plus srieuse pour
protger des donnes des regards indiscrets est le chirement : il permet de les rendre tome 1 ch. 5
illisibles pour toute personne qui na pas la cl secrte.

6.1 Limites du chirement symtrique


Dans le cadre du chirement symtrique, cest une mme cl secrte qui permet la
fois deectuer le chirement et le dchirement.
Le chirement symtrique est tout fait adapt pour chirer une cl USB ou un autre tome 1 5.1.4
support de stockage.
Cependant, dans le cas dune communication, lorsque la personne qui devra dchirer
les donnes nest pas la mme que celle qui les a chires, plusieurs problmes se
posent :
Tout dabord, il faut une nouvelle cl secrte pour chaque couple metteur/rcepteur :
si je veux pouvoir changer des messages chirs avec ma sur dune part, et un ami
dautre part, jaurai besoin dutiliser deux cls direntes, sans quoi ma sur pourrait
dchirer les messages que jchange avec mon ami, et inversement. Du moins dans
le cas o lun deux tombe sur les messages que jchange avec lautre.
De plus, expditeur et destinataire doivent se mettre daccord sur une cl secrte et
se lchanger de faon condentielle. Si un adversaire entrait en possession de la cl
secrte, il pourrait dchirer tous nos changes passs, mais aussi futurs. Il serait
en eet ncessaire mais trs dicile que notre interlocuteur soit prvenu de faon
sre (en nous authentiant) que le secret a t vent. Supposons que lon reoive
un message disant le secret nest plus sr : si ctait vrai, il faudrait arrter
dutiliser ce moyen de communication. De plus, un adversaire dsirant perturber nos
communications pourrait galement dlivrer ce message et ainsi parvenir ses ns
sans beaucoup deorts.
La crytographie asymtrique rpond ces limites. . . mais en prsente dautres.

6.2 Une solution : la cryptographie asymtrique


Dans les annes 70, des mathmaticiens ont rvolutionn la cryptographie en trou-
vant une solution aux problmes poss par le chirement symtrique, en crant le tome 1 5.1
chirement asymtrique. Asymtrique car il utilise, pour dchirer un message,
une cl dirente de celle qui a permis de le chirer.
62 I. COMPRENDRE

Prenons lexemple dAlice, qui souhaite recevoir un message chir de la part de


Betty. Elle envoie Betty un cadenas ouvert, dont elle garde prcieusement la cl :

Alice envoie sa cl publique

Betty place alors son message dans une bote, et utilise le cadenas pour fermer la
bote elle na pas besoin de la cl du cadenas pour cela :

Betty chire un message

Betty renvoie alors la bote contenant le message, protge par le cadenas ferm,
Alice :

Betty envoie un message chir

Grce la cl, quelle a toujours garde sur elle, Alice peut ouvrir le cadenas :

On le voit, grce la cryprographie asymtrique, la seule chose qui circule sur le rseau
est un cadenas ouvert, puis un cadenas ferm. Et si une personne mal intentionne
tombe sur le cadenas ouvert, ce nest pas trs grave : cela ne lui permet pas douvrir
un cadenas ferm.
6. CACHER LE CONTENU DES COMMUNICATIONS : LA
CRYPTOGRAPHIE ASYMTRIQUE 63

Alice dchire un message chir

6.2.1 Cl publique, cl prive


Ce type de chirement est aussi appel chirement cl publique . Le cadenas
ouvert dAlice est sa cl publique, ainsi appele car il nest pas ncessaire de la ca-
cher : elle peut tre rendue publique, par exemple publie sur Internet, an que toute
personne qui souhaite crire Alice de manire chire puisse se la procurer.
Au contraire, la cl du cadenas dAlice, qui sert ouvrir les cadenas ferms protgeant
les messages, ne doit jamais tomber dans les mains de ladversaire. Alice la garde donc
prcieusement, labri des regards indiscrets : on lappelle la cl prive.
Cl publique et cl prive forment la paire de cls dAlice. Chaque entit qui souhaite
pouvoir se faire envoyer des messages chirs asymtriquement doit disposer de sa
propre paire de cls.

6.2.2 Une aaire de nombres premiers


Dans la ralit, la cl publique et la cl prive sont des nombres. Ce quune cl permet
de chirer, lautre permet de le dchirer :

Mais comment est-il possible que la cl publique permette de chirer un message sans
permettre de le dchirer ? La cryptographie asymtrique repose en fait sur des pro-
blmes mathmatiques extrmement diciles rsoudre. Lalgorithme de chirement
RSA, par exemple, repose sur la factorisation de nombres entiers . Cest--dire la
dcomposition dun nombre entier en nombres premiers.
tant donn le nombre 12, il est simple de le dcomposer en 2 2 3. De mme,
111 est gal 3 37. En revanche, comment dcomposer le nombre suivant, compos
de 232 chires ?
1230186684530117755130494958384962720772853569595334792197322452151726400
5072636575187452021997864693899564749427740638459251925573263034537315482
6850791702612214291346167042921431160222124047927473779408066535141959745
9856902143413
Le rsultat est le produit de deux nombres premiers composs chacun de 116 chires.
Ce problme de factorisation dentiers est tudi depuis plus de 2000 ans par des ma-
thmaticiens ; pourtant, aucune solution pratique na encore t trouve : la meilleure
solution connue est dessayer avec tous les nombres premiers possibles.
64 I. COMPRENDRE

Avec un ordinateur actuel, ce calcul serait beaucoup plus long que la dure dune
vie humaine 1 . Les nombres les plus diciles factoriser sont les produits de deux
grands nombres premiers. On choisira donc des nombres susamment grands pour
que mme avec des ordinateurs extrmement puissants, la factorisation ne puisse pas
se faire en un temps raliste.
Faire conance cette mthode revient donc faire le pari que son adversaire dispose
dune puissance de calcul relativement limite. La taille des cls, qui se mesure en
bits, est dune importance capitale. En eet, si on considre quune cl asymtrique
de 2048 bits 2 est sre jusquen 2020 3 , une cl de 512 bits se casse en quelques mois
avec un ordinateur personnel haut de gamme actuel 4 . Il faut garder lesprit que
ce qui est cassable par un ordinateur en 10 ans pourrait ltre en 1 an avec 10
ordinateurs identiques au premier.
De plus, si un jour une personne rsout ce problme mathmatique, il sera possible
de dchirer sans trop de dicult les changes chirs qui auront ont t enregistrs
ce type de collecte et de stockage fait partie entre autres des activits de la NSA,
agence de renseignement tats-unienne 5 . Beaucoup de secrets militaires et commer-
ciaux seraient alors rvls ceux qui auront accs ces enregistrements. En dautres
termes, on peut imaginer une sacre pagaille entre entreprises concurrentes et agences
de renseignements ennemies. . .
En attendant, les attaques utilises lheure actuelle sur les systmes de cryptographie
asymtrique ciblent la faon de le mettre en uvre dans tel ou tel logiciel, ou une
tome 1 4.1.1 erreur dans son code source, et non le principe mathmatique du systme.

6.3 Signature numrique


Les paires de cls utilises pour la cryptographie asymtrique peuvent aussi tre
utilises pour prouver lauthenticit dun message. Comment cela fonctionne-t-il ?
Reprenons lexemple de Betty envoyant un message Alice. Cette fois, Betty veut
signer numriquement son message an quAlice puisse tre sre quelle en est bien
lauteur.
tome 1 5.2 Dans le premier tome de ce guide, on a parl des sommes de contrle, ou empreintes :
un nombre qui permet de vrier lintgrit dun message. Cette empreinte va ga-
lement servir signer des donnes numriques. Dans un premier temps, lordinateur
de Betty calcule une empreinte du message quelle va envoyer Alice.
Ensuite, cette empreinte est chire avec la cl prive de Betty : cest la signature
numrique. Eh oui : lempreinte est chire avec la cl prive de Betty, dont elle est
la seule disposer, et non avec la cl publique dAlice. Cette signature sert en eet
authentier lexpditeur, et non le destinataire. Or on vient de voir que cl publique
et cl prive taient en fait deux nombres choisis de telle faon que lun permette de
dchirer ce que lautre a chir. Rien nempche donc de chirer quelque chose avec
la cl prive. Cest alors la cl publique qui va permettre de le dchirer.
Betty envoie alors le message accompagn de sa signature Alice.
1. La factorisation de ce nombre de 768 bits en 2010 a ncessit 2010 oprations. Les chercheurs
qui lont ralise estiment que le calcul aurait pris environ 2000 ans sur un AMD Opteron 2.2 GHz,
ce qui correspond plusieurs centaines dannes sur un processeur dernier cri (Thorsten et al., 2010,
Factorization of a 768-bit RSA modulus [http://eprint.iacr.org/2010/006.pdf] en anglais).
2. Un bit est un chire binaire (0 ou 1). Pour en savoir plus, voir Wikipdia, 2014, Bit [https:
//fr.wikipedia.org/wiki/Bit]
3. Agence nationale de la scurit des systmes dinformation, 2010, Mcanismes cryptographiques
Rgles et recommandations concernant le choix et le dimensionnement des mcanismes cryptogra-
phiques [http://www.ssi.gouv.fr/IMG/pdf/RGS_B_1.pdf]
4. S. A. Danilov, I. A. Popovyan, 2010, Factorization of RSA-180 [http://eprint.iacr.org/2010/
270.pdf] (en anglais).
5. Nicole Perlroth, Je Larson et Scott Shane, 2013, N.S.A. Able to Foil Basic Sa-
feguards of Privacy on Web, The New York Times [http://www.nytimes.com/2013/09/06/us/
nsa-foils-much-internet-encryption.html] (en anglais).
6. CACHER LE CONTENU DES COMMUNICATIONS : LA
CRYPTOGRAPHIE ASYMTRIQUE 65

Betty signe un message

Pour vrier la signature, lordinateur dAlice va lui aussi calculer lempreinte du


message et dchirer en parallle la signature.

Alice vrie le message

Puisquelle est chire avec la cl prive de Betty, la cl publique de Betty sut pour
dchirer cette signature. Si lempreinte du message reu correspond la signature
dchire (celle-ci ntant rien dautre, comme on la dit, que lempreinte du message
calcule par lordinateur de Betty), Alice est sre de lauthenticit du message quelle
a reu. En eet, Betty garde sa cl prive en lieu sr. Elle est donc la seule avoir
pu chirer lempreinte quAlice a dchir avec la cl publique de Betty.

Le contrepoint ngatif de cette certitude est que le possesseur dune cl prive pourra
plus dicilement nier tre lauteur du message.

6.4 Vrier lauthenticit de la cl publique


La cryptograhie asymtrique permet ainsi de chirer et de signer des messages sans
avoir besoin de schanger pralablement un secret partag.

Cependant, elle ne rsout pas une question importante : comment sassurer que je
possde bien la vritable cl publique de mon destinataire, et que ce nest pas un
66 I. COMPRENDRE

usurpateur qui ma fourni une fausse cl publique pour pouvoir intercepter mes mes-
sages, tout en me donnant une fausse impression de scurit ?

6.4.1 Lattaque de lhomme du milieu


Reprenons lexemple dAlice qui souhaite recevoir un message chir de la part de
Betty, en prsence dune adversaire Carole qui peut avoir accs aux messages chan-
gs :
Alice commence par envoyer sa cl publique Betty. Carole peut la lire.
Betty chire son message avec la cl publique quelle a reue, puis lenvoie Alice.
Carole qui ne possde pas la cl prive dAlice, mais seulement sa cl publique, ne
peut pas dchirer le message.
Alice elle, peut dchirer le message laide de la cl prive quelle garde prcieu-
sement.
Cependant si Carole est en mesure de modier les changes entre Alice et Betty, les
choses se corsent :
LorsquAlice envoie sa cl publique Betty, Carole lintercepte et renvoie Betty,
en lieu et place de celle dAlice, une cl publique dont elle dtient la cl prive
correspondante.
Betty chire son message avec la cl publique quelle a reue, puis lenvoie Alice.
Mais la cl quelle a reue appartenait Carole : elle la substitue celle dAlice.
Carole intercepte nouveau le message. Mais cette fois, il est chir avec sa cl
publique, dont elle a la cl prive. Elle peut donc dchirer le message pour le lire et
ventuellement le modier. Puis elle chire nouveau le message avec la vritable
cl publique dAlice, avant de lenvoyer Alice.
Alice peut alors dchirer le message avec sa cl prive, sans se rendre compte de
rien.
Ainsi, Betty est persuade dutiliser la cl dAlice, alors quelle utilise en ralit celle
de Carole. De la mme manire, Carole peut usurper la cl publique de Betty et
falsier la signature du message transmis par Betty Alice. Alice recevra un message
chir et dment sign. . . par Carole.
On appelle cette attaque lattaque de lhomme du milieu (Man in the Middle attack,
ou MitM, en anglais) 6 . Dans notre exemple, Carole tait l homme du milieu ,
capable de lire et de modier la communication chire en se faisant passer, aux yeux
de chaque partie de la communication, pour lautre.
Un adversaire peut se positionner en homme du milieu par dirent biais.
Le fournisseur daccs Internet est par exemple particulirement bien plac, car
tout le trac passera obligatoirement par lui. De mme un gros nud du rseau par
lequel passe une quantit importante du trac sera en bonne mesure de mettre en
place cette attaque 7 . Enn un adversaire ayant accs au rseau local que vous utilisez
pourra toujours faire transiter le trac rseau par son ordinateur utilisant pour cela
des techniques plus spciques 8 .
Pour se prmunir contre cette attaque, il faut que Betty ait une faon de vrier que
la cl publique quelle utilise est bien celle dAlice. Si la cl publique nest pas une
information condentielle, il faut donc toutefois sassurer de son authenticit avant
de lutiliser.
Parfois, la faon la plus simple, pour Betty, est de rencontrer Alice an de vrier
que la cl publique dont elle dispose est bien la sienne. Peu importe que Carole
6. Wikipdia, 2014, Attaque de lhomme du milieu [https://fr.wikipedia.org/wiki/Attaque_de_l%
27homme_du_milieu]
7. reets.info, 2011, #OpSyria : Bluecoat au cur dattaque MITM de grande envergure ? [http:
//reflets.info/opsyria-bluecoat-au-coeur-dattaque-mitm-de-grand-envergure/]
8. Wikipdia, 2014, ARP poisoning [https://fr.wikipedia.org/wiki/ARP_poisoning]
6. CACHER LE CONTENU DES COMMUNICATIONS : LA
CRYPTOGRAPHIE ASYMTRIQUE 67

soit prsente au moment de cette rencontre : seule une vrication de cl publique


aura lieu, et aucun secret ne va tre chang ( part que Betty et Alice souhaitent
communiquer, mais a, vu sa position, Carole peut le savoir dautres faons). Une
fois cette vrication faite, du chirement de bout--bout pourra tre mis en place
entre Alice et Betty. Le chirement est dit de bout--bout lorsquil a lieu entre la
source et la destinataire dune communication lectronique, et cela sans interruption.
Le chirement a lieu dans lordinateur dAlice et le dchirement dans celui de Betty.
Entre les deux, un message dont le contenu sera chir circulera ; seul len-tte de la page 29
communication, que ce soit une requte HTTP ou un email, circulera en clair.

Cependant, il arrive souvent que Betty ne puisse pas rencontrer Alice a fortiori si
elle ne la connat pas : si elle rencontre une personne qui se prsente comme tant
Alice, Betty ne peut pas tre sre quil sagit bien dAlice. Or, cest gnralement
le cas lorsquon veut chirer ses connexions vers un site web : on ne connat pas les
personnes qui sont derrire.

6.4.2 Infrastructure cl publique


La premire solution couramment utilise est de disposer dautorits de conance qui
certient les cls publiques en les signant numriquement : on parle de certicats. page 62
Alice demande lautorit de certier sa cl publique, souvent moyennant nances.
Lautorit vrie lidentit dAlice, par exemple en lui demandant sa carte didentit, page 61
puis signe numriquement sa cl. Avant dutiliser la cl dAlice, Betty (ou son ordi-
nateur) vrie quelle est bien signe par une autorit quelle considre comme digne
de conance. On parle dinfrastructure cl publique (public key infrastructure, ou
PKI en anglais).

Cest le principe qui est couramment utilis pour authentier les sites web ou les
serveurs demail avec lesquels lordinateur tablit une connexion chire. Les enjeux
les plus courants lors de ltablissement dune connexion chire vers un site web page 18
sont la protection de mots de passe pour se connecter son compte email par
exemple ou la protection de donnes bancaires pour eectuer des achats sur des
sites de vente en ligne. Le protocole utilis pour ce type de chirement est appel page 11
TLS (anciennement SSL) 9 .

Cependant, une telle solution ne fait que dplacer le problme : il faut faire conance
lautorit de certication. En gnral, ce sont des entreprises commerciales, et plus
rarement des administrations.

Ainsi Microsoft, Apple et Mozilla incluent chacun des autorits de certication de


gouvernements parmi les autorits de certication reconnues par leurs navigateurs
web 10 . Mozilla Firefox inclut notamment des autorits de certications de gouverne-
ments (chinois, franais, nerlandais, catalan, japonais), dentreprises de certication
(Verisign, GoDaddy), mais aussi dentreprises de tlcommunications (Deutsche Te-
lecom, Hongkong Post) 11 .

Ces gouvernements, qui peuvent souvent se positionner en homme du milieu, ont le page ci-contre
pouvoir de dsigner nimporte quel certicat comme valide pour un site web en le
signant avec leur autorit de certication : les navigateurs qui lincluent ny verraient
que du feu.

9. Lorsquon veut chirer une connexion avec un serveur web ou email, on utilise le protocole TLS.
Cest un standard qui permet dencapsuler [page 11] le protocole utilis habituellement. Par exemple,
le protocole web HTTP, quand il est encapsul dans du TLS, donc chir, est appel HTTPS. Il en
va de mme pour les protocoles email POPS, IMAPS, et SMTPS.
10. Christopher Soghoian, Sid Stamm, 2011, Certied Lies : Detecting and Defeating Govern-
ment Interception Attacks Against SSL, Financial Cryptography and Data Security [http://files.
cloudprivacy.net/ssl-mitm.pdf] (en anglais).
11. Mozilla Foundation, 2014, Mozilla Included CA Certicate List [https://www.mozilla.org/about/
governance/policies/security-group/certs/included/] (en anglais).
68 I. COMPRENDRE

Dans le cas des entreprises, leur but premier nest pas de certier des identits mais de
gagner de largent, en vendant comme service la certication didentits. Mais vrier
une identit cote cher. Quest-ce qui nous prouve quelles le font correctement ? Que
page 45 leurs cls prives utilises pour signer sont stockes dans un endroit sr ? Encore
une fois, cest une question de conance. On peut esprer que, ne serait-ce que pour
maintenir leur activit, ces autorits de certication font bien leur travail. . .
Sauf que. . . des exemples montrent quelles le font parfois trs mal. Ainsi, en 2008,
des chercheurs ont russi crer de faux certicats valides , car six autorits
de certications utilisaient encore des algorithmes cryptographiques qui taient, de
notorit publique, casss depuis 2004 12 . Les certicats ainsi crs sont de vrais-
faux certicats : le navigateur les reconnait comme vrais, car malgr leur origine
frauduleuse, tout laisse penser quils ont t tablis par une autorit reconnue.
En 2011, neuf vrais-faux certicats signs par Comodo, une autorit de certication,
ont t crs. Au moins lun de ces certicats aurait t utilis sur le web 13 . La socit
a mis plus dune semaine assumer publiquement cette compromission et nombre
dentre elles ne le font probablement pas dans ce genre de situations, pour viter la
mauvaise publicit 14 et les pertes nancires qui vont avec.
Par ailleurs, il semble que si la police ou la justice de leur pays le leur ordonne, cer-
taines autorits de certication donnent aux ics de vrais-faux certicats, tablis au
nom dentits quils voudraient surveiller 15 . Cela dit, il faut quand mme que ces
vrais-faux certicats soient mis en place lendroit adquat sur Internet et combi-
page 64 ns des attaques de lhomme du milieu an dtre exploits au mieux. Enn, nos
connexions passant en gnral par plusieurs pays, cette attaque peut tout fait tre
dploye par un pays dirent de celui depuis lequel on se connecte.
Dans une brochure commerciale, Packet Forensics, une compagnie amricaine qui
vend du matriel de surveillance rseau, crit ainsi que pour utiliser notre produit
dans ce scnario, les utilisateurs gouvernementaux ont la possibilit dimporter une
copie dune cl lgitime quils peuvent obtenir (potentiellement grce une rquisition
judiciaire) 16 . Le PDG de Packet Forensics aurait conrm oralement lauteur de
ltude que des clients gouvernementaux collaborent avec des autorits de certication
pour obtenir des vrais-faux certicats utiliser lors doprations de surveillance 17 .

6.4.3 Toile de conance


Une autre solution la question de lauthenticit des cls publiques est la toile de
conance, ou web of trust en anglais.
Plutt que de faire conance quelques autorits centralises, il sagit dtablir un lien
de conance de proche en proche. Ainsi, Betty ne connat pas Alice, mais elle connat
Daniel, qui connat mile, qui connat Alice. Il y a donc un chemin de conance entre
Betty et Alice. Sil ny avait que ce chemin de conance, cela impliquerait que Betty
place une forte conance en mile, quelle ne connat pas directement. Mais Betty
12. Alexander Sotirov, et Al., 2008, MD5 considered harmful today Creating a rogue CA certi-
cate [http://www.win.tue.nl/hashclash/rogue-ca/] (en anglais).
13. Comodo, 2011, Comodo Fraud Incident [http://www.comodo.com/
Comodo-Fraud-Incident-2011-03-23.html] (en anglais).
14. Jacob Appelbaum, 2011, Detecting Certicate Authority com-
promises and web browser collusion [https://blog.torproject.org/blog/
detecting-certificate-authority-compromises-and-web-browser-collusion] (en anglais).
15. Christopher Soghoian, Sid Stamm, 2011, Certied Lies : Detecting and Defeating Govern-
ment Interception Attacks Against SSL, Financial Cryptography and Data Security [http://files.
cloudprivacy.net/ssl-mitm.pdf] (en anglais).
16. To use our product in this scenario, government users have the ability to import a copy of any
legitimate key they obtain (potentially by court order) . Citation extraite du papier de Christopher
Soghoian et Sid Stamm cit ci-dessus, et traduite par nos soins.
17. Cette citation se trouve dans une version prliminaire, datant davril 2010, du papier de Chris-
topher Soghoian et Sid Stamm cit ci-dessus ; cette version est disponible sur cryptome.org [http:
//cryptome.org/ssl-mitm.pdf] (en anglais).
6. CACHER LE CONTENU DES COMMUNICATIONS : LA
CRYPTOGRAPHIE ASYMTRIQUE 69

connat aussi Franoise, qui connat Gaston, qui connat lui aussi Alice, ainsi que
Hlose, qui connat Ingrid, qui connat elle-mme Alice. Il y a donc trois chemins de
conance entre Alice et Betty, qui na pas besoin davoir une conance totale dans
chacune des parties en jeu dans la certication.
Ces toiles de conance sont couramment utilises pour lauthentication des logiciels
et des communications personnelles, comme des courriers lectroniques, en utilisant
le standard OpenPGP. Elles ne sont hlas pas utilises couramment pour authentier
des sites web, bien que ce soit possible techniquement 18 .
Les toiles de conance permettent donc de se prmunir des attaques de lhomme page 64
du milieu sans devoir faire conance des autorits centralises. Cependant, elles
ncessitent de publier des liens entre identits, ce qui a des consquences qui ne sont
pas toujours souhaitables.

6.5 Condentialit persistante


Comme on la vu, quiconque possde une cl secrte peut lutiliser pour dchirer page 59
un texte qui a t chir en utilisant la cl publique qui lui est associe. Cest une
proprit trs utile, mais qui dans certains cas peut se rvler embarrassante.
Admettons quune personne mal intentionne enregistre une conversation en ligne
chire entre deux personnes. Elle ne pourra bien sr rien lire du contenu de cette
conversation dans limmdiat. Mais elle peut avoir lide de sintroduire ensuite chez
ces personnes ou dans leur ordinateur et de mettre la main sur leurs cls prives.
Dans ce cas, elle sera en mesure de lire, a posteriori, toutes les conversations passes
quelle aura conserves.
Ce fut le cas il y a quelques annes, lorsque les admins du serveur autistici.org se
rendirent compte lors dun procs que la police avait mis la main sur les cls secrtes
installes sur leur serveur, parce quils produisaient au dossier des changes demails
quils nauraient normalement pas d tre capables de lire 19 .
Pour viter quun secret vent ne compromette a posteriori de nombreux autres
secrets qui en dpendent (comme par exemple le contenu de conversations en messa-
gerie instantanne pourtant chires, des changes de emails, etc.) certains logiciels
incluent des fonctions dites de condentialit persistante 20 (ou Perfect Forward Se-
crecy, en anglais).
Elles assurent que mme si un jour un secret long terme, typiquement une cl
prive, est dcouverte par un adversaire, les changes seront protgs dune analyse
a posteriori.
Dans les faits, au lieu dutiliser directement la cl publique pour chirer les com-
munications, ce type de chirement utilise un protocole dchange de secrets conu
pour fonctionner mme sur un canal de communication non sr, en ngociant une cl
temporaire chaque session de communication. La cl secrte dune paire de cls ne
sert, dans ce cas, qu sassurer quon communique bien avec la bonne personne, en
signant cet change de secret.
Cest ensuite ce secret temporaire qui est utilis pour chirer de faon symtrique les tome 1 5.3
communications.
Une fois la communication termine, il sut que les logiciels impliqus oublient ce
secret temporaire. Quand bien mme quelquun mettrait la main sur les cls secrtes
18. Ainsi, le projet Monkeysphere [http://web.monkeysphere.info/] permet dtendre lutilisation
des toiles de conance dOpenPGP lauthentication de sites web.
19. Austitci, 2005, CRACKDOWN, violato autistici.org some legal notes [http://www.autistici.
org/ai/crackdown/legal_en.html] (en anglais).
20. Wikipdia, 2014, Condentialit persistante [https://fr.wikipedia.org/wiki/Confidentialit_
persistante]
70 I. COMPRENDRE

des deux parties, la condentialit de la communication ne serait pas compromise :


les participants de lchange eux-mmes ny ont plus accs.

6.6 Rsum et limites


La cryptographie asymtrique est donc un bon complment la cryptographie sy-
mtrique ds quil sagit non pas de protger seulement nos donnes, mais plutt le
contenu de nos communications : change demails, navigation sur le web, conversa-
tions par messagerie instantane, etc. Son utilisation nest pas aussi complique quon
pourrait le craindre, et faire du chirement une routine permet aux informations par-
ticulirement sensibles dtre noyes dans la masse.
Ce chirement est particulirement ecace lorsquil est utilis de bout--bout, cest--
dire lorsque lexpditeur dun message le chire de faon ce que seul le destinataire
nal puisse le dchirer.
Pour nir ce petit tour des techniques de cryptographie, il est bon de se rappeler que
le chirement, aussi dicile casser soit-il, a des limites, quon a voques dans le
tome 1 5.1.4 premier tome de ce guide. Ces limites touchent notamment la conance quon met
dans lordinateur et les logiciels auxquels on cone le chirement et le dchirement
(et donc le texte en clair). Elles touchent aussi aux obligations lgales de fournir aux
tome 1 5.1.4 autorits les moyens de dchirer des communications lorsquelles le demandent. Elles
touchent enn lvolution de la cryptographie : ce qui est sr aujourdhui ne le sera
peut-tre pas demain.
Enn, si le chirement permet de cacher le contenu de la communication, les parties
impliques (qui communique avec qui) restent apparentes.
Chapitre 7
Cacher les parties prenantes de la
communication : le routage en oignon

Utiliser des protocoles chirs permet davoir une certaine condentialit sur Internet :
un adversaire ne sait pas ce qui se dit. Par contre, un adversaire peut facilement
dterminer la source et le destinataire de la communication.
Voyons donc, maintenant, comment et dans quelle mesure on peut essayer de dissi-
muler do vient une communication, et o elle se rend.

7.1 Prsentation du routage en oignon


Le routage en oignon, utilis par exemple par Tor 1 , peut fournir un certain anony-
mat sur Internet en masquant do provient une communication. En utilisant un tel
systme, ladresse IP qui apparat sur Internet, et qui sera par exemple enregistre page 12
dans les journaux de connexion des serveurs utiliss, nest pas la ntre mais celle dun
autre ordinateur.

7.1.1 Cacher lorigine et la destination


On a vu que les paquets IP, la manire dune carte postale, se composent de plusieurs page 20
parties. Dune part le contenu, spcique chaque application, qui correspond aux
donnes que lon veut eectivement transmettre : un email, une page web, du son,
etc. Dautre part, les en-ttes, qui contiennent, entre autres, les adresses IP dorigine
et de destination, ainsi que la taille des donnes transportes. Mme en chirant les
donnes, les en-ttes restent visibles. Ils rvlent au destinataire de la communication
de quelle machine de lInternet elle provient. Ils rvlent aussi, tout adversaire qui
surveille le trac chang, beaucoup de choses sur qui lon est, voire ce que lon fait
sur Internet.
Un problme classique concernant lanonymat est que les destinataires dune com-
munication peuvent savoir qui en est lauteur, en regardant les en-ttes. Les inter-
mdiaires autoriss, comme les fournisseurs daccs Internet, et parfois des inter-
mdiaires non autoriss, le peuvent aussi. Une forme danalyse de trac trs simple
consiste donc, par exemple, capturer le trac entre un expditeur et un destinataire,
et regarder les en-ttes.
Le chirement ne dissimule que le contenu du trac et non les en-ttes. Il ne protge
donc pas contre ce type dattaques.
De plus, il existe des attaques plus pousses pour trouver la source et la destina-
tion dune communication. Par exemple lanalyse de trac rseau dont on a parl
prcdemment : un adversaire pie plusieurs points bien choisis de lInternet (par page 47
1. Lessentiel de ce qui suit est inspir du site web de Tor [https://www.torproject.org/overview.
html] (en anglais).
72 I. COMPRENDRE

exemple, la connexion ADSL dAlice et le serveur qui hberge un blog anonyme au-
quel elle participe) et compare les motifs de donnes qui y sont changs. Ladversaire
peut alors conrmer ou inrmer que la communication quil surveille vient de telle
source et se rend telle destination.

7.1.2 Une solution : un rseau dcentralis danonymisation


Tor signie The Onion Router, cest--dire le routage en oignon . Il sagit dun
tome 1 4.1 logiciel libre et dun rseau public qui aide rduire les consquences dune analyse
de trac rseau. Il fait transiter les communications au sein dun rseau distribu de
relais, aussi appels nuds, hbergs par des volontaires partout dans le monde. Cest
comme utiliser un chemin tortueux et dicile suivre pour semer un poursuivant,
tout en eaant ses traces chaque changement de direction. Au lieu demprunter
un itinraire direct entre la source et la destination, les paquets de donnes suivent
une trajectoire alatoire travers plusieurs relais. Un adversaire ne peut donc pas,
en observant un seul point, associer la source et le destinataire.

Cration dun circuit


Lide, cest que lorsquAlice veut se connecter exemple.org en utilisant Tor, son
ordinateur commence par tablir un circuit Tor.
Pour cela, il rcupre une liste des nuds Tor disponibles auprs dun annuaire :

Connexion un annuaire de relais Tor

Il choisit ensuite un premier relai parmi la liste des relais disponibles, puis tablit
une connexion celui-ci. partir de ce premier relai, il tablit une connexion avec
un second relai. Enn, daprs sa liste de nuds, Tor choisit un nud de sortie et
tablit une connexion entre le second relai et ce nud. Cet ensemble de trois relais
constitue ce quon appelle un circuit Tor. Ds le dbut de cette phase dtablissement
du circuit Tor, toutes les communications sont chires.

Utilisation du circuit
Ensuite, les donnes transiteront successivement par ces trois relais avant datteindre
le serveur de destination (ici exemple.org). La rponse du serveur suivra le mme
chemin, dans le sens inverse.
Le circuit est parcouru tape par tape, et chaque relai le long du chemin ne connat
que celui qui lui a transmis les donnes, et celui auquel il va les retransmettre. Aucun
relai ne connat lui tout seul le chemin complet pris par un paquet de donnes.
Un ventuel intermdiaire ou un relai compromis ne peut pas aisment analyser le
trac rseau pour tablir une relation entre la source et la destination dune connexion.
Aucun des ordinateurs ne sait donc que la machine dAlice se connecte exemple.org.
7. CACHER LES PARTIES PRENANTES DE LA COMMUNICATION : LE
ROUTAGE EN OIGNON 73

Utilisation dun circuit Tor

Vous noterez quun circuit Tor est compos de trois intermdiaires. Si un seul inter-
mdiaire tait utilis, la compromission de celui-ci surait mettre en pril notre page 45
anonymat, car cet intermdiaire aurait connaissance la fois de lorigine dune com-
munication et de sa destination. Le fait dutiliser trois relais permet dviter ce re-
coupement sans ralentir la connexion de manire trop importante.
Prcaution supplmentaire, le circuit Tor utilis est modi automatiquement plu-
sieurs fois par heure.

Chirement en oignon
On a vu que lordinateur dAlice ngocie une connexion chire avec chaque relai du
circuit utilis. Cela an que les donnes quelle veut transmettre exemple.org pos-
sdent plusieurs couches chires. limage dun oignon possdant plusieurs peaux,
les donnes dAlice seront enrobes dans plusieurs couches de chirement. La premire
couche sera chire pour ne pouvoir tre lue que par le troisime relai. La seconde,
par-dessus la premire, sera chire quant elle pour ntre lisible que du second re-
lai. Enn, la troisime couche ne pourra tre lue que par le premier relai. Cest pour
cela que lon peut parler de chirement en oignon. chaque passage par un relai,
une couche de chirement sera enleve. Aucun des relais ne peut donc dchirer les
informations qui ne lui sont pas destines.
Le troisime et dernier relai est appel nud de sortie : la connexion semblera
provenir de lui, il risque donc davantage de se faire ennuyer par les ics.

7.1.3 Les services cachs Tor


Lorsque les utilisateurs de Tor souhaitent galement fournir des services, comme par
exemple un site web ou un serveur de messagerie instantane, ils ont la possibilit
den masquer lemplacement gographique. Cest ce qui sappelle un service cach 2 .
De la mme manire que pour chaque utilisateur du rseau Tor, ladresse IP du serveur
mis en place nest pas dvoile. De plus, les personnes souhaitant sy connecter devront
ncessairement utiliser le rseau Tor pour cela. Les services cachs assurent donc un
certain anonymat la fois des serveurs et des clients. Ces services cachs ont des
adresses en .onion.
An de sy connecter, les autres utilisateurs de Tor utiliseront le systme des points
de rendez-vous de Tor. Le point de rendez-vous est le troisime relai pour chacun
des deux protagonistes de lchange : le client et le service cach. Le client construit

2. The Tor Project, 2013, Tor : Hidden Service Protocol [https://www.torproject.org/docs/


(en anglais).
hidden-services.html]
74 I. COMPRENDRE

un circuit Tor avec comme troisime relai ce point de rendez-vous . De son ct, le
service cach fait de mme. Client et service cach se rencontrent alors et peuvent
changer des informations.
Ces services cachs peuvent par exemple permettre de mettre en place un site web sur
lequel des auteurs publieraient sans craindre la censure. Lidentication de lempla-
cement physique du serveur qui fournit le site web, comme celle de ses contributeurs
et de ses visiteurs, est en eet rendue beaucoup plus dicile que dans le cadre dun
page 74 site web conventionnel : elle ncessite de mettre en place une attaque sur le rseau
Tor.

7.2 Participer au rseau Tor


Le rseau Tor repose sur la base du volontariat et est ouvert tout le monde puis-
quaucun relai ne peut connatre la provenance des communication et leur destination.
Et mis part les nuds de sortie, aucun relai ne peut connatre le contenu des com-
munications quil transporte. Quiconque le souhaite peut donc faire tourner sur la
machine de son choix un relai Tor. Ce dernier rejoindra le rseau public et relayera le
trac des personnes utilisant ce rseau.

7.2.1 Monter un relai Tor


Le fait que chaque utilisateur puisse mettre en place un relai introduit de la diversit,
renforant ainsi lecacit du rseau Tor dans son ensemble. Cependant, les nuds ne
sont pas gaux devant lattention quils peuvent attirer. Si un relai plac en premire
ou seconde position dun circuit Tor ne peut pas trop tre dommageable pour Alice,
en France, un nud de sortie est en revanche plus susceptible dattirer lattention
sur sa connexion. Les ics pourraient sintresser son relai et ventuellement venir
perquisitionner chez elle, voire saisir son ordinateur parce quils font une enqute sur
quelquun qui est pass par son nud de sortie pour des activits suspectes . Il
est bien sr possible de congurer Tor pour que son relai ne puisse pas tre un nud
de sortie, et serve uniquement de premier ou de second relai.
Les relais Tor sont considrs lgalement comme des routeurs 3 et, par consquent,
Alice nest pas tenue de garder des journaux, cest--dire de garder la trace des com-
munications entre une IP et une autre. Cest une bonne chose car, mme si un relai
Tor pris isolment ne sait pas grand-chose, si le rseau Tor se trouvait, petit petit,
compos en bonne partie de relais qui gardent des journaux, il serait plus facile de
redcouvrir les circuits a posteriori.

7.2.2 Monter un bridge Tor


Il est aussi trs utile de mettre un place des bridges Tor. Il sagit de relais
particuliers qui ne sont pas lists dans les annuaires publics 4 du rseau Tor. Ils peuvent
permettre des utilisateurs dont le fournisseur daccs Internet ltre les connexions
Tor de se connecter tout de mme au rseau.

7.3 Quelques limites de Tor


Comme tout outil de ce genre, Tor peut facilement donner une fausse impression de
scurit, et faire oublier quil rpond un problme prcis. Sil rpond eectivement
plutt bien au besoin de dissimuler son adresse IP et au besoin de masquer avec
quels serveurs on est en communication, il ne rsout pas, par contre, un tas dautres
problmes.
3. Nos Oignons, 2013, Quest-ce que cest [https://nos-oignons.net/_propos/index.fr.html]
4. Il est en revanche possible dobtenir des adresses de bridges en visitant le site web [https:
//bridges.torproject.org/] (en anglais).
7. CACHER LES PARTIES PRENANTES DE LA COMMUNICATION : LE
ROUTAGE EN OIGNON 75

Comme prcis (en anglais) sur le site de Tor [https://www.torproject.org/], il y a


trois choses fondamentales savoir avant de commencer :

1. Tor ne protge pas si lon ne lutilise pas correctement ;


2. Mme si lon congure et que lon utilise Tor correctement, il y a encore des
attaques potentielles qui peuvent compromettre la protection fournie par Tor ;
3. Aucun systme danonymisation nest parfait ce jour, et Tor ne fait pas ex-
ception : il serait imprudent de se reposer uniquement sur le rseau Tor si lon
a besoin dun anonymat strict.

Dtaillons prsent quelques-unes de ces limites.

7.3.1 Lutilisateur mal inform ou peu attentionn


Comme souvent, quand on est mal inform, on a de grandes chances de se tromper.
Lorsque lon utilise un outil, a fortiori des ns de protection de sa vie prive, il est
capital de bien comprendre quoi il sert, mais aussi et surtout quoi il ne sert pas,
tout comme ses direntes limites.
Si Alice utilise rgulirement Tor pour consulter des sites web potentiellement prjudi-
ciables dans son pays, et en mme temps ses emails, un adversaire pourrait comparer
les journaux du serveur qui hberge sa bote mail avec ceux des sites web quelle a page 29
visits. Il est probable alors que ces direntes connexions apparaissent comme venant
du mme nud de sortie. En comparant galement les heures auxquelles ont lieu les
consultations, il est possible daugmenter dautant plus les chances de corrlation.
Dans cet exemple, Alice utilise direntes identits contextuelles en mme temps alors page 54
que Tor ne prtend pas magiquement sparer celles-ci. Pour viter de tels recoupe-
ments, la solution serait chercher du ct de la compartimentation des identits page 56
contextuelles.

7.3.2 Un adversaire voit que lon utilise Tor


Le fournisseur daccs Internet, ou ladministrateur du rseau local dAlice peut trs
facilement savoir quelle se connecte un relai Tor, et non un serveur web ordinaire. 5
En eet, ladresse IP du serveur vers lequel lordinateur dAlice se connecte sera
celui dun nud dentre du rseau Tor et la liste des nuds dentre est disponible
publiquement sur Internet.
Le serveur de destination auquel elle se connecte via Tor peut savoir si ces commu-
nications viennent dun nud de sortie Tor, car la liste de ces nuds de sortie est
galement disponible sur Internet.
En utilisant Tor, Alice ne ressemble donc pas une utilisatrice ordinaire dInternet.
Lanonymat fourni par Tor fonctionne en essayant de mettre tous ses utilisateurs
dans le mme panier, pour quon ne puisse pas les direncier les uns des autres. Plus
nombreux seront les internautes utilisant Tor et plus varies seront leurs activits,
moins lutilisation de Tor sera incriminante. La solidit de ce rseau repose notamment
sur cet ensemble non distinguable dutilisateurs, cest ce quon appelle en anglais
lanonymity set.

7.3.3 Les nuds de sortie Tor peuvent espionner les


communications quils relaient
Si Tor empche de savoir o lon se trouve, il ne chire pas les communications en
dehors de son propre rseau. Tor ne peut donc pas chirer ce qui transite entre le
5. Cette section, ainsi que les suivantes, sont fortement inspires du site web de Tails [https:
//tails.boum.org/doc/about/warning/index.fr.html]
76 I. COMPRENDRE

nud de sortie et le serveur de destination. Tout nud de sortie a donc la possibilit


de capturer le trac qui passe par lui.
Par exemple, en 2007, un chercheur en scurit informatique a intercept des milliers
demails privs envoys par des ambassades trangres et des ONG travers le monde
en coutant le trac sortant du nud de sortie quil administrait 6 , en utilisant une
page 64 attaque de type homme du milieu .
Pour se protger contre de telles attaques, il est ncessaire dutiliser du chirement
page 59 de bout--bout, voqu dans la partie prcdente.

7.3.4 Attaque de type motif temporel


La conception de Tor ne permet pas de protger contre certains types dattaques,
notamment de lordre de lanalyse de trac 7 . Lattaque par motif temporel en
est une. Lide derrire cette attaque est dobserver le rythme denvoi des donnes
deux endroits de leur trajet, par exemple sur le premier relai et sur le troisime relai
(nud de sortie) : envoyons par exemple un ux comme du code morse : 3 paquets
envoys en salve, puis 5 secondes de silence, puis 3 paquets, etc.
Un adversaire qui voit que lordinateur dAlice envoie sur le premier relai un ux avec
un motif temporel donn, et qui observe un ux avec ce mme motif sur le nud de
sortie qui va vers exemple.org, peut en dduire que cest probablement lordinateur
dAlice qui est connect exemple.org 8 .
La force, mais aussi la faiblesse de Tor, cest que nimporte qui peut lutiliser, mais
aussi avoir un relai Tor : Alice, Betty, une universit, la CIA, etc. Si un adversaire
na les informations que dun seul des relais par lesquels transitent les donnes, pas
de problme. Sil se trouve que par malchance, des adversaires qui cooprent ont la
main sur plusieurs relais, ils peuvent mener une attaque de type motif temporel .
Les fournisseurs daccs Internet et les gros fournisseurs de contenu ou de ressources
utilises sur de nombreux sites web encarts publicitaires, fonctionnalits de recherche
et de mdias sociaux sont aussi en bonne position pour observer le trac et donc
collaborer ce type dattaque.

7.3.5 Tor ne protge pas contre les attaques par conrmation


On vient de voir que la conception de Tor ne permet pas de protger contre un
attaquant qui est capable de mesurer le trac qui entre et qui sort du rseau Tor.
Car si ladversaire peut comparer les deux ux, il est possible de les corrler via des
statistiques basiques.
Considrons maintenant un adversaire qui a des raisons de penser que cest Alice
qui publie sur tel blog anonyme. Pour conrmer son hypothse, il pourra observer le
dbit du trac qui sort de la connexion ADSL dAlice et celui qui entre sur le serveur
qui hberge le blog. Sil observe les mmes motifs de donnes en comparant ces deux
tracs, il pourra tre confort dans son hypothse.
Tor protge Alice contre un attaquant qui cherche dterminer qui publie sur le blog
anonyme. Mais il ne protge pas contre un adversaire ayant davantage de moyens qui
essaye de conrmer une hypothse en surveillant aux bons endroits dans le rseau
puis en faisant la corrlation.
Ce type dattaque peut aussi seectuer avec des hypothses plus larges. Considrons
un adversaire qui a identi un groupe de connexions ADSL qui lintressent, ainsi
6. Kim Zetter, 2007, Rogue Nodes Turn Tor Anonymizer Into Eavesdroppers Paradise [http:
//www.wired.com/politics/security/news/2007/09/embassy_hacks] (en anglais).
7. Wikipdia, 2014, Attaque par analyse du trac [https://fr.wikipedia.org/wiki/Attaque_par_
analyse_du_trafic]
8. Voir ce sujet Wikipdia, 2014, Tor (rseau) [http://fr.wikipedia.org/wiki/Tor_(rseau)]
7. CACHER LES PARTIES PRENANTES DE LA COMMUNICATION : LE
ROUTAGE EN OIGNON 77

quun serveur utilis partir de ces connexions. Sil a accs au trac du groupe de
connexions en question, et celui du serveur, par exemple grce une requte lgale,
ladversaire peut alors, partir de cette hypothse et dune attaque de type motif
temporel , trouver quelle est la connexion parmi le groupe suspect qui est lorigine
de telle connexion au serveur. Ainsi, un post sur un serveur de blog peut tre corrl
une connexion parmi un groupe de personnes souponnes de participer ce blog
anonyme.

7.3.6 Tor ne protge pas face un adversaire global


Enn, un cas particulier dadversaire est celui de ladversaire global passif. Un adver-
saire global passif serait une personne ou une entit capable de regarder et donc de
comparer le trac entre tous les ordinateurs dun rseau. En tudiant, par exemple, les
volumes dinformations des direntes communications travers ce rseau chaque
instant, il serait statistiquement possible didentier un circuit Tor car le mme ux
dinformation y apparatrait quelques millisecondes dintervalle chaque nud du
circuit. Ladversaire pourrat ainsi relier un utilisateur de Tor et son serveur destina-
taire.
Un adversaire global, ayant des moyens comparables ceux de la NSA par exemple,
pourrait galement mettre en place dautres attaques visant briser lanonymat fourni
par le rseau Tor. Cependant, ne pas rpondre une telle menace fait partie des
compromis de Tor, et cela pour permettre une navigation raisonnable en termes de
dlais dattente, pour le web ou la messagerie instantane par exemple 9 .
Toutefois, les risques rsultants de ces limites ne sont pas comparables ceux ren-
contrs lors dune navigation non-anonyme. Tor est lun des outils les plus ecaces
en matire danonymat sur Internet, et sil faut les garder lesprit, ces risques ne
devraient pas nous dtourner de son utilisation avise.

9. Roger Dingledine, Nick Mathewson, Paul Syverson, 2004, Tor Project : The Second-Generation
Onion Router [https://svn.torproject.org/svn/projects/design-paper/tor-design.pdf], partie 3. De-
sign goals and assumptions (en anglais).
Deuxi`eme partie

Choisir des rponses adaptes

La panique vient de nouveau de semparer de nous. Tout ce quon fait en ligne nous
trahit, jour aprs jour. Qui plus est lorsquon croit, tort, tre en scurit .
Mais avant de retourner au pigeon voyageur et la lettre scelle et crite en language
chir solutions l encore rustiques ne pas oublier totalement, ceci dit il y a
un peu de marge. Pas tant que a, mais tout de mme.
Une fois de plus cest cette marge que ce texte sappliquera analyser.
Dans cette partie, nous dcrirons quelques situations typiques, que nous nommons
cas dusage, an dillustrer notre propos.
Chapitre 8
Consulter des sites web

8.1 Contexte
On sintresse ici la consultation dinformations disponibles sur le web : lire un
priodique, suivre un blog, etc. Autant dactivits ordinaires lorsquon est en ligne.

Cependant, on veut eectuer ces activits de faon discrte, pour diverses raisons,
parmi lesquelles on peut citer :

djouer la surveillance ou contourner la censure, que ce soit celle dun patron, dun
proche ou dun tat ;
viter la collecte et le recoupement dinformations personnelles des ns commer-
ciales.

8.2 valuer les risques


Ce problme peut paratre trop vaste et complexe pour voir par o le prendre.
Dcoupons-le donc en petits bouts.

8.2.1 Que veut-on protger ?


Dans ce cas dusage, ce qui nous importe en premier lieu est lanonymat, ou tout du
moins le pseudonymat : ce quon cherche cacher nest pas le contenu de ce qui est
consult, mais par qui il est consult.

Nous avons vu prcdemment que lutilisation dInternet, et notamment du web, laisse


de nombreuses traces, de diverses natures, dirents endroits ; nombre dentre elles,
telles de petits cailloux, esquissent un chemin qui va de la ressource consulte jusqu
une maison, un ordinateur, voire la personne qui se trouve derrire. Ce sont donc ces
traces sur le rseau, au premier rang desquelles se trouve ladresse IP, dont on veut page 12
se dbarrasser. Cependant, lIP tant ncessaire au bon fonctionnement du rseau, la
stratgie sera ici de faire en sorte que les curieux qui suivraient cette piste nissent
dans une impasse.

De plus, on pourra ventuellement vouloir ne laisser aucune trace de notre navigation


sur lordinateur utilis, et en particulier sur son disque dur.

8.2.2 De qui veut-on se protger ?


Cette question est importante : en fonction de la rponse quon lui donne, la politique
de scurit adquate peut fortement varier.
82 II. CHOISIR DES RPONSES ADAPTES

Fournisseur daccs Internet


Alice travaille pour une grande entreprise et accde Internet par lintermdiaire du
rseau de la socit. Elle consulte ses blogs prfrs sur ses heures de boulot, mais ne
souhaite pas que son employeur le sache.
Dans ce cas, Alice souhaite se protger de lil indiscret de son admin rseau, en
loccurrence de son entreprise. Ladversaire a ici accs lensemble du trac rseau
qui transite par sa connexion pour lequel il joue le rle de facteur. Il na, par contre,
pas dyeux placs en dautres points dInternet.

Fournisseurs de contenu
Betty est inscrite sur un forum de la police nationale, et passe non sans un malin
plaisir un certain temps semer la zizanie dans les discussions entre ics.
Dans ce cas, Betty ne souhaite pas rendre transparent au site hbergeant le forum
quelle est la fauteuse de troubles. Comme vu prcdemment, son adresse IP sera
page 36 conserve plus ou moins longtemps par le site visit. Dans ce cas-ci ladversaire aura
accs aux en-ttes IP, ainsi quaux en-ttes HTTP car il en est le destinataire.
page 12

page 29 Adversaires divers et varis


Agathe va rgulirement consulter le site de publication de documents condentiels
page 5 sur lequel Benot a publi des relevs bancaires. Le sujet tant sensible, elle sait
pertinemment que le blog en question pourrait tre surveill. Elle ne veut donc pas
quon sache quelle va le consulter.
Ladversaire ici na pas de place xe sur le rseau, il peut se situer au niveau de
lordinateur dAgathe, au niveau de sa box , au niveau du blog ou bien tout autre
page 18 endroit sur le chemin entre son ordinateur et le blog. Ladversaire peut galement se
situer plusieurs endroits en mme temps.

8.3 Dnir une politique de scurit


tome 1 ch. 7 Posons-nous maintenant les questions exposes dans notre mthodologie :

1. Quel ensemble de pratiques, doutils nous protgeraient de faon susante


contre nos adversaires ?
2. Face une telle politique de scurit, quels sont les angles dattaque les plus
praticables ?
3. Quels sont les moyens ncessaires pour les exploiter ?
4. Pensons-nous que ces moyens puissent tre utiliss par nos adversaires ?

8.3.1 Premire tape : demander ceux qui voient


page 36 Angle dattaque le plus praticable pour ladversaire : analyser les donnes enregistres
par les serveurs hbergeant les ressources consultes.
Moyens ncessaires :
se connecter au serveur qui fournit la connexion si ladversaire est le fournisseur
daccs Internet, ou collabore avec lui ;
se connecter au serveur qui hberge la ressource si ladversaire est, ou collabore
avec, le fournisseur de contenu.
Si ladversaire est le fournisseur daccs Internet ou le fournisseur de contenu, il lui
page 36 sura de consulter ses journaux de connexions. Mais il est galement possible
dautres adversaires daccder ces informations, par le biais dune requte lgale,
page 39
8. CONSULTER DES SITES WEB 83

dun contrat commercial, dune collaboration volontaire 1 , voire dun piratage. page 45
Crdibilit dune telle attaque : probable si notre connexion ou le site visit attirent
lattention de ladversaire.
Contre ce type dattaque, une solution ecace est dutiliser le routage en oignon 2 en page 69
utilisant le rseau Tor selon des modalits quon prsentera plus loin. Pour sassurer
un maximum danonymat, il sera alors ncessaire de ne pas mlanger ses activits
quotidiennes normales avec celles que lon souhaite plus discrtes, an ne pas crer
de liens entre nos direntes identits contextuelles. page 53

8.3.2 Deuxime tape : regarder sur lordinateur utilis


Lorsque nous utilisons Tor, ladversaire observant les donnes circulant sur le rseau
ne peut pas savoir la fois do viennent et o vont ces donnes, et doit alors trouver
un autre moyen dy parvenir.
Angle dattaque le plus praticable : avoir accs aux traces laisses sur lordinateur tome 1 ch. 2
par les sites visits.
Moyens ncessaires : accder lordinateur utilis.
Crdibilit dune telle attaque : dans le cas dAlice qui utilise lordinateur de son
boulot, cela est trs facile pour son adversaire. Dans dautres cas et selon ladversaire,
cela ncessite soit un cambriolage (galement appel perquisition, quand il est lgal),
soit de corrompre lordinateur cible de lattaque, par exemple pour y installer un
logiciel malveillant. tome 1 ch. 3
Pour se prmunir contre cette attaque, il est ncessaire de chirer son disque dur pour tome 1 ch. 15
rendre diciles daccs les traces laisses. Ou, mieux encore, viter, ds le dpart, de
laisser des traces : en utilisant un systme live amnsique, qui nenregistrera rien sur tome 1 ch. 14
lordinateur utilis.

8.3.3 Troisime tape : attaquer Tor


Angle dattaque : exploiter les limites de lanonymat fourni par Tor, par exemple en page 72
eectuant une attaque par conrmation.
page 74
Moyens ncessaires : tre capable de surveiller plusieurs points du rseau, par exemple
la connexion utilise et le site consult.
Crdibilit dune telle attaque : un adversaire comme une entreprise qui cherche
surveiller ses salaris a peu de chances de monter une telle attaque. Idem pour les
gendarmes de Saint-Tropez. Elle peut cependant tre la porte dun fournisseur de
services rseau denvergure nationale ou mondiale, voire de ics spcialiss. Encore
une fois, noublions pas quil y a une dirence notable entre avoir la capacit
technique de mettre en place une attaque et mettre eectivement en place une
telle attaque . Cette dirence peut notamment tenir au cot conomique, au retour
sur investissement, dune telle attaque cible.
Rappelons au passage que de nombreuses autres attaques contre Tor sont possibles
ou envisages. Retenons surtout quil est ncessaire de bien comprendre les objectifs page 70
et les limites du routage en oignon pour ne pas se tirer une balle dans le pied.
page 72
1. Jacques Follorou, Le Monde, 2014, Espionnage : comment Orange et les
services secrets cooprent [http://www.lemonde.fr/international/article/2014/03/20/
dgse-orange-des-liaisons-incestueuses_4386264_3210.html].
2. Contre certains des adversaires lists ici, des solutions techniques moins pousses que le rou-
tage en oignon peuvent sure. Lutilisation dun VPN [https://fr.wikipedia.org/wiki/Rseau_priv_
virtuel] par exemple. Cependant, qui peut le plus peut le moins, et Tor protge contre beaucoup
plus dattaques possibles quun VPN, qui ninsre entre nous et la ressource consulte quun seul
intermdiaire.
84 II. CHOISIR DES RPONSES ADAPTES

8.4 Choisir parmi les outils disponibles


En fonction de nos besoins et de notre politique de scurit, il nous faudra choisir
parmi dirents outils.

8.4.1 Le Navigateur Tor sur son systme ou dans Tails


Le Navigateur Tor sur son systme dexploitation
Congurer un navigateur web pour utiliser Tor correctement est un exercice di-
cile. Cest notamment pour pallier cette dicult quexiste le Navigateur Tor. Le
Navigateur Tor est un pack de logiciels : il fournit un navigateur web prcongur
pour surfer de faon anonyme, en utilisant le rseau Tor, partir de notre systme
page 111 dexploitation habituel 3 . Une fois le Navigateur Tor install, on peut choisir dutiliser
ce navigateur web utilisant Tor, ou notre navigateur web habituel.

Avantages Le Navigateur Tor permet de naviguer sur le web avec Tor depuis notre
systme dexploitation habituel. Il permet par exemple de travailler sur un document
avec nos outils habituels, tout en cherchant des informations sur le web de faon
anonyme.

Inconvnients Le Navigateur Tor sexcutant sur le systme dexploitation habi-


tuel, cela implique quune faille dans celui-ci permettrait un adversaire de contourner
la protection oerte par lusage du rseau Tor. Mais surtout, utilis en dehors dun
systme amnsique, le Navigateur Tor laissera probablement des traces sur le disque
dur de lordinateur utilis.
Ensuite, le Navigateur Tor nest pas disponible dans les dpts de paquets Debian.
Il faudra donc se charger manuellement de vrier son authenticit et de le garder
jour, pour corriger des problmes lis la scurit.
De plus, lors de mises jour de Firefox, sur lequel le Navigateur Tor est bas, il peut
y avoir un dlai plus ou moins long dici ce que ces mises jour soient prises en
compte dans le Navigateur Tor. Pendant ce dlai, il prsentera des failles de scurit
connues, et publies.
Enn, avec les rglages par dfaut, par ailleurs modiables, il peut arriver de perdre
dnitivement toutes ses lectures et recherches en cours si jamais le Navigateur Tor
vient planter par exemple.
Dautre part, le Navigateur Tor nempche pas dautres programmes de se connecter
Internet sans passer par Tor, et ce mme sils sont ouverts depuis le navigateur du
Navigateur Tor (logiciels P2P, lecteur de chiers PDF, lecteurs multimedia, etc.)

Tails
tome 1 ch. 14 Tails 4 est un systme live dont le but est de prserver la condentialit et lanony-
mat de ses utilisateurs. Il permet dutiliser Internet de manire anonyme quasiment
partout et depuis nimporte quel ordinateur. De plus, il ne laisse aucune trace des
activits eectues sur lordinateur, moins quon ne le lui demande explicitement.

Avantages En utilisant Tails, non seulement on ne laisse pas de trace sur lordina-
teur utilis, mais les logiciels ayant besoin daccder Internet sont congurs pour
passer par le rseau Tor, et les connexions directes (qui ne permettent pas lanonymat)
sont bloques.

3. Dans notre cas, il sagit de Debian, mais le Navigateur Tor fonctionne aussi avec nimporte
quelle autre distribution GNU/Linux, tout comme avec Windows ou Mac OS.
4. Site de Tails [https://tails.boum.org/index.fr.html]
8. CONSULTER DES SITES WEB 85

De plus, comme il sagit dun systme live, Tails dmarre partir dun DVD ou dune
cl USB, sans modier le systme dexploitation install sur lordinateur. Il peut donc
tre utilis autant la maison que chez un ami, ou la bibliothque du coin.

Pour plus dinformations, consultez la page propos de Tails [https://tails.


boum.org/about/index.fr.html].

Inconvnients Tout dabord, Tails tant un systme dexploitation part entire, tome 1 1.4.1
il est ncessaire, pour lutiliser, de redmarrer l ordinateur 5 . Il est aussi plus complexe
installer que le Navigateur Tor. Enn, il est ncessaire davoir sur soi une cl USB
(dune capacit dau moins 4 GB) ou bien un DVD, contenant Tails.

Ensuite, du fait de lamnsie du systme, si jamais le navigateur web vient planter,


on perd toutes les pages que nous tions en train de consulter, tout comme dans le
cas du Navigateur Tor.

Pour ne pas mlanger ses activits quotidiennes normales avec celles que lon souhaite
plus discrtes lorsquon utilise Tails, il est ncessaire de redmarrer sa machine quand
on passe dune identit contextuelle une autre.

Au chapitre des inconvnients inhrents Tails, il y a aussi le dlai entre les mises
jour (de scurit) de programmes par ailleurs inclus dans Tails, et les mmes mises
jour de ces logiciels dans Tails. Cet inconvnient est similaire celui du Navigateur
Tor concernant le dlai entre les mises jour de Firefox et leur prise en compte dans
le Navigateur Tor.

Pour plus dinformation, se reporter la page Avertissements de Tails [https:


//tails.boum.org/doc/about/warning/index.fr.html].

8.4.2 Faire son choix


On doit en n de compte faire son choix entre :

utiliser son systme dexploitation habituel ;


utiliser un systme live amnsique.

En dautres termes, quelles traces (ventuellement chires) est-on prt laisser sur
lordinateur ou la cl USB utiliss ? A-t-on besoin du reste de son environnement lors
de la navigation anonyme ?

Encore une fois, il ny a pas de bonne ou de mauvaise rponse : il sagit de choisir la


solution qui nous convient le mieux. De plus, il est tout a fait possible de tester une
solution puis de passer une autre si ncessaire.

Au nal, les deux possibilits suivantes sorent nous :

utiliser le Navigateur Tor depuis une Debian chire. Cela permet de naviguer de tome 1 ch. 15
manire anonyme tout en utilisant son systme habituel. Par contre, des traces
(chires) seront probablement laisses sur le disque dur de lordinateur ;
utiliser le navigateur web de Tails. On ne laisse pas de traces sur le disque dur de
lordinateur utilis, voire pas de traces du tout si lon nutilise pas la persistance ; tome 1 14.5

Une fois votre choix eectu, consultez ci-dessous le paragraphe correspondant.

5. On peut aussi utiliser Tails dans une machine virtuelle [tome 1 ch. 22] dans le systme utilis
habituellement. Dans ce cas, la mmoire de la machine virtuelle sera visible pour celui-ci, et toutes
les donnes utilises, mots de passe compris, seront la porte dune faille de programmation ou
dun ventuel logiciel malveillant. De plus, si celui-ci utilise de la swap [tome 1 1.5.4], il est possible
que des donnes de la machine virtuelle nissent par tre crites sur le disque dur. Lamnsie du
systme Tails utilis de cette faon est donc quasiment impossible garantir.
86 II. CHOISIR DES RPONSES ADAPTES

8.5 Naviguer sur des sites web avec le Navigateur Tor


Si, aprs avoir pes le pour et le contre, on dcide dutiliser le Navigateur Tor plutt
que Tails, certaines prcautions sont bonnes prendre.

8.5.1 Prparer sa machine et installer le Navigateur Tor


Tout dabord, comme nous nutilisons pas un systme live, des traces de navigation
(cookies, chiers tlchargs. . . ) seront inscrites sur notre disque dur. Appliquer la
tome 1 ch. 8 mme politique que pour un nouveau dpart est une bonne piste. Ensuite il faut tl-
charger et installer le Navigateur Tor correctement. Le chapitre expliquant comment
page 111 installer le Navigateur Tor dcrit cette procdure.

8.5.2 Utiliser le Navigateur Tor


page 111 Dans la page concernant linstallation du Navigateur Tor, il est galement expliqu
comment le dmarrer. Cet outil est spcialement conu pour tre le plus simple pos-
sible utiliser. Au moment de son lancement, tous les logiciels dont nous avons besoin
(Tor et le navigateur web Firefox) dmarreront et seront paramtrs. Il sura donc
dattendre que la fentre de Firefox souvre et nous pourrons commencer la navigation
via le rseau Tor.
Attention : seule la consultation de sites web via cette fentre de navigateur garantit
une connexion anonymise. Toutes vos autres applications (client mail, messagerie
page 12 instantane, torrent, etc.) laisseront apparatre votre vritable adresse IP.
De plus, une fois cette fentre ferme, il vous faudra relancer le Navigateur Tor et
attendre quune nouvelle fentre de Firefox souvre pour reprendre une navigation
qui passe par le rseau Tor.

8.5.3 On peroit vite les limites


Le Navigateur Tor est un trs bon outil de par son utilisation simplie, mais on en
peroit vite les limites. En eet, seules les connexions inities par le Navigateur Tor
passent par le rseau Tor. Si lon veut utiliser un autre navigateur, la connexion ne
passera alors plus par ce rseau, ce qui peut tre fcheux. En cas dinattention on
peut donc vite se tromper de navigateur et penser que notre navigation passe par le
rseau Tor alors que ce nest pas le cas. . . De plus, il ne permet pas dutiliser Tor
pour autre chose que naviguer sur le web.
Ajoutons cela que lanonymat dune connexion ne tient pas seulement la falsi-
cation de ladresse IP. Toutes les traces que nous laissons sur le web et sur notre
ordinateur peuvent nous trahir un jour ou lautre, et le Navigateur Tor ne protge
pas contre cela.
Enn, avec le Navigateur Tor, il est plus facile de nir par mlanger des identits
contextuelles, dautant plus quil est utilis dans le mme environnement que celui de
lidentit principale de la personne qui lutilise.

8.6 Naviguer sur des sites web avec Tails


8.6.1 Obtenir et installer Tails
tome 1 4.1 Tails est un logiciel libre, et peut donc tre tlcharg, utilis et partag sans restric-
tion. Il fonctionne sur un ordinateur indpendamment du systme install. En eet,
Tails se lance sans utiliser le disque dur, depuis un support externe : un DVD ou une
cl USB susent.
tome 1 14.2.1 Aprs avoir tlcharg Tails, il nous faudra vrier limage ISO an de sassurer que
le tlchargement sest bien droul.
tome 1 14.2.2
8. CONSULTER DES SITES WEB 87

Une fois la vrication eectue, on peut procder linstallation sur une cl USB ou tome 1 14.2.3
un DVD.

8.6.2 Dmarrer Tails


Maintenant que lon a install Tails, on peut redmarrer et commencer lutiliser, tome 1 14.4
sans altrer le systme dexploitation prsent sur lordinateur.

8.6.3 Se connecter Internet


Une fois le dmarrage de Tails achev, cest--dire une fois que le bureau a termin
de sacher, il ne nous reste plus qu nous connecter Internet an daller naviguer page 115
sur le web.

8.6.4 Limites
Une telle solution repose sur lutilisation de Tor et de Tails, et hrite donc des limites
de ces deux outils :
Concernant les limites de Tor, elles ont t voques prcdemment dans le paragraphe
Troisime tape : attaquer Tor . page 81
Pour les limites de Tails, vous trouverez une liste approfondie davertissements sur le
site web du projet [https://tails.boum.org/doc/about/warning/index.fr.html].
Nous ne pouvons que vous inviter lire et relire attentivement ces deux documents.
Chapitre 9
Publier un document

9.1 Contexte
Aprs avoir termin la rdaction dun document sensible, on souhaite le publier sur tome 1 ch. 9
Internet tout en conservant notre anonymat (le fait quil ne puisse tre associ aucun
nom) ou notre pseudonymat (le fait quil ne puisse tre associ qu un nom choisi et
dirent de notre nom civil) .
En prime, on voudrait pouvoir y inclure une adresse de contact public correspondant
ce pseudonyme.

9.2 valuer les risques


9.2.1 Que veut-on protger ?
Le contenu du document est public. On ne sintresse donc pas sa condentialit.
Par contre, on cherche cacher les liens entre le document et les personnes qui lont
rdig. Cest donc ici lanonymat ou le pseudonymat qui nous intresse.

9.2.2 Contre qui veut-on se protger ?


Comme dans le cas dusage prcdent, nous chercherons ici nous protger des regards page 79
indiscrets qui chercheraient savoir qui fait quoi sur le web.
On fera dautant plus attention aux traces laisses quil sagit justement ici de publier
un document dont on suppose quil peut dplaire une ou plusieurs personnes ayant
un certain pouvoir de nuisance. Il est alors probable que dbute une recherche dindices
pour tenter de retrouver le ou les auteurs du document, par exemple en adressant des
requtes lgales lhbergeur. page 39

page 21
9.3 Dnir une politique de scurit
Nous allons traiter successivement la publication de documents puis lutilisation dun
contact public li ceux-ci.

9.3.1 Publication
Publier un document revient techniquement sauvegarder celui-ci sur un serveur page 21
connect Internet, que lon appelle lhbergeur. On passe souvent par un site web
pour raliser cette opration. Cependant, on ne va pas utiliser les mmes sites si lon page 22
veut publier du texte, du son ou de la vido.
Il sagit donc de bien choisir notre hbergeur en ayant lesprit les nombreux critres
entrant en jeu : type de document, disponibilit, conditions dhbergement, rsistance
90 II. CHOISIR DES RPONSES ADAPTES

de lhbergeur aux pressions judiciaires, risques que notre document fait courir celui-
page 117 ci, etc. Un liste plus exhaustive de ces critres est disponible dans la partie Outils .
Une fois notre choix eectu, il va falloir tre sr que notre document reste consul-
table : en eet, si notre publication ne plat pas notre hbergeur, quil reoit des
pressions, voire une requte lgale exigeant sa suppression, notre uvre pourrait de-
venir indisponible.
Pour viter ce genre de dsagrments, on peut multiplier les hbergements dun mme
chier, si possible sur des serveurs situs dans dirents pays. La mise en ligne dun
chier tant beaucoup plus rapide quun recours judiciaire, cela semble tre une bonne
solution pour viter la censure.
Quels seront alors les angles dattaque la porte dun ventuel adversaire ?

9.3.2 Premire tape : cest crit en bas gauche


Ladversaire dispose de prime abord dun gros volume de donnes au sein duquel
chercher des traces : le contenu du document.
Ainsi, une ventuelle signature comme un pseudonyme ou une ville, une date, la langue
dans laquelle le document est crit, voire tout simplement le thme du document sont
autant dindices qui peuvent mener ses auteurs. Un texte qui dcrit les pratiques
abusives de la socit Machinex en novembre 2012 a probablement t rdig par des
employs de cette socit ou des gens qui partageaient leur lutte cette date.
page 54 Ladversaire peut aussi tenter une analyse stylomtrique pour le comparer dautres
textes, anonymes ou non, et essayer den dduire des informations sur les auteurs.
notre connaissance, ce type dattaque nest rellement eective que lorsquon a dj
de forts soupons sur un sous-ensemble dauteurs potentiels, mais cest un champ de
recherche rcent. Vu que lon souhaite diuser largement ce document, on ne pourra
pas masquer le contenu. Cependant, si lon pense ncessaire de sen donner la peine,
on pourra avoir une attention particulire changer son style dcriture.
Enn, si lon publie notre document sans prendre de plus amples prcautions, un
tome 1 2.6 adversaire peut chercher dventuelles mtadonnes qui lui fourniraient quelques in-
formations.
Ces direntes mthodes ne demandent pas de grandes comptences techniques et
sont donc la porte de beaucoup dadversaires.
Pour sen protger, on suivra les recettes suivantes :
tome 1 ch. 9 si possible, on travaillera sur notre document en utilisant ds le dbut des mthodes
limitant les mtadonnes qui pourront tre enregistres ;
tome 1 ch. 24 dans tous les cas, il est bon de supprimer dventuelles mtadonnes avant publi-
cation.

9.3.3 Deuxime tape : demander ceux qui voient


En labsence de traces facilement exploitables lintrieur du document, lun des
angles dattaque le plus praticable est alors de chercher les traces de sa publication
sur le rseau.
page 39 Selon ses pouvoirs, notre adversaire peut eectuer une requte lgale auprs de
lhbergeur du contenu ou trouver une autre faon de se procurer ses journaux de
page 36 connexion et ainsi obtenir ladresse IP utilise. Il peut ensuite se tourner vers le FAI
correspondant cette adresse IP pour avoir le nom de labonn.
page 38
Ici aussi, pour y faire face, on utilisera Tor pour se connecter Internet en brouillant
cette piste avant de publier notre document.
9. PUBLIER UN DOCUMENT 91

Quant au choix de lhbergement, les questions discutes ci-dessus sappliquent tou-


jours. De plus, certaines des plateformes sur lesquelles on voudrait dposer notre do-
cument sont susceptibles de ne pas fonctionner si Tor est utilis, ou dutiliser des tech-
nologies comme Flash qui sont fortement dconseilles lorsque lon souhaite conserver page 26
son anonymat : cela restreindra les hbergeurs utilisables.

Il est aussi possible dhberger nous-mmes notre do-


cument grce aux services cachs de Tor [page 71] : ils
permettent de rendre disponible un serveur web ou un
autre type de serveur sans avoir rvler son adresse
IP. Ils nutilisent pas dadresse publique et peuvent
donc fonctionner aisment mme derrire un pare-
feu [page 20] ou une autre box faisant de la traduction
dadresse rseau (NAT) [page 18]. La procdure est
un peu complexe. On ne la documentera pas en dtail
dans cette dition du guide, mais une traduction fran-
aise du site web de Tor [http://tor.hermetix.org/
docs/tor-hidden-service.html.fr] est une bonne base
pour tenter laventure.
.

Pour publier notre document, on commencera en pratique par suivre la recette trouver page 117
un hbergement web.
Dans la plupart des cas, la publication se fera grce un navigateur web. On suivra
donc la piste navigateur web du cas dusage prcdent. page 84

9.3.4 Troisime tape : regarder sur lordinateur utilis


Cet angle dattaque est similaire celui dcrit dans la section regarder sur lordi-
nateur utilis du cas dusage prcdent. Nous ne pouvons donc que vous inviter page 81
aller lire (et relire) ce chapitre.

9.3.5 Quatrime tape : attaquer Tor


En dsespoir de cause, ladversaire peut aussi tenter dattaquer Tor (voir la section
attaquer Tor du cas dusage prcdent). page 81

9.4 Contact public


Lorsquon publie un document, on peut vouloir tre contact par les personnes qui
vont nous lire. Ce contact ouvre de nouvelles possibilits dattaques un adversaire
en qute de failles exploiter.
Si lon a pris toutes les prcautions an dtre le plus anonyme possible lors de la publi-
cation du document, mais que notre adresse de contact est nom.prenom@exemple.org,
ces prcautions seront sans intrt : ladresse de contact donne directement ladver-
saire notre nom.
Pour viter cette erreur, on veillera donc avoir un pseudo qui sera utilis uniquement page 53
pour ce document ou un groupe de documents en fonction de lidentit contextuelle
que lon souhaite adopter. page 54

Ladversaire cherchera alors savoir qui se cache derrire ce pseudonyme. Pour tenter
de masquer qui utilise cette adresse email , le cas dusage Envoyer des emails page 95
sous un pseudonyme pourra nous aider.
Enn, on pourrait avoir envie de cacher le contenu des emails changs, mais ceci page 97
92 II. CHOISIR DES RPONSES ADAPTES

peut apparatre trs complexe : dans la mesure o lon souhaite avoir une adresse de
contact publique, laccessibilit peut rentrer en conit avec la discrtion.
On peut ainsi prendre tout un ensemble de prcautions pour augmenter lanonymat
de notre contact, mais lon peut dicilement agir sur lautre bout du tuyau . Les
personnes qui vont nous contacter peuvent alors prendre des risques en dialoguant
avec nous, sans penser leur anonymat. Rappeler et expliciter les conditions de con-
dentialit et danonymat est alors indispensable. De plus, on ne sait jamais vraiment
qui nous contacte, il faudra alors faire attention ce que lon raconte si lon ne veut
pas se compromettre.
Chapitre 10
changer des messages

10.1 Contexte
On souhaite maintenant changer des messages avec dautres personnes, que ce soit
pour souhaiter une bonne anne mamie, ou pour travailler sur un document sensible. tome 1 ch. 9
On ne se soucie pas de la synchronicit de lchange, linverse dune conversation
tlphonique ou dun dialogue en messagerie instantane : on parle dans ce cas de
communication asynchrone.
Un autre cas dusage sera consacr au dialogue synchrone. Concentrons-nous plutt, page 101
pour linstant, sur le courrier lectronique, ou email.

10.2 valuer les risques

10.2.1 Que veut-on protger ?


Lorsquun courrier lectronique est envoy, diverses informations sont potentiellement
dvoiles nos adversaires. Lesquelles ?
Quand on se pose cette question, cest bien souvent le contenu du message qui vient
lesprit en premier lieu. Si tous les messages que nous changeons ne sont pas
ncessairement top-secrets, certains mritent plus de discrtion que dautres : an
dviter que les dtails de nos relations intimes soient tals, ou encore car le contenu
dun message peut nous attirer des ennuis, allant de la perte dun boulot un sjour
en prison. Plus gnralement, nous ne dbordons pas denthousiasme lide que le
facteur puisse lire aujourdhui toutes les lettres quon a reues ces dernires annes,
pour se mettre en bouche, avant dattendre avidement celles qui arriveront demain.
Pourtant, lorsquon change du courrier lectronique sans prcautions particulires,
les intermdiaires peuvent lire nos communications de faon totalement transparente,
comme sil sagissait de cartes postales.
Au-del du contenu de ces cartes postales, il peut tre intressant de masquer les
informations contextuelles, telles que la date de lchange, les identits des protago-
nistes, leurs localisations, etc. qui peuvent tre rvles par exemple dans les en-ttes page 29
HTTP, les en-ttes des emails, ou dans le corps du message lui-mme.
page 30
Le fait quune certaine personne crive telle autre peut constituer en soi une in-
formation sensible. En eet, il arrive que les relations entre des gens soient vises page 31
par certaines formes de surveillance, an de reconstituer un rseau dopposants poli-
tiques 1 par exemple. Ces traces persisteront gnralement dans les en-ttes des emails page 30
et les journaux de connexion.
page 36
1. Jean-Marc Manach, 2011, Rfugis sur coute [http://owni.fr/2011/12/01/
amesys-bull-eagle-surveillance-dpi-libye-wikileaks-spyfiles-kadhafi/]
94 II. CHOISIR DES RPONSES ADAPTES

10.2.2 Contre qui veut-on se protger ?


On peut vouloir dissimuler tout ou partie de ces informations aux diverses machines
qui peuvent y avoir accs, ainsi quaux personnes ayant accs ces machines.

page 29 Parmi ces machines, viennent tout dabord les serveurs impliqus. Au minimum, pour
un message envoy par Alice (alice@exemple.org) Betty (betty@fai.net), il sagira :

du serveur charg par Alice denvoyer le message : gnralement, ce sera


exemple.org ;
du serveur charg de recevoir un message et de le stocker dans la bote mail de
Betty : fai.net.

page 15 Mais ce nest pas tout. De nombreux autres ordinateurs (les routeurs) sont situs le
long du trajet, et ont accs linformation quils transportent :
page 28
entre lordinateur dAlice et son FAI ;
entre le FAI dAlice et son serveur mail exemple.org ;
entre exemple.org et le serveur mail de Betty fai.net ;
lorsque Betty consultera sa bote mail, le message cheminera entre le serveur mail
fai.net et son FAI,
enn, entre le FAI de Betty et son ordinateur.

Un mail transite par de nombreux intermdiaires

Les admins de ces machines sont les premiers avoir accs aux informations que
celles-ci traitent, mais nen ont pas forcment lexclusivit. Ces informations peuvent
page 45 se retrouver aux mains de pirates plus ou moins gouvernementaux, munis ou non de
requtes lgales.
page 39
Pour nir, chaque consultation dune bote mail, chaque envoi de message, est suscep-
tome 1 ch. 2 tible de laisser des traces sur lordinateur utilis. Il peut tre pertinent de dissimuler
celles-ci aux curieux qui seraient en mesure de jeter un il au contenu de nos disques
durs.

10.3 Deux problmatiques


On peut avoir comme souci de protger la fois notre identit - voire celles de nos
destinataires - et le contenu des changes. Il sagit donc des informations contenues
dans les deux parties de notre carte postale numrique, gauche le texte, droite les
en-ttes. Ces informations apparaissent tout au long du parcours de nos messages et
peuvent tre la cible dattaques. La politique de scurit que lon va dnir va notam-
ment dpendre de la faon dont nous consultons nos emails. En eet, son utilisation
page 20 peut impliquer divers protocoles qui nont pas les mmes consquences en termes de
traces.
10. CHANGER DES MESSAGES 95

10.4 Webmail ou client mail ?


Il existe deux manires dutiliser lemail, permettant les mmes actions : lutilisation
du webmail ou dun client mail. Ce choix repose sur dirents critres, sachant que
les deux sont utilisables pour une mme adresse email, et que le choix de lun ou de
lautre nest pas irrversible.

10.5 Webmail
Un webmail est un site web permettant de consulter ses emails via un navigateur
web. Son usage sest rpandu comme une trane de poudre depuis le dbut des annes
2000, tel point quon en aurait presque oubli les autres manires de faire de lemail.
Hotmail et Gmail sont des exemples trs populaires dhbergeurs qui favorisent son
utilisation (mme sils ne sont pas utilisables quen webmail). Ici encore, on a aaire
une tendance du web 2.0, plus besoin davoir son systme dexploitation pour accder page 49
sa bote mail (que ce soit sur son ordinateur ou sur la cl USB contenant un systme
live) : un accs Internet sut.

Alice et Betty utilisent un webmail

Le webmail cest en n de compte une interface web qui nous permet dagir sur des
serveurs mails. Schmatisons un change demail entre Alice et Betty, qui utilisent
toutes deux le webmail :
le chemin rseau entre lordinateur de Betty et sa bote mail hberge par
fai.net sera parcouru via un protocole web (HTTP ou HTTPS)
sensuivra un petit bout de chemin chez fai.net qui assurera le passage du webmail
lemail
suivi dun voyage en protocole email (SMTP) entre fai.net et exemple.org
de nouveau un petit bout de chemin, chez exemple.org cette fois-ci, entre protocole
email et web
puis du web (HTTP ou HTTPS) jusqu lordinateur dAlice.

10.5.1 Avantages
Parmi les avantages du webmail, de mme que pour chaque application web, on peut
noter labsence dinstallation, de mise jour, de conguration, pour le logiciel de mail.
On y retrouve galement un argument phare du web 2.0 : la possibilit daccder
sa bote mail depuis nimporte quel ordinateur connect Internet, nimporte quand,
nimporte o.

10.5.2 Inconvnients
Ct inconvnients, il y a le fait quen cas dabsence de connexion, toute notre cor-
respondance nous est inaccessible ( moins quon en ait sauvegard tout ou partie sur tome 1 ch. 19
un support porte de main : cl USB, disque dur, etc.)
Le fait quil soit possible dutiliser nimporte quel navigateur web pour accder notre
bote mail peut vite nous inciter utiliser eectivement nimporte quel navigateur web,
96 II. CHOISIR DES RPONSES ADAPTES

et par l des ordinateurs en lesquels nous navons que trs peu de raisons de placer
notre conance.
Ensuite, en fonction de la conance que lon place dans notre hbergeur demail, il
convient de se poser la question de la centralisation de nos donnes. Lusage massif
du webmail nous amne une situation o des milliers de botes mail, avec tout leur
contenu, se retrouvent entre les mains des plus gros fournisseurs de service email,
leur conant ainsi la garde dune montagne de donnes personnelles. Ces hbergeurs
peuvent les utiliser des ns commerciales, les livrer diverses autorits, ou tout
simplement les perdre. De plus, si lon considre que notre correspondance est sensible
dune manire ou dune autre, peut-tre prfrera-t-on ne pas la laisser reposer sur
les paules de personnes - car il y en a encore derrire les machines - qui nont
pas particulirement envie den porter la responsabilit. Tel fut probablement le cas
courant aot 2013 pour la socit dhbergement demail Lavabit 2 , qui hbergeait un
compte email dEdward Snowden et qui dcida de stopper ses activits. Fermeture
intervenue suite aux requtes voire pressions de la part dagences gouvernementales
telles que la NSA ou le FBI.
Enn, lutilisation du webmail peut nous faire proter pleinement dun tas de pu-
blicits sachant dans notre navigateur web, lors de la consultation de notre bote
aux lettres informatique. Publicits qui peuvent dailleurs tre choisies en fonction du
page 33 contenu de nos mails.

10.6 Client mail


Un client mail ou client de messagerie est un logiciel qui sert grer ses emails : les
recevoir, les lire, les envoyer, etc. Des clients mails connus sont par exemple Outlook
de Microsoft ou Thunderbird de Mozilla. Il en existe de nombreux autres qui, malgr
leurs dirences, possdent une interface globalement similaire, proche de celle des
webmails.
Contrairement au webmail, o lon va consulter ses emails stocks chez lhbergeur
en utilisant son navigateur web, ici la lecture des emails se fait grce un logiciel
install sur lordinateur. On se sert dun priphrique de stockage local (disque dur
de lordinateur utilis, cl USB, etc.) comme espace de stockage des emails.
Pour reprendre notre petit schma prcdent, il faut remplacer les protocoles web par
des protocoles email. Deux protocoles dirents existent an de recevoir son courrier,
IMAP (pour Internet Message Access Protocol) et POP (pour Post Oce Protocol).
Le premier, IMAP, permet de manipuler les emails stocks sur les serveurs demail
de notre hbergeur. chaque connexion vers la bote mail, une synchronisation a
lieu an davoir le mme tat (nombres demails, de brouillons, de dossiers, etc.) sur
le serveur mail que sur notre client mail, et inversement. Et cela sans pour autant
tlcharger le contenu prsent sur le serveur mail. Seuls les en-ttes des emails peuvent
tre rapatris sur notre client mail par exemple.
Le second protocole, POP, tlchargera les dirents contenus de la bote mail direc-
tement sur notre client mail, sans forcment en laisser de copie sur le serveur distant.

10.6.1 Avantages
Les avantages et inconvnients peuvent tre spciques au protocole utilis an de
recevoir son courrier, cela dit certains leur sont communs.
Tout dabord, avec un client demail, rien nempche davoir accs sa bote mail,
dans le mme tat quau dernier relev de courrier, mme en labsence de connexion
Internet. Il sera donc possible de lire, rdiger, supprimer des emails hors connexion,

2. Wikipdia, 2014, Lavabit [https://fr.wikipedia.org/wiki/Lavabit]


10. CHANGER DES MESSAGES 97

Betty utilise un webmail, Alice un client mail

sans bien sr pouvoir ni les envoyer, ni en recevoir. De plus, lusage dun client mail
nous vite davoir subir la myriade de publicits dont le web est parsem.
En utilisant le protocole POP, on protera dautres avantages comme la dcentralisa-
tion des emails. Au lieu de laisser toute notre correspondance sur des serveurs distants,
les courriers lectroniques sont rapatris sur lordinateur. Cela vite de laisser ind-
niment tous nos emails aux hbergeurs demails majeurs, mais aussi de dvorer trop
despace disque chez les petits hbergeurs demails. Le fait que les emails nissent
leur course sur le systme du destinataire peut permettre galement plus de prise sur
leur gestion : concernant la suppression eective demails qui pourraient savrer tre
critiques par exemple. Enn, on laisse moins de donnes des entreprises qui nont
que faire de la condentialit de la correspondance. Attention cependant : nos emails
transitent toujours par notre hbergeur, qui pourra y accder et ventuellement en
faire une copie avant quon ne les rapatrie.

10.6.2 Inconvnients
Pour utiliser un client mail, il va falloir congurer un logiciel de mail pour quil sache
quelle bote relever, quel serveur se connecter et quel protocole utiliser.
Il est plus compliqu de consulter de cette manire ses emails depuis un ordinateur
qui nest pas le ntre (chez des amis ou au travail par exemple), moins dutiliser le
client mail dun systme live persistant (comme celui de Tails), install sur une cl
USB.
De plus, dans le cas o le protocole POP est utilis, le support de stockage sur lequel
se trouve notre client mail sera le seul sur lequel sera stocke notre correspondance.
En cas de perte du support sur lequel celle-ci est stocke (que ce soit le disque dur dun
ordinateur ou la cl USB sur laquelle on a install un systme live Tails persistant), on
peut dire adieu ses prcieux messages. . . sauf si on a pens en faire une sauvegarde. tome 1 ch. 19

10.7 changer des emails en cachant son identit


Lobjectif sera ici de cacher un adversaire que nous sommes lun des interlocuteurs
dun change demails. Il sagit peut-tre dun change demails avec un dissident
politique recherch ou bien avec une amie perdue de vue.

10.7.1 Dnir une politique de scurit


Notre souci principal va tre de masquer les noms des personnes changeant par email,
ou du moins de rendre leur identication aussi dicile que possible.

Premire tape : demander aux facteurs


Notre fournisseur demails est un nud du rseau par lequel transitera obligatoirement
notre correspondance numrique. Un adversaire sy intressant aurait donc de bonnes
raisons de jeter un coup dil cet endroit, dautant plus que cela peut lui tre trs
ais.
98 II. CHOISIR DES RPONSES ADAPTES

De la mme manire, les intermdiaires entre Betty et Alice, dont leurs FAI respectifs,
page 30 nauront qu regarder au bon endroit pour lire les en-ttes mail, qui peuvent livrer
nombre dinformations. Notamment, chez certains hbergeurs, les adresses IP des
correspondantes. Une telle attaque est plus que probable si le contenu des emails
ou les protagonistes des changes attirent lattention dautorits ayant des pouvoirs
susants. Il est juste de se dire quen premier lieu, ne pas avoir une adresse email
du genre nom.prenom@exemple.org est dj un bon rexe. Il va tout dabord falloir
page 53 penser utiliser un pseudonyme, pour mettre sur pied une identit contextuelle.

Ceci dit, si Kiwi Poilu crit rgulirement Caroline Carot, Soane Carot et
Francine Carot, un adversaire pourrait se dire quil appartient la famille Carot, ou
fait partie des intimes : les identits des gens qui on crit sont elles aussi rvlatrices.

De plus, si lon utilise un pseudonyme, mais quun adversaire observe que les emails
quil surveille sortent de telle maison ou tel appartement, il peut eectuer le rappro-
page 69 chement. Cest pourquoi comme pour la navigation sur le web, lutilisation du routage
en oignon ou lutilisation dun systme live amnsique prvu cet eet permettent
tome 1 ch. 14 de brouiller des pistes remontant jusqu notre ordinateur.

Enn, le contenu des changes peut permettre den apprendre susamment sur leurs
auteurs pour mettre des noms dessus. Cacher une identit ncessite donc de faire
attention non seulement aux en-ttes, mais aussi au contenu de lemail.

Pour protger le contenu des emails des regards curieux, que ce soit pour lui-mme
page ci-contre ou pour ce quil peut divulguer sur les auteurs des mails, on utilisera le chirement
demails.

Deuxime tape : regarder sur lordinateur utilis


Si le rseau Tor ainsi quun pseudonyme sont utiliss an de protger son identit, un
tome 1 ch. 2 attaquant potentiel peut essayer daccder aux traces laisses sur lordinateur. An
de prouver que la personne quil suspecte est bien en possession du compte email en
question.

tome 1 ch. 15 Pour se prmunir contre cette attaque, il est ncessaire de chirer son disque dur ou,
mieux encore, dviter ds le dpart de laisser ces traces en utilisant un systme live
tome 1 ch. 14
amnsique.

Cest dautant plus important si lon utilise un client mail, car ce ne sont pas seulement
des traces qui seraient laisses sur le systme, mais galement les mails eux-mmes.

Troisime tape : attaquer Tor


Un attaquant capable de surveiller plusieurs points du rseau, par exemple la
connexion utilise et lhbergeur demail, pourrait tre en mesure de dfaire lano-
nymat fourni par le rseau Tor.

Rappelons encore une fois que de nombreuses autres attaques sont envisageables
page 70 contre le rseau Tor, et quil est impratif de bien saisir contre quoi il protge et
contre quoi il ne protge pas.
page 72

10.7.2 Choisir parmi les outils disponibles


Plusieurs outils sont disponibles pour communiquer par email, le choix se fait donc en
fonction des dirents critres voqus prcdemment. On peut par exemple prfrer
ne pas laisser ses emails sur le serveur de notre hbergeur, les lire et y rpondre hors
ligne ou au contraire ne pas vouloir tlcharger de copie de ses emails et y accder
toujours en ligne.
10. CHANGER DES MESSAGES 99

10.7.3 Webmail
Le webmail tant un usage particulier du web, on se rfrera au cas dusage traitant
de la navigation sur le web pour les questions relatives au Navigateur Tor ou Tails page 79
leurs avantages, leurs inconvnients, leur utilisation. Il faudra galement prendre soin
de vrier les certicats ou autorits de certication qui orent un chirement de page 121
la connexion vers le serveur de mail car un attaquant ayant les moyens de duper
lutilisateur cet endroit-l sera en mesure de rcuprer en clair tous les changes
avec le serveur de mail, dont login et mot de passe de la bote mail.
De plus, si lon utilise le webmail depuis Tails sur un ordinateur en lequel on peut
avoir des doutes, notamment face une attaque de type keylogger, on prendra soin tome 1 3.4
dutiliser un clavier virtuel lors de la saisie du mot de passe de son compte email.
page 125

10.7.4 Client mail


Dans le cas o lon prfre utiliser un client mail plutt que faire du webmail, on peut
au choix :
tome 1 ch. 14
utiliser Tails, dans lequel est fourni le client Icedove. Les traces laisses localement
page 127
seront alors eaces lextinction du systme ;
utiliser Tails et Icedove avec la persistance pour stocker le contenu de sa bote sur tome 1 14.5
une cl USB. Des traces chires seront alors stockes sur ce support ;
installer un client mail sur son systme chir en utilisant loutil installer un logiciel tome 1 ch. 15
pour installer le paquet icedove ;
tome 1 ch. 16
suivre loutil utiliser Icedove. Des traces chires seront alors laisses sur le disque
dur de lordinateur. page 127
Mais de la mme manire que pour un webmail, il faudra veiller vrier les certicats page 121
ou autorits de certication qui orent un chirement de la connexion vers le serveur
de mail.

10.8 Echanger des emails condentiels (et authentis)


On souhaite ici cacher le contenu de nos emails, an dviter quune autre personne
que la destinataire ne puisse les lire, ce qui peut tre utile lorsque le contenu de nos
messages est sensible ou quil en dit long sur la personne layant rdig.
Pour dnir notre politique de scurit, il nous faut envisager lutilisation du chire-
ment selon plusieurs modalits.

10.8.1 Premire tape : demander aux factrices


Sans mesure de protection particulire, les services dhbergement demail pourront
lire le contenu des emails qui nous sont destins. En eet, ce sont sur leurs serveurs
que sont achemins et stocks nos emails.

Connexion non-chire aux serveurs mail

Nos messages peuvent tre ainsi conservs pendant des annes jusqu que nous les
rapatrions ou les supprimions, voire plus longtemps encore si lun des serveurs en fait
une copie, dans le cadre dune sauvegarde par exemple. Do limportance, notam-
ment, de fermer des botes mail une fois leur raison dtre dpasse. Ceci a galement
lavantage de ne pas occuper de lespace disque pour rien chez lhbergeur mail.
100 II. CHOISIR DES RPONSES ADAPTES

En attendant, et condition daimer bidouiller, il est


dores et dj possible de mettre en place son propre
serveur de mail sur un service cach Tor [page 71].
.

Il ny a ici pas de grande dirence entre lusage de tel ou tel protocole, dun client
mail ou du webmail. Lusage du protocole POP avec un client mail bien congur
(tlchargement complet des emails, suppression sur le serveur distant), en admettant
que lon relve rgulirement notre courrier, vitera au mieux de laisser notre courrier
prendre la poussire dans les serveurs de notre hbergeur.

La lecture de nos messages, qui relve de la violation du secret de la correspondance


tout comme lire une lettre qui ne nous serait pas destine ne demande aucun eort
technique, pas mme celui douvrir une enveloppe. Elle est si simple que son utilisation
a notamment t automatise par Gmail, qui fait lire le contenu des emails de ses
utilisateurs par des robots an de dtecter le spam 3 , mais aussi an de mieux
cibler leurs utilisateurs pour, entre autres, leur orir la publicit la plus adquate.

Ces robots ne sont ni des automates, ni des an-


drodes, mais de petits programmes qui parcourent
automatiquement du contenu pour identier
quelque chose : par exemple, les robots de Google
parcourent les pages web pour indexer les mots-cls
pertinents qui pourraient tre recherchs. De tels ro-
bots sont aussi utiliss par les ics pour leur signaler
chaque fois quune personne utilise certains mots de
leur suppos dictionnaire des terroristes .
.

Concernant les intermdiaires situs entre les protagonistes de lchange demails et


les serveurs des hbergeurs demails respectifs, on peut avoir aaire deux situations.
La premire, dsormais plutt rare, est celle o la connexion entre un protagoniste
et son serveur mail nest pas chire. Dans ce cas-l, les dirents intermdiaires
verront passer entre leurs mains des cartes postales. Ils seront donc dans une situation
similaire celle des hbergeurs demails, la dirence prs que les cartes postales
ne feront que transiter. . . sauf sil leur vient lide de jeter un coup dil plus
approfondi au courrier quils transportent, que ce soit pour faire des statistiques an
damliorer la qualit de leur service, ou parce quon le leur demande gentiment.

La seconde situation est celle o la connexion entre un protagoniste et son serveur


page 59 mail est chire avec le protocole TLS. Ceci est possible quel que soit le protocole
utilis. Les intermdiaires entre un protagoniste et son serveur mail verront cette fois-
ci des cartes postales mises dans des enveloppes. Enveloppes plus ou moins diciles
ouvrir : en eet, si la connexion entre Alice et son serveur mail est eectivement
page 65 chire, Alice ne choisit pas de quelle manire elle lest. De plus, lhbergeur demail ne
sera pas aect par le chirement et aura toujours accs lemail dans son intgralit.
An de proter dun chirement de la connexion ecace, il ne faudra pas faire une
page 121 conance aveugle une autorit de certication, ou accepter un certicat sans le
vrier au pralable .

Enn, rien nassure que la connexion entre le serveur mail dAlice et celui de Betty
est chire, auquel cas, le trajet de lemail se fera en partie la manire dune lettre,
en partie la manire dune carte postale.

3. Le spam est une communication lectronique non sollicite, le plus souvent du courrier lec-
tronique.
10. CHANGER DES MESSAGES 101

Connexion chire aux serveurs mail

An de sassurer que le contenu de nos messages nest lisible par aucun des inter-
mdiaires, facteur compris, il nous est possible de les chirer directement sur notre
ordinateur, avant mme de les envoyer. Pour cela, on utilisera le standard de crypto-
graphie asymtrique OpenPGP. Il serait galement possible dutiliser la cryptographie
symtrique, mais ses limites nous amnent le dconseiller fortement. page 59
En utilisant la cryptographie asymtrique, seule la personne destinataire, pour la-
quelle on aura eectu le chirement, sera en mesure de dchirer le message. Nou-
blions pas cependant que la cryptographie asymtrique possde galement des limites page 68
qui peuvent permettre un adversaire de rvler le contenu chir.
En pratique, si ce nest pas dj fait, on commencera par importer la cl publique page 129
de notre destinataire. Il faudra alors vrier son authenticit. De plus, si on compte
tablir une correspondance et donc recevoir des emails en retour il nous faudra ga- page 130
lement disposer dune paire de cls : lune sera utilise par nos correspondants pour
chirer des emails notre intention, lautre nous permettra de les dchirer. Si lon
na pas encore de paire de cls de chirement, suivre la recette pour en crer une et page 132
en avoir une bonne gestion.
Aprs rdaction du message, on suivra les tapes ncessaires son chirement. Ne page 136
reste plus qu lenvoyer !
Attention cependant, cette mthode permet de chirer le contenu de lemail et seule-
ment le contenu. Elle ne modiera en rien les en-ttes de lemail. page 30

10.8.2 Deuxime tape : regarder sur lordinateur utilis


Supposons quun attaquant na pas accs aux donnes de nos hbergeurs, et ne peut
pas couter le rseau, mais quil peut venir se servir chez nous : quelles traces de nos
changes trouvera-t-il sur notre ordinateur ?
Si cet adversaire peut mettre la main sur notre ordinateur, ou sur celui de lautre per-
sonne implique dans la communication, que ce soit en sen emparant ou en arrivant
y installer un logiciel malveillant, il pourra avoir accs tous les emails stocks sur tome 1 ch. 3
celui-ci ainsi quaux traces laisses ; que ces traces soient dues au fonctionnement de
la machine ou laisses par les protagonistes.
An de se protger dun adversaire qui pourrait semparer de notre ordinateur, on
prendra soin de chirer son disque dur pour lui compliquer laccs aux donnes sto- tome 1 ch. 15
ckes sur celui-ci. Cela ne nous protgera pas contre un logiciel malveillant voulant
exltrer ces donnes, do limportance de ninstaller que des logiciels de conance.
On pourra aussi utiliser un systme live amnsique. Notons que si les emails stocks
font partie dun change qui a t chir en utilisant la cryptographie asymtrique,
quand bien mme il a accs lordinateur, ladversaire ne pourra pas les lire, moins
quil ait accs la cl secrte et connaisse la phrase de passe qui permet de lutiliser.

10.8.3 Troisime tape : attaquer le chirement du support


Si lon consulte ses emails sur une Debian chire, les traces sur le disque dur de
lordinateur seront chires, que lon utilise le webmail ou un client mail. Elles nap-
prendront donc rien un adversaire en ltat. Cependant certains adversaires pour-
raient avoir des moyens dattaquer ce chirement. De plus, si la personne avec qui tome 1 5.1.4
lon converse par email ne fait pas de mme, le niveau global de protection du contenu
102 II. CHOISIR DES RPONSES ADAPTES

sera nivel par la plus faible des deux protections. En eet, avoir pris normment de
prcautions et changer des emails avec une personne ayant par exemple une Debian
non chire, ou allume en permanence 4 , peut tre plus dangereux car lon pourrait
avoir une impression trompeuse de scurit. Dautant plus sil est ais de localiser ou
mettre un nom sur les protagonistes de lchange.
En utilisant un logiciel de mail dans un systme live amnsique, il ny aura aucune
trace sur lordinateur utilis aprs extinction, mais il y en aura dans la partition per-
sistante si on la congure. Celles-ci seront chires, ce qui revient au cas prcdent
dune Debian chire.
Pour ne pas laisser de traces sur lordinateur utilis, chires ou non, on pourra
dutiliser le systme live Tails sans persistance et de proter ainsi de son amnsie.

10.8.4 Quatrime tape : attaquer le chirement des messages


Un adversaire arrivant, dune manire ou dune autre, mettre la main sur les emails
chirs, peut essayer de sattaquer au chirement du contenu an de parvenir le
tome 1 5.1.4 briser. Cet adversaire peut pour cela tirer parti des direntes limites du chirement.

4. Lorsquelle est allume, une machine dont le disque dur est chir contient de nombreuses
informations dchires dans sa mmoire vive [tome 1 1.2.3].
Chapitre 11
Dialoguer

11.1 Contexte
Dans le cas dusage prcdent, on changeait des messages de faon asynchrone, page 91
tout comme dans un change pistolaire. Cependant on peut vouloir une commu-
nication synchrone, comme lors dune communication tlphonique, que ce soit pour
une runion de travail sur un document sensible ou pour dialoguer avec une amie. Le tome 1 ch. 9
plus simple pourrait tre de se dplacer pour se rencontrer, ou de sappeler - mais ce
nest pas toujours possible ou souhaitable. Cela peut galement poser des problmes.
Parfois, la messagerie instantane est une bonne alternative.
Beaucoup de gens connaissent et utilisent rgulirement la messagerie de Skype (rem-
plaant de MSN ou Windows Live Messenger fournie par Microsoft) ou la messagerie
interne de Facebook, pour ne citer que les exemples les plus connus. Cest pratique,
oui, mais il est possible davoir quelque chose de pratique sans renoncer tre discret !

11.2 valuer les risques

11.2.1 Que veut-on protger ?


Les rponses possibles cette question sont les mmes que dans le cas de lchange page 91
de messages. On peut vouloir protger le contenu de lchange, la localisation des
protagonistes, leurs identits, leur lien, etc.

11.2.2 De qui veut-on se protger ?


Ici aussi, les rponses sont proches de celles donnes dans le cas dusage changer des page 91
messages : on peut vouloir dissimuler tout ou partie de ces informations aux diverses
machines par lesquelles elles transitent aussi bien quaux personnes qui pourraient y
avoir accs.
Parmi lesdites machines, viennent tout dabord les serveurs de messagerie instantane page 29
utiliss par les dirents correspondants.
Viennent ensuite les routeurs, situs sur le trajet entre les protagonistes de lchange, page 28
notamment ceux de leurs FAI respectifs.
page 38
Enn, des traces sont laisses sur les ordinateurs utiliss.

11.3 Dnir une politique de scurit


Posons-nous maintenant les questions exposes dans notre mthodologie en adoptant tome 1 ch. 7
le point de vue de notre adversaire.
104 II. CHOISIR DES RPONSES ADAPTES

11.3.1 Premire tape : toutes les infos disposition des curieux


La messagerie interne de Facebook, Skype, etc. permettent beaucoup de gens de
prendre connaissance dinformations qui ne les concernent pas : Facebook ou Micro-
soft verront passer lintgralit de nos conversations sur leurs machines, et peuvent
les archiver pour pouvoir y accder ensuite. Les ics nauront qu demander pour
bncier des informations, et une faille de scurit sur le serveur peut donner accs
de nombreux autres curieux. Sans oublier que Facebook change rgulirement ses
rglages de condentialit sans prvenir, et peut dcider demain de rendre public ce
qui est priv aujourdhui.

Par ailleurs, Skype enregistre les conversations sur lordinateur utilis, et donc nim-
porte quel voisin lutilisant, cambrioleur lemmenant ou amant jaloux peut accder
cet historique aussi.

Mais Microsoft et Facebook nont pas invent la messagerie instantane et de multiples


alternatives sont disponibles. Il existe de nombreux logiciels que lon peut installer
sur son ordinateur, qui permettront de communiquer selon divers protocoles : Skype,
IRC, XMPP, etc.

Le fait dutiliser un logiciel de conance nous permettra de dsactiver larchivage des


conversations, et donc de limiter les traces laisses sur notre ordinateur.

Il existe galement des serveurs qui fournissent des adresses de messagerie instantane
et qui ne sont pas dans une position leur permettant de faire autant de recoupements
que Google, Microsoft ou Facebook.

tome 1 ch. 15 Pour suivre cette piste sur un systme Debian (chir) install prcdemment, se
rfrer loutil installer un logiciel pour installer pidgin. Si lon utilise Tails, ce
tome 1 ch. 16
logiciel est dj install.

11.3.2 Deuxime tape : demander aux hbergeurs


En utilisant un client de messagerie instantane et des serveurs varis, on ne centralise
pas tous les liens et les dialogues entre les mmes mains. Cependant, le contenu des
conversations tout comme les parties qui communiquent restent accessibles partir
des ordinateurs par lesquels ils transitent.

Sil est souvent possible de paramtrer notre logiciel pour chirer la connexion jus-
quau serveur de messagerie, les dialogues restent accessibles au serveur. De plus, on
ne peut en gnral pas garantir que le lien entre le serveur et lautre correspondant
soit aussi chir.

page 39 Un adversaire qui en a les moyens pourra donc sadresser aux admins du serveur
utilis, voire aux organisations qui fournissent le rseau, pour obtenir des informations
page 45 sur les conversations. Il pourra aussi tenter de pirater leurs machines.

La condentialit des dialogues reste donc fortement lie la conance quon met dans
les serveurs de messagerie que lon utilise, voire dans les infrastructures du rseau et
en particulier notre fournisseur daccs.

Pour fortement compliquer la tche dun adversaire qui voudrait lire le contenu de
page 59 nos dialogues, on pourra utiliser le chirement de bout en bout et disposer alors de
condentialit. Malheureusement, il ny a pas actuellement dimplmentation du
chirement de bout en bout qui permette des conversations de ce type en groupe.
Cette solution sera donc limite aux discussions deux.

tome 1 ch. 15 Pour suivre cette mthode sur un systme Debian (chir) install prcdemment,
suivre les outils installer un logiciel pour installer le paquet pidgin-otr, puis utiliser
tome 1 ch. 16
la messagerie instantane avec OTR.
page 143
11. DIALOGUER 105

11.3.3 Troisime tape : les liens restent visibles


Si on utilise le chirement de bout en bout dans le cadre dun dialogue en messagerie
instantane, un adversaire ne peut alors plus avoir accs au contenu de la conversation,
moins de casser le chirement utilis, daccder notre ordinateur, voire de le page 68
pirater.
page 47
Cependant, un adversaire qui a accs au rseau ou au serveur de messagerie utilis
peut toujours voir avec qui nous parlons. Pour cacher les liens, il faudra utiliser des
identits contextuelles et se connecter de faon anonyme, par exemple en utilisant page 53
Tor. On a alors condentialit grce au chirement, mais aussi pseudonymat.
page 69
En utilisant un systme live amnsique comme Tails, on soccupe du mme coup de
la question des traces qui pourraient tre laisses sur lordinateur utilis. Sauf si on
utilise la persistance, auquel cas des traces chires seront conserves dans la partition
persistante de la cl USB de Tails.
Pour suivre cette piste il nous faudra donc dans un premier temps, si lon nen a pas
dj, faire une cl USB ou un DVD Tails. tome 1 ch. 14
Ensuite, aprs avoir dmarr sur le support contenant Tails, il nous faudra dnir une tome 1 ch. 13
identit contextuelle utiliser et mettre en place la persistance de Tails pour cette
identit en activant loption Pidgin . tome 1 14.5

Nous pourrons enn suivre loutil utiliser la messagerie instantane avec OTR. page 143
On combine ici deux critres : condentialit et anonymat. ltape prcdente, on
a vu comment disposer de condentialit avec le chirement OTR. Ici on vient de
voir comment avoir anonymat et condentialit en utilisant le chirement OTR sous
Tails ainsi quune identit contextuelle. Cependant, on peut dsirer lanonymat ou le
pseudonymat seul, cest--dire sans condentialit. En eet, on peut vouloir cacher qui
on est sans cacher le contenu de nos conversations, par exemple pour discuter dans des
salons publics traitant de pratiques sexuelles considres comme dviantes. Pour
suivre cette piste on dmarrera alors Tails puis on utilisera Pidgin avec un compte tome 1 14.4
cr automatiquement pour loccasion 1 sans utiliser le chirement OTR.
page 143

11.4 Les limites


Tout dabord, cette mthode reste vulnrable aux ventuelles attaques sur le chire-
ment, dont on vient de parler et aux attaques sur Tor. page 81
Mais il existe aussi quelques limites spciques aux conversations en temps rel. Ainsi,
ltat en ligne ou hors ligne dune identit est en gnral accessible publi-
quement. Un adversaire peut ainsi voir quand une identit est connecte, et ven-
tuellement corrler plusieurs identits : parce quelles sont toujours en ligne en mme
temps ; ou au contraire parce quelles ne sont jamais en ligne en mme temps mais
souvent successivement, etc.

Pour que des identits apparaissent comme tant


toujours en ligne , il est possible dutiliser un
ghost ou proxy 2 sur un ordinateur en qui lon
a conance, qui est toujours allum et connect au
serveur de messagerie instantane. Cest ainsi cet or-
dinateur, et non pas le serveur, qui voit quand on
est connect ou pas, et cet tat nest plus public. La
mise en place dune telle infrastructure dpasse toute-
fois pour linstant les ambitions de ce guide.
.
1. Lors du dmarrage de Tails, deux comptes de messagerie instantane sont gnrs automati-
quement [https://tails.boum.org/doc/anonymous_internet/pidgin/index.fr.html]
106 II. CHOISIR DES RPONSES ADAPTES

Ensuite, dans le cas particulier o lanonymat (ou le pseudonymat) est prioritaire


sur dautres contraintes, par exemple si lon souhaite discuter dans un salon public,
dautres limites sajoutent celles voques ci-dessus. Ainsi, une identit contextuelle
risque toujours de nir relie une identit civile, comme nous lavons vu dans la
page 54 partie sur les pseudonymes. En eet, mme sous un pseudonyme, le fond et la forme
de nos conversations peuvent en dire trs long sur la personne se trouvant derrire le
clavier.
Il est bon de garder en mmoire le fait que quand on essaye de dnir une politique de
scurit lors dune relation entre plusieurs personnes, que ce soit au tlphone, dans le
page 91 cas dchanges demails ou encore ici pour la messagerie instantane, le niveau global
de scurit sera nivel par le niveau de scurit du protagoniste le moins prcaution-
neux. En eet, si lon prend par exemple soin dutiliser Tails an de ne laisser aucune
trace de notre conversation sur lordinateur, alors que notre interlocuteur utilise son
systme dexploitation habituel sans protection particulire, alors ce dernier sera sans
doute le point le plus faible de la politique de scurit de notre communication.
Enn, comme cela a dj t dit, le chirement OTR ne permet pas lheure actuelle
de converser plus de deux la fois. Des recherches avancent cependant dans ce
sens 3 .

En attendant, et condition daimer bidouiller, il


est dores et dj possible de mettre en place son
propre serveur de messagerie instantane (par exemple
XMPP) sur un service cach Tor [page 71].
.

2. Wikipdia, 2014, Proxy [https://fr.wikipedia.org/wiki/Proxy].


3. Ian Goldberg, et Al., 2009 Multi-party O-the-Record Messaging, CACR Tech Report 2009-
27 [http://www.cacr.math.uwaterloo.ca/techreports/2009/cacr2009-27.pdf] (en anglais) ; Jacob Appel-
baum, et Al., 2013, mpOTR [https://github.com/cryptocat/mpOTR] (en anglais).
Troisi`eme partie

Outils

Dans cette troisime partie, nous expliquerons comment appliquer concrtement


quelques-unes des pistes voques prcdemment.
Cette partie nest quune annexe technique aux prcdentes : une fois comprises les
problmatiques lies lintimit dans le monde numrique ; une fois les rponses
adaptes choisies, reste la question du Comment faire ? , laquelle cette annexe
apporte certaines rponses.

Du bon usage des recettes


Les outils et recettes qui suivent sont des solutions extrmement partielles, qui ne sont
daucune utilit tant quelles ne font pas partie dun ensemble de pratiques articules
de faon cohrente.
Piocher dans cette bote outils sans avoir, au pralable, tudi la partie sur le choix page 77
dune rponse adapte et dni une politique de scurit, est un moyen remarquable
de se tirer une balle dans le pied en croyant, tort, avoir rsolu tel ou tel problme. tome 1 ch. 7

On ne peut pas faire plaisir tout le monde


Pour la plupart des recettes prsentes dans ce guide, nous partons du principe que
lon utilise GNU/Linux avec le bureau GNOME ; ces recettes ont t crites et testes
sous Debian 8.0 (surnomme Jessie) 1 et Tails 2 (The Amnesic Incognito Live System).
Pour autant, celles-ci sont gnralement adaptables dautres distributions bases
sur Debian, telles quUbuntu 3 ou gNewSense 4 .
Si lon nutilise pas encore GNU/Linux, on pourra consulter les cas dusage du premier
tome, au chapitre un nouveau dpart ou utiliser un systme live. tome 1 ch. 8
tome 1 ch. 14
De la bonne interprtation des recettes
Avant de passer aux recettes elles-mmes, quelques remarques transversales nous ont
paru ncessaires.
1. http://www.debian.org/releases/jessie/index.fr.html
2. https://tails.boum.org/index.fr.html
3. http://www.ubuntu-fr.org/
4. http://www.gnewsense.org/fr/Main/HomePage
110 III. OUTILS

Les procdures sont prsentes pas pas et expliquent, chaque fois que cest possible,
le sens des actions que lon propose deectuer. Une utilisation ecace de ces outils
ncessite de sentendre sur quelques points :
Lordre dans lequel chaque recette est dveloppe est dune importance capitale.
Sauf mention contraire, il est simplement inimaginable de sauter une tape pour
ensuite revenir en arrire : le rsultat, si jamais ces oprations dsordonnes en
donnaient un, pourrait tre soit dirent de celui escompt, soit tout bonnement
catastrophique.
Dans le mme ordre dide, les actions indiques doivent tre eectues la lettre.
Omettre une option ou ouvrir le mauvais dossier peut avoir pour eet de totalement
modier le rsultat escompt.
De manire gnrale, la bonne comprhension de ces recettes demande dy accorder
un minimum dattention et de vivacit desprit. On ne peut pas tout rexpliquer
chaque fois : il est implicite davoir auparavant consult et compris les explications
page 77 des cas dusage , dont ces recettes ne sont que la dernire tape.
Enn, les logiciels voluent, cest pourquoi il est vivement conseill dutiliser la
version la plus jour de ce guide, qui est disponible sur le site web https://guide.
boum.org/.
Chapitre 12
Installer et congurer le Navigateur
Tor

Les logiciels voluent, cest pourquoi il est vivement conseill dutiliser la version la
plus jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Dure : une demi-heure une heure.

Nous avons vu que, lors de nos navigations sur le web, les sites visits peuvent en-
registrer notre adresse IP et donc quun adversaire peut facilement remonter nous page 12
par ce biais. Do, parfois, la ncessit de dissimuler cette adresse IP. Tor est un logi-
ciel permettant de faire transiter notre connexion au sein dun rseau de nuds ,
masquant ainsi notre IP relle. Cest le routage en oignon. page 69
Pour pouvoir utiliser le rseau danonymisation Tor, il faut paramtrer le logiciel Tor
lui-mme, mais galement les logiciels qui vont lutiliser, comme le navigateur web
par exemple. Ces paramtrages sont souvent complexes, tel point quil est dicile
dtre sr de lanonymat qui en rsulte.
Cest pourquoi il est conseill, pour utiliser Tor, de se servir soit dun systme live tome 1 ch. 14
ddi cet usage, soit dutiliser un kit prt lemploi : le Navigateur Tor.
Cest un outil qui permet dinstaller et dutiliser trs facilement Tor sur un systme
classique . Aucun paramtrage ne sera ncessaire et tous les logiciels indispensables
une navigation sous Tor y sont inclus.
Le Navigateur Tor rassemble :
le navigateur web Firefox, paramtr pour utiliser Tor ;
le logiciel Tor ;
un lanceur, pour dmarrer le tout en un simple double-clic.
Attention : il faut bien garder lesprit que le Navigateur Tor ne procure pas un
anonymat pour lensemble de lordinateur : seules les connexions vers les sites web
laide de ce navigateur passent par Tor. Toutes les autres connexions (client
mail, agrgateurs de ux RSS, torrent, autres navigateurs, etc.) ne sont
pas anonymises. De plus, les traces de navigation, comme les cookies ou les mots de
passe, seront probablement enregistres sur le disque dur, de mme que les documents
tlchargs. Enn, il arrive parfois que lors de la navigation, on clique sur un lien qui
lance automatiquement un logiciel (lecteur de musique par exemple) qui lui ne passera
pas par Tor. Des indices sur la nature de notre navigation pourraient alors fuiter.
On expliquera ici comment installer le Navigateur Tor sur une Debian chire. tome 1 ch. 15
Pour utiliser un systme se connectant Internet uniquement via Tor et pouvoir
utiliser Tor avec dautres logiciels quun navigateur, il faudra se tourner vers un
systme live comme Tails. tome 1 ch. 14
114 III. OUTILS

12.1 Tlcharger et vrier le Navigateur Tor


12.1.1 Vrier larchitecture de son systme dexploitation
tome 1 1.2.2 Avant dinstaller le Navigateur Tor, il faut dterminer larchitecture de notre systme
dexploitation (Debian) ; savoir si elle est en 32 ou 64 bits. Pour ce faire, appuyer sur
la touche Logo, puis taper paramtres, puis cliquer sur licone Paramtres. Dans la
fentre qui souvre cliquer sur Dtails. Nous avons prsent dirents renseignements
sur notre machine. En face de Distribution il y a Debian GNU/Linux Jessie, suivi,
soit de 32 bits, soit de 64 bits. Noter cette information dans un coin et fermer la
fentre.

12.1.2 Tlcharger le programme


Nous pouvons maintenant tlcharger le Navigateur Tor. Aller sur https://www.
torproject.org et cliquer sur le gros bouton Download Tor. Le site devinne lui-mme
le systme dexploitation utilis, si ce nest pas le cas, on pourra choisir Linux, Mac
ou Windows ct du bouton violet Download.
De l, choisir la version correspondant votre architecture (cest ce que lon a not
ltape prcdente) slectionner la langue dsire, par exemple Franais, et enn
cliquer sur Download.
Une fentre proposant douvrir le chier sache. Choisir Enregistrer le chier et
cliquer sur OK. Nous sommes prsent de nouveau sur le site du projet Tor.

12.1.3 Tlcharger la signature du programme


page 62 Nous allons prsent tlcharger la signature du chier pour pouvoir lauthentier.

page 63 Pour ce faire, il faut faire un clic-droit sur (sig) situ juste en-dessous du bouton
Download et gauche du menu droulant de slection de la langue. Cliquer sur En-
registrer la cible du lien sous. . . une fentre nous demande de choisir o enregistrer
ce nouveau chier. Il faut lenregistrer dans le mme dossier que le chier prcdent
(par dfaut dans Tlchargements).
Une fois la signature et le Navigateur Tor tlchargs, on peut fermer la fentre des
tlchargements et la fentre du site du projet Tor.

page 129 12.1.4 Vrier lauthenticit du programme


Importer la cl OpenPGP qui signe le Navigateur Tor :

Tor Browser Developers (signing key) <torbrowser@torproject.org> 0x93298290

Il faut tre attentif quil sagisse de la bonne cl, tant donn que des petits plaisan-
tins pas forcment bien intentionns samusent publier des cls GnuPG pour cette
identit. Le projet Tor maintient une page web [https://www.torproject.org/docs/
signing-keys.html.en] (en anglais) listant les vritables cls utiliser. Cest un bon
point de dpart pour ne pas se tromper.
Lempreinte de cette cl observe par les auteurs de ce guide est, en admettant que
cest un exemplaire original que lon a entre les mains :

EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290

page 130 Cette empreinte va nous permettre dutiliser loutil de vrication de lauthenticit
dune cl, ce qui est ncessaire pour sassurer de ne pas avoir aaire une usurpation
12. INSTALLER ET CONFIGURER LE NAVIGATEUR TOR 115

didentit de la part de quelquun qui voudrait nous faire utiliser un faux Navigateur
Tor.
Une fois la cl vrie, nous pouvons suivre loutil vrier la signature numrique, page 138
an de vrier lauthenticit du Navigateur Tor qui a t tlcharg.
Si lauthenticit est conrme, on peut passer la suite. Dans le cas contraire, il peut
tre ncessaire de re-tlcharger le Navigateur Tor et sa signature et de recommencer
le processus de vrication.

12.2 Dcompresser le Navigateur Tor


Tout dabord, copier le chier installer dans son dossier personnel : pour ce faire, se
rendre dans le dossier o lon a tlcharg le Navigateur Tor. Eectuer un clic-droit sur
le chier tor-browser-linux. . . tar.xz et slectionner Couper dans le menu contextuel
qui apparat. Se rendre alors dans son dossier personnel, eectuer un clic-droit et
slectionner Coller.
Pour terminer dinstaller le Navigateur Tor, nous allons le dcompresser :
Dans le dossier personnel, faire un clic-droit sur le chier tor-browser-linux-. . . .tar.xz
et cliquer sur Extraire ici. Un dossier sappellant tor-browser fr est cr. On peut
ensuite supprimer le chier tor-browser-linux. . . tar.xz : le Navigateur Tor est install !

12.3 Lancer le Navigateur Tor


Pour lancer le Navigateur Tor, il faut se rendre dans le Dossier personnel, puis dans
le dossier tor-browser fr. L il faut double-cliquer sur Tor Browser Setup. Le lanceur
du Navigateur Tor souvre et nous propose soit de Se connecter au rseau Tor di-
rectement, soit de le Congurer avant notre premire connexion au rseau Tor via le
Navigateur Tor. Si tout se passe bien, aprs avoir cliqu sur Se connecter, en quelques
secondes, un navigateur web souvre, dans lequel il est inscrit Bienvenue dans le
navigateur Tor . Ladresse IP du nud de sortie sache si lon clique sur Tester
les paramtres du rseau Tor .
Il peut arriver dans certaines conditions, comme dans le cas du blocage des connexions
vers le rseau Tor par des fournisseur daccs Internet, que le Navigateur Tor narrive
pas se connecter. Dans ce cas, ou simplement pour plus dinformations, consulter
la documentation disponible sur le site web du projet Tails 1 .

1. Documentation de Tails, Tor en mode bridge [https://tails.boum.org/doc/first_steps/startup_


options/bridge_mode/index.fr.html]
Chapitre 13
Naviguer sur le web avec Tor

Les logiciels voluent, cest pourquoi il est vivement conseill dutiliser la version la
plus jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Dure : 5 10 minutes.

Lobjectif de cet outil est de naviguer sur le web de faon anonyme en utilisant Tor. Il page 69
ny a pas beaucoup de dirence avec lutilisation dun navigateur web classique
quon considrera comme un prrequis. La documentation de Tails sur NetworkMa-
nager 1 vous expliquera comment connecter votre ordinateur Internet.

13.1 Lancer le navigateur


Si vous nutilisez pas le systme live Tails, il vous faudra installer le Navigateur Tor. tome 1 ch. 14
Attention, lorsquon utilise le Navigateur Tor, seule la navigation depuis celui-ci b- page 111
ncie de lanonymat procur par Tor.

13.2 Quelques remarques sur la navigation


Une fois le navigateur lanc, on peut sen servir presque comme dun navigateur
ordinaire. Cependant, certains dtails sont noter.
Tout dabord, il faut avoir bien compris contre quoi Tor protge, mais surtout contre page 72
quoi il ne protge pas an de ne pas faire nimporte quoi en se croyant protg.
En plus de ces limites, il faut savoir que les sites web consults peuvent savoir que
lon se connecte via le rseau Tor. Certains, comme Wikipdia, utilisent cela pour
bloquer ldition anonyme. Dautres, comme Google, demanderont de rsoudre des
ds appels captcha 2 pour montrer quon est bien un humain avant daccder
leurs services.
Enn, certaines fonctionnalits sont dsactives pour protger lanonymat. Cest no-
tamment le cas de Flash, technologie utilise par beaucoup de sites proposant des page 26
vidos en streaming.

1. https://tails.boum.org/doc/anonymous_internet/networkmanager/index.fr.html
2. Wikipdia, 2017, CAPTCHA [https://fr.wikipedia.org/wiki/CAPTCHA]
Chapitre 14
Choisir un hbergement web

Les logiciels voluent, cest pourquoi il est vivement conseill dutiliser la version la
plus jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Dure : une demi-heure une heure.

Lobjectif de cette recette est de trouver o hberger un document sur le web. Les
possibilits sont trop nombreuses pour pouvoir apporter une rponse cl en main
cette question. De plus, conseiller une petite liste dhbergeurs, sur lesquels seraient
centraliss beaucoup de contenus risque , ne semble pas une bonne ide. Cette
recette donnera donc plutt quelques pistes pour bien choisir un hbergement.
Il est aussi possible dhberger soi-mme notre document de faon anonyme en utili- page 52
sant les services cachs Tor. Malheureusement, les solutions techniques pour rendre
cela accessible ne sont pas encore au point, et il faut pour linstant mettre les mains page 71
dans le cambouis 1 .

14.1 Quelques critres de choix


Il existe de trs nombreux hbergeurs, tel point que lon peut vite se sentir per-
dus dans la jungle des possibilits. Voici quelques critres pour se poser les bonnes
questions. On parlera ci-dessous de document, mais ces critres valent aussi pour un
projet plus ambitieux, tel quun blog ou un documentaire vido.
Type dorganisation : beaucoup de sites proposent dhberger des documents
gratuitement . Nombre dentre eux sont des services commerciaux qui trouvent page 50
un intrt publier du contenu cr par leurs utilisateurs. Mais il existe aussi des
associations ou des collectifs qui hbergent galement des projets, sous certaines
conditions ;
Conditions dhbergement : si le document ne plat pas lhbergeur, rien ne
lempche de le supprimer sans mme nous avertir. Sa charte (que lon doit accepter
lors de lhbergement de notre document) peut souvent nous donner une ide de ce
que lhbergeur tolre ou non ;
Rsistance aux pressions : ltat peut lui aussi vouloir empcher que notre
document reste en ligne. Il lui sut, dans bien des cas, dintimider lhbergeur
pour que ce dernier supprime notre document. En eet, selon lhbergeur choisi,
celui-ci peut supporter plus ou moins la pression : certains attendront quun recours
la justice soit eectu, tandis que dautres supprimeront notre document ds le
premier email un peu menaant ;

1. documentation Ubuntu sur la mise en place de services cachs [https://doc.ubuntu-fr.org/tor#


configurer_les_hidden_services]
120 III. OUTILS

Suppression du document : inversement, on peut vouloir un moment sup-


primer notre document. Or, lhbergement de documents tant un service que lon
remet dans les mains dautres personnes plus ou moins de conance, on ne peut
pas avoir la garantie que nos chiers seront rellement eacs. Mieux connatre
lhbergeur peut dans certains cas nous donner plus de garanties.
Risques pour lhbergeur : selon le contenu de notre document, il peut faire
courir un risque lhbergeur, en particulier sil sagit dun hbergeur qui ne sou-
haite pas collaborer avec les ics. Il est alors ncessaire de se demander si lon est
prt faire courir un risque un hbergeur, qui peut tre amen disparatre en
cas de rpression.
Taille du document : si notre document est trop gros , certains hbergeurs
refuseront de le prendre. Cela peut galement tre le cas si notre document est
trop petit . La taille autorise est spcie dans certaines ores mais attention :
certains hbergeurs rendent payantes des fonctionnalits comme lhbergement de
trs gros chiers.
Dure dhbergement : selon les hbergeurs, de nombreuses ores existent quant
la dure de lhbergement. Par exemple, certains suppriment automatiquement
le document au bout dun dlai, dautres sil na pas t tlcharg pendant un
certain temps, etc.

14.2 Type de contenu


Maintenant quon a quelques critres de choix en tte, essayons de rendre cela plus
concret. Lhbergement adapt notre projet dpend tout dabord du type de contenu
que lon souhaite publier : texte, image, vido, son, etc.

14.2.1 Publier du texte


Publier du texte est souvent ce quil y a de plus simple.
Si le texte publier est en rapport avec un autre texte dj publi, il est souvent
possible de poster un commentaire, que ce soit sur un blog, un forum ou autre site
participatif. Pour ce genre de publication, linscription nest pas forcment obligatoire,
mais cela ne veut en aucun cas dire que la publication est anonyme si lon ne prend
page 69 pas de prcautions particulires, comme par exemple utiliser le routage en oignon.
De plus, notre texte tant un commentaire et non un sujet principal, il nest pas
forcment mis en avant sur le site.
Il est aussi possible de publier un texte sur un site ou un blog existant. Il faudra alors
lenvoyer au site en question via un formulaire ou par email et la publication dpendra
alors du ou des admins. Certains sites 2 proposent la publication libre darticles sur
un thme donn.

14.2.2 Publier un blog ou autre site


Si lon souhaite publier rgulirement des textes, on peut alors choisir dadministrer
un blog : de nombreuses organisations proposent des blogs dj congurs et faciles
utiliser. On pourrait galement administrer un site web, cette mthode demande
toutefois un peu dapprentissage.
Dans de nombreuses villes, des groupes de personnes sintressant au logiciel libre ou
la libert dexpression sur Internet peuvent tre de bon conseil. Quelques listes sont
aussi disponibles sur le web :
une liste dhbergeurs de blogs sur lannuaire ouvert dmoz [http://www.dmoz.org/
World/Franais/Informatique/Internet/Weblogs/Outils/Hbergement/]

2. Par exemple les sites du rseau Indymedia, qui proposent dassurer tous la libert de crer et
de diuser de linformation Wikipdia, 2014, Indymedia [https://fr.wikipedia.org/wiki/Indymedia]
14. CHOISIR UN HBERGEMENT WEB 121

une liste de grosses plateformes de blogs sur Wikipdia [https://fr.wikipedia.org/


wiki/Catgorie:Hbergeur_de_blogs]
une autre liste de plateformes de blogs [http://www.allists.com/2033]
une liste de services web libres sur le wiki de la communaut francophone
dUbuntu [http://doc.ubuntu-fr.org/liste_de_services_web_libres]
une liste dhbergeurs sur le wiki des hbergeurs libres [http://www.
hebergeurslibres.net/wakka.php?wiki=ListeHebergeurs]
Il existe aussi lhbergeur noblogs.org [http://noblogs.org].

14.2.3 Publier des images


On veut souvent pouvoir publier des images, pour accompagner son texte. La plupart
des sites o lon peut publier du texte proposent den inclure dans notre article. Ils
nous proposent alors soit de prendre des images depuis notre ordinateur (ils hbergent
alors ces dernires sur leur serveur) soit dindiquer ladresse dimages dj hberges
sur un autre serveur.
Il existe aussi des sites spciques de partage de photos :
une liste de sites dhbergement dimages sur lannuaire ouvert dmoz [http://www.
dmoz.org/World/Franais/Informatique/Images/Web/Hbergement/]
une liste de sites de partage de photos [http://www.allists.com/2042]

14.2.4 Publier une vido ou un son


Pour publier un contenu sonore ou une vido, des sites spcialiss existent. Ils per-
mettent aux internautes qui les visitent de lire en ligne le son ou la vido, sans
avoir tlcharger le chier. Quelques listes de sites de ce type :
la page Wikipdia sur les sites de partage de chiers [https://fr.wikipedia.org/
wiki/Site_d%27h%E9bergement_de_fichiers#H.C3.A9bergement_de_vid.C3.A9os]
une liste de sites de partage de vidos sur un blog [http://www.blog.niums.com/
2007/net/quoi-de-neuf-sur-le-web/partage-de-videos-en-ligne-que-choisir/]

14.2.5 Publier un gros chier tlchargeable


Pour publier des documents que lon souhaite rendre tlchargeables, on va aller
voir du ct des services de tlchargement direct de chiers (ou DDL pour Direct
Downloading Link).
En franais, cela signie lien de tlchargement direct : on poste notre chier
sur un serveur de tlchargement direct. On obtient alors un lien (une adresse web)
qui lorsquon la tape dans notre navigateur, nous permet de lancer le tlchargement
du chier. Quelques listes de tels services :
liste de 10 sites de partage de chier sur clubic [http://www.clubic.com/
article-87134-2-solutions-partager-gros-fichiers.html]
liste de sites de partage de chier sur Wikibooks [https://fr.wikibooks.org/
wiki/Partage_de_fichiers_sur_Internet/Les_sites_d%27h%C3%A9bergement_de_
fichiers_en_un_clic/Partager_un_fichier_en_un_clic]

14.3 En pratique
De faon plus concrte, il faut en premier lieu choisir lhbergeur du chier. Les critres
prsents auparavant aident eectuer ce choix. Il est trs important de choisir un
hbergeur en toute connaissance de cause car notre anonymat peut dpendre en partie
de ce choix.
Il faut maintenant hberger le chier proprement parler. La mthode exacte est
dirente selon lhbergeur, mais le principe reste le mme. On va tout dabord ouvrir
122 III. OUTILS

page 79 notre navigateur web et lutiliser de faon discrte. Ensuite on va se rendre sur le site
de lhbergeur et trouver la page o dposer notre chier (upload en anglais).
L il faudra suivre la mthode spcique lhbergeur an de lui transmettre notre
chier. En gnral, cette mthode est facile suivre et, mme si elle varie, relativement
similaire dun hbergeur lautre. Une fois lupload termin, ladresse web laquelle
se trouve le chier est ache.
Il est parfois ncessaire dentrer une adresse email an de recevoir ce lien web : le cas
page 95 dusage sur les changes par email et le chapitre sur les identits contextuelles vont
nous permettre de dcider quelle adresse email fournir le cas chant.
page 53
Une fois le lien obtenu, on peut le diuser de la manire qui nous convient le mieux.
Les personnes qui disposeront du lien pourront tlcharger le chier en le saisissant
dans la barre dadresse dun navigateur web.
Chapitre 15
Vrier un certicat lectronique

Les logiciels voluent, cest pourquoi il est vivement conseill dutiliser la version la
plus jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Dure : 15 30 minutes.

Nous avons vu dans la premire partie de ce guide, quan dtablir une connexion
chire il fallait souvent faire conance une autorit de certication (AC). La plupart page 65
du temps, les AC sont dj enregistres sur lordinateur, dans le navigateur web par
exemple. Mais ce nest pas toujours le cas : dans cette situation, votre navigateur ou
autre logiciel vous prsentera un message vous expliquant quil na pas pu authentier
le certicat du site.
Il arrive galement que le site visit nutilise pas les services dune autorit de cer-
tication, par manque de conance, ou de moyen nancier. Il faut alors vrier son
certicat.

15.1 Vrier un certicat ou une autorit de certication


Que ce soit pour le certicat dune AC, ou pour celui dun site en particulier, il est
ncessaire de le vrier avant de laccepter. Sans cela, la connexion sera bien chire,
mais pas authentie. Autrement dit, on chirera bien la communication, mais sans page 64
savoir vraiment avec qui autant dire qu part se donner une fausse impression de
scurit, cela ne sert pas grand-chose.
Vrier un certicat signie la plupart du temps visualiser son empreinte numrique tome 1 5.2
et la comparer avec une autre source an de sassurer que celle-ci est correcte. Utiliser
de prfrence lempreinte numrique de type SHA1, et non celle de type MD5, cette
dernire ntant plus considre comme sre 1 .
Pour lautorit de certication CaCert par exemple, on obtiendra une chane de ca-
ractres de ce genre :

13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33

Dans le cas dun site web, an davoir accs lempreinte dun certicat, aprs avoir
rentr une adresse commenant par https, on obtiendra un message davertissement
comme suit :

1. Chad R Dougherty, 2008, MD5 vulnerable to collision attacks [http://www.kb.cert.org/vuls/


(en anglais).
id/836068]
124 III. OUTILS

Le connexion nest pas scurise


Les propritaires de site.com ont mal congur leur site web. Pour viter que
vos donnes ne soient drobes, Navigateur Tor ne sest pas connect ce site
web.
En savoir plus. . .
Retour
Avanc

La notion de donnes drobes voque dans le message prcdent a t aborde dans


page 64 un chapitre de la premire partie. Une fois cet avertissement parcouru, on peut cliquer
sur Avanc, ce qui fera apparatre le message suivant :

site.com uses an invalid security certicate.


The certicate is only valid for the following names : domaine.org,
www.domaine.org
Error code : SSL ERROR BAD CERT DOMAIN

Il faut maintenant cliquer sur Ajouter une exception. . .


Une fentre Ajout dune exception de scurit souvre alors. Dans celle-ci, on peut
trouver des informations intressantes sur la raison pour laquelle le navigateur na
pas voulu accepter le certicat, sous le titre tat du certicat.
En cas de certicat auto-sign, on pourra lire par exemple la phrase Ce site essaie
de sidentier lui-mme avec des informations invalides. Il se peut aussi que la date
de validit du certicat soit dpasse, ce qui nen empche pas forcment lusage. Il
est en tout cas toujours utile de lire cette partie et de se demander si lon souhaite
continuer au regard de ces informations. En cliquant sur Voir. . . puis sur longlet
Dtails, on peut regarder plus en profondeur le certicat, et savoir par exemple qui
la mis, pour combien de temps, etc.
Il faut ensuite revenir longlet Gnral an dacher diverses informations sur le
certicat qui est prsent notre navigateur web, dont son empreinte SHA1.
Encore reste-t-il trouver dautres sources permettant dobtenir cette empreinte. Il
existe quelques techniques pour essayer de sassurer de lauthenticit dun certicat :
si une personne de conance proximit de vous utilise dj le site ou lAC en
question et a dj vri son certicat, vous pouvez comparer lempreinte du cer-
ticat quelle connat avec celle qui vous est prsente. Vous pouvez galement
la demander par email des personnes qui vous lenverront de faon chire et
signe pour plus de scurit. Cest encore mieux si vous avez votre disposition
plusieurs de ces personnes, qui auraient vri ce certicat en utilisant chacune
direntes connexions Internet. Il faut alors suivre la dmarche explique plus
bas pour retrouver lempreinte dun certicat dj install dans le navigateur de
cette personne.
si vous avez accs plusieurs connexions Internet depuis lendroit o vous tes,
par exemple en zone urbaine o lon trouve beaucoup daccs Wi-Fi, visitez le site
ou tlchargez le certicat de lAC en utilisant plusieurs dentre elles et comparez
lempreinte du certicat qui vous sera prsente chaque fois.
page 70 si vous utilisez le Navigateur Tor, vous pouvez proter du changement de circuit,
et donc de nud de sortie sur Internet, pour vrier plusieurs reprises lempreinte
du certicat. Cela vitera quun adversaire ayant la main sur le nud de sortie ou
page 64 tant plac entre le nud de sortie et le site consult puisse usurper son identit.
15. VRIFIER UN CERTIFICAT LECTRONIQUE 125

Pour savoir si votre nud de sortie a chang, visitez en utilisant votre Navigateur Tor
un site comme celui de torproject [https://check.torproject.org/] qui vous indique
lIP de votre nud de sortie. chaque fois que celle-ci change, visitez le site souhait
ou tlchargez le certicat de lAC, et comparez son empreinte avec celles collectes
les fois prcdentes. Au bout de quelques essais russis, la crdibilit quil sagisse du
bon certicat devient susamment grande pour laccepter. Enn, cest vous den
juger en fonction de votre politique de scurit ! tome 1 ch. 7
Ces techniques utilises isolment ne sont pas forcment trs robustes, mais leur
utilisation conjointe procurera une crdibilit susante dans le fait que le certicat
que vous allez utiliser est le bon. Et que personne naura russi vous tromper.
Gardons lesprit toutefois que ceci ne nous protge pas contre toutes les attaques page 65
visant le chirement de la connexion.

15.2 Trouver lempreinte dun certicat dj install


Cette empreinte peut tre visualise en cliquant sur pour acher le menu du Tor
Browser et aller dans Prfrences. Choisir la section Avanc, puis le sous-menu Cer-
ticats. Enn cliquer sur Acher les certicats. Vous pourrez ensuite trouver les
certicats des sites installs en choisissant longlet Serveurs, puis en slectionnant le
site en question dans la liste et en cliquant sur le bouton Voir. La mme opration
est possible pour les autorits de certication en choisissant plutt longet Autorits.
Chapitre 16
Utiliser un clavier virtuel dans Tails

Les logiciels voluent, cest pourquoi il est vivement conseill dutiliser la version la
plus jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Dure : quelques minutes.

Nous avons vu dans le premier tome quun ordinateur peut tre matriellement cor-
rompu. Il peut notamment contenir des keyloggers matriels qui pourraient enregis- tome 1 3.4
trer tout ce qui est tap sur le clavier. Les textes que lon crit, des actions que lon
excute, mais surtout les mots de passe que lon saisit.
Lorsquon a un doute quant la conance accorder un ordinateur sur lequel on
va utiliser Tails, il est possible dutiliser un clavier virtuel an de rendre inecace
la rcupration des frappes sur le clavier. Attention cependant, cette mthode ne
protge pas dun mouchard qui enregistrerait l achage de lcran. tome 1 ch. 3

16.1 Utiliser un clavier virtuel dans Tails


Un clavier virtuel est un logiciel ayant lapparence dun clavier et qui nous permet de
saisir des caractres sans utiliser le clavier matriel de lordinateur. Il peut tre utilis
avec plusieurs dispositifs de pointage comme une souris, un cran tactile, ou un pav
tactile par exemple.
La clavier virtuel Florence est install par dfaut dans Tails. Il est automatiquement
dmarr lors du lancement de Tails et est accessible en cliquant sur son icne en
forme de clavier dans la zone de notication en haut droite de lcran ou partir
de Applications Accs universel Clavier virtuel Florence.
Une fois lanc, il sut de taper ses mots de passe en utilisant sa souris, son touchpad
ou tout autre dispositif de pointage.
Chapitre 17
Utiliser le client mail Icedove

Les logiciels voluent, cest pourquoi il est vivement conseill dutiliser la version la
plus jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Dure : 15 30 minutes.

Cette partie va dcrire la mthode adopter pour congurer le client de messagerie


Icedove de manire lutiliser pour toutes tches ayant trait ses emails.

17.1 Installer le client mail Icedove


Si lon utilise une Debian chire, il va tout dabord falloir installer le logiciel Ice- tome 1 ch. 15
dove. Pour cela, installer les paquets icedove, icedove-l10n-fr et enigmail pour le
chirement. tome 1 16.3

Si lon utilise Tails, Icedove ainsi que les paquets ncessaires au chirement des emails page 97
sont dj installs. Et si lon ne souhaite pas avoir recongurer Icedove chaque
dmarrage de Tails, ainsi que conserver ses emails, contacts etc. dune session lautre,
on activera au pralable loption Icedove dans la persistance de Tails. tome 1 14.5

17.2 Lancer Icedove


Une fois les paquets installs, lancer Icedove en appuyant sur la touche Logo, taper
ice puis cliquer sur Messagerie Icedove.

17.3 Congurer un compte email


Lorsquon lance Icedove et quaucun compte email ny est congur, une fentre
propose de crer une nouvelle adresse lectronique. Cliquer sur Passer cette tape et
utiliser mon adresse existante. Ensuite une autre fentre nous propose de nous assister
dans la conguration du logiciel, et pour lajout dun premier compte. Si en revanche
vous souhaitez ajouter un compte mail supplmentaire Icedove, lisez directement le
chapitre Avec loutil de cration de compte ci-dessous.

17.3.1 Avec lassistant (1er dmarrage)


Pour congurer un compte email, remplir les trois champs demands pour la Cra-
tion dune compte courrier, puis cliquer sur Continuer. Il est possible de remplir le
champ Votre nom complet avec le pseudonyme quon voudra voir apparare dans les
en-ttes. Lassistant nous propose alors de choisir entre deux protocoles, IMAP ou page 30
POP. Slectionner celui qui nous convient le mieux et cliquer sur Termin.
page 19
130 III. OUTILS

Si le paquet enigmail a t pralablement install, lAssistant de conguration Enig-


mail apparait alors. Cliquer sur Annuler pour le fermer, nous y reviendrons plus
tard.
Icedove est dsormais prt rceptionner les messages. Si vous souhaitez ds main-
tenant ajouter un compte supplmentaire, continuez la lecture. Sinon, vous pouvez
passer directement au chapitre suivant, consacr la conguration avance dIcedove.

17.3.2 Avec loutil de cration de compte


Pour ajouter un nouveau compte Icedove, cliquer sur pour acher le menu dIce-
dove et aller dans Prfrences Paramtres des comptes. Cliquer alors sur le menu
droulant Gestion des comptes en bas gauche et slectionner Ajouter un compte de
messagerie. . .
Une fentre Cration dun compte courrier souvre alors. Suivre alors les mme ins-
tructions quau paragraphe prcdent.

17.4 Conguration avance de Icedove


Une fois Icedove congur pour un compte email, on peut vouloir optimiser sa con-
guration, pour quelle nous soit plus agrable ou pour quelle rduise les risques en
termes de scurit informatique.
Pour cela, choisir Paramtres des comptes en allant dans pour acher le menu
dIcedove puis dans Prfrences. Nous nallons pas faire un tour exhaustif des options
de conguration, mais de quelques-unes qui nous semblent utiles.
Tout dabord, si lon a choisi dutiliser le protocole POP, dans la partie Paramtres
serveur, on peut dcider de la dure aprs laquelle les messages seront supprims des
serveurs aprs rapatriement. Cela est bien sr sans grande garantie et dpend notam-
tome 1 4.3 ment notre hbergeur mail : nous ne pouvons quesprer quil eace vritablement
nos donnes.
Enn, il est possible que les ports des protocoles utiliss ne soient pas les bons avec
les rglages par dfaut. Si cest le cas, modier le Port IMAP ou POP dans la sec-
tion Paramtres serveur en fonction des informations de congurations disponibles
chez notre hbergeur email. Pour modier le port SMTP, il faudra se rendre dans la
section Serveur sortant (SMTP), slectionner le compte email concern, cliquer sur
Modier. . . et enn modier le numro du Port.

17.4.1 Activer le plugin de chirement Enigmail


Si lon dsire utiliser la cryptographie asymtrique, que ce soit pour chirer des emails,
les signer, ou les deux, il faut congurer le logiciel Icedove selon nos prfrences.
Pour cela, ouvrir la fentre Paramtres des comptes en allant dans pour acher
le menu dIcedove puis dans Prfrences. Slectionner dun clic la section Scurit
OpenPGP du compte email diter. Cocher Activer le support OpenPGP (Enigmail)
pour cette identit. Il est ensuite possible de modier les options par dfaut, sachant
que le chirement PGP/MIME permet de chirer le contenu ainsi que les pices jointes
ventuelles de lemail. Faire le tour de ces options, et en cas de doute, eectuer une
recherche sur le web ou demander autour de soi. Une fois le choix eectu, cliquer sur
le bouton OK.
Chapitre 18
Utiliser OpenPGP

Le standard Internet 1 OpenPGP est un format de cryptographie qui permet notam-


ment deectuer et de vrier des signatures numriques ainsi que de chirer et de page 140
dchirer des emails ou des chiers.
page 138
Nous allons ici dtailler dirents outils de cryptographie ayant en commun lusage
dOpenPGP. page 136

page 137
18.1 Importer une cl OpenPGP
Les logiciels voluent, cest pourquoi il est vivement conseill dutiliser la version la
plus jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Dure : quelques minutes.

Le but de ce chapitre est dimporter une cl OpenPGP, que nous utiliserons pour
vrier des signatures numriques ou pour chirer des messages. La procdure est la
mme sous Tails ou avec une Debian chire.
Ouvrir Mots de passe et cls en appuyant sur la touche Logo pour ouvrir la vue den-
semble des activits puis en tapant mots, et enn cliquer sur le logiciel correspondant.
Puis, dans la colonne de gauche, cliquer sur Cls GnuPG .
Importer une cl ne signie pas avoir vri quelle appartient bien au propritaire
suppos. Nous verrons dans le chapitre suivant quil faut pour cela eectuer dautres
oprations, comme tudier ses signatures ou son empreinte numrique.

18.1.1 Acher les cls disponibles


Pour acher les cls importes, cliquer sur Achage Tout acher. Choisir A-
chage Par trousseau permet de mieux sy retrouver.

18.1.2 Si lon dispose de la cl dans un chier


Cliquer sur Fichier Importer. . . . dans la fentre qui souvre, slectionner le chier
contenant la cl, puis cliquer sur Ouvrir. Une fentre ache des informations sur la
cl. Si cest bien la cl quon souhaite importer, cliquer sur Importer.

18.1.3 Si lon veut chercher la cl en ligne


Toujours dans la fentre Mots de passe et cls, cliquer sur Distant Chercher des
cls distantes. . .
1. Wikipdia, 2014, Standard Internet [https://fr.wikipedia.org/wiki/Standard_Internet]
132 III. OUTILS

Dans la fentre qui souvre alors, taper un nom, un numro de cl ou toute autre
information permettant de trouver la cl recherche, par exemple : 0x63FEE659 ,
63FEE659 ou Alice Dupont . Cliquer ensuite sur Chercher.
Une fentre de rsultats souvre. Il peut dailleurs y avoir de nombreux noms corres-
pondant notre recherche, comme par exemple pour Erinn Clark. Lequel choisir ? Si
lon sait que la cl que lon cherche a comme identiant 63FEE659, on fera clic-droit
sur lun des rsultats puis Proprits. On pourra alors comparer lempreinte de la
cl slectionne avec celle dsire. Une fois la bonne cl trouve, la slectionner, faire
Fichier Importer, puis fermer la fentre.
Cela dit, lidentiant court dune cl, tel que 63FEE659, nest pas su-
sant pour slectionner de manire unique une cl [https://help.riseup.net/
fr/security/message-security/openpgp/best-practices#ne-vous-fiez-pas-%C3%
A0-lidentifiant-de-cl%C3%A9].

La cl importe devrait maintenant tre visible dans le trousseau de Cls PGP.

18.2 Vrier lauthenticit dune cl publique


Les logiciels voluent, cest pourquoi il est vivement conseill dutiliser la version la
plus jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Dure : de quelques minutes une demi-heure.

Lors de lutilisation de la cryptographie asymtrique, il est crucial de sassurer que


page 63 lon dispose de la vritable cl publique de notre correspondant. Sinon, on sexpose
une attaque de lhomme du milieu : on authentie ou on chire bien notre corres-
page 64 pondance. . . pour notre adversaire.
On devra tout dabord choisir une mthode pour sassurer que lon dispose de la
bonne cl publique. On indiquera ensuite OpenPGP notre conance en cette cl.

18.2.1 tablir une conance


tome 1 ch. 6 En fonction des exigences de notre modle de risque et de nos possibilits, on pourra
choisir direntes faons pour vrier lauthenticit dune cl publique. Admettons
quon doive vrier lauthenticit de la cl publique dAlice.

Se transmettre la cl par un canal sr


Lorsque cest possible, le plus simple est de se passer en main propre, laide dune
page 136 cl USB par exemple, le chier contenant la cl publique. Alice exporte alors sa cl
publique vers un chier, quelle stocke sur une cl USB ventuellement chire quelle
tome 1 ch. 18 nous donne ensuite. On importera ensuite directement la cl publique dAlice partir
page prec. de ce chier.

Se transmettre lempreinte par un canal sr


Lun des inconvnients de la mthode prcdente est quelle ncessite de se passer un
chier informatique par un moyen sr. Cela nest pas toujours possible. Heureusement,
tome 1 5.2 ce nest en fait pas ncessaire : il sut dobtenir, par un moyen sr, une somme de
contrle de la cl publique, quon appelle empreinte (ou ngerprint en anglais).
Alice peut ainsi publier sa cl publique sur Internet, par exemple sur son blog ou
sur un serveur de cls. De notre ct, nous tlchargeons cette cl de faon non
authentie, puis on vrie que lempreinte de la cl correspond celle quAlice nous
a fait parvenir de faon authentie. Pour voir lempreinte de la cl dAlice obtenue
page prec. depuis Internet, il faudra limporter dans notre trousseaux de cls, puis aller dans
18. UTILISER OPENPGP 133

longlet Dtails disponible en double-cliquant sur sa cl.


Que gagnons-nous utiliser cette mthode ? Au lieu de devoir se faire passer un
chier, il est susant de se transmettre une ligne de caractres comme celle-ci :

A490 D0F4 D311 A415 3E2B B7CA DBB8 02B2 58AC D84F

Par exemple, Alice, qui est une personne bien organise, peut avoir en permanence
sur elle un exemplaire de lempreinte de sa cl publique crite sur un bout de papier.
Il nous sut alors de la croiser pour quelle nous la passe : pas besoin dordinateur
ni de cl USB.
Si lon ne peut pas rencontrer Alice, elle pourra aussi nous envoyer cette empreinte
par courrier postal, et on pourra lappeler pour quelle nous la lise par tlphone. La
vrication sera moins bonne quen se voyant directement, mais il reste plus dicile
pour un adversaire de nous envoyer un courrier postal avec sa cl et de rpondre au
numro de tlphone dAlice en nous lisant son empreinte, tout en imitant sa voix.
a se complique encore si on ne connat pas Alice. Dans ce cas, il nous faudra faire
conance des personnes qui prtendent la connatre. Encore une fois, il ny a pas de
recette magique, mais combiner dirents moyens de vrication permet de compli-
quer la tche dun ventuel adversaire souhaitant monter une attaque de lhomme page 64
du milieu : il nous est possible de demander plusieurs personnes qui prtendent
connatre Alice plutt qu une seule ; utiliser plusieurs moyens de communication
dirents, etc.

Utiliser les toiles de conance


OpenPGP intgre la notion de conance transitive avec les toiles de conance. Une page 66
fois la cl dAlice tlcharge, on peut lister les identits qui ont sign sa cl : ces
personnes dclarent publiquement avoir vri que cette cl appartient bien Alice. Si
lon connat une de ces personnes, ou un tiers qui a conance en une de ces personnes,
OpenPGP peut tablir des chemins de conance entre les identits auxquelles on fait
conance et dautres avec lesquelles on souhaite communiquer.

18.3 Signer une cl


Les logiciels voluent, cest pourquoi il est vivement conseill dutiliser la version la
plus jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Dure : quelques minutes.

Une fois quon a tabli une conance en la cl dAlice, il est utile dinformer OpenPGP
quil peut faire conance sa cl. Cette opration sappelle Signer une cl. La proc-
dure est la mme sous Tails ou avec une Debian chire.
Deux options sorent nous :
signer la cl dAlice localement, ce qui permet de ne pas publier que notre identit
est lie celle dAlice ;
signer la cl dAlice publiquement, ce qui permet nimporte quel utilisateur de la
toile de conance de proter des vrications quon a faites.
Encore une fois, pas de bonne rponse, mais un choix faire en fonction de nos besoins
et de notre modle de risques.
Pour signer une cl, rendez vous dans Mots de passes et cls, en appuyant sur la
touche Logo pour ouvrir la vue densemble des activits puis en tapant mots, et enn
cliquer sur le logiciel correspondant.
134 III. OUTILS

Pour voir les cls OpenPGP cliquer sur le menu Achage Tout acher et cocher
la case Par trousseau du mme menu.
page 129 Si la cl nest pas prsente, limporter.
Une fois la cl dAlice repre dans la fentre principale, double-cliquer dessus pour
acher les dtails de la cl. Vrier que cest la bonne cl, par exemple en vriant
son empreinte dans longlet Dtails. Choisir ensuite longlet Conance puis cliquer
sur Signer la cl.
Choisir avec quelle prcaution on a vri la cl, par exemple superciellement si on
a vri lempreinte par tlphone, ou trs srieusement si on connat bien Alice et
quelle nous a donn sa cl ou son empreinte en main propre.
En bas de la fentre, cliquer sur Les autres ne peuvent pas voir cette signature si lon
souhaite cacher les liens entre notre identit et Alice.
Cliquer ensuite sur Signer, et saisir la phrase de passe de notre cl prive dans la
bote de dialogue qui sache.
OpenPGP sait maintenant quon a conance en la cl dAlice.
Si la cl dAlice est dj prsente sur les serveurs de cls, quon la sign publiquement
page 66 et que lon dsire ajouter notre lien la toile de conance, on pourra publier sa cl
sur les serveurs de cls aprs lavoir signe.
page 136

18.4 Crer et maintenir une paire de cls


Les logiciels voluent, cest pourquoi il est vivement conseill dutiliser la version la
plus jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Dure : 15 minutes une heure.

Nous allons dtailler dans cet outil la cration et une partie de la gestion dune paire
de cls de chirement. Il est bon de rappeler quelques notions de base toujours
avoir lesprit. Tout dabord le fait que toutes les cls de chirement nutilisent pas
page 61 le mme algorithme. Nous avons parl du chirement RSA mais il en existe plusieurs
autres. Et si des cls de chirement utilisent en eet le mme algorithme, elles ne
sont pas pour autant de mme taille. De plus, certaines ont des dates dexpirations,
laquelle elles priment, dautres nen ont pas.

18.4.1 Crer une paire de cls


An de crer une paire de cls, lancer Mots de passe et cls en appuyant sur la touche
Logo puis en tapant mots, et enn cliquer sur le logiciel correspondant.
Dans la fentre qui souvre alors, cliquer sur le bouton Nouveau. . . dans le menu
Fichier. Slectionner ensuite Cl PGP puis cliquer sur Continuer.
page 53 Une nouvelle fentre souvre. Entrer un Nom complet correspondant lidentit
contextuelle utilise, ainsi que lAdresse lectronique qui lui est associe. Il est possible
de mettre lidentiant de ladresse email se situant avant le symbole @ comme Nom
complet, de plus, celui-ci doit tre compos dau moins 5 caractres. Cliquer ensuite
sur Options avances de cl pour choisir la taille de la cl et sa date dexpiration. Le
Type de chirement par dfaut est RSA. Le laisser tel quel. La Force de la cl propo-
se par dfaut, 2048 bits, est considr comme sre jusquen 2020 2 . On peut choisir
la force de la cl la plus leve disponible, savoir 4096 bits, si lon souhaite protger
2. Agence nationale de la scurit des systmes dinformation, 2010, Mcanismes cryptographiques
Rgles et recommandations concernant le choix et le dimensionnement des mcanismes crypto-
graphiques [http://www.ssi.gouv.fr/IMG/pdf/RGS_B_1.pdf]
18. UTILISER OPENPGP 135

ses communications plus fortement ou plus longtemps. Il est conseill de choisir une
Date dexpiration pour la cl. Si cest la premire fois que lon cre une paire de cls,
on choisira une date dexpiration comprise entre 1 an et 2 ans par exemple. An de
ne pas oublier de renouveler sa clef temps, il peut tre de bon got de noter quelque
part cette date dexpiration.
Cliquer enn sur Crer.
Une nouvelle fentre souvre, demandant une phrase de passe pour protger la cl.
Cest le moment de choisir une bonne phrase de passe puis de la taper deux fois, avant tome 1 ch. 12
de cliquer sur Valider. Attention cependant ne pas confondre la phrase de passe que
lon donne ici avec une des cls de la paire de cls de chirement. La phrase de passe
sert uniquement pouvoir restreindre lutilisation la cl prive de notre paire.
Une fentre Gnration de cl ache alors une barre de progression. Cela peut prendre
plusieurs minutes ou tre tellement rapide quon ne la verra mme pas sacher. Cest
le moment de faire bouger sa souris, dutiliser son clavier ou encore dutiliser le disque
dur si cela est possible, an daider son ordinateur gnerer des donnes alatoires.
Celles-ci sont ncessaires au processus de gnration de la cl 3 .
Dans certains cas, la fentre Gnration de cl napparat pas, il faut alors simplement
attendre que la gnration se termine. Notre cl apparatra dans le logiciel Mots de
passe et cls une fois cette opration termine.
Cette tape de cration de cls eectue, il est bon de penser la manire de sauve-
garder notre paire de cls. tant en partie secrtes, il sagit de ne pas les laisser traner
nimporte o. La cl prive doit tre uniquement accessible la personne suppose y
avoir accs. Le mieux est de conserver cette paire de cls sur un volume chir, que tome 1 ch. 18
celui-ci soit une cl USB, un disque dur interne ou externe, ou la persistance de Tails.
tome 1 14.5
18.4.2 Exporter sa cl publique
Pour quune personne puisse nous envoyer des emails chirs, elle doit disposer de
notre cl publique. Pour cela il va falloir lexporter du logiciel Mots de passe et cls
an de la transmettre nos correspondants.
Voir comment exporter une cl. page 136

18.4.3 Publier sa cl publique sur les serveurs de cls


Si lexistence de lidentit contextuelle laquelle correspond la cl nest pas elle-mme page 53
condentielle, on pourra publier notre cl publique sur un serveur de cls, an que
quiconque dsirant nous envoyer des emails chirs puisse la tlcharger cette n.
Pour cela, cliquer sur sa cl puis sur Synchroniser et publier des cls. . . dans le menu
Distant. Une fentre Synchroniser les cls apparat.
Si elle ache Aucun serveur de cls na t choisi pour publier, vos cls ne seront donc
pas mises disposition des autres, cliquer sur Serveurs de cls et choisir un serveur
dans le menu droulant en face de Publier les cls sur :, puis cliquer sur Fermer.
Cliquer alors sur Synchroniser pour publier la cl.

18.4.4 Obtenir lempreinte dune cl


Si lon transmet notre cl publique par un moyen non authenti (par exemple un
courrier lectronique non sign), il peut tre utile de faire parvenir notre corres-
pondant l empreinte de notre cl par un moyen authenti, an quil sassure de tome 1 5.2.2
son intgrit. Lempreinte est accessible dans longlet Dtails disponible en double-
cliquant sur une cl. On pourra par exemple la noter sur un papier quon donnera en
main propre notre correspondant.
3. Zvi Gutterman, Benny Pinkas, Tzachy Reinman, 2006, Analysis of the Linux Random Number
Generator [http://www.pinkas.net/PAPERS/gpr06.pdf] (en anglais).
136 III. OUTILS

18.4.5 Gnrer un certicat de rvocation et le conserver labri


Si un adversaire mettait la main sur notre cl prive, ou simplement si on la perdait,
il est ncessaire de la rvoquer, an que nos correspondants soient au courant quil ne
faut plus lutiliser. On cre pour cela un certicat de rvocation.
Il est conseill de crer le certicat de rvocation immdiatement aprs la paire de
cls, car si lon perd la cl ou quon oublie sa phrase de passe, il ne nous sera plus
possible de crer de certicat de rvocation.
Le certicat de rvocation se prsente sous la forme dun chier ou de quelques lignes
de texte , quil nous faudra stocker dans un endroit sr, par exemple sur une cl
USB chire, chez une personne de conance ou sur un papier bien cach. En eet,
toute personne qui a accs ce chier peut rvoquer notre paire de cls, et donc nous
empcher de communiquer.
tome 1 ch. 11 Pour gnrer le certicat, on doit malheureusement utiliser un terminal.
On va commencer la commande en tapant (sans faire Entre) :

gpg --gen-revoke

Puis taper lidentiant de notre cl, accessible dans longlet Propritaire, disponible
en double-cliquant sur la cl.
Cela devrait donner quelque chose comme :

gpg --gen-revoke 2A544427

Appuyer alors sur la touche Entre pour lancer la commande.


GnuPG nous pose alors quelques questions :

sec 2048R/2A544427 2013-09-24 Alice (exemple seulement) <alice@example.org>

Gnrer un certificat de rvocation pour cette cl ? (o/N)

Taper o puis Entre. Le terminal nous renvoie ensuite :

sec 2048R/2A544427 2013-09-24 Alice (exemple seulement) <alice@example.org>

Gnrer un certificat de rvocation pour cette cl ? (o/N) o


choisissez la cause de la rvocation :
0 = Aucune raison spcifie
1 = La cl a t compromise
2 = La cl a t remplace
3 = La cl nest plus utilise
Q = Annuler
(Vous devriez srement slectionner 1 ici)
Votre dcision ?

Nous prparons un certicat pour le cas o notre cl soit compromise. Nous allons
donc taper le chire 1, puis appuyer sur la touche Entre.
GnuPG nous demande alors une description de problme :
18. UTILISER OPENPGP 137

Entrez une description optionnelle ; terminez-la par une ligne vide :


>

On ne sait pas, puisque la cl nest pas encore compromise, et on va donc simplement


accepter une description vide en appuyant nouveau sur la touche Entre.
GnuPG nous demande alors conrmation :

Cause de rvocation :La cl a t compromise


(Aucune description donne)
Est-ce daccord ? (o/N)

Taper o puis appuyer sur la touche Entre pour accepter. GnuPG nous demande alors
la phrase de passe associe cette paire de cls, puis ache le certicat de rvocation :

sortie avec armure ASCII force.


Certificat de rvocation cr.

Veuillez le dplacer sur un support que vous pouvez cacher ; toute personne
accdant ce certificat peut lutiliser pour rendre votre clef inutilisable.
Imprimer ce certificat et le stocker ailleurs est une bonne ide, au cas o le
support devienne illisible. Attention quand mme :le systme dimpression
utilis pourrait stocker ces donnes et les rendre accessibles dautres.
-----BEGIN PGP PUBLIC KEY BLOCK-----
Comment :A revocation certificate should follow

iQEfBCABCgAJBQJSQZVMAh0CAAoJEMYS/iAqVEQnzFsH/3NMzeXy0XbOJ3Q+g2mA
xEAl4G8VesEYDE8LHzemNmkyrrMKNGpllPJVkyMXKBLYTojQjjL6QhL1nyqaUavs
eOmaa1Swa9PgI6AJZrkmiMk74CCXJqQDb5uupZNQ3UsoGHqKcirYUHyOeEQ/m94Q
xMaPjpCMi9tIJjnb1T8svDuwhpsh2GjZhOuyUedyyD4r/noT8YYhWKNC98ElPQkH
VVEzu6TJu0IKRp7OJgPCb8cJ6odsm3jPxjIF+f/cz9WIud8EB3HJVIxoMm183XI+
HtddcOxSsdIljuk6ddqgyQDTPJVex+EYdG0FreT7OrFzKXo316/4RSWKX/klshSp
O/8=
=cpvr
-----END PGP PUBLIC KEY BLOCK-----

Le certicat est la partie allant de la ligne contenant BEGIN PGP PUBLIC KEY BLOCK jus-
qu celle contenant END PGP PUBLIC KEY BLOCK. Pour le sauvegarder, on va commencer
par la slectionner et la copier dans le presse-papiers (clic-droit, puis Copier), puis
par ouvrir lditeur de texte gedit (accessible en appuyant sur la touche Logo, puis en
tapant texte puis en cliquant sur gedit), et la coller dans un nouveau document (clic
droit, puis Coller).
Selon notre choix, on pourra ensuite :
lenregistrer en cliquant sur Enregistrer. Choisir une nom de chier clair et le ter-
miner par .rev. Par exemple Certificat de rvocation pour la cl 2A544427.rev ;
limprimer en cliquant sur licne dimprimante, partir du menu .
Si notre cl venait tre compromise, on utiliserait ce certicat pour la rvoquer. page 140

18.4.6 Eectuer la transition vers une nouvelle paire de cls


Avant que notre paire de cls expire, ou lorsque des avances dans le domaine de la
cryptographie nous obligent utiliser des cls plus sres, il nous faudra crer une
nouvelle paire de cls.
138 III. OUTILS

On suivra pour cela les instructions ci-dessus.


On prendra ensuite soin de signer notre nouvelle cl avec lancienne en suivant la
page 131 section Signer une cl de loutil vrier lauthenticit dune cl. On exportera alors
notre nouvelle cl et on la fera parvenir aux personnes avec lesquelles on communique.
page 140 Quelques mois plus tard, on pourra rvoquer notre ancienne cl.

18.5 Exporter une cl publique OpenPGP


Les logiciels voluent, cest pourquoi il est vivement conseill dutiliser la version la
plus jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Dure : quelques minutes.

Le but de cet outil est dexporter une cl OpenPGP, utilise par exemple pour la
transmettre nos contacts an quils puissent nous crire, ou pour vrier des signa-
tures numriques. La procdure est la mme sous Tails ou avec une Debian chire.
Ouvrir Mots de passe et cls en appuyant sur la touche Logo puis en tapant mots, et
enn cliquer sur le logiciel correspondant.

18.5.1 Acher les cls disponibles


Pour acher les cls importes, cliquer sur Achage Tout acher. Choisir A-
chage Par trousseau permet de mieux sy retrouver.

18.5.2 Pour exporter la cl vers un chier


Le chier que lon va exporter contiendra notre cl publique, ncessaire aux personnes
qui souhaitent nous envoyer des emails chires. Aller dans Mots de passe et cls,
slectionner notre cl OpenPGP et choisir Exporter. . . dans le menu Fichier. En bas
droite de la fentre choisir Cls blindes PGP dans le menu droulant la place de
Cls PGP. Choisir un emplacement dexportation et un nom de chier, puis cliquer
sur Exporter.

18.5.3 Pour exporter la cl vers un serveur de cls


page 132 Pour cela voir comment publier sa cl publique sur les serveurs de cls.

18.6 Utiliser la crytographie asymtrique pour chirer ses


emails
Les logiciels voluent, cest pourquoi il est vivement conseill dutiliser la version la
plus jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Dure : quelques minutes.

Nous allons explorer lusage de la crytographie asymtrique dans le cas particulier du


chirement demails.
Selon quon utilise un client mail ou le webmail, la mthode employer pour chirer
ses emails sera dirente.
Il est noter toutefois que le sujet dun mail chir nest, quant lui, pas chir.
Autant viter dy mettre des informations que lon considre comme sensible.
18. UTILISER OPENPGP 139

18.6.1 Chirer ses emails dans Icedove


Une fois Icedove dmarr et congur, cliquer sur le bouton crire an de dbuter page 127
la rdaction dun nouveau message. Une fentre Rdaction souvre dans laquelle on
va rdiger son email. Avant ou aprs rdaction de son email, mais en tout cas avant
de lenvoyer, cliquer sur licne de cadenas dans la fentre Rdaction, celui-ci devient
jaune et ferm, signiant que lemail sera chir. Une fois notre email termin, cliquer
sur Envoyer.

18.6.2 Chirer ses emails pour un webmail avec Tails


Si lon prfre chirer ses emails en utilisant un webmail, faire comme suit, tout
dabord, viter de rdiger son message dans la fentre du navigateur web pour le chif-
frer ensuite. En eet, certaines attaques, notamment via JavaScript, sont susceptibles page 26
daccder votre texte depuis ce mme navigateur. Il serait fort regrettable dorir
en clair un texte que lon souhaite chirer. tome 1 5.1.1
On ne va pas expliquer comment chirer ses emails pour un webmail avec une Debian
chire, mais uniquement avec Tails.
La mthode actuellement conseille pour chirer un email, de mme que pour chirer
un texte, est dcrite dans la documentation de Tails.
Une fois Tails dmarr, acher le bureau et cliquer sur licne Documentation de tome 1 14.4
Tails. Dans le menu droite, cliquer sur Documentation. Dans lindex qui souvre,
chercher la section Chirement et vie prive et cliquer sur la page Chirer et signer
du texte avec une cl publique. Suivre cette page de documentation.

18.7 Dchirer des emails


Les logiciels voluent, cest pourquoi il est vivement conseill dutiliser la version la
plus jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Dure : quelques minutes.

Aprs avoir choisi une mthode de gestion de ses emails, vu comment crer et page 93
maintenir une paire de cls ainsi que comment chirer des emails, voyons comment
les dchirer. L encore, plusieurs mthodes existent en fonction des outils utiliss. page 132

page precedente
18.7.1 Dchirer ses emails dans Icedove
Pour dchirer un email dans le logiciel Icedove. Cliquer sur cet email dans Icedove. page 127
Une fentre Saisissez la phrase de passe ou pinentry dans Tails souvre, dans laquelle
il faudra taper la phrase de passe qui permet dutiliser la cl prive pour laquelle le
message a t chir.
Si lon ne possde pas la cl prive pour laquelle le message a t chir, en cliquant
dessus, le texte sachera dans sa forme chire sans nous demander de phrase de
passe.

18.7.2 Dchirer ses emails pour un webmail avec Tails


Nous allons uniquement expliquer comment dchirer ses emails pour un webmail
avec Tails.
De la mme manire que pour chirer un email, il faut viter de le dchirer dans
la fentre du webmail. Des attaques JavaScript sont susceptibles daccder au texte page 26
depuis le navigateur web utilis.
Une fois Tails dmarr, acher le bureau et cliquer sur licne Documentation de tome 1 14.4
140 III. OUTILS

Tails. Dans le menu droite, cliquer sur Documentation. Dans lindex qui souvre,
chercher la section Chirement et vie prive et cliquer sur la page Dchirer et vrier
du texte. Suivre cette page de documentation.

18.8 Vrier une signature numrique OpenPGP


Les logiciels voluent, cest pourquoi il est vivement conseill dutiliser la version la
plus jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Dure : quelques minutes.

Lobjectif de cet outil est de vrier lautenthenticit dun chier disposant dune
page 62 signature numrique OpenPGP.
Les auteurs de ce guide nont pour linstant pas trouv doutil graphique permettant
deectuer des vrications de signature de faon srieuse qui soit inclus la fois dans
Tails et dans la version actuelle de Debian.
tome 1 ch. 11 Nous allons donc ouvrir un terminal pour faire ces vrications.
On va commencer la commande en tapant (sans faire Entre) :

gpg --verify

Ajoutez un espace la suite, puis nous allons cliquer sur licne du chier de signature
(souvent sux de .sig ou .asc) et la faire glisser dans le terminal. Aprs avoir relch
le bouton, ce qui est ach doit ressembler :

gpg --verify /home/amnesia/tails-i386-2.7.iso.sig

Attraper alors licne du chier vrier et la faire glisser aussi dans le terminal.
Aprs avoir relch le bouton, ce qui est ach doit ressembler :

gpg --verify /home/amnesia/tails-i386-2.7.iso.sig


, /home/amnesia/tails-i386-2.7.iso

Appuyer alors sur la touche Entre pour lancer la vrication. Elle peut prendre
plusieurs minutes en fonction de la taille du chier et de la puissance de lordinateur
quon utilise. Une fois la vrication termine, lordinateur devrait acher quelque
chose qui ressemble :

gpg :Signature faite le dim. 13 nov. 2016 17 :08 :49 CET


gpg : avec la clef RSA 0xAF292B44A0EDAA41
gpg :Bonne signature de Tails developers (offline long-term identity key)
, <tails@boum.org>

Ces quelques lignes pourront tres suivies de quelque chose comme :

gpg :Attention :cette clef nest pas certifie avec une signature de confiance.
gpg : Rien nindique que la signature appartient son propritaire.
18. UTILISER OPENPGP 141

Empreinte de clef principale :A490 D0F4 D311 A415 3E2B B7CA DBB8 02B2 58AC D84F
Empreinte de la sous-clef :7919 2EE2 2044 9071 F589 AC00 AF29 2B44 A0ED AA41

Ces lignes ne nous indiquent pas que la signature est invalide, mais seulement que
lon a pas encore vri lauthenticit de la cl publique de la personne signataire des page 130
donnes, et quun adversaire pourrat eectuer une attaque de lhomme du milieu.
page 64
Si la signature tait mauvaise, lordinateur acherait quelque chose comme :

gpg :Signature faite le mar. 27 oct. 2015 00 :48 :02 UTC


gpg : avec la clef RSA 0x98FEC6BC752A3DB6
gpg :MAUVAISE signature de Tails developers (offline long-term identity key)
, <tails@boum.org>

18.9 Signer des emails


Les logiciels voluent, cest pourquoi il est vivement conseill dutiliser la version la
plus jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Dure : quelques minutes.

Comme expliqu dans la partie concernant les signatures numriques, on peut vouloir page 62
assurer lauthenticit dun message. Nous allons donc dsormais voir comment signer
numriquement des emails an de fournir a minima une assurance de leur intgrit, tome 1 ch. 5
et, au mieux, une assurance quant leur authenticit.

Depuis Icedove
Une fois Icedove dmarr et congur, cliquer sur le bouton crire an de dbuter page 127
la rdaction dun nouveau message. Une fentre Rdaction souvre dans laquelle on
va rdiger son email. Avant ou aprs rdaction de son email, mais en tout cas avant
de lenvoyer, cliquer sur licne de crayon dans la fentre Rdaction, celui-ci devient
jaune, signiant que lemail sera sign.

Une fois notre email termin, cliquer sur Envoyer. Une fentre Saisissez la phrase de
passe ou pinentry dans Tails souvre, nous demandant de saisir la phrase de passe
associe la paire de cls qui va servir signer le message. Taper la phrase de passe
puis cliquer sur Dverrouiller ou OK dans Tails.

Depuis un webmail
Il nexiste pas doutils que lon puisse recommander pour signer des emails pour un
webmail avec une Debian chire. An de signer ses emails en utilisant un webmail
dans Tails, suivre la procdure qui suit.

La mthode actuellement conseille pour signer un email, de mme que pour signer
un texte, est dcrite dans la documentation de Tails.

Une fois Tails dmarr, acher le bureau et cliquer sur licne Documentation de tome 1 14.4
Tails. Dans le menu droite, cliquer sur Documentation. Dans lindex qui souvre,
chercher la section Chirement et vie prive et cliquer sur la page Chirer et signer
du texte avec une cl publique. Suivre cette page de documentation.
142 III. OUTILS

18.10 Signer des donnes


Les logiciels voluent, cest pourquoi il est vivement conseill dutiliser la version la
plus jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Dure : quelques minutes.

page 62 Lobjectif de cet outil est de signer numriquement des donnes. Cela peut servir
authentier lauteur dun message ou dun document, vrier des logiciels, etc.

18.10.1 Signer du texte avec Tails


Cette mthode ne fonctionne que pour signer du texte avec Tails. Pour signer un
autre type de cher ou si lon utilise une Debian chire, suivre la section suivante.
tome 1 14.4 Une fois Tails dmarr, acher le bureau et cliquer sur licne Documentation de
Tails. Dans le menu droite, cliquer sur Documentation. Dans lindex qui souvre,
chercher la section Chirement et vie prive, cliquer sur la page Chirer et signer du
texte avec une cl publique et suivre cette page de documentation.

Signer un autre type de chier


Les auteurs de ce guide nont pour linstant pas trouv doutil graphique permettant
deectuer de signatures numriques de faon srieuse qui soit inclus la fois dans
Tails et dans la version actuelle de Debian.
tome 1 ch. 11 Nous allons donc ouvrir un terminal pour faire ces vrications. La dmarche est la
mme sous Tails et sous Debian.
On va commencer la commande en tapant (sans faire Entre) :

gpg --detach-sign

Nous allons ensuite cliquer sur licne du chier signer et la faire glisser dans le
terminal. Aprs avoir relch le bouton, ce qui est ach doit ressembler :

gpg --detach-sign /home/amnesia/monfichier.gpg

Dans notre exemple le chier a comme extension .gpg, mais il peut tout aussi bien
sagir dun chier .mp3, .jpg ou autre.
Appuyer alors sur la touche Entre pour eectuer la signature.
Lordinateur nous demande la phrase de passe de notre cl secrte.
Le processus de signature peut prendre jusqu plusieurs minutes en fonction de la
taille du chier et de la puissance de lordinateur quon utilise. Une fois la signature
termine, elle se prsente sous la forme dun petit chier ayant le mme nom que le
chier original, mais se terminant par lextension .sig, situ au mme endroit que le
chier original et quil nous faudra transmettre notre interlocuteur avec celui-ci.

18.11 Rvoquer une paire de cls


Les logiciels voluent, cest pourquoi il est vivement conseill dutiliser la version la
plus jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.
18. UTILISER OPENPGP 143

Dure : 15 30 minutes.

Si notre cl prive tait compromise, il faudrait faire parvenir le certicat de rvocation


cr prcdemment nos correspondants, pour que ceux-ci ne puissent plus lutiliser page 132
et sachent quelle nest plus de conance.

Attention : les instructions qui suivent rvoqueront de manire irrversible notre cl.
utiliser avec modration !

18.11.1 Faire savoir que notre paire de cls est compromise


Dans le cas ou notre propre paire de cls est compromise, par exemple si celle-ci a t
obtenue aprs piratage de notre systme, lenjeu est darriver le faire savoir nos
correspondants.

Que ce soit sous Tails ou avec une Debian chire, il faudra tout dabord importer ce
certicat de rvocation.

Importer le certicat de rvocation


Contrairement limportation dune cl il nous faudra le faire en utilisant un terminal. page 129

On va commencer la commande en tapant (sans faire Entre) : tome 1 ch. 11

gpg --import

Puis on fera glisser le chier du certicat de rvocation dans le terminal pour obtenir
quelque chose ressemblant :

gpg --import /home/amnesia/Certificat de rvocation pour la cl 2A544427.rev

Taper ensuite sur entre, le terminal doit renvoyer en retour un message ressemblant
:

gpg :clef 0x156216F62A544427 :Alice <alice@example.org> certificat de rvocation


, import
gpg : Quantit totale traite :1
gpg :nouvelles rvocations de clef :1
gpg :3marginale(s) ncessaire(s), 1complte(s) ncessaire(s),
modle de confiance PGP
gpg :profondeur :0 valables : 1 signes : 0
confiance :0i., 0n.d., 0j., 0m., 0t., 1u.
gpg :la prochaine vrification de la base de confiance aura lieu le 2017-12-03

Maintenant, il nous reste encore faire savoir nos correspondants que notre paire
de cls a t compromise, car pour linstant seul notre ordinateur est au courant. Pour
y remdier nous pouvons publier notre cl dsormais rvoque. Il faudra ensuite dire
nos correspondants, par exemple par email, quil leur faut se synchroniser avec le
serveur de cls an de rvoquer notre cl publique en leur possession. Si en revanche
nous navons pas publi notre cl publique sur un serveur de cls, il faudra inclure le
certicat de rvocation dans un email envoy nos correspondants.
144 III. OUTILS

Publier la paire de cls rvoque


Si notre cl publique a au pralable t publie sur un serveur de cls, le mieux est de page 132
se synchroniser avec ce mme serveur, pour que notre cl publique y soit dsormais
rvoque galement, permettant ainsi tous nos correspondants den tre avertis en
se synchronisant galement. Attention toutefois, si aucune cl nest slectionne, cest
lintgralit du trousseau qui va tre envoy au serveur de cls.
Pour cela, que ce soit sous Tails ou dans une Debian, lancer Mots de passe et cls
partir de la vue densemble des activits en appuyant sur la touche Logo puis en
tapant mots. Puis suivre la partie Publier sa cl publique sur les serveurs de cls de
page 132 loutil crer et maintenir une paire de cls.
Une fois cette synchronisation eectue, reste faire savoir cela nos correspondants.
Pas de recette toute faite pour a, entre envoyer un email chir ceux-ci, le leur
faire savoir de vive-voix, etc.

18.11.2 Rvoquer la paire de cls dun correspondant


Si lun de nos correspondant nous a fait savoir que sa paire de cls est compromise
et quil la rvoque, il nous faut mettre cela jour sur notre ordinateur, que ce soit
Tails ou une Debian chire.

Se synchroniser avec un serveur de cls


Dans le cas o notre correspondant a mis jour sur un serveur de cls, sa cl publique
dsormais rvoque, il nous faudra simplement se synchroniser avec ce serveur de cls.
Pour cela, lancer Mots de passe et cls partir partir de la vue densemble des
activits en appuyant sur la touche Logo puis en tapant mots. Slectionner la cl que
lon veut synchroniser, puis cliquer sur le menu Distant puis Synchroniser et publier
des cls. . . . Si aucun serveur de cls na t choisi, cliquer sur le bouton Serveurs de
cls, et selectionner hkp://pool.sks-keyservers.net pour publier nos cls. Fermer la
fentre et cliquer enn sur Synchroniser.

Importer le certicat de rvocation dun correspondant


Si par contre la cl compromise de notre correspondant nest pas disponible sur un
serveur de cls, ou non synchronise, et que celui-ci nous a fait parvenir le certicat
de rvocation, il nous faudra limporter nous-mmes. Pour cela, suivre les tapes du
paragraphe Importer le certicat de rvocation prcdent.
Chapitre 19
Utiliser la messagerie instantane avec
OTR

Les logiciels voluent, cest pourquoi il est vivement conseill dutiliser la version la
plus jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Dure : une demi-heure une heure.

Lobjectif de cet outil est de dialoguer avec une personne en utilisant la messagerie
instantane avec chirement et authentication. On va pour cela utiliser le protocole
OTR 1 qui permet dajouter chirement, authentication et condentialit persis-
tante 2 nombre de protocoles de messagerie instantane.

19.1 Installer le client de messagerie instantane Pidgin


On va utiliser pour cela le client de messagerie Pidgin. En eet, il dispose dune bonne
prise en charge du chirement OTR. De plus, il permet dutiliser dirents protocoles
de messagerie instantane, comme XMPP ou IRC, parmis dautres 3 . Ce logiciel est
install dans le systme live Tails, mais seuls les protocoles XMPP et IRC y sont pris
en charge, les autres tant diciles anonymiser. Sur une Debian chire, il faudra tome 1 ch. 15
commencer par installer les paquets pidgin ainsi que pidgin-otr.
tome 1 16.3

19.2 Lancer Pidgin


Pour ouvrir le logiciel de messagerie instantane, ouvrir la vue densemble des acti-
vits en appuyant sur la touche Logo, en tapant ensuite pidg, enn en cliquant sur
Messagerie Internet Pidgin.

19.3 Congurer un compte de messagerie


Lorsquon ouvre Pidgin et quaucun compte de messagerie nest congur, une fentre
propose dajouter un nouveau compte.
Pour congurer un nouveau compte, cliquer sur le bouton Ajouter. . . .
1. Wikipdia, 2014, O-the-Record Messaging [https://fr.wikipedia.org/wiki/Off-the-Record_
Messaging]
2. La condentialit persistante est une proprit en cryptographie qui garantit que la dcou-
verte par un adversaire de la cl prive dun correspondant ne compromet pas la condentialit
dune communication passe qui aurait t intercepte. (Wikipdia, 2017, Condentialit persis-
tante [https://fr.wikipedia.org/wiki/Confidentialit_Persistante]).
3. Pour une liste exhaustive des protocoles pris en charge par Pidgin, se rfrer leur site
web [http://www.pidgin.im/] (en anglais).
146 III. OUTILS

Une fentre Ajouter un compte souvre. Si lon dispose dj dun compte de messagerie
instantane, fournir les informations ncessaires concernant ce compte, en commen-
ant par slectionner le Protocole que lon souhaite utiliser. Sinon, il nous faut crer
un compte, comme nous lexpliquons dans la partie suivante.

19.4 Crer un compte de messagerie instantane


Si lon ne dispose pas de compte de messagerie instantane, cest le moment den
tome 1 ch. 12 crer un. Tout comme pour un compte mail, un identiant et une phrase de passe
seront ncessaires. Pour viter dutiliser tout le temps la mme ou bien de risquer de
page 147 loublier, il est possible dutiliser un gestionnaire de mots de passe.
Certains fournisseurs dadresses email, comme le collectif tats-unien Riseup, pro-
posent un compte de messagerie instantane 4 toute personne y disposant dune
adresse email tout comme un compte Facebook donne accs la messagerie instan-
tane du site, Facebook Messenger.
On peut utiliser des serveurs communautaires o linscription est libre. Par exemple,
une liste de serveurs XMPP 5 libres est disponible sur le site jabberfr.org 6 . Une fois
un serveur choisi et les informations ncessaires 7 entres dans la fentre de Pidgin,
cocher la case Crer ce nouveau compte sur le serveur.
Il est aussi possible de se connecter des serveurs du protocole IRC 8 sans disposer
de compte 9 .

19.5 Chirer la connexion au serveur XMPP


Par dfaut, Pidgin congure le nouveau compte pour quil chire la communication
avec le serveur XMPP. Si le certicat est bien sign par une Autorit de Certication,
la connexion se droulera sans problme, et Pidgin enregistrera le certicat du serveur
XMPP dans sa conguration.
Si le certicat du serveur nest pas sign, ou que pour une raison ou une autre Pidgin
narrive pas vrier son authenticit, il est alors ncessaire de mettre en place les
page 121 mmes techniques que lors de la vrication dun certicat dans son navigateur web,
sans quoi un aversaire pourrait usurper lidentit du serveur.
page 64
Dans ce cas, lors de votre premire connexion, Pidgin achera une fentre demandant
si lon veut Accepter le certicat pour ? Il expliquera galement la raison pour laquelle
il na pas voulu accepter le certicat (Le certicat est auto-sign. Il ne peut tre
vri automatiquement, si par exemple le certicat nest pas sign par une Autorit
tome 1 5.2 de Certication). En cliquant sur Voir le certicat. . . , Pidgin achera lempreinte
numrique de celui-ci, vous permettant de le vrier.
page 121

19.6 Activer le plugin O-the-Record


Dans le menu Outils de Pidgin, cliquer sur Plugins. Trouver la ligne Messagerie
condentielle O-the-Record et cocher la case correspondante pour activer le plu-
gin. Il est possible en cliquant sur Congurer le plugin de choisir certaines options
telles que Ne pas archiver les conversations dOTR.
4. riseup.net, 2013, Chat Riseup [https://help.riseup.net/fr/chat].
5. Wikipdia, 2014, Extensible Messaging and Presence Protocol [https://fr.wikipedia.org/wiki/
XMPP]
6. Liste de serveurs XMPP communautaires [http://wiki.jabberfr.org/Serveurs#Serveurs_
communautaires]
7. Pour plus de dtails sur les informations renseigner pour crer un compte XMPP, voir le site
de Linuxpedia [http://www.linuxpedia.fr/doku.php/internet/pidgin-jabber]
8. Wikipdia, 2014, Internet Relay Chat [https://fr.wikipedia.org/wiki/Internet_Relay_Chat]
9. irchelp.org, 2012, IRC Networks and Server Lists [http://www.irchelp.org/irchelp/networks/]
(en anglais).
19. UTILISER LA MESSAGERIE INSTANTANE AVEC OTR 147

19.7 Mettre en place une conversation prive


19.7.1 Ajouter un contact ou rejoindre un salon
En fonction de notre situation, nous allons soit devoir ajouter le contact auquel nous
souhaitons parler dans Pidgin, soit devoir rejoindre le salon dans lequel le trouver.

Ajouter un contact
Pour ajouter un contact dans Pidgin, cliquer sur Contacts dans la barre de menu du
logiciel et aller Ajouter un contact. . . . Remplir ensuite les informations correspon-
dantes de notre contact et cliquer sur Ajouter pour nir.
Il ne nous reste plus qu attendre que cette personne soit en ligne.

Rejoindre un salon
Si au contraire lon veut rejoindre un salon dans lequel se trouvera sans doute la
personne avec qui lon veut converser, cliquer sur Contacts dans la barre de menu
du logiciel et aller Rejoindre une discussion. . . . De la mme manire, remplir les
informations ncessaire et enn cliquer sur Discuter.

19.7.2 Commencer une conversation prive


Pour commencer une conversation prive, double-cliquer sur un nom se trouvant dans
la colonne de droite de la fentre dun salon de discussion o lon se trouve ou bien
cliquer sur le nom de notre partenaire dans la fentre principale de Pidgin. Une
fentre de conversation souvre. Cliquer alors sur le menu OTR Commencer une
conversation prive.
Si cest la premire fois quon utilise OTR avec ce compte, Pidgin va alors gnrer
une cl prive et acher une fentre Gnration de la cl prive. Cette cl est unique
pour un compte donn. Si lon possde plusieurs comptes de messagerie instantane,
on aura donc plusieurs cls. Lorsquelle ache que la gnration de cette cl est
eectue, on peut fermer cette fentre en cliquant sur Valider.
Pidgin ache alors Alice na pas encore t authentie. Vous devriez authentier
ce contact. Cela signie que notre conversation est chire, mais quun adversaire page 64
pourrait se faire passer pour Alice. Pour tre sr de parler avec Alice, il faut lau-
thentier.

19.7.3 Authentier un correspondant


Pour authentier un correspondant, il faut soit stre mis daccord au pralable sur
un secret, soit disposer dun moyen de communication autre que la messagerie ins-
tantane, que lon considre comme sr. Ce moyen peut tre une conversation de
vive-voix, un email chir, etc.
OTR propose trois faons dauthentier un contact :
par question-rponse : on dnit une question et sa rponse. La question tant
ensuite pose notre correspondant ;
avec un secret partag : un secret connu uniquement des deux interlocuteurs est
demand an de vrier quon dialogue bien avec la personne escompte ;
grce la vrication manuelle de lempreinte : on vrie que lempreinte de la cl
de la personne avec qui lon sapprte avoir une conversation chire est la mme
que celle qui nous a t fournie par un moyen authenti.
Une fois les secrets, les questions-rponses ou les empreintes changs, cliquer sur
le menu OTR Authentier le contact. Choisir la mthode dauthentication en-
dessous de Comment dsirez-vous authentier votre contact ?, puis rpondre aux ques-
tions. Enn, cliquer sur Authentier.
148 III. OUTILS

Si lauthentication est russie, le statut de la conversation devient Priv, ce qui


signie quelle est non seulement chire, mais aussi authentie.
tome 1 14.5 Si lon utilise un systme non-live ou que lon a activ la persistance de Pidgin dans
Tails, cette tape dauthentication nest eectuer quune fois pour toutes pour un
contact donn.

19.7.4 Terminer une conversation


Une fois notre dialogue termin, cliquer sur le menu OTR Terminer la conversation
prive. Cela eace la cl de chirement temporaire gnre pour cette conversation
de la mmoire vive de lordinateur. Mme si un adversaire obtenait nos cls prives,
il lui serait alors impossible de dchirer la conversation a posteriori.
Chapitre 20
Grer des mots de passe

Les logiciels voluent, cest pourquoi il est vivement conseill dutiliser la version la
plus jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Dure : 15 30 minutes.

Lorsquon cre une adresse email, un compte sur un site web, etc. ce compte est en
gnral protg par un mot de passe.
Il est important de ne pas utiliser le mme mot de passe pour des accs des services
ayant des niveaux de scurit dirents, par exemple une bote mail et un compte sur
un site de jeu dchecs en ligne.
Il est important aussi de ne pas utiliser le mme mot de passe pour des identits page 53
contextuelles direntes, an que la compromission de lune dentre elles nentrane
pas la compromission des autres.
Il existe deux bonnes coles pour la gestion des mots de passe :
choisir et retenir une phrase de passe dirente pour chaque usage ;
gnrer alatoirement des mots de passe et les enregistrer dans un gestionnaire de
mots de passe qui, lui, est protg par une bonne phrase de passe que lon retiendra.

20.1 Choisir une bonne phrase de passe


La premire cole a lavantage de ne ncessiter aucun support de stockage : on a
toujours ses phrases de passe avec soi. Pour lappliquer, consulter choisir une bonne tome 1 ch. 12
phrase de passe.
Toutefois, lorsquon multiplie les comptes ainsi que les identits contextuelles, cela
peut faire beaucoup de phrases de passe retenir.

20.2 Utiliser un gestionnaire de mots de passe


La seconde mthode peut alors nous tre utile. Dans la pratique, on aura une phrase
de passe retenir par identit, notre gestionnaire de mots de passe se chargeant
ensuite de conserver les dirents mots de passe lis cette identit. Cela peut se
faire sur un systme Debian chir comme sur un systme live amnesique en utilisant tome 1 ch. 15
la persistance.
tome 1 ch. 14

20.2.1 Installer le gestionnaire de mots de passe tome 1 14.5


On va utiliser le gestionnaire de mots de passe KeePassX. Sil nest pas install sur
notre systme, installer le paquet keepassx. Le logiciel KeePassX est install par tome 1 16.3
150 III. OUTILS

dfaut dans Tails.

20.2.2 Lancer KeePassX


appuyer sur la touche Logo pour entrer dans le menu Activits, taper keepassx, et
cliquer sur licone KeePassX.

20.2.3 Crer et enregistrer une base de donnes de mots de passe


Une base de donnes de mots de passe est un ensemble de mots de passe qui seront
stocks dans une mme base de donnes KeePassX et chirs par la phrase de passe
associe.
Si on choisit dutiliser KeePassX dans Tails, il faudra au pralable activer la
tome 1 14.5 persistance et activer loption Donnes personnelles.
Il faut tout dabord crer une nouvelle base de donnes de mots de passe et lenregis-
trer pour lutiliser lors de futures sessions de travail. Pour crer une nouvelle base de
donnes de mots de passe, choisir Fichier puis Nouvelle base de donnes. . .
Une fentre apparat et demande de dnir la cl matre. Il sagit de la phrase de
passe servant dchirer la base de donne de mots de passe. Spcier une phrase
de passe dans la bote de texte Mot de passe, puis cliquer sur OK. Taper cette phrase
de passe de nouveau dans la fentre suivante, puis cliquer sur OK.
Pour stocker la base de donnes de mots de passe nouvellement cre an de lutiliser
lors de prochaines sessions de travail, choisir Fichier puis Enregistrer la base de don-
nes. Taper keepassx dans le champ Nom. Si lon utilise Tails, slectionner Persistent
dans la liste des dossiers de la partie de gauche. Sinon, garder le choix par dfaut.
Cliquer sur Enregistrer.
tant donn que cette base de donnes va contenir certains de nos mots de passe,
tome 1 ch. 12 il est important de choisir une bonne phrase de passe et de penser rgulirement
sauvegarder une copie de cette base de donnes.
tome 1 ch. 19

20.2.4 Gnrer et enregistrer un mot de passe alatoire


KeePassX permet galement de gnrer des mots de passe alatoires plus robustes
que des mots de passe dont on pourrait se souvenir.
Dans KeePassX, cliquer sur Entres puis Ajouter une nouvelle entre. . . . Remplir les
champs utiles. Arriv au champ Mot de passe, cliquer sur le bouton Gen..
Une bote de dialogue Gnrateur de mots de passe souvre.
Parmis les options disponibles, il est prfrable dutiliser des lettres minuscules, ma-
juscules et des chires, puis daugmenter le nombre de caractres du mot de passe (au
minimum 32), puisquon aura pas retenir ce dernier. Les caractres spciaux sont,
quant eux, parfois sources de problmes avec certains logiciels ou sites internet.
Cliquer ensuite sur Gnrer, puis sur OK.
Une fois revenu la bote de dialogue Nouvelle Entre, cliquer sur OK.
Cliquer alors sur Fichier puis Enregistrer la base de donnes.

20.2.5 Restaurer et dverrouiller la base de donnes de mots de


passe
Lorsquon veut utiliser une base de donnes de mots de passe pralablement enre-
gistre, il nous faut la dverrouiller. Pour cela, lancer KeePassX. Si une base de
donnes de mots de passe est trouve automatiquement, une fentre souvre deman-
dant dEntrer la cl matre an de dverrouiller la base de donnes. Sinon, localiser
20. GRER DES MOTS DE PASSE 151

la base de donnes partir de Fichier puis Ouvrir une base de donnes. . . . Taper
ensuite la phrase de passe associe la base de donnes que lon souhaite dverrouiller
et cliquer sur OK.
Si vous entrez une mauvaise phrase de passe, le message derreur suivant apparat :
Lerreur suivante est survenue lors de louverture de la base de donnes :
Le test de hachage a chou.
La cl est mauvaise ou le chier est endommag.
Dans ce cas, cliquez sur OK et essayez de nouveau.

20.2.6 Utiliser un mot de passe enregistr


Aprs avoir restaur et dverrouill la base de donnes de mots de passe, on peut
utiliser les mots de passe qui y sont enregistrs.
Pour utiliser un identiant enregistr, le slectionner dans la liste. Aller dans la fentre
o lon souhaite lutiliser et placer le curseur dans le champ dentre. Retourner alors
la fentre de KeePassX puis cliquer sur Excuter la Saisie Automatique partir du
menu Entres. KeePassX se rduit alors automatiquement dans le tableau de bord.
Attention : La saisie automatique permet aussi de faire de belles boulettes, comme
coller son mot de passe dans une fentre de messagerie instantane... et envoyer le
message automatiquement. Il faut donc faire trs attention lendroit o on place le
curseur avant dexcuter la saisie automatique.
Il est possible que cette mthode de saisie automatique ne fonctionne pas pour tous
les types dinterfaces. Dans ce cas, faire clic-droit sur lidentiant slectionn prc-
demment, et choisir Copier lutilisateur dans le presse-papier, faire ensuite clic-droit
et Coller lendroit o saisir le nom dutilisateur. Pour copier le mot de passe, refaites
un clic-droit sur lidentiant dans la fentre de KeePassX, et cliquer sur Copier le
mot de passe vers le presse-papier, puis le coller dans le champ dentre de mot de
passe.
Index

A Ethernet, 10
administrateurs, voir admins examen approfondi des paquets, 29, 46
admins, 16
adresse IP, 13, 15 F
adresse MAC, voir adresse matrielle Facebook, 35
adresse matrielle, 10 FAI, voir fournisseur daccs Internet
adresse prive, 15 bre optique, 10
adresse publique, 15 loutage, voir hameonnage
ADSL, 10 ltrage, 46
anonymity set, 73 rewall, voir pare-feu
ARPANET, 9 Flash, 26
AS, voir systme autonome fournisseur daccs Internet, 15

B G
backbone, voir pine dorsale Google, 35
box, 15
bridge, voir switch H
hameonnage, 44
C HTTP, 93
carte rseau, 10 HTTPS, 93
client de messagerie, voir client mail
client mail, 94 I
Code de la scurit intrieure, 35, 40, Icedove, voir client mail
46 IMAP, 20, 93
commutateur, voir switch IMAPS, 20, 93
Cookie, 26 Internet Protocol, 12
Cookie Flash, voir Local Shared Ob- interoprabilit, 11
ject IP, voir Internet Protocol
IPv4, voir Internet Protocol
D IPv6, voir Internet Protocol
deep packet inspection, voir examen IRC, 20
approfondi des paquets
drfrencement, 44 L
DHCP, 15 LAN, voir rseau local
DNS, voir nom de domaine Local Shared Object, 26
domaine de premier niveau, 44 loi
DPI, voir examen approfondi des pa- LOPPSI2, 41
quets, 41 requte lgale, voir rquisition ju-
diciaire
E LSO, voir Local Shared Object
en-tte, 28
encapsulation, 12 M
pine dorsale, 18 MAC, voir adresse matrielle
154 INDEX

modem, 10, 15 X
XMPP, 20
N
NAT, 15
nom de domaine, 22
nom de domaine de premier niveau,
voir domaine de premier ni-
veau

O
Outlook, voir client mail

P
pare-feu, 21
passerelle, 15
phishing, voir hameonnage
point daccs, 14
pont, voir switch
POP, 20, 93
POPS, 20, 93
port, 20
portail captif, 28
protocole applicatif, 20
protocole IP, voir Internet Protocol
protocole rseau, 12

R
radio, voir Wi-Fi
rquisition judiciaire, 39
requte lgale, voir rquisition judi-
ciaire
rseau local, 14
RJ-45, voir Ethernet
robot, 98
routeur, 15, 17, 18, 28

S
site mirroir, 42
Skype, 20
SMTP, 20, 93
SMTPS, 20, 93
spam, 98
switch, 14
systme autonome, 16

T
TCP, 13
Thunderbird, voir client mail
TLD, voir domaine de premier niveau
top level domain, voir domaine de pre-
mier niveau

U
UDP, 13

W
webmail, 93
Wi-Fi, 10, 14
Crdits

Photo page 11 de David Monniaux, licence CC BY-SA 3.0, trouve sur :


https://commons.wikimedia.org/wiki/File:Ethernet_RJ45_connector_p1160054.jpg.

Photo page 17 de Geek2003, licence CC BY-SA 3.0, trouve sur :


https://commons.wikimedia.org/wiki/File:Avaya_Secure_Router_2330.jpg.

Photo page 23 de Victor Grigas, licence CC BY-SA 3.0, trouve sur :


https://commons.wikimedia.org/wiki/File:
Wikimedia_Foundation_Servers-8055_08.jpg.

Les autres schmas sont faits par les auteurs du guide et utilisent des icnes : de
GNOME Project, licence CC BY-SA 3.0 ; de Silvestre Herrera, licence GPLv2
trouves sur http://www.silvestre.com.ar/ ; du domaine public trouves sur
http://openclipart.org.
156

guide dautodfense numrique


tome 2

en ligne
[] nous navons pas envie dtre contrlables par quelque
Big Brother que ce soit. Quil existe dj ou que lon
anticipe son mergence, le mieux est sans doute de faire en
sorte quil ne puisse pas utiliser, contre nous, tous ces mer-


veilleux outils que nous orent ou que lui orent les
technologies numriques. []

Mme si lon choisit de ne pas les utiliser directement,


dautres le font pour nous. Alors, autant essayer de com-
prendre ce que a implique.

Face ces constats, la seule voie praticable semble tre de


devenir capables dimaginer et de mettre en place des poli-
tiques de scurit adquates.
Tout lenjeu de ce guide est de fournir cartes, sextant et bous-
sole quiconque veut cheminer sur cette route.

Cest lobjet principal de ce second tome que de permettre


tout un chacun de comprendre quels sont les risques et
les limites associs lutilisation dInternet [et] de se donner
les moyens de faire des choix clairs quant nos usages de
lInternet.

Un livre lire, relire, pratiquer, en solitaire ou plusieurs,
faire dcouvrir et partager ou comment aner lart de la
navigation dans les eaux troubles du monde numrique.

https://guide.boum.org/ guide@boum.org

Vous aimerez peut-être aussi