LES DIFFERENTES TECHNIQUES D’ANONYMISATION SUR

INTERNET

Généralités
L’anonymat sur internet est souvent recherché par les auteurs d’infractions pour
échapper aux poursuites judiciaires. Il existe de très nombreuses manières de se rendre anonyme sur
la toile : que ce soit par l’utilisation de cybercafés, de Wifi piratés ou de hotspots, de sites internet
ou d’outils informatiques dédiés.

1 L’anonymat relatif sous Orion

Beaucoup d’enquêteurs réalisent leurs investigations à partir d’ordinateurs connectés à

internet par la passerelle ORION. Si dans la majorité des cas, cela ne pose pas de problème,
cela peut parfois se révéler dangereux notamment dans le cas du titulaire du site visité qui
possède l’accès aux journaux de connexions précédemment vus dans la partie internet.
La passerelle ORION n’offre aucun anonymat et il faut prendre en compte ce paramètre
technique.

Pour se rendre compte des informations laissées sur un site internet, il est possible
d’utiliser le site mon-ip.com afin de présenter aux stagiaires les informations qui peuvent être
tracées par un site internet.
(À noter qu’en cas de navigation sous ORION (proxy), seule l’adresse IP sera
identifiée)
On constate alors que ce site est capable de déterminer l’adresse IP d’origine.
Si un enquêteur utilise la passerelle ORION pour faire ses recherches, c’est une adresse
IP 212.234.x.x qu’il va laisser sur le site internet consulté.
Si on effectue une recherche WHOIS sur cette adresse IP, on s’aperçoit que cette
dernière est attribuée au Ministère de l’intérieur. Un enquêteur qui utilise la passerelle ORION pour
consulter des informations sur internet laisse donc la trace du passage d’un ordinateur du ministère
de l’intérieur, ce qui peut être problématique dans certaines enquêtes.
Il convient de modérer l’impact de cet aspect problématique, par le fait que la plupart
des recherches faites par les enquêteurs ont lieu sur des sites sur lesquels les personnes visées n’ont
pas accès aux journaux de connexions (ex : Facebook, Twitter, Le bon coin…).
La difficulté réside pour les sites qui sont maintenus pleinement par le titulaire et sur
lequel ce dernier a un accès complet aux journaux de connexions (ex : forum, sites de
particuliers…).
Il faut donc, avant toute consultation de site, s’interroger sur la nécessité d’être ou non
anonyme.
L’une des méthodes d’anonymat privilégiée est l’utilisation de cybercafés. On
s’aperçoit d’ailleurs que dans de nombreux cas d’enquêtes, ces derniers sont utilisés par les
délinquants.
 2 Les cybercafés

Un cybercafé est un lieu où il est possible de se connecter au réseau internet pour un

coût modique. Ces commerces permettent à de nombreux internautes de se connecter en toute
discrétion.
Le nombre d’ordinateurs dans les cybercafés varient d’une petite dizaine à une centaine.
Contrairement à de nombreux pays (Algérie, Égypte, Turkménistan…), en France, il n’est pas
nécessaire de présenter une pièce d’identité pour utiliser un ordinateur dans un cybercafé. C’est
donc le moyen idéal pour se rendre anonyme.
Cependant, les cybercafés en tant que fournisseur d’accès à internet possèdent des
journaux de connexions qui permettent de savoir quels sont les sites visités et ont également des
journaux DHCP (Dynamic Host Configuration Protocol – protocole qui attribue les adresses IP) qui
permettent d’identifier un ordinateur à partir d’une connexion réalisée dans un cybercafé.
Les cybercafés ont les mêmes obligations qu’un fournisseur d’accès internet et doivent
conserver les informations pendant 12 mois.
Les gérants de ces lieux ne sont pas forcément des informaticiens et il n’est pas rare
qu’ils ne soient pas en mesure de fournir les informations demandées. Il faut parfois chercher le
technicien qui produira les données.
La plupart de ces commerces sont dotés de caméras de surveillance. Il ne faut donc pas
hésiter à consulter les enregistrements pour essayer de déterminer qui a fréquenté les lieux (certains
systèmes de vidéo surveillance peuvent enregistrer les images).
Plusieurs enquêtes médiatiques ont montré que les délinquants pouvaient utiliser ces commerces
pour se rendre anonyme (Ex : Affaire Ilan Halimi où Youssouf Fofana l’auteur de l’enlèvement
utilisait les cybercafés pour être en contact avec la famille de la victime).
Une autre méthode pour se rendre anonyme est d’utiliser le Wifi (Wireless Fidelity) de
son voisin ou d’un tiers.

3 Le Wifi

Pour se connecter dans un réseau informatique, il est possible d’utiliser des câbles
réseaux qui relient physiquement le périphérique au point d’accès. Dans ce cas, l’ordinateur doit
posséder un port Ethernet (RJ45). L’autre possibilité est d’utiliser une connexion sans fil.
Le Wifi est un système de transmission d’information sans fil qui permet de relier des
équipements informatiques (ordinateurs, téléphones, consoles de jeux, tablettes…) au réseau
internet par l’intermédiaire d’un point d’accès (ou AP – Access Point en anglais).
Le point d’accès est l’équipement technique qui permet de se connecter au réseau
internet. Le plus souvent chez un particulier, ce point d’accès est la box Internet.
La sécurité de la connexion entre le point d’accès (box internet) et les périphériques
connectés en Wifi dans le réseau privé est assurée par des clés informatiques WEP ou WPA.
Si le protocole de sécurité est le chiffrement par clé WEP, il faut être attentif au fait
qu’un pirate est en mesure de déchiffrer cette clé en utilisant des logiciels spécialisés (ex : Aircrack)
qui permettent d’obtenir la clé WEP de connexion WIFI à une box Internet d’un particulier.
Une fois cette clé WEP obtenue, le pirate peut rejoindre le réseau privé de sa victime et
utiliser le point d’accès pour réaliser toutes les actions malveillantes qu’il souhaite. En cas
d’identification de l’adresse IP utilisée par le pirate, c’est l’identité de la victime du piratage qui
sera obtenue.
Le « wardriving » est une occupation qui consiste pour certains passionnés à recenser
les différents réseaux WIFI qui existent dans un pays. Il existe des logiciels spécialisés qui
permettent d’automatiser cette recherche. Couplé à un GPS, le logiciel va enregistrer la position
géographique, le nom du réseau, le type de sécurité utilisée, le canal d’émission… la « google-car »
qui procède à la prise de vue pour Google Street View enregistre en même temps les informations
des réseaux WIFI rencontrés.
Pour bénéficier de l’anonymat, certains n’hésitent pas à se connecter sur les WIFI de
leurs voisins.
Le fonctionnement des hotspots s’apparente à celui du WIFI. En effet, la connexion se
fait également sans fil.

4 Les hotspots

Pour satisfaire une majorité de personnes et leur permettre de pouvoir se connecter

facilement sur internet dans certains lieux, les commerçants n’hésitent pas à se doter de point
d’accès sans fil internet de type « hotspot » (point chaud en anglais).
Ces points d’accès « hotspots » se trouvent dans certains parcs publics, des restaurants,
des établissements publics, des aéroports, des hôtels…
L’un des plus grands espaces hotspot public est celui offert par la société SFR sur la
zone du parvis de la Défense à Nanterre (92).
Certains « hotspots » sont gratuits et d’autres sont soumis au paiement d’une prestation
(ex : restaurant ou hôtel).
Pour procéder à des investigations, il faut dans un premier temps parvenir à identifier le
titulaire du hotspot, ce qui peut se révéler plus ou moins simple.
Une fois le titulaire du hotspot identifié, il est possible d’obtenir les journaux de
connexions du hotspot. Dans ces journaux d’activité, l’enquêteur va pouvoir extraire des
informations intéressantes pour les investigations.
L’une de ces informations est l’adresse MAC du périphérique utilisé par le suspect pour
se connecter au hotspot. Dans les journaux de connexions, il va être possible de découvrir les sites
visités par le suspect. Les adresses IP qui apparaissent sur ces journaux sont des adresses IP privées
internes au hotspot, elles ne sont donc pas exploitables en l’état. En revanche, l’adresse MAC peut
être utilisée pour filtrer l’activité du suspect sur le point d’accès.
L’adresse MAC est l’adresse physique correspondant à un équipement réseau. Un
ordinateur avec un port Ethernet possède une adresse MAC. Si ce même ordinateur est équipé d’une
carte Wifi, il a également une adresse MAC pour cette carte sans fil. Un téléphone portable, une
tablette, possèdent également des adresses MAC.
Cette information peut être utile pour déterminer la marque du périphérique utilisé par
le suspect sur le hotspot (ex : Apple, Samsung...) mais elle ne va pas permettre d’identifier le
délinquant.
L’adresse MAC est censée être unique, censée uniquement puisqu’il existe des
programmes informatiques dédiés à la modification de cette adresse (MAC Spoofer – Usurpation
MAC en anglais). Cependant, ces techniques avancées sont principalement utilisées par les pirates
informatiques et non les délinquants « ordinaires ».
 Pour déterminer la marque du périphérique, le site coffer.com/mac_find/ peut être
utilisé. Il permet à partir des 6 premiers caractères d’une adresse MAC de retrouver le constructeur
du matériel recherché.
Attention : l’adresse MAC n’est utile que pour être comparée avec l’adresse MAC du
périphérique d’un suspect potentiel. Il n’est pas possible, comme pour une adresse IP, d’obtenir une
identité à partir d’une adresse MAC.
Pour obtenir l’adresse MAC d’un ordinateur sous Windows, il faut cliquer sur le menu
démarrer. Puis, dans la barre de saisie, taper cmd. Appuyer sur la touche entrée. Il faut saisir
ensuite : ipconfig /all dans l’invite de commande puis valider la saisie. L’adresse MAC s’affiche
après la mention « adresse physique ».
Un autre aspect qui peut se révéler particulièrement gênant pour l’enquêteur est
l’utilisation de codes WIFI FAI.
Ces codes permettent normalement à un abonné de pouvoir se connecter n’importe où
en France pourvu qu’il soit à proximité d’une box Internet de son opérateur (ex : un utilisateur de
Free à Paris, qui peut se connecter alors qu’il voyage à Marseille, à une box internet Free d’un
particulier située dans cette ville, et ce en utilisant les identifiants et mots de passe communiqués
par Free).
Il existe de très nombreux sites internet qui permettent d’obtenir ce type d’accès à des
box internet pour des personnes malveillantes. En général d’ailleurs, elles possèdent des listes
d’identifiants et mots de passe de différents opérateurs et il n’est pas rare de les découvrir lors des
perquisitions.
La difficulté pour l’enquêteur réside, sur réquisition judiciaire, en l’identification de
l’adresse IP de consultation d’un site qui aurait été réalisée par utilisation d’un identifiant et mot de
passe d’un tiers. Bien souvent, cette navigation va être imputée au titulaire de l’identifiant et du mot
de passe et, de ce fait, conduire à une identification qui peut être erronée.
Il faut penser à bien vérifier lors de la réponse du FAI s’il est fait mention de l’usage
d’identifiant et de mot de passe d’un tiers.
On peut prendre l'exemple d'un pirate breton qui utiliserait les identifiants et mots de
passe d’une victime basée en corse. Dans le cas d’une consultation d’un site internet et par la suite
l’identification de l’adresse IP, c’est l’identité de la victime corse qui apparaîtrait. Free précise
cependant dans sa réponse qu’il y a utilisation d’un code Free Wifi.
Si ces méthodes permettent de se rendre anonyme sur internet, il est également possible
d’utiliser des sites spécialisés pour obtenir le même résultat.

5 Les proxies

Un ordinateur proxy est un appareil qui va relayer une requête informatique pour
consulter un site internet. Cette notion a déjà été abordée lorsqu’il a été question de l’expédition
d’un courrier électronique par téléphone portable connecté sur le réseau 3G/4G.
Le plus connu des ordinateurs proxy dans la police nationale est la passerelle ORION.
En effet, elle permet, à partir d’un ordinateur se trouvant dans le réseau privé du Ministère de
l’intérieur, de se connecter au réseau internet en utilisant un identifiant et mot de passe.
Son rôle est de permettre l’accès à internet mais également d’assurer la journalisation
des consultations effectuées par les fonctionnaires de police. Il est donc possible de tracer la
navigation d’un policier à partir de la passerelle ORION
(http://acces.ssi.mi/orion_int/espace_personnel.php).
 Lors de la consultation d’un site internet, c’est l’adresse IP publique du ministère de
l’Intérieur qui est laissée sur le site visité, et non pas l’adresse IP privée du poste depuis lequel la
consultation est effectuée. Elle joue donc bien un rôle d’ordinateur proxy puisqu’à l’adresse IP du
poste, elle substitue l’adresse IP publique du ministère.
Lorsqu’un délinquant utilise un ordinateur proxy, il va le faire pour masquer l’adresse IP
publique de son poste de consultation et la faire substituer par l’adresse IP publique d’un ordinateur
tiers situé de préférence dans un pays où la coopération judiciaire n’existe pas. Il met donc un écran
entre son ordinateur et le site visité (ex : un escroc qui dépose une petite annonce sur leboncoin.fr
peut le faire en utilisant un ordinateur proxy basé aux États-Unis alors qu’il vit à Paris).
Un proxy peut se paramétrer dans le navigateur internet (c’est le cas pour un poste
administratif utilisant la passerelle ORION) mais il existe également des sites internet qui offrent ce
service (ex : proxy.org).
Il existe une autre catégorie d’ordinateur qui permet la substitution de l’adresse IP
publique de la machine du consultant d’une page internet. C’est l’utilisation d’un VPN (Virtual
Private Network).

6 Les VPN (Virtual Private Network)

Pour simplifier les choses, on peut faire un rapprochement entre le VPN et l’ordinateur
proxy. En effet, lors de la consultation d’un site internet, c’est l’adresse IP publique du VPN qui
s’affichera dans les journaux de connexions du site visité.
Les données qui transitent entre l’ordinateur de l’utilisateur et le VPN peuvent être
chiffrées mais ce n’est pas obligatoire.
L’intérêt d’utiliser un VPN pour un délinquant est de pouvoir dissimuler son adresse IP
réelle à un observateur extérieur. Cependant, la société qui commercialise l’accès au VPN (il s’agit
bien souvent de prestation payante) a normalement la possibilité de savoir ce qu’un internaute a fait
avec ce VPN.
D’où le fait que les personnes qui souhaitent réellement se rendre anonyme sur le réseau
internet vont opter pour des VPN dits « Bulletproof » (pare-balles en anglais).
Ces VPN sont commercialisés par des sociétés qui ne répondent pas aux demandes
judiciaires et qui permettent ainsi à leurs abonnés d’échapper aux poursuites.
Ces services étant souvent payants, la plupart des internautes souhaitant se rendre
anonymes sur internet vont utiliser des outils gratuits qui le permettent. Ces outils sont souvent
développés à la base pour contourner la censure imposée sur internet par certains pays étrangers.
Leur utilisation n’est pas de fait illégal, ce sont les actions effectuées par les usagers qui peuvent
l’être (escroqueries…).

7 Le réseau TOR (The Onion Router)

Le réseau TOR (The Onion Router) est un système de navigation anonyme sur internet.
Il reprend le principe de l’ordinateur proxy, mais au lieu d’utiliser un seul relais, il en enchaîne
plusieurs. L’ordinateur relais ici est nommé « node » (nœud en anglais). Les liaisons sont chiffrées
entre les nœuds et donc il est impossible de suivre le flux, seul le dernier nœud parcouru est connu.
Il est possible de vérifier que l’adresse IP apparaissant dans une procédure judiciaire est
l’adresse d’un nœud de sortie TOR : (https://www.dan.me.uk/torcheck).
 Si le réseau TOR permet de se rendre anonyme sur le réseau internet, il permet
également d’accéder à la partie cachée d’internet. Il héberge un certain nombre de sites internet du
Deep Web (Web profond en anglais) qui ne sont pas nommés comme les sites dits « de surface »
en .fr, .com, etc, mais possèdent un nom de domaine composé de chiffres et lettres et se terminent
par l’extension .onion.
Un projet d’anonymat alternatif existe sur internet mais est moins souvent utilisé que
TOR, car il présente le défaut majeur de ne pas être ouvert sur l’extérieur.

8 Le réseau i2p (Invisible Internet Project)

Le projet i2P (Invisible Internet Project) est un logiciel d’anonymisation interne. A la

différence du réseau TOR, il ne permet pas la navigation sur des sites non hébergés dans le réseau.
Il ne permet que les sites qui se terminent par .i2p.
Le principe de fonctionnement ressemble à celui de TOR et seul le dernier nœud
parcouru est connu.
Les utilisateurs de i2p peuvent utiliser en interne un logiciel de messagerie et de courrier
électronique, un logiciel de partage de fichiers nommé « imule » (clin d’œil au logiciel p2p Emule)
qui permet de télécharger des fichiers en pair à pair sur le réseau i2p mais pas depuis un client
Emule extérieur.