Sommaire
Chapitre 1 : consulter des sites web Chapitre 2 : publier un document sensible Chapitre 3 : échanger des emails Chapitre 4 : messagerie instantanée Chapitre 5 : partager des documents sensibles
Chapitre 1 : consulter des sites web
1.1. Contexte
On veut consulter du contenu en ligne de façon discrète : déjouer la surveillance ou contourner la censure, éviter la collecte et le recoupement d’informations personnelles.
1.2. Évaluer les risques
(i) Que veut-on protéger ?
On veut cacher qui consulte un certain contenu. L’utilisation d’Internet laisse de nombreuses traces dont on veut se débarrasser, au premier rang desquelles l’adresse IP. On veut aussi ne laisser aucune trace de notre navigation sur l’ordinateur utilisé, en particulier sur son disque dur.
(ii) De qui veut-on se protéger ?
Fournisseur d’accès internet (FAI) : se protéger de l’œil indiscret de son admin réseau. L’adversaire a ici accès à l’ensemble du trafic réseau qui transite par sa connexion. Il n’a en revanche pas de visibilité en d’autres points d’Internet.
Fournisseur de contenu : ne pas rendre son identité transparente au serveur. L’adversaire a ici accès à l’adresse IP qui sera conservée plus ou moins longtemps.
1.3. Définir une politique de sécurité
- Quelles pratiques et outils nous protégeraient de façon suffisante ?
- Face à cette politique de sécurité, quels sont les angles d’attaque de l’adversaire ?
- Quels sont les moyens nécessaires pour exploiter ces angles d’attaque ?
- Ces moyens sont-ils accessible à notre adversaire ?
(i) Attaque 1 : demander à ceux qui voient
- Angle d’attaque : analyser les données enregistrées par les serveurs.
- Moyens : si l’adversaire est le FAI ou le fournisseur de contenu, il lui suffira de consulter les journaux de connexions.
- Crédibilité : probable si notre connexion ou le site visité attirent l’attention de l’adversaire.
Solution : utiliser le routage en oignon avec le réseau Tor. Et ne pas mélanger nos activités quotidiennes normales avec celles que l’on souhaite plus discrètes.
(ii) Attaque 2 : regarder sur l’ordinateur utilisé
- Angle d’attaque : avoir accès aux traces laissées sur l’ordinateur par les sites visités.
- Moyens : accéder à l’ordinateur utilisé.
- Crédibilité : selon la situation, élevée ou moyenne (e.g., perquisition, logiciel malveillant).
Solution : chiffrer son disque dur, ou mieux utiliser un système live amnésique.
1.4. Choisir parmi les outils disponibles
(i) Installer le Navigateur Tor sur son système d’exploitation chiffré (Debian).
Attention : utilisé en dehors d’un système live amnésique, Tor laisse des traces sur le disque dur de l’ordinateur utilisé
(ii) Utiliser le système live amnésique Tails : système live permettant d’utiliser Internet de manière anonyme et ne laissant aucune trace des activités effectuées sur le disque dur de l’ordinateur (à moins qu’on ne le lui demande explicitement).
Chapitre 2 : publier un document sensible
2.1. Contexte
On souhaite publier de manière anonyme un document sensible.
2.2. Évaluer les risques
(i) Que veut-on protéger ?
On veut cacher les liens entre le document et sa source (son ou ses auteur.es).
(ii) Contre qui veut-on se protéger ?
On veut se protéger des regards indiscrets cherchant à savoir qui fait quoi sur le web. Si le document publié peut déplaire à des personnes ayant un pouvoir de nuisance, il est probable que débute une recherche d’indices pour tenter de retrouver la source du document, par exemple en adressant des requêtes légales à l’hébergeur.
2.3. Définir une politique de sécurité
Publier revient techniquement à “sauvegarder” un document sur un hébergeur. Il s’agit donc de bien choisir notre hébergeur pour être sûr que notre document reste consultable. Pour éviter la suppression du document, on peut multiplier les hébergements d’un même fichier, si possible sur des serveurs situés dans différents pays.
(i) Attaque 1 : c’est écrit en bas à gauche
Une éventuelle signature comme un pseudonyme ou une ville, une date, la langue dans laquelle le document est écrit, voire tout simplement le thème du document sont autant d’indices qui peuvent mener à sa source. L’adversaire peut aussi tenter une analyse stylométrique pour le comparer à d’autres textes. Enfin, un adversaire peut chercher d’éventuelles métadonnées.
Solution : (i) travailler sur notre document en utilisant des méthodes limitant les métadonnées enregistrées, (ii) dans tous les cas, supprimer d’éventuelles métadonnées avant publication (utiliser MAT sous Tail).
(ii) Attaque 2 : demander à ceux qui voient
En l’absence de traces exploitables à l’intérieur du document, l’adversaire peut chercher les traces de sa publication sur le réseau : requête légale auprès de l’hébergeur du contenu, se procurer ses journaux de connexion et ainsi obtenir l’adresse IP utilisée, se tourner vers le FAI correspondant à cette adresse IP pour avoir le nom de l’abonné.e.
Solution : utiliser Tor pour se connecter à Internet avant de publier notre document. Il est aussi possible d’héberger nous-mêmes notre document grâce aux services cachés de Tor (OnionShare).
(iii) Attaque 3 : regarder sur l’ordinateur utilisé
Solution : chiffrer son disque dur, ou mieux utiliser un système live amnésique (Tails).
Chapitre 3 : échanger des emails
3.1. Contexte
On souhaite échanger des messages avec d’autres personnes par email (communication asynchrone).
3.2. Évaluer les risques
(i) Que veut-on protéger ?
Lorsqu’un email est envoyé, diverses informations sont dévoilées à nos adversaires : contenu du message, informations contextuelles (e.g., date de l’échange, identités des protagonistes, localisations). Ces traces persistent dans les en-têtes des emails et les journaux de connexion.
(ii) Contre qui veut-on se protéger ?
On peut vouloir dissimuler ces informations aux diverses machines qui peuvent y avoir accès : serveurs (pour l’envoi et pour la réception) et routeurs.
Cheminement d’un email. Les admins des machines impliquées ont accès aux informations que celles-ci traitent, ainsi que les pirates plus ou moins gouvernementaux.
3.3. Webmail vs client mail
Webmail : site web permettant de consulter ses emails via un navigateur web.
Inconvénients : centralisation de nos données impliquant de faire confiance à son hébergeur d’email.
Client mail : logiciel de gestion de ses emails installé sur son ordinateur (comme Thunderbird). Nos emails ne sont plus stockés chez un hébergeur mais sur un périphérique de stockage local (e.g., disque dur de l’ordinateur utilisé, clé USB).
Avantages : (i) décentralisation des emails, (ii) suppression effective des emails qui finissent leur course sur l’ordinateur du destinataire.
3.4. Échanger ses emails en cachant son identité
3.4.1. Définir une politique de sécurité
(i) Attaque 1 : demander aux facteurs
Notre adversaire peut s’adresser aux fournisseur d’emails et aux FAI (obtention des adresses IP et des informations contenues dans les en-têtes mail).
Solutions : (i) utiliser un pseudonyme (cela vaut pour toutes les personnes participant à la correspondance), (ii) utiliser le routage en oignon (Tor) ou un sytème live amnésique (Tails) pour brouiller des pistes remontant jusqu’à notre ordinateur, (iii) chiffrer le contenu des emails (chiffrement asymétrique).
(ii) Attaque 2 : regarder sur l’ordinateur utilisé
Notre adversaire peut souhaiter accéder aux traces laissées sur l’ordinateur afin de prouver que la personne qu’il suspecte est bien en possession du compte email surveillé.
Solution : chiffrer son disque dur ou, mieux encore, éviter dès le départ de laisser ces traces en utilisant un système live amnésique (Tails).
3.5. Choisir parmi les outils disponibles
Utiliser un client mail, en sachant qu’il existe plusieurs solutions :
- Installer le client Thunderbird sur son système d’exploitation chiffré (Debian).
- Utiliser Tails dans lequel est fourni le client Thunderbird, avec la persistance chiffrée : le contenu de la boîte mail est alors stocké sur une clé USB.
- Utiliser Tails sans la persistance chiffrée.
3.6. Échanger des emails confidentiels (et authentifiés)
Attaque : demander aux facteurs.
Solution : chiffrer nos emails directement sur notre ordinateur, avant même de les envoyer. Pour cela, on utilisera le standard de cryptographie asymétrique OpenPGP.
En pratique : avoir un paire de clés de chiffrement, l’une sera utilisée pour chiffrer les emails (clé publique), l’autre pour les déchiffrer (clé privée). Attention, cette méthode permet de chiffrer le contenu et non les en-têtes (objets) des emails.
Chapitre 4 : messagerie instantanée
4.1. Contexte
Mettre en place une communication synchrone avec une messagerie instantanée.
4.2. Évaluer les risques
(i) Que veut-on protéger ?
Contenu de l’échange, localisation et identités des protagonistes, leur lien, etc.
(ii) Contre qui veut-on se protéger ?
L’enjeu est de dissimuler tout ou partie de ces informations aux diverses machines par lesquelles elles transitent (serveurs de messagerie, routeurs des FAI). Un autre problème sont les traces laissées sur les ordinateurs utilisés.
4.3. Définir une politique de sécurité
(i) Attaque 1 : les informations sont à disposition des curieux
Les messageries internes conventionnelle permettent à beaucoup de gens de prendre connaissance d’informations qui ne les concernent pas et de les archiver.
Solution : il existe des logiciels que l’on peut installer sur son ordinateur pour communiquer selon divers protocoles (e.g., IRC, XMPP), permettant de désactiver l’archivage des conversations, et ainsi de limiter les traces laissées sur notre ordinateur.
En pratique : installer le logiciel Pidgin sur un système Debian chiffré (déjà installé dans Tails).
(ii) Attaque 2 : demander aux hébergeurs
Les dialogues sont accessibles au serveur de messagerie : un adversaire peut donc s’adresser aux admins du serveur utilisé pour obtenir des informations sur les conversations. Il peut aussi “pirater” leurs machines.
Solution : utiliser le chiffrement de bout en bout pour la confidentialité. Mais cette solution est limitée aux discussions à deux.
En pratique : sur un système Debian (chiffré), installer le paquet pidgin-otr, puis utiliser la messagerie instantanée avec OTR (“Off-the-Record”).
(iii) Attaque 3 : les liens restent visibles
Le chiffrement assure la confidentialité de nos conversations, mais un adversaire qui a accès au réseau ou au serveur de messagerie peut voir avec qui nous parlons.
Solution : utiliser des pseudonymes et se connecter de façon anonyme (navigateur Tor). En utilisant un système live amnésique comme Tails, il n’y aura aucune trace sur l’ordinateur utilisé après extinction (sauf si on utilise la persistance, auquel cas des traces chiffrées seront conservées dans la partition persistante de la clé USB de Tails).
4.4. Quelques imites
- Quand on définit une politique de sécurité pour une communication entre plusieurs personnes, le niveau global de sécurité sera nivelé par le niveau de sécurité du protagoniste le moins précautionneux.
- Le chiffrement OTR ne permet pas de converser à plus de deux à la fois (pour le moment).
Chapitre 5 : partager des documents sensibles
5.1. Contexte
On veut partager avec un nombre restreint de personnes des documents sensibles via Internet.
5.2. Évaluer les risques
(i) Que veut-on protéger ?
Le contenu des fichiers partagés + les liens entre les fichiers et nous-même.
(ii) Contre qui veut-on se protéger ?
Contre les regards indiscrets qui chercheraient à savoir qui fait quoi sur le web.
5.3. Deux problématiques
Protection de la source et des destinataires + confidentialité des documents.
5.3.1. Protéger la source
(i) Attaque 1 : c’est écrit en bas à droite
Lorsque nous voulons partager des documents confidentiels, nous ne sommes pas toujours en mesure de faire confiance aux destinataires (e.g., journalistes).
Solution : environnement de travail adapté (Tails) + effacement métadonnées (MAT sous Tails).
(ii) Attaque 2 : se protéger des intermédiaires
La consultation des journaux de connexion ou une requête légale permet à l’adversaire de savoir d’où vient la connexion qui a permis de mettre le document en ligne.
Solution 1 : utiliser le navigateur Tor.
Solution 2 : utiliser notre ordinateur en tant que serveur pour partager le document. Cette solution permet d’utiliser notre ordinateur en tant que service caché Tor, et est expliquée dans l’outil OnionShare. Dans ce cas, même si l’adresse web permettant de s’y connecter pour récupérer les documents est révélée, cela ne suffit pas à savoir où il se trouve et donc à remonter jusqu’à nous.
(iii) Attaque 3 : regarder sur l’ordinateur source
Les documents confidentiels ou bien des traces de ceux-ci peuvent rester sur notre ordinateur.
Solutions : (i) avoir chiffré son disque dur, ou (ii) avoir évité dès le départ de laisser des traces en utilisant un système live amnésique (Tails).
5.3.2. Protéger le destinataire
Le plus simple, efficace et réalisable : utiliser un service caché Tor, ce qui forcera les destinataires à utiliser également le réseau Tor. Pour cela il faudra suivre l’outil OnionShare.
5.3.3. Protéger les fichiers confidentiels
On souhaite mettre des fichiers en ligne sur un serveur, mais en cachant le contenu de ces fichiers.
Solution : chiffrer les fichiers à partager avant de les mettre en ligne, plusieurs solutions étant disponibles (avec une phrase de passe, ou avec une clé publique).
- Chiffrer les fichiers avec une phrase de passe : permet à quiconque possède la phrase de passe de pouvoir déchiffrer et avoir accès à nos documents. Il faudra toutefois connaître leur localisation, donc l’adresse web permettant de les télécharger. Deux précautions à prendre : il faudra utiliser un moyen de communication confidentiel pour partager la phrase de passe, et il faudra choisir une solution fiable pour héberger ces fichiers (service d’hébergement web vs héberger soi-même ces fichiers avec OnionShare).
- Chiffrer avec une ou plusieurs clés publiques : quand on possède une liste définie de personnes avec qui partager nos documents et si chacune d’entre elles possède une paire de clé OpenPGP, il est possible de chiffrer ces fichiers avec leurs clés publiques. Il faudra choisir une solution fiable pour héberger ces fichier
Attention : dans tous les cas, attribuer un nom neutre au fichier contenant le ou les documents chiffrés (“document” ou “archive”).