Menu
Hacking

Non, vous n’êtes pas du tout anonyme derrière votre site web

Mettons-nous dans la peau de monsieur Ixe, un webmaster possédant un site derrière lequel il veut rester anonyme. Ses raisons peuvent être multiples : la liberté d’expression est bafouée dans son pays de résidence, il écrit sur des sujets sensibles et a reçu des menaces d’organisations étrangères, etc.

Nous allons voir les étapes par lesquelles il a dû passer pour rendre son site web publiquement accessible, et expliquer quelles sont les failles permettant de remonter jusqu’à lui.

Cela vous permettra également de mieux comprendre comment beaucoup de personnes prenant part à des activités illégales sur Internet finissent par se faire identifier et punir.

Le choix de son hébergeur web

Pour que son site web soit accessible à tous, monsieur Ixe doit choisir un prestataire se chargeant de l’hébergement de son site (par exemple OVH, le principal hébergeur européen). Lors de son inscription, l’hébergeur recueille – entre autres – les informations suivantes.

  • Son adresse IP (enregistrée automatiquement).
  • Son identité (nom, prénom, adresse email…).
  • Un moyen de paiement (carte bancaire, paypal, référence d’un mandat cash ou d’un chèque bancaire…).

Inutile ici d’être un expert en sécurité informatique pour se rendre compte que l’on peut remonter de plusieurs manières jusqu’à monsieur Ixe depuis son site Web.

Chez un hébergeur de sites, le datacenter est une pièce pleine de serveurs sur lesquels se trouvent les sites web des clients.

Chez un hébergeur web, le datacenter est une pièce ou un bâtiment plein de serveurs sur lesquels se trouvent les sites web des clients.

Premièrement, il se peut – selon l’hébergeur et les options choisies par M. Ixe – que ses données personnelles se trouvent dans les informations relatives au nom de domaine du site. Dans ce cas, il suffira d’utiliser un outil du type Whois : il s’agit d’un moyen simple d’obtenir des informations sur un nom de domaine.  Des outils en ligne permettent d’effectuer ce genre de requêtes, comme ping.eu ou domaintools.com.

whois

Des informations sur le possesseur d’un nom de domaine grâce à un Whois

Deuxièmement, et c’est là le plus important : les forces de police peuvent très facilement obtenir les informations que M. Ixe a fournies à OVH. N’allez pas croire qu’une procédure juridique compliquée soit nécessaire. Un simple email adressé par un policier habileté, aux connaissances informatiques douteuses, suffira.

Si M. Ixe ne veut pas que l’on retrouve son identité, il ne faut qu’aucun des renseignements qu’il ait donnés ne permettent de remonter jusqu’à lui. Ce qui nous amène à la suite de l’article : la création d’une nouvelle identité et l’utilisation d’un moyen de paiement alternatif.

Camoufler son identité, physique et numérique

Très peu d’hébergeurs (aucun à ma connaissance) ne demandent de document officiel d’identité lors de l’achat d’un hébergement. Pour fournir une fausse identité, M. Ixe aura donc seulement besoin de créer une adresse email qui ne pourra pas être reliée à sa véritable identité. Pour cela, le service HushMail est adapté et recommandé par l’EFF (une organisation à but non-lucratif luttant pour les libertés sur Internet).

S'inscrire sur HushMail

S’inscrire sur HushMail

Nous voyons déjà une faille : le fournisseur d’email que choisira M. Ixe a accès à son adresse IP. Une entité ayant autorité peut alors facilement obliger le service à lui fournir cette adresse IP, et ainsi l’identifier en quelques heures.

Pour éviter ça, M. Ixe va devoir changer d’adresse IP de telle sorte que celle-ci ne puisse plus le trahir. Un bon moyen est d’utiliser Tor, dont le fonctionnement est expliqué dans cet article (« Comment devenir réellement anonyme sur Internet »).

Pour faire simple, au lieu de transiter directement de votre ordinateur aux sites que vous visitez, Tor permet à vos données d’être relayées par plusieurs autres ordinateurs avant d’arriver au destinataire final. Il est ainsi en pratique pratiquement impossible de retrouver l’identité d’une personne ayant visité un site si celle-ci a utilisé Tor.

Le fonctionnement de TOR (vulgarisé)

Le fonctionnement de TOR (vulgarisé), dans le cas d’une connexion de votre ordinateur à Google.fr.

Tor n’est pas forcément la meilleure méthode pour changer son adresse IP sur Internet : il est généralement très lent, mais a l’avantage d’être gratuit et de fournir un solide anonymat. La solution d’utiliser un VPN, décrite plus loin, est plus utilisée mais est payante, et nécessite donc de posséder un moyen de paiement anonyme.

Une fois que M. Ixe utilise Tor ou un VPN fourni par un prestataire sérieux, il devient donc pratiquement impossible de remonter jusqu’à lui à partir de son adresse IP. S’il s’avère qu’il oublie de s’en servir pour accéder à un service lié à sa nouvelle identité (webmail, panneau d’administration de son hébergeur, FTP, etc.), cette sécurité tombe à l’eau à la seconde même où il se connecte sans protection.

Le moyen de paiement anonyme

Il existe un nombre impressionnant de moyens de paiement, physiques comme virtuels. Les plus utilisés sont bien sûr la carte bancaire, paypal et le chèque bancaire. Ceux-ci ne n’intéressent pas M. Ixe, car ils permettent facilement de remonter jusqu’à lui à partir du détail d’un paiement.

Le mandat cash, permettant de déposer du liquide  à un bureau de poste pour effectuer un paiement, pourrait paraître plus sûr, mais ne l’est pas car il requiert la présentation d’une pièce d’identité.

Le bitcoin : la monnaie virtuelle par excellence

La meilleure solution pour notre webmaster est d’utiliser une crypto-monnaie comme le Bitcoin. Son utilisation est relativement simple, bien que la technologie sous-jacente soit complexe. Les quelques point ci-dessous résument rapidement le Bitcoin.

Le fonctionnement simplifié de Bitcoin.

Le fonctionnement simplifié de Bitcoin (cliquez pour agrandir).

  • Il s’agit d’une monnaie informatique qui n’est gérée par aucune banque ni organisme central, mais est régulée par des utilisateurs du réseau eux-mêmes. Dans cette optique, toutes les transactions effectuées en bitcoins sont publiques. Des mécanismes cryptographiques assurent que les transactions soient authentiques et permettent d’éviter les abus.
  • Les bitcoins peuvent être stockés dans un portefeuille en ligne.
  • Il est possible d’envoyer des bitcoins à n’importe quel utilisateur du réseau. Pour cela, chaque portefeuille possède une adresse (qui peut être changée).
  • Une transaction Bitcoin comporte les trois informations suivantes : adresse de provenance, adresse du destinataire, montant. En raison de la nature technologique du réseau Bitcoin, l’adresse de provenance n’est pas forcément l’adresse de l’expéditeur.
  • La FAQ du site officiel du Bitcoin est également une précieuse ressource.

On peut faire l’analogie entre un portefeuille Bitcoin et un compte paypal : une certaine quantité d’argent est disponible dessus, et il est possible d’effectuer des transactions avec des utilisateurs du réseau en utilisant des adresses (adresse email dans le cas de paypal, adresse Bitcoin dans le cas d’un portefeuille Bitcoin).

La principale différence est qu’il n’y a pas de lien entre un portefeuille et l’identité de son propriétaire : on voit sur le réseau qu’une adresse B a reçu un certain montant d’une adresse A,  et il est presque impossible de remonter jusqu’à celui qui a effectué la transaction.

Comment se procurer des Bitcoins ?

Notre M. Ixe veut maintenant se procurer des bitcoins. Pour cela, il doit tout d’abord se créer un portefeuille Bitcoin. Le plus simple est qu’il en crée un sur un service web dédié, comme BlockChain, l’un des plus utilisés.

Il aura ensuite la possibilité d’acheter des bitcoins depuis une bourse d’échanges, un endroit où des gens possédant des bitcoins en transféreront  sur l’adresse de son choix contre paiement par un moyen traditionnel (CB, paypal, remise de cash en mains propres, etc.).

Trouver un hébergeur acceptant les bitcoins

Une fois en possession de ses bitcoins, M. Ixe doit trouver un hébergeur lui permettant de souscrire un hébergement avec ceux-ci. Il en existe plusieurs (à titre informatif, des liens vers des comparatifs sont fournis dans la section Ressources à la fin de l’article).

Ce choix est très important car notre webmaster court ici un risque, assez faible mais bien présent : choisir un hébergeur qui serait un honeypotc’est-à-dire un service contrôlé par une organisation gouvernementale  qui chercherait à se faire passer pour un hébergeur classique attractif (communication positive sur le coût, l’anonymat…) dans le but d’attraper des personnes ayant des activités criminelles.

Un honey pot ("pot de miel" en français) est un piège informatique qui permet généralement à des organisations légales d'attirer des criminels sans se faire repérer.

Un honey pot (« pot de miel » en français) est un piège informatique qui permet généralement à des organisations légales d’attirer des criminels sans se faire repérer.

À lire aussi : Silk Road’s Black Market Resurrection May be a Honeypot Operation.

Isolement de l’activité relative au site anonyme

Considérons le cas où M. Ixe a réussi à acquérir un fort anonymat sur Internet. S’il s’adonne à l’activité pour laquelle il veut rester anonyme (l’édition ou la programmation de son site) en même temps qu’une utilisation classique de son ordinateur (google, facebook…), certains services peuvent alors repérer qu’il possède plusieurs adresses IP différentes (la sienne, qu’il utilisait pour ses recherches google personnelles, et celle masquant la vraie) et faire ainsi l’association.

L’anonymat acquis jusqu’ici devient alors beaucoup moins fort, et c’est pourquoi la solution pour laquelle il devrait opter est de séparer totalement l’activité relative à son site de son activité personnelle. Un bon moyen pour cela est l’utilisation d’une machine virtuelle enfermée dans un conteneur VeraCrypt.

Une machine virtuelle permet de créer un ordinateur virtuel sur votre ordinateur réel.

Une machine virtuelle permet de créer un ordinateur virtuel sur votre ordinateur réel.

VeraCrypt est un équivalent de TrueCrypt (qui n’est maintenant plus considéré comme assez sûr) permettant de créer des disques durs virtuels qui sont fortement chiffrés et ne peuvent être utilisés qu’avec un mot de passe. Bien entendu, toutes les règles d’anonymisation précédentes (notamment l’utilisation de Tor ou d’un  VPN) doivent être respectées dans cette machine virtuelle.

Les VPN : pas aussi sûrs qu’on ne le croit !

Reparlons maintenant du VPN, que nous avions évoqué au début de l’article. Il s’agit d’un autre moyen pour masquer son adresse IP. Le principe est similaire à celui de Tor, sauf que vos données ne passent que par un seul serveur avant d’atteindre le destinataire. L’utilisation d’un VPN présente deux avantages majeurs par rapport à Tor.

  • Toutes les données transitant entre votre ordinateur et le serveur intermédiaire sont encryptées. Cela rend possible l’utilisation de protocoles non encryptés (FTP, HTTP…) sur un réseau Wi-Fi public (dans un café par exemple) sans risquer que les données soient interceptées par un pirate qui écouterait le réseau local. (Attention, ça ne fournit en revanche aucune sécurité supplémentaire entre le serveur intermédiaire et le destinataire !)
  • Un VPN est bien plus rapide que Tor.

Cela dit, un  VPN possède deux inconvénients (en plus du coût, qui reste relativement bas).

Premièrement, il est fourni par un prestataire soumis à une législation précise. Selon l’emplacement de ses serveurs, le prestataire peut être dans l’obligation de conserver des logs de connexion, et de les fournir aux autorités en cas de demande.

Justice

C’est pourquoi il est fondamental de choisir avec précaution son fournisseur de VPN et de vérifier à quelle législation il est soumis. Le site TorrentFreak a mené une enquête auprès de plusieurs fournisseurs pour savoir lesquels conservent des logs, et quelles sont leurs obligations lorsqu’une demande juridique leur parvient :  « Quels fournisseurs de VPN prennent votre anonymat au sérieux ? » (en anglais). Un article en français que nous venons de publier pourra aussi vous intéresser : « Pouvez-vous vraiment faire confiance à votre VPN pour être anonyme ? ».

Deuxièmement, il a récemment été découvert une faille dans le protocole WebRTC qui permet à des sites web de trouver votre véritable adresse IP, même si vous vous trouvez derrière un VPN ! Il est heureusement facilement possible de se protéger de cette faille, mais celle-ci a sans nul doute eu un impact important sur l’anonymat d’un bon nombre de personnes.

Si M. Ixe désire maintenant utiliser un  VPN pour masquer sa véritable adresse IP, il devra là aussi prendre garde à effectuer sa commande chez le fournisseur en utilisant des bitcoins, Tor, ainsi que l’adresse email anonyme qu’il a créée.

Quelques conseils supplémentaires à M. Ixe

Être et rester anonyme sur Internet n’est pas chose facile, et la moindre petite fausse manipulation peut rendre inutile beaucoup d’efforts. Depuis les révélations d’Edward Snowden, il est également acquis que des organisations gouvernementales puissantes mettent en oeuvre des moyens conséquents pour intercepter des communications.

Dans cette optique, il est toujours conseillé d’utiliser des systèmes d’exploitation et logiciels open-source, car le fonctionnement de ceux-ci a pu être vérifié par la communauté et il est donc assuré qu’ils ne contiennent pas de backdoor transmettant vos informations personnelles à des tiers. Linux est donc à préférer Windows ou Mac, et Firefox est à préférer à Chrome.

Articles et sites web pour en apprendre d’avantage

Vous trouverez ci-dessous quelques liens dont la lecture peut se révéler enrichissante :

9 Commentaires

  • Thibault
    13 février 2015 à 14 h 17 min

    Excellent article ! Très complet 😀

    • Christophe Tafani-dereeper
      16 février 2015 à 19 h 12 min

      Merci ! Content que tu l’aies trouvé intéressant. 🙂

  • Kasparov
    18 février 2015 à 18 h 24 min

    Salut,

    Il est facile de faire passer n’importe quel protocole dans Tor si on utilise pas Tor Browser mais le service Tor.
    torsocks ssh blablabla
    torsocks filezilla blablabla
    torsocks
    Mais il faut faire attention aux fuites DNS il me semble.

    Pour l’achat de Bitcoin le recours à la carte bancaire est déconseillé.

    C’est un bon article, tu marques un point pour le conseil des logiciels libre.

  • www.pluggd.fr
    9 février 2016 à 15 h 17 min

    Vous savez si il est possible de cacher ces whois chez OVH sur un .fr ?

  • Mon_Nom
    8 avril 2016 à 17 h 09 min

    Grand Merci de prendre la peine ! d’écrire tout cet article (y)

  • company-creation.com
    16 septembre 2016 à 16 h 07 min

    Super article, je le partage sur mon facebook, si ca ne vous dérange pas !!

  • ICD
    27 novembre 2016 à 17 h 52 min

    Article instructif et très bien expliqué, merci pour le partage de ces informations intéressantes .

Laisser un commentaire