¶ Définir son modèle de menaces
Tenter de protéger TOUTES ses informations personnelles, TOUT le temps, de TOUT le monde, peut s'avérer être une tâche ardue voire épuisante ! Pas de panique, la sécurité numérique est un long '''voyage '''qui doit s'adapter à votre profil et évoluer selon vos utilisations. La sécurité numérique n'est pas limitée aux seuls outils ou services que vous utilisez, elle commence par l'anticipation et la compréhension des menaces existantes et de la façon de s'en prémunir. Par définition :
Un modèle de menaces (ou "Threat Model") correspond à l'identification et la compréhension des menaces les plus probables qui peuvent vous impacter. Ainsi, vous serez plus à même de mettre en place les contre-mesures adéquates.
J'en conviens, c'est une définition un peu "barbare", mais tentons d'y voir plus clair sur ce sujet intéressant. En sécurité numérique :
- une menace se définit par un événement possible et redouté qui saperait vos efforts dans la protection de vos données ;
- les contre-mesures sont toutes les actions entreprises afin d'écarter ces menaces.
Nous pouvons donc en déduire que grâce à l'identification des menaces que vous rencontrerez potentiellement, il sera possible d'y appliquer des actions récurrentes ou ponctuelles (grâce à des outils ou manuellement) sur votre vie numérique. Mais avant tout cela, tentons de comprendre la finalité...
¶ Sécurité, vie privée et anonymat
Trois termes extrêmement importants lorsque nous cherchons à comprendre comment nous sommes interconnectés et comment les choses se déroulent dans notre sphère numérique ; trois concepts différents, qui se rejoignent pourtant, et dont voici une définition :
- La vie privée, ou appelée chez nos amis anglo-saxon « Privacy », se rapporte à tout ce qui a trait au contrôle de nos informations personnelles.
- La sécurité, ou « Security », se réfère à la protection de ces informations personnelles, globalement pour se prémunir d'accès non autorisés.
- L’anonymat, ou « Anonymity », représente le fait de cacher l’auteur d’un échange et des informations.
(À ne pas confondre avec pseudonymat qui est l'utilisation d'une identité fictive).
Pour illustrer :
- Une méthode pour protéger sa vie privée pourrait être une fonction anti-traceurs dans un navigateur (uBlock),
- Une méthode pour assurer un niveau de sécurité pourrait être un mot de passe,
- Et enfin l'utilisation de Tor pourrait être un outil afin d'obtenir un relatif anonymat.
Souvent, les personnes confondent Vie Privée et Sécurité ; la frontière est mince, mais ces notions renvoient tout de même à des aspects différents de la protection des données : la protection de notre vie privée concerne ce que nous sommes prêts à donner comme informations sur nous aux autres personnes, tandis que la sécurité concerne ce que nous allons entreprendre pour rendre inaccessibles nos informations ; deux aspects différents, deux objectifs bien distincts...
Afin d’atteindre un certain degré de sécurité, de vie privée et d’anonymat, il est essentiel aujourd’hui de se pencher véritablement sur nos activités numériques. Voyons ces 3 aspects comme 3 cercles qui se chevauchent, les centres de ces 3 cercles représentant le degré maximal de protection :
Oui, alors on ne se moque pas : je ne suis pas webdesigner 
!
Schématiquement, nous pouvons nous apercevoir qu'il est extrêmement difficile, si ce n'est impossible, de se placer à l'interjection des 3 cercles de protection en espérant le 100% sur chaque pan de protection.
De fait, multiplier les mécanismes pro-vie-privée, multiplier les équipements ou applications de sécurité (pare-feu, IDS/IPS, honeypot, anti-malware, proxy, host IDS, etc.) et autres procédés d’anonymat ne signifie pas automatiquement une plus grande protection des données, de vie privée et une amélioration de l'anonymat. Au contraire, parfois, complexifier votre approche est le meilleur moyen pour faire grossir la liste des potentielles failles de sécurité ou vulnérabilités. On appelle cela augmenter sa surface d'attaque : plus vous avez d'équipements, de services ou de logiciels, plus le nombre de vulnérabilités augmente, donc plus la probabilité d'avoir une faille exploitable augmente également.
Souvent vous souhaitez utiliser l'outil le plus sécurisé et à la mode, néanmoins vous n'êtes pas prêt à accepter le côté austère et compliqué de l'outil, ni les conditions d'utilisation drastiques ! En d'autres termes, si votre objectif est d'utiliser les outils les plus sécurisés du moment, vous devrez sacrifier énormément sur le côté simplicité et facilité d'utilisation au quotidien. Et quand bien même, rien ne sera totalement sécurisé...
L'objectif d'atteindre le 100% du triptique est impossible, l'idée est donc d'établir des compromis entre sécurité, vie privée, anonymat, et facilité d'utilisation. Voilà pourquoi établir son modèle de menaces peut nous aider à identifier les outils et les procédés les plus adéquats pour notre profil de sécurité.
Vous allez donc devoir porter votre attention sur les menaces les plus probables que vous pourriez rencontrer dans votre vie numérique de tous les jours et celles qui vous semblent les plus importantes à vos yeux (attention ici à ne pas non plus entrer dans une paranoïa excessive !).
¶ Établir son modèle de menaces
Établir son modèle de menaces n’est pas aisé, mais nous allons tenter de simplifier ensemble cette procédure afin de vous y aider...
¶ Contre qui ?
La première question à se poser sera : contre qui je souhaite me protéger ?
Évidemment ici, il est assez compliqué pour celui qui ne se tient pas informé du monde numérique de connaître et encore moins de comprendre les potentiels adversaires auxquels nous pourrions faire face. À tout le moins, nous pouvons nous dire qu'il existe des hackers malveillants qui peuvent en avoir après nos données, mais pour la suite, cela reste flou... Voici pourquoi nous vous avons fait une liste des adversaires auxquels nous pourrions faire face dans la vie de tous les jours :
- Votre patron ou vos collègues
- Votre ex (
) ou votre famille - Des entreprises (type petite ou moyenne entreprise, moyens limités)
- Des multinationales (type GAFAM, BATX, à fort pouvoir de collusion)
- Des gouvernements (par le biais d'agences gouvernementales)
- Des cybercriminels (que ce soient des script-kiddies, hackers malveillants seuls ou en groupe)
¶ Quelles données ?
Ensuite vient la question des éléments, que nous qualifions à suivre d' "items", que vous allez devoir protéger des yeux curieux et/ou malveillants. Faites une liste exhaustive des données qui, perdues ou volées, constitueraient un problème. Voici une liste d'éléments :
- vos courriels
- votre liste de contact
- vos messageries instantanées
- votre position géographique
- vos fichiers (ou certains d'entre eux)
- votre réseau local (wifi, routeurs, NAS, etc.)
- vos métadonnées
- vos stockages de données en ligne ("clouds")
- votre ordinateur (ou vos partitions...)
- vos photos/vidéos
¶ Analyse des risques
Un "risque" se définit comme la probabilité qu'une menace spécifique ait un impact sur l'un de vos items.
Ouch, c'est un peu barbare encore une fois ! Voici la traduction par un exemple : votre opérateur téléphonique a la capacité d'accéder à des données vous concernant, mais cela dit le risque qu'ils viennent les dévoiler publiquement sur un réseau social afin de détruire votre réputation en ligne est plutôt faible, vous en conviendrez. Vous l'aurez sûrement compris, après avoir répondu aux deux premières questions, il est important de distinguer entre :
- ce qui pourrait arriver
- et la probabilité que cela arrive réellement
Exemple : il existe la menace que votre immeuble puisse s'effondrer, mais le risque que cela arrive est plus important au Japon, car plus sujets aux tremblements de terre qu'en France !
Évaluer le risque est également quelque chose de personnel et subjectif ; certains vont trouver des menaces inacceptables peu importe la probabilité d’occurrence, d'autres vont choisir d'ignorer les risques de type faible, car ils estimeront que la menace n'est pas un problème pour eux. L'idée est donc de lister quelles sont pour vous les menaces les plus importantes, celles que vous allez prendre en compte sérieusement, et celles au contraire trop rares ou trop compliquées à combattre pour s'inquiéter.
C'est ici la question la plus complexe, elle doit coller au maximum à votre profil (vos menaces, vos usages...).
Un très bon guide est déjà en ligne, sur guide.boum.fr/choisir les réponses adaptées. Inutile de paraphraser donc ce guide qui est très complet du point de vue d'un utilisateur lambda. Ce guide doit être lu avec recul sans forcément parler d'outils pour le moment. L'idée est ici de comprendre la logique globale de la réflexion à avoir afin d'établir une stratégie : évaluer les menaces sera donc une analyse concernant les données à protéger, ainsi que sur le type d'acteurs qui pourraient concrètement en avoir après nos données. À partir de là, nous pouvons établir les moyens potentiels de nos adversaires, et donc créer notre propre stratégie de protection.
Les sections suivantes pourront justement vous donner un aperçu des possibilités et outils afin de mettre en place cette stratégie...
¶ Les liens hypertextes (URL)
Extrait d'un courriel pour une campagne de hameçonnage
Ci-dessus un exemple d'un courriel, qui attire notre attention. Ce courriel vous demande d'agir rapidement et vous propose de cliquer sur un lien. Il s'agit en réalité d'un type d'attaque par hameçonnage : au clique sur celui-ci, vous dirigera vers une page internet afin de rentrer des identifiants/mot de passe ou bien des coordonnées bancaires, ou d'autres données personnelles critiques. Bien souvent, ces SPAM sont bien mieux faits que cet exemple (Si vous regardez de plus près, vous vous apercevrez des fautes d'orthographe dans le corps de texte, qui trahissent les emails issus de campagnes de hameçonnage (détaillé ci-après)), mais vous avez l'idée !
Il est donc PRIMORDIAL de ne jamais cliquer sur des liens (hypertextes) contenus dans les courriels et de toujours vérifier l'information. Si ce lien vous amène sur un écran où vous devez rentrer vos identifiants, il est préférable de se méfier et de fermer ce site. Puis de vous connecter en allant directement vous-même sur le site en question.
De nos jours, il est très facile de copier une page des sites bien connus (Facebook, Decathlon...) pour récupérer vos données d’authentification ou vos données bancaires (hameçonnage ou "phishing attack").
Exemple : vous recevez un courriel (visiblement très professionnel, aucune faute...) de Decathlon vous annonçant que vous pouvez participer à un jeu vous permettant de gagner un bon d'achat exceptionnel pour le dernier vélo électrique à la mode. Vous cliquez sur le lien, qui vous amène sur une page Decathlon tout à fait légitime, puis vous jouez, vous gagnez et enfin on vous demande de rentrer vos coordonnées bancaires, arguant qu’il leur faut faire un retrait de 2 euros afin de faire une empreinte de votre carte pour payer les frais de transports, mais que tout vous sera remboursé par la suite. Le piège s’est refermé, vous renseignez les données. Puis vous voyez un remboursement de 2 euros quelques jours suivants, ce qui vous rassure ; en revanche, les jours qui suivent vous vous apercevez que des retraits de 200 euros, 500 euros ont été effectués. Vous faites opposition mais bien sûr il est trop tard puisque les cybercriminels ont déjà récolté l’argent...
Cette histoire est tirée d’une réelle campagne de phishing !
Ne sous-estimez JAMAIS les cybercriminels, c'est ainsi qu'ils trouvent leur motivation. Ne sur-estimez jamais la façon dont vous pensez pouvoir réagir. Cela peut arriver à n’importe qui, et encore plus à celui qui est trop confiant.
¶ Les fichiers et leur intégrité
Ceci est un rappel, mais il est important d'éviter de télécharger des exécutables directement ou dans des archives, que ce soit pour Linux (via des fichiers ELF ou "Executable Linkable File") ou Windows (via des fichiers à l'extension .exe ou .msi). Dans le cas d'un téléchargement depuis un site internet, plutôt que depuis un centre logiciel, il est recommandé de télécharger depuis le site officiel de l'éditeur logiciel dudit programme.
Astuce toute simple : depuis son moteur de recherche préféré, taper wikipedia + nom_du_programme_à_télécharger (ou bien demander conseil sur une communauté, comme celle-ci). Depuis l'article Wikipedia, retrouver le lien vers l'URL de l'éditeur logiciel ; le but étant de télécharger un fichier authentique, en allant directement à la source.
En prolongement et pour tous types de fichiers (.iso, .img, ...), vérifiez TOUJOURS, lorsque disponible, l'intégrité du fichier téléchargé. Cela se fait via une vérification de la "signature" ou de "la somme de contrôle" dudit fichier.
¶ Les mécanismes expliqués
Seront dans un premier temps présentés les outils orientés vie privée et/ou anonymat que sont le VPN ainsi que le réseau Tor, avant de poursuivre sur les outils utiles pour réaliser des communications privées (PGP), lutter contre la censure (les DNS et leur rôle), ainsi que la sécurité de l'information.
| Outil | Commentaire |
|---|---|
| VPN et Tor | Nous avons dédié un article spécifique sur ces deux mécanismes importants ici |
| DNS | Nous avons dédié un article spécifique sur ce mécanisme ici |
| Proxy | Nous donnons une définition détaillée dans le glossaire |
| PGP / OpenPGP / G(nu)PG | Nous avons dédié un article spécifique sur ce mécanisme ici |
¶ L'anonymat
¶ Le cas Tor Browser
Le sujet autour de Tor Browser est assez complexe et débattu dans la communauté et dépend grandement de votre modèle :
- Si votre niveau de menaces ne va pas plus loin que quelques multinationales pompes à données ou des recherches sensibles, alors vous pouvez utiliser le navigateur Tor (Tor Browser, capable d'atteindre le réseau Tor) dans votre environnement pour des recherches et ceci afin de renforcer votre vie privée.
Référez-vous dans ce cas à notre article dédié.
-passer-au-cloud-libre-et-chiffre
2. Si en revanche votre modèle impose un anonymat important et que votre niveau de menaces concerne des "agences étatiques" ou des groupes à fortes ressources, il est nécessaire d'éviter son utilisation dans le contexte 1, et passer sur un modèle bien plus robuste.
¶ Anonymat avancé
Obtenir un niveau plus avancé d'anonymat n'est pas chose aisée...
Néanmoins, de premières pistes peuvent être envisagées avec une utilisation assez classique. Ici encore, il s'agit d'un second niveau d'anonymat, celui-ci ne sera donc pas total.
¶ Whonix
Whonix / Qubes OS : L'utilisation de Qubes (avec Whonix pré-installé d'origine dans une machine virtuelle) ou d'un système d'exploitation Linux durci via la solution Whonix permet un niveau de sécurité et un anonymat renforcés.
Sous Qubes OS (dans la Machine Virtuelle Whonix-WS) ou plus généralement sous Whonix, les requêtes DNS passent par Tor. Cela assure donc une anonymisation globale des requêtes. Attention en revanche si vous ne passez pas par ces outils, de bien configurer des adresses de serveurs DNS respectueux et d'assurer une protection des requêtes (que ce soit DoH, DoT, DNSCrypt ou DNSSEC...) :
- soit sur votre routeur FAI (bien vérifier également que ce routeur applique convenablement l'utilisation de ces IP, cf. DNS leak)
- soit sur votre propre serveur DNS
attention ici encore de bien comprendre ce mécanisme : implémenter une solution de type PiHole par exemple déporte uniquement le serveur résolveur chez vous, mais les requêtes vers les serveurs récursifs auront toujours lieu sur internet. Donc si vous ne protégez pas ces requêtes ou si vous ne cachez pas votre IP, il sera possible de vous désanonymiser !
¶ Tails
Tails OS : la version ultime de l’anonymat, au-delà de votre navigateur internet, est l’utilisation de Tails OS.
Installé sur une clé USB et lancé depuis un appareil hôte - ordinateur portable ou PC x86 en 64 bits, quel que soit le système d'exploitation, le SE (Système d'Exploitation) hôte étant ignoré -, ce système d’exploitation est un système défini comme « amnésique ». C’est-à-dire qu’aucune donnée (hormis celle que vous souhaitez) ne persiste à l’extinction du système, ni en mémoire "RAM", ni sur disque dur/SDD (les clés USB fonctionnant sur la mémoire RAM "non persistante", l'avantage de ce système se situe là, vous l'aurez compris).
Ce système vous permet ainsi de créer un cocon numérique, peu importe le matériel que vous utilisez ; nul besoin d’utiliser votre ordinateur personnel. Par exemple très utile si vous vous connectez dans des lieux publics. Attention toutefois à bien comprendre les bases de l’outil. Réservé tout de même aux personnes à l’aise avec les aspects cyber et l’informatique en général.
Pour l’exemple : Tails ne s’utilise jamais en machine virtuelle. Si vous êtes intéressés par les machines virtuelles, veuillez utiliser plutôt Whonix !
Attention ici de bien maîtriser les outils informatiques en général, principalement GNU/Linux/BSD et les aspects durcissement.
¶ Anonymat total
Pour finir, si votre modèle impose un anonymat total, vous allez devoir adopter des pratiques spécifiques qui seront probablement des contraintes dans votre vie de tous les jours :
- vous devrez utiliser un matériel totalement anonyme : paiement cash de tous les matériels (ou par crypto monnaies anonymes)
- connexion et utilisation des matériels hors de chez vous, loin, dans des endroits publics, entourés de beaucoup de personnes
- aucun compte permettant de vous identifier
- utilisation totale du pseudonymat
- vos téléphones/tablettes... restent à la maison (aucun téléphone sur vous)
- assez contre-intuitif : évitez l'utilisation de clés de sécurité type signature pouvant vous identifier (souvenez-vous du diagramme des 3 cercles évoqué plus haut : faire des compromis !). Souvenez-vous de n'utiliser que du pseudonymat, y compris pour des signatures électroniques.
Vous arrivez à un usage très compliqué au quotidien !
Ce modèle de menaces extrême est d'ailleurs plutôt dédié aux militants, activistes, opposants politiques, journalistes d'investigation... Vous l'aurez compris, probablement inadapté pour la majorité des personnes. Nous nous devions néanmoins d'envisager toutes les possibilités, face à notre audience. Mais ce modèle nécessite une réflexion profonde et une structure d'utilisation sur mesure... et sort donc du cadre de notre wiki !
¶ Aller plus loin
Cette partie est dédiée à toute personne souhaitant aller plus loin dans la sécurisation de ses données, de ses communications, et son anonymat. Elle représente un aperçu des possibilités associées aux « bonnes pratiques ».
Nous faisons ici état d’outils qui sont actuellement parfois en phase de recherche ou de tests. Il convient en priorité d’être à l’aise avec l’outil informatique en général, sur les aspects réseau, intrusion, vulnérabilités. Encore une fois, utiliser des outils que l’on ne maîtrise pas engendre une augmentation de sa surface d'attaque et donc potentiellement une diminution dans son niveau de sécurité ! Lisez les documentations...
¶ Stockage de données et "clouds" sécurisés
La difficulté aujourd'hui dans le fait de stocker toutes sortes de fichiers ou programmes, que ce soient nos photos de mariage ou d'anniversaire, nos documents de compte, etc. réside dans les capacités dudit stockage. Il s'agit d'une problématique très sérieuse, et qui peut s'avérer extrêmement coûteuse (notamment pour les entreprises). À titre personnel, vous estimez que dépenser des centaines d'euros dans un disque dur de 8 To (Téraoctet, qui correspond à 1 024 Gigaoctets) voire dans une solution NAS ("Network Attached System"), difficile à configurer n'est pas à l'ordre du jour. Vous souhaitez donc peut-être faire appel à un tiers afin de pouvoir stocker vos fichiers personnels, en toute sécurité.
Pour être honnête avec vous, nous ne recommandons sérieusement pas cette solution. En effet, faire appel à un tiers pour ce service revient à peu de choses près aux problématiques des VPNs actuels : assez peu en qui donner une confiance relative, après avoir fait sa petite étude sérieuse du sujet.
Dans la plupart des cas, on se retrouve avec une entreprise, qu'on ne ne connaît pas entièrement, dont on ignore les méthodes, et sur lesquelles on n'a pas le contrôle en pratique : centralisation des données, gestion des serveurs de stockage... On n'en sait rien, on n'est pas en situation de contrôle !
Les 2 solutions pertinentes, et viables en terme de vie privée sont :
- L'utilisation de plusieurs disques durs externes de bonne capacité : aujourd'hui le coût de ces disques a fortement chuté, et il est tout à fait possible de se procurer des disques à des prix intéressants. Voir large, penser long terme : une capacité d'un minimum de 2 To est à envisager, avoir 2 disques est le minimum. Maintenant, nous sommes d'accord, cela implique que vous y pensiez de façon récurrente (tous les mois par exemple), et que vous vous souveniez des manipulations à faire ; oui on sait c'est embêtant, qui plus est vous êtes tributaire d'une possible panne d'un de vos disques (d'où l'idée d'en avoir plusieurs pour éviter des pertes de données) !
- Il existe une autre manière, qui requiert là encore de mettre "les mains dans le cambouis" et à un certain coût : les NAS. Ces petites et plus grosses bêtes, connectées sur notre réseau privé (en local donc), permettent de stocker d'importantes quantités de données et d'assurer une haute disponibilité dans le cas où les disques tombent en panne (nous vous renvoyons au principe des disques montés en RAID par exemple). Cela dit, là encore vous devrez configurer correctement cet équipement en termes de sécurité et de durcissement, afin qu'on ne s'y introduise pas. D'un autre côté, il est tout à fait possible d'automatiser les sauvegardes !
C'est à vous de décider quelle peut être la façon de faire, suivant vos besoins et votre modèle de menaces.
Si toutefois vous décidiez de faire confiance à certains tiers, il existe des bonnes pratiques à respecter scrupuleusement :
- Adieu les Google Drive, Microsoft OneDrive, Apple iCloud et autres "drives" ou "clouds" comme Dropbox. Ou en lien avec les GAFAM et BATX (Xiaomi etc.), dont on ne sait rien puisque propriétaire, et surtout ayant fait l'objet ces dernières années d'attaques et de vols de données. Sans parler des solutions faisant l'objet d'une surveillance massive...
- Chiffrer avec un logiciel libre comme Cryptomator systématiquement ses documents ou répertoires avant de les transférer sur un cloud public, qui ne propose pas de protection particulière mais pourrait être de confiance. Le contenu de nos données est ainsi protégé, qui plus est nous serons seul propriétaire de nos clés de sécurité et ne serons pas tributaire d'une entité tierce. Pour des entités de confiance, nous recommandons :
-
Pour des documents et de la collaboration en ligne : Cryptpad
-
Pour de petits documents, photos... (max 100Mo gratuit) : Crypt.ee
-
Pour une solution tout-en-un :
- Nextcloud
- Ksuite de Infomaniak : copié-collé des solutions propriétaires existantes, avec des petits plus (à l'heure où cet article est écrit, en offre gratuite de base [légende : cette solution est rendue possible de par leur offre payante auprès des entreprises en parallèle : un modèle économique solide évite les dérives en termes de monétisation des données] : 15 go de stockage, mail, vidéo-conférence (basée sur Jisti Meet), messagerie instantanée (prochainement))... Le tout, hébergé en Suisse, et fourni avec des applications sous licence libre, et de bonnes pratiques en termes de vie privée. Le bémol : à la différence de Nextcloud, nécessite de lier un numéro de téléphone pour des raisons avancées de sécurité (double authentification), plutôt que d'utiliser la technologie OTP (à chacun d'anticiper l'évolution éventuelle de leur politique de gestion des données).
-
Pour un stockage de sauvegardes et autres fichiers lourds : Filen.io
-
- Une autre solution, qui comporte, cela dit, un certain coût financier ou en temps, ainsi que de solides connaissances, serait de soi-même héberger une solution Nextcloud :
- Si malgré tout, vous persistez à vouloir utiliser vos clouds Google, Microsoft, etc... et à ne pas vouloir générer et gérer vos clés de sécurité, une dernière alternative est possible, bien que moins pertinente : utiliser Cryptomator afin de protéger vos données stockées sur ces clouds.
Évidemment, vous l'aurez bien compris, nous vous recommandons les solutions autres que celles propriétaires, ne serait-ce qu'en terme de sécurité offerte par les communs libres (un code source ouvert permet des correctifs plus rapides), d'éthique et de modèle de société : rester sur un statu quo ne change pas le paradigme actuel d'une société fondée sur le capitalisme de surveillance. Quoi qu'il en soit, le choix final vous revient, notre rôle est avant tout pédagogique et non coercitif.
¶ DVPN - Decentralized VPN
Pour ceux qui souhaitent utiliser pleinement les capacités du web 3.0 (nous ne rentrons pas dans les détails du web3 dans cet article), l’utilisation d’un « decentralized VPN » (VPN décentralisé ou dVPN) peut être envisagé. En somme, il s’agit d’utiliser la blockchain afin de fournir un service VPN, dans lequel vous êtes partie prenante ; en effet, l'accès aux réseaux décentralisés de ces outils nécessitera une contrepartie :
- soit moyennant des micro-paiements en cryptomonnaie,
- soit en hébergeant des serveurs.
Néanmoins, ce mécanisme en est encore à ses balbutiements et nous n’avons pas assez de recul. Qui plus est, vous devrez comprendre le fonctionnement des cryptomonnaies et les risques inhérents.
Si vous êtes tout de même intéressé(e), voici quelques réseaux dont les communautés sont actives :
- Sentinel : réseau de DVPN et son client Velocity VPN. Basé sur le token COSMOS.
- Nym : Nym est une application basée sur un mixnet. Basé sur le token NYM.
- Mysterium : et son client Mysterium VPN, le plus connu. Basé sur le token MYST, même s'ils acceptent d'autres tokens comme BTC, ETH, LTC.
- Deeper DPN : Solutions hardware proposées à la vente pour la participation au réseau (attention plutôt onéreuses !) et afin d'accéder à leur réseau. Basé sur le token DPR.
- Orchid : réseau de routage en oignon, et client VPN multi bonds. Basé sur le token OXT.
¶ I2P - L'autre Tor
Afin de bien comprendre en quoi I2P peut nous être utile, intéressons-nous tout d'abord aux applications d'internet et donc principalement aux WEBs.
Oui vous avez bien lu, j'ai ajouté un "s" à Web (nous vous renvoyons ici au glossaire pour la terminologie).
Pour rappel la différence entre internet et le Web :
- Comme nous l'avons déjà défini, internet est un réseau (de réseaux)
- Le Web, quant à lui, est l'outil d'inter-connexion des sites internet
Concernant le Web, il en existe donc plusieurs :
- Web visible (aussi appelé Web surfacique) : correspond à tout ce qui est indexé par les moteurs de recherche, et donc recherchable et accessible sur n'importe quel moteur de recherche. Par exemple : wikipedia.com ou encore orange.fr etc.
- Web invisible : représente toute la part des sites et pages internet qui ne sera jamais indexée par les moteurs de recherche et donc inaccessible publiquement.
Voici comment nous représentons généralement le Web :
Vous vous apercevez ici que le "Web visible" que vous connaissez bien ne représente qu'une petite partie du réseau mondial, c'est-à-dire entre 4 et 5% : "c'est le côté visible de l'iceberg" !
Nous y venons donc, le "Web invisible" est, quant à lui, également découpé en plusieurs parties. Il est communément admis de représenter ces parties ainsi :
- Le Web profond (Deep Web en anglais) : est une partie du Web invisible, pour ne pas dire une très grande partie (90%) qui gère tous les contenus non indexables de tous les sites internet : il peut s'agir par exemple de votre page d'accès à votre mandataire de courriel comme Gmail ou ProtonMail (imaginez que l'on puisse tous accéder à cette page et voir vos courriels !), ou bien des pages spécifiques liées à votre banque en ligne. Ou bien des contenus éducatifs d'universités qu'il ne faut pas rendre public forcément... Toutes ces pages ou sites ne seront jamais indexés et donc non recherchables et non accessibles. Ce qui se comprend...
- Les dark Webs (pas forcément de traduction française !) : ils contiennent toute la part cachée d'internet (environ 5-6%), également bien entendu non indexée par des moteurs de recherche habituels ; il y a du bon et du moins bon.
Le bon côté de ces dark Webs est le fait que certaines personnes puissent avoir la capacité de contourner les censures mises en place dans des pays autoritaires et donner un peu de liberté, et surtout d'anonymat.
De l'autre côté, le plus sombre, certaines zones des dark Webs sont en effet liées à la cyber-criminalité, où l'on peut retrouver des sites marchands illégaux et d'autres choses peu reluisantes."Tirer sur l'ambulance", en ne mettant en avant que l'aspect sombre du darkweb serait néanmoins contre-productif : ce serait omettre le rôle essentiel que les outils qui y sont liés (les "darknets", détaillés plus bas) jouent dans la société, étant donné que de nombreux journalistes et lanceurs d'alerte utilisent par exemple Tor. Notamment via l'outil Tails (voir : Devenez difficile à tracer/Parlons Technique/Anonymat avancé plus haut), ou via les messageries chiffrées.
Mettre un terme à ce genre de réseau signifierait un nouveau coup contre la liberté d'expression (ce serait par ailleurs difficile à réaliser, de par son aspect décentralisé). La décentralisation est l'amie des libertés publiques ; il faut donc savoir raison garder et ne pas réagir sur le coup de l'émotion. Par ailleurs, on n'est pas en mesure de savoir quelle part des "dark-markets" est réelle, et quelle part propose des services qui sont des arnaques plutôt que de véritables services criminels...
Faire des dons, ou militer pour l'usage de Tor - ou tout autre darknet - reste un enjeu démocratique.
Note : la terminologie dark Web peut varier de temps en temps, et il est parfois admis qu'il existe encore plus profond que le Dark Web !
Mais quelle est la raison de tout ce blabla ?
Car afin d'accéder à ces dark Webs, il faut obligatoirement utiliser des services spécifiques, via des domaines de premiers niveaux spécifiques (allez relire la partie sur les DNS !) - non accessibles sur l'internet "classique" (la résolution DNS ne fonctionnera pas ici) - sur des réseaux spécifiques (vous vous souvenez, internet, réseau de réseaux...) appelés DARKNETs. Voici donc les services et réseaux les plus connus :
- Tor : Eh oui, le plus connu de ces réseaux bien entendu, afin de surfer anonymement sur le web classique. Mais également accéder au darknet confidentiel Tor, avec des URL qui terminent en .onion (ce que l'on appelle des Top Level Domain - TLD)
- I2P : tiens donc, le voilà ! Tout comme Tor, il permet de naviguer sur le web classique de façon anonyme. Mais il fournit également des services plus confidentiels de forum, courriel, etc sur le darknet I2P avec ses TLD en .i2p
Bien entendu, ces deux darknets ont chacun leurs avantages et leurs inconvénients.
D'autres darknets existent bien sûr. Ils ne sont pas forcément utilisés pour rendre la navigation anonyme sur l'internet classique, mais plus pour avoir accès à leur réseau, en dehors de l'espace surfacique du net. Parmi les plus connus, citons :
- Freenet, l'un des plus robustes et plus recommandés des darknets.
- Lokinet, maintenant devenu Oxen (sur lequel la messagerie décentralisée Session se base !)
- GNUnet
- AnonNet
- Riffle
Et bien d'autres...
¶ The end... ?
Nous arrivons enfin à la fin de cet article, très dense...
En espérant que vous n'avez pas trop mal à la tête !
¶ Ce qu'il faut retenir
La complexité des mécanismes en jeu, dans la protection de ses données, poussent la plupart des personnes à abandonner leur protection ou à donner mandat à un/des tiers afin d’assurer cette protection.
Ceci doit être aujourd'hui reconsidéré...
S'il ne devait y rester qu'un leitmotiv à se remémorer tous les matins en se brossant les dents :
- Chiffrement de bout en bout (E2EE) partout,
- Aucune confiance à aucun service extérieur,
- Pseudonymat au maximum,
- Contrôle perpétuel de ses données,
- Mise à jour régulière de votre modèle de menaces.
En tout cas, bravo ! Nous avons passé le plus dur, en faisant un tour d'horizon qui se veut le plus exhaustif, tout en étant le plus vulgarisé possible. Nous sommes conscients que cette débauche d'informations nouvelles ne peut pas être retenue et assimilée en une seule fois. C'est pourquoi, nous vous invitons à passer du pourquoi au comment en vous rendant sur toutes les autres pages du wiki... Vous allez le voir, en faisant les choses, on passe rapidement d'un aspect théorique qui peut paraître complexe, à des nouvelles habitudes qui deviennent des automatismes, ancrées dans notre quotidien.
Il est essentiel aujourd'hui de reprendre la main sur son espace numérique et sur la manière dont nous utilisons les outils numériques mis à notre disposition.
A ce titre, il est important de garder en tête qu'aucun mécanisme ni aucune technologie ne nous assurera une sécurité optimale de l'information, tout en assurant une vie privée et un anonymat à 100%. Ces aspects dépendent aussi, avant tout, de nous-mêmes et de l'hygiène numérique que nous adoptons.
Pour conclure, nous avons en début d'article mentionné que la protection de notre sphère numérique était un voyage et non une destination ; si tout ce que vous avez fait jusqu'alors ne correspond pas aux précédentes sections, ne vous blâmez pas ! L'important est d'y aller par étapes successives, et de choisir les outils et mécanismes qui correspondent le plus à vos besoins. Vous ferrez des erreurs, tant mieux, mais vous apprendrez surtout à maîtriser votre espace numérique, tout comme maîtriser sa voiture ou son vélo est essentiel afin d'utiliser le réseau routier (et ne s'apprend pas du jour au lendemain) !
Enfin, nous terminerons par la fameuse maxime à ne jamais oublier :
"Si c'est gratuit (en tout cas pour les logiciels propriétaires), il y a de fortes chances que vous soyez le produit !" (Citation bien connue)