Chapitre 33 Cas d’usage : consulter des sites web
33.1 Contexte
On s’intéresse ici à la consultation d’informations disponibles sur le web : lire un périodique, suivre un blog, etc. Autant d’activités ordinaires lorsqu’on est en ligne.
Cependant, on veut effectuer ces activités de façon discrète, pour diverses raisons, parmi lesquelles on peut citer :
- déjouer la surveillance ou contourner la censure, que ce soit celle d’une cheffe, d’une personne proche ou d’un État ;
- éviter la collecte et le recoupement d’informations personnelles à des fins commerciales ;
- généraliser l’utilisation de pratiques de discrétion, ce qui permet de protéger les personnes qui en ont vraiment besoin en les « noyant dans la masse ».
33.2 Évaluer les risques
33.2.1 Que veut-on protéger ?
Dans ce cas d’usage, ce qui nous importe en premier lieu est l’anonymat, ou tout du moins le pseudonymat : ce que l’on cherche à cacher n’est pas le contenu de ce qui est consulté, mais par qui il est consulté.
Nous avons vu précédemment que l’utilisation d’Internet, et notamment du web, laisse de nombreuses traces de diverses natures, à différents endroits. Nombre d’entre elles, telles de petits cailloux, esquissent un chemin qui va de la ressource consultée jusqu’à une maison, un ordinateur, voire la personne qui se trouve derrière. Ce sont donc ces traces sur le réseau dont on veut se débarrasser, au premier rang desquelles se trouve l’adresse IP. Cependant, l’IP étant nécessaire au bon fonctionnement du réseau, la stratégie sera ici de faire en sorte que quiconque suivant cette piste finisse dans une impasse.
Par ailleurs, on pourra éventuellement vouloir ne laisser aucune trace de notre navigation sur l’ordinateur utilisé, et en particulier sur son disque dur.
33.2.2 De qui veut-on se protéger ?
Cette question est importante : en fonction de la réponse qu’on lui donne, la politique de sécurité adéquate peut fortement varier.
33.2.2.1 Fournisseur d’accès à Internet
Ana travaille pour une grande entreprise et accède à Internet par l’intermédiaire du réseau de la société. Elle consulte ses blogs préférés pendant ses heures de boulot, mais ne souhaite pas que son employeuse le sache.
Dans ce cas, Ana souhaite se protéger de l’œil indiscret des personnes qui s’occupent du réseau, en l’occurrence de son entreprise. L’adversaire a ici accès à l’ensemble du trafic réseau qui transite par sa connexion puisque l’entreprise joue le rôle de factrice. Elle n’a, par contre, pas d’yeux placés en d’autres points d’Internet.
33.2.2.2 Fournisseurs de contenu
Bea est inscrite sur un forum de la police nationale, et passe — non sans un malin plaisir — un certain temps à semer la zizanie dans les discussions entre flics.
Dans ce cas, Bea ne souhaite pas rendre transparent au site hébergeant le forum qu’elle est la fauteuse de troubles. Comme vu précédemment, son adresse IP sera conservée plus ou moins longtemps par le site visité. L’adversaire aura ainsi accès aux en-têtes IP, ainsi qu’aux en-têtes HTTP.
33.2.2.3 Adversaires diverses et variées
Agathe va régulièrement consulter le site de publication de documents confidentiels sur lequel Bea a publié des relevés bancaires. Le sujet étant sensible, elle sait pertinemment que le blog en question pourrait être surveillé. Elle ne veut donc pas qu’on sache qu’elle va le consulter.
L’adversaire ici n’a pas de place fixe sur le réseau : elle peut se situer au niveau de l’ordinateur d’Agathe, au niveau de sa « box », au niveau du blog ou bien à tout autre endroit sur le chemin entre son ordinateur et le blog. L’adversaire peut également se situer à plusieurs endroits en même temps.
33.3 Définir une politique de sécurité
Posons-nous maintenant les questions exposées dans notre méthodologie :
- Quel ensemble de pratiques et d’outils nous protègerait de façon suffisante contre nos adversaires ?
- Face à une telle politique de sécurité, quels sont les angles d’attaque les plus praticables ?
- Quels sont les moyens nécessaires pour les exploiter ?
- Pensons-nous que ces moyens puissent être utilisés par nos adversaires ?
33.3.1 Première étape : avoir accès à l’un des serveurs
Angle d’attaque le plus praticable pour l’adversaire : analyser les données enregistrées par les serveurs fournissant la connexion ou hébergeant les ressources consultées.
Moyens nécessaires :
- se connecter au serveur qui fournit la connexion si l’adversaire est le fournisseur d’accès à Internet, ou collabore avec lui ;
- se connecter au serveur qui héberge la ressource consultée si l’adversaire est le fournisseur de contenu, ou collabore avec lui.
Si l’adversaire est le fournisseur d’accès Internet ou le fournisseur de contenu, il lui suffira de consulter ses journaux de connexions. Mais il est également possible à d’autres adversaires d’accéder à ces informations, par le biais d’une réquisition, d’un contrat commercial, d’une collaboration volontaire427, voire d’un piratage.
Crédibilité d’une telle attaque : probable si notre connexion ou le site visité attirent l’attention de l’adversaire.
Contre ce type d’attaque, une solution efficace est d’utiliser le routage en oignon428 en passant par le réseau Tor selon des modalités que l’on présentera plus loin. Pour bien cloisonner nos identités contextuelles, on veillera à ne pas mélanger nos activités quotidiennes avec celles que l’on souhaite plus discrètes.
33.3.2 Deuxième étape : regarder sur l’ordinateur utilisé
Si nous utilisons le routage en oignon, l’adversaire observant les données circulant sur le réseau ne peut savoir d’où viennent ces données, ni où elles vont. Elle doit alors trouver un autre moyen d’y parvenir.
Angle d’attaque le plus praticable : avoir accès aux traces laissées sur l’ordinateur par les sites visités.
Moyens nécessaires : accéder à l’ordinateur utilisé.
Crédibilité d’une telle attaque : dans le cas d’Ana qui utilise l’ordinateur de son boulot, cela est très facile pour son adversaire. Dans d’autres cas et selon l’adversaire, cela nécessite soit un cambriolage (également appelé perquisition, quand il est légal), soit de corrompre l’ordinateur cible de l’attaque, par exemple en y installant un logiciel malveillant.
Pour se prémunir contre cette attaque, il est nécessaire de chiffrer son disque dur pour rendre les traces laissées difficiles d’accès. Mieux encore, il s’agit d’éviter de laisser des traces dès le départ en utilisant un système live amnésique, qui n’enregistrera rien sur l’ordinateur utilisé.
33.3.3 Troisième étape : attaquer Tor
Angle d’attaque : exploiter les limites de l’anonymat fourni par Tor, par exemple en effectuant une attaque par confirmation.
Moyens nécessaires : être capable de surveiller plusieurs points du réseau, par exemple la connexion utilisée et le site consulté.
Crédibilité d’une telle attaque : une adversaire comme une entreprise qui chercherait à surveiller ses salariées a peu de chances de monter une telle attaque. Idem pour les gendarmes de Saint-Tropez. Elle peut cependant être à la portée d’un fournisseur de services réseau d’envergure nationale ou mondiale, voire de flics spécialisées. Encore une fois, n’oublions pas qu’il y a une différence notable entre « avoir la capacité technique de mettre en place une attaque » et « mettre effectivement en place cette attaque ». Cette différence tenant principalement au coût économique et au retour sur investissement d’une telle attaque ciblée.
Rappelons au passage que de nombreuses autres attaques contre Tor sont possibles ou envisagées. Retenons surtout qu’il est nécessaire de bien comprendre les objectifs et les limites du routage en oignon pour ne pas se tirer une balle dans le pied.
33.4 Choisir parmi les outils disponibles
En fonction de nos besoins et de notre politique de sécurité, il nous faudra choisir parmi différents outils.
33.4.1 Le Navigateur Tor sur notre système ou dans Tails
33.4.1.1 Le Navigateur Tor sur notre système d’exploitation
Le Navigateur Tor est un pack de logiciels : il fournit un navigateur web préconfiguré pour surfer de façon confidentielle, en utilisant le réseau Tor, à partir de notre système d’exploitation habituel429. Une fois le Navigateur Tor installé, on peut choisir d’utiliser ce navigateur web utilisant Tor, ou notre navigateur web habituel430.
33.4.1.1.1 Avantages
Le Navigateur Tor permet de naviguer sur le web avec Tor depuis notre système d’exploitation habituel. Il permet par exemple de travailler sur un document avec nos outils habituels, tout en cherchant des informations sur le web de façon anonyme.
33.4.1.1.2 Inconvénients
Le Navigateur Tor s’exécutant sur le système d’exploitation habituel, cela implique qu’une faille dans ce dernier permettrait à des adversaires de contourner la protection offerte par l’usage du réseau Tor. Mais surtout, utilisé en dehors d’un système amnésique, le Navigateur Tor laissera probablement des traces sur le disque dur de l’ordinateur utilisé.
Le Navigateur Tor est basé sur Firefox et il peut y avoir un délai plus ou moins long pour que les mises à jour de ce dernier soient prises en compte. Pendant ce délai, le Navigateur Tor présentera des failles de sécurité connues et publiées.
Si le Navigateur Tor vient à planter, on peut perdre définitivement toutes ses lectures et recherches en cours431.
Le Navigateur Tor n’empêche pas d’autres programmes de se connecter à Internet sans passer par Tor, et ce, même s’ils sont ouverts depuis le Navigateur Tor (logiciels P2P, lecteur de fichiers PDF, lecteurs multimédia, etc.).
33.4.1.2 Tails
Tails432 est un système live dont le but est de préserver la confidentialité et l’anonymat des personnes qui l’utilisent. Il permet d’accéder à Internet de manière anonyme quasiment partout et depuis n’importe quel ordinateur. De plus, il ne laisse aucune trace des activités effectuées sur l’ordinateur, à moins qu’on ne le lui demande explicitement.
33.4.1.2.1 Avantages
En ayant recours à Tails, non seulement on ne laisse pas de trace sur l’ordinateur utilisé, mais les logiciels ayant besoin d’accéder à Internet sont configurés pour passer par le réseau Tor, et les connexions directes (qui ne permettent pas l’anonymat) sont bloquées.
De plus, comme il s’agit d’un système live, Tails démarre à partir d’un DVD ou d’une clé USB, sans modifier le système d’exploitation installé sur l’ordinateur. On peut ainsi l’utiliser à la maison, sur l’ordinateur d’une autre personne ou même celui de la bibliothèque du coin.
Pour plus d’informations, consultez la page « Fonctionnement de Tails ».
33.4.1.2.2 Inconvénients
Tout d’abord, Tails étant un système d’exploitation à part entière, il faut redémarrer l’ordinateur pour l’utiliser433. Il est aussi plus complexe à installer que le Navigateur Tor. Enfin, il est nécessaire d’avoir sur soi une clé USB (d’une capacité d’au moins 8 Go) ou bien un DVD, contenant Tails.
Ensuite, du fait de l’amnésie du système, si jamais le navigateur web vient à planter, on perd toutes les pages que nous étions en train de consulter, tout comme dans le cas du Navigateur Tor.
Pour ne pas mélanger ses activités quotidiennes normales avec celles que l’on souhaite plus discrètes lorsqu’on utilise Tails, il est nécessaire de redémarrer sa machine quand on passe d’une identité contextuelle à une autre.
Au chapitre des inconvénients inhérents à Tails, il y a aussi le délai entre les mises à jour de sécurité de programmes par ailleurs inclus dans Tails, et les mêmes mises à jour de ces mêmes logiciels dans Tails. Cet inconvénient est similaire à celui du Navigateur Tor concernant le délai entre les mises à jour de Firefox et leur prise en compte dans le Navigateur Tor.
Pour plus d’informations, se reporter à la page « Avertissements » de Tails.
33.4.2 Faire son choix
On doit donc, en fin de compte, faire son choix entre :
- utiliser son système d’exploitation habituel ;
- utiliser un système live amnésique.
En d’autres termes, quelles traces (éventuellement chiffrées) est-on prête à laisser sur l’ordinateur ou la clé USB utilisées ? A-t-on besoin du reste de son environnement lors de la navigation anonyme ?
Encore une fois, il n’y a pas de bonne ou de mauvaise réponse : il s’agit de choisir la solution qui nous convient le mieux. De plus, il est tout à fait possible de tester une solution puis de passer à une autre si nécessaire.
Au final, les deux possibilités suivantes s’offrent à nous :
utiliser le Navigateur Tor depuis une Debian chiffrée. Cela permet de naviguer de manière presque anonyme tout en utilisant son système habituel. Par contre, des traces (chiffrées) seront probablement laissées sur le disque dur de l’ordinateur.
utiliser le navigateur web de Tails. On ne laisse pas de traces sur le disque dur de l’ordinateur utilisé, voire pas de traces du tout si l’on n’utilise pas la persistance.
Une fois notre choix fait, on peut consulter ci-dessous le paragraphe correspondant.
33.5 Naviguer sur des sites web avec le Navigateur Tor
Si, après avoir pesé le pour et le contre, on décide d’utiliser le Navigateur Tor, certaines précautions sont bonnes à prendre.
33.5.1 Préparer sa machine et installer le Navigateur Tor
Tout d’abord, comme nous n’utilisons pas un système live, des traces de navigation (marque-pages, fichiers téléchargés, voire parfois cookies ou historique) seront inscrites sur notre disque dur. Appliquer la même politique que pour un nouveau départ est une bonne piste. Ensuite, il faut télécharger et installer le Navigateur Tor. Le chapitre installer le Navigateur Tor décrit cette procédure.
33.5.2 Utiliser le Navigateur Tor
Dans le chapitre concernant l’installation du Navigateur Tor, il est également expliqué comment le démarrer. Cet outil est spécialement conçu pour être le plus simple possible à utiliser. Au moment de son lancement, tous les logiciels dont nous avons besoin (Tor et le Navigateur Tor) démarreront et seront paramétrés. Il suffira donc d’attendre que la fenêtre du Navigateur Tor s’ouvre et nous pourrons commencer la navigation via le réseau Tor.
Attention : seule la consultation de sites web via la fenêtre du Navigateur Tor garantit une connexion confidentielle. Toutes vos autres applications (client mail, messagerie instantanée, Torrent, etc.) laisseront apparaître votre véritable adresse IP.
De plus, une fois cette fenêtre fermée, il vous faudra relancer le Navigateur Tor et attendre qu’une nouvelle fenêtre s’ouvre pour reprendre une navigation passant par le réseau Tor.
33.5.3 On perçoit vite les limites
Le Navigateur Tor est un très bon outil de par son utilisation simplifiée, mais on en perçoit vite les limites. En effet, seules les connexions initiées par le Navigateur Tor passent par le réseau Tor. Si l’on veut utiliser un autre navigateur web, la connexion ne passera alors plus par ce réseau, ce qui peut être fâcheux. En cas d’inattention on peut vite se tromper de navigateur et penser que notre navigation passe par le réseau Tor alors que ce n’est pas le cas. De plus, il ne permet d’utiliser Tor que pour naviguer sur le web, ce qui, même si c’est énormément utilisé, n’est qu’une partie d’Internet comme expliqué auparavant.
Ajoutons à cela que la confidentialité en ligne ne tient pas seulement à la falsification de l’adresse IP. Toutes les autres traces que nous laissons sur le web et sur notre ordinateur peuvent nous trahir un jour ou l’autre, et le Navigateur Tor ne protège pas contre cela.
33.6 Naviguer sur des sites web avec Tails
33.6.1 Obtenir et installer Tails
Tails est un logiciel libre et peut donc être téléchargé, utilisé et partagé sans restriction. Il fonctionne sur un ordinateur indépendamment du système déjà installé. En effet, Tails se lance sans utiliser le disque dur, depuis un support externe : un DVD ou une clé USB.
Il nous faut d’abord télécharger Tails. Afin de s’assurer que le téléchargement s’est bien déroulé, on doit ensuite vérifier l’image ISO du fichier.
Une fois la vérification effectuée, on peut procéder à l’installation sur une clé USB ou un DVD.
33.6.2 Démarrer Tails
Maintenant que l’on a installé Tails et redémarré, on peut commencer à l’utiliser sans altérer le système d’exploitation présent sur l’ordinateur.
33.6.3 Se connecter à Internet
Une fois le démarrage de Tails achevé, c’est-à-dire lorsque le bureau a terminé de s’afficher, il ne nous reste plus qu’à nous connecter à Internet : voir la documentation de Tails sur comment « Se connecter à un réseau local ». On peut alors naviguer sur le web.
33.6.4 Limites
Une telle solution repose sur l’utilisation de Tor et de Tails, et hérite donc des limites de ces deux outils :
Concernant les limites de Tor, elles ont été évoquées précédemment dans le paragraphe « Troisième étape : attaquer Tor ».
Pour les limites de Tails, vous trouverez une liste approfondie d’avertissements sur le site web du projet.
Nous ne pouvons que vous inviter à lire attentivement ces deux documents.
Jacques Follorou, Le Monde, 2014, Espionnage : comment Orange et les services secrets coopèrent.↩︎
Contre certaines des adversaires listées ici, d’autres solutions techniques peuvent suffire, comme l’utilisation d’un VPN par exemple. Cependant, le routage en oignon protège contre beaucoup plus des attaques possibles qu’un VPN, qui n’insère entre nous et la ressource consultée qu’un seul intermédiaire.↩︎
Dans notre cas, il s’agit de Debian, mais le Navigateur Tor fonctionne aussi avec n’importe quelle autre distribution GNU/Linux, tout comme avec Windows ou macOS.↩︎
Il est possible de configurer un navigateur web pour qu’il utilise Tor, mais ce n’est pas conseillé car même avec de bonnes connaissances techniques il est difficile de s’assurer que toutes les requêtes du navigateur passeront bien par Tor. Le Navigateur Tor existe notamment pour pallier cette difficulté.↩︎
Il est possible de modifier ce comportement en modifiant les réglages par défaut de Tor, réglages qui visent à rendre la navigation presque amnésique.↩︎
On peut aussi utiliser Tails dans une machine virtuelle dans le système habituel. Dans ce cas, la mémoire de la machine virtuelle sera visible pour celui-ci, et toutes les données, mots de passe compris, seront à la portée d’une faille de programmation ou d’un éventuel logiciel malveillant. De plus, si le système d’exploitation utilise de la mémoire virtuelle (swap), il est possible que des données de la machine virtuelle finissent par être écrites sur le disque dur. L’amnésie du système Tails utilisé de cette façon est donc quasiment impossible à garantir.↩︎