Chapitre 34 Cas d’usage : publier un document

34.1 Contexte

Après avoir terminé la rédaction d’un document sensible, on souhaite le publier sur Internet tout en conservant notre anonymat (le fait qu’il ne puisse être associé à aucun nom) ou notre pseudonymat (le fait qu’il ne puisse être associé qu’à un nom choisi et différent de notre identité civile).

En prime, on voudrait pouvoir y inclure une adresse de contact public correspondant à ce pseudonyme.

34.2 Évaluer les risques

34.2.1 Que veut-on protéger ?

Le contenu du document est public. On ne s’intéresse donc pas à sa confidentialité. Par contre, on cherche à cacher les liens entre le document et les personnes qui l’ont rédigé. C’est donc ici l’anonymat ou le pseudonymat qui nous intéresse.

De plus, si nous rendons public un document sensible dont la simple consultation pourrait être retenue à charge, nous devons aussi chercher à limiter la possibilité d’identifier des personnes qui y accèderaient.

34.2.2 Contre qui veut-on se protéger ?

Comme dans le cas d’usage précédent, nous chercherons ici à nous protéger des regards indiscrets qui chercheraient à savoir qui fait quoi sur le web.

On fera d’autant plus attention aux traces laissées qu’il s’agit justement ici de publier un document dont on suppose qu’il peut déplaire à une ou plusieurs personnes ayant un certain pouvoir de nuisance. Il est alors probable que débute une recherche d’indices pour tenter de retrouver la ou les personnes ayant réalisé le document (ou bien celles l’ayant consulté), par exemple en adressant des demandes à l’hébergeur.

34.3 Définir une politique de sécurité

Nous allons traiter successivement la publication et la consultation de documents, puis enfin l’utilisation d’un contact public lié à ceux-ci.

34.3.1 Publication

Publier un document revient techniquement à « sauvegarder » celui-ci sur un serveur connecté à Internet, que l’on appelle l’hébergeur. On passe souvent par un site web pour réaliser cette opération. Cependant, on ne va pas utiliser les mêmes sites si l’on veut publier du texte, du son ou de la vidéo.

Il s’agit donc de bien choisir notre hébergeur en ayant à l’esprit les nombreux critères entrant en jeu : type de document, disponibilité, conditions d’hébergement, résistance de l’hébergeur aux pressions judiciaires, risques que notre document fait courir à celui-ci, possiblité de consulter le document sans risque d’identification, etc. Une liste plus exhaustive de ces critères est disponible dans la partie « Outils ».

Une fois notre choix effectué, il va falloir être sûres que notre document reste consultable : en effet, si notre publication ne plaît pas à notre hébergeur, qu’il reçoit des pressions, voire une demande exigeant sa suppression, notre œuvre pourrait devenir indisponible.

Pour éviter ce genre de désagréments, on peut multiplier les hébergements d’un même fichier, si possible sur des serveurs situés dans différents pays. La mise en ligne d’un fichier étant beaucoup plus rapide qu’un recours judiciaire, cela semble être une bonne solution pour éviter la censure.

Quels seront alors les angles d’attaque à la portée d’une éventuelle adversaire ?

34.3.1.1 Première étape : lire le document

L’adversaire dispose de prime abord d’un gros volume de données au sein duquel chercher des traces : le contenu du document.

Ainsi, une éventuelle signature comme un pseudonyme ou une ville, une date, la langue dans laquelle le document est écrit, voire tout simplement le thème du document sont autant d’indices qui peuvent mener à ses autrices. Un texte qui décrit les pratiques abusives de la société Machinex en novembre 2012 a probablement été rédigé par des employées de cette société ou par des gens qui partageaient leur lutte à cette date.

L’adversaire peut aussi tenter une analyse stylométrique pour le comparer à d’autres textes, anonymes ou non, et essayer d’en déduire des informations sur les autrices. À notre connaissance, ce type d’attaque n’est réellement effective que lorsqu’on a déjà de forts soupçons sur un sous-ensemble d’autrices potentielles, mais c’est un champ de recherche récent. Vu que l’on souhaite diffuser largement ce document, on ne pourra pas masquer le contenu. Cependant, si l’on pense nécessaire de s’en donner la peine, on pourra avoir une attention particulière à changer son style d’écriture.

Enfin, si l’on publie notre document sans prendre de plus amples précautions, l’adversaire peut chercher d’éventuelles métadonnées qui lui fourniraient quelques informations.

Ces différentes méthodes ne demandent pas de grandes compétences techniques et sont donc à la portée de beaucoup d’adversaires.

Pour s’en protéger, on suivra les recettes suivantes :

34.3.1.2 Deuxième étape : demander à celles qui voient

En l’absence de traces facilement exploitables à l’intérieur du document, l’un des angles d’attaque le plus praticable est alors de chercher les traces de la publication sur le réseau.

Selon ses pouvoirs, notre adversaire peut effectuer une réquisition auprès de l’hébergeur du contenu ou trouver une autre façon de se procurer ses journaux de connexion et ainsi obtenir l’adresse IP utilisée. Elle peut ensuite se tourner vers le FAI correspondant à cette adresse IP pour avoir le nom de l’abonnée.

Ici aussi, pour faire face, on utilisera Tor pour se connecter à Internet en brouillant cette piste avant de publier notre document.

Quant au choix de l’hébergement, les questions discutées ci-dessus s’appliquent toujours. De plus, certaines des plateformes sur lesquelles on voudrait déposer notre document sont susceptibles de ne pas fonctionner si Tor est utilisé, ou, comme Facebook, d’imposer des vérifications d’identité difficiles à contourner et incompatibles avec notre besoin d’anonymat : cela restreindra les hébergeurs utilisables.

Pour publier notre document sur un serveur web conventionnel, on commencera en pratique par suivre la recette pour trouver un hébergement web.

Dans la plupart des cas, la publication se fera grâce à un navigateur web. On suivra donc la piste « navigateur web » du cas d’usage précédent.

Il est aussi possible d’héberger nous-mêmes notre document grâce aux services onion de Tor : ils permettent de rendre disponible un serveur web ou un autre type de serveur sans avoir à révéler son adresse IP. Ils n’utilisent pas d’adresse publique et peuvent donc fonctionner aisément même derrière un pare-feu ou une autre « box » faisant de la traduction d’adresse réseau (NAT).

Si l’on préfère héberger notre document sur un service onion, il faudra suivre la recette détaillant comment utiliser OnionShare.

34.3.1.3 Troisième étape : regarder sur l’ordinateur utilisé

Cet angle d’attaque est similaire à celui décrit dans la section « regarder sur l’ordinateur utilisé » du cas d’usage précédent. Retournons donc lire (ou relire) ce chapitre pour réviser tout cela.

34.3.1.4 Quatrième étape : attaquer Tor

En désespoir de cause, l’adversaire peut aussi tenter d’attaquer Tor (voir la section « attaquer Tor » du cas d’usage précédent).

34.3.2 Consultation du document

Parmi les critères à prendre en compte lors du choix de l’hébergeur se trouvent aussi les risques que nous faisons prendre aux personnes qui viendraient consulter notre document. On privilégiera ainsi des hébergeurs qui permettent de limiter la possibilité qu’une éventuelle adversaire puisse identifier ces personnes.

Les moyens d’attaque que l’adversaire peut mettre en œuvre sont ceux déjà couverts dans le cas d’usage précédent. Reprenons-les brièvement ici pour les adapter au cas de la consultation d’un document.

34.3.2.1 Première étape : demander à celles qui voient

Comme vu dans le cas d’usage précédent, une personne qui viendrait consulter notre document pourra être identifiée par son fournisseur d’accès à Internet ou par l’hébergeur, car l’accès au document apparaîtra dans leurs journaux de connexion.

Afin de réduire ce risque, nous pouvons donc conseiller aux personnes qui souhaiteraient accéder au document d’utiliser le réseau Tor pour cela. Il nous faudra aussi nous assurer que l’hébergeur retenu est bien accessible par Tor, voire qu’il offre la possibilité d’y accéder par un service onion.

Il est aussi important de choisir un hébergeur qui ne soit pas une plateforme sur laquelle des personnes risqueraient d’être déjà authentifiées et seraient donc « reconnues » par l’hébergeur lorsqu’elles accéderaient au document, quand bien même elles utiliseraient Tor. Ainsi, les médias sociaux ou les plateformes d’hébergement de contenu des géants du web 2.0 sont à proscrire, par exemple.

Enfin, nous pouvons aussi privilégier des hébergeurs qui ne conservent pas les journaux de connexion, ou bien qui refuseront de les donner aux flics en cas de réquisition.

34.3.2.2 Deuxième étape : regarder sur l’ordinateur utilisé

Face à ce cas de figure, nous n’avons nous-mêmes que peu de prise. Nous pouvons cependant conseiller aux personnes souhaitant consulter notre document de suivre les recommandations du cas d’usage précédent de ce guide afin de laisser le moins de traces possibles sur leur ordinateur.

34.3.2.3 Troisième étape : attaquer Tor

Tout comme lors de la publication du document, l’adversaire peut aussi tenter d’attaquer Tor pour chercher à identifier les personnes qui le consulteraient (voir la section « attaquer Tor » du cas d’usage précédent).

34.3.3 Contact public

Lorsqu’on publie un document, on peut vouloir que les personnes qui vont nous lire puissent nous contacter. Ce contact ouvre de nouvelles possibilités d’attaques à notre adversaire en quête de failles à exploiter.

Si l’on a pris toutes les précautions afin d’être aussi anonyme que possible lors de la publication du document, mais que notre adresse de contact est nom.prenom@exemple.org, ces précautions seront sans intérêt : l’adresse de contact donne directement notre nom à l’adversaire.

Pour éviter cette erreur, on veillera donc à avoir un pseudonyme qui sera utilisé uniquement pour ce document — ou pour un groupe de documents — en fonction de l’identité contextuelle que l’on souhaite adopter.

L’adversaire cherchera alors à savoir qui se cache derrière ce pseudonyme. Pour tenter de masquer « qui utilise cette adresse mail », le cas d’usage « Échanger des emails en cachant son identité » pourra nous aider.

Enfin, on pourrait avoir envie de cacher le contenu des emails échangés, mais ceci peut apparaître très complexe : dans la mesure où l’on souhaite avoir une adresse de contact public, l’accessibilité peut rentrer en conflit avec la discrétion. Néanmoins, il reste toujours possible d’indiquer, en plus de l’adresse mail de contact, une clé publique OpenPGP associée afin de laisser la possibilité aux personnes qui le souhaiteraient de nous envoyer des messages chiffrés. Les recettes pour créer une paire de clés OpenPGP et pour exporter sa clé publique indiquent comment mettre cela en œuvre.

On peut ainsi prendre tout un ensemble de précautions pour augmenter l’anonymat de notre contact, mais l’on peut difficilement agir sur l’autre « bout du tuyau ». Les personnes qui vont nous contacter peuvent alors prendre des risques en dialoguant avec nous, sans penser à leur anonymat. Rappeler et expliciter les conditions de confidentialité et d’anonymat est alors indispensable. De plus, on ne sait jamais vraiment qui nous contacte, il faudra alors faire attention à ce que l’on raconte si l’on ne veut pas se compromettre.