Il s'agit du sujet que j'ai présenté au Grand Oral (BAC 2022) :
Je vous présente ici mon sujet du Grand Oral (NSI), sous forme d'un article. Cet article rassemble beaucoup d'informations que j'ai regroupées pour la préparation de ma soutenance au Grand Oral : il est donc plus dense que ma présentation orale. J'estime néanmoins que l'écrit et l'oral sont à dissocier, et qu'il était plus judicieux de ne rien omettre.
Un peu d'Histoire :
Edward Snowden est un informaticien, autrefois employé par les services secrets américains (CIA, NSA). E. Snowden est à l'origine de révélations sur des méthodes permettant à la NSA de surveiller l'activité de la population sur les réseaux téléphonique et internet. En effet, en Juin 2013, des informations confidentielles de la NSA ont fuité dans la presse mondiale, par l'intermédiaire de Snowden.
Edward Snowden sera poursuivi par le gouvernement américain. Le lanceur d'alerte trouvera refuge à Hong Kong, puis à Moscou.
Le 7ème Art s'est emparé de cette histoire, vous pouvez donc visionner le film Snowden d'Olivier Stone. Je vous recommande surtout le documentaire Citizenfour.
“Lorsque vous dites 'le droit à la vie privée ne me préoccupe pas, parce que je n'ai rien à cacher', cela ne fait aucune différence avec le fait de dire 'Je me moque du droit à la liberté d'expression parce que je n'ai rien à dire', ou 'de la liberté de la presse parce que je n'ai rien à écrire'.” Edward Snowden.
Faudrait-il être anonyme sur internet ? :
Oui et Non : je m'explique.
En effet, c’est à la fois un gain de liberté, qui néanmoins pourrait entraîner des comportements déviants. Du fait que la question demeure complexe, on pourrait déjà se demander quelles sont les motivations qui poussent quelqu’un à vouloir garantir son anonymat :
Les "bonnes" motivations :
- Contourner la censure
- Journalisme
- Activiste
- Monsieur/Madame tout le monde qui souhaite normalement garder sa vie privée : privée, sans pour autant être recherché par le FBI (éviter la pub ciblée)
Les "mauvaises" motivations :
- Activités illégales
Si l’on admet que l’on peut avoir moralement de bonnes raisons de rester anonyme, comment doit-on s’y prendre ?
Etant donné que chaque terminal connecté à internet est identifiable et localisable par l’adresse IP (Internet Protocol) publique du Routeur, il convient tout d’abord de masquer cette adresse IP publique.
Pour cela, la solution la plus efficace et sécurisée reste à souscrire à un VPN.
Le VPN :
VPN = Virtual Private Network / Réseau privé virtuel, en français. Le VPN est un logiciel qui redirige votre trafic Internet via un tunnel sécurisé, masquant votre adresse IP et chiffrant vos données.
De cette façon, votre FAI ne peut pas intercepter vos données puisqu’elles sont chiffrées et le site distant n’enregistrera que l’IP du serveur VPN et non pas la vôtre. Le FAI connaît uniquement votre adresse IP et celle du serveur VPN, ainsi que la quantité de données échangées. Mais ne connaît pas la réelle destination de votre requête. On parle donc d’un protocole de tunnellisation.
Le VPN a l’avantage de protéger toute votre connexion réseau, peu importe les programmes utilisés (jeu vidéo, email, navigateur, ...).
Peut-on avoir confiance en les sociétés propriétaires de ses VPN ?
En effet, bien que la plupart des VPN annoncent être «no-log», c’est-à-dire qu’ils ne collectent pas (ou n'enregistrent pas) le flux de données passant par ses serveurs, afin de garantir notre anonymat : comment peut-on être sûr de ce qu’ils avancent ?
Premièrement, à moins de travailler dans les locaux de la société et de vérifier soi-même la gestion des registres de l’activité des utilisateurs, on ne peut se baser que sur la confiance, mais il existe tout de même des éléments suffisamment objectifs pour être pris en compte.
Déjà, il est bon d’utiliser un VPN payant, du fait que cela garantit que la société profite d’une source de rémunération pérenne, ainsi il y a moins de risques qu’elle revende les données de ses utilisateurs à des fins lucratives. C’est pourquoi, il faut éviter à tout prix les VPN gratuits, ne proposant aucune offre payante.
En outre, des sociétés indépendantes (telle que PricewaterhouseCoopers) peuvent être chargées de réaliser des tests d'audits sur la gestion des données des utilisateurs.
Enfin, bien évidemment, si l’utilisateur se connecte à un compte personnel, l’identifiant clairement, depuis une adresse IP du serveur VPN : cela ne sert absolument à rien, du fait que : le serveur du site visité connaît l’IP du VPN, sans pour autant savoir qu’il s’agit d’un VPN et l’associe à l’utilisateur qui se connecte.
TOR (The Onion Router) :
TOR (The Onion Router) est un réseau mondial de routeurs. Il s'agit d'un projet open source, à but non lucratif. La connexion d’un utilisateur transite par plusieurs ordinateurs dans le monde appelés des nœuds.
Les connexions entre les nœuds sont chiffrées (AES 256), en somme il est donc supposé "impossible" de retrouver l’internaute initial. Ce procédé permet de gagner en anonymat, du fait qu'il dissimule notre adresse IP.
Cependant, TOR n'est pas exempt de failles :
En effet, si les données sont chiffrées entre chaque nœud du réseau, elles doivent forcément être déchiffrées au dernier nœud (appelé nœud de sortie).
Après ce déchiffrement, vos données seront moins anonymisées. Du fait que TOR ou le VPN ne se chargera plus de les chiffrer. Cependant, vous restez relativement intraçable. En effet, c’est toujours l’IP du serveur de TOR ou du VPN, qui accède au site et non la vôtre.
Remarques :
Sauf si l’on accède à un site en. onion, en effet les hidden services ou services cachés de TOR permettent de ne pas rompre le chiffrement de données. Ces sites, non indexés par les moteurs de recherche, sont accessibles uniquement depuis TOR.
Néanmoins, des clones des sites en .onion peuvent être rendus disponibles depuis les navigateurs usuels.
En outre, TOR regroupe des personnes recherchant l’anonymat pour des motivations diverses. Parmi ces personnes, des escrocs sont susceptibles de mener des activités malveillantes. La cyberpolice passe donc par l’infiltration pour traquer ses malfaiteurs, en utilisant eux-mêmes TOR, ce qui est une bonne chose ; mais s’ils contrôlent TOR, le navigateur perd totalement en intérêt pour tout le monde.
Enfin, un mot sur les keyloggers :
Vous pouvez utiliser TOR autant que vous voulez, si un programme
malveillant s’exécute sur votre ordinateur, il récupérera toutes vos données sans aucun problème.
Il ne faut donc pas oublier non plus que TOR ne permet pas d’éviter les autres façons de récupérer des données
sur vous.
Verdict :
Il semble donc sensé de privilégier un VPN payant à TOR, ou de se replier sur TOR à défaut d’avoir un VPN. L’anonymat reste donc bien relatif, du fait qu’utiliser un VPN revient à avoir une confiance aveugle en une société. Nos données ne sont plus entre les mains de notre FAI, mais entre celles de la société du VPN. Mais encore une fois, l’intérêt même du VPN est anéanti, s’il le VPN est corrompu. Ainsi, il convient d’avoir conscience de cela.
Ouverture :
Nous savons désormais comment nous pouvons gagner en anonymat sur internet, mais nous avons aussi compris que l’enjeu ne se joue pas seulement sur la toile. En effet à quoi sert d’être en sécurité sur internet, si l’on est piraté, espionné localement, directement depuis un malware installé sur notre ordinateur à notre insu ?
Le moyen le plus ingénieux et simple à mettre en place pour éviter les malwares préinstallés, et de lancer l’ordinateur sous un autre OS que celui présent sur le disque dur.
C’est-à-dire que l’on va utiliser un OS portable, en live, nécessitant pas d’installation sur la machine. Pour cela, il suffit d’installer un système d’exploitation portable sur une cé USB. Ainsi, avant d’utiliser un ordinateur d’une entreprise par exemple, on branche la clé USB avant d’allumer l’ordinateur ; puis depuis le BIOS, on modifie l’ordre d’amorçage de la machine, en sélectionnant notre clé USB.
Cela aura pour effet de lancer notre système d’exploitation et non celui déjà présent. Ainsi, on est administrateur du système, en pouvant éventuellement accéder au fichier détenu sur le disque dur interne, si celui-ci n'est pas chiffré. TAILS OS (The Amnesic Incognito Live System) est un parfait exemple d’OS utilisable dans ce cas de figure.
Bibliographie :
Voici les ressources principales, qui m'ont permis d'approfondir mes connaissances :
- L'article "Être anonyme sur Internet", paru sur Le Blog du Hacker, rédigé par Michel Kartner. Son blog est dédié à la vulgarisation informatique, notamment sur la cybersécurité. Michel Kartner est également le fondateur de Cyberini, un site de formation dédié à la cybersécurité.
- La page officielle du Projet TOR.
- La page officielle de TAILS OS.
Vidéos :
- L'excellente vidéo de présentation de TOR Browser, réalisée par Paf LeGeek.
- La vidéo d'explication sur le fonctionnement d'un VPN, réalisée par Paf LeGeek.
- Une vidéo sur TAILS OS, en anglais, réalisée par DASGeek.
Articles en anglais :
- Le dossier sur l'affaire Snowden publié par The Guardian.
- L'article sur l'affaire Snowden publié par The Guardian.
Livre :
- Mémoires vives, l'autobiographie d'Edward Snowden, 2019.
Documentaire :
- Citizenfour, réalisé par Laura Poitras, 2015.
Film :
- Snowden, réalisé par Olivier Stone, 2016.