Contactez-moi pour donner votre avis ou si vous avez des questions ! Je réponds à tout le monde.

Eviter le "Botnet" - impossible ?

Aujourd'hui, les gens se soucient de plus en plus à échapper à ce que je vais appeler le "Botnet" dans cet article - juste une façon "meme" de décrire la surveillance de masse. Des sites ont été créés pour décrire les spywares et leurs alternatives. Des remplacements pour les réseaux sociaux, la messagerie instantanée, la VoIP, etc ... existent déjà. On peut se rendre plus anonyme avec des moyens tels que le réseau Tor ou un VPN pour se cacher de son FAI (Fournisseur d'accès à internet). Il existe des moyens pour partager des fichiers de façon privée ou héberger des sites webs tout aussi anonymes. Mais tous ces moyens sont-ils efficaces - et plus important encore - s'agit-il du coeur du Botnet - ou sommes-nous en train de résoudre ce problème d'une manière complètement erronée ?

Moyens actuels de combattre le Botnet - et la raison de leur inefficacité

L'illusion Tor

Le réseau Tor permet de se connecter à Internet de façon anonyme. Ca fonctionne comme trois proxys connectés ensemble mais de façon chiffrée, pour qu'un proxy (appelé un "noeud Tor") ne puisse voir le contenu du précédent: il n'a accès qu'à la destination. Par contre, le denier noeud a accès au traffic déchiffré - donc on se heurte à un mur avant même d'avoir commencé. Le premier noeud a aussi accès à l'IP, mais ne voit pas le contenu de la requête.

Quels sont les autres problèmes de Tor ? Eh bien, un tas de site web le bloquent tout simplement, ou sinon tentent de rendre son usage très chiant. Etant donné que la liste des noeuds de sortie est publique, n'importe quel webmaster peut le faire facilement. Donc vous pourriez vouloir "anonymiser votre connexion au Web", mais vous réalisez subitement que c'est juste impossible à utiliser au quotidien. C'est même pire si vous voulez interargir avec des sites que vous êtes en train de visiter - forums, imageboards, boutiques en lignes, sites de téléchargement, etc ... tous haïssent Tor, c'est bien connu. S'ils en ont besoin, les FAIs peuvent eux aussi très facilement bloquer tout traffic Tor - la preuve, ça s'est déjà produit au Venezuela, - https://www.accessnow.org/venezuela-blocks-tor/ (archive).

Et quid des soit-disant services cachés - exclusif au réseau Tor ? Eh bien, la plupart d'entre eux ne marchent pas et c'est dur d'en trouver un qui marche vraiment - et si vous en trouvez un, vous ne verrez la plupart du temps que quelques bouts de site. Je n'ai réussi qu'à trouver UN forum onion auquel je pouvais me connecter dans mon pays, et il n'était pas très actif. Leurs serveurs se font aussi raid de temps en temps (voir Freedom Hosting) et leurs propriétaires emprisonnés.

De toute façon, il existe plein de façon d'identifier des utilisateurs Tor - empreinte du navigateur, stylométrie ou même des gens qui partagent leurs informations personnelles depuis Tor. Opération Onymous (archive) a été très réussie (quoique pourcentages abusifs attribués par les flux - "seulement" 27 sites ont reçu une amende - voici une liste). Un cas déjà célèbre d'un gars qui envoye une menace de bombe en utilisant Tor peut être lu ici: https://www.bestvpn.com/privacy-news/harvard-bomb-threat-student-caught-using-guerrilla-mail-tor/ (archive). Ils l'ont eu parce qu'il était la seule personne à utiliser Tor sur ce réseau à ce moment. Le FBI a même payé une université pour déanonymiser les utilisateurs Tor (archive), et c'est comme ça que le propriétaire de Silk Road 2.0 a pu être envoyé en prison. Mais ça, c'est juste ce qu'on en sait - d'autres attaques sont sûrement déjà en train d'être utilisées ou en train d'être préparées.

However, forward secrecy cannot defend against a successful cryptanalysis of the underlying ciphers being used, since a cryptanalysis consists of finding a way to decrypt an encrypted message without the key, and forward secrecy only protects keys, not the ciphers themselves.

(Je préfère ne pas traduire pour ne pas dire de bêtises)

L'informatique quantique rend ça [de ce que j'ai compris, le déchiffrement des requêtes Tor] possible aussi. Autre chose qui est absolument requise pour la sécurité sur Tor (et bizarrement personne n'en parle): les neuf authorités trusted-by-default. Si quelques unes sont compromises (c'est peut-être déjà le cas ?), tous les avantages de Tor disparaissent. Ce problème a été analysé en profondeur ici.

Même le grand Navigateur Tor n'est pas entièrement sûr - par exemple, rien que d'utiliser des boutons différents dans votre gestionnaire de fenêtre peut exposer des résolutions d'écran différentes (TBB version 8.5.3, la plus récente lors de l'écriture de cet article). Le premier thème est Murrine, le second Default XHDPI, si vous voulez confirmer.


Bien sûr, ceci uniquement n'est probablement pas assez pour vous déanonymiser - mais plein d'autres problèmes existent sûrement, attendant d'être découvert. Conclusion ? Tor n'est pas une solution miracle. Est-ce que cela signifie que vous ne devriez pas l'utiliser ? Non, bien sûr. Utilisez n'importe quoi qui permet d'améliorer votre vie privée et votre anonymat - mais comprenez juste que ce n'est pas une formule magique, et ne frappe pas au coeur du Botnet.

VPNs

Ce sont des proxys qui fait passer TOUT le traffic (pas juste HTTP) par leurs serveurs. Il en existe beaucoup qui prétendent ne conserver aucun log, mais c'est facile de trouver des exemple où les gens se font dénoncer par ceux-là, comme par exemple https://www.wipeyourdata.com/other-data-erasing/no-logs-earthvpn-user-arrested-after-police-finds-logs/ (archive). Même en assumant qu'ils ne gardent pas les logs, le gouvernement pourrait quand même forcer le fournisseur du VPN à tracker qelqu'un (du moins cela est permit dans certains pays). Si ce n'est pas vrai, il reste toujours la bonne vieille méthode du raid les et vole leurs servs (archive). Evidemment, le traffic VPN est aussi facile à bloquer au niveau des FAIs ou du site web.

VoIP, social, IM, etc ...

Souffrent simplement d'un manque d'utilisation - donc si vous voulez contacter quelqu'un, c'est par Facebook, Skype, etc ... Beaucoup de logiciels de IM "sécurisés et privés" habituellement recommandés ont divers problèmes (Signal et Telegram nécessitent un numéro de téléphone; Keybase a eu un audit de sécurité qui a trouvé beaucoup de problèmes; on vient de trouver que le protocole Matrix a une faille de sécurité (archive)). Les messageries basées sur Tor reposent sur la sécurité de ce réseau, qui a été analysée plus haut. D'autre part, les messageries basées sur des serveur reposent sur la sécurité desdits serveurs controllés par des gens que vous ne connaissez pas. Et comme d'habitude, tout passe par le réseau de l'ennemi.

Partage de fichier, hébergement ...

Tous les hébergeurs / services de partage de fichiers habituels ont de longues listes sur ce qui est autorisé et sur ce qui ne l'est pas. Même mon hébergeur actuel se réserve le droit de suspendre, bloquer ou annuler l'accès à n'importe lequel et à tous les Services s'ils decident que quelque chose est en contradiction avec leur liste. Et bien évidemment, les ayants-droit peuvent prétendre que quelque chose viole la leur, et votre merde se fait supprimer. Par exemple, les sites de rom ont été fermés récemment. Il y a aussi des "bons hébergeurs" comme autistici.org, mais qui dit que le gouvernement ne va pas fermer leurs services un jour s'ils hébergent trop de trucs qu'ils n'aiment pas ? Tant que nous utilisons leurs réseaux, rien n'est sûr. La situation se dégrade et ils raid les serveurs. Même Freedom Hosting a été fermé un jour.

Systèmes d'exploitation

Bien sûr existe-t-il des alternatives à Windows, mais vous allez le retrouver tôt ou tard - que ce soit chez quelqu'un d'autre, à l'école ou autre part.

Le coeur de la surveillance d'internet

Pour profiter des services Internet les plus communs (comme Facebook, Twitter, IM, hébergement de site web), vous devez accepter leurs terribles CGU (Conditions Générales d'Utilisation) et politiques de confidentialité. Non seulement ça, mais en plus, n'importe quel packet que vous envoyez ou recevez passe physiquement par des réseaux que vous ne contrôlez pas. Les FAIs peuvent les surveiller, modifier et bloquer comme il veulent - et ils sont de plus soumis à la volonté du gouvernement. Le chiffrement est au mieux une solution temporaire, comme expliqué dans la section sur Tor (ils pourraient facilement bloquer tous les messages chiffrés par exemple - en les comparant aux langages connus. Si ce n'est pas écrit dans un langage connu, le paquet est jeté. Bloquer HTTPs ? Attendez, c'était quoi encore ? Port 443 ? Boom, c'est fait.) Peut-être que quelques hackers intelligents apprendraient à contourner ces bloquages, mais, en fin de compte, nous serions en train de mener un combat que nous serions sûrs de perdre. Un jour devrons nous faire face au fait que ...

Le vrai Botnet ... est PHYSIQUE

Comme je l'ai déjà dit, les serveurs des services que nous utilisons appartiennent la plupart du temps à de grosses multinationales (ou des fois à d'autres étrangers), tandis que les FAIs et gouvernements possèdent les réseaux, ce qui veut dire que le Botnet est physique, et non pas technologique - et la solution, par extension, doit l'être aussi. Ca peut être dur à voir pour la surveillance internet (qui n'est même pas le pire Botnet) - mais facile pour quelque chose comme les caméras de surveillances. Ils viennent, montent les caméras, et boom ! Vous êtes surveillés. Vous êtes désormais leur propriété privée - ce qu'ils admettent litérallement. Pas vraiment - pour 30 jours (ou une autre durée), ils peuvent faire ce qui leur plaît avec vos mouvements filmés. Et la durée n'est que prétendue ... Peu importe, vous êtes maintenant à leur merci. S'ils vous voient vous engager dans un "comportement interdit", ils peuvent vous punir et ils en auront la preuve. Et ils peuvent vous blâmer pour n'importe quoi, qu'ils auront arbitrairement choisit - ils ne vont certainement pas vous demandez votre avis si quelque chose doit être interdit ou non. Tout dans cette société appartient à des entreprises ou des gouvernements, et sert donc leurs intérêts, et non le vôtre. Les caméras de surveillance sont juste un exemple. Drones, robots tueurs, tout ce qui vous passe par la tête - et pas spécialement technologique. Ecoles, hôpitaux, aéropots (les fouilles, ça vous dit quelque chose ?) - vous n'avez aucun contrôle sur tout cela. Et c'est ça, Le Vrai Botnet. Si nous voulons détruire la surveillance sur internet, nous devrons prendre le contrôle non seulement des serveurs des services les plus populaires (hé, on peut avoir un Facebook qui respect l'utilisateur - nan, vraiment !) mais aussi des FAI - PHYSIQUEMENT - puisqu'on ne devrait pas en théorie s'espionner ou se censurer soi-même ... Et avec ça, espérons brûler les autres Botnet à leur tour.

Le faux combattant contre le Botnet

Imaginez le mec dans son appartement avec son sweat à capuche sur la tête, utilisant un ThinkPad entièrement libre, un incassable Qubes OS, Tor pour toutes ses connexions, qui évite avec soin toute stylométrie et évite de partager n'importe quel information personnelle en général, chiffre tous ses trucs avec un one time pad trois fois, et s'inquiétant si un Botnet ne se serait pas infiltré, n'a pas de téléphone ou utilise seulement des téléphones temporaires/jetables et paye en bitcoin. Et là ... il doit quand même sortir de son appartement, et son visage se fait filmer par une caméra de surveillance une centaine de fois. Ce mec mérite du respect pour ses efforts, mais est inutile pour une révolution. Vous ne pouvez combattre le Botnet en utilisant seulement de la technologie.

Toutes vos solutions technologiques .. échoueront forcément !

C'est inévitable. Et chaque fois ça suit le même script - un pays / un FAI bloque Tor ou les VPNs, ou un site de torrent se voit fermer, ou Facebook / Twitter / Youtube implémente encore un autre moyen de censure, ou n'importe quelle miriade d'autres problèmes que vous pourriez imaginer. Les gens paniquent alors et recherchent de nouvelles solutions technologiques qui sont uniquement des pansements. Puis, s'ils en trouvent une, ils continuent leur confortable vie tandis que les menottes se reserrent. Je veux dire, est-ce que vous pourriez imaginer que, dans 20 ans, vous pourrez encore utiliser Internet aussi librement qu'aujourd'hui ? Impossible - ils continueront à tout prendre jusqu'à ce que les "solutions" soient trop faibles ou même plus viables. Si nous controllions l'infrastructure, nous pourrions non seulement supprimer tous les logs du côté des FAIs, mais aussi fixer tous les problèmes avec FB / YT / autre fournisseur de service malicieux. Evidemment, vous ne pouvez pas prendre le contrôle juste comme ça - le web de l'esclavage est trop profond - si on ne faisait que débarquer, la police, les médias, etc ... viendraient jouer leur rôle, et s'en serait la fin. Une révolution à toutes les échelles est notre seule option - et nous devrions utiliser le temps durant lequel nous pouvons parler à peu près librement pour la planifier. Ensuite pourrions-nous fixer non seulement le "Botnet", mais la plupart des autres problèmes de la société.

Mais et la décentralisation ?

Elle ne fait que cacher ou déplacer le problème. Les "instances fédérées" souffrent toujours d'un manque d'activité, sont instables / éphémères (hé, pourquoi est-ce qu'on n'est pas tous en train d'héberger notre propre merde ? Ah oui, c'est vrai ...), et sont sujette à la volonté d'un inconnu sur internet plutôt que d'une multinationale. Ou prenez les torrents. Combien de seeds possède votre anime farovis ? Et qu'en est-il de quelque chose de moins populaire, comme les bandes-son de jeu vidéo ? Les gens reçoivent aussi des mises en garde de leurs FAIs [Ajout du traducteur: Hadopi, vous connaissez ?] (les VPNs, Tor ne font que déplacer le problème à nouveau) si leurs FAIs n'aiment pas leur activité sur les torrents; certains reçoivent des amendes (archive). Et bien sûr, les torrents ferment ou se font pirater (archive). Réseaux en maille ? Ouais, comme si quelqu'un en avait quelque chose à foutre. Même s'il y avait théoriquement une solution décentralisée qui valait quelque chose, les gouvernements pourraient simplement décider de tuer Internet tout entier une fois qu'ils n'arrivent plus à contrôler les gens avec. En conclusion, même la décentralisation serait en fin de compte temporaire, nous auront un jour besoin de leur infrastructure. Dans ce cas, nous pourrions aussi prendre le contrôle de quelque chose comme YouTube ou MEGA et garder leur popularité et tout le contenu, mais changer le design / les politiques de vie privée / les CGU afin de garantir aux utilisateurs un respect, une vie privée et une liberté basique. Retour à l'accueil