Guide de l'anonymat en ligne (par https://anonymousplanet.org/)

L'utilisation de ce guide se fait à vos risques et périls. Ne considérez pas ce guide comme une vérité définitive pour tout, car il ne l'est pas.
  • Introduction:
  • Comprendre les bases de la façon dont certaines informations peuvent mener à vous et comment en atténuer certaines :
    • Votre réseau :
      • Votre adresse IP :
      • Vos requêtes DNS et IP :
      • Vos dispositifs RFID :
      • Les appareils Wi-Fi et Bluetooth qui vous entourent :
      • Les points d'accès Wi-Fi malveillants ou malhonnêtes :
      • Votre trafic Tor/VPN anonymisé :
      • Certains appareils peuvent être suivis même lorsqu'ils sont hors ligne :
    • Vos identifiants matériels :
      • Votre IMEI et IMSI (et par extension, votre numéro de téléphone) :
      • Votre adresse MAC Wi-Fi ou Ethernet :
      • Votre adresse MAC Bluetooth :
    • Votre CPU :
    • Vos systèmes d'exploitation et services de télémétrie des applications :
    • vos appareils intelligents en général :
    • Vous-même :
      • Vos métadonnées, y compris votre géolocalisation :
      • Votre empreinte digitale, votre empreinte de pas et votre comportement en ligne :
      • Vos indices sur votre vie réelle et OSINT :
      • Votre visage, votre voix, vos données biométriques et vos photos :
      • L'hameçonnage et l'ingénierie sociale :
    • Les logiciels malveillants, les exploits et les virus :
      • Logiciels malveillants dans vos fichiers/documents/courriers électroniques :
      • Logiciels malveillants et exploits dans vos applications et services :
      • Dispositifs USB malveillants :
      • Les logiciels malveillants et les portes dérobées dans votre matériel, votre micrologiciel et votre système d'exploitation :
    • Vos fichiers, documents, images et vidéos :
      • Propriétés et métadonnées :
      • Filigrane :
      • Informations pixelisées ou floues :
    • Vos transactions en crypto-monnaies :
    • Vos sauvegardes/services de synchronisation dans le cloud :
    • Les empreintes digitales de votre navigateur et de votre appareil :
    • Les fuites de données locales et la criminalistique :
    • Mauvaise cryptographie :
    • Pas de journalisation mais des politiques de journalisation quand même :
    • Quelques techniques ciblées avancées :
    • Quelques ressources bonus :
    • Notes:
  • Préparations générales :
    • Choix de l'itinéraire :
      • Limites temporelles :
      • Limites budgétaires/matérielles :
      • Compétences :
      • Adversaires (menaces) :
    • Etapes pour tous les itinéraires :
      • Obtenir un numéro de téléphone anonyme :
      • Obtenir une clé USB :
      • Trouver des endroits sûrs dotés d'une connexion Wi-Fi publique décente :
    • L'itinéraire TAILS :
      • Déni plausible persistant en utilisant Whonix au sein de TAILS :
    • Etapes pour tous les autres itinéraires :
      • Obtenez un ordinateur portable dédié à vos activités sensibles :
      • Quelques recommandations concernant les ordinateurs portables :
      • Paramètres Bios/UEFI/Firmware de votre ordinateur portable :
      • Protégez physiquement votre ordinateur portable contre les manipulations :
    • La route Whonix :
      • Choisir votre système d'exploitation hôte (le système d'exploitation installé sur votre ordinateur portable) :
      • Linux Host OS :
      • MacOS OS hôte :
      • Windows OS hôte : Windows OS hôte : Windows OS hôte : Windows OS hôte : Windows OS hôte : Windows OS hôte : Windows OS hôte
      • Virtualbox sur votre OS hôte :
      • Choisissez votre méthode de connectivité :
      • Obtenez un VPN/Proxy anonyme :
      • Whonix :
      • Tor sur VPN :
      • Whonix Machines virtuelles :
      • Choisissez votre machine virtuelle de station de travail invitée :
      • Machine virtuelle Linux (Whonix ou Linux) :
      • Windows 10 Machine virtuelle :
      • Android Machine virtuelle :
      • Machine virtuelle MacOS :
      • KeepassXC :
      • Installation d'un client VPN (payé en cash/Monero) :
      • (Facultatif) permettant uniquement aux VM d'accéder à internet tout en coupant l'OS hôte pour éviter toute fuite :
      • Dernière étape :
    • La route Qubes :
      • Choisissez votre méthode de connectivité :
      • Obtenez un VPN/Proxy anonyme :
      • Installation :
      • Comportement de fermeture du couvercle :
      • Se connecter à un Wi-Fi public :
      • Mettre à jour Qubes OS :
      • Durcissement du système d'exploitation Qubes :
      • Configurer le ProxyVM VPN :
      • Configurer un navigateur sûr dans Qube OS (optionnel mais recommandé) :
      • Configurer une VM Android :
      • KeePassXC :
  • Créer vos identités anonymes en ligne :
    • Comprendre les méthodes utilisées pour empêcher l'anonymat et vérifier l'identité :
      • Captchas :
      • Vérification par téléphone :
      • Vérification du courrier électronique :
      • Vérification des coordonnées de l'utilisateur :
      • Vérification de la preuve d'identité :
      • Filtres IP :
      • Empreinte digitale du navigateur et de l'appareil :
      • Interaction humaine :
      • Modération des utilisateurs :
      • Analyse comportementale :
      • Transactions financières :
      • Connexion avec une plateforme :
      • Reconnaissance des visages en direct et biométrie (encore) :
      • Examens manuels :
    • Se connecter :
      • Créer de nouvelles identités :
      • Le système des noms réels :
      • À propos des services payants :
      • Vue d'ensemble :
      • Comment partager des fichiers ou discuter de manière anonyme :
      • Expurger des documents/photos/vidéos/audios en toute sécurité :
      • Communiquer des informations sensibles à diverses organisations connues :
      • Tâches de maintenance :
  • Sauvegarder votre travail en toute sécurité :
    • Sauvegardes hors ligne :
      • Sauvegardes de fichiers sélectionnés :
      • Sauvegardes complètes du disque/système :
    • Sauvegardes en ligne :
      • Fichiers :
      • Informations :
    • Synchronisation de vos fichiers entre appareils En ligne :
  • Couvrir vos traces :
    • Comprendre les disques durs par rapport aux disques SSD :
      • Nivellement de l'usure.
      • Opérations de découpage :
      • Collecte des déchets :
      • Conclusion :
    • Comment effacer en toute sécurité l'ensemble de votre ordinateur portable/disque dur si vous voulez tout effacer :
      • Linux (toutes les versions, y compris Qubes OS) :
      • Windows :
      • MacOS :
    • Comment effacer en toute sécurité des fichiers/dossiers/données spécifiques sur vos disques durs/SSD et clés USB :
      • Windows :
      • Linux (non Qubes OS) :
      • Linux (Qubes OS) :
      • MacOS :
    • Quelques mesures supplémentaires contre la criminalistique :
      • Suppression des métadonnées des fichiers/documents/photos :
      • TAILS :
      • Whonix :
      • MacOS :
      • Linux (Qubes OS) :
      • Linux (non-Qubes) :
      • Windows :
    • Suppression de certaines traces de vos identités sur les moteurs de recherche et diverses plateformes :
      • Google :
      • Bing :
      • DuckDuckGo :
      • Yandex :
      • Qwant :
      • Yahoo Search :
      • Baidu :
      • Wikipedia :
      • Archive.today :
      • Internet Archive :
  • Quelques astuces de la vieille école :
    • Communications cachées à la vue de tous :
    • Comment savoir si quelqu'un a fouillé dans vos affaires :
  • Quelques dernières réflexions sur l'OPSEC :
  • Si vous pensez avoir été grillé :
    • Si vous avez du temps :
    • Si vous n'avez pas le temps : Si vous n'avez pas le temps :
  • Une petite note éditoriale finale
 
Last edited by a moderator:

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,651
Solutions
2
Reaction score
1,769
Points
113
Deals
666

Phishing et ingénierie sociale.


Le phishing est une attaque de type ingénierie sociale dans laquelle un adversaire peut essayer de vous soutirer des informations en se faisant passer pour quelqu'un d'autre.


Un cas typique est celui d'un adversaire qui utilise une attaque de type "man-in-the-middle" ou un faux e-mail/appel pour vous demander vos informations d'identification pour un service. Il peut s'agir par exemple d'un courrier électronique ou d'une usurpation de l'identité d'un service financier.


Ces attaques peuvent également être utilisées pour désanonymiser une personne en l'incitant à télécharger des logiciels malveillants ou à révéler des informations personnelles au fil du temps.


Ces méthodes ont été utilisées un nombre incalculable de fois depuis les débuts de l'internet et la plus courante est l'arnaque dite "419" ( voir https://en.wikipedia.org/wiki/Advance-fee_scam [Wikiless] [Archive.org]).


Voici une bonne vidéo pour en savoir un peu plus sur les types d'hameçonnage : Black Hat, Ichthyology : L'hameçonnage en tant que science
[Invidious].
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,651
Solutions
2
Reaction score
1,769
Points
113
Deals
666

Logiciels malveillants, exploits et virus.


Logiciels malveillants dans vos fichiers/documents/courriers électroniques.


En utilisant la stéganographie ou d'autres techniques, il est facile d'intégrer des logiciels malveillants dans des formats de fichiers courants tels que les documents Office, les images, les vidéos, les documents PDF, etc.


Il peut s'agir de simples liens de suivi HTML ou de logiciels malveillants ciblés complexes.


Il peut s'agir de simples images de la taille d'un pixel cachées dans vos courriels qui appellent un serveur distant pour essayer d'obtenir votre adresse IP.


Il peut s'agir de l'exploitation d'une vulnérabilité dans un format ou un lecteur obsolète. Ces exploits pourraient alors être utilisés pour compromettre votre système.


Voir ces bonnes vidéos pour plus d'explications sur le sujet :



Vous devez toujours faire preuve d'une extrême prudence. Pour limiter ces attaques, ce guide recommandera ultérieurement l'utilisation de la virtualisation (voir l'annexe W : Virtualisation) afin d'éviter toute fuite d'informations, même en cas d'ouverture d'un tel fichier malveillant.


Si vous souhaitez apprendre à détecter ces logiciels malveillants, consultez l'annexe T : Vérification de la présence de logiciels malveillants dans les fichiers.


 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,651
Solutions
2
Reaction score
1,769
Points
113
Deals
666

Logiciels malveillants et exploits dans vos applications et services.


Vous utilisez Tor Browser ou Brave Browser via Tor. Vous pourriez les utiliser par l'intermédiaire d'un VPN pour plus de sécurité. Mais vous devez garder à l'esprit qu'il existe des exploits (hacks) qui pourraient être connus d'un adversaire (mais inconnus du fournisseur de l'application/du navigateur). Ces exploits pourraient être utilisés pour compromettre votre système et révéler des détails permettant de vous désanonymiser, tels que votre adresse IP ou d'autres détails.


Un cas réel d'utilisation de cette technique a été l'affaire Freedom Hosting en 2013, dans laquelle le FBI a inséré un logiciel malveillant à l'aide d'un exploit de navigateur Firefox sur un site web Tor. Cet exploit leur a permis de révéler des détails sur certains utilisateurs. Plus récemment, il y a eu le remarquable piratage de SolarWinds qui a permis d'atteindre plusieurs institutions gouvernementales américaines en insérant des logiciels malveillants dans un serveur officiel de mise à jour de logiciels.


Dans certains pays, les logiciels malveillants sont obligatoires et/ou distribués par l'État lui-même. C'est le cas par exemple en Chine avec WeChat, qui peut ensuite être utilisé en combinaison avec d'autres données pour la surveillance de l'État.


Il existe d'innombrables exemples d'extensions de navigateur malveillantes, d'applications pour smartphones et d'applications diverses qui ont été infiltrées par des logiciels malveillants au fil des ans.


Voici quelques mesures pour atténuer ce type d'attaque :


  • Ne faites jamais confiance à 100 % aux applications que vous utilisez.
  • Vous devez toujours vérifier que vous utilisez la version la plus récente de ces applications avant de les utiliser et, dans l'idéal, valider chaque téléchargement à l'aide de leur signature, si elle est disponible.
  • Vous ne devriez pas utiliser ces applications directement à partir d'un système matériel, mais plutôt utiliser une machine virtuelle pour la compartimentation.

Pour tenir compte de ces recommandations, le présent guide vous apprendra à utiliser la virtualisation (voir l'annexe W : Virtualisation) de sorte que, même si votre navigateur ou vos applications sont compromis par un adversaire habile, celui-ci se retrouvera coincé dans un bac à sable sans pouvoir accéder à des informations d'identification ou compromettre votre système.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,651
Solutions
2
Reaction score
1,769
Points
113
Deals
666

Dispositifs USB malveillants.


Il existe des dispositifs "badUSB" commerciaux et bon marché qui peuvent déployer des logiciels malveillants, enregistrer votre frappe, vous géolocaliser, vous écouter ou prendre le contrôle de votre ordinateur portable simplement en les branchant. Voici quelques exemples que vous pouvez déjà acheter vous-même.



De tels dispositifs peuvent être implantés n'importe où (câble de chargement, souris, clavier, clé USB...) par un adversaire et peuvent être utilisés pour vous pister ou compromettre votre ordinateur ou votre smartphone. L'exemple le plus marquant de ce type d'attaque est probablement Stuxnet en 2005.


Bien que vous puissiez inspecter physiquement une clé USB, la scanner avec divers utilitaires, vérifier les différents composants pour voir s'ils sont authentiques, vous ne serez probablement jamais en mesure de découvrir des logiciels malveillants complexes intégrés dans des parties authentiques d'une clé USB authentique par un adversaire compétent sans équipement médico-légal avancé.


Pour pallier ce problème, vous ne devez jamais faire confiance à ces dispositifs et les brancher sur des équipements sensibles. Si vous utilisez un dispositif de chargement, vous devriez envisager l'utilisation d'un dispositif de blocage des données USB qui ne permettra que le chargement, mais pas le transfert de données. Ces dispositifs de blocage des données sont désormais facilement disponibles dans de nombreuses boutiques en ligne. Vous devriez également envisager de désactiver complètement les ports USB dans le BIOS de votre ordinateur, sauf si vous en avez besoin (si vous le pouvez).
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,651
Solutions
2
Reaction score
1,769
Points
113
Deals
666

Les logiciels malveillants et les portes dérobées dans votre micrologiciel matériel et votre système d'exploitation.


Ce point peut vous sembler familier car il a déjà été partiellement abordé dans la section " Votre unité centrale".


Les logiciels malveillants et les portes dérobées peuvent être intégrés directement dans vos composants matériels. Parfois, ces portes dérobées sont mises en œuvre par le fabricant lui-même, comme l'IME dans le cas des processeurs Intel. Dans d'autres cas, ces portes dérobées peuvent être mises en œuvre par un tiers qui se place entre les commandes de nouveau matériel et la livraison au client.


Ces logiciels malveillants et ces portes dérobées peuvent également être déployés par un adversaire à l'aide d'exploits logiciels. Dans le monde de la technologie, ces logiciels sont souvent appelés "rootkits". En général, ces types de logiciels malveillants sont plus difficiles à détecter et à atténuer, car ils sont mis en œuvre à un niveau inférieur à celui de l'espace utilisateur et souvent dans le micrologiciel des composants matériels eux-mêmes.


Qu'est-ce qu'un microprogramme ? Un microprogramme est un système d'exploitation de bas niveau pour les appareils. Chaque composant de votre ordinateur est probablement doté d'un microprogramme, y compris, par exemple, vos lecteurs de disques. Le système BIOS/UEFI de votre machine, par exemple, est un type de microprogramme.


Ceux-ci peuvent permettre la gestion à distance et le contrôle total d'un système cible de manière silencieuse et furtive.


Comme indiqué précédemment, ces logiciels sont plus difficiles à détecter par les utilisateurs, mais il est néanmoins possible de prendre certaines mesures limitées pour les atténuer en protégeant votre appareil contre les manipulations et en prenant certaines mesures (comme le rechargement du BIOS, par exemple). Malheureusement, si ces logiciels malveillants ou portes dérobées sont mis en œuvre par le fabricant lui-même, il devient extrêmement difficile de les détecter et de les désactiver.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,651
Solutions
2
Reaction score
1,769
Points
113
Deals
666

Vos fichiers, documents, images et vidéos.


Propriétés et métadonnées.


Cela peut paraître évident pour beaucoup, mais pas pour tous. La plupart des fichiers sont accompagnés de métadonnées. Un bon exemple est celui des photos qui stockent des informations EXIF pouvant contenir de nombreuses informations telles que les coordonnées GPS, le modèle d'appareil photo ou de téléphone qui a pris la photo et la date précise à laquelle elle a été prise. Bien que ces informations ne permettent pas directement de savoir qui vous êtes, elles peuvent indiquer exactement où vous étiez à un moment donné, ce qui pourrait permettre à d'autres personnes d'utiliser différentes sources pour vous retrouver (vidéosurveillance ou autres séquences prises au même endroit au même moment lors d'une manifestation, par exemple). Il est important que vous vérifiiez que les fichiers que vous placez sur ces plateformes ne contiennent pas d'informations qui pourraient vous permettre de vous retrouver.


Voici un exemple de données EXIF pouvant figurer sur une photo :
2021 07 22 17 11

D'ailleurs, cela fonctionne aussi pour les vidéos. Oui, les vidéos aussi ont une géolocalisation et beaucoup l'ignorent. Voici par exemple un outil très pratique pour géolocaliser les vidéos YouTube : https://mattw.io/youtube-geofind/location [Archive.org]


C'est pourquoi vous devrez toujours être très prudent lorsque vous téléchargez des fichiers en utilisant vos identités anonymes et vérifier les métadonnées de ces fichiers.


Même si vous publiez un simple fichier texte, vous devez toujours vérifier deux ou trois fois qu'il n'y a pas de fuite d'informations avant de le publier. Vous trouverez des conseils à ce sujet dans la section Quelques mesures supplémentaires contre la criminalistique à la fin du guide.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,651
Solutions
2
Reaction score
1,769
Points
113
Deals
666

Filigrane.


Images/vidéos/audio.


Les images/vidéos contiennent souvent des filigranes visibles indiquant qui en est le propriétaire/créateur, mais il existe également des filigranes invisibles dans divers produits visant à identifier le spectateur lui-même.


Par conséquent, si vous êtes un dénonciateur et que vous envisagez de divulguer un fichier image/audio/vidéo, réfléchissez-y à deux fois. Réfléchissez-y à deux fois. Il y a des chances que ces fichiers contiennent des filigranes invisibles qui contiennent des informations sur vous en tant que spectateur. Ces filigranes peuvent être activés à l'aide d'un simple commutateur comme Zoom (vidéo ou audio) ou d'extensions pour des applications populaires comme Adobe Premiere Pro. Ils peuvent être insérés par divers systèmes de gestion de contenu.


Un exemple récent de fuite d'un enregistrement d'une réunion Zoom a été repéré parce qu'il était filigrané : https://theintercept.com/2021/01/18/leak-zoom-meeting/ [Archive.org]


Ces filigranes peuvent être insérés par divers produits utilisant la stéganographie et peuvent résister à la compression et au réencodage.


Ces filigranes ne sont pas facilement détectables et peuvent permettre d'identifier la source malgré tous les efforts déployés.


Outre les filigranes, la caméra utilisée pour filmer (et donc l'appareil utilisé pour filmer) une vidéo peut également être identifiée à l'aide de diverses techniques telles que l'identification de l'objectif, ce qui pourrait conduire à une désanonymisation.


Soyez extrêmement prudent lorsque vous publiez des vidéos/photos/fichiers audio provenant de plateformes commerciales connues, car ils peuvent contenir de tels filigranes invisibles en plus des détails des images elles-mêmes.

Filigrane d'impression.


Saviez-vous que votre imprimante vous espionne probablement aussi ? Même si elle n'est pas connectée à un réseau ? C'est un fait connu par de nombreux membres de la communauté informatique, mais peu par des personnes extérieures.


Oui... Vos imprimantes peuvent être utilisées pour vous désanonymiser, comme l'explique l'EFF ici https://www.eff.org/issues/printers [Archive.org].


Avec cette vidéo (ancienne mais toujours d'actualité) de l'EFF expliquant comment procéder :
[Invidious]


En fait, de nombreuses imprimantes impriment un filigrane invisible permettant d'identifier l'imprimante sur chaque page imprimée. Il n'y a pas de véritable moyen d'atténuer ce phénomène, si ce n'est en vous informant sur votre imprimante et en vous assurant qu'elle n'imprime pas de filigrane invisible. C'est évidemment important si vous avez l'intention d'imprimer de manière anonyme.


Voici une liste (ancienne mais toujours pertinente) d'imprimantes et de marques qui n'impriment pas de tels points de traçage, fournie par l'EFF https://www.eff .org/pages/list-printers-which-do-or-do-not-display-tracking-dots [Archive.org].


Voici également quelques conseils tirés de la documentation de Whonix(https://www.whonix.org/wiki/Printing_and_Scanning [Archive.org]) :


N'imprimez jamais en couleur, les filigranes ne sont généralement pas présents sans toners/cartouches couleur.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,651
Solutions
2
Reaction score
1,769
Points
113
Deals
666

Informations pixelisées ou floues.


Avez-vous déjà vu un document dont le texte était flou ? Vous êtes-vous déjà moqué de ces films/séries où l'on "améliore" une image pour récupérer des informations apparemment impossibles à lire ?


Il existe des techniques pour récupérer des informations dans ce type de documents, de vidéos et d'images.


Voici par exemple un projet open-source que vous pouvez utiliser vous-même pour récupérer du texte à partir d'images floues : https://github.com/beurtschipper/Depix [Archive.org]
2021 07 22 17 15

Il s'agit bien entendu d'un projet à code source ouvert accessible à tous. Mais vous pouvez probablement imaginer que de telles techniques ont déjà été utilisées par d'autres adversaires. Elles pourraient être utilisées pour révéler des informations floues dans des documents publiés, qui pourraient ensuite être utilisées pour vous désanonymiser.


Il existe également des tutoriels permettant d'utiliser ces techniques à l'aide d'outils de retouche photo tels que GIMP, par exemple : https://medium.com/@somdevsangwan/unblurring-images-for-osint-and-more-part-1-5ee36db6a70b [Archive.org] suivi de https://medium.com/@somdevsangwan/deblurring-images-for-osint-part-2-ba564af8eb5d [Archive.org].

2021 07 22 17 15 1

Enfin, vous trouverez de nombreuses ressources sur l'ébarbage ici : https://github.com/subeeshvasu/Awesome-Deblurring [Archive.org]


Certains services en ligne peuvent même vous aider à le faire automatiquement dans une certaine mesure, comme l'outil d'amélioration de MyHeritage.com :


https://www.myheritage.com/photo-enhancer [Archive.org]


Voici le résultat de l'image ci-dessus :
2021 07 22 17 16

Bien sûr, à ce stade, cet outil est plus une "supposition" qu'un véritable débrouillage, mais il pourrait suffire à vous trouver en utilisant divers services de recherche inversée d'images.


C'est pourquoi il est toujours extrêmement important d'expurger et de traiter correctement tout document que vous souhaitez publier. Le floutage ne suffit pas et vous devez toujours noircir/supprimer complètement toute donnée sensible afin d'éviter toute tentative de récupération des données par un adversaire.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,651
Solutions
2
Reaction score
1,769
Points
113
Deals
666

Vos transactions en crypto-monnaies.


Contrairement à la croyance populaire, les transactions en crypto-monnaies (telles que le Bitcoin et l'Ethereum) ne sont pas anonymes. La plupart des crypto-monnaies peuvent être suivies avec précision grâce à différentes méthodes.


N'oubliez pas ce qu'ils disent sur leur propre page : https://bitcoin.org/en/you-need-to-know [Archive.org] et https://bitcoin.org/en/protect-your-privacy [Archive.org]:


"Bitcoin n'est pas anonyme"


Le principal problème n'est pas de créer un portefeuille cryptographique aléatoire pour recevoir des devises derrière une adresse VPN/Tor (à ce stade, le portefeuille est anonyme). Le problème se pose principalement lorsque vous souhaitez convertir de la monnaie fiduciaire (euros, dollars...) en crypto-monnaie, puis lorsque vous souhaitez encaisser votre crypto-monnaie. Vous aurez peu d'options réalistes si ce n'est de les transférer vers un échange (tel que Coinbase/Kraken/Bitstamp/Binance). Ces bourses connaissent les adresses des portefeuilles et conservent des registres détaillés (en raison des réglementations financières KYC) et peuvent ensuite retracer ces transactions de crypto-monnaie jusqu'à vous à l'aide du système financier.


Certaines crypto-monnaies, comme Monero, sont conçues pour préserver la vie privée et l'anonymat, mais elles comportent elles aussi des avertissements à prendre en compte.


Même si vous utilisez des Mixers ou des Tumblers (services spécialisés dans l'"anonymisation" des crypto-monnaies en les "mélangeant"), gardez à l'esprit qu'il ne s'agit que d'un obscurcissement et non d'un anonymat réel. Non seulement il ne s'agit que d'obscurcissement, mais ces services peuvent également vous mettre en difficulté, car vous pourriez finir par échanger vos crypto-monnaies contre des crypto-monnaies "sales" qui ont été utilisées dans divers contextes douteux.


Cela ne signifie pas du tout que vous ne pouvez pas utiliser Bitcoin de manière anonyme. Vous pouvez en effet utiliser Bitcoin de manière anonyme tant que vous ne le convertissez pas en monnaie réelle et que vous utilisez un portefeuille Bitcoin provenant d'un réseau anonyme sûr. Cela signifie que vous devez éviter les réglementations KYC/AML des différentes bourses et éviter d'utiliser le réseau Bitcoin à partir d'une adresse IP connue. Voir l'annexe Z : Payer anonymement en ligne avec BTC.


Dans l'ensemble, IMHO, la meilleure option pour utiliser les crypto-monnaies avec un anonymat et une confidentialité raisonnables reste Monero et vous ne devriez idéalement pas utiliser d'autres crypto-monnaies pour des transactions sensibles à moins que vous ne soyez conscient des limites et des risques encourus. Veuillez lire cet avis de non-responsabilité concernant Monero.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,651
Solutions
2
Reaction score
1,769
Points
113
Deals
666

Vos services de sauvegarde/synchronisation dans le nuage.


Toutes les entreprises annoncent qu'elles utilisent le chiffrement de bout en bout (E2EE). C'est le cas de presque toutes les applications de messagerie et de tous les sites web (HTTPS). Apple et Google annoncent qu'ils utilisent le chiffrement sur leurs appareils Android et leurs iPhones.


Mais qu'en est-il de vos sauvegardes ? Ces sauvegardes automatisées iCloud/google drive que vous avez ?


Vous devriez probablement savoir que la plupart de ces sauvegardes ne sont pas entièrement chiffrées de bout en bout et qu'elles contiendront certaines de vos informations facilement accessibles à un tiers. Vous verrez leurs déclarations selon lesquelles les données sont cryptées au repos et à l'abri de tous... Sauf qu'ils conservent généralement une clé leur permettant d'accéder eux-mêmes à certaines données. Ces clés leur servent à indexer votre contenu, à récupérer votre compte et à collecter diverses données analytiques.


Il existe des solutions commerciales spécialisées (Magnet Axiom, Cellebrite Cloud) qui permettent à un adversaire d'analyser facilement vos données dans le nuage.


Exemples notables :


  • Apple iCloud : https://support.apple.com/en-us/HT202303 [Archive.org]: "Messages in iCloud also uses end-to-end encryption. Si vous avez activé la sauvegarde iCloud, votre sauvegarde comprend une copie de la clé protégeant vos messages. Cela garantit que vous pouvez récupérer vos messages si vous perdez l'accès au trousseau iCloud et à vos appareils de confiance. ".
  • Google Drive et WhatsApp : https://faq.whatsapp.com/android/chats/about-google-drive-backups/ [Archive.org]: "Lesmédias et les messages que vous sauvegardez ne sont pas protégés par le chiffrement de bout en bout de WhatsApp lorsqu'ils se trouvent dans Google Drive. ".
  • Dropbox : https://www.dropbox.com/privacy#terms [Archive.org] "Pour fournir ces fonctionnalités et d'autres, Dropbox accède à vos données, les stocke et les analyse. Vous nous autorisez à le faire, et cette autorisation s'étend à nos sociétés affiliées et aux tiers de confiance avec lesquels nous travaillons".
  • Microsoft OneDrive : https://privacy.microsoft.com/en-us/privacystatement [Archive.org]: Produits de productivité et de communication, "Lorsque vous utilisez OneDrive, nous recueillons des données sur votre utilisation du service, ainsi que sur le contenu que vous stockez, afin de fournir, d'améliorer et de protéger les services. Les exemples incluent l'indexation du contenu de vos documents OneDrive afin que vous puissiez les rechercher plus tard et l'utilisation des informations de localisation pour vous permettre de rechercher des photos en fonction de l'endroit où la photo a été prise".

Vous ne devez pas confier vos données sensibles (qui n'ont pas été préalablement chiffrées localement) aux fournisseurs de services en nuage et vous devez vous méfier de leurs affirmations en matière de protection de la vie privée. Dans la plupart des cas, ils peuvent accéder à vos données et les fournir à un tiers s'ils le souhaitent.


Le seul moyen d'atténuer ce problème est de crypter vous-même vos données et de ne les télécharger que vers ces services.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,651
Solutions
2
Reaction score
1,769
Points
113
Deals
666

Empreintes de votre navigateur et de votre appareil.


Les empreintes digitales de votre navigateur et de votre appareil sont un ensemble de propriétés/capacités de votre système/navigateur. Elles sont utilisées sur la plupart des sites web pour le suivi invisible des utilisateurs, mais aussi pour adapter l'expérience de l'utilisateur du site web en fonction de son navigateur. Par exemple, les sites web pourront fournir une "expérience mobile" si vous utilisez un navigateur mobile ou proposer une langue/version géographique spécifique en fonction de votre empreinte digitale. La plupart de ces techniques fonctionnent avec des navigateurs récents tels que les navigateurs basés sur Chromium (comme Chrome) ou Firefox, à moins de prendre des mesures spéciales.


Vous trouverez de nombreuses informations détaillées et publications à ce sujet sur ces ressources :



La plupart du temps, ces empreintes seront malheureusement uniques ou presque uniques à votre navigateur/système. Cela signifie que même si vous vous déconnectez d'un site web et que vous vous reconnectez en utilisant un nom d'utilisateur différent, votre empreinte digitale peut rester la même si vous n'avez pas pris de mesures de précaution.


Un adversaire pourrait alors utiliser ces empreintes digitales pour vous suivre sur plusieurs services, même si vous n'avez de compte sur aucun d'entre eux et que vous utilisez un système de blocage des publicités. Ces empreintes pourraient à leur tour être utilisées pour vous désanonymiser si vous conservez la même empreinte entre les services.


Il convient également de noter que si certains navigateurs et extensions offrent une résistance aux empreintes digitales, cette résistance en elle-même peut également être utilisée pour prendre vos empreintes digitales, comme expliqué ici https://palant.info/2020/12/10/how-...xtensions-tend-to-make-fingerprinting-easier/ [Archive.org].


Le présent guide vise à atténuer ces problèmes en atténuant, en obscurcissant et en rendant aléatoires un grand nombre de ces identificateurs d'empreintes digitales grâce à la virtualisation (voir l'annexe W : Virtualisation) et à l'utilisation de navigateurs résistants aux empreintes digitales.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,651
Solutions
2
Reaction score
1,769
Points
113
Deals
666

Fuites de données locales et criminalistique.


La plupart d'entre vous ont probablement vu suffisamment de séries policières sur Netflix ou à la télévision pour savoir ce qu'est la police scientifique. Il s'agit de techniciens (travaillant généralement pour les forces de l'ordre) qui effectuent diverses analyses de preuves. Il peut s'agir, par exemple, de votre smartphone ou de votre ordinateur portable.


Ces analyses peuvent être effectuées par un adversaire lorsque vous avez déjà été "grillé", mais elles peuvent également être réalisées au hasard lors d'un contrôle de routine ou d'un contrôle frontalier. Ces vérifications sans rapport peuvent révéler des informations secrètes à des adversaires qui n'avaient aucune connaissance préalable de ces activités.


Les techniques de criminalistique sont aujourd'hui très avancées et peuvent révéler une quantité stupéfiante d'informations provenant de vos appareils, même s'ils sont cryptés. Ces techniques sont largement utilisées par les forces de l'ordre dans le monde entier et doivent être prises en compte.


Voici quelques ressources récentes que vous devriez lire au sujet de votre smartphone :



Je vous recommande également vivement de lire certains documents du point de vue d'un expert en criminalistique, tels que :



Enfin, voici un document détaillé très instructif sur l'état actuel de la sécurité IOS/Android de l'université John Hopkins : https://securephones.io/main.html.


En ce qui concerne votre ordinateur portable, les techniques de criminalistique sont nombreuses et répandues. Bon nombre de ces problèmes peuvent être atténués par l'utilisation du chiffrement intégral du disque, de la virtualisation (voir l'annexe W : Virtualisation) et de la compartimentation. Ce guide détaillera ultérieurement ces menaces et les techniques permettant de les atténuer.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,651
Solutions
2
Reaction score
1,769
Points
113
Deals
666

Mauvaise cryptographie.


Il existe un adage fréquent au sein de la communauté de l'infosécurité : "Ne roulez pas votre propre crypto !".


Et il y a des raisons à cela :


Personnellement, je ne voudrais pas que cet adage décourage les gens d'étudier et d'innover dans le domaine de la cryptographie. Au lieu de cela, je recommanderais aux gens d'être prudents avec le "Roll your own crypto" parce que ce n'est pas nécessairement de la bonne crypto.


  • Une bonne cryptographie n'est pas facile et il faut généralement des années de recherche pour la développer et la mettre au point.
  • La bonne cryptographie est transparente et non propriétaire/à source fermée, de sorte qu'elle peut être examinée par des pairs.
  • La bonne cryptographie est développée avec soin, lentement et rarement seule.
  • Une bonne cryptographie est généralement présentée et discutée lors de conférences, et publiée dans diverses revues.
  • La bonne cryptographie fait l'objet d'un examen approfondi par des pairs avant d'être diffusée dans la nature.
  • Utiliser et mettre en œuvre correctement une bonne cryptographie existante est déjà un défi.

Pourtant, cela n'empêche pas certains de le faire quand même et de publier diverses applications/services de production en utilisant leur propre cryptographie ou des méthodes propriétaires à code source fermé.


  • Vous devez faire preuve de prudence lorsque vous utilisez des applications/services utilisant des méthodes de cryptage propriétaires ou à code source fermé. Toutes les bonnes normes de cryptographie sont publiques et évaluées par des pairs, et il ne devrait pas y avoir de problème à divulguer celle que vous utilisez.
  • Vous devez vous méfier des applications/services qui utilisent une méthode cryptographique "modifiée" ou propriétaire.
  • Par défaut, vous ne devez pas faire confiance à un "Roll your own crypto" tant qu'il n'a pas fait l'objet d'un audit, d'un examen par les pairs, d'un contrôle et d'une acceptation par la communauté de la cryptographie.
  • Il n'existe pas de "cryptographie de qualité militaire".

La cryptographie est un sujet complexe et une mauvaise cryptographie peut facilement conduire à votre désanonymisation.


Dans le contexte de ce guide, je recommande de s'en tenir aux applications/services utilisant des méthodes bien établies, publiées et examinées par des pairs.


Alors, que faut-il préférer et que faut-il éviter à partir de 2021 ? Vous devrez chercher par vous-même les détails techniques de chaque application et voir si elle utilise de la "mauvaise cryptographie" ou de la "bonne cryptographie". Une fois que vous aurez obtenu les détails techniques, vous pourrez consulter cette page pour voir ce qu'elle vaut : https://latacora.micro.blog/2018/04/03/cryptographic-right-answers.html [Archive.org]


Voici quelques exemples :


  • Hachures :
    • Préférer : SHA256 (largement utilisé), SHA512 (préféré) ou SHA-3
    • À éviter : SHA-1, SHA-2, MD5 (malheureusement encore largement utilisé), CRC, MD6 (rarement utilisé)
  • Chiffrement des fichiers/disques :
    • Préférer :
      • Accéléré par le matériel : AES 256 Bits avec HMAC-SHA-2 ou HMAC-SHA-3 (c'est ce qu'utilisent Veracrypt, Bitlocker, Filevault 2, KeepassXC, et LUKS)
      • Non accéléré par le matériel : Identique à l'accéléré ci-dessus ou si disponible, préférez ChaCha20 ou XChaCha20 (vous pouvez utiliser ChaCha20 avec Kryptor https://www.kryptor.co.uk, malheureusement il n'est pas disponible avec Veracrypt).
    • À éviter : Pratiquement tout le reste
  • Stockage des mots de passe :
    • Préférer : argon2, scrypt, bcrypt, SHA-3 ou si ce n'est pas possible au moins PBKDF2 (seulement en dernier recours).
    • À éviter : SHA-2 nu, SHA-1, MD5
  • Sécurité du navigateur (HTTPS) :
    • Préférer : TLS 1.3 (idéalement TLS 1.3 avec support ECH/eSNI) ou au moins TLS 1.2 (largement utilisé)
    • À éviter : Tout autre (TLS =<1.1, SSL =<3)
  • Signature avec PGP/GPG :
    • Préférer ECDSA (ed25519)+ECDH (ec25519) ou RSA 4096 bits*.
    • À éviter : RSA 2048 bits
  • Clés SSH :
    • ED25519 (de préférence) ou RSA 4096 bits*
    • À éviter : RSA 2048 bits
  • Avertissement : RSA et ED25519 ne sont malheureusement pas considérés comme "résistants aux quanta" et bien qu'ils n'aient pas encore été cassés, ils le seront probablement un jour ou l'autre. Ce n'est probablement qu'une question de temps plutôt que de savoir si RSA sera un jour cassé. Ils sont donc préférés dans ces contextes en raison de l'absence d'une meilleure option.

Voici quelques cas réels de problèmes de mauvaise cryptographie :


 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,651
Solutions
2
Reaction score
1,769
Points
113
Deals
666

Pas de journalisation mais des politiques de journalisation quand même.


De nombreuses personnes pensent que les services axés sur la protection de la vie privée, tels que les fournisseurs de VPN ou de courrier électronique, sont sûrs en raison de leurs politiques d'absence de journalisation ou de leurs systèmes de cryptage. Malheureusement, beaucoup de ces mêmes personnes oublient que tous ces fournisseurs sont des entités commerciales légales soumises aux lois des pays dans lesquels ils opèrent.


Chacun de ces fournisseurs peut être contraint d'enregistrer silencieusement (à votre insu, en utilisant par exemple une décision de justice assortie d'une ordonnance de bâillon ou une lettre de sécurité nationale) votre activité afin de vous désanonymiser. Il y a eu plusieurs exemples récents de ce genre :


  • 2021 : les serveurs, les journaux et les informations sur les comptes de DoubleVPN sont saisis par les forces de l'ordre.
  • 2021, Le fournisseur de messagerie allemand Tutanota a été contraint de surveiller des comptes spécifiques pendant 3 mois.
  • 2020, Le fournisseur de messagerie basé en Allemagne Tutanota a été forcé de mettre en œuvre une porte dérobée pour intercepter et sauvegarder des copies des courriels non cryptés d'un utilisateur (ils n'ont pas décrypté les courriels stockés).
  • 2017, PureVPN a été contraint de divulguer les informations d'un utilisateur au FBI.
  • 2014, un utilisateur d'EarthVPN a été arrêté sur la base de journaux fournis à la police néerlandaise.
  • 2014, un utilisateur de HideMyAss a été désanonymisé et les journaux ont été fournis au FBI.
  • 2013, le fournisseur de messagerie sécurisée Lavabit ferme ses portes après s'être battu contre une ordonnance secrète de bâillonnement.

Certains fournisseurs ont mis en place l'utilisation d'un Warrant Canary qui permettrait à leurs utilisateurs de savoir s'ils ont été compromis par de telles ordonnances, mais cela n'a pas encore été testé à ma connaissance.


Enfin, il est désormais bien connu que certaines entreprises peuvent être des façades sponsorisées pour certains adversaires étatiques (voir l'article de Crypto AG et l'article d'Omnisec).


Pour ces raisons, il est important que vous ne fassiez pas confiance à ces fournisseurs pour votre vie privée, malgré toutes leurs affirmations. Dans la plupart des cas, vous serez la dernière personne à savoir si l'un de vos comptes a été visé par de tels ordres et vous pourriez même ne jamais le savoir.


Pour atténuer ce problème, dans les cas où vous souhaitez utiliser un VPN, je recommanderai l'utilisation d'un fournisseur de VPN payé en espèces/monétaires plutôt que Tor afin d'empêcher le service VPN de connaître des informations identifiables vous concernant.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,651
Solutions
2
Reaction score
1,769
Points
113
Deals
666

Quelques techniques avancées ciblées.

Il existe de nombreuses techniques avancées qui peuvent être utilisées par des adversaires compétents pour contourner vos mesures de sécurité, à condition qu'ils sachent déjà où se trouvent vos appareils. Un grand nombre de ces techniques sont décrites ici https://cyber.bgu.ac.il/advanced-cyber/airgap [Archive.org] (Air-Gap Research Page, Cyber-Security Research Center, Ben-Gurion University of the Negev, Israël) :


  • Les attaques qui nécessitent l'implantation d'un logiciel malveillant dans un appareil :
    • Exfiltration de données par le biais d'un routeur infecté par un logiciel malveillant :
      [Invidieux]
    • Exfiltration de données par l'observation des variations de lumière d'un clavier rétroéclairé à l'aide d'une caméra compromise :
      [Invidious]
      • Exfiltration de données par le biais d'une caméra de sécurité compromise (qui pourrait d'abord utiliser l'attaque précédente)
        [Invidieux]
      • Communication entre une personne extérieure et des caméras de sécurité compromises par le biais de signaux lumineux infrarouges :
        [Invidious]
    • Exfiltration de données d'un ordinateur à air comprimé compromis par l'analyse acoustique des bruits du ventilateur avec un smartphone.
      [Invidious]
    • Exfiltration des données d'un ordinateur infecté par un logiciel malveillant et placé sous surveillance aérienne grâce à des diodes électroluminescentes HD à l'aide d'un drone.
      [Invidious]
    • Exfiltration de données d'un malware USB sur un ordinateur sous surveillance aérienne par interférences électromagnétiques
      [Invidious]
    • Exfiltration de données d'un disque dur infecté par un logiciel malveillant grâce à des bruits acoustiques dissimulés.
      [Invidious]
    • Exfiltration de données par des fréquences GSM à partir d'un ordinateur compromis (avec un logiciel malveillant) sous surveillance aérienne.
      [Invidious]
    • Exfiltration de données par le biais d'émissions électromagnétiques à partir d'un dispositif d'affichage compromis
      [Invidious]
    • Exfiltration de données par ondes magnétiques d'un ordinateur compromis protégé par un système pneumatique vers un smartphone stocké dans un sac de Faraday.
      [Invidious]
    • Communication entre deux ordinateurs à air comprimé compromis au moyen d'ondes sonores ultrasoniques.
      [Invidious]
    • Exfiltration d'un portefeuille Bitcoin d'un ordinateur compromis à air comprimé vers un smartphone
      [Invidious]
    • Exfiltration de données d'un ordinateur compromis sous surveillance aérienne à l'aide de la luminosité de l'écran
      [Invidious]
    • Exfiltration de données d'un ordinateur compromis protégé par un système d'air comprimé par le biais de vibrations
      [Invidious]
    • Exfiltration de données d'un ordinateur compromis à l'abri de l'air en transformant la mémoire vive en émetteur Wi-Fi.
      [Invidious]
    • Exfiltration de données d'un ordinateur compromis sous surveillance aérienne par le biais de lignes électriques https://arxiv.org/abs/1804.04014 [Archive.org]
  • Attaques ne nécessitant aucun logiciel malveillant :
    • Observer une ampoule à distance pour écouter le son dans la pièce sans aucun logiciel malveillant: Démonstration :
      [Invidious]

Voici également une bonne vidéo des mêmes auteurs pour expliquer ces sujets : Black Hat, The Air-Gap Jumpers (en anglais)
[Invidious]


En réalité, ce guide ne sera pas d'une grande aide contre de tels adversaires, car ces logiciels malveillants peuvent être implantés dans les appareils par un fabricant, par un intermédiaire ou par toute personne ayant un accès physique à l'ordinateur protégé par un sas, mais il existe tout de même des moyens d'atténuer ces techniques :


  • N'effectuez pas d'activités sensibles lorsque vous êtes connecté à une ligne électrique non fiable/non sécurisée afin d'éviter les fuites de ligne électrique.
  • N'utilisez pas vos appareils devant une caméra qui pourrait être compromise.
  • Utilisez vos appareils dans une pièce insonorisée pour éviter les fuites sonores.
  • Utilisez vos appareils dans une cage de Faraday pour éviter les fuites électromagnétiques.
  • Ne parlez pas d'informations sensibles dans un endroit où les ampoules pourraient être observées de l'extérieur.
  • Achetez vos appareils dans des endroits différents, imprévisibles et hors ligne (magasins) où la probabilité qu'ils soient infectés par de tels logiciels malveillants est plus faible.
  • Ne laissez personne accéder à vos ordinateurs protégés par un système d'air comprimé, à l'exception des personnes de confiance.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,651
Solutions
2
Reaction score
1,769
Points
113
Deals
666

Quelques ressources supplémentaires.


 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,651
Solutions
2
Reaction score
1,769
Points
113
Deals
666

Remarques.


Si vous ne pensez toujours pas que de telles informations peuvent être utilisées par divers acteurs pour vous pister, vous pouvez consulter quelques statistiques pour certaines plateformes. Gardez à l'esprit que ces statistiques ne prennent en compte que les demandes de données légales et ne tiennent pas compte de choses comme PRISM, MUSCULAR, SORM ou XKEYSCORE, expliquées plus haut :


 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,651
Solutions
2
Reaction score
1,769
Points
113
Deals
666

Préparations générales.


Personnellement, dans le contexte de ce guide, il est également intéressant de jeter un coup d'œil à votre modèle de sécurité. Et dans ce contexte, je n'en ai qu'un à recommander :


Zero-Trust Security ("Ne jamais faire confiance, toujours vérifier").


Voici quelques ressources sur ce qu'est la sécurité zéro confiance :


 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,651
Solutions
2
Reaction score
1,769
Points
113
Deals
666

Choisissez votre itinéraire.


Voici un petit diagramme UML de base montrant les options qui s'offrent à vous. Voir les détails ci-dessous.
2021 08 04 16 48
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,651
Solutions
2
Reaction score
1,769
Points
113
Deals
666

Limites temporelles.


  • Vous disposez de très peu de temps pour apprendre et vous avez besoin d'une solution rapide :
    • Votre meilleure option est d'opter pour la méthode Tails (à l'exception de la section sur le déni plausible persistant).
  • Vous avez le temps et surtout la volonté d'apprendre :
    • Optez pour n'importe quelle solution.
 
Top