Anonymat sur Internet
L'anonymat sur Internet est une expression traduisant diverses notions relatives à plusieurs domaines dont l'informatique, le droit et le social.
Différentes affaires laissent penser que l'anonymat ne peut être garanti en tant que tel sur internet : « il y a simplement trop de façons d’être pisté »[1] (voir trace numérique). En particulier, certaines instances gouvernementales[note 1] disposent de moyens techniques pouvant être secrets afin de surveiller « à peu près tout ce qu'un utilisateur lambda » peut faire sur la toile[2].
En informatique, il s'agit des techniques compliquant l'identification des machines qui ont reçu ou transmis de l'information sur la toile ; en droit il s'agit des procédures destinées à retrouver l'auteur d'une transaction Internet ; au niveau social il s'agit d'un mode de communication entre citoyens plus difficile à surveiller, ce qui relance des enjeux de société en matière de vie privée et informatique mais aussi de cybercrime. Dans tous les cas, l'anonymat total sur Internet n'existe pas, on ne peut que rendre plus difficile l'identification.
Moyens techniques
Il existe différents moyens techniques, correspondant à différents usages.
Consultation de pages web via un anonymiseur, et envoi d'emails
Certains serveurs sur Internet sont mis en place (parfois gratuits, parfois payants) pour fournir un service de masquage de votre adresse IP (VPN, proxy). Typiquement, cela nécessite de se rendre avec un navigateur web sur le site web du serveur d'anonymat, et d'y entrer l'URL de la page que vous souhaitez consulter anonymement.
Il existe aussi des serveurs de courriel anonyme, pour l'envoi d'e-mails.
Logiciel Peer-to-Peer (téléchargement de fichiers)
Ce sont des logiciels masquant votre adresse IP aux clients avec qui vous partagez des fichiers.
Utilisation d'un réseau anonyme
Les réseaux anonymes sont des surcouches logicielles à Internet. Ils nécessitent l'installation d'un logiciel spécial sur votre ordinateur. Le protocole varie d'un logiciel à l'autre (ex. : routage en oignon pour Tor).
Ils peuvent offrir différents services :
- masquer votre IP pour accéder à un service web classique (une page web par exemple) comme Tor ;
- l'hébergement de sites web (Freenet, I2P, Tor) ;
- courrier électronique interne au réseau anonyme (RetroShare, I2P, Freenet Freemail) ;
- courrier électronique entre le réseau anonyme et Internet (Tor ou I2P) ;
- messagerie instantanée (RetroShare)
- salon de discussion (RetroShare, I2P IRC, Freenet Sone)
- autres usages : parfois, des logiciels qui utilisent ces réseaux sont spécifiquement développés, comme Imule (logiciel de partage de fichiers en pair à pair sur le réseau I2P) ou Syndie, un gestionnaire sécurisé de blogs et de forums sur I2P.
Ces réseaux souffrent toutefois d'une certaine lenteur (voir latence (informatique)) car les communications passent par plusieurs machines successives avant d'obtenir la ressource internet demandée, ainsi que d'une faible base d'utilisateurs.
Intrusion sur le réseau d'un particulier ou d'une entreprise
L'intrusion peut se faire physiquement (écoute pour des besoins d'une enquête judiciaire par exemple), soit par communication radio pour les réseaux WIFI, en déchiffrant la clé d'accès au réseau avec un logiciel dédié comme Aircrack. L'intrusion peut aussi être dédiée à un service particulier : un spammeur voulant envoyer massivement des e-mails peut se contenter de pirater le mot de passe d'un compte e-mail d'une autre personne (voir aussi : Usurpation d'identité).
Complicité d'un fournisseur d'accès
Des fournisseurs d'accès tels qu'IPREDator ou No-log disent ne garder aucune trace numérique des connexions faites par l'intermédiaire de leurs services.
Problématiques légales
Anonymisation via un Fournisseur d'accès à Internet (FAI) ouvert : exemple de No-Log
L'adoption de multiples mesures légales visant à contrôler l'Internet pourrait laisser croire que le législateur a pensé à traquer l’internaute dès lors qu'il accède à Internet via son fournisseur d'accès à Internet (FAI) (Le FAI étant le mode d'accès à Internet quasi-exclusif des particuliers). Or, l’article de loi française 29 en IV de la loi du 15 novembre 2001 sur la sécurité quotidienne[3] vouée au renforcement de la sécurité quotidienne à l’instar du Patriot act américain est laconique et n’oblige en rien la récolte de l’identité réelle de l'internaute par son FAI mais seulement une donnée technique (l’adresse IP) censée permettre l’identification de l'internaute. En effet, une connexion à Internet via un FAI, c’est techniquement l’attribution d’une adresse IP par ledit FAI. Un fichier de journalisation (log) indiquera quelle ligne téléphonique utilisait quelle adresse IP à un temps t et ainsi on peut savoir à quel endroit la connexion à Internet a été initiée - et donc depuis quel domicile par exemple (celui-ci pouvant toutefois correspondre à plusieurs internautes). Avec les lignes de type xDSL, la porte d'accès à l’Internet permet de contrôler de deux façons l’accès : la porte est en effet une ligne matériellement câblée par l’opérateur telecom.
Les identifiants (nom d'utilisateur (login) et mot de passe) attribués lors de l’abonnement moyennant un document attestant de la domiciliation du demandeur ne fonctionnent que depuis un seul endroit. Les identifiants en question correspondent au droit d’accès de la personne sur document nominatif susmentionné plus pièce d’identité.
À contre-courant de ces méthodes, le FAI No-Log.org[4] fournit un identifiant et un mot de passe permettant l’ouverture d’une porte d'accès à Internet qui fonctionne depuis n’importe quelle prise de téléphone (accès empruntant la ligne téléphonique classique par modem RTC, i.e. l'accès qui existait avant l’avènement des lignes DSL) et ce, sans demander aucune information personnelle (No-Log.org facture à la minute payable par le souscripteur de l’abonnement téléphonique de la ligne, qui est donc utilisée comme tout numéro surtaxé).
Ainsi, une personne se rendant dans un cybercafé, payant en espèces une demi-heure de connexion le temps d’obtenir un login et un mot de passe via le site no-log, pourra utiliser par la suite ces identifiants via n’importe quelle prise de téléphone et utiliser Internet en restant dans un anonymat relatif.
Anonymisation par chaînage de serveur mandataire (proxy)
Lorsqu’un internaute se connecte à internet, son fournisseur d’accès lui fournit une adresse IP : un numéro unique à un moment donné. Lorsque l’internaute tente d'entrer en contact avec un ordinateur sur Internet, de visiter un site, une trace de connexion (IP et moment) est conservée sur l’ordinateur visité : c’est un journal ou log. Ainsi, il est possible d’établir d'où vient la connexion effectuée sur Internet.
Il existe des serveurs mandataires, aussi appelés proxy, qui servent d'intermédiaires entre un ordinateur et le serveur de destination. Appelons « M » ce serveur mandataire. Une personne pourra se connecter via « M » et lorsqu’il laissera des traces dans les logs des serveurs et sites qu’il visitera durant cette même session de surf, ce sera l’adresse IP de « M » qui sera inscrite dans lesdits journaux.
Ces logiciels proxy ont eux aussi un système de journalisation et si la personne qui s’est servie de « M » s’avise de perpétrer un méfait, son adresse IP est inscrite dans les journaux de « M » avec les heures de connexion, il suffit de les fournir aux enquêteurs de police en cas de mise en cause. Le système se complique dès lors que le malfaiteur fait du proxy chaining : il se connecte à une multitude de proxies les uns à la suite des autres de préférence dans un maximum de pays différents. Dans ce cas, le juge d’instruction lance une commission rogatoire internationale.
Dans la plupart des pays, les logs sont conservés pendant un an (en France par exemple[5]). Si en Europe ce genre d’action est facilitée par les dispositions établies dans le cadre du chantier de lutte contre la cybercriminalité, notamment par son article 18, remonter une chaîne de proxies qui passe par l’Iran, le Mozambique, l’Ouzbékistan et les îles Feroe sera difficilement possible dans le temps imparti. Cela dit, une tendance vers une meilleure coopération de toutes parts se dessine, notamment lorsque le méfait est de nature pédopornographique par exemple, l’arrestation récente de Christopher Neil alias Vico le démontre bien. Des mesures et accords sont passés dans beaucoup de pays (cf. chantier sur la cybercriminalité[6]), le succès des opérations Falcon et Genesis[7] en témoigne.
Bien que le chantier sus-mentionné prévoie un doublement des effectifs de la cyberpolice en France pour atteindre environ 600 individus en 2008, qu’une veille soit instaurée, le célèbre manifeste du hacker déclamé par The Mentor en 1986 (dans le magazine électronique underground Phrack) reste d’actualité : « Vous pouvez arrêter cet individu, mais vous ne pouvez pas tous nous arrêter ». Fameuse assertion illustrant que le cybercriminel a le facteur temps en sa faveur. Dans les faits, on retiendra que les moyens mis en œuvre pour remonter une chaîne de proxies sont variables selon l’importance de l’affaire. Il existe une autre technique identique à un point près : un logiciel de proxying qui n’enregistre aucun log qui inquiète les divers services de surveillance car, à l’instar de Skype, les grandes oreilles de type Echelon n’y entendent rien, à moins de mettre spécifiquement sur écoute un nœud dudit réseau.
Anonymisation via Tor
Comme tous les autres réseaux, Tor n’est pas parfait et ne peut garantir l’anonymisation absolue de l’utilisateur. Les outils garantissant l’anonymat préoccupent les garants de la loi. Lorsqu’un utilisateur « U » héberge lui-même un banal proxy, il peut fournir les logs permettant aux divers services (BEFTI, OCLCTIC) de retrouver le malfaiteur qui s’est servi de son proxy. Dans ce cas, les charges éventuelles de recel[8] ne sont pas retenues contre « U ». Il n’est pas convaincu d’animus injuriendi.
À l’heure actuelle, aucune jurisprudence n’existe en France au sujet de Tor, mais, ne disposant d’aucune trace de connexion via la machine de l’utilisateur « U », on peut présumer que dans le cas d’une personne utilisant le proxy de « U » pour passer outre la loi, « U » devrait rendre des comptes. En l’absence de preuve de connexions chez « U », il y a fort à parier que « U » serait désigné coupable. Utiliser Tor est à double sens : cela permet à chaque utilisateur du réseau Tor de potentiellement passer par chez « U » anonymement mais c’est également la possibilité pour « U » de devenir lui-même anonyme. Parmi les utilisations indésirables qui ont déjà été faites via le réseau d’anonymisation Tor, on peut noter par exemple : l’envoi de pourriel sur les forums de discussion de Usenet, des demandes anonymes de rançon par Internet à des entreprises, l’utilisation de l’IRC pour provoquer ou insulter les autres utilisateurs. Une contre-mesure plus ou moins efficace pour empêcher les utilisateurs de Tor d'accéder à un site consiste à récupérer périodiquement la liste[9] des nœuds Tor et de les bannir.
L’accès anonyme à Internet par intrusion d’un réseau Wifi
L’accès anonyme à Internet par intrusion d’un réseau Wifi consiste à utiliser la connexion d’un particulier par voie aérienne. Des gens mal intentionnés en quête d'accès internet gratuit/anonyme sillonnent les grandes villes à bord des voitures. Équipés d’ordinateurs portables et de paraboles afin de capter un maximum de réseaux dans ce but. Techniquement, la protection fournie par les opérateurs est un chiffrement associé à la box de l’abonné. Pour se connecter à une connexion internet de ce type, il faut posséder la clé qui va déchiffrer les ondes reçues. Là où le bât blesse, c’est que parmi les différents chiffrement existants pour ce mode de transmission, deux sont particulièrement prisés par les FAI : WEP alors qu'il existe des systèmes à clés tournantes beaucoup plus sûrs (ex. : WPA et WPA2). Or, une clé de taille classique pour ce chiffrement est décryptable en quelques secondes[10] par divination, la méthode consistant à récupérer assez de paquets pour que le cryptoanalyse fonctionne.
Ici les FAI contreviennent à la loi de plusieurs manières puisque d’une part « ils doivent mettre en œuvre tous moyens afin de protéger leur réseau, notamment du piratage et du téléchargement illégal, et d’assurer la sécurité des communications »[11] et ce n’est pas le cas car seul le chiffrement comme moyen d’entrave à l’intrusion est activé par défaut (Orange a récemment évolué dans le bon sens avec sa Live Box) et d’autre part « Les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne informent leurs abonnés de l’existence de moyens techniques permettant de restreindre l’accès à certains services ou de les sélectionner et leur proposent au moins un de ces moyens »[12] et ce n’est pas le cas non plus puisque les boxes susmentionnées offrent des possibilités de protection bien meilleures (inaccessibles au béotien sans une notice expliquant clairement comment les mettre en œuvre, lesdites notices omettant souvent de mentionner que sans ces protections activées, le réseau est facilement pénétrable).
Pour en revenir au cas où quelqu'un casserait la clé de chiffrement d’un réseau wifi, y pénétrerait[13] puis accèderait à Internet pour y commettre des crimes et/ou délits. Que se passerait-il ? l’adresse IP de l’abonné serait répertoriée dans les journaux des machines hébergeant les sites visités. Grâce à cette IP, les enquêteurs de police pourraient savoir à quel FAI français s’adresser (les FAI louent des plages d’IP, si l’adresse est dans une plage précise, on sait quel FAI en dispose) et lui demander de fournir les informations dont il dispose sur l’utilisateur. L’utilisateur pourrait arguer que ce n’est pas lui et suivant les compétences des enquêteurs chargés de l'affaire, il pourrait être lavé de tout soupçon après examen des fichiers de journalisation de sa box (cela dit il n’existe encore aucune jurisprudence française pour un tel cas). En effet, la plupart des boxes gardent une trace des adresses MAC qui lui demandent accès à Internet à un moment donné. Finalement, le coupable serait – très – difficilement retrouvable.
Raisons de la volonté de préserver l'anonymat
Télécharger des fichiers protégés par le droit d'auteur
L'utilisation d'un logiciel d'anonymat peut devenir un moyen illégal de contourner les lois sur le téléchargement d'œuvres protégées par le droit d'auteur.
Contourner la censure
Certains pays comme la Chine (voir: Censure de l'Internet en République populaire de Chine) ou la Tunisie (voir : Censure en Tunisie) censurent régulièrement l'accès à certains sites web. Le réseau Tor permet sous certaines conditions d'aider les internautes censurés à surfer plus librement sur la toile.
Contourner une règlementation privée
L'anonymat peut-être utilisé par un salarié qui souhaite outrepasser le règlement intérieur de son entreprise lorsque celle-ci a mis en place une politique d'accès restrictive à Internet (voir: Filtrage d'Internet).
Il peut être utilisé par un enfant mineur qui souhaite contourner un système de Contrôle parental)
Couvrir une activité réprimée
L'anonymat peut être utilisé pour échapper à la loi en vigueur dans certains pays (censure de l'Internet en République populaire de Chine, expression de certaines opinions en France), échanger ou consulter des contenus jugés subversifs ou être utilisé pour envoyer massivement des emails commerciaux (spam).
Respect de la vie privée
Des internautes veulent parfois conserver un anonymat. Par exemple :
- blog critique sur une entreprise pour un salarié (ex. : lanceur d'alerte) ;
- activité syndicale souhaitant éviter la répression antisyndicale.
Liberté de conscience
Début 2019, en France, le président Macron affirme sa volonté de supprimer l'anonymat sur internet. Plusieurs voix s'élèvent pour défendre le droit à l'anonymat. L'avocat spécialiste du numérique Jean-Baptiste Soufron rappelle que l'anonymat sur internet est une garantie de la liberté de conscience[14]. Le Figaro rappelle que l'anonymat protège aussi les plus faibles[15]. Télérama s'interroge sur les objectifs du pouvoir et sur la volonté de dissuader les mécontents et d'effrayer les plus vulnérables[16].
Suivi invisible
Des publicités en ligne identifient secrètement les utilisateurs de site web grâce à des formulaires invisibles qui sont automatiquement remplis par le gestionnaire de mots de passe intégré au navigateur. Cette pratique est réalisée à l'insu de la personne concernée.
Comme l'adresse de courrier électronique ne change que très rarement, l'effacement des cookies, l'utilisation d'un mode de navigation privée ou le changement d'ordinateur ne permettent pas d'éviter le suivi[17].
Ils permettent également de relier entre eux les différents historiques de navigation.
Notes et références
Notes
- Par exemple, pour les Etats-Unis, il s'agit entre autres de la NSA
Références
- « Internet : les puissants reprennent les rênes », sur InternetActu, (consulté le ).
- Le Point.fr, « Snowden : nouvelles révélations après la déclassification », sur lepoint.fr, (consulté le ).
- legifrance.gouv.fr
- no-log.org
- legifrance.gouv.fr
- dess-droit-internet.univ-paris1.fr
- geneve.ch
- legifrance.gouv.fr
- xenobite.eu
- billyboylindien.com
- legifrance.gouv.fr
- legifrance.gouv.fr
- encyclo.erid.net
- « "L'anonymat sur internet est une garantie essentielle de la liberté de conscience" », sur L'Obs (consulté le )
- « Être anonyme sur Internet, pour quoi faire? », sur FIGARO, (consulté le )
- « En défense de l'anonymat sur Internet », sur Télérama.fr (consulté le )
- (en) « Ad targeters are secretly tracking people across the internet through invisible login forms », sur The Independent (consulté le ).
Annexes
Articles connexes
- Catégorie:Système informatique d'anonymat
- Pseudonymat
- Big Brother
- Darknet
- Libertés sur Internet
- Vie privée et informatique
- Exemples de programmes de surveillance gouvernementaux : INDECT (Europe), PRISM, Bullrun
- List of government surveillance projects (en)
France :
- Brigade d'enquête sur les fraudes aux technologies de l'information (BEFTI)
- Loi Hadopi
- Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC)
États-Unis :
- Digital Millennium Copyright Act
- Global Internet Freedom Act
- USA PATRIOT Act
- NSA
- Portail de la sécurité informatique
- Portail d’Internet
- Portail du droit
- Portail de la cryptologie