Projet Darknet, partie 3: Encryptez tout.

Dernière modification: Juillet 2023

Cette partie, je l'écris pourquoi? Pour permettre à des gens normaux d'avoir un niveau raisonnable de vie privée sur un internet beaucoup trop ouvert, pour ne pas dire "vendu au plus offrant". Il est malheureux d'avoir besoin de chercher autant, et d'en faire autant, pour simplement ne pas soi-même devenir un ramassis d'informations tracées vendu à n'importe qui et n'importe quoi sur internet. Heureusement, des applications de plus en plus simples vous facilitent les choses.

Si tout ce que vous désirez, c'est de ne pas être traqué lors de vos recherches sur internet, je recommandes simplement d'installer le navigateur Tor, et de l'utiliser lorsque vous voulez être anonymes. À moins de vouloir enregistrer vos sites favoris, Tor n'enregistrera rien. Même pas les "cookies" (évidemment). Même aucune métadonnée ne peut vous identifier avec ça, en fait. (Ce qu'on appelle "métadonnées" sont en résumé les connexions aux serveurs. Plus d'infos sur les métadonnées seront à la fin de cette page.)

Les applications PGP/GPG: Pour encrypter vos fichiers et vos e-mails. "Pretty good, indeed!"

Chaque année on entend parler d'une nouvelle encryption, d'un nouveau système, d'un nouveau disque dur avec encryption (à la fois propriétaire et surtout douteuse) intégrée, etc. Mais pour encrypter vos fichiers pour les envoyer de façon privée, il y a PGP, pour "Pretty Good Privacy". Cette encryption existe depuis 1991, elle est devenue un standard libre et 100% gratuit, son code source est libre et 100% gratuit (donc tout le monde est totalement libre de vérifier s'il y a des failles dedans), et malgré tout ça, personne n'a réussi à la briser depuis (oui, depuis 1991). Bonus, par un excellent tour de passe-passe de "geek", si vous encryptez quelque chose pour un autre utilisateur de PGP, c'est leur mot de passe qu'ils devront utiliser pour le décrypter, et vice-versa. Fini les fichiers ".zip" encryptés (par je-ne-sais-trop quelle encryption) et les "c'est quoi le mot de passe?".

Beaucoup de personnes sont en prison aujourd'hui, arrêtées par le FBI ou autre, et leurs fichiers et/ou disques durs encryptés par PGP n'ont jamais réussi à être décodés "de force". "Qu'est-ce que vous voulez de plus?"

L'histoire du protocole Axolotl.

Eh bien, PGP fonctionne avec une seule "clé" d'encryption par personne, un seul mot de passe. Si quelqu'un découvre le mot de passe, ou si PGP réussit un jour à être décodé "de force", il a évidemment accès à tout ce qui a été encrypté pour vous depuis (possiblement) 1991 à l'aide de cette unique clé... et peut maintenant voler votre identité. Et évidemment, beaucoup trop de gens utilisent des mots de passe un peu trop simplistes du genre "allo123"... qui peuvent être trouvés de force avec des programmes gratuits en quelques secondes aujourd'hui.

Ce n'était pas suffisant pour la compagnie Open Whisper Systems qui voulait un système de messagerie instantanée sécuritaire, alors elle a inventée le protocole d'encryption Axolotl. L'idée ressemble à PGP, excepté que chaque message différent est encrypté avec une clé différente et un mot de passe différent, et tout est fait automatiquement sans que vous n'ayez besoin de même savoir ce qu'est un mot de passe. Alors si quelqu'un découvre que vous avez eu une conversation avec ce protocole, si cette personne ou organisation a même accès à toutes les données que vous avez envoyées via internet incluant la conversation complète à l'aide de Axolotl, et réussit à décrypter un message de la conversation, il n'aura accès qu'à ce seul et unique message-là. Même pas celui envoyé une seconde avant, ni après. Cette personne ou organisation devra répéter cela pour chaque foutu message (assumant que ça puisse être décrypté).

Pourquoi ne pas utiliser Signal.

Open Whisper Systems, les créateurs de Axolotl, qui ont créé TextSecure et SMSSecure, et qui ont permis l'existence du standard OMEMO, eh bien, c'est maintenant devenu Signal. La critique la plus évidente, et la plus connue, de l'application Signal, c'est qu'elle requiert obligatoirement que vous donniez votre numéro de téléphone à leurs serveurs. Ce qui est ironique (pour ne pas dire douteux), considérant que tout de Signal fonctionne maintenant via internet. Donc en plus d'être identifiées par votre numéro de téléphone, vos données, bien qu'elles soient encryptées, passent obligatoirement par les serveurs de Signal. Et si vous n'avez plus de "données cellulaires", vous recevez un beau message "le message n'a pas pu être envoyé".

Malheureusement, Signal est surtout connu pour autres choses. En 2019, c'était possible pour n'importe qui d'écouter le microphone d'un autre téléphone qui utilisait Signal. En plus, l'application Signal n'est plus open-source, donc beaucoup de son code ne peut pas être vérifié, et Signal dépendait pendant des années des services, donc aussi des serveurs, de Google. Par conséquent, ma recommandation est la suivante:

Vous avez déjà un numéro de téléphone cellulaire? Encryptez vos messages, photos, fichiers (SMS/MMS) avec l'application Silence pour Android.

Avant Signal, il y avait TextSecure et SMSSecure. Des applications qui permettaient, simplement, d'encrypter vos SMS. L'application a été abandonnée pour Signal, mais d'autres personnes en ont faits une application qui s'appelle maintenant Silence. Même pas besoin de (toujours) avoir des données cellulaires! Cette application utilise le protocole Axolotl, est open-source (gratuite, libre d'être vérifiée), et ne dépend aucunement des services de Google, ou d'un serveur quelconque (Bref: Vous avez un numéro de téléphone? C'est tout ce qu'il vous faut. Silence ne requiert pas internet, excepté peut-être pour son installation). Mieux encore, la page Silence.im a un canari. L'idée est simple: Il est illégal de dire "le gouvernement nous a obligé à mettre une faille dans notre programme pour savoir ce que vous faites", mais il n'est pas illégal de ne pas mettre à jour cette page affirmant le contraire. Pourquoi un "canari" ? C'est l'idée du canari dans la mine de charbon.

"Qu'est-ce que vous voulez de plus?" Disons que si tout ce que vous voulez, c'est ne pas être tracé pour des publicités ciblées, ou empêcher que des compagnies et applications aléatoires vendent vos infos, Silence, c'est démesurément suffisant. Notons quand même que les SMS/MMS étant ce qu'ils sont, bien qu'ils soient toujours encryptés par cette application, les fournisseurs de téléphone auront toujours des métadonnées qui prouveront quand et combien de fois vous avez envoyé des messages, et à quels numéros.

Vous avez déjà une adresse e-mail? Delta Chat: Une messagerie instantanée encryptée... via votre adresse e-mail!

Vous envoyez un e-mail aujourd'hui, et la personne concernée le reçoit dans la seconde qui suit. Tout le réseau fonctionne aussi rapidement sinon plus rapidement que la "messagerie instantanée". Des gens ont donc eu l'idée de créer Delta Chat: Un programme de messagerie instantanée disponible sur Android et sur ordinateur, qui va fonctionner en utilisant à la fois votre adresse e-mail et les serveurs d'e-mail que vous utilisez déjà. Tous vos messages seront encryptés grâce à la fameuse encryption PGP, et tout ça se fera automatiquement grâce à la fonction Autocrypt. Simple, n'est-ce pas?

"Qu'est-ce que vous voulez de plus?" Disons que si tout ce que vous voulez, c'est ne pas être tracé pour des publicités ciblées, ou empêcher que des compagnies et applications aléatoires vendent vos infos, Delta Chat, c'est démesurément suffisant.

L'application Conversations pour Android: Vos messages instantanés et vos fichiers, encryptés.

Sur Android, Conversations permet d'encrypter vos messages instantanés avec PGP, mais aussi via OMEMO (anciennement Axolotl). Vous avez le choix. Mais tout cela est un peu plus compliqué: C'est un client qui utilise le standard XMPP. Vous avez donc besoin de choisir, et utiliser, un serveur XMPP, qui supporte le standard OMEMO, pour que ça fonctionne (mais tous les serveurs XMPP sont différents, et certains sont payants). Enfin, les créateurs de Conversations ont aussi créé Quicksy: C'est simplement l'application Conversations, modifiée suffisamment pour se connecter automatiquement à leur propre serveur, et qui utilise votre numéro de téléphone cellulaire pour retrouver vos amis... Non merci pour moi, tout ça commence à ressembler à Signal.

Mais surtout... Ça ne sert à rien de tout encrypter si vous utilisez un système d'exploitation qui vous exploite.

  • Apple, par défaut, va prendre toutes vos photos, tous vos numéros de téléphone, tous vos messages, et, en résumé, faire une sauvegarde complète de votre ordiphone dans leur "cloud" aussi souvent que possible.
  • Solution: Bien sûr, ça se désactive. Mais, bonne chance. Sinon, à ce que je saches, aucun moyen de changer de système d'exploitation. Si vous ne voulez pas sortir de cette cage aux barreaux dorés que sont les produits Apple, considérez toute encryption "pour garder votre vie privée, privée" inutile.
  • Android, comme vous l'avez vu plus tôt, emmagasine une tonne d'infos à votre sujet. Bonus, j'ai du passer plus d'une heure à désactiver des options de traçage ou de sauvegarde "dans Google Cloud" lorsque j'ai réinstallé Android sur un cellulaire il y a plus de 5 ans.
  • Solution: Formatez votre cellulaire (...voilà pourquoi je préfères le mot ordiphone) et installez LineageOS. Mais ce n'est pas fini, parce que même si LineageOS est connu comme un système d'exploitation "sans Google"... il envoie toujours à Google chaque site web ou vous allez (il utilise le serveur DNS de Google), vérifie la connexion des nouveaux wifi via une adresse Google, augmente la vitesse de triangulation GPS grâce à un serveur de Google et y envoie votre IMEI ("l'empreinte" unique de votre cellulaire nécessaire pour avoir un numéro de téléphone) en même temps... Et utilise Google Chrome (webview) lorsqu'une application veut accéder à un site web. Ajout, Juillet 2023: C'est plus simple que je pensais. Ce vidéo YouTube vous montre comment faire tout ça en quelques minutes.
  • Les "Chromebooks" fonctionnent sous ChromeOS, fait par Google. Pas mal tout y est fait via internet. Formater le Chromebook pour y installer Linux est possible. Sinon, considérez toute encryption inutile.
  • Windows 10/11 emmagasinent un peu trop d'informations à votre sujet. Quand un système d'exploitation vous offre des options pour désactiver les publicités ciblées et le traçage... considérez toute encryption inutile.

    • La solution reste toujours sensiblement la même dans tous les cas: Installer Linux partout (...et pas Ubuntu, qui est ultra-capitaliste et vous trace au point de foutre des publicités Amazon lorsque vous cherchez dans votre ordinateur, et même des publicités dans le foutu terminal). Ubuntu est un ancien mot africain qui signifie "Je ne peux pas configurer Debian".

    Il reste un problème: Les métadonnées.

    Mais pourquoi s'en faire, maintenant que tout est déjà encrypté bout-à-bout par les meilleures encryptions connues? Parce que si une personne espionne votre connexion internet -- ou la connexion d'un des serveurs auquel vous vous connectez -- les métadonnées montrent que vous vous êtes connectés à votre serveur de e-mail, de messagerie XMPP (ou même, oui, au serveur de Signal), et combien de temps et combien de fois vous l'avez fait. Et dans certaines situations, c'est suffisant pour vous causer problème.

    Avec Signal, à moins d'avoir acheté votre téléphone et votre forfait de téléphone anonymement, votre anonymat, votre vie privée, dépend de "si oui ou non les propriétaires de Signal veulent partager vos métadonnées". Même Molly, qui est Signal en version renforcée, et qui permet d'envoyer vos messages Signal en passant par Tor, contient du code propriétaire de Google, et ne vous sauvera pas des métadonnées, parce que Signal... Reste basé sur votre numéro de téléphone, et les mêmes métadonnées sont envoyées au même serveur de Signal. Cela dit, Signal sont connus pour envoyer des pages blanches en réponse aux gouvernements et policiers lorsqu'ils demandent ces métadonnées (...apparemment). Avec Silence, c'est votre fournisseur de téléphone (et de SMS/MMS) qui a évidemment ces métadonnées. Avec Delta Chat comme avec Conversations, c'est le serveur e-mail ou XMPP que vous choisissez. Considérant qu'il y a des milliers de serveurs e-mail et XMPP, on peut parler de "sécurité par l'obscurité"... Mais il ne faut pas se fier à cette fausse impression de sécurité.

    Dans les cas ou vous voulez éviter les métadonnées, il vous sera donc nécessaire de "devenir un fantôme".

  • Projet Darknet: Comment accéder à ce site web, anonymement.
  • Projet Darknet, partie 2: À votre tour.
  • Projet Darknet, partie 3: Encryptez tout.
  • Projet Darknet, partie 4: Devenir un fantôme.