Projet Darknet, partie 3: Encryptez tout.


Si tout ce que vous désirez, c'est de ne pas être traqué lors de vos recherches sur internet, je recommandes simplement d'installer le navigateur Tor, et de l'utiliser sur le web que vous connaissez. À moins de vouloir enregistrer vos sites favoris, Tor n'enregistrera rien. Même pas les "cookies" (évidemment). Même aucune métadonnée ne peut vous identifier avec ça, en fait.


Métadonnées?


Les métadonnées, ce sont les données qui prouvent que votre cellulaire, ou votre adresse IP, avez envoyé un message à une autre adresse IP, un autre cellulaire. Parce que même si tout est encrypté, vous envoyez des données via internet (votre connexion vers le serveur, et l'autre connexion de ce serveur à l'autre téléphone cellulaire) qui permettront toujours de voir quand une personne a commencée et terminée une conversation, et avec qui. Avec Tor? Les serveurs, ce sont trois "noeuds" Tor différents et aléatoires chaque fois que vous ouvrez le Navigateur Tor. Des noeuds qui ne savent jamais d'ou vient la requête du noeud précédent. Mais bon. Si vous ne faites rien d'illégal via internet, les métadonnées ne seront jamais un problème pour vous.


Les applications PGP/GPG: Pour encrypter vos fichiers et vos e-mails. "Pretty good, indeed!"


Chaque année on entend parler d'une nouvelle encryption, d'un nouveau système, d'un nouveau disque dur avec encryption (à la fois propriétaire et surtout douteuse) intégrée, etc. Mais pour encrypter vos fichiers pour les envoyer de façon privée, il y a PGP, pour "Pretty Good Privacy". Cette encryption existe depuis 1991, elle est devenue un standard libre et 100% gratuit, son code source est libre et 100% gratuit (donc tout le monde est totalement libre de vérifier s'il y a des failles dedans), et malgré tout ça, personne n'a réussi à la briser depuis (oui, depuis 1991). Bonus, par un excellent tour de passe-passe de "geek", si vous encryptez quelque chose pour un autre utilisateur de PGP, c'est leur mot de passe qu'ils devront utiliser pour le décrypter, et vice-versa. Fini les fichiers ".zip" encryptés (par je-ne-sais-trop quelle encryption) et les "c'est quoi le mot de passe?".


Vous pouvez même encrypter vos messages instantanés avec PGP si vous utilisez XMPP, grâce à l'application Conversations sur Android (et des dizaines d'autres en fait, vu que le code source est libre d'utilisation). Beaucoup de personnes sont en prison aujourd'hui, arrêtées par le FBI ou autre, et leurs fichiers et/ou disques durs encryptés par PGP n'ont jamais réussi à être décodés "de force". "Qu'est-ce que vous voulez de plus?"


L'histoire du protocole Axolotl.


Eh bien, PGP fonctionne avec une seule "clé" d'encryption par personne, un seul mot de passe. Si quelqu'un découvre le mot de passe, ou si PGP réussit un jour à être décodé "de force", il a évidemment accès à tout ce qui a été encrypté pour vous depuis (possiblement) 1991 à l'aide de cette unique clé... et peut maintenant voler votre identité. Et évidemment, beaucoup trop de gens utilisent des mots de passe un peu trop simplistes du genre "allo123"... qui peuvent être trouvés de force avec des programmes gratuits en quelques secondes aujourd'hui.


Ce n'était pas suffisant pour la compagnie Open Whisper Systems qui voulait un système de messagerie instantanée sécuritaire, alors elle a inventée le protocole d'encryption Axolotl. L'idée ressemble à PGP, excepté que chaque message différent est encrypté avec une clé différente et un mot de passe différent, et tout est fait automatiquement sans que vous n'ayez besoin de même savoir ce qu'est un mot de passe. Alors si quelqu'un découvre que vous avez eu une conversation avec ce protocole, si cette personne ou organisation a même accès à toutes les données que vous avez envoyées via internet incluant la conversation complète à l'aide de Axolotl, et réussit à décrypter un message de la conversation, il n'aura accès qu'à ce seul et unique message-là. Même pas celui envoyé une seconde avant, ni après. Cette personne ou organisation devra répéter cela pour chaque foutu message (assumant que ça puisse être décrypté).


L'application Silence pour Android: Vos messages, photos, fichiers SMS, encryptés.


Avant Signal, il y avait TextSecure et SMSSecure. Des applications qui permettaient, simplement, d'encrypter vos SMS. L'application a été abandonnée pour Signal, mais d'autres en ont faits une application qui s'appelle maintenant "Silence". Même pas besoin de (toujours) avoir des données cellulaires! Et surtout, l'application est open-source (gratuite, libre d'être vérifiée), et ne dépend aucunement des services de Google, ou d'un serveur quelconque (uniquement de votre fournisseur de téléphone). Mieux encore, la page de Silence.im a un canari. L'idée est simple: Il est illégal de dire "le gouvernement nous a obligé à mettre une faille dans notre programme pour savoir ce que vous faites", mais il n'est pas illégal de ne pas mettre à jour une page affirmant le contraire. Pourquoi un "canari" ? C'est l'idée du canari dans la mine de charbon.


"Qu'est-ce que vous voulez de plus?" Disons que si tout ce que vous voulez, c'est ne pas être tracé pour des publicités ciblées, ou empêcher que des compagnies et applications aléatoires vendent vos infos, Silence, c'est démesurément suffisant.


L'application Conversations pour Android: Vos messages instantanés et vos fichiers, encryptés.


Plus tôt, je parlais de Conversations sur Android, qui permet d'encrypter vos messages avec PGP. Le protocole d'encryption Axolotl est utilisé dans le standard OMEMO pour XMPP. L'application Conversations permet aussi d'encrypter vos messages via OMEMO, anciennement Axolotl. Le problème numéro un, c'est que tout le monde n'est pas suffisamment "geek" pour programmer tout ça. Le problème numéro deux, c'est que vous avez besoin de choisir, et utiliser, un serveur XMPP qui supporte le standard OMEMO (tous les serveurs XMPP sont différents), pour que ça fonctionne. Les créateurs de Conversations ont créé Quicksy. C'est simplement l'application Conversations, modifiée suffisamment pour se connecter automatiquement à leur propre serveur. Le fait que l'application Conversations soit 3.99$ sur le Play Store, mais que Quicksy soit gratuite est effectivement très étrange. Mais si vous allez dans la configuration et forcez l'encryption OMEMO ou PGP, et que vous vous foutez qu'on ait des métadonnées à propos de vous, Quicksy est démesurément suffisant. Je note obligatoirement que l'application Conversations a quand même toujours été gratuite sur F-Droid. Visiblement, vous payez via Google Play pour avoir les mises à jour aussitôt que possible.


Ajout: Pourquoi ne pas utiliser Signal.


Open Whisper Systems, les créateurs de Axolotl, qui ont créé TextSecure et SMSSecure, et qui ont permis l'existence du standard OMEMO, eh bien, c'est maintenant Signal. La critique la plus évidente, et la plus connue, de l'application Signal, c'est qu'elle requiert obligatoirement que vous donniez votre numéro de téléphone à leurs serveurs. En plus, tout ça fonctionne via internet. Alors vos données, bien qu'elles soient encryptées, passent obligatoirement par les serveurs de Signal. Et si vous n'avez pas de "données cellulaires", vous recevez un beau message "le message n'a pas pu être envoyé".


Malheureusement, Signal est aussi connu pour autre chose. En 2019, c'était possible pour n'importe qui d'écouter le microphone d'un autre téléphone qui utilisait Signal. Et malheureusement, l'application Signal n'est plus open-source, donc beaucoup de son code ne peut pas être vérifié, et Signal dépendait pendant des années des services, donc aussi des serveurs, de Google.


Les métadonnées, encore.


Avec Signal, à moins d'avoir acheté votre téléphone anonymement, votre anonymat, votre vie privée, dépend de "si oui ou non les propriétaires de Signal veulent partager vos métadonnées". Même Molly, qui est Signal en version renforcée, et qui permet d'envoyer vos messages Signal en passant par Tor, contient du code propriétaire de Google, et ne vous sauvera pas des métadonnées, parce que Signal... Reste basé sur votre numéro de téléphone, et les mêmes métadonnées sont envoyées au même serveur de Signal. Cela dit, Signal sont connus pour envoyer des pages blanches en réponse aux gouvernements et policiers lorsqu'ils demandent ces métadonnées. Avec Silence, c'est votre fournisseur de téléphone (de SMS) qui a évidemment ces métadonnées. Avec Quicksy, c'est le serveur Quicksy.im, qui semble simplement appartenir à une compagnie d'hébergement allemande (au moins, pas à Google ou Amazon, qui vendent toutes vos infos). Avec Conversations, c'est le serveur XMPP que vous choisissez. Considérant qu'il y a des milliers de serveurs XMPP, on peut parler de "sécurité par l'obscurité"... Mais il ne faut pas se fier à cette fausse impression de sécurité.


Si les métadonnées vous causent problème, Orbot pour Android est à votre rescousse: Il enverra toutes les (méta)données de Silence, de Conversations ou de votre application de e-mail, à travers quelques-uns des milliers de noeuds Tor.


L'application RetroShare: Si vous voulez TOUT avoir!


Vous vous souvenez du "bon vieux temps" ou il fallait demander l'adresse de quelqu'un pour lui parler? Mais surtout, ou on pouvait se créer un blog, chatter, s'envoyer des fichiers sans limites? RetroShare, c'est tout ça. C'est discord, des blogs, des forums, de la messagerie instantanée, même une fonction e-mail et tous les fichiers que vous voulez partager, le tout entre vos amis, tout dans une seule application, dans votre barre de tâches. Vous faites votre compte et, comme par magie, vous êtes protégés via encryption PGP ainsi que SSL, ce qui empêche complètement qui que ce soit (incluant même votre fournisseur d'accès internet) de savoir ce que vous partagez avec vos amis, de toutes les façons mentionnées ci-haut. Tout ce que vous avez à faire, c'est de donner votre "RetroShare ID" à vos amis à qui vous voulez tout partager.

RetroShare n'est pas un réseau P2P complètement libre comme (anciennement) Napster, etc., mais plutôt un F2F: Un réseau "d'ami à ami", ou "friend to friend". Vous donnez le lien, et votre ami peut se connecter, et... voir votre adresse IP, et/ou pirater votre ordinateur, et/ou vous accuser de télécharger illégalement des choses et/ou d'avoir fait telle chose illégale mentionnée dans vos e-mails si ce n'est pas un ami fiable. Mais depuis peu, RetroShare vous permet aussi de vous créer un acompte avec "Tor", qui se connectera (encore une fois, automatiquement!) à chaque fois uniquement via le réseau Tor, ce qui empêchera même vos "amis" de voir votre adresse IP. Mais ils n'ont même pas besoin de le savoir! Encore une fois, tout ce que vous avez à faire, c'est de donner votre "RetroShare ID" à vos amis avec qui vous voulez tout partager.


Et vous revoilà, comme par magie, au "bon vieux temps" ou on n'avait pas peur perdre notre adresse e-mail ou un compte quelconque simplement pour avoir envoyé un mp3 ou un CD à un ami -- qu'on l'ait acheté pour lui ou non. Surtout, au "bon vieux temps" ou les compagnies ne monnayaient pas absolument toute possible information sur nous, simplement parce qu'on veut parler à nos amis sur internet -- parce qu'absolument toute information partagée via RetroShare leur est absolument impossible à voir... Parce que des réseaux F2F comme ça sont, par définition, des "darknets".


Et finalement, mais surtout... Ça ne sert à rien de tout encrypter si vous utilisez un système d'exploitation qui vous exploite.


  • Apple, par défaut, va prendre toutes vos photos, tous vos numéros de téléphone, tous vos messages, et, en résumé, faire une sauvegarde complète de votre ordiphone dans leur "cloud" aussi souvent que possible.
  • Solution: Bien sûr, ça se désactive. Mais, bonne chance. Sinon, à ce que je saches, aucun moyen de changer de système d'exploitation. Si vous ne voulez pas sortir de cette cage aux barreaux dorés que sont les produits Apple, considérez toute encryption "pour garder votre vie privée, privée" inutile.
  • Android, comme vous l'avez vu plus tôt, emmagasine une tonne d'infos à votre sujet. Bonus, j'ai du passer plus d'une heure à désactiver des options de traçage ou de sauvegarde "dans Google Cloud" lorsque j'ai réinstallé Android sur un cellulaire il y a plus de 5 ans.
  • Solution: Formatez votre cellulaire (...voilà pourquoi je préfères le mot ordiphone) et installez LineageOS avec MicroG. Mais ce n'est pas fini, parce que même si LineageOS est connu comme un système d'exploitation "sans Google"... il envoie toujours à Google chaque site web ou vous allez (il utilise le serveur DNS de Google), vérifie la connexion des nouveaux wifi via une adresse Google, augmente la vitesse de triangulation GPS grâce à un serveur de Google et y envoie votre IMEI ("l'empreinte" unique de votre cellulaire nécessaire pour avoir un numéro de téléphone) en même temps... Et utilise Google Chrome (webview) lorsqu'une application veut accéder à un site web.
  • Les "Chromebooks" fonctionnent sous ChromeOS, fait par Google. Pas mal tout y est fait via internet. Formater le Chromebook pour y installer Linux est possible. Sinon, considérez toute encryption inutile.
  • Windows 10/11 emmagasinent un peu trop d'informations à votre sujet. Quand un système d'exploitation vous offre des options pour désactiver les publicités ciblées et le traçage... considérez toute encryption inutile.


  • La solution reste toujours sensiblement la même dans tous les cas: Installer Linux partout (...et pas Ubuntu, qui est ultra-capitaliste et vous trace au point de foutre des publicités Amazon lorsque vous cherchez dans votre ordinateur, et même des publicités dans le foutu terminal). Ubuntu est un ancien mot africain qui signifie "Je ne peux pas configurer Debian".


  • Projet Darknet: Comment accéder à ce site web, anonymement.
  • Projet Darknet, partie 2: À votre tour.
  • Projet Darknet, partie 3: Encryptez tout.