Choisir un OS ou un environnement pour un usage anonyme
Quand on veut renforcer l'anonymat, un navigateur suffit parfois. Dans d'autres cas, il vaut mieux séparer l'OS ou l'appareil.
Le niveau de séparation nécessaire dépend du risque.
S'agit-il d'une mesure légère de protection de la vie privée ? Veut-on séparer un compte en nom réel et un compte anonyme ? Faut-il protéger une source ou une personne lanceuse d'alerte ? Faut-il envisager un adversaire très capable, comme une organisation ou un État ?
Cet article organise la manière de réfléchir au choix d'un OS ou d'un environnement pour un usage anonyme.
Commencer par séparer les risques
Avant de choisir un environnement, on sépare les risques.
| Situation | Environnement à envisager | Raison |
|---|---|---|
| Séparation légère de navigation | Navigateur séparé, profil séparé | Séparer les cookies et l'état de connexion |
| Publication anonyme | Navigateur pour usage anonyme, ou | Séparer le chemin de communication et le compte |
| Partage de fichiers | Environnement de travail dédié, vérification des métadonnées | Éviter l'historique des fichiers et les informations d'auteur |
| Transmission d'informations à haut risque | Tails, Whonix, appareil dédié | Éviter le mélange avec l'environnement en nom réel |
| Séparation à long terme | Qubes OS, plusieurs environnements | Séparer les environnements selon l'activité |
Il n'est pas nécessaire de choisir d'emblée l'environnement le plus difficile. Un environnement avancé qui ne correspond pas à l'objectif peut provoquer des erreurs d'utilisation.
Choisir un OS ou un environnement pour un usage anonyme ne consiste pas à choisir le nom le plus impressionnant. Le choix dépend de ce que l'on veut protéger, de l'adversaire envisagé et de la durée pendant laquelle on continuera à l'utiliser. Même dans un environnement avancé, l'anonymat s'effondre si l'on se connecte à un compte en nom réel. À l'inverse, pour des usages à faible risque, un navigateur séparé et une séparation des comptes peuvent suffire.
D'abord, on décide ce qu'il faut protéger. Est-ce l'IP source, le mélange avec le navigateur en nom réel, l'historique des fichiers ou les traces laissées sur l'appareil ? Si l'objet à protéger change, l'environnement à choisir change aussi.
Quand la séparation du navigateur suffit
Si l'on veut seulement séparer des comptes en nom réel et des comptes anonymes, la séparation du navigateur est d'abord importante.
Dans le navigateur destiné à l'usage anonyme, on ne se connecte pas à des comptes en nom réel. On n'utilise pas la synchronisation du navigateur. On n'installe pas les extensions utilisées au quotidien.
Ce niveau suffit dans certaines situations.
Toutefois, si l'appareil lui-même contient beaucoup de fichiers en nom réel ou de synchronisation cloud, les manipulations de fichiers peuvent se mélanger.
La séparation du navigateur est la première mesure réaliste à prendre. Elle permet de séparer cookies, état de connexion, historique et mots de passe enregistrés. En respectant des règles comme ne pas ouvrir de comptes en nom réel dans le navigateur anonyme, ne pas utiliser la synchronisation et ne pas multiplier les extensions, on réduit de nombreuses erreurs de manipulation.
Mais la séparation du navigateur ne sépare pas l'appareil entier. Le dossier de téléchargement, le presse-papiers, les notifications, la synchronisation cloud et les associations de fichiers restent communs sur le même appareil. Pour les activités anonymes qui manipulent des fichiers, il faut faire attention à ces parties partagées.
Quand Tails est adapté
Tails est adapté quand on veut travailler temporairement, séparé de son OS habituel.
Il est conçu pour démarrer depuis une clé USB ou un support similaire et utiliser Tor. Il vise une utilisation qui laisse moins de traces sur l'appareil.
Tails est présenté ici parce qu'il facilite la création d'un environnement de travail anonyme temporaire, séparé de l'OS utilisé au quotidien. Son site officiel permet de vérifier une conception fondée sur un démarrage depuis une clé USB ou un support similaire et sur l'usage de Tor. URL : https://tails.net/
Il peut être envisagé pour un travail anonyme court, un travail séparé de l'environnement PC habituel ou l'accès à l'information sous censure.
Cependant, les méthodes d'enregistrement, la sortie de fichiers et les connexions en nom réel exigent de la prudence.
Tails est facile à comprendre si on le considère comme un environnement de travail temporaire. En utilisant Tor dans un environnement distinct sans démarrer l'OS quotidien, on réduit le mélange avec l'environnement normal. Mais si l'on enregistre des fichiers, si on les transporte vers un autre environnement ou si l'on se connecte à un compte en nom réel, des corrélations apparaissent.
Même avec Tails, on vérifie le contenu publié, les métadonnées des fichiers, l'état de connexion et l'heure de publication. Même si l'environnement est solide, les erreurs de pratique restent possibles.
Quand Whonix est adapté
Whonix est adapté quand on veut travailler avec des communications passant par Tor, en séparant Whonix-Gateway et Whonix-Workstation.
Whonix est présenté ici parce qu'il permet d'apprendre une conception qui sépare l'environnement de travail de la passerelle qui envoie les communications vers Tor. C'est une option quand on veut effectuer un travail continu via Tor. URL : https://www.whonix.org/
Il peut être envisagé lorsque l'on veut travailler durablement via Tor ou réduire les fuites vers la connexion normale.
Mais il faut comprendre les environnements virtuels et les réseaux. Si on l'utilise sans comprendre les réglages et la pratique, on n'obtient pas la séparation attendue.
Whonix devient une option lorsqu'on veut créer un environnement de travail continu via Tor. Sa conception oriente les communications vers Tor, mais si la personne qui l'utilise ne comprend pas les environnements virtuels, le partage de fichiers, le presse-papiers et les communications hors navigateur, des chemins inattendus peuvent apparaître.
Si l'on choisit Whonix, on lit la documentation officielle et on vérifie ce qui est protégé et ce qui ne l'est pas. Choisir seulement sur le nom empêche de remarquer les erreurs de configuration.
Quand Qubes OS est adapté
Qubes OS est un OS qui met l'accent sur la séparation du travail en plusieurs environnements isolés.
Qubes OS est présenté ici parce que, même s'il n'est pas exclusivement dédié à l'anonymat, il enseigne fortement l'idée de séparer les environnements par tâche. Il peut être envisagé quand on veut séparer travail en nom réel, travail anonyme et vérification de fichiers dangereux. URL : https://www.qubes-os.org/
Il peut être envisagé quand on veut séparer travail en nom réel, travail anonyme, activité professionnelle, usage personnel ou vérification de fichiers dangereux.
Cependant, son installation et sa pratique demandent un apprentissage important. Il faut se demander si l'on pourra continuer à l'utiliser au quotidien.
Qubes OS est un candidat solide quand on veut séparer les environnements par usage, par exemple travail, vie personnelle, activité anonyme et vérification de fichiers dangereux. Cependant, le coût d'apprentissage est élevé, et il y a aussi des contraintes liées au matériel compatible et à l'usage quotidien. Si on l'installe sans comprendre son fonctionnement, on peut croire avoir séparé les environnements tout en transférant imprudemment des fichiers ou du contenu de presse-papiers.
Un environnement puissant n'a de sens que si l'on peut continuer à l'utiliser correctement. Un environnement que l'on ne peut pas maintenir crée en cours de route des contournements et des exceptions, ce qui peut au contraire devenir dangereux.
L'option de l'appareil dédié
Dans les cas à haut risque, on peut aussi préparer un appareil dédié.
L'appareil habituel contient de nombreux comptes en nom réel, de la synchronisation cloud, des contacts, des informations de localisation et d'anciens fichiers. Séparer l'appareil entier est une manière de ne pas importer ces éléments dans l'activité anonyme.
Toutefois, même un appareil dédié peut être corrélé s'il est mal utilisé. Si l'on utilise le même Wi-Fi, la même plage horaire, le même compte, le même style d'écriture ou les mêmes fichiers, des indices restent présents.
Un appareil dédié aide à ne pas importer l'environnement quotidien en nom réel. Mais la méthode d'achat, la configuration initiale, le réseau, les comptes auxquels on se connecte et les fichiers enregistrés créent des corrélations. Un appareil dédié n'est pas sûr simplement parce qu'il est dédié. Il faut une pratique cohérente qui utilise cet appareil comme appareil anonyme.
Points à vérifier avant de choisir
Avant de choisir un OS ou un environnement pour un usage anonyme, on vérifie les points suivants.
- Que veut-on protéger, et contre qui ?
- S'agit-il d'un travail temporaire ou d'une pratique à long terme ?
- Va-t-on manipuler des fichiers ?
- Jusqu'où faut-il séparer de l'environnement en nom réel ?
- La difficulté est-elle compatible avec un usage continu ?
- Peut-on lire la documentation officielle ?
- L'impact serait-il important en cas de mauvaise utilisation ?
Choisir un environnement ne consiste pas à choisir un nom fort. Il s'agit de choisir ce qui correspond à son modèle de menace et à sa pratique.
Points à vérifier après le choix d'un environnement
Les vérifications continuent après le choix de l'environnement. N'est-on pas connecté à un compte en nom réel ? N'est-on pas relié à l'environnement en nom réel par le partage de fichiers ? Ne transmet-on pas d'informations par le presse-papiers ou des dossiers partagés ? L'heure de publication et le style d'écriture ne se recoupent-ils pas avec le côté en nom réel ?
| Point à vérifier | Raison |
|---|---|
| État de connexion | Éviter l'association avec des comptes en nom réel |
| Déplacement de fichiers | Ne pas importer les métadonnées ou l'historique de l'environnement d'origine |
| Réseau | Voir si la communication n'emprunte pas un chemin inattendu |
| Contenu publié | Vérifier les corrélations que l'environnement n'efface pas |
| Continuité | Voir si la procédure n'est pas trop difficile au point de s'effondrer |
Un OS ou un environnement pour usage anonyme est la base de la pratique. Même après avoir choisi cette base, il faut encore vérifier les comptes, les fichiers, les contenus publiés et les horaires.
Résumé
Un OS ou un environnement pour usage anonyme se choisit selon le risque.
Pour une séparation légère, un navigateur ou un profil séparé peut suffire. Si une séparation plus forte est nécessaire, on envisage Tails, Whonix, Qubes OS ou un appareil dédié.
Tails est fort pour un travail anonyme temporaire, Whonix pour la séparation du travail via Tor, et Qubes OS pour la séparation de plusieurs environnements.
Cependant, quel que soit l'environnement utilisé, l'état de connexion, le contenu publié, les fichiers, l'heure et les informations passées doivent toujours être vérifiés.
Outils liés
WhatIsMyIP
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
BrowserLeaks WebRTC
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
Tor Project
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
Proton VPN
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://protonvpn.com/
Mullvad VPN
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://mullvad.net/
Tails
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://tails.net/
Whonix
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://www.whonix.org/
Qubes OS
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
Nym
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://nym.com/