Corrélation entre temps de communication et schémas de comportement
Dans l'anonymat, ce que l'on envoie n'est pas le seul point important : le moment où l'on communique l'est aussi.
Même si le contenu est chiffré, l'heure de connexion, le volume de communication, l'intervalle entre les connexions, l'heure de publication et les horaires d'activité dans le monde réel deviennent des indices.
Par exemple, si une publication anonyme apparaît juste après un événement sur un lieu donné, et qu'une communication est sortie d'un réseau précis pendant cette période, le groupe de personnes possibles se resserre.
Cet article explique comment le temps de communication et les schémas de comportement se rapportent à l'anonymat.
Le temps de communication dessine les contours du comportement
Le temps de communication désigne l'heure ou la plage horaire où une communication se produit.
Accès Web, publication, connexion à un compte, envoi de fichier, message, connexion , connexion , requête DNS : toutes ces actions ont une dimension temporelle.
| Information temporelle | Ce qui peut être vu | Point d'attention pour l'anonymat |
|---|---|---|
| Heure de début de connexion | Quand la communication a eu lieu | Comparaison avec le comportement réel |
| Volume de communication | Quelle quantité a été envoyée ou reçue | Indice pour déduire un envoi de fichier ou une vidéo |
| Intervalle de connexion | Comportement régulier | Habitudes ou traitements automatiques visibles |
| Heure de publication | Activité publique | Recoupe l'activité sous identité réelle ou les événements réels |
| Heure de connexion VPN | Usage d'un environnement anonyme | Le FAI peut voir les horaires d'utilisation du VPN |
L'information temporelle seule n'identifie pas une personne.
Mais elle devient un axe de comparaison avec d'autres journaux.
Le temps reste même avec le chiffrement
HTTPS et TLS sont importants pour protéger le contenu des communications.
Mais ils ne suppriment pas complètement le moment où la communication a eu lieu, la quantité de données échangées ni l'adresse IP contactée.
| Information | Cachée par le chiffrement ? | Explication |
|---|---|---|
| Corps de la page | Protégé en transit | Protégé par HTTPS |
| Contenu de formulaire | Protégé en transit | Arrive au service de destination |
| Heure de connexion | Non cachée | L'existence de la communication est observée |
| Volume de communication | Non caché | Les tendances de volume de données restent visibles |
| IP de destination | Non cachée | Nécessaire à la livraison des paquets |
Chiffrement et anonymisation sont différents.
Même si le contenu ne peut pas être lu, le fait et le moment de la communication deviennent d'autres indices.
Le lien avec le comportement réel
Le temps de communication se relie au comportement dans le monde réel.
Si une communication a lieu dans la même plage horaire qu'un trajet domicile-travail, un cours, le travail, une réunion, un événement, une présence sur place, un déplacement, un hébergement, un paiement ou des entrées-sorties, le nombre de personnes possibles diminue.
| Comportement réel | Corrélation avec le temps de communication | Point d'attention |
|---|---|---|
| Juste après une réunion | Donne l'impression qu'un participant a publié anonymement | Attendre avant de publier |
| Sur le lieu d'un événement | La présence sur place recoupe la publication | Regarder aussi localisation et photos |
| Temps de trajet | Un itinéraire devient visible | Attention aux publications à horaires fixes |
| Après une garde de nuit | Le rythme de travail devient visible | Se combine avec les informations professionnelles |
| Après un cours | Étudiants ou enseignants sont resserrés | Ne pas mentionner niveau ou nom de cours |
Lorsqu'on publie anonymement, publier juste après un événement est un indice fort.
Plus le texte paraît immédiat et vivant, plus son lien avec l'heure devient fort.
Recoupement avec les horaires sous identité réelle
Quand les horaires d'activité d'un compte anonyme et d'un compte sous identité réelle se recoupent, ils commencent à ressembler à une même personne.
Publier côté anonyme quelques minutes après le côté réel. Réagir au même sujet sous identité réelle juste après un long texte anonyme. Voir les deux comptes s'activer pendant la même pause chaque jour.
| Comportement qui se recoupe | Ce qui peut être vu | Contre-mesure |
|---|---|---|
| Publications alternées | Donne l'impression qu'une même personne change de compte | Séparer les plages horaires |
| Réactions simultanées au même sujet | Intérêt et horaire correspondent | Séparer aussi les sujets |
| Même périodes d'inactivité | Le rythme quotidien correspond | Vérifier sur un historique long |
| Publications après le même événement | Donne l'impression d'une présence au même endroit | Mettre de la distance avec l'événement |
Même si les comptes sont séparés, la corrélation reste si les horaires de comportement sont les mêmes.
Journaux de communication et heures de publication
Des journaux liés aux communications peuvent rester chez les services Web, les VPN, les FAI, les réseaux d'entreprise ou d'école, les routeurs et les résolveurs DNS.
Le contenu et la durée de conservation des journaux varient selon l'environnement, mais le temps est un axe important dans beaucoup de journaux.
| Point d'observation | Informations temporelles potentiellement visibles | Point d'attention |
|---|---|---|
| Service de destination | Heures de publication, de connexion, de requête | Se relie à un compte |
| FAI | Heures de connexion VPN ou de communication externe | Le contenu de la communication est un sujet séparé |
| Fournisseur VPN | Heures de connexion et informations d'utilisation des serveurs | Vérifier la politique et la gestion des journaux |
| Réseau professionnel ou scolaire | Heures de communication des appareils | Attention aux journaux administratifs |
| Résolveur DNS | Heures de requêtes | Indices sur les domaines visés |
Pour l'anonymat, ne pensez pas à un seul journal, mais à plusieurs journaux comparés par le temps.
Réduire la corrélation temporelle
La corrélation temporelle ne peut pas être complètement effacée.
Mais on peut réduire les corrélations fortes.
| Contre-mesure | Raison | Point d'attention |
|---|---|---|
| Ne pas publier juste après un événement | Affaiblit la comparaison avec le comportement réel | Flouter aussi la chronologie du contenu |
| Ne pas alterner avec l'activité sous identité réelle | Réduit la corrélation de comptes | Séparer aussi les sujets |
| Éviter les publications à horaires fixes | Rend le rythme quotidien moins visible | La publication programmée ne règle pas tout |
| Réfléchir à la destination de publication dans les cas à haut risque | Évite une diffusion publique large | Choisir aussi prudemment les canaux de consultation |
Décaler l'heure peut ne pas suffire.
Si seules quelques personnes connaissent l'événement, les candidats restent même si l'heure est floutée. Dans ce cas, repensez le contenu, la destination de publication et le canal de consultation.
Limites de la publication programmée et du délai
Programmer une publication ou attendre avant de publier peut aider à affaiblir la corrélation temporelle.
Mais ce n'est pas une solution complète. L'heure de création, l'heure d'enregistrement du brouillon, l'heure de connexion, l'heure de réponse après publication et la précision du contenu restent.
| Contre-mesure | Ce qui peut être affaibli | Ce qui reste |
|---|---|---|
| Publication programmée | Correspondance entre heure de publication et rythme de vie | Heures de création et de réponse |
| Attente avant publication | Impression de publication juste après l'événement | Spécificité du contenu |
| Changement de fréquence | Rythme fixe | Corrélation de sujets à long terme |
| Réponses retardées | État en ligne | Informations personnelles dans le contenu des réponses |
Les mesures temporelles doivent être pensées avec les mesures sur le contenu.
Si vous écrivez les détails d'un événement tels quels, les personnes concernées peuvent comprendre même si vous décalez l'heure.
Prudence particulière pour les activités sur place à haut risque
Dans une manifestation, un reportage, une enquête de terrain, une préparation de lancement d'alerte ou une situation proche, le temps de communication se relie facilement au comportement réel.
Il faut vérifier notamment que l'on ne publie pas depuis le lieu, que l'on ne réagit pas immédiatement après un déplacement, que les heures de prise de vue et les arrière-plans des photos sont examinés, et que l'on n'alterne pas avec le comportement sous identité réelle.
Dans une activité sur place à haut risque, ne décidez pas uniquement à partir d'un article ; il peut aussi être nécessaire de consulter des contacts de soutien ou des spécialistes de confiance.
Résumé
Le temps de communication et les schémas de comportement sont des indices importants pour l'anonymat.
Même si le contenu de communication est chiffré, l'heure de connexion, le volume, les intervalles et l'heure de publication restent.
Ils peuvent se relier au comportement réel, aux comptes sous identité réelle, aux connexions VPN, aux journaux de travail ou d'école, et aux enregistrements détenus par les services de destination.
Si vous publiez anonymement, vérifiez non seulement ce que vous écrivez, mais aussi quand vous communiquez, quand vous publiez et avec quels comportements cela se recoupe.
Pour réduire la corrélation temporelle, il est important d'éviter de publier juste après un événement, d'éviter l'alternance avec l'activité sous identité réelle et d'éviter les réactions précipitées après publication.
Traitez aussi le temps comme une partie de l'information publique.