Quand la protection hors ligne est forte pour l'activité en ligne
Quand on apprend l'anonymat et la sécurité, beaucoup de techniques apparaissent : , , chiffrement, réglages du navigateur, suppression des métadonnées.
Mais il existe des situations où la mesure la plus forte n'est pas le dernier réglage logiciel.
C'est de ne pas se connecter au réseau dès le départ.
Clés privées importantes, phrases de récupération, notes de reportage, documents internes, pièces d'identité, brouillons non publiés, contacts dangereux. Dès que ces informations sont placées dans un environnement en ligne, elles subissent l'influence de l'OS, des applications, de la synchronisation cloud, des malwares, du navigateur, des sauvegardes, des paramètres de partage et de l'état de connexion.
Internet ressemble à un espace abstrait.
Mais en réalité, il fonctionne sur des objets physiques : appareils, caméras, micros, disques, câbles, ondes radio, serveurs et centres de données.
C'est pourquoi il existe des situations où séparer physiquement, couvrir physiquement et stocker physiquement sont des mesures fortes.
Cet article explique, à travers les clés privées de crypto-actifs, les caches de caméra et le stockage de documents importants, pourquoi la « protection hors ligne » est forte, et pourquoi elle n'est pas parfaite.
Le hors ligne réduit la surface d'attaque
Mettre hors ligne signifie séparer du réseau.
La surface d'attaque désigne les entrées qu'un attaquant peut toucher. Un appareil en ligne a navigateur, applications, OS, Wi-Fi, Bluetooth, synchronisation cloud, notifications, extensions, gestion à distance et connexions à des services externes.
Quand on passe hors ligne, beaucoup de ces entrées disparaissent.
| État | Entrées principales | Sens pour l'anonymat et la sécurité |
|---|---|---|
| Appareil en ligne | Réseau, applications, navigateur, synchronisation | Beaucoup d'entrées peuvent être visées à distance |
| Stockage cloud | Compte, liens partagés, journaux de l'opérateur | Dépend de la gestion et des journaux côté service |
| Appareil hors ligne | Accès physique, emport, USB | Les attaques à distance diminuent, mais la gestion physique devient importante |
| Sauvegarde papier ou métal | Perte, vol, photographie | Fuit difficilement par le réseau, mais le stockage devient le problème |
Le hors ligne n'est pas une mesure universelle qui supprime tous les risques.
Mais pour réduire les entrées attaquables à distance, il est très puissant.
Pour les clés privées de crypto-actifs, la protection hors ligne devient la base
Dans les crypto-actifs, le plus important est la clé privée ou la phrase de récupération.
Les crypto-actifs eux-mêmes sont sur la blockchain. Le portefeuille ne « contient » pas les coins. Il gère les clés privées et les fonctions de signature nécessaires pour déplacer les actifs.
La personne qui possède la clé privée peut déplacer les actifs.
C'est pourquoi ne pas exposer la clé privée au réseau devient le centre de la sécurité.
| Méthode de stockage | Caractéristique | Point d'attention |
|---|---|---|
| Déposer sur une plateforme d'échange | Pratique | Il faut faire confiance à la plateforme |
| Hot wallet | Utilisable immédiatement | Vulnérable à la compromission de l'appareil ou de l'application |
| Hardware wallet | Facilite le maintien de la clé privée hors de l'appareil | Source d'achat, configuration initiale et sauvegarde sont importantes |
| Sauvegarde papier | Peut être séparée du réseau | Vulnérable à la perte, l'incendie, le vol et la photographie |
| Sauvegarde métal | Peut être plus résistante aux catastrophes | Le lieu de stockage et le risque de découverte posent problème |
Pour le stockage à long terme ou des montants élevés, il ne faut pas laisser clés privées ou phrases de récupération dans des notes en ligne, captures d'écran, clouds, e-mails, chats ou photos.
C'est pratique, mais les endroits pratiques sont souvent connectés au réseau.
Bitcoin.org rassemble les précautions de base pour gérer un portefeuille en sécurité.
URL : https://bitcoin.org/en/secure-your-wallet
Toutefois, le stockage de crypto-actifs dépend du montant, de la fréquence d'utilisation, de l'héritage, du risque de perte et de la situation juridique.
La protection hors ligne est forte, mais si vous perdez la clé privée, vous ne pourrez plus déplacer vous-même les actifs.
Couvrir physiquement la caméra
La caméra d'un PC ou d'un smartphone peut être désactivée par des réglages logiciels.
Mais si l'anonymat ou la sécurité comptent, un cache physique est une mesure très claire et forte.
Si la caméra est physiquement couverte, même en cas de bug de l'OS, du navigateur ou d'une application, il devient difficile de produire une image utile à travers l'objectif.
C'est simple, mais fort.
| Mesure | Ce qu'elle protège | Limite |
|---|---|---|
| Désactivation dans l'OS | Réduit l'usage par les applications ordinaires | Peut être faible face aux bugs ou changements de réglage |
| Refus de permission navigateur | Empêche l'usage par les sites Web | Les autres applications et l'OS entier sont un autre problème |
| Cache caméra | Bloque physiquement l'image | Ne bloque pas le micro ni le partage d'écran |
| Placer l'appareil dans une autre pièce | Éloigne à la fois caméra et micro | Réduit la commodité |
Pour les caméras intégrées aux PC et smartphones, le cache physique est une mesure particulièrement compréhensible.
Les permissions de l'OS, les autorisations caméra du navigateur, la gestion des permissions des applications et les mises à jour restent nécessaires. Ce sont des défenses importantes dans l'usage ordinaire.
Mais l'objectif d'une caméra reçoit de la lumière pour former une image. Si l'on couvre physiquement l'avant de l'objectif, l'image ne peut pas être produite. Ce n'est pas un réglage, c'est physique.
Les attaques de confidentialité à distance visant les webcams et micros de portables font aussi l'objet de recherches.
Par exemple, l'étude TickTock évoque le risque que des malwares accèdent à distance aux webcams et aux micros, tout en partant du principe que, pour les webcams, les caches de confidentialité vendus dans le commerce sont largement utilisés comme défense.
URL : https://arxiv.org/abs/2209.03197
Il faut aussi garder à l'esprit que les fuites d'images de caméra ont déjà été un problème réel.
Par exemple, la FTC a publié le cas TRENDnet, où des défauts logiciels dans des caméras domestiques connectées à Internet ont rendu les images de nombreux utilisateurs visibles en ligne.
Le point important ici n'est pas que les mesures physiques remplacent les mesures logicielles.
Les mises à jour, la gestion des permissions, le fait de ne pas ouvrir de liens suspects et les mesures anti-malware restent nécessaires.
Mais pour la caméra intégrée d'un PC ou d'un smartphone, la mesure physique qui consiste à couvrir l'objectif fonctionne en dernier ressort.
Penser en termes de blocage physique
Une caméra forme une image quand la lumière entre dans l'objectif.
Donc, si l'on couvre l'objectif, elle ne voit pas.
Ce n'est pas une théorie de sécurité difficile.
Si l'on éloigne le micro, il capte moins facilement les sons.
Si l'on ne met pas une note papier sur le réseau, elle ne fuit pas depuis le cloud.
Si l'on ne stocke pas la clé privée sur un appareil en ligne, les entrées par malware ou synchronisation cloud diminuent.
Si l'on n'affiche pas d'information confidentielle à l'écran, elle n'apparaît pas dans une capture ou un partage d'écran.
Ainsi, bloquer, éloigner, ne pas placer et ne pas connecter physiquement sont des mesures qui ont une force différente des réglages en ligne.
Pour l'anonymat, il est important de ne pas essayer de tout résoudre par logiciel.
Internet fonctionne sur du physique
Internet n'est pas un espace abstrait comme un nuage.
Les communications fonctionnent sur des appareils, routeurs Wi-Fi, antennes-relais, fibres optiques, câbles sous-marins, centres de données, alimentations électriques, systèmes de refroidissement, serveurs et dispositifs de stockage.
Autrement dit, la sécurité de l'activité en ligne revient aussi, au final, au physique.
| Ce qui paraît abstrait | Ce dont cela dépend réellement | Sens pour l'anonymat |
|---|---|---|
| Cloud | Centres de données, serveurs, opérateur | Il existe un lieu de stockage et des journaux d'opérateur |
| Crypto-actifs | Clés privées, appareils, sauvegardes | La personne qui possède la clé peut déplacer les actifs |
| Webcam | Objectif, capteur, micro | Couvrir physiquement arrête l'image |
| Communication | Câbles, ondes radio, antennes-relais | Il existe des points d'observation sur la route |
| Compte anonyme | Appareil, navigateur, contenu saisi | Un mélange avec l'environnement sous identité réelle crée une corrélation |
Ce point de vue est important pour penser l'anonymat.
Même avec de nombreux réglages logiciels, placer une clé privée dans le cloud introduit le risque du cloud.
Même si l'autorisation caméra est refusée, une notification visible dans un partage d'écran fait sortir l'information.
Même avec un VPN, si les pièces d'identité sont sur le même appareil, l'identité peut sortir par une autre route.
Ne pas placer les informations importantes en ligne
Plus une information est importante, plus il faut examiner sévèrement les raisons de la placer en ligne.
On a envie de garder en ligne les informations utilisées fréquemment. Elles s'ouvrent vite, se synchronisent, se recherchent et se partagent. C'est pratique.
Mais la commodité élargit la surface d'attaque.
| Information | Problème du stockage en ligne | Approche de gestion hors ligne |
|---|---|---|
| Clé privée / seed | Si elle est volée, les actifs peuvent être déplacés | Séparer avec papier, métal ou hardware wallet |
| Liste de sources | Les personnes liées peuvent être mises en danger | Chiffrer et, si nécessaire, conserver hors ligne |
| Documents d'alerte interne | L'origine et les personnes liées deviennent visibles | Séparer l'original et la copie de publication |
| Pièces d'identité | Peuvent servir à l'usurpation | Ne pas conserver hors des cas nécessaires |
| Brouillon non publié | L'émetteur ou les personnes liées peuvent être déduits | Réduire le périmètre de partage et le lieu de stockage |
La gestion hors ligne demande de l'effort.
Mais pour les informations à haut risque, cet effort a du sens.
Le hors ligne n'est pas parfait
Le hors ligne est une mesure forte, mais il n'est pas parfait.
Il reste des risques : vol physique, perte, incendie, visibilité par la famille ou les personnes vivant avec vous, photographie, oubli du lieu de stockage, impossibilité d'héritage.
Il existe aussi des attaques qui ne visent pas le chiffrement ou la technique, mais qui font pression sur la personne pour lui faire révéler un secret, comme ce que l'on appelle l'attaque à la clé anglaise à 5 dollars.
Autrement dit, la protection hors ligne est forte pour « protéger du réseau », mais elle ne protège pas de « toutes les menaces du monde réel ».
| Risque | Exemple | Approche de la mesure |
|---|---|---|
| Vol | Vol d'une clé privée sur papier | Séparer les lieux de stockage |
| Perte | Perdre une phrase de récupération | Vérifier la procédure de récupération |
| Catastrophe | Incendie, inondation | Envisager un stockage durable |
| Contrainte | Forcer la personne à révéler un secret | Consulter des spécialistes en cas de risque élevé |
| Héritage impossible | Personne d'autre ne peut récupérer | Penser la conception juridique et familiale |
Pour l'anonymat, il ne faut pas regarder seulement les acteurs présents sur le réseau.
Il faut aussi inclure les lieux réels, le stockage physique, les personnes autour, les risques juridiques et la sécurité physique.
Quand utiliser la protection hors ligne
La protection hors ligne n'est pas nécessaire pour toutes les tâches.
Si l'on met entièrement hors ligne chaque petite publication quotidienne, cela ne tient pas.
Il faut choisir les situations où l'utiliser.
| Situation | Sens de la protection hors ligne |
|---|---|
| Stockage à long terme de crypto-actifs | Séparer la clé privée du réseau |
| Stockage de documents d'alerte interne | Ne pas exposer par négligence l'original ou la source |
| Liste de sources | Ne pas placer les informations des personnes liées dans le cloud |
| Préparation de publication à haut risque | Rédiger séparément de l'environnement sous identité réelle et de la synchronisation |
| Travail ne nécessitant pas caméra ou micro | Couvrir ou éloigner physiquement |
La protection hors ligne est un dernier socle de l'anonymat.
Ce qui n'a pas besoin d'être connecté au réseau ne doit pas l'être.
Ce qui n'a pas besoin d'être montré doit être caché physiquement.
Ce qui doit être conservé doit l'être en réfléchissant à qui peut le voir, où et comment.
Cette idée simple peut être plus forte qu'une technique complexe.
Résumé
Dans l'activité en ligne, le hors ligne peut être le choix le plus sûr.
Pour les clés privées et phrases de récupération de crypto-actifs, ne pas les exposer au réseau est le centre de la sécurité.
Pour les caméras de PC ou de smartphone, les couvrir physiquement peut rendre difficile la production d'images utiles à travers l'objectif.
Internet fonctionne sur des contraintes physiques.
C'est pourquoi il est important de ne pas placer les informations importantes en ligne, de couvrir les caméras inutiles et de protéger les clés privées hors ligne.
Cependant, la protection hors ligne n'est pas parfaite.
Les risques du monde réel restent : vol, perte, catastrophe, contrainte, impossibilité d'héritage.
L'anonymat et la sécurité doivent être pensés non seulement comme des réglages en ligne, mais aussi comme un stockage physique et une sécurité réelle.
Outils liés
Tails
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://tails.net/
Whonix
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://www.whonix.org/
Qubes OS
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.