Modèle de menace et modèle de confiance
Quand on réfléchit à l'anonymat, il y a une chose à décider en premier.
La question est : « contre qui et quoi voulez-vous protéger ? »
Il n'est pas réaliste de cacher complètement toutes les informations à tous les acteurs. De plus, les mesures nécessaires varient selon les personnes.
Une personne ordinaire, un ou une journaliste, un lanceur ou une lanceuse d'alerte, une personne militante et une personne responsable dans une entreprise n'ont pas les mêmes choses à protéger ni les mêmes adversaires à envisager.
La manière d'organiser cette prémisse s'appelle un modèle de menace. La manière d'organiser les services ou les acteurs auxquels on choisit de faire confiance s'appelle un modèle de confiance.
Cet article organise le modèle de menace et le modèle de confiance comme prémisses pour réfléchir à l'anonymat.
Qu'est-ce qu'un modèle de menace ?
Un modèle de menace est une manière d'organiser qui vise quoi, et par quels moyens le risque apparaît.
Pour l'anonymat, on commence par des questions comme celles-ci.
- Contre qui veut-on se protéger ?
- Que ne veut-on pas faire connaître ?
- Quelles informations posent problème si elles se relient ?
- De quelles capacités dispose l'autre partie ?
- Jusqu'où peut-on accepter le risque ?
Par exemple, les mesures nécessaires sont complètement différentes si l'on veut éviter qu'un ami découvre un autre compte, ou si l'on veut protéger une source face à une organisation dotée de pouvoirs importants.
Si l'on choisit des mesures sans construire de modèle de menace, on risque de faire des choses plus complexes que nécessaire ou, à l'inverse, de manquer des risques importants.
Décider ce que l'on veut protéger
La première chose à examiner est ce que l'on veut protéger.
Dans l'anonymat, l'objet à protéger n'est pas seulement le vrai nom.
| Ce que l'on veut protéger | Exemples |
|---|---|
| Identité réelle | Nom, visage, pièce d'identité, compte sous identité réelle |
| Affiliation | Lieu de travail, école, organisation, service |
| Lieux habituels | Adresse, zone de trajet quotidien, lieux fréquentés |
| Sources et personnes liées | Sources d'information, personnes qui coopèrent, camarades |
| Contenu de l'activité | Publications, enquêtes, alertes, historique de navigation |
| Chemin de communication | Adresse IP, DNS, destination, heure de communication |
Dire simplement « je veux rester anonyme » ne suffit pas. Il faut réfléchir concrètement à ce qui poserait problème si deux éléments se reliaient.
Décider contre qui l'on veut se protéger
Ensuite, on réfléchit à l'autre partie.
Dans l'anonymat, les informations visibles et les moyens utilisables changent selon l'acteur.
| Acteur | Informations susceptibles d'être visibles | Point d'attention |
|---|---|---|
| Site web de destination | Adresse IP, cookies, état de connexion, contenu de la requête | Les journaux côté site et les informations de compte entrent en jeu |
| ISP et opérateur télécom | Heure de connexion, IP de destination, volume de communication, etc. | Le contenu HTTPS est plus difficile à lire, mais des métadonnées peuvent rester |
| Fournisseur | Informations liées aux connexions des utilisateurs du VPN | Utiliser un VPN déplace la confiance vers le fournisseur VPN |
| Utilisateurs du même Wi-Fi | Communications non chiffrées, état de connexion | Prudence particulière sur les Wi-Fi publics |
| Lieu de travail ou école | Appareil, réseau, journaux, systèmes de gestion | Les droits d'administration peuvent être élevés |
| Enquêteur ou tiers | Informations publiques, publications, images, anciens comptes | Corrélation possible par OSINT |
Déterminer l'acteur permet de voir plus facilement les mesures nécessaires.
Estimer les capacités de l'autre partie
Il est important de savoir non seulement qui est l'autre partie, mais aussi de quelles capacités elle dispose.
Est-ce qu'un ami fait seulement une recherche sur les réseaux sociaux ? Est-ce que l'opérateur d'un service peut consulter les journaux d'accès ? Est-ce qu'un administrateur au travail ou à l'école peut consulter les journaux réseau ? Est-ce qu'une autorité étatique peut demander des enregistrements à un opérateur télécom ?
Quand les capacités changent, les mesures nécessaires changent aussi.
| Capacité | Ce qui peut être possible |
|---|---|
| Recherche d'informations publiques | Chercher des noms d'utilisateur, des images et d'anciennes publications |
| Consultation des journaux internes d'un service | Voir l'adresse IP, l'historique de connexion et l'historique d'opérations |
| Administration réseau | Voir les destinations, le volume de communication et les requêtes DNS |
| Administration d'appareil | Voir l'historique du navigateur, les applications installées et les fichiers |
| Pouvoir légal | Demander la divulgation d'enregistrements à des opérateurs |
Si l'on suppose que tous les acteurs ont la capacité maximale, il devient difficile d'agir de manière réaliste. À l'inverse, sous-estimer les capacités de l'autre partie est dangereux.
Il faut réfléchir dans un périmètre réaliste, adapté à l'objectif.
Qu'est-ce qu'un modèle de confiance ?
Un modèle de confiance est une manière d'organiser à qui l'on choisit de faire confiance, et à qui l'on ne choisit pas de faire confiance, lorsqu'on utilise un mécanisme.
Quand on utilise un outil d'anonymat, les acteurs qui voient l'information changent. L'information visible ne disparaît pas toujours ; elle peut se déplacer vers un autre acteur.
Par exemple, avec un VPN, l'adresse IP du domicile peut devenir moins visible pour le site web de destination. Mais le fournisseur VPN peut voir des informations liées aux communications de l'utilisateur.
Avec , la destination peut voir le nœud de sortie Tor. Cependant, si l'on utilise Tor de manière incorrecte, l'état de connexion ou les informations du navigateur peuvent créer une liaison.
| Méthode | Acteur ou mécanisme auquel on fait confiance | Point d'attention |
|---|---|---|
| Connexion ordinaire | ISP, service de destination | L'IP du domicile ou du travail peut être visible |
| VPN | Fournisseur VPN | Il faut faire confiance à la politique de journaux et à l'exploitation du fournisseur VPN |
| Tor | Conception du réseau Tor, pratique avec Tor Browser | Une mauvaise utilisation laisse d'autres indices |
| Wi-Fi public | Opérateur du Wi-Fi, environnement du lieu | Corrélation possible avec les journaux sur place ou les caméras de surveillance |
| Service cloud | Opérateur du service | Comptes, journaux et données stockées entrent en jeu |
Quand on réfléchit à l'anonymat, il faut regarder non seulement « cet outil est-il sûr ? », mais aussi « sur quelle conception de confiance repose-t-il ? ».
Sans modèle de menace, les mesures se décalent
Sans modèle de menace, les mesures se décalent facilement par rapport à l'objectif.
Par exemple, si l'on veut seulement éviter de montrer son IP personnelle au site web de destination, un VPN peut suffire. Mais si l'on considère le fournisseur VPN comme un acteur auquel on ne peut pas faire confiance, un VPN seul peut ne pas correspondre à l'objectif.
Si l'on ne veut pas relier un compte sous identité réelle et un compte anonyme, les cookies, l'état de connexion, la séparation du navigateur, le style d'écriture et l'heure de publication peuvent devenir plus importants que le chemin de communication.
Si un lanceur d'alerte manipule des documents internes à une organisation, le chemin réseau n'est pas le seul point important : les métadonnées du document, les droits d'accès, l'historique de diffusion et la fiabilité de l'interlocuteur de conseil comptent aussi.
Les mesures changent selon ce que l'on veut protéger et selon l'autre partie.
Penser par niveau de risque
Le modèle de menace ne sert pas à supposer à chaque fois le danger maximal.
Il existe des niveaux de risque. Une personne qui veut publier sous un pseudonyme pour un loisir et une personne qui dénonce des irrégularités au travail utilisent toutes deux le mot anonymat, mais les préparations nécessaires ne sont pas les mêmes.
| Situation | Principaux acteurs | Mesures à privilégier |
|---|---|---|
| Publication sous pseudonyme à faible risque | Connaissances, tiers qui recherchent | Éviter la réutilisation du nom d'utilisateur, du style d'écriture et des images |
| Consultation que l'on ne veut pas faire connaître au travail | Personnes liées au travail, opérateur du service | Éviter l'appareil professionnel, flouter le contenu et le moment |
| Protection des sources | Organisations concernées, enquêteurs | Examiner le canal de contact, les documents et les déductions depuis l'article publié |
| Lancement d'alerte | Organisation, acteurs dotés de pouvoirs légaux | Traiter prudemment les métadonnées des documents, l'historique d'accès et le destinataire |
| Accès à l'information sous censure | ISP, autorité étatique, opérateur du service | Séparer chemin de communication, appareil et sécurité dans le monde réel |
Plus le risque est élevé, plus il est important de ne pas décider uniquement à partir d'un article.
Le recours à un interlocuteur de confiance, comme un avocat, une organisation de soutien ou une personne responsable de la sécurité dans une rédaction, fait aussi partie du modèle de menace.
Le modèle de menace simple à construire en premier
Il n'est pas nécessaire de construire un modèle de menace complexe dès le début.
Pour commencer, il suffit de remplir un tableau comme celui-ci.
| Question | Exemple |
|---|---|
| Que veut-on protéger ? | Identité réelle, lieu de travail, source, lieux habituels, compte anonyme |
| Contre qui veut-on se protéger ? | Site de destination, lieu de travail, école, tiers, autorité étatique |
| Qu'est-ce qui poserait problème si cela se reliait ? | Compte réel et publication anonyme, IP et heure de publication, document et auteur |
| Que peut voir l'autre partie ? | Informations publiques, journaux serveur, journaux de communication, informations d'appareil |
| À qui fait-on confiance ? | Fournisseur VPN, service de publication, interlocuteur de conseil, environnement d'appareil |
| Jusqu'où peut-on accepter le risque ? | Publication anonyme à faible risque ou alerte à haut risque |
Rien que cette réflexion permet déjà d'organiser nettement les mesures nécessaires.
Résumé
Un modèle de menace est une manière d'organiser contre qui et quoi l'on veut se protéger. Un modèle de confiance est une manière d'organiser les acteurs ou services auxquels on fait confiance pour agir.
Dans l'anonymat, il n'est pas réaliste de tout cacher à tous les acteurs. Il faut distinguer ce que l'on veut protéger, les acteurs envisagés, leurs capacités, les indices qui restent et les acteurs auxquels on fait confiance.
Des mesures comme VPN, Tor, Wi-Fi public, chiffrement ou séparation des comptes changent de signification selon l'objectif.
Commencer par décider « contre qui, que veut-on protéger, et jusqu'à quel point ? » est le point de départ pour réfléchir à l'anonymat.
Outils liés
WhatIsMyIP
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
Tor Project
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
Proton VPN
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://protonvpn.com/
Mullvad VPN
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://mullvad.net/