Quand on pense à l'anonymat, il est dangereux de se contenter de croire qu'un outil rend les choses sûres.
Avec un , les informations visibles par le FAI changent. Mais le fournisseur VPN devient un nouveau point de confiance. Le cloud est pratique, mais il faut faire confiance au fournisseur cloud et aux personnes avec qui l'on partage. SecureDrop ou un service de publication anonyme impliquent aussi une confiance envers le destinataire ou l'opérateur.
Un modèle de confiance est une façon de clarifier à qui l'on accepte de montrer quoi.
Cet article présente les bases du modèle de confiance dans l'anonymat. Le modèle de menace et le modèle de confiance étant fortement liés, ils sont traités plus en détail dans l'article "Modèle de menace et modèle de confiance".
Qu'est-ce qu'un modèle de confiance
Un modèle de confiance consiste à organiser les questions "qui fait-on confiance" et "que voit cette partie".
En matière d'anonymat, l'information disparaît rarement complètement; le plus souvent, l'acteur qui peut la voir change.
Outil ou situation
Partie de confiance
Informations potentiellement visibles
Connexion ordinaire
FAI, service consulté
IP de destination, IP source, informations de connexion au compte
VPN
Fournisseur VPN
Source de connexion, usage du VPN, informations liees aux destinations
Conception de Tor, répartition entre nœuds
Les informations visibles se séparent entre entrée et sortie
Partage cloud
Fournisseur cloud, destinataires du partage
Fichiers, propriétaire, historique de partage
Destination de publication anonyme
Opérateur du service
Contenu publié, journaux, heure de soumission
Il ne faut pas penser que plus personne ne voit rien, mais regarder vers qui la visibilité se déplace.
Modèle de confiance d'un VPN
Un VPN remplace l'adresse IP visible par le site consulté par celle d'un serveur VPN.
En contrepartie, on fait confiance au fournisseur VPN. C'est pour cela qu'il faut vérifier sa politique de journaux, son opérateur, sa juridiction, son application, ses audits et ses rapports de transparence.
Acteur
Ce qui est visible lors de l'usage d'un VPN
Point d'attention
FAI
Connexion au serveur VPN
La destination finale est moins directement visible
Fournisseur VPN
Informations nécessaires à la fourniture du service
Vérifier la politique de journaux et l'opérateur
Site consulté
IP du serveur VPN
Les cookies et connexions à des comptes restent
Utilisateur
Gère le contenu publié et les connexions
Les erreurs d'utilisation créent des corrélations
Un VPN n'est pas un outil qui supprime les points de confiance.
C'est un outil qui déplace le point de confiance.
Modèle de confiance de Tor
Tor ne concentre pas le chemin de communication chez un seul fournisseur VPN; il répartit les rôles entre plusieurs nœuds relais.
Le nœud d'entrée connaît l'origine de connexion de l'utilisateur, mais pas directement la destination finale. Le nœud de sortie connaît la destination, mais pas directement l'adresse IP réelle de l'utilisateur.
Acteur
Informations visibles
Point d'attention
Nœud d'entrée
Origine de connexion de l'utilisateur
Ne voit pas directement la destination finale
Nœud intermédiaire
Une partie du chemin
La vue d'ensemble est difficile
Nœud de sortie
Destination
Le contenu est visible si la communication est en clair
Site consulté
Nœud de sortie Tor
Les connexions à des comptes et les cookies restent
FAI
Fait d'utiliser Tor
L'usage de Tor lui-même peut se remarquer
Tor est conçu pour répartir la confiance.
Malgré cela, si l'état de connexion ou le contenu publié vous désigne, l'anonymat s'affaiblit.
Procédure pour vérifier un modèle de confiance
Le modèle de confiance se vérifie avant de choisir un outil.
Question
Ce qu'il faut vérifier
De qui veut-on se protéger
FAI, site consulté, travail, opérateur de service, enquêteur
Que ne veut-on pas montrer
IP, contenu publié, fichier, personnes concernées, horaire
À qui accepte-t-on de montrer certaines informations
Fournisseur VPN, cloud, destinataire d'une soumission
Consultation, alerte, activité, protection des sources
Pour les activités à haut risque, il existe des situations où il vaut mieux ne pas juger seul le modèle de confiance.
En cas d'alerte interne, de protection des sources ou de risque pour la sécurité personnelle, il faut envisager une consultation avec un avocat, une organisation de soutien ou un spécialiste de confiance.
Malentendus fréquents
Le malentendu fréquent sur le modèle de confiance consiste à croire que l'on peut réduire les points de confiance à zéro.
En réalité, dans beaucoup de situations, on fait confiance à une partie: fournisseur VPN, conception de Tor, fournisseur cloud, service de messagerie, destinataire, personne consultée. En matière d'anonymat, il faut choisir cette confiance consciemment.
Malentendu
Vision correcte
Avec un VPN, personne ne voit rien
Le fournisseur VPN devient un nouveau point de confiance
Avec Tor, le contenu publié est aussi caché
Le chemin de communication et le contenu publié sont distincts
Un partage cloud privé est sûr
Le nom du propriétaire et l'historique de partage peuvent rester
Un destinataire de demande de suppression est forcément sûr
La vérification d'identité peut transmettre des informations supplémentaires
On peut tout dire à une personne consultée
Il faut regarder sa fiabilité et sa confidentialité
Quand les points de confiance sont visibles, le choix des outils devient plus réaliste.
Penser la confiance par degrés
Dans un modèle de confiance, il ne faut pas réduire une partie à un choix binaire: faire confiance ou ne pas faire confiance.
Il faut se demander quelles informations peuvent être visibles, lesquelles ne doivent pas l'être, quelles parties peuvent recevoir des demandes légales, et quelles parties peuvent commettre des erreurs d'exploitation.
Degré
Question à se poser
Confiance faible
Donner aussi peu d'informations que possible
Confiance limitée
Donner seulement les informations nécessaires
Confiance opérationnelle
Confier une partie des informations pour utiliser le service
Confiance avec risque juridique
Considérer la juridiction et les demandes de divulgation
Confiance humaine
Examiner la confidentialité de la personne consultée ou destinataire
En matière d'anonymat, il est plus important de savoir où l'on place la confiance que d'essayer de la réduire à zéro.
Un modèle de confiance se révise
Un modèle de confiance ne se définit pas une fois pour toutes.
Les conditions d'utilisation, les politiques de journaux, les opérateurs, les spécifications des applications et les pays ou régions d'utilisation changent. Si l'activité anonyme se poursuit, il faut revoir régulièrement les VPN, services de messagerie, clouds, destinataires et personnes consultées que l'on utilise.
Élément à revoir
Raison
Politique de journaux
Les informations conservées peuvent changer
Opérateur
L'entreprise ou la juridiction peut changer
Spécification de l'application
Les informations exposées ou les permissions peuvent changer
Mode de paiement
La corrélation avec des informations en identité réelle peut changer
Personne ou organisation consultée
Vérifier la confidentialité et la sécurité
Le modèle de confiance concerne non seulement le choix des services, mais aussi le choix des interlocuteurs.
Pour une demande de suppression, une consultation juridique, une transmission à un média ou une demande d'aide à une organisation de soutien, il faut vérifier quelles informations l'autre partie reçoit, comment elle les conserve et avec qui elle les partage.
Lire une présentation d'outil avec le modèle de confiance
Quand on lit des articles sur les VPN, Tor, le cloud ou des outils de soumission anonyme, il faut toujours vérifier le modèle de confiance.
Que cache cet outil. Qui voit quoi. Jusqu'où faut-il faire confiance à l'opérateur. Les connexions à des comptes et le contenu publié restent-ils. Choisir seulement à partir d'une recommandation, sans regarder ces points, peut faire diverger l'objectif et la mesure prise.
Question pendant la lecture
Raison
Qu'est-ce qui change
Comprendre l'effet de l'outil
Qu'est-ce qui reste
Éviter la confiance excessive
À qui faut-il faire confiance
Comprendre le déplacement du point de confiance
Comment les journaux sont-ils traités
Penser aux recoupements ultérieurs
Est-ce adapté à mon objectif
Éviter les mesures excessives ou insuffisantes
Le modèle de confiance sert aussi d'axe de vérification lorsqu'on lit un article.
Résumé
Un modèle de confiance consiste à clarifier qui l'on choisit de croire et ce que cette partie peut voir.
Les outils d'anonymat ne suppriment pas complètement l'information; souvent, ils changent l'acteur qui peut la voir.
Avec un VPN, le fournisseur VPN devient un nouveau point de confiance. Avec Tor, la confiance est répartie entre plusieurs nœuds. Avec le cloud ou une destination de publication anonyme, la confiance envers le fournisseur ou l'opérateur compte aussi.
En matière d'anonymat, il faut regarder non pas le nom de l'outil, mais l'endroit vers lequel le point de confiance se déplace.
Outils liés
Public IP Check
WhatIsMyIP
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
Un modèle de confiance clarifie qui peut voir quoi, car les outils d'anonymat déplacent souvent la visibilité et la confiance au lieu de faire disparaître l'information.