Pourquoi l'anonymat ne peut pas être garanti
Quand on apprend l'anonymat, on a forcément envie de chercher une réponse du type « si je fais cela, je suis en sécurité ».
Est-ce sûr si l'on utilise ? Un suffit-il ? Si l'on supprime les cookies, ne sera-t-on plus suivi ? Si l'on supprime les métadonnées, l'identité sera-t-elle cachée ?
La réponse est que, pris isolément, aucun de ces éléments ne suffit.
L'anonymat ne peut pas être garanti par un seul réglage. Il se décide par la combinaison entre communication, appareil, navigateur, compte, contenu publié, temps, informations passées et capacités de l'autre partie.
Cet article organise les raisons pour lesquelles l'anonymat ne peut pas être garanti complètement.
L'anonymat dépend d'une relation, pas d'un état
L'anonymat n'est pas un état qui serait achevé une fois que l'on est passé en « mode anonyme ».
De qui veut-on se cacher ? Que veut-on cacher ? Pendant combien de temps veut-on le protéger ? Quelle capacité d'enquête possède l'autre partie ?
Les mesures nécessaires changent selon ces éléments.
| Point de vue | Exemple | Effet sur l'anonymat |
|---|---|---|
| Acteur | Utilisateur ordinaire, opérateur de site, lieu de travail, autorité étatique | Les mesures nécessaires changent selon la capacité d'enquête de l'acteur |
| Objet à protéger | IP, identité, lieu, source, famille | Les indices à regarder changent selon l'information à cacher |
| Durée | Une publication unique, plusieurs mois d'activité, pratique à long terme | Plus la durée est longue, plus les erreurs et les corrélations augmentent |
| Périmètre d'action | Simple consultation, publication, contact, partage de fichiers | Plus les actions augmentent, plus les indices augmentent aussi |
L'anonymat dépend non seulement de la technologie, mais aussi de la situation. C'est pourquoi il n'existe pas de « procédure de sécurité complète » commune à tout le monde.
Les outils ne protègent qu'une partie
Les outils d'anonymat ont chacun un périmètre de protection.
Un VPN change l'adresse IP visible par la destination. Tor rend plus difficile l'association directe entre source et destination. Les outils de suppression des métadonnées réduisent les informations de création qui restent dans un fichier. La séparation du navigateur réduit le mélange des cookies et de l'état de connexion.
Cependant, aucun outil ne protège tout.
| Outil ou mesure | Ce qui est plus facile à protéger | Ce qui reste |
|---|---|---|
| VPN | IP du domicile visible par la destination | Confiance envers le fournisseur VPN, cookies, état de connexion |
| Tor | Association directe entre source et destination | Connexion sous identité réelle, contenu publié, communication hors Tor |
| Suppression des métadonnées | Informations de création internes au fichier | Arrière-plan de l'image, texte, nom de fichier |
| Séparation du navigateur | Mélange de cookies et d'historique | Style d'écriture, heure de publication, corrélation du contenu |
| Chiffrement | Lecture du contenu de communication | Serveur de destination, volume de communication, timing |
Les outils sont importants. Cependant, les outils ne soutiennent qu'une partie de l'anonymat.
La corrélation se produit après coup
L'une des raisons pour lesquelles l'anonymat est difficile est que la corrélation se produit après coup.
Une information qui ne semblait pas poser problème au moment de la publication peut, six mois plus tard, se relier à une autre publication ou à une autre fuite.
Par exemple, supposons que l'on écrive sur un ancien lieu de travail avec un compte anonyme. À ce moment-là, il peut être impossible de savoir de qui il s'agit.
Mais si l'on trouve plus tard un blog sous identité réelle avec le même style, des publications sur les réseaux sociaux de la même période, la même image ou le même domaine d'expertise, les candidats se resserrent.
L'anonymat ne peut pas être jugé seulement sur le moment. Il faut aussi penser aux informations passées et futures.
Le fait que la corrélation se produise après coup signifie que le jugement « personne ne regarde maintenant, donc ça va » est dangereux.
La publication d'aujourd'hui peut se relier à un futur profil, à des données divulguées, à des résultats de recherche, à un autre compte, à une photo, à une actualité ou à des documents publiés. Une information publiée une fois se combine avec des informations futures.
| Information donnée maintenant | Ce qui peut s'y relier plus tard |
|---|---|
| Récit d'expérience au travail | Profil après changement d'emploi ou parcours passé |
| Photo d'une région | Publication ultérieure sur les lieux habituels |
| Style d'écriture distinctif | Blog sous identité réelle ou article sous un autre nom |
| Heure de publication | Historique de connexion ou journaux de communication |
| Information partielle dans un fichier | Original ou document interne publié plus tard |
On ne peut pas réduire les erreurs humaines à zéro
Ce ne sont pas seulement les faiblesses techniques qui brisent l'anonymat.
Les erreurs humaines en sont aussi une grande cause.
- Se connecter à un compte sous identité réelle dans un navigateur dédié à l'anonymat
- S'inscrire avec une adresse e-mail sous identité réelle
- Réutiliser la même image
- Publier dans la précipitation et oublier la vérification des métadonnées
- Chercher des informations sur l'activité anonyme depuis un compte sous identité réelle
- Révéler ses lieux habituels dans une réponse
Dans une pratique à long terme, une seule erreur devient un indice important.
C'est aussi pour cela que l'anonymat ne peut pas être garanti. Les êtres humains se fatiguent. Ils se pressent. Ils s'habituent. Et au moment où ils s'habituent, ils sautent les vérifications.
Les capacités de l'autre partie changent
L'anonymat dépend aussi des capacités de l'autre partie.
Ce qu'un lecteur ordinaire ne peut pas savoir peut être visible dans les journaux pour l'opérateur du site. Ce qu'un opérateur de site ne peut pas savoir peut être visible dans les enregistrements de connexion d'un opérateur télécom. Une enquête difficile pour une personne seule peut être recoupée avec d'autres données par une organisation ou un État.
| Acteur | Ce qui est visible | Point d'attention |
|---|---|---|
| Lecteur ordinaire | Contenu publié, images, style d'écriture, profil public | Resserrer les candidats à partir du contenu |
| Opérateur de site | IP, cookies, informations de connexion, journaux d'accès | Relier les informations techniques et les comptes |
| Opérateur télécom | IP de destination, heure de communication, volume de communication | Possède des métadonnées distinctes du contenu de communication |
| Lieu de travail ou école | Appareil, réseau, temps d'utilisation, informations internes | Peut recouper avec les enregistrements internes de l'organisation |
| Acteur à forte capacité | Recoupement de plusieurs données | Vise les corrélations à long terme |
Quand on réfléchit à l'anonymat, il faut d'abord décider « contre qui veut-on être anonyme ? ».
Penser en réduction du risque, pas en garantie
L'anonymat doit être pensé comme une réduction du risque, et non comme une garantie.
Ne pas chercher à devenir complètement invisible, mais réduire les indices corrélables. Séparer les environnements pour qu'une seule erreur ne brise pas tout l'ensemble. Vérifier avant une action à haut risque. Ne pas utiliser d'outil qui ne correspond pas à son modèle de menace.
Cette manière de penser est plus réaliste.
| Manière de penser | Problème | Manière réaliste de penser |
|---|---|---|
| Garantir l'anonymat complet | S'effondre si une prémisse se casse | Réduire le risque par étapes |
| Se rassurer par un nom d'outil | Mal comprendre le périmètre protégé | Regarder qui voit quoi |
| Régler une fois et terminer | Des erreurs apparaissent dans la pratique à long terme | Réexaminer régulièrement |
| Regarder une seule information | Manquer les corrélations | Regarder plusieurs indices ensemble |
L'anonymat n'est pas un mur parfait. C'est une conception qui réduit les indices, rend les liaisons plus difficiles et limite l'ampleur des échecs.
Avec cette manière de penser, il devient aussi plus facile de décider les priorités des mesures.
D'abord, réduire les identifiants les plus forts. Ensuite, réduire le mélange entre comptes et navigateurs. Puis vérifier le contenu publié, le temps, les fichiers et les informations passées.
Plutôt que chercher une garantie, il est plus réaliste de réduire les indices un par un.
Résumé
L'anonymat ne peut pas être garanti complètement.
La raison est que l'anonymat change selon la situation, l'autre partie, l'action, la durée, la technologie et la pratique.
VPN, Tor, suppression des métadonnées, séparation du navigateur et chiffrement sont importants. Cependant, leurs périmètres de protection sont différents. Les cookies, l'état de connexion, le contenu publié, le style d'écriture, le temps, les informations passées et le chemin de partage restent des problèmes distincts.
De plus, la corrélation se produit après coup. Une information qui semble petite aujourd'hui peut se relier à des informations futures.
Il faut penser l'anonymat non comme une « garantie », mais comme une « réduction du risque ». Il est important de décider contre qui et quoi l'on veut protéger, de réduire les indices, de séparer les environnements et de continuer les vérifications.