Surfer anonymement : Différence entre versions

De Vulgum Techus
Aller à : Navigation, rechercher
(DNS leak)
 
(6 révisions intermédiaires par un utilisateur sont masquées)
Ligne 3 : Ligne 3 :
 
[[Catégorie:Sécurité]]
 
[[Catégorie:Sécurité]]
 
[[Catégorie:Sites Internet]]
 
[[Catégorie:Sites Internet]]
 +
'''[[Lien court]]''' vers cette page : http://vt.cx/Sa
 +
'''[[QR code]]''' vers cette page : http://vt.cx/Sa.qr
 +
<html>
 +
<script type="text/javascript"><!--
 +
google_ad_client = "ca-pub-3341840374417340";
 +
/* VT2 */
 +
google_ad_slot = "6349432125";
 +
google_ad_width = 468;
 +
google_ad_height = 60;
 +
//-->
 +
</script>
 +
<script type="text/javascript"
 +
src="//pagead2.googlesyndication.com/pagead/show_ads.js">
 +
</script>
 +
</html>
  
 
= [[Lexique]] =
 
= [[Lexique]] =
* '''[[cookie]]''' : fichier contenant un code unique laissé dans un '''[[navigateur]]''' par un '''[[site]]'''. Ils existent différents types de '''[[cookies]]''' et leur durée de vie est variable. Les '''[[cookies]]''' sont utiles pour reconnaître un utilisateur qui a déjà tapé un code d'accès à un site. Le détournement de cookies non arrivés à expiration peut permettre de se connecter à un compte sans en avoir les identifiants.
+
* '''[[cookie]]''' : fichier contenant un code unique laissé dans un '''[[navigateur]]''' par un '''[[site]]'''. Ils existent différents types de '''[[cookies]]''' et leur durée de vie est variable. Les '''[[cookies]]''' sont utiles pour reconnaître un utilisateur qui a déjà tapé un code d'accès à un site. Le détournement de cookies non arrivés à expiration peut permettre de se connecter à un compte sans en avoir les identifiants
 
* '''empreinte''' : éléments personnalisés permettant d'identifier un usager même sans connaître son '''[[IP]]''' comme : '''[[polices de caractères]], [[navigateur]], [[système d'exploitation]]''', etc.
 
* '''empreinte''' : éléments personnalisés permettant d'identifier un usager même sans connaître son '''[[IP]]''' comme : '''[[polices de caractères]], [[navigateur]], [[système d'exploitation]]''', etc.
* '''en-tête''' : zone de données envoyée en préambule à tout échange informatique. Des '''en-têtes''' sont envoyées par les '''[[navigateurs]]''' comme par les '''[[sites Internet]]'''. Leur études est une source précieuses d'informations de part et d'autre.
+
* '''en-tête''' : zone de données envoyée en préambule à tout échange informatique. Des '''en-têtes''' sont envoyées par les '''[[navigateurs]]''' comme par les '''[[sites Internet]]'''. Leur études est une source précieuses d'informations de part et d'autre
 +
* '''[[FAI]]''' : [[fournisseur d'accès Internet]] (exemple '''[[Free]], [[Orange]] ou [[SFR]]''')
 
* '''fingerprint''' : anglais pour empreinte
 
* '''fingerprint''' : anglais pour empreinte
 
* '''header''' : anglais pour en-tête
 
* '''header''' : anglais pour en-tête
Ligne 13 : Ligne 29 :
 
= Présentation =
 
= Présentation =
 
Le désir de ne pas être identifié sur '''Internet''' est légitime et beaucoup plus complexe à obtenir qu'il n'y parait. En effet, en dehors de l''''[[IP]]''' il existe de nombreux moyens de tracer un usager parmi lesquels :
 
Le désir de ne pas être identifié sur '''Internet''' est légitime et beaucoup plus complexe à obtenir qu'il n'y parait. En effet, en dehors de l''''[[IP]]''' il existe de nombreux moyens de tracer un usager parmi lesquels :
* Cookies
+
* [[Cookies]]
* En-tête HTTP
+
* En-tête [[HTTP]]
* Plugins et extensions des '''[[navigateurs]]''' (JavaScript, Java, Flash)
+
* [[DNS]] leak
 +
* Plugins et extensions des '''[[navigateurs]] ([[JavaScript]], [[Java]], [[Flash]])
 
Chacun de ces éléments est une source d'informations qui permettent d'identifier, quelque fois avec une précision redoutable, un usager qui se pense anonyme.  
 
Chacun de ces éléments est une source d'informations qui permettent d'identifier, quelque fois avec une précision redoutable, un usager qui se pense anonyme.  
Ces techniques d'identification sont appelé le '''fingerprinting''' (empreinte) et sont de plus en plus utilisé par certains sites, régies publicitaires en tête, pour obtenir une empreinte si précise de chaque usager qu'il aura beaucoup de difficultés à lui échapper. Pourtant des solutions existent dont certaines battent en brèche les meilleurs '''fingerprinting''' actuels comme expliqué dans le présent article qui passe en revue, les principaux axes de défense sur les aspects suivants :
+
Ces techniques d'identification sont appelées le '''fingerprinting''' (empreinte) et sont de plus en plus utilisées par certains sites, régies publicitaires en tête, pour obtenir une empreinte si précise de chaque usager qu'il aura beaucoup de difficultés à lui échapper. Pourtant des solutions existent dont certaines battent en brèche les meilleurs '''fingerprinting''' actuels comme expliqué dans le présent article qui passe en revue, les principaux axes de défense sur les aspects suivants :
 
* '''[[IP]]''' qui révèle le fournisseur d'accès utilisé et qui peut être rattachée à un utilisateur identifié  
 
* '''[[IP]]''' qui révèle le fournisseur d'accès utilisé et qui peut être rattachée à un utilisateur identifié  
 
* '''[[Cookies]]''' qui s'inscrivent avec des informations uniques dans le navigateur d'un usager et indiquent les sites visités et sur lesquel il s'est identifié
 
* '''[[Cookies]]''' qui s'inscrivent avec des informations uniques dans le navigateur d'un usager et indiquent les sites visités et sur lesquel il s'est identifié
Ligne 43 : Ligne 60 :
 
* Divers paramètres dont le détail est facilement accessible à http://ip-check.info/
 
* Divers paramètres dont le détail est facilement accessible à http://ip-check.info/
 
* Referant ou referer, est indiqué dans l''''entête HTTP''' et donne l'indication du site d'origine lorsque un usager arrive en cliquant sur un lien
 
* Referant ou referer, est indiqué dans l''''entête HTTP''' et donne l'indication du site d'origine lorsque un usager arrive en cliquant sur un lien
 +
 +
== [[DNS]] leak ==
 +
Malgré l'emploi d'un '''[[VPN]]''' il est possible que le '''[[navigateur]]''' utilisé continue à passer par le '''[[FAI]]''' pour la résolution des '''[[DNS]]''' au lieu de recourir à un '''[[DNS]]''' anonyme géré par le '''[[VPN]]'''. Pour vérifier si c'est le cas, il convient de :
 +
* Lancer le '''[[VPN]]'''
 +
* Tester le '''[[VPN]]''' au lien suivant :
 +
https://hidester.com/dns-leak-test/
 +
* Si les '''[[DNS]]''' affichés sont ceux du '''[[VPN]]''' alors il n'y a pas de '''[[DNS]] leak''' et tout va bien
 +
* Si les '''[[DNS]]''' affichés sont ceux du '''[[FAI]]''' alors le '''[[DNS]] leak''' est avéré et il convient de s'en protéger comme suit :
 +
** Désactiver le serveur '''DHCP''' dans la '''box''' (selon '''[[FAI]]''')
 +
** Utiliser un '''DNS alternatif''' voir '''[[DNS alternatifs]]'''
 +
** Sur '''[[Windows]]''', désactiver '''Teredo''', une technologie '''[[Microsoft]]''' qui peut être responsable du '''leak'''. Ceci se fait comme suit :
 +
*** Désactivation de '''Teredo''' : presser {{K|Windows}} + {{K|R}} et entrer la commande '''netsh interface teredo set state disabled''' + {{Entrée}}
 +
*** Réactivation de '''Teredo''' (si nécessaire) : presser {{K|Windows}} + {{K|R}} et entrer la commande '''netsh interface teredo set state type=default''' + {{Entrée}}
  
 
=== Liens utiles ===
 
=== Liens utiles ===
* [http://en.wikipedia.org/wiki/List_of_HTTP_header_fields Wikipedia] HTTP header sur '''[[Wikipedia]]'''
+
* [http://en.wikipedia.org/wiki/List_of_HTTP_header_fields Wikipedia] '''HTTP header''' sur '''[[Wikipedia]]'''
 +
* [http://www.undernews.fr/anonymat-cryptographie/vpn-comment-les-dns-leaks-peuvent-detruire-votre-anonymat-solutions.html Undernews] '''[[VPN]] – Comment les '''[[DNS]] Leaks''' peuvent détruire votre anonymat et les solutions possibles
  
 
== [[JavaScript]] & [[Flash]] ==
 
== [[JavaScript]] & [[Flash]] ==
Ligne 87 : Ligne 118 :
 
= Applications, addons, extensions utiles =
 
= Applications, addons, extensions utiles =
 
== [[Chrome]] ==
 
== [[Chrome]] ==
 +
 +
= Commentaires =
 +
{{#widget:DISQUS
 +
|id=vulgumtechus
 +
}}

Version actuelle en date du 1 mars 2016 à 00:08

Lien court vers cette page : http://vt.cx/Sa
QR code vers cette page : http://vt.cx/Sa.qr

Lexique

  • cookie : fichier contenant un code unique laissé dans un navigateur par un site. Ils existent différents types de cookies et leur durée de vie est variable. Les cookies sont utiles pour reconnaître un utilisateur qui a déjà tapé un code d'accès à un site. Le détournement de cookies non arrivés à expiration peut permettre de se connecter à un compte sans en avoir les identifiants
  • empreinte : éléments personnalisés permettant d'identifier un usager même sans connaître son IP comme : polices de caractères, navigateur, système d'exploitation, etc.
  • en-tête : zone de données envoyée en préambule à tout échange informatique. Des en-têtes sont envoyées par les navigateurs comme par les sites Internet. Leur études est une source précieuses d'informations de part et d'autre
  • FAI : fournisseur d'accès Internet (exemple Free, Orange ou SFR)
  • fingerprint : anglais pour empreinte
  • header : anglais pour en-tête

Présentation

Le désir de ne pas être identifié sur Internet est légitime et beaucoup plus complexe à obtenir qu'il n'y parait. En effet, en dehors de l'IP il existe de nombreux moyens de tracer un usager parmi lesquels :

Chacun de ces éléments est une source d'informations qui permettent d'identifier, quelque fois avec une précision redoutable, un usager qui se pense anonyme. Ces techniques d'identification sont appelées le fingerprinting (empreinte) et sont de plus en plus utilisées par certains sites, régies publicitaires en tête, pour obtenir une empreinte si précise de chaque usager qu'il aura beaucoup de difficultés à lui échapper. Pourtant des solutions existent dont certaines battent en brèche les meilleurs fingerprinting actuels comme expliqué dans le présent article qui passe en revue, les principaux axes de défense sur les aspects suivants :

  • IP qui révèle le fournisseur d'accès utilisé et qui peut être rattachée à un utilisateur identifié
  • Cookies qui s'inscrivent avec des informations uniques dans le navigateur d'un usager et indiquent les sites visités et sur lesquel il s'est identifié
  • En-tête HTTP qui, envoyé par le navigateur, donne nombre d'informations sur ce dernier et sur l'ordinateur
  • JavaScript et Flash qui donnent une grande quantité de détails techniques sur la configuration de l'ordinateur hôte dont certaines sont si particulières qu'elles constituent une empreinte unique


En voici le détail :

IP

L'IP indique l'origine de la connexion (FAI et lieu d'origine). C'est dont le premier traceur qui demande à être modifié pour éviter d'être trop facilement localisable. Pour ce faire il existe plusieurs moyens connus dont :

  • Proxy : modifie l'IP selon les besoins de l'usager
  • VPN : garantit le cryptage des données entre l'usager et différents proxy qui change l'IP de l'usager

Malheureusement, ces méthodes sont inefficaces avec Flash à l'aide duquel on peut obtenir l'IP réel via la fonction ActionScript

Cookies

Les cookies identifient les usagers de manière très précises en cela qu'ils sont généralement installés et codé en fonction de ce qu'un usager a fait sur un site. S'il revient donc de manière anonyme sur un site qui a déjà créé un cookie personnalisé, il sera, quoi qu'il est fait pour devenir anonyme, reconnu. Il est donc indispensable, pour une navigation vraiment anonyme de commencer par la suppression de tous les cookies présents dans le navigateur.

Points importants

En-tête HTTP

Permettant aux serveurs de s'adapter aux différents types de dispositifs qui se connectent à eux, l'entête HTTP est une source d'informations très importante dont le contenu peut permettre d'identifier un usager de manière extrêmement précise et ce, même s'il se connecte via un VPN. Le contenu de l'entête HTTP' révèle des détails de la configuration matérielle et logicielle comme :

  • Type et version du navigateur (User-Agent)
  • Langages acceptés par le navigateur
  • Divers paramètres dont le détail est facilement accessible à http://ip-check.info/
  • Referant ou referer, est indiqué dans l'entête HTTP et donne l'indication du site d'origine lorsque un usager arrive en cliquant sur un lien

DNS leak

Malgré l'emploi d'un VPN il est possible que le navigateur utilisé continue à passer par le FAI pour la résolution des DNS au lieu de recourir à un DNS anonyme géré par le VPN. Pour vérifier si c'est le cas, il convient de :

  • Lancer le VPN
  • Tester le VPN au lien suivant :
https://hidester.com/dns-leak-test/
  • Si les DNS affichés sont ceux du VPN alors il n'y a pas de DNS leak et tout va bien
  • Si les DNS affichés sont ceux du FAI alors le DNS leak est avéré et il convient de s'en protéger comme suit :
    • Désactiver le serveur DHCP dans la box (selon FAI)
    • Utiliser un DNS alternatif voir DNS alternatifs
    • Sur Windows, désactiver Teredo, une technologie Microsoft qui peut être responsable du leak. Ceci se fait comme suit :
      • Désactivation de Teredo : presser Windows + R et entrer la commande netsh interface teredo set state disabled + Modèle:Entrée
      • Réactivation de Teredo (si nécessaire) : presser Windows + R et entrer la commande netsh interface teredo set state type=default + Modèle:Entrée

Liens utiles

JavaScript & Flash

Ces langages sont installés et opérationnels dans la plupart des navigateurs. Coté serveur, ils permettent d'obtenir des informations de personnalisation extrêmement précises dont certaines sont uniques et permettent d'identifier un utilisateur de manière certaine et ce, quel que soit son IP', son en-tête HTTP ou l'absence de Cookies. Les informations qu'ils permettent d'obtenir sont :

Procédures

A la lecture des différents chapitres liées aux points permettant l'identification d'un usager, il s'avère que les stratégies sont peu nombreuses pour tromper ses détections. Voici le détail de ce qui permet d'éviter d'être identifié, point par point :

IP

Si l'on sait que VPN et proxy sont de bons moyens pour masquer l'IP d'origine mais les VPN et proxy commerciaux sont connus des grands sites et certains peuvent avoir un comportement particulier en fonction de cela. Ainsi, compter sur un VPN commercial pour faire des clics rémunérateurs sur Google AdSense est voué à l'échec, tout comme Netflix commence à bloquer les VPN et proxy utilisé par certains utilisateurs pour obtenir des droits de visualisation sur des films auxquels ils n'ont pas accès dans leur pays de consultation.

En-tête HTTP

Différentes solutions permettent de masquer partiellement ou complètement les informations divulguées par l'en-tête HTTP

JavaScript et Flash

Ces deux langages de programmation sont très communs sur de nombreux sites et l'on peut les éviter de deux manières distinctes :

  • Navigateur courant : blocage ou désinstallation
  • Navigateur dans machine virtuelle sur laquelle aucun des deux ne serait installé

Blocage

Désinstallation

Machines virtuelles ou VM

Virtualbox ou VMWare sont les deux produits phares en matière de machine virtuelle. Ils permettent de simuler un système complet (Linux, Windows, Android, OS X) sur un PC et de le configurer de manière à ce que son empreinte soit différente du système sur lequel est installée la machine virtuelle. Ainsi on pourra configurer la résolution écran, les polices de caractères, et nombre d'autres paramètres pour créer une empreinte "bateau" et faire en sorte qu'elle soit modifiée périodiquement afin d'interdire le traçage. Mieux encore, il est possible de recourir à plusieurs machines virtuelles concurrentes, ayant chacune son empreinte et servant chacune à un type de consultation particulier. Cumulé à une IP masquée et au blocage ou à l'effacement périodique des cookies on obtient un dispositif totalement furtif !

Sites utiles

Tester son empreinte

Applications, addons, extensions utiles

Chrome

Commentaires

blog comments powered by Disqus