Comment un pseudonymat peut voler en éclat ?
Dans une de ses interviews, Fabrice Epelboin disait "Récupérer une vie privée est un long travail, il faut sans cesse apprendre, c’est un apprentissage constant". Cette simple phrase est on ne peut plus vrai et montre bien que la sécurité, l’anonymat, la protection de ses données et tout le reste ne sont pas figées, ce n’est pas quelque chose que l’on met en place une bonne fois pour toute, mais quelque chose qui se fait au quotidien, encore et encore. On doit donc sans cesse se questionner sur les solutions que l’on utilise, remettre en cause les acquis, suivre les évolutions technologiques, vérifier que ce que l’on pense maitriser l’est réellement, douter...
Dans cet article, je voudrais donner quelques exemples de différentes erreurs qu’il est possible de faire/commettre lorsque, comme moi, on anime une cryptopatrtie/chiffrofête/café vie privée. J’ai commis certaines de ces erreurs, d’autres sont des erreurs que j’aurai pu/pourrais commettre et se base donc sur des hypothèses des scénarios fictifs.
Tout cela fait que j’en viens à m’intéresser de plus en plus à l’OPSEC, ce que j’ai d’ailleurs commencé à faire en définissant mon propre modèle de menace. Voici quelques exemples de problème que l’on est susceptible de rencontrer et qui auraient/auront pour conséquence de faire voler un anonymat/pseudonymat en éclat.
Thunderbird
Quand je parle de GPG, que je montre quelques diapositives de présentation sur le sujet, que j’explique la théorie, les personnes me demandent alors "à quoi ça ressemble, comment ça marche etc.". Le problème est que si je me lance dans une démonstration de l’utilisation de GPG dans Thunderbird, que j’ouvre le profil que j’utilise au quotidien.
Parmi les différents comptes mails que je peux relever, il y a le ou les comptes mails que j’ai et dont le nom de compte est sous la forme prénom.nom... Quiconque voit mon écran peut donc voir cette information.
Si j’ouvre mon compte mail Genma pour montrer comment marche GPG, à quoi ressemble un mail chiffré, comment en envoyer un... J’affiche également les mails que j’ai reçu. Même si ceux-ci sont chiffrés, on voit le sujet, l’expéditeur/les destinataires, la date, les dossiers où je classe mes mails, les mailling-liste auxquelles je suis abonnée...
La seule solution est donc de cloisonner, ne pas relever ses comptes "nominatifs" et "pseudonominatifs" sur la même machine, de créer un profil "Demo", avec une fausse clef GPG qu’on ne publie pas ; on peut même en récréer une pour les besoins de la démonstration... Il faut donc prévoir l’atelier GPG, savoir où l’on va, savoir ce que l’on va montrer, et SURTOUT NE PAS IMPROVISER.
Rq : il faut aussi penser au graphe social que l’on expose si on montre les clefs que l’on possède/a signé dans Seahorse ou en ligne de commande par exemple...
Le login sous la forme prénom.nom
J’utilise un PC professionnel (celui que j’utilise au quotidien, et ce pour des raisons de facilité et parce que je ne dispose pas d’une machine personnelle) pour faire une conférence que je fais sous pseudonyme. Durant la conférence, la machine se met en veille et la mise en veille entraine la fermeture de la la session, quand je me reconnecte, n’importe qui peut voir que le login de connexion à la machine est de la forme "prénom.nom" et récupère des informations que je m’évertue à cacher.
Pour résoudre ce problème, j’ai installé un double boot Windows/Linux sur la machine. Sous Linux, le compte est "Genma" et ne fait aucunement référence à ma véritable identité. La machine est partitionnée, j’ai besoin d’une donnée que j’ai stockée sur une des partitions Windows (pour récupérer un fichier d’exemple ou autre). En naviguant sur la partition, j’affiche le dossier correspondant à mon dossier utilisateur, à savoir D :\Users\prénom.nom. Là encore, on a l’information sur ma véritable identité....
Une même IP et des comptes nominatifs et sous pseudonymes
Dans mon article Réflexions autour de Linkedin et du pseudonymat, j’exposais le cas de Linkedin qui peut proposer à différentes personnes de se connecter à "Genma", du fait que différentes connexions à différents comptes se soit faite depuis la même adresse IP (même box ADSL, derrière le même proxy d’entreprise....)
Il faut donc bien faire attention à ne se connecter à ses comptes nominatifs et ses comptes sous pseudonymes depuis les mêmes lieux, à savoir chez soi, depuis son lieu de travail ou depuis n’importe quelle connexion... Ce qui est beaucoup plus facile à dire, presque impossible à faire en pratique.
De même, il faut penser à l’adresse IP que l’on utilise à la création de son compte sous pseudonyme. Généralement, à ce moment là, on n’est pas encore au fait de toutes les problématiques liées à la vie privée... Personnellement, je sais que si je veux redevenir anonyme/acquérir un minimum d’anonymat sous pseudonyme, je repartirais de zéro, en utilisant mes connaissances actuelles, en passant par Tor dès la création du compte... Mais il y aura forcément quelque chose que j’oublierai....
En publiant sur les réseaux sociaux
Twitter est un espace publique. Tant que je publie des choses en mon nom/pseudo, je parle pour moi. De même, si je fais un retwitt, la personne a tenu un propos publique que je ne fais que reprendre. Je ne diffuse donc aucune information confidentielle (normalement, sinon je ne le twitte pas). Par contre je peux diffuser involontairement une information concernant une personne qui n’est pas forcément publique/ qui n’a pas à être publique.
Par exemple, en écrivant la simple phrase "@toto, je te vois samedi à la cryptoparty ?" Je transmets l’information que toto est potentiellement intéressé par les cryptoparties et les problématiques associées (vie privée etc.), qu’il sera probablement en un lieu donné durant une période donnée (le lieu et les horaires de la cryptoparty étant généralement publique)... Toto utilise un pseudonyme, il a ses raisons. Il vient à une cryptoparty et là encore il a ses raisons. Et quelqu’un d’extérieur met en exposition des informations le concernant qu’il n’a pas forcément envie de rendre publique. Si c’était le cas, il aurait de lui même twitté "je serai à la cryptoparty", ou rediffuser l’information comme quoi "une cryptoparty a lieu tel jour à telle heure". S’il n’en est rien, c’est qu’il a fait le choix de ne pas diffuser l’information de son intérêt pour ce genre de manifestation...
Autre exemple, le fait d’appeler cette personne par son vrai prénom dans un Twitt. Ou en s’adressant à elle dans un espace publique, où elle s’est présentée sous pseudonyme... L’implication que l’on peut avoir dans la diffusion d’information plus ou moins personnelles/confidentielles d’autres personnes est également à méditer.
Conclusion
Je vais m’arrêter là pour le présent article mais je pense que j’aurai l’occasion de reparler de toutes ces problématiques et en attendant, je vous invite vous aussi à définir votre propre modèle de menace.