====== Comment bloguer de manière anonyme ? ====== 

===== Exemple =====

Sarah travaille comme comptable dans l’administration. Elle réalise que son patron, un ministre, détourne de larges sommes d’argent. Elle veut rendre ce délit public, mais elle a peur de perdre son emploi. Si elle en parle au ministre, pour peu qu’elle arrive à obtenir un rendez-vous, elle risque d’être licenciée. Elle fait tout d’abord appel à un journaliste qui travaille pour un journal local, mais il affirme qu’il ne peut traiter cette affaire avec le peu d’informations dont elle dispose et qu’il a besoin de documents qui apportent les preuves de ce qu’elle affirme.

Sarah décide donc de créer un blog, pour dévoiler au monde ce qui se passe au ministère. Pour se protéger, elle veut s’assurer que personne ne peut découvrir son identité à partir de son blog. Elle doit donc créer un blog anonyme. Or, il existe deux façons de découvrir l’identité d’un blogger. 

La première : le blogger peut révéler lui-même son identité dans le contenu de sa publication. Par exemple, si Sarah dit : « Je suis l’assistante comptable en chef du secrétaire d’Etat aux Mines », quelqu’un lisant son blog aura vite fait de découvrir son identité. L’autre façon de découvrir l’identité de Sarah est d’exploiter les informations fournies par les navigateurs ou par les programmes d’e-mail. Tout ordinateur relié à Internet a, ou partage, une adresse IP : une série de quatre chiffres entre 0 et 255, séparés par des points. Par exemple : 213.24.124.38. Lorsque Sarah utilise son navigateur pour faire un commentaire sur le blog du ministère, l’adresse IP qu’elle utilise apparaît sur son message.

En cherchant un peu, les informaticiens du ministère peuvent retrouver l’identité de Sarah grâce à cette adresse IP. Si Sarah se connecte de chez elle, par le biais d’un fournisseur d’accès Internet (FAI), ce dernier peut très certainement faire le lien entre l’adresse IP utilisée pour poster des messages et le numéro de téléphone de Sarah. Dans certains pays, le ministre devra demander un ordre judiciaire pour obtenir ces renseignements. Dans d’autres, et particulièrement ceux dans lesquels les fournisseurs Internet appartiennent à l’Etat, le gouvernement n’aura pas de mal à obtenir ces renseignements et Sarah risque de se retrouver dans une situation délicate.

Il existe plusieurs façons pour que Sarah dissimule son identité sur Internet. De manière générale, le degré de protection dépend de l’effort qu’elle est prête à fournir pour la cacher. Toutes les personnes désireuses de créer un blog de façon anonyme doivent décider jusqu’où elles sont prêtes à aller pour protéger leur identité. Comme nous allons le voir, quelques-uns des moyens employés pour protéger l’identité d’un internaute nécessitent des connaissances techniques approfondies et beaucoup de travail.

===== Première étape : les pseudonymes =====

Une façon simple pour Sarah de cacher son identité est d’utiliser un compte mail ainsi qu’un outil de blog gratuits, basés à l’étranger (utiliser un compte payant pour l’e-mail ou pour un outil de blog n’est pas une bonne idée puisque le paiement permettra de remonter à une carte de crédit, un compte courant ou un compte paypal et ainsi de retrouver la trace du blogger). Sarah peut se créer une fausse identité, un pseudonyme, qu’elle utilisera pour ces comptes. Quand le ministère trouvera son blog, il découvrira qu’il appartient à « A.N.O.Nyme », dont l’adresse e-mail est : « anonyme.blogger@hotmail.com ». Quelques fournisseurs de comptes e-mail gratuits :
  * Hotmail
  * Yahoo
  * Hushmail : e-mail gratuit qui apporte une solution de cryptage
  * Quelques outils de blog :
  * Blogsome : outil de blog gratuit de WorldPress
  * Blogger
  * SEO Blog
Mais cette stratégie pose un problème : lorsque Sarah crée un compte mail ou un blog, le fournisseur qu’elle utilise enregistre son adresse IP. Si cette adresse IP est associée au domicile ou au bureau de Sarah, et si l’entreprise qui gère le service d’e-mail ou de blog est obligée de livrer ses informations, le ministère peut retrouver Sarah. Il n’est pas facile de forcer les fournisseurs des services Web à donner ce type de renseignements. Par exemple, pour que Hotmail reconnaisse que Sarah a signé un contrat avec eux, le ministère sera certainement obligé de recourir à un ordre judiciaire, en collaboration avec l’agence américaine d’application des lois. Mais Sarah ne veut peut-être pas prendre le risque que son gouvernement parvienne à convaincre son fournisseur d’e-mail ou de blog de dévoiler son identité.

===== Deuxième étape : les ordinateurs publics =====

Un autre moyen que Sarah peut envisager pour cacher son identité est de se servir d’ordinateurs publics, c’est-à-dire utilisés par un grand nombre de personnes, pour gérer son blog. Au lieu de créer son compte e-mail ou son blog à partir de l’ordinateur qu’elle utilise chez elle ou au bureau, elle peut le faire à partir d’un cybercafé ou d’une bibliothèque. Lorsque le ministère vérifiera l’adresse IP utilisée pour poster des messages sur le blog, il découvrira que cela a été fait d’un cybercafé où les ordinateurs sont utilisés par beaucoup de monde. Cette stratégie a des inconvénients. Si le cybercafé ou le laboratoire d’informatique de l’université note l’identité de l’utilisateur de tel ordinateur à telle heure, l’identité de Sarah risque d’être dévoilée. Il ne faut pas qu’elle essaie de poster des messages au beau milieu de la nuit, quand elle se retrouve seule au laboratoire d’informatique, parce que le veilleur se souviendra certainement de qui il s’agit. Elle devra changer souvent de cybercafé. En effet, si le ministère découvre que tous les messages le concernant proviennent de l’Internet café « Chez Jojo, bières et snacks », dans la rue principale, il risque d’y envoyer quelqu’un pour vérifier qui poste ces messages.

===== Troisième étape : les proxies anonymes =====

Sarah en a marre d’aller « chez Jojo » chaque fois qu’elle veut mettre à jour son blog. Avec l’aide d’un voisin, elle met en place un système lui permettant d’accéder au Web de son ordinateur en utilisant un proxy anonyme. A partir de maintenant, lorsqu’elle utilise son mail ou son blog, c’est l’adresse IP du proxy qui apparaîtra et non l’adresse de son ordinateur personnel. Le ministère aura ainsi beaucoup de mal à la retrouver. D’abord, elle se procure une liste de proxies sur Internet, en recherchant « serveur proxy » sur Google. Par exemple, elle en choisit un dans la liste fournie par publicproxer.com, en préférant un proxy qui porte la mention « High anonymity » (Niveau d’anonymat élevé). 

Elle note ensuite l’adresse IP du proxy ainsi que son port. (Sur l’utilisation de proxies, voir également l’article « Comment contourner la censure »). Quelques listes de proxies connues :
  * publicproxer.com : liste de proxies anonymes et non anonymes.
  * Samair (http://www.samair.ru/proxy/) : des proxies anonymes ainsi que des renseignements sur les proxies qui acceptent le système de cryptage SSL.
  * Rosinstrument proxy database (http://tools.rosinstrument.com/proxy/) : une base de données de proxies.

Puis, elle va dans le menu « préférences » de son navigateur. Dans « Général », « Réseau » ou « Sécurité » (habituellement), elle va trouver une option lui permettant d’entrer les paramètres du proxy pour accéder à Internet. (Sur le navigateur de Firefox que j’utilise, on peut trouver cette option dans « préférences”, « Général », « Paramètres de la connexion »). Elle clique ensuite sur « Configuration du proxy pour accéder à Internet », entre l’adresse IP du serveur et du port de ce proxy dans les sections « proxy http » et « proxy SSL », puis enregistre ces paramètres. Elle redémarre son navigateur et peut ainsi naviguer sur le Web en utilisant désormais un proxy anonyme.

Elle se rend compte que sa connexion sur le Web est un peu lente. C’est parce que, pour chaque page Web qu’elle télécharge, elle est obligée de faire un détour. Au lieu de se connecter directement à Hotmail.com, elle se connecte d’abord au proxy, qui lui-même se connecte à Hotmail. Quand Hotmail lui envoie une page, celle-ci est dans un premier temps reçue par le server proxy, qui la lui renvoie. Elle remarque également qu’elle rencontre quelques difficultés pour accéder à certains sites Web, en particulier ceux qui nécessitent une inscription. Mais, au moins, son adresse IP n’est pas enregistrée par son outil de blog !

On peut s’amuser avec les proxies : allez sur noreply.org, qui est un site de re-mailer très populaire. Le site vous accueille en vous donnant votre adresse : « Bonjour pool-151-203-182-212.wma.east.verizon.net 151.203.182.212, bienvenue. »

Maintenant, rendez-vous sur anomyzer.com, un service qui permet de visionner (certaines) pages Web à travers un proxy anonyme. Dans la case en haut à droite de la page d’anomyser, tapez l’adresse URL : http://www.noreply.org. (Ou cliquez sur ce lien http://anon.free.anomyzer.com/http://www.noreply.org). Vous pouvez voir que noreply.com pense maintenant que vous venez de vortex.anomyzer.com (Anomyzer est un bon moyen de tester les proxies sans changer les paramètres du navigateur, mais cela ne fonctionne pas avec les services Web plus sophistiqués, comme les webmails ou les serveurs de weblog).

Enfin, suivez les instructions ci-dessus pour mettre en place votre navigateur afin d’utiliser
un proxy anonyme, puis rendez-vous sur noreply.com pour savoir d’où il pense que vous venez.

Hélas, les proxies ne sont pas parfaits non plus. En effet, de nombreux pays bloquent l’accès aux proxies les plus populaires, afin d’éviter que les internautes ne s’en servent pour accéder à des sites interdits. Les internautes doivent donc changer de proxy lorsque celui-ci est bloqué par les autorités. Ces manipulations risquent de causer une importante perte de temps. Si Sarah est l’une des seules dans son pays à utiliser un proxy, elle peut rencontrer un autre problème. Si, à partir du blog, on peut remonter à un seul serveur proxy, et si le ministère a les moyens d’accéder aux données enregistrées par tous les FAI du pays, il risque de découvrir que l’ordinateur de Sarah était l’un des seuls à avoir accédé à ce proxy particulier.

Il ne peut pas prouver que Sarah a utilisé le proxy pour aller sur un outil de blog. Mais il peut vérifier qu’elle est l’une des seules internautes à utiliser ce proxy et peut en déduire que c’est bien elle qui met à jour le blog en question. Sarah a ainsi tout intérêt à utiliser des proxies très populaires dans la région où elle se trouve et à en changer souvent.

===== Quatrième étape : maintenant, vraiment, c'est confidentiel ! =====

Sarah commence à se demander ce qui va se passer si les serveurs de proxy qu’elle utilise sont compromis. Si le ministère arrive à convaincre l’opérateur d’un proxy, de façon légale ou en le corrompant, de conserver des traces de tous ses utilisateurs et de noter quels sites ils visitent. Elle compte sur l’administrateur du proxy pour la protéger, mais elle ne le connaît même pas ! (En vérité, l’administrateur de proxy risque, de même, ne pas être au courant qu’elle passe par son intermédiaire pour se connecter au Net, car il a le plus souvent laissé ouvert son proxy accidentellement).

Heureusement, Sarah a un ami au Canada – un pays moins enclin que le sien à censurer Internet — qui sera peut-être d’accord pour l’aider à garder son blog tout en restant anonyme. Sarah l’appelle et lui demande d’installer « Circumventor » (http://www.peacefire.org/circumventor/simple-circumventor-instructions.html) sur son système. Circumventor est un système qui permet à son utilisateur d’utiliser son ordinateur comme proxy pour d’autres internautes. Jim, l’ami de Sarah, télécharge Circumventor à partir de Peacefire.org et l’installe sur Windows. L’installation n’est pas facile. Il faut qu’il commence par installer Pearl, puis OpenSA, pour enfin pouvoir installer Circumventor. Ensuite, il faut qu’il laisse son ordinateur connecté à Internet en permanence pour permettre à Sarah de l’utiliser comme proxy sans avoir à lui demander de se connecter chaque fois qu’elle veut surfer sur Internet. Il fait le nécessaire, appelle Sarah sur son portable, et lui donne une adresse URL qu’elle peut utiliser pour naviguer sur le Web ou aller sur son blog en utilisant le proxy qu’il a mis en place. C’est très pratique car Sarah peut utiliser le proxy de chez elle ou d’un cybercafé et n’a à changer aucun paramètre dans son système.

Bien que Sarah soit très reconnaissante envers Jim, cette solution présente un problème majeur. L’ordinateur de Jim, qui utilise Windows, redémarre assez souvent. Chaque fois, son ISP lui donne une nouvelle adresse IP et, chaque fois, Sarah ne peut plus utiliser son proxy sans connaître la nouvelle adresse. A chaque fois, Jim doit contacter Sarah pour lui donner la nouvelle adresse, ce qui est cher et frustrant. Sarah a par ailleurs peur qu’en utilisant la même adresse trop longtemps, son ISP cède à la pression du gouvernement et la rende inaccessible.

===== Cinquième étape: l' « onion routing », grâce au système TOR =====

Jim suggère à Sarah d’essayer Tor, un système relativement nouveau dont le but est de conserver son anonymat tout en surfant sur Internet. L’« onion routing » reprend le même principe que les serveurs proxies, c’est-à-dire que Sarah se connecte à Internet en passant par un autre ordinateur comme intermédiaire, mais il va plus loin. Chaque demande faite, à un réseau d’« onion routing » passe par plusieurs ordinateurs, entre 2 et 20. Il devient donc très difficile de savoir quel ordinateur est à l’origine de la requête. Chaque étape de routage est chiffrée, ce qui rend plus difficile pour le gouvernement de retrouver la trace de Sarah. De plus, chaque ordinateur de la chaîne ne connaît que ses voisins les plus proches. En d’autres termes, le serveur B sait que le serveur A lui a envoyé une demande d’accès à une page Web, et qu’il fait passer la demande à un routeur C. Mais la demande elle-même est chiffrée : routeur B ne sait pas quelle page a été demandée par Sarah ou quel est le routeur qui va finalement télécharger la page.

Vu la complexité de la technologie, Sarah est agréablement surprise de la facilité avec laquelle elle a pu installer Tor sur son système (https://web.archive.org/web/20130828060847/https://www.wefightcensorship.org/fr/article/ameliorer-votre-confidentialite-internet-torhtml.html). Sarah va sur http://www.whatismyip.com/ com et découvre qu’elle est « couverte » par le système Tor. Whatismyip.com pense qu’elle se connecte de l’université depuis Paris. Elle réessaye, et là, noreply pense qu’elle est en Allemagne. Elle en conclut que Tor change son identité à chaque demande, ce qui l’aide à protéger son anonymat.

Cela entraîne cependant quelques conséquences étranges. Lorsqu’elle va sur Google en passant par Tor, il change constamment de langue ! Une recherche en anglais, une autre en japonais, puis en allemand, en danois et en hollandais, tout cela en quelques minutes. Sarah en profite pour apprendre de nouvelles langues, mais il y a d’autres conséquences qui l’inquiètent davantage. Sarah aime bien contribuer au dictionnaire collaboratif Wikipedia, mais elle se rend compte que celui-ci bloque ses tentatives d’édition d’articles lorsqu’elle passe par Tor.

Tor semble également rencontrer les mêmes problèmes que les autres proxies utilisés par Sarah. La navigation sur Internet est plus lente comparée à la navigation sans proxy. Elle finit par utiliser Tor uniquement lorsqu’elle va sur des sites dont le contenu est délicat ou pour poster sur son blog. Et, autre désavantage, elle ne peut pas installer Tor sur un ordinateur public et ne peut donc utiliser ce système que de son domicile.

Le plus inquiétant cependant, c’est que Tor cesse parfois de fonctionner ! En effet, le FAI de Sarah bloque certains serveurs relais utilisés par Tor et lorsque Tor essaie d’utiliser un routeur bloqué, elle peut passer de longs moments à attendre et n’obtient parfois jamais la page demandée.


===== Que peut-on dévoiler ? Quelle est la limite ? =====

La solution qu’a choisie Sarah, qui consiste à installer et utiliser Tor, est-elle forcément la bonne solution pour vous ? Il n’y a pas une seule et unique réponse. Lorsqu’on s’engage sur le chemin de l’anonymat, il faut prendre en compte les conditions du pays, votre propre compétence technique et votre niveau de paranoïa. Si vous avez des raisons de croire que ce que vous postez risque de vous mettre en danger, et que vous êtes capables d’installer Tor, alors allez-y. Dernier conseil, n’oubliez pas de signer vos messages sur le blog avec un pseudonyme !