Pourquoi rechercher l’anonymat sur Internet ?
Avant de voir comment surfer sur Internet de manière vraiment anonyme, vous vous demandez peut-être pourquoi rechercher l’anonymat sur Internet si l’on a rien à ce reprocher ?
Les raisons peuvent être multiples : vous souhaitez peut être protéger certaines recherches Internet concernant des sujets potentiellement sensibles tels que des problèmes de santé, des questionnements personnels (comme l’orientation sexuelle), des engagements politiques, des croyances religieuses, de l’intelligence économique, et vous souhaitez vous assurer que personne ne pourra utiliser ces informations contre vous ? Ou alors vous vivez peut-être dans une zone pratiquant la censure Internet ? Ou plus simplement vous souhaitez protéger vos données personnelles sans avoir le sentiment d’être (pour)suivi par les annonceurs et leurs trackers publicitaires ou par votre fournisseur d’accès Internet?
Pour ces différentes raisons, je vous propose une méthode fonctionnant sur la majorité des ordinateurs et plateformes (Mac, Windows, Linux) et qui me semble la plus efficace pour surfer sur Internet de manière anonyme, c’est à dire minimiser les traces laissées lors de son surf par ses habitudes de navigation (browser fingerprinting, historique de navigation, super cookies) ou par son matériel (IP, adresse mac, DNS…). Pour ce faire, nous installerons le système d’exploitation Open Source Whonix au travers d’une machine virtuelle via VirtualBox.
A noter – Le vrai anonymat sur Internet n’existe pas
Aucune méthode ne peut prétendre protéger pleinement l’anonymat sur Internet. Le seul fait d’être connecté à un réseau externe vous expose, peu importe la méthode choisie. Internet n’a simplement pas été conçu avec cet objectif d’anonymat.
L’objectif de ce post est de partager une méthode qui peut atténuer le risque et a un objectif éducatif voir de challenge personnel ( = pour les geeks qui souhaitent protéger leur données personnelles) dans un contexte ou l’anonymat en ligne est devenu quasi impossible.
Le but n’est certainement pas de promouvoir ou permettre un usage illégal d’Internet. D’ailleurs, la méthode décrite ci-dessous ne résisterait pas à l’analyse physique des disques (forensic analysis), l’OS choisi pour cet article, Whonix, n’ayant pas été conçu pour cela.
Plusieurs méthodes existent pour préserver son anonymat sur Internet
Il existe de nombreuses méthodes permettant de naviguer sur Internet de manière plus ou moins anonyme, les plus connues étant les suivantes :
- Utiliser un Réseau Privé Virtuel ou VPN,
- Système d’exploitation live ou amnésique comme Tails (popularisé par Edward Snowden)
- Réseau décentralisé comme Tor,
- Serveurs proxys,
- Wifi public d’un café,
- Ou encore d’autres solutions comme l’Invisible Internet Project (I2P) ou le système d’anonymisation Jondonym.
Chacune de ces méthodes a des avantages et des inconvénients qui ne seront pas détaillés dans cet article. Le meilleur choix pour vous dépendra du niveau d’anonymat souhaité, de votre adversaire potentiel, et de la complexité de la mise en œuvre.
Whonix, l’OS open source centré sur la sécurité, la vie privée et l’anonymat
La solution que je vous propose est d’installer Whonix, un système d’exploitation Open Source centré sur la sécurité, la vie privée et l’anonymat. Cet OS a la particularité d’être composé de deux parties ou VM: Whonix-Gateway et Whonix-Workstation. Il se connecte via le réseau Tor, est basé sur la distribution Linux Debian et utilise l’isolation comme principe directeur. Il est à noter que Whonix-Gateway peut également être utilisé avec d’autres OS que Whonix-Workstation comme Qubes OS.
Whonix permet de dissimuler l’adresse IP attribué par votre fournisseur d’accès Internet, protégeant ainsi votre identité et votre trafic du regard de votre FAI ainsi que des sites web que vous visitez. Cela vous permet également de contourner la censure Internet dans l’éventualité ou vous en seriez victime. Seules les connections via le réseau Tor sont autorisées. Les fuites de DNS (DNS Leaks) ne sont elles pas possibles. Whonix fonctionne donc au travers de deux machines virtuelles, une passerelle et l’OS à proprement parlé :
La Whonix-Gateway: Cette VM est comme son nom l’indique une passerelle pour Whonix-Workstation. C’est elle qui va démarrer la connexion avec le réseau Tor et permettre d’isoler la VM Whonix-Workstation.
La Whonix-Workstation : Cette VM se connecte exclusivement à Whonix-Gateway et n’est pas connectée au LAN. L’ensemble du trafic Internet passera donc par la passerelle. Utiliser cette VM vous permettra donc de dissimuler votre IP ainsi que l’adresse mac de votre carte réseau. C’est cette VM qui sera utilisée pour naviguer sur Internet de manière anonyme.
Comment installer le système d’exploitation Whonix en VM
- Téléchargez l’image disque Whonix pour votre plateforme (extension .ova)
- Téléchargez VirtualBox, un logiciel libre de virtualisation, en prenant soin de télécharger la version adaptée (Mac, Windows, etc…)
- Profitez-en pour télécharger également le VirtualBox Extension Pack. A noter que ce package n’est pas open source contrairement à VirtualBox, (code propriétaire Oracle) mais permet d’apporter la compatibilité vers l’USB 3, le cryptage des images disques, etc…
- Lancez l’installation
- Une fois l’installation terminée, exécutez VirtualBox
- Double-cliquez sur l’image disque Whonix téléchargée précédemment (.ova).
- Virtualbox devrait par défaut vous proposer d’importer l’image disque (nommée « Appareil virtuel » sur VirtualBox) pour créer les deux machines virtuelles nécessaires.
- Cliquez sur le bouton « Importer » et acceptez les deux contrats de licence. L’importation devrait prendre quelques minutes.
- Installez ensuite le package d’extension via VirtualBox > Préférences > Onglet Extensions > Ajouter une nouvelle extension.
- Vous devriez ainsi retrouver dans le menu de gauche les deux VM Whonix-Gateway et Whonix-Workstation.
- La VM Whonix-Gateway doit être démarrée en premier pour permettre la connexion au réseau Tor
- Une fenêtre de commande « systemcheck » devrait automatiquement démarrer. Assurez-vous de mettre à jour certains packages si nécessaire (ici, il faut lancer la commande « upgrade-nonroot » via le terminal pour mettre à jour le package Debian).
- Démarrez ensuite Whonix-Workstation et mettez également à jour les paquets si nécessaire.
- Félicitations ! Vous pouvez maintenant surfer sur Internet de manière (vraiment) anonyme avec Whonix OS !
Comment vérifier que l’isolation du réseau est bien configurée
Ouvrez le terminal sur Whonix-Workstation et tapez « IP addr » pour obtenir votre adresse IP. Si tout fonctionne, elle devrait être 10.152.152.11/18. En procédant de même sur Whonix-Gateway, vous devriez obtenir l’adresse 10.152.152.10/18 sur Eth1 (l’unique réseau de votre machine virtuelle)
Maintenant vérifions que l’ensemble du trafic Internet de Whonix-Workstation passe bien par l’IP de la passerelle, via un « Sudo Route » dans le terminal. Le mot de passe par défaut est « changeme ». Sur l’image ci-dessous, nous pouvons voir que l’ensemble du trafic passe par l’IP de notre passerelle (10.152.152.10). Tout fonctionne comme attendu.
Les limites de cette solution Whonix
- La première, et peut être la principale est que certaines lenteurs du réseau (propre au réseau Tor + Gateway) puissent rendre cette méthode non pertinente pour un usage quotidien.
- Il est relativement facile pour un adversaire (FAI, hébergeur, autre) de voir que vous utilisez Whonix
- Whonix n’encrypte pas les documents et emails par défault. D’ailleurs il est recommandé d’encrypter l’intégralité du disque dur de l’host pour palier à ce problème.
- L’OS ne protège pas contre les attaques de type Social Engineering.
- Whonix n’efface pas les métadonnées de vos documents ni les contenus inclus dans la mémoire
- Cela ne vous protège pas en cas de matériel / hardware déjà compromis ni en cas de saisie et analyse de votre matériel.
- L’anonymat de votre activité sur le réseau Tor pourrait être compromis en cas d’attaque du type man-in-the-middle (MITM attack).
- Cela va de soit, Whonix ne vous protègera pas si vous vous connectez à vos différents services emails ou votre banque en ligne pendant votre session…
- Voir la liste exhaustive des limites et risques liés à l’utilisation de Whonix.
Whonix, une solution d’anonymisation efficace au quotidien ?
En conclusion, cette méthode peut paraitre un peu extrême pour un usage quotidien d’Internet. Et ce n’est je pense pas l’objectif. Mais dans l’éventualité ou vous souhaiteriez protéger vos recherches Internet et votre navigation de manière sérieuse, Whonix pourrait être l’une des solutions à adopter ou tout au moins à essayer :).
Et vous, comment protégez-vous votre anonymat en ligne ?