Guide de l'anonymat en ligne (par https://anonymousplanet.org/)

L'utilisation de ce guide se fait à vos risques et périls. Ne considérez pas ce guide comme une vérité définitive pour tout, car il ne l'est pas.

Spoiler : Table des matières

• Introduction:
• Comprendre les bases de la façon dont certaines informations peuvent mener à vous et comment en atténuer certaines :
  • Votre réseau :
    • Votre adresse IP :
    • Vos requêtes DNS et IP :
    • Vos dispositifs RFID :
    • Les appareils Wi-Fi et Bluetooth qui vous entourent :
    • Les points d'accès Wi-Fi malveillants ou malhonnêtes :
    • Votre trafic Tor/VPN anonymisé :
    • Certains appareils peuvent être suivis même lorsqu'ils sont hors ligne :
  • Vos identifiants matériels :
    • Votre IMEI et IMSI (et par extension, votre numéro de téléphone) :
    • Votre adresse MAC Wi-Fi ou Ethernet :
    • Votre adresse MAC Bluetooth :
  • Votre CPU :
  • Vos systèmes d'exploitation et services de télémétrie des applications :
  • vos appareils intelligents en général :
  • Vous-même :
    • Vos métadonnées, y compris votre géolocalisation :
    • Votre empreinte digitale, votre empreinte de pas et votre comportement en ligne :
    • Vos indices sur votre vie réelle et OSINT :
    • Votre visage, votre voix, vos données biométriques et vos photos :
    • L'hameçonnage et l'ingénierie sociale :
  • Les logiciels malveillants, les exploits et les virus :
    • Logiciels malveillants dans vos fichiers/documents/courriers électroniques :
    • Logiciels malveillants et exploits dans vos applications et services :
    • Dispositifs USB malveillants :
    • Les logiciels malveillants et les portes dérobées dans votre matériel, votre micrologiciel et votre système d'exploitation :
  • Vos fichiers, documents, images et vidéos :
    • Propriétés et métadonnées :
    • Filigrane :
    • Informations pixelisées ou floues :
  • Vos transactions en crypto-monnaies :
  • Vos sauvegardes/services de synchronisation dans le cloud :
  • Les empreintes digitales de votre navigateur et de votre appareil :
  • Les fuites de données locales et la criminalistique :
  • Mauvaise cryptographie :
  • Pas de journalisation mais des politiques de journalisation quand même :
  • Quelques techniques ciblées avancées :
  • Quelques ressources bonus :
  • Notes:
• Préparations générales :
  • Choix de l'itinéraire :
    • Limites temporelles :
    • Limites budgétaires/matérielles :
    • Compétences :
    • Adversaires (menaces) :
  • Etapes pour tous les itinéraires :
    • Obtenir un numéro de téléphone anonyme :
    • Obtenir une clé USB :
    • Trouver des endroits sûrs dotés d'une connexion Wi-Fi publique décente :
  • L'itinéraire TAILS :
    • Déni plausible persistant en utilisant Whonix au sein de TAILS :
  • Etapes pour tous les autres itinéraires :
    • Obtenez un ordinateur portable dédié à vos activités sensibles :
    • Quelques recommandations concernant les ordinateurs portables :
    • Paramètres Bios/UEFI/Firmware de votre ordinateur portable :
    • Protégez physiquement votre ordinateur portable contre les manipulations :
  • La route Whonix :
    • Choisir votre système d'exploitation hôte (le système d'exploitation installé sur votre ordinateur portable) :
    • Linux Host OS :
    • MacOS OS hôte :
    • Windows OS hôte : Windows OS hôte : Windows OS hôte : Windows OS hôte : Windows OS hôte : Windows OS hôte : Windows OS hôte
    • Virtualbox sur votre OS hôte :
    • Choisissez votre méthode de connectivité :
    • Obtenez un VPN/Proxy anonyme :
    • Whonix :
    • Tor sur VPN :
    • Whonix Machines virtuelles :
    • Choisissez votre machine virtuelle de station de travail invitée :
    • Machine virtuelle Linux (Whonix ou Linux) :
    • Windows 10 Machine virtuelle :
    • Android Machine virtuelle :
    • Machine virtuelle MacOS :
    • KeepassXC :
    • Installation d'un client VPN (payé en cash/Monero) :
    • (Facultatif) permettant uniquement aux VM d'accéder à internet tout en coupant l'OS hôte pour éviter toute fuite :
    • Dernière étape :
  • La route Qubes :
    • Choisissez votre méthode de connectivité :
    • Obtenez un VPN/Proxy anonyme :
    • Installation :
    • Comportement de fermeture du couvercle :
    • Se connecter à un Wi-Fi public :
    • Mettre à jour Qubes OS :
    • Durcissement du système d'exploitation Qubes :
    • Configurer le ProxyVM VPN :
    • Configurer un navigateur sûr dans Qube OS (optionnel mais recommandé) :
    • Configurer une VM Android :
    • KeePassXC :
• Créer vos identités anonymes en ligne :
  • Comprendre les méthodes utilisées pour empêcher l'anonymat et vérifier l'identité :
    • Captchas :
    • Vérification par téléphone :
    • Vérification du courrier électronique :
    • Vérification des coordonnées de l'utilisateur :
    • Vérification de la preuve d'identité :
    • Filtres IP :
    • Empreinte digitale du navigateur et de l'appareil :
    • Interaction humaine :
    • Modération des utilisateurs :
    • Analyse comportementale :
    • Transactions financières :
    • Connexion avec une plateforme :
    • Reconnaissance des visages en direct et biométrie (encore) :
    • Examens manuels :
  • Se connecter :
    • Créer de nouvelles identités :
    • Le système des noms réels :
    • À propos des services payants :
    • Vue d'ensemble :
    • Comment partager des fichiers ou discuter de manière anonyme :
    • Expurger des documents/photos/vidéos/audios en toute sécurité :
    • Communiquer des informations sensibles à diverses organisations connues :
    • Tâches de maintenance :
• Sauvegarder votre travail en toute sécurité :
  • Sauvegardes hors ligne :
    • Sauvegardes de fichiers sélectionnés :
    • Sauvegardes complètes du disque/système :
  • Sauvegardes en ligne :
    • Fichiers :
    • Informations :
  • Synchronisation de vos fichiers entre appareils En ligne :
• Couvrir vos traces :
  • Comprendre les disques durs par rapport aux disques SSD :
    • Nivellement de l'usure.
    • Opérations de découpage :
    • Collecte des déchets :
    • Conclusion :
  • Comment effacer en toute sécurité l'ensemble de votre ordinateur portable/disque dur si vous voulez tout effacer :
    • Linux (toutes les versions, y compris Qubes OS) :
    • Windows :
    • MacOS :
  • Comment effacer en toute sécurité des fichiers/dossiers/données spécifiques sur vos disques durs/SSD et clés USB :
    • Windows :
    • Linux (non Qubes OS) :
    • Linux (Qubes OS) :
    • MacOS :
  • Quelques mesures supplémentaires contre la criminalistique :
    • Suppression des métadonnées des fichiers/documents/photos :
    • TAILS :
    • Whonix :
    • MacOS :
    • Linux (Qubes OS) :
    • Linux (non-Qubes) :
    • Windows :
  • Suppression de certaines traces de vos identités sur les moteurs de recherche et diverses plateformes :
    • Google :
    • Bing :
    • DuckDuckGo :
    • Yandex :
    • Qwant :
    • Yahoo Search :
    • Baidu :
    • Wikipedia :
    • Archive.today :
    • Internet Archive :
• Quelques astuces de la vieille école :
  • Communications cachées à la vue de tous :
  • Comment savoir si quelqu'un a fouillé dans vos affaires :
• Quelques dernières réflexions sur l'OPSEC :
• Si vous pensez avoir été grillé :
  • Si vous avez du temps :
  • Si vous n'avez pas le temps : Si vous n'avez pas le temps :
• Une petite note éditoriale finale

 

[HEISENBERG]

Budget/limites matérielles.

• Vous n'avez qu'un seul ordinateur portable à votre disposition et vous ne pouvez pas vous offrir autre chose. Vous utilisez cet ordinateur portable pour le travail, la famille ou vos affaires personnelles (ou les deux) :
  
  • Votre meilleure option est d'opter pour la solution Tails.
• Vous pouvez vous permettre d'avoir un ordinateur portable de rechange non supervisé/non surveillé pour vos activités sensibles :
  
  • Mais il est vieux, lent et a de mauvaises spécifications (moins de 6 Go de RAM, moins de 250 Go d'espace disque, un processeur vieux et lent) :
    
    • Vous devriez opter pour la solution Tails.
  • Il n'est pas si vieux et ses spécifications sont décentes (au moins 6 Go de RAM, 250 Go d'espace disque ou plus, une unité centrale décente) :
    
    • Vous pouvez opter pour Tails ou Whonix.
  • Il est récent et ses spécifications sont excellentes (plus de 8 Go de RAM, plus de 250 Go d'espace disque, un processeur récent et rapide) :
    
    • Vous pouvez opter pour n'importe quelle solution, mais je vous recommande Qubes OS si votre modèle de menace le permet.
  • S'il s'agit d'un Mac M1 basé sur ARM :
    
    • Pas possible actuellement pour ces raisons :
      
      • La virtualisation des images x86 sur les Mac M1 ARM est encore limitée aux logiciels commerciaux (Parallels) qui ne sont pas encore pris en charge par Whonix.
      • Virtualbox n'est pas encore disponible pour l'architecture ARM.
      • Whonix n'est pas encore supporté sur l'architecture ARM.
      • Tails n'est pas encore supporté sur l'architecture ARM.
      • Qubes OS n'est pas encore supporté sur l'architecture ARM.

Votre seule option sur les Mac M1 est probablement de vous en tenir à Tor Browses pour l'instant. Mais je pense que si vous avez les moyens d'acheter un Mac M1, vous devriez probablement vous procurer un ordinateur portable x86 dédié pour les activités plus sensibles.

 

[HEISENBERG]

Compétences.

• Vous n'avez aucune compétence en informatique et le contenu de ce guide vous semble être une langue étrangère ?
  
  • Vous devriez opter pour la méthode Tails (à l'exception de la section sur le déni plausible persistant).
• Vous avez quelques compétences en informatique et vous comprenez à peu près ce guide.
  
  • Vous devriez opter pour les itinéraires Tails (y compris la section sur le déni plausible persistant) ou Whonix.
• Vous avez des compétences informatiques moyennes à élevées et vous êtes déjà familiarisé avec une partie du contenu de ce guide.
  
  • Vous pouvez choisir ce que vous voulez, mais je vous recommande fortement Qubes OS.
• Vous êtes un hacker l33T, "il n'y a pas de cuillère", "le gâteau est un mensonge", vous utilisez "doas" depuis des années et "toutes vos bases nous appartiennent", et vous avez de fortes opinions sur systemd.
  
  • Ce guide n'est pas vraiment fait pour vous et ne vous aidera pas avec votre HardenedBSD sur votre laptop Libreboot durci ;-)

 

[HEISENBERG]

Adversaires (menaces).

• Si votre principale préoccupation est l'examen médico-légal de vos appareils :
  
  • Vous devriez opter pour la solution Tails (avec en option un déni plausible persistant).
• Si votre principale préoccupation concerne des adversaires distants qui pourraient découvrir votre identité en ligne sur diverses plateformes :
  
  • Vous pouvez opter pour les solutions Whonix ou Qubes OS.
  • Vous pouvez également opter pour Tails (avec une possibilité de dénégation plausible persistante).
• Si, malgré les risques, vous tenez absolument à bénéficier d'un déni plausible à l'échelle du système, vous pouvez opter pour Tails :
  
  • Vous pouvez opter pour la voie Tails, y compris la section sur le déni plausible persistant.
  • Vous pouvez opter pour la voie Whonix (sur Windows Host OS uniquement dans le cadre de ce guide).
• Si vous vous trouvez dans un environnement hostile où l'utilisation de Tor/VPN est impossible/dangereuse/suspicieuse :
  
  • Vous pouvez opter pour la route Tails (sans utiliser Tor).
  • Vous pouvez opter pour Whonix ou Qubes OS (sans utiliser Whonix).

Dans tous les cas, vous devriez lire ces deux pages de la documentation Whonix qui vous donneront des informations détaillées sur vos choix :

• https://www.whonix.org/wiki/Warning [Archive.org]
• https://www.whonix.org/wiki/Dev/Threat_Model [Archive.org]
• https://www.whonix.org/wiki/Comparison_with_Others [Archive.org]

Vous vous demandez peut-être "Comment savoir si je me trouve dans un environnement en ligne hostile où les activités sont activement surveillées et bloquées ?

• Lisez d'abord plus d'informations sur l'EFF ici : https://ssd.eff.org/en/module/understanding-and-circumventing-network-censorship [Archive.org]
• Vérifiez vous-même certaines données sur le site du projet Tor OONI (Open Observatory of Network Interference) : https://explorer.ooni.org/ [Archive.org]
• Jetez un coup d'œil à https://censoredplanet.org/ [Archive.org] et voyez s'ils ont des données sur votre pays.
• Testez par vous-même en utilisant OONI (cela peut être risqué dans un environnement hostile).

 

[HEISENBERG]

Étapes pour tous les itinéraires.

S'habituer à utiliser de meilleurs mots de passe.

Voir l'annexe A2 : Lignes directrices pour les mots de passe et les phrases de passe.

Obtenir un numéro de téléphone anonyme.

Sautez cette étape si vous n'avez pas l'intention de créer des comptes anonymes sur la plupart des plateformes grand public, mais que vous souhaitez simplement naviguer de manière anonyme, ou si les plateformes que vous utiliserez permettent l'enregistrement sans numéro de téléphone.

Téléphone physique à brûleur et carte SIM prépayée.

Procurez-vous un téléphone jetable.

C'est assez facile. Laissez votre smartphone éteint ou mettez-le hors tension avant de partir. Munissez-vous d'un peu d'argent et rendez-vous dans un marché aux puces ou un petit magasin quelconque (idéalement sans vidéosurveillance à l'intérieur ou à l'extérieur et en évitant d'être photographié/filmé) et achetez le téléphone le moins cher que vous puissiez trouver avec de l'argent liquide et sans fournir d'informations personnelles. Il suffit qu'il soit en état de marche.


Personnellement, je recommanderais d'acheter un vieux "dumbphone" avec une batterie amovible (un vieux Nokia si vos réseaux de téléphonie mobile permettent encore de s'y connecter, car certains pays ont complètement abandonné la 1G-2G). Ceci afin d'éviter l'envoi/la collecte automatique de données de télémétrie/diagnostic sur le téléphone lui-même. Vous ne devez jamais connecter ce téléphone à un réseau Wi-Fi.


Il est également essentiel de ne jamais allumer ce téléphone (même sans la carte SIM) dans un lieu géographique qui pourrait mener à vous (à votre domicile/travail par exemple) et jamais au même endroit que votre autre smartphone connu (parce que celui-ci a un IMEI/IMSI qui vous mènera facilement à vous). Cela peut sembler une lourde charge, mais ce n'est pas le cas, car ces téléphones ne sont utilisés que pendant la procédure d'installation/signature et pour la vérification de temps en temps.


Voir l'annexe N : Avertissement concernant les smartphones et les appareils intelligents.


Vous devez vérifier que le téléphone est en état de marche avant de passer à l'étape suivante. Mais je vais me répéter et dire à nouveau qu'il est important de laisser votre smartphone à la maison lorsque vous partez (ou de l'éteindre avant de partir si vous devez le garder) et que vous testiez le téléphone à un endroit aléatoire qui ne peut pas être retracé jusqu'à vous (et encore une fois, ne faites pas cela devant une télévision en circuit fermé, évitez les caméras, soyez conscient de ce qui vous entoure). Il n'est pas non plus nécessaire d'avoir une connexion Wi-Fi à cet endroit.


Lorsque vous êtes certain que le téléphone est en état de marche, désactivez le Bluetooth, éteignez-le (retirez la batterie si vous le pouvez) et rentrez chez vous pour reprendre vos activités normales. Passez à l'étape suivante.

Procurez-vous une carte SIM prépayée anonyme.

C'est la partie la plus difficile de tout le guide. Il s'agit d'un SPOF (Single Point of Failure). Les endroits où vous pouvez encore acheter des cartes SIM prépayées sans enregistrement d'identité sont de plus en plus limités en raison de diverses réglementations de type KYC.


Voici donc une liste d'endroits où vous pouvez encore les obtenir : https://prepaid-data-sim-card.fandom.com/wiki/Registration_Policies_Per_Country [Archive.org]


Vous devriez pouvoir trouver un endroit qui n'est "pas trop loin" et vous y rendre physiquement pour acheter des cartes prépayées et des bons de recharge en liquide. Avant de partir, vérifiez qu'aucune loi rendant l'enregistrement obligatoire n'a été adoptée (au cas où le wiki ci-dessus n'aurait pas été mis à jour). Essayez d'éviter les caméras de surveillance et n'oubliez pas d'acheter un bon de recharge avec la carte SIM (s'il ne s'agit pas d'un forfait), car la plupart des cartes prépayées doivent être rechargées avant d'être utilisées.


Voir l'annexe N : Avertissement concernant les smartphones et les appareils intelligents.


Vérifiez que les opérateurs de téléphonie mobile qui vendent les cartes SIM prépayées acceptent l'activation et le rechargement de la carte SIM sans enregistrement d'une quelconque pièce d'identité avant de vous rendre sur place. Idéalement, ils devraient accepter l'activation et le rechargement de la carte SIM à partir du pays dans lequel vous résidez.


Personnellement, je recommanderais GiffGaff au Royaume-Uni, car cette société est "abordable", n'exige pas de pièce d'identité pour l'activation et le rechargement et vous permet même de changer de numéro jusqu'à deux fois à partir de son site web. Une carte SIM prépayée GiffGaff vous permettra donc d'utiliser 3 numéros selon vos besoins.


Éteignez votre téléphone après l'avoir activé ou rechargé et avant de rentrer chez vous. Ne le rallumez jamais à moins que vous ne vous trouviez dans un endroit qui pourrait être utilisé pour révéler votre identité et que votre smartphone soit éteint avant de vous rendre dans cet endroit où vous n'êtes pas chez vous.

Numéro de téléphone en ligne (moins recommandé).

AVERTISSEMENT : Ne tentez pas cette étape tant que vous n'avez pas mis en place un environnement sécurisé conformément à l'un des itinéraires sélectionnés. Cette étape nécessite un accès en ligne et ne doit être réalisée qu'à partir d'un réseau anonyme. N'effectuez pas cette opération à partir d'un environnement connu ou non sécurisé. Passez cette étape jusqu'à ce que vous ayez terminé l'un des itinéraires.


Il existe de nombreux services commerciaux proposant des numéros pour recevoir des messages SMS en ligne, mais la plupart d'entre eux ne garantissent pas l'anonymat/la confidentialité et ne peuvent être d'aucune utilité car la plupart des plateformes de médias sociaux limitent le nombre de fois qu'un numéro de téléphone peut être utilisé pour l'enregistrement.


Il existe certains forums et subreddits (comme r/phoneverification/) où les utilisateurs proposent de recevoir de tels messages SMS pour vous moyennant une petite somme d'argent (en utilisant PayPal ou un autre moyen de paiement cryptographique). Malheureusement, ces sites sont remplis d'escrocs et très risqués en termes d'anonymat. Vous ne devez en aucun cas les utiliser.


À ce jour, je ne connais aucun service réputé qui propose ce service et accepte les paiements en espèces (par la poste par exemple) comme certains fournisseurs de VPN. Mais il existe quelques services qui fournissent des numéros de téléphone en ligne et acceptent Monero, ce qui pourrait être raisonnablement anonyme (mais moins recommandé que le moyen physique mentionné au chapitre précédent) et que vous pourriez envisager :

• Recommandé: Ne requièrent aucune identification (même l'e-mail) :
  
  • (basé au Royaume-Uni, semble indisponible au moment de la rédaction de cet article) https://dtmf.io/ [Archive.org] préféré parce qu'ils fournissent même une adresse de service cachée en oignon pour un accès direct via le réseau Tor à http://dtmfiovjh42uviqez6qn75igbagtiyo724hy3rdxm77dy2m5tt7lbaqd.onion/
  • (basé en Islande) https://crypton.sh [Archive.org]
  • (basé en Ukraine) https://virtualsim.net/ [Archive.org]
• Requièrent une identification (e-mail valide) :
  
  • (basé en Allemagne) https://www.sms77.io/ [Archive.org]
  • (basé en Russie) https://onlinesim.ru/ [Archive.org]

Il existe d'autres possibilités listées ici https://cryptwerk.com/companies/sms/xmr/ [Archive.org]. Utilisez-les à vos risques et périls.


AVERTISSEMENT : Je ne peux me porter garant d'aucun de ces fournisseurs et je vous recommande donc de le faire vous-même physiquement. Dans ce cas, vous devrez compter sur l'anonymat de Monero et vous ne devriez pas utiliser un service qui exige une identification quelconque en utilisant votre identité réelle. Veuillez lire ce Monero Disclaimer.


Par conséquent, il est probablement plus pratique, moins cher et moins risqué d'obtenir une carte SIM prépayée dans l'un des endroits physiques qui les vendent encore en liquide sans exiger l'enregistrement de l'identité. Mais au moins, il existe une alternative si vous n'avez pas d'autre choix.

Procurez-vous une clé USB.

Procurez-vous au moins une ou deux clés USB génériques de taille décente (au moins 16 Go, mais je recommanderais 32 Go).


N'achetez pas ou n'utilisez pas de dispositifs d'auto-cryptage gadgets tels que ceux-ci : https://syscall.eu/blog/2018/03/12/aigo_part1/ [Archive.org]


Certains peuvent être très efficaces, mais beaucoup sont des gadgets qui n'offrent aucune protection réelle.

Trouvez des endroits sûrs dotés d'un réseau Wi-Fi public décent.

Vous devez trouver des endroits sûrs où vous pourrez effectuer vos activités sensibles en utilisant un réseau Wi-Fi accessible au public (sans enregistrement de compte/identification, en évitant les caméras de surveillance).


Il peut s'agir d'un endroit qui n'est pas directement lié à vous (votre domicile/travail) et où vous pouvez utiliser le Wi-Fi pendant un certain temps sans être dérangé. Mais aussi un endroit où vous pouvez le faire sans être "remarqué" par qui que ce soit.


Si vous pensez que Starbucks est une bonne idée, vous devriez reconsidérer la question :

• Ils ont probablement des caméras de surveillance dans tous leurs magasins et conservent les enregistrements pendant une durée indéterminée.
• Vous devrez acheter un café pour obtenir le code d'accès Wi-Fi dans la plupart des magasins. Si vous payez ce café avec une méthode électronique, ils seront en mesure de lier votre accès Wi-Fi à votre identité.

La connaissance de la situation est essentielle et vous devez être constamment conscient de ce qui vous entoure et éviter les lieux touristiques comme ceux qui ont été touchés par Ebola. Vous devez éviter d'apparaître sur une photo ou une vidéo de quelqu'un qui est en train de prendre un selfie, de faire une vidéo TikTok ou de publier une photo de voyage sur son Instagram. Si vous le faites, rappelez-vous qu'il y a de fortes chances que ces photos se retrouvent en ligne (publiquement ou en privé) avec toutes les métadonnées qui y sont attachées (heure/date/géolocalisation) et votre visage. N'oubliez pas qu'elles peuvent être et seront indexées par Facebook/Google/Yandex/Apple et probablement par les trois agences de lettres.


Bien que les policiers locaux n'y aient pas encore accès, cela pourrait être le cas dans un avenir proche.


Vous aurez idéalement besoin d'un ensemble de 3 à 5 lieux différents comme celui-ci pour éviter d'utiliser deux fois le même endroit. Plusieurs voyages seront nécessaires au fil des semaines pour les différentes étapes de ce guide.


Vous pouvez également envisager de vous connecter à ces endroits à distance pour plus de sécurité. Voir l'annexe Q : Utilisation d'une antenne à longue portée pour se connecter au Wi-Fi public à distance de sécurité.

 

[HEISENBERG]

La route des queues.

Cette partie du guide vous aidera à configurer Tails si l'une des conditions suivantes est remplie :

• Vous n'avez pas les moyens d'acheter un ordinateur portable dédié
• Votre ordinateur portable dédié est tout simplement trop vieux et trop lent
• Vous avez de très faibles compétences en informatique
• Vous décidez quand même d'opter pour Tails

Tails est l'acronyme de The Amnesic Incognito Live System. Il s'agit d'un système d'exploitation amorçable fonctionnant à partir d'une clé USB et conçu pour ne laisser aucune trace et forcer toutes les connexions à travers le réseau Tor.


Vous insérez la clé USB Tails dans votre ordinateur portable, vous démarrez à partir de celle-ci et vous disposez d'un système d'exploitation complet fonctionnant dans le respect de la vie privée et de l'anonymat. Dès que vous éteignez l'ordinateur, tout disparaît, à moins que vous ne l'ayez sauvegardé quelque part.


Tails est un moyen très facile de démarrer en un rien de temps avec ce que vous avez et sans beaucoup d'apprentissage. Il dispose d'une documentation complète et de tutoriels.


ATTENTION : Tails n'est pas toujours à jour avec les logiciels fournis. Il n'est pas non plus toujours à jour avec les mises à jour du Tor Browser. Vous devez toujours vous assurer que vous utilisez la dernière version de Tails et vous devez faire preuve d'une extrême prudence lorsque vous utilisez des applications intégrées à Tails qui pourraient être vulnérables aux exploits et révéler votreposition265.


Il présente cependant quelques inconvénients :

• Tails utilise Tor et vous devrez donc utiliser Tor pour accéder à n'importe quelle ressource sur Internet. Ce seul fait vous rendra suspect auprès de la plupart des plateformes où vous souhaitez créer des comptes anonymes (nous reviendrons sur ce point plus en détail ultérieurement).
• Votre FAI (qu'il s'agisse du vôtre ou d'un Wi-Fi public) verra également que vous utilisez Tor et cela pourrait vous rendre suspect en soi.
• Tails n'inclut pas (nativement) certains des logiciels que vous pourriez vouloir utiliser plus tard, ce qui compliquera les choses si vous voulez exécuter certaines choses spécifiques (émulateurs Android par exemple).
• Tails utilise le navigateur Tor qui, bien qu'il soit très sécurisé, sera détecté par la plupart des plateformes et vous empêchera de créer des identités anonymes sur de nombreuses plateformes.
• Tails ne vous protègera pas plus des 5$ wrench8.
• Tor en lui-même pourrait ne pas suffire à vous protéger d'un adversaire disposant de ressources suffisantes, comme nous l'avons expliqué plus haut.

Note importante : Si votre ordinateur portable est contrôlé/surveillé et que certaines restrictions locales sont en place, veuillez lire l' annexe U : Comment contourner (certaines) restrictions locales sur les ordinateurs surveillés.


Vous devriez également lire la documentation, les avertissements et les limitations de Tails avant d'aller plus loin. https://tails.boum.org/doc/about/warnings/index.en.html [Archive.org]


En tenant compte de tout cela et du fait que leur documentation est excellente, je vais simplement vous rediriger vers leur tutoriel bien fait et bien entretenu :


https://tails.boum.org/install/index.en.html [Archive.org], choisissez votre goût et continuez.


Lorsque vous avez terminé et que vous avez un Tails fonctionnel sur votre ordinateur portable, passez à l'étape Créer vos identités anonymes en ligne plus loin dans ce guide.


Si vous n'arrivez pas à accéder à Tor à cause de la censure ou d'autres problèmes, vous pouvez essayer d'utiliser Tor Bridges en suivant ce tutoriel Tails : https://tails.boum.org/doc/first_steps/welcome_screen/bridge_mode/index.en.html [Archive.org] et trouver plus d'informations à ce sujet sur Tor Documentation https://2019.www.torproject.org/docs/bridges [Archive.org]


Si vous pensez qu'utiliser Tor seul est dangereux/suspicieux, consultez l'annexe P : Accéder à l'internet de la manière la plus sûre possible lorsque Tor/VPN n'est pas une option.

 

[HEISENBERG]

Déni plausible persistant utilisant Whonix dans Tails.

Pensez à consulter le projet https://github.com/aforensics/HiddenVM [Archive.org] pour Tails.


Ce projet est une idée intelligente d'une solution VM autonome en un seul clic que vous pourriez stocker sur un disque crypté en utilisant le déni plausible256 (voir La route Whonix : premiers chapitres et aussi pour quelques explications sur le déni plausible, ainsi que la section Comment supprimer en toute sécurité des fichiers/dossiers/données spécifiques sur votre HDD/SSD et vos lecteurs de disquettes : à la fin de ce guide pour plus de compréhension).


Cela permettrait la création d'un système hybride mélangeant Tails avec les options de virtualisation de la route Whonix de ce guide.

Note : Voir Choisir votre méthode de connectivité dans la route Whonix pour plus d'explications sur l'isolation des flux.


En bref :

• Vous pouvez exécuter des Tails non persistants à partir d'une clé USB (en suivant leurs recommandations).
• Vous pourriez stocker des VMs persistantes dans un contenu secondaire qui pourrait être crypté normalement ou en utilisant la fonction de déni plausible de Veracrypt (cela pourrait être des VMs Whonix par exemple ou n'importe quelle autre).
• Vous bénéficiez de la fonctionnalité d'isolation des flux de Tor (voir Tor over VPN pour plus d'informations sur l'isolation des flux).

Dans ce cas, comme le décrit le projet, il ne devrait y avoir aucune trace de vos activités sur votre ordinateur et le travail sensible pourrait être effectué à partir de VMs stockées dans un conteneur caché qui ne devrait pas être facilement découvert par un adversaire logiciel.


Cette option est particulièrement intéressante pour "voyager léger" et pour atténuer les attaques forensiques tout en conservant la persistance de votre travail. Vous n'avez besoin que de 2 clés USB (une avec Tails et une avec un conteneur Veracrypt contenant Whonix persistant). La première clé USB semblera ne contenir que Tails et la seconde USB semblera ne contenir que des déchets aléatoires mais aura un volume leurre que vous pourrez montrer pour un déni plausible.


Vous pouvez également vous demander si cela va aboutir à une configuration "Tor sur Tor", mais ce n'est pas le cas. Les VM Whonix accèderont au réseau directement via clearnet et non via Tails Onion Routing.


Dans le futur, cela pourrait également être supporté par le projet Whonix lui-même comme expliqué ici : https://www.whonix.org/wiki/Whonix-Host [Archive.org] mais ce n'est pas encore recommandé pour l'instant pour les utilisateurs finaux.


N'oubliez pas que le chiffrement, avec ou sans dénégation plausible, n'est pas une solution miracle et qu'il ne sera guère utile en cas de torture. En fait, selon l'identité de votre adversaire (votre modèle de menace), il peut être judicieux de ne pas utiliser Veracrypt (anciennement TrueCrypt), comme le montre cette démonstration : https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


Le déni plausible n'est efficace que contre les adversaires légaux qui ne recourent pas à des moyens physiques.


Voir https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org]


ATTENTION : Veuillez consulter l'annexe K : Considérations relatives à l'utilisation de disques SSD externes et les sections Comprendre les disques durs par rapport aux disques SSD si vous envisagez de stocker de telles machines virtuelles cachées sur un disque SSD externe :

• N'utilisez pas de volumes cachés sur des disques SSD car cela n'est pas pris en charge/recommandé par Veracrypt.
• Utilisez plutôt des conteneurs de fichiers au lieu de volumes cryptés.
• Assurez-vous de savoir comment nettoyer correctement les données d'un disque SSD externe.

Voici mon guide sur la manière d'y parvenir :

Première exécution.

• Téléchargez la dernière version de HiddenVM sur https://github.com/aforensics/HiddenVM/releases [Archive.org]
• Télécharger la dernière version de Whonix XFCE sur https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org]
• Préparer une clé USB avec Veracrypt
  
  • Créez un volume caché sur la clé USB (je recommande au moins 16 Go pour le volume caché).
  • Dans le volume externe, placez quelques fichiers leurres.
  • Dans le volume caché, placez le fichier appimage HiddenVM
  • Dans le volume caché, placez le fichier Whonix XFCE ova
• Démarrez dans Tails
• Configurez la disposition du clavier comme vous le souhaitez.
• Sélectionnez Paramètres supplémentaires et définissez un mot de passe administrateur (root) (nécessaire pour installer HiddenVM).
• Démarrer Tails
• Se connecter à un wi-fi sûr (c'est une étape nécessaire pour que le reste fonctionne)
• Allez dans Utilities et déverrouillez votre volume Veracrypt (caché) (n'oubliez pas de cocher la case volume caché)
• Lancez l'appimage HiddenVM
• Lorsqu'il vous est demandé de sélectionner un dossier, sélectionnez la racine du volume caché (où se trouvent les fichiers OVA Whonix et l'image de l'application HiddenVM).
• Laissez-le faire (il installera Virtualbox dans Tails en un seul clic).
• Une fois l'installation terminée, Virtualbox Manager devrait démarrer automatiquement.
• Importez les fichiers OVA Whonix (voir Machines virtuelles Whonix :)

Si, pendant l'importation, vous rencontrez des problèmes tels que "NS_ERROR_INVALID_ARG (0x80070057)", c'est probablement parce qu'il n'y a pas assez d'espace disque sur votre volume caché pour Whonix. Whonix lui-même recommande 32 Go d'espace libre mais ce n'est probablement pas nécessaire et 10 Go devraient suffire pour commencer. Vous pouvez essayer de contourner cette erreur en renommant le fichier Whonix *.OVA en *.TAR et en le décompressant dans Tails. Une fois la décompression terminée, supprimez le fichier OVA et importez les autres fichiers à l'aide de l'assistant d'importation. Cette fois-ci, il se peut que cela fonctionne.

Exécutions suivantes.

• Démarrer avec Tails
• Se connecter au Wi-Fi
• Déverrouiller votre volume caché
• Lancer l'application HiddenVM
• Cela devrait automatiquement ouvrir le gestionnaire VirtualBox et afficher vos VMs précédentes depuis la première exécution.

 

[HEISENBERG]

Étapes pour tous les autres itinéraires.

Obtenez un ordinateur portable dédié à vos activités sensibles.

Idéalement, vous devriez obtenir un ordinateur portable dédié qui ne sera pas lié à vous de quelque manière que ce soit (idéalement payé en espèces de manière anonyme et en utilisant les mêmes précautions que celles mentionnées précédemment pour le téléphone et la carte SIM). C'est recommandé mais pas obligatoire, car ce guide vous aidera à renforcer votre ordinateur portable autant que possible afin d'éviter les fuites de données par divers moyens. Il y aura plusieurs lignes de défense entre vos identités en ligne et vous-même qui devraient empêcher la plupart des adversaires de vous désanonymiser, à l'exception des acteurs étatiques/mondiaux disposant de ressources considérables.


Cet ordinateur portable devrait idéalement être un ordinateur portable propre et fraîchement installé (fonctionnant sous Windows, Linux ou MacOS), exempt de vos activités quotidiennes normales et hors ligne (jamais connecté au réseau pour le moment). Dans le cas d'un ordinateur portable Windows, et si vous l'avez utilisé avant cette installation propre, il ne doit pas non plus être activé (réinstallation sans clé de produit). Dans le cas particulier des MacBooks, il ne doit jamais avoir été lié à votre identité de quelque manière que ce soit. Achetez donc un appareil d'occasion en liquide à un inconnu qui ne connaît pas votre identité


Il s'agit d'atténuer certains problèmes futurs en cas de fuites en ligne (y compris la télémétrie de votre système d'exploitation ou de vos applications) qui pourraient compromettre tout identifiant unique de l'ordinateur portable lors de son utilisation (adresse MAC, adresse Bluetooth, clé de produit, etc.). Mais aussi pour éviter d'être retrouvé si vous devez vous débarrasser de l'ordinateur portable.


Si vous avez déjà utilisé cet ordinateur portable à d'autres fins (comme vos activités quotidiennes), tous ses identifiants matériels sont probablement connus et enregistrés par Microsoft ou Apple. Si, par la suite, l'un de ces identifiants est compromis (par un logiciel malveillant, une télémétrie, des exploits, des erreurs humaines...), il pourrait permettre de remonter jusqu'à vous.


L'ordinateur portable doit disposer d'au moins 250 Go d'espace disque , d'au moins 6 Go (idéalement 8 ou 16 Go) de mémoire vive et doit pouvoir faire tourner plusieurs machines virtuelles en même temps. Il doit disposer d'une batterie en état de marche qui dure quelques heures.


Cet ordinateur portable peut être équipé d'un disque dur (7200 tr/min) ou d'un disque SSD/NVMe. Les deux possibilités présentent des avantages et des inconvénients qui seront détaillés plus loin.


Toutes les futures opérations en ligne effectuées avec cet ordinateur portable devraient idéalement être réalisées à partir d'un réseau sûr, tel qu'un réseau Wi-Fi public dans un endroit sûr (voir Trouver des endroits sûrs avec un réseau Wi-Fi public décent). Mais plusieurs étapes devront d'abord être effectuées hors ligne.

 

[HEISENBERG]

Quelques recommandations concernant les ordinateurs portables.

Si vous pouvez vous le permettre, vous pouvez envisager d'acheter un ordinateur portable Purism Librem(https://puri.sm [Archive.org]) ou System76(https://system76.com/ [Archive.org]) si vous utilisez Coreboot (où Intel IME est désactivé en usine).


Dans d'autres cas, je vous recommande vivement de vous procurer des ordinateurs portables de qualité professionnelle (c'est-à-dire pas des ordinateurs portables de qualité grand public/jeu) si vous le pouvez. Par exemple, certains ThinkPad de Lenovo (mon préféré). Voici des listes d'ordinateurs portables supportant actuellement Libreboot et d'autres où vous pouvez flasher Coreboot vous-même (ce qui vous permettra de désactiver Intel IME ou AMD PSP) :

• https://freundschafter.com/research...-intel-me-iamt-and-amd-psp-secure-technology/ [Archive.org]
• https://libreboot.org/docs/hardware/ [Archive.org]
• https://coreboot.org/status/board-status.html [Archive.org]

En effet, ces ordinateurs portables professionnels offrent généralement des fonctions de sécurité plus performantes et plus personnalisables (en particulier dans les paramètres BIOS/UEFI) avec un support plus long que la plupart des ordinateurs portables grand public (Asus, MSI, Gigabyte, Acer...). Les caractéristiques intéressantes à rechercher sont IMHO :

• De meilleurs paramètres personnalisés pour le démarrage sécurisé (où vous pouvez gérer sélectivement toutes les clés et ne pas utiliser uniquement les clés standard).
• Mots de passe pour les disques durs/SSD en plus des mots de passe BIOS/UEFI.
• Les ordinateurs portables AMD pourraient être plus intéressants car certains offrent la possibilité de désactiver AMD PSP (l'équivalent AMD d'Intel IME) à partir des paramètres BIOS/UEFI par défaut. En outre, parce qu'AFAIK, AMD PSP a fait l'objet d'un audit et, contrairement à IME, n'a pas été trouvé pour avoir des fonctionnalités "maléfiques". Toutefois, si vous optez pour le Qubes OS Route, pensez à Intel, qui ne soutient pas AMD avec son système anti-maids diaboliques.
• Outils d'effacement sécurisé à partir du BIOS (particulièrement utiles pour les disques SSD/NVMe, voir l'annexe M : options BIOS/UEFI pour effacer les disques de différentes marques).
• Meilleur contrôle de la désactivation/activation de certains périphériques (ports USB, Wi-Fis, Bluetooth, appareil photo, microphone...).
• Meilleures fonctions de sécurité avec la virtualisation.
• Protections natives contre la falsification.
• Support plus long avec les mises à jour BIOS/UEFI (et les mises à jour de sécurité BIOS/UEFI).
• Certains sont supportés par Libreboot

 

[HEISENBERG]

Paramètres Bios/UEFI/Firmware de votre ordinateur portable.

PC.

Ces paramètres sont accessibles via le menu de démarrage de votre ordinateur portable. Voici un bon tutoriel de HP expliquant toutes les façons d'accéder au BIOS sur différents ordinateurs : https://store.hp.com/us/en/tech-takes/how-to-enter-bios-setup-windows-pcs [Archive.org]


En général, il suffit d'appuyer sur une touche spécifique (F1, F2 ou Del) au démarrage de l'ordinateur (avant le système d'exploitation).


Une fois que vous y êtes, vous devez appliquer quelques paramètres recommandés :

• Désactivez complètement le Bluetooth si vous le pouvez.
• Désactivez la biométrie (scanners d'empreintes digitales) si vous en avez une. Toutefois, vous pouvez ajouter un contrôle biométrique supplémentaire pour le démarrage uniquement (pré-démarrage), mais pas pour l'accès aux paramètres BIOS/UEFI.
• Désactivez la webcam et le microphone si vous le pouvez.
• Activez le mot de passe BIOS/UEFI et utilisez une longue phrase de passe au lieu d'un mot de passe (si vous le pouvez) et assurez-vous que ce mot de passe est requis pour.. :
  
  • accéder aux paramètres du BIOS/UEFI eux-mêmes
  • Modifier l'ordre de démarrage
  • le démarrage/la mise sous tension de l'appareil
• Activez le mot de passe HDD/SSD si cette fonction est disponible. Cette fonction ajoutera un autre mot de passe sur le disque dur/SSD lui-même (et non dans le firmware BIOS/UEFI) qui empêchera l'utilisation de ce disque dur/SSD dans un autre ordinateur sans le mot de passe. Notez que cette fonction est également spécifique à certains fabricants et peut nécessiter un logiciel spécifique pour déverrouiller ce disque à partir d'un ordinateur complètement différent.
• Empêchez l'accès aux options de démarrage (l'ordre de démarrage) sans fournir le mot de passe du BIOS/UEFI si vous le pouvez.
• Désactivez le port USB/HDMI ou tout autre port (Ethernet, Firewire, carte SD...) si vous le pouvez.
• Désactiver Intel ME si vous le pouvez.
• Désactivez AMD PSP si vous le pouvez (l'équivalent d'IME pour AMD, voir Votre CPU).
• Désactivez Secure Boot si vous avez l'intention d'utiliser QubesOS car ils ne le supportent pas dans la boîte. Laissez-le activé si vous avez l'intention d'utiliser Linux/Windows.
• Vérifiez si le BIOS de votre ordinateur portable dispose d'une option d'effacement sécurisé pour votre disque dur/SSD qui pourrait s'avérer pratique en cas de besoin.

N'activez ces options qu'en cas de besoin et désactivez-les après utilisation. Cela peut contribuer à atténuer certaines attaques au cas où votre ordinateur portable serait saisi alors qu'il est verrouillé mais toujours allumé OU si vous avez dû l'éteindre assez rapidement et que quelqu'un en a pris possession (ce sujet sera expliqué plus loin dans ce guide).

À propos du démarrage sécurisé.

En bref, il s'agit d'une fonction de sécurité UEFI conçue pour empêcher votre ordinateur de démarrer un système d'exploitation dont le chargeur de démarrage n'a pas été signé par des clés spécifiques stockées dans le micrologiciel UEFI de votre ordinateur portable.


En principe, lorsque le système d'exploitation (ou le chargeur de démarrage) le prend en charge, vous pouvez stocker les clés de votre chargeur de démarrage dans votre micrologiciel UEFI, ce qui empêchera le démarrage de tout système d'exploitation non autorisé (tel qu'un système d'exploitation live USB ou quelque chose de similaire).


Les paramètres de Secure Boot sont protégés par le mot de passe que vous avez défini pour accéder aux paramètres du BIOS/UEFI. Si vous disposez de ce mot de passe, vous pouvez désactiver Secure Boot et autoriser des systèmes d'exploitation non signés à démarrer sur votre système. Cela permet d'atténuer certaines attaques de type Evil-Maid (expliquées plus loin dans ce guide).


Dans la plupart des cas, Secure Boot est désactivé par défaut ou activé mais en mode "configuration", ce qui permet à n'importe quel système de démarrer. Pour que Secure Boot fonctionne, votre système d'exploitation doit le prendre en charge, signer son chargeur de démarrage et transmettre ces clés de signature à votre micrologiciel UEFI. Ensuite, vous devrez aller dans les paramètres de votre BIOS/UEFI et enregistrer les clés transmises par votre système d'exploitation et changer le mode Secure Boot de configuration en mode utilisateur (ou en mode personnalisé dans certains cas).


Après cette étape, seuls les systèmes d'exploitation à partir desquels votre firmware UEFI peut vérifier l'intégrité du chargeur de démarrage pourront démarrer.


La plupart des ordinateurs portables disposent de clés par défaut déjà stockées dans les paramètres de démarrage sécurisé. Il s'agit généralement de clés fournies par le fabricant lui-même ou par des sociétés telles que Microsoft. Cela signifie donc que, par défaut, il sera toujours possible de démarrer certains disques USB, même avec le démarrage sécurisé. Il s'agit de Windows, Fedora, Ubuntu, Mint, Debian, CentOS, OpenSUSE, Tails, Clonezilla et bien d'autres. Le démarrage sécurisé n'est cependant pas du tout pris en charge par QubesOS à ce stade.


Dans certains ordinateurs portables, vous pouvez gérer ces clés et supprimer celles dont vous ne voulez pas avec un "mode personnalisé" pour n'autoriser que votre propre chargeur de démarrage que vous pouvez signer vous-même si vous le souhaitez vraiment.


Alors, de quoi Secure Boot vous protège-t-il ? Il protège votre ordinateur portable contre le démarrage de chargeurs de démarrage non signés (par le fournisseur du système d'exploitation) avec, par exemple, des logiciels malveillants injectés.


De quoi Secure Boot ne vous protège-t-il pas ?

• Secure Boot ne crypte pas votre disque et un adversaire peut toujours retirer le disque de votre ordinateur portable et en extraire des données à l'aide d'une autre machine. Le système Secure Boot est donc inutile sans un chiffrement complet du disque.
• Secure Boot ne vous protège pas d'un chargeur de démarrage signé qui serait compromis et signé par le fabricant lui-même (Microsoft par exemple dans le cas de Windows). La plupart des distributions Linux grand public sont signées de nos jours et démarrent avec Secure Boot activé.
• Comme tout autre système, Secure Boot peut présenter des failles et des exploits. Si vous utilisez un vieil ordinateur portable qui ne bénéficie pas des nouvelles mises à jour du BIOS/UEFI, ces failles peuvent ne pas être corrigées.

En outre, il existe un certain nombre d'attaques possibles contre le système Secure Boot, comme l'expliquent (en profondeur) ces vidéos techniques :

• Defcon 22,
  [Invidious]
• BlackHat 2016,
  [Invidious]

Il peut donc être utile comme mesure supplémentaire contre certains adversaires, mais pas tous. Secure Boot ne crypte pas en soi votre disque dur. Il s'agit d'une couche supplémentaire, mais c'est tout.


Je vous recommande tout de même de l'activer si vous le pouvez.

Mac.

Prenez le temps de définir un mot de passe pour le micrologiciel en suivant le tutoriel suivant : https://support.apple.com/en-au/HT204455 [Archive.org]


Vous devriez également activer la protection contre la réinitialisation du mot de passe du micrologiciel (disponible auprès de Catalina) conformément à la documentation ici : https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org]


Cette fonction atténuera la possibilité pour certains adversaires d'utiliser des piratages matériels pour désactiver ou contourner le mot de passe du micrologiciel. Notez que cela empêchera également Apple d'accéder au micrologiciel en cas de réparation.

 

[HEISENBERG]

Protégez physiquement votre ordinateur portable.

À un moment donné, vous laisserez inévitablement votre ordinateur portable seul quelque part. Vous ne dormirez pas avec lui et ne l'emporterez pas partout tous les jours. Vous devez faire en sorte qu'il soit aussi difficile que possible pour quiconque de le manipuler sans que vous vous en rendiez compte. Ceci est surtout utile contre des adversaires limités qui n'utiliseront pas une clé de 5$ contre vous.


Il est important de savoir qu'il est trivialement facile pour certains spécialistes d'installer un enregistreur de frappe dans votre ordinateur portable, ou de faire une copie clonée de votre disque dur qui pourrait leur permettre plus tard de détecter la présence de données cryptées à l'aide de techniques de criminalistique (plus d'informations à ce sujet plus tard).


Voici une méthode bon marché pour rendre votre ordinateur portable inviolable en utilisant du vernis à ongles (avec des paillettes) https://mullvad.net/en/help/how-tamper-protect-laptop/ [Archive.org] (avec photos).


Bien qu'il s'agisse d'une bonne méthode bon marché, elle pourrait également éveiller les soupçons, car elle est assez "visible" et pourrait révéler que vous "avez quelque chose à cacher". Il existe donc des moyens plus subtils d'obtenir le même résultat. Vous pouvez aussi, par exemple, faire une macrophotographie des vis arrière de votre ordinateur portable ou simplement utiliser une très petite quantité de cire de bougie dans l'une des vis, qui pourrait ressembler à de la saleté ordinaire. Vous pouvez ensuite vérifier s'il y a eu falsification en comparant les photos des vis avec les nouvelles. Leur orientation peut avoir légèrement changé si votre adversaire n'a pas été assez prudent (en les serrant exactement de la même manière qu'avant). Il se peut aussi que la cire au fond de la tête d'une vis ait été endommagée par rapport à ce qu'elle était auparavant.

Les mêmes techniques peuvent être utilisées avec les ports USB où il suffit de mettre une petite quantité de cire de bougie dans la prise qui sera endommagée par l'insertion d'une clé USB.


Dans les environnements plus risqués, vérifiez que votre ordinateur portable n'a pas été altéré avant de l'utiliser régulièrement.

 

[HEISENBERG]

La voie Whonix.

Choisir votre système d'exploitation hôte (le système d'exploitation installé sur votre ordinateur portable).

Cet itinéraire fera un usage intensif des machines virtuelles, qui nécessiteront un système d'exploitation hôte pour faire fonctionner le logiciel de virtualisation. Trois choix sont recommandés dans cette partie du guide :

• La distribution Linux de votre choix (à l'exclusion de Qubes OS)
• Windows 10 (de préférence l'édition Home en raison de l'absence de Bitlocker)
• MacOS (Catalina ou supérieur)

En outre, il est fort probable que votre Mac soit ou ait été lié à un compte Apple (au moment de l'achat ou après la connexion) et que, par conséquent, ses identifiants matériels uniques puissent permettre de remonter jusqu'à vous en cas de fuite d'identifiants matériels.


Linux n'est pas nécessairement le meilleur choix pour l'anonymat en fonction de votre modèle de menace. En effet, l'utilisation de Windows nous permet d'utiliser facilement le déni plausible (ou chiffrement déniaisable) au niveau du système d'exploitation. Windows est malheureusement aussi un cauchemar pour la vie privée, mais c'est la seule option (pratique) pour utiliser le déni plausible au niveau du système d'exploitation. La télémétrie et le blocage de la télémétrie sous Windows sont également largement documentés, ce qui devrait atténuer de nombreux problèmes.


Qu'est-ce que le déni plausible ? C'est la possibilité de coopérer avec un adversaire qui demande l'accès à votre appareil ou à vos données sans révéler votre véritable secret. Tout cela en utilisant le chiffrement déniable.


Un adversaire doux et légal pourrait vous demander le mot de passe crypté de votre ordinateur portable. Dans un premier temps, vous pourriez refuser de donner un mot de passe (en invoquant votre "droit de garder le silence", votre "droit de ne pas vous incriminer"), mais certains pays mettent en œuvre des lois qui exemptent de ces droits (à cause des terroristes et de la nécessité de "penser aux enfants"). Dans ce cas, il se peut que vous deviez révéler le mot de passe ou que vous soyez condamné à une peine de prison pour outrage à magistrat. C'est là que le déni plausible entre en jeu.


Vous pourriez alors révéler un mot de passe, mais ce mot de passe ne donnera accès qu'à des "données plausibles" (un système d'exploitation leurre). Les enquêteurs sauront qu'il est possible que vous ayez caché des données, mais ils ne devraient pas être en mesure de le prouver (si vous vous y prenez bien). Vous aurez coopéré et les enquêteurs auront accès à quelque chose, mais pas à ce que vous voulez réellement cacher. Étant donné que la charge de la preuve incombe aux enquêteurs, ils n'auront d'autre choix que de vous croire, à moins qu'ils n'aient la preuve que vous avez caché des données.


Cette fonction peut être utilisée au niveau du système d'exploitation (un système d'exploitation plausible et un système d'exploitation caché) ou au niveau des fichiers, où vous aurez un conteneur de fichiers cryptés (similaire à un fichier zip) dans lequel différents fichiers seront affichés en fonction du mot de passe de cryptage que vous utilisez.


Cela signifie également que vous pouvez mettre en place votre propre configuration avancée de "déni plausible" en utilisant n'importe quel système d'exploitation hôte en stockant par exemple des machines virtuelles sur un conteneur de volume caché Veracrypt (attention aux traces dans le système d'exploitation hôte qui devront être nettoyées si le système d'exploitation hôte est persistant, voir la section Quelques mesures supplémentaires contre la criminalistique plus loin). Il existe un projet pour réaliser ceci dans Tails(https://github.com/aforensics/HiddenVM [Archive.org]) qui rendrait votre système d'exploitation hôte non persistant et utiliserait la dénégation plausible dans Tails.


Dans le cas de Windows, le déni plausible est également la raison pour laquelle vous devriez idéalement avoir Windows 10 Home (et non Pro). En effet, Windows 10 Pro offre nativement un système de chiffrement intégral du disque (Bitlocker) alors que Windows 10 Home n'offre aucun chiffrement intégral du disque. Nous utiliserons plus tard un logiciel de cryptage open-source tiers qui permettra le cryptage intégral du disque sur Windows 10 Home. Cela vous donnera une bonne excuse (plausible) pour utiliser ce logiciel. En revanche, l'utilisation de ce logiciel sur Windows 10 Pro serait suspecte.


Remarque concernant Linux : Qu'en est-il de Linux et du déni plausible ? Oui, il est possible de réaliser un déni plausible avec Linux également. Mais c'est compliqué à mettre en place et IMHO nécessite un niveau de compétence suffisamment élevé pour que vous n'ayez probablement pas besoin de ce guide pour vous aider à l'essayer.


Malheureusement, le cryptage n'est pas magique et il y a des risques :

Menaces liées au chiffrement.

La clé de 5$.

N'oubliez pas que le chiffrement, avec ou sans possibilité de déni plausible, n'est pas une solution miracle et qu'il ne sera guère utile en cas de torture. En fait, selon l'identité de votre adversaire (votre modèle de menace), il peut être judicieux de ne pas utiliser Veracrypt (anciennement TrueCrypt), comme le montre cette démonstration : https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


Le déni plausible n'est efficace que contre des adversaires légitimes et souples qui ne recourront pas à des moyens physiques. Évitez, dans la mesure du possible, d'utiliser un logiciel capable de faire un déni plausible (tel que Veracrypt) si votre modèle de menace comprend des adversaires difficiles. Les utilisateurs de Windows devraient donc, dans ce cas, installer Windows Pro comme système d'exploitation hôte et utiliser Bitlocker à la place.


Voir https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org]

Attaque "Evil-Maid".

Les attaques de type "Evil Maid" sont menées lorsque quelqu'un manipule votre ordinateur portable en votre absence. Pour installer un clone de votre disque dur, installez un logiciel malveillant ou un enregistreur de frappe. S'il peut cloner votre disque dur, il peut comparer une image de votre disque dur au moment où il l'a pris pendant votre absence avec le disque dur au moment où il vous l'a saisi. Si vous avez réutilisé l'ordinateur portable entre-temps, les experts en criminalistique pourraient être en mesure de prouver l'existence des données cachées en examinant les variations entre les deux images dans ce qui devrait être un espace vide/inexploité. Cela pourrait constituer une preuve solide de l'existence de données cachées. S'ils installent un enregistreur de frappe ou un logiciel malveillant dans votre ordinateur portable (logiciel ou matériel), ils pourront simplement vous soutirer le mot de passe pour l'utiliser plus tard lorsqu'ils le saisiront. Ces attaques peuvent avoir lieu à votre domicile, à votre hôtel, à un poste frontière ou à n'importe quel endroit où vous laissez vos appareils sans surveillance.


Vous pouvez limiter cette attaque en prenant les mesures suivantes (comme recommandé précédemment) :

• Installez une protection anti-sabotage de base (comme expliqué précédemment) pour empêcher l'accès physique aux composants internes de l'ordinateur portable à votre insu. Cela les empêchera de cloner vos disques et d'installer un enregistreur de frappe physique à votre insu.
• Désactivez tous les ports USB (comme expliqué précédemment) dans un BIOS/UEFI protégé par un mot de passe. Là encore, ils ne pourront pas les activer (sans accéder physiquement à la carte mère pour réinitialiser le BIOS) pour démarrer un périphérique USB qui pourrait cloner votre disque dur ou installer un logiciel malveillant qui pourrait agir comme un enregistreur de clés.
• Configurez des mots de passe BIOS/UEFI/Firmware pour empêcher tout démarrage non autorisé d'un périphérique non autorisé.
• Certains systèmes d'exploitation et logiciels de cryptage disposent d'une protection anti-EvilMaid qui peut être activée. C'est le cas de Windows/Veracrypt et QubeOS.

Attaque par démarrage à froid.

Les attaques par démarrage à froid sont plus délicates que l'attaque Evil Maid, mais elles peuvent faire partie d'une attaque Evil Maid, car elles nécessitent qu'un adversaire prenne possession de votre ordinateur portable pendant que vous l'utilisez activement ou peu après.


L'idée est assez simple : comme le montre cette vidéo, un adversaire pourrait théoriquement démarrer rapidement votre appareil à l'aide d'une clé USB spéciale qui copierait le contenu de la mémoire vive (RAM) de l'appareil après que vous l'avez éteint. Si les ports USB sont désactivés ou s'il estime avoir besoin de plus de temps, il peut ouvrir l'appareil et "refroidir" la mémoire à l'aide d'un spray ou d'autres produits chimiques (azote liquide, par exemple) afin d'empêcher la décomposition de la mémoire. Ils pourraient alors copier son contenu pour l'analyser. Cette copie de la mémoire pourrait contenir la clé permettant de décrypter votre appareil. Nous appliquerons plus tard quelques principes pour atténuer ces risques.


Dans le cas du déni plausible, certaines études médico-légales ont prouvé techniquement la présence des données cachées par un simple examen médico-légal (sans démarrage à froid/attaque Evil Maid), mais elles ont été contestées par d'autres études et par le responsable de Veracrypt, de sorte que je ne m'en préoccuperais pas trop pour l'instant.


Les mêmes mesures utilisées pour atténuer les attaques Evil Maid devraient être mises en place pour les attaques par démarrage à froid, avec quelques mesures supplémentaires :

• Si votre système d'exploitation ou votre logiciel de cryptage le permet, vous devriez envisager de crypter les clés dans la RAM également (cela est possible avec Windows/Veracrypt et sera expliqué plus tard).
• Vous devez limiter l'utilisation de la veille et utiliser plutôt l'arrêt ou la mise en veille prolongée pour éviter que les clés de chiffrement ne restent dans la RAM lorsque votre ordinateur se met en veille. En effet, la mise en veille maintient l'alimentation de votre mémoire afin que vous puissiez reprendre votre activité plus rapidement. Seules la mise en veille prolongée et l'arrêt de l'ordinateur effacent réellement la clé de la mémoire.

Voir également https://www.whonix.org/wiki/Cold_Boot_Attack_Defense [Archive.org] et https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive.org]


Voici également quelques outils intéressants à envisager pour les utilisateurs de Linux afin de se défendre contre ces attaques :

• https://github.com/0xPoly/Centry [Archive.org] (malheureusement, il semble qu'il ne soit pas maintenu, j'ai donc créé une fourche et une demande de mise à jour pour Veracrypt https://github.com/AnonymousPlanet/Centry [Archive.org] qui devrait toujours fonctionner).
• https://github.com/hephaest0s/usbkill [Archive.org] (malheureusement non maintenu aussi semble-t-il)
• https://github.com/Lvl4Sword/Killer [Archive.org]
• https://askubuntu.com/questions/153245/how-to-wipe-ram-on-shutdown-prevent-cold-boot-attacks [Archive.org]
• (Qubes OS, CPU Intel uniquement) https://github.com/QubesOS/qubes-antievilmaid [Archive.org]

À propos de la veille, de l'hibernation et de l'arrêt.

Si vous voulez une meilleure sécurité, vous devriez éteindre complètement votre ordinateur portable chaque fois que vous le laissez sans surveillance ou que vous fermez le couvercle. Cela devrait permettre de nettoyer et/ou de libérer la mémoire vive et d'atténuer les attaques par démarrage à froid. Cependant, cela peut être un peu gênant car vous devrez redémarrer complètement et taper une tonne de mots de passe dans diverses applications. Redémarrer diverses VM et autres applications. Vous pouvez donc utiliser la mise en veille prolongée (non prise en charge par Qubes OS). Étant donné que l'ensemble du disque est crypté, la mise en veille prolongée ne devrait pas présenter en soi un risque de sécurité important, mais elle permettra tout de même d'éteindre votre ordinateur portable et d'effacer la mémoire, tout en vous permettant de reprendre votre travail en toute commodité par la suite. Ce qu'il ne faut jamais faire, c'est utiliser la fonction de mise en veille standard, qui maintient l'ordinateur allumé et la mémoire alimentée. Il s'agit d'un vecteur d'attaque contre les attaques de type "evil-maid" et "cold-boot" évoquées plus haut. En effet, la mémoire sous tension contient les clés de chiffrement de votre disque (chiffré ou non) et un adversaire habile pourrait y avoir accès.


Ce guide fournira plus tard des indications sur la manière d'activer l'hibernation sur divers systèmes d'exploitation hôtes (à l'exception de Qubes OS) si vous ne voulez pas vous éteindre à chaque fois.

Fuites de données locales (traces) et examen médico-légal.

Comme mentionné brièvement plus haut, il s'agit de fuites de données et de traces provenant de votre système d'exploitation et de vos applications lorsque vous effectuez une activité sur votre ordinateur. Elles s'appliquent principalement aux conteneurs de fichiers chiffrés (avec ou sans dénégation plausible) plutôt qu'au chiffrement de l'ensemble du système d'exploitation. Ces fuites sont moins "importantes" si l'ensemble de votre système d'exploitation est chiffré (si vous n'êtes pas obligé de révéler le mot de passe).


Supposons par exemple que vous disposiez d'une clé USB chiffrée par Veracrypt avec l'option "plausible deniability" activée. En fonction du mot de passe utilisé lors du montage de la clé USB, celle-ci ouvrira un dossier leurre ou un dossier sensible. Dans ces dossiers, vous aurez des documents/données leurres dans le dossier leurre et des documents/données sensibles dans le dossier sensible.


Dans tous les cas, vous ouvrirez (très probablement) ces dossiers avec l'explorateur Windows, le Finder de MacOS ou tout autre utilitaire et ferez ce que vous avez prévu de faire. Vous allez peut-être modifier un document dans le dossier sensible. Vous allez peut-être rechercher un document dans le dossier. Peut-être allez-vous en supprimer un ou regarder une vidéo sensible à l'aide de VLC.


Toutes ces applications et votre système d'exploitation peuvent conserver des journaux et des traces de cette utilisation. Il peut s'agir du chemin complet du dossier/fichier/lecteur, de l'heure d'accès, des caches temporaires de ces fichiers, des listes "récentes" de chaque application, du système d'indexation des fichiers qui pourrait indexer le disque et même des vignettes qui pourraient être générées.


Voici quelques exemples de ces fuites :

Windows.

• Les ShellBags de Windows qui sont stockés dans le Registre de Windows stockent silencieusement divers historiques de volumes/fichiers/dossiers accédés.
• L'indexation de Windows conserve des traces des fichiers présents dans votre dossier utilisateur par défaut.
• Les listes récentes (également appelées "Jump Lists") de Windows et de diverses applications conservent des traces des documents récemment consultés.
• De nombreuses autres traces se trouvent dans divers journaux, veuillez consulter ce poster intéressant et pratique pour en savoir plus : https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org].

MacOS.

• Gatekeeper290 et XProtect conservent l'historique des téléchargements dans une base de données locale et les attributs des fichiers.
• Indexation Spotlight
• Listes récentes dans diverses applications conservant les traces des documents récemment consultés.
• Dossiers temporaires conservant diverses traces de l'utilisation des applications et des documents.
• Journaux MacOS
• ...

Linux.

• Indexation du traceur
• Historique Bash
• Journaux USB
• Listes récentes dans diverses applications conservant les traces des documents récemment consultés.
• Journaux Linux
• ...

La police scientifique pourrait utiliser toutes ces fuites (voir Fuites de données locales et police scientifique) pour prouver l'existence de données cachées et faire échouer vos tentatives de déni plausible et de découverte de vos diverses activités sensibles.


Il sera donc important d'appliquer diverses mesures pour empêcher les services de police scientifique de le faire en prévenant et en nettoyant ces fuites/traces et, plus important encore, en utilisant le chiffrement de l'ensemble du disque, la virtualisation et la compartimentation.


Les experts ne peuvent pas extraire les fuites de données locales d'un système d'exploitation auquel ils n'ont pas accès. Et vous pourrez nettoyer la plupart de ces traces en effaçant le disque ou en effaçant de manière sécurisée vos machines virtuelles (ce qui n'est pas aussi facile qu'on le pense sur les disques SSD).


Certaines techniques de nettoyage seront néanmoins abordées dans la partie "Couvrir ses traces" de ce guide, à la toute fin.

Fuites de données en ligne.

Que vous utilisiez un cryptage simple ou un cryptage à dénégation plausible. Même si vous avez effacé vos traces sur l'ordinateur lui-même. Il existe toujours un risque de fuite de données en ligne qui pourrait révéler la présence de données cachées.


La télémétrie est votre ennemie. Comme expliqué plus haut dans ce guide, la télémétrie des systèmes d'exploitation, mais aussi des applications, peut envoyer des quantités impressionnantes d'informations privées en ligne.


Dans le cas de Windows, ces données pourraient par exemple être utilisées pour prouver l'existence d'un système d'exploitation ou d'un volume caché sur un ordinateur et seraient facilement accessibles à Microsoft. Il est donc essentiel de désactiver et de bloquer la télémétrie par tous les moyens à votre disposition. Quel que soit le système d'exploitation que vous utilisez.

Conclusion.

Vous ne devez jamais mener d'activités sensibles à partir d'un système non crypté. Et même s'il est chiffré, vous ne devriez probablement jamais mener d'activités sensibles à partir du système d'exploitation hôte lui-même. Vous devriez plutôt utiliser une machine virtuelle pour pouvoir isoler et compartimenter efficacement vos activités et empêcher les fuites de données locales.


Si vous n'avez que peu ou pas de connaissances de Linux ou si vous voulez utiliser un système d'exploitation à l'échelle de l'entreprise, je vous recommande d'opter pour Windows (ou de revenir à Tails) pour des raisons de commodité. Ce guide vous aidera à le durcir autant que possible pour éviter les fuites. Ce guide vous aidera également à renforcer MacOS et Linux autant que possible pour éviter des fuites similaires.


Si vous n'êtes pas intéressé par la possibilité de nier la réalité de votre système d'exploitation et que vous voulez apprendre à utiliser Linux, je vous recommande fortement d'opter pour Linux ou pour Qubes si votre matériel le permet.


Dans tous les cas, le système d'exploitation hôte ne doit jamais être utilisé pour mener directement des activités sensibles. Le système d'exploitation hôte ne sera utilisé que pour se connecter à un point d'accès Wi-Fi public. Il restera inutilisé pendant que vous mènerez des activités sensibles et ne devrait idéalement pas être utilisé pour vos activités quotidiennes.


Envisagez également de lire https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org]

 

[HEISENBERG]

Système d'exploitation hôte Linux.

Comme je l'ai déjà mentionné, je ne recommande pas d'utiliser votre ordinateur portable quotidien pour des activités très sensibles. Ou du moins, je ne recommande pas d'utiliser votre système d'exploitation en place pour ces activités. Cela pourrait entraîner des fuites de données indésirables qui pourraient être utilisées pour vous désanonymiser. Si vous disposez d'un ordinateur portable dédié à ces activités, vous devriez réinstaller un nouveau système d'exploitation propre. Si vous ne voulez pas effacer votre ordinateur portable et recommencer, vous devriez envisager la voie Tails ou procéder à vos propres risques.


Je vous recommande également d'effectuer l'installation initiale complètement hors ligne afin d'éviter toute fuite de données.


N'oubliez jamais qu'en dépit de leur réputation, les distributions Linux grand public (Ubuntu par exemple) ne sont pas nécessairement meilleures en matière de sécurité que d'autres systèmes tels que MacOS et Windows. Voir cette référence pour comprendre pourquoi https://madaidans-insecurities.github.io/linux.html [Archive.org].

Cryptage intégral du disque.

Il existe deux possibilités avec Ubuntu :

• (Recommandé et facile) Chiffrer dans le cadre du processus d'installation : https://ubuntu.com/tutorials/install-ubuntu-desktop [Archive.org]
  
  • Ce processus nécessite l'effacement complet de votre disque dur (installation propre).
  • Il suffit de cocher la case "Encrypt the new Ubuntu installation for security" (crypter la nouvelle installation d'Ubuntu pour la sécurité)
• (fastidieux mais possible) Crypter après l'installation : https://help.ubuntu.com/community/ManualFullSystemEncryption [Archive.org]

Pour les autres distributions, vous devrez vous documenter, mais ce sera probablement similaire. Le chiffrement pendant l'installation est beaucoup plus simple dans le contexte de ce guide.

Rejeter/désactiver toute télémétrie.

• Pendant l'installation, assurez-vous de ne pas autoriser la collecte de données si on vous le demande.
• Si vous n'êtes pas sûr, assurez-vous simplement que vous n'avez pas activé la télémétrie et suivez ce tutoriel si nécessaire https://vitux.com/how-to-force-ubuntu-to-stop-collecting-your-data-from-your-pc/ [Archive.org]
• Toute autre distribution : Vous devrez vous documenter et trouver vous-même comment désactiver la télémétrie s'il y en a une.

Désactivez tout ce qui n'est pas nécessaire.

• Désactivez le Bluetooth s'il est activé en suivant ce guide https://www.addictivetips.com/ubuntu-linux-tips/disable-bluetooth-in-ubuntu/ [Archive.org] ou en lançant la commande suivante :
  
  • sudo systemctl disable bluetooth.service --force
• Désactivez l'indexation si elle est activée par défaut (Ubuntu >19.04) en suivant ce guide https://www.linuxuprising.com/2019/07/how-to-completely-disable-tracker.html [Archive.org] ou en lançant les commandes suivantes :
  
  • sudo systemctl --user mask tracker-store.service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps.service tracker-writeback.service
    
    • Vous pouvez ignorer toute erreur si elle indique qu'un service n'existe pas
  • sudo tracker reset -hard

Hibernation.

Comme expliqué précédemment, vous ne devriez pas utiliser les fonctions de mise en veille mais éteindre ou mettre en veille prolongée votre ordinateur portable afin d'atténuer certaines attaques de type "evil-maid" et "cold-boot". Malheureusement, cette fonction est désactivée par défaut sur de nombreuses distributions Linux, y compris Ubuntu. Il est possible de l'activer, mais elle risque de ne pas fonctionner comme prévu. Suivez ces informations à vos risques et périls. Si vous ne voulez pas faire cela, vous ne devez jamais utiliser la fonction de mise en veille et vous devez plutôt éteindre votre ordinateur (et probablement régler le comportement de fermeture du couvercle sur l'extinction au lieu de la mise en veille).


Suivez l'un de ces tutoriels pour activer l'hibernation :

• https://www.how2shout.com/linux/how-to-hibernate-ubuntu-20-04-lts-focal-fossa/ [Archive.org]
• http://www.lorenzobettini.it/2020/07/enabling-hibernation-on-ubuntu-20-04/ [Archive.org]
• https://blog.ivansmirnov.name/how-to-set-up-hibernate-on-ubuntu-20-04/ [Archive.org]

Une fois l'hibernation activée, modifiez le comportement de votre ordinateur portable pour qu'il se mette en hibernation lorsque vous fermez le couvercle en suivant ce tutoriel pour Ubuntu 20.04 http://ubuntuhandbook.org/index.php/2020/05/lid-close-behavior-ubuntu-20-04/ [Archive.org] et ce tutoriel pour Ubuntu 18.04 https://tipsonubuntu.com/2018/04/28/change-lid-close-action-ubuntu-18-04-lts/ [Archive.org]


Malheureusement, cela ne nettoiera pas la clé de la mémoire directement de la mémoire lors de l'hibernation. Pour éviter cela au prix de quelques performances, vous pouvez envisager de chiffrer le fichier d'échange en suivant ce tutoriel : https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap [Archive.org]


Ces paramètres devraient atténuer les attaques par démarrage à froid si vous pouvez hiberner assez rapidement.

Activez la randomisation des adresses MAC.

• Ubuntu, suivez les étapes suivantes : https://help.ubuntu.com/community/AnonymizingNetworkMACAddresses [Archive.org].
• Toute autre distribution : vous devrez trouver la documentation vous-même, mais elle devrait être assez similaire au tutoriel d'Ubuntu.
• Considérez ce tutoriel qui devrait toujours fonctionner : https://josh.works/shell-script-basics-change-mac-address [Archive.org]

Durcissement de Linux.

En guise d'introduction légère pour les nouveaux utilisateurs de Linux, considérez

[Invidious]


Pour des options plus approfondies et plus avancées, consultez [Invidious] :

• Cet excellent guide : https://madaidans-insecurities.github.io/guides/linux-hardening.html [Archive.org]
• Cet excellent wiki : https://wiki.archlinux.org/title/Security [Archive.org]
• Ces excellents scripts basés sur le guide et le wiki ci-dessus : https://codeberg.org/SalamanderSecurity/PARSEC [Archive.org]

Mise en place d'un navigateur sécurisé.

Voir l'annexe G : Navigateur sécurisé sur le système d'exploitation hôte

 

[HEISENBERG]

MacOS Host OS.

Remarque : pour l'instant, ce guide ne prend pas (encore) en charge les MacBooks ARM M1. En effet, Virtualbox ne prend pas encore en charge cette architecture. Cela pourrait toutefois être possible si vous utilisez des outils commerciaux tels que VMWare ou Parallels, mais ceux-ci ne sont pas couverts par ce guide.


Comme indiqué précédemment, je ne recommande pas d'utiliser votre ordinateur portable quotidien pour des activités très sensibles. Ou du moins, je ne recommande pas d'utiliser votre système d'exploitation en place pour ces activités. Cela pourrait entraîner des fuites de données indésirables qui pourraient être utilisées pour vous désanonymiser. Si vous disposez d'un ordinateur portable dédié à ces activités, vous devriez réinstaller un nouveau système d'exploitation propre. Si vous ne voulez pas effacer votre ordinateur portable et recommencer, vous devriez envisager la voie Tails ou procéder à vos propres risques.


Je vous recommande également d'effectuer l'installation initiale complètement hors ligne afin d'éviter toute fuite de données.


Ne vous connectez jamais à votre compte Apple avec ce Mac.

Pendant l'installation.

• Restez hors ligne
• Désactivez toutes les demandes de partage de données lorsque vous y êtes invité, y compris les services de localisation.
• Ne vous connectez pas à Apple
• Ne pas activer Siri

Renforcer MacOS.

En guise d'introduction légère pour les nouveaux utilisateurs de MacOS, envisagez

[Invidious]


Pour aller plus loin dans la sécurisation et le durcissement de votre MacOS, je vous recommande de lire ce guide GitHub qui devrait couvrir une grande partie des problèmes : https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org].


Voici les étapes de base à suivre après votre installation hors ligne :

Activer le mot de passe du firmware avec l'option "disable-reset-capability".

Tout d'abord, vous devez configurer un mot de passe pour le micrologiciel en suivant ce guide d'Apple : https://support.apple.com/en-us/HT204455 [Archive.org]


Malheureusement, certaines attaques sont encore possibles et un adversaire pourrait désactiver ce mot de passe. Vous devez donc également suivre ce guide pour empêcher la désactivation du mot de passe du micrologiciel par quiconque, y compris Apple : https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org].

Activez l'hibernation au lieu de la mise en veille.

Là encore, il s'agit de prévenir certaines attaques par cold-boot et par evil-maid en éteignant votre RAM et en nettoyant la clé de cryptage lorsque vous fermez le couvercle. Vous devez toujours mettre votre ordinateur en veille prolongée ou l'éteindre. Sous MacOS, la fonction de mise en veille prolongée comporte même une option spéciale permettant d'effacer la clé de chiffrement de la mémoire lors de la mise en veille prolongée (alors que sous d'autres systèmes d'exploitation, il faut attendre que la mémoire se désintègre). Une fois de plus, il n'y a pas d'option facile pour faire cela dans les paramètres, donc à la place, nous devrons exécuter quelques commandes pour activer l'hibernation :

• Ouvrez un terminal
• Exécutez : sudo pmset -a destroyfvkeyonstandby 1
  
  • Cette commande demandera à MacOS de détruire la clé Filevault en veille (sleep).
• Exécutez : sudo pmset -a hibernatemode 25
  
  • Cette commande indiquera à MacOS d'éteindre la mémoire pendant le sommeil au lieu d'effectuer un hibernation hybride qui maintient la mémoire sous tension. Les réveils seront plus lents, mais la durée de vie de la batterie sera plus longue.

Désormais, lorsque vous fermez le couvercle de votre MacBook, celui-ci devrait être mis en hibernation au lieu d'être mis en veille et atténuer les tentatives d'attaques par cold-boot.


En outre, vous devriez également configurer une mise en veille automatique (Réglages > Énergie) pour que votre MacBook se mette automatiquement en veille prolongée s'il est laissé sans surveillance.

Désactivez les services inutiles.

Désactivez certains paramètres inutiles dans les réglages :

• Désactiver Bluetooth
• Désactiver l'appareil photo et le microphone
• Désactiver les services de localisation
• Désactiver l'Airdrop
• Désactiver l'indexation

Empêcher les appels OCSP d'Apple.

Il s'agit des tristement célèbres appels "unblockable telemetry" de MacOS Big Sur divulgués ici : https://sneak.berlin/20201112/your-computer-isnt-yours/ [Archive.org]


Vous pouvez bloquer les rapports OCSP en lançant la commande suivante dans Terminal :

• sudo sh -c 'echo "127.0.0.1 ocsp.apple.com" >> /etc/hosts'

Mais vous devriez probablement vous documenter sur le problème réel avant d'agir. Cette page est un bon point de départ : https://blog.jacopo.io/en/post/apple-ocsp/ [Archive.org]


C'est à vous de décider. Je le bloquerais parce que je ne veux pas qu'il y ait la moindre télémétrie de mon système d'exploitation vers le vaisseau mère sans mon consentement spécifique. Aucun.

Activer le chiffrement intégral du disque (Filevault).

Vous devez activer le cryptage intégral du disque sur votre Mac à l'aide de Filevault, conformément à cette partie du guide : https://github.com/drduh/macOS-Security-and-Privacy-Guide#full-disk-encryption [Archive.org]


Soyez prudent lors de l'activation. Ne stockez pas la clé de récupération chez Apple si on vous le demande (cela ne devrait pas poser de problème puisque vous devriez être hors ligne à ce stade). Il est évident que vous ne voulez pas qu'un tiers dispose de votre clé de récupération.

Randomisation de l'adresse MAC.

Malheureusement, macOS n'offre pas de moyen natif pratique pour randomiser votre adresse MAC et vous devrez donc le faire manuellement. Elle sera réinitialisée à chaque redémarrage et vous devrez la refaire à chaque fois pour vous assurer que vous n'utilisez pas votre adresse MAC actuelle lorsque vous vous connectez à différents Wi-Fis


Vous pouvez le faire en lançant les commandes suivantes dans le terminal (sans les parenthèses) :

• (Désactiver le Wi-Fi) networksetup -setairportpower en0 off
• (Modifier l'adresse MAC) sudo ifconfig en0 ether 88:63:11:11:11:11:11
• (Rétablir le Wi-Fi) networksetup -setairportpower en0 on

Configurer un navigateur sûr.

Voir l'annexe G : Navigateur sûr sur le système d'exploitation hôte

Système d'exploitation hôte Windows.

Comme indiqué précédemment, je ne recommande pas d'utiliser votre ordinateur portable quotidien pour des activités très sensibles. Ou du moins, je ne recommande pas d'utiliser votre système d'exploitation en place pour ces activités. Cela pourrait entraîner des fuites de données indésirables qui pourraient être utilisées pour vous désanonymiser. Si vous disposez d'un ordinateur portable dédié à ces activités, vous devriez réinstaller un nouveau système d'exploitation propre. Si vous ne voulez pas effacer votre ordinateur portable et recommencer, vous devriez envisager la voie Tails ou procéder à vos propres risques.


Je vous recommande également d'effectuer l'installation initiale complètement hors ligne afin d'éviter toute fuite de données.

Installation.

Vous devez suivre l'annexe A : Installation de Windows


En guise d'introduction, vous pouvez regarder

[Invidious]

Activer la randomisation de l'adresse MAC.

Vous devez randomiser votre adresse MAC comme expliqué plus haut dans ce guide :


Allez dans Paramètres > Réseau et Internet > Wi-Fi > Activer les adresses matérielles aléatoires


Vous pouvez également utiliser ce logiciel gratuit : https://technitium.com/tmac/ [Archive.org]

Configurer un navigateur sûr.

Voir l'annexe G : Navigateur sécurisé sur le système d'exploitation hôte

Activer certains paramètres de confidentialité supplémentaires sur votre système d'exploitation hôte.

Voir l'annexe B : Paramètres de confidentialité supplémentaires pour Windows

Cryptage du système d'exploitation hôte de Windows.

Si vous avez l'intention d'utiliser un système de déni plausible à l'échelle du système.

Veracrypt est le logiciel que je recommande pour le chiffrement intégral du disque, le chiffrement des fichiers et le déni plausible. Il s'agit d'un dérivé de TrueCrypt, bien connu mais déprécié et non mis à jour. Il peut être utilisé pour

• Le chiffrement simple d'un disque complet (votre disque dur est chiffré avec une phrase d'authentification).
• Le chiffrement de disque complet avec dénégation plausible (cela signifie qu'en fonction de la phrase d'authentification saisie au démarrage, vous démarrerez soit un système d'exploitation leurre, soit un système d'exploitation caché).
• Conteneur de fichiers avec chiffrement simple (il s'agit d'un grand fichier que vous pourrez monter dans Veracrypt comme s'il s'agissait d'un disque externe pour y stocker des fichiers chiffrés).
• Conteneur de fichiers avec dénégation plausible (il s'agit du même grand fichier, mais en fonction de la phrase de passe que vous utilisez pour le monter, vous monterez soit un "volume caché", soit un "volume leurre").

À ma connaissance, il s'agit du seul logiciel de cryptage gratuit, open-source et ouvertement audité (pratique et utilisable par n'importe qui) qui offre également une possibilité de déni plausible pour un usage général, et il fonctionne avec Windows Home Edition.


Téléchargez et installez Veracrypt à partir de : https://www.veracrypt.fr/en/Downloads.html [Archive.org]


Après l'installation, prenez le temps d'examiner les options suivantes qui vous aideront à atténuer certaines attaques :

• Crypter la mémoire avec une option Veracrypt (paramètres > performances/options du pilote > crypter la RAM) au prix de 5 à 15 % de performance. Ce paramètre désactive également la mise en veille prolongée (qui n'efface pas activement la clé lors de la mise en veille prolongée) et crypte la mémoire afin d'atténuer certaines attaques par démarrage à froid.
• Activez l'option Veracrypt pour effacer les clés de la mémoire si un nouveau périphérique est inséré (système > paramètres > sécurité > effacer les clés de la mémoire si un nouveau périphérique est inséré). Cela peut s'avérer utile si votre système est saisi alors qu'il est encore sous tension (mais verrouillé).
• Activez l'option Veracrypt pour monter les volumes en tant que volumes amovibles (Paramètres > Préférences > Monter le volume en tant que support amovible). Cela empêchera Windows d'écrire des journaux sur vos montages dans les journaux d'événements et évitera certaines fuites de données locales.
• Soyez prudent et ayez une bonne connaissance de la situation si vous sentez quelque chose d'étrange. Éteignez votre ordinateur portable aussi vite que possible.
• Bien que les nouvelles versions de Veracrypt prennent en charge le Secure Boot, je recommande de le désactiver à partir du BIOS, car je préfère le système Veracrypt Anti-Evil Maid au Secure Boot.

Si vous ne souhaitez pas utiliser de mémoire cryptée (parce que les performances pourraient être un problème), vous devriez au moins activer l'hibernation au lieu de la mise en veille. Cela n'effacera pas les clés de la mémoire (vous serez toujours vulnérable aux attaques par démarrage à froid) mais devrait au moins les atténuer quelque peu si votre mémoire a suffisamment de temps pour se désintégrer.


Plus de détails plus loin dans les Itinéraires A et B : Chiffrement simple avec Veracrypt (tutoriel Windows).

Si vous n'avez pas l'intention d'utiliser le principe du déni plausible à l'échelle du système.

Dans ce cas, je recommanderai l'utilisation de BitLocker au lieu de Veracrypt pour le chiffrement intégral du disque. Le raisonnement est le suivant : BitLocker n'offre pas de possibilité de déni plausible contrairement à Veracrypt. Un adversaire acharné n'a donc aucun intérêt à poursuivre son interrogatoire "renforcé" si vous révélez la phrase d'authentification.


Normalement, vous devriez avoir installé Windows Pro dans ce cas et l'installation de BitLocker est assez simple.


En principe, vous pouvez suivre les instructions ici : https://support.microsoft.com/en-us...cryption-0c453637-bc88-5f74-5105-741561aae838 [Archive.org]


Mais voici les étapes à suivre :

• Cliquez sur le menu Windows
• Tapez "Bitlocker".
• Cliquez sur "Gérer Bitlocker".
• Cliquez sur "Activer Bitlocker" sur votre lecteur système.
• Suivez les instructions
  
  • N'enregistrez pas votre clé de récupération sur un compte Microsoft si vous y êtes invité.
  • Enregistrez uniquement la clé de récupération sur un lecteur crypté externe. Pour contourner ce problème, imprimez la clé de récupération à l'aide de l'imprimante Microsoft Print to PDF et enregistrez la clé dans le dossier Documents.
  • Cryptez l'intégralité du disque (ne cryptez pas uniquement l'espace disque utilisé).
  • Utilisez le "Nouveau mode de cryptage"
  • Exécuter le contrôle BitLocker
  • Redémarrer
• Le cryptage doit maintenant être lancé en arrière-plan (vous pouvez le vérifier en cliquant sur l'icône Bitlocker dans le coin inférieur droit de la barre des tâches).

Activer la mise en veille prolongée (facultatif).

Encore une fois, comme expliqué précédemment. Vous ne devez jamais utiliser la fonction de mise en veille pour atténuer certaines attaques de type "cold boot" et "evil-maid". Il est préférable d'éteindre l'ordinateur ou de le mettre en veille prolongée. Vous devez donc faire passer votre ordinateur portable de la veille à l'hibernation lorsque vous fermez le couvercle ou lorsque votre ordinateur portable se met en veille.


(Notez que vous ne pouvez pas activer l'hibernation si vous avez précédemment activé le chiffrement de la RAM dans Veracrypt).


La raison en est que la mise en veille prolongée éteint complètement votre ordinateur portable et nettoie la mémoire. La mise en veille, en revanche, laissera la mémoire sous tension (y compris votre clé de déchiffrement) et pourrait rendre votre ordinateur portable vulnérable aux attaques par démarrage à froid.


Par défaut, Windows 10 peut ne pas vous offrir cette possibilité, vous devez donc l'activer en suivant ce tutoriel de Microsoft : https://docs.microsoft.com/en-us/tr.../deployment/disable-and-re-enable-hibernation [Archive.org]

• Ouvrez une invite de commande administrateur (cliquez avec le bouton droit de la souris sur Invite de commande et "Exécuter en tant qu'administrateur").
• Exécutez : powercfg.exe /hibernate on
• Exécutez maintenant la commande supplémentaire : **powercfg /h /type full**
  
  • Cette commande s'assurera que votre mode hibernation est complet et nettoiera entièrement la mémoire (pas de manière sécurisée).

Après cela, vous devriez aller dans vos paramètres d'alimentation :

• Ouvrez le panneau de configuration
• Ouvrez Système et sécurité
• Ouvrez les options d'alimentation
• Ouvrez "Choisissez ce que fait le bouton d'alimentation"
• Changez tout, de veille à hibernation ou arrêt.
• Revenir aux options d'alimentation
• Sélectionner Modifier les paramètres du plan
• Sélectionnez Paramètres d'alimentation avancés
• Modifiez toutes les valeurs de veille pour chaque plan d'alimentation à 0 (jamais).
• Assurez-vous que la veille hybride est désactivée pour chaque plan d'alimentation.
• Activez la mise en veille prolongée après la durée souhaitée.
• Désactiver toutes les minuteries de réveil

Décider du sous-itinéraire que vous allez emprunter.

Vous devez maintenant choisir votre prochaine étape entre deux options :

• Itinéraire A : Cryptage simple de votre système d'exploitation actuel
  
  • Avantages :
    
    • Ne nécessite pas d'effacer votre ordinateur portable
    • Pas de problème de fuite de données locales
    • Fonctionne parfaitement avec un disque SSD
    • Fonctionne avec n'importe quel système d'exploitation
    • Simple
  • Inconvénients
    
    • Vous pourriez être contraint par un adversaire de révéler votre mot de passe et tous vos secrets et vous n'aurez pas la possibilité d'opposer un démenti plausible.
    • Risque de fuites de données en ligne
• Solution B : Cryptage simple de votre système d'exploitation actuel avec utilisation ultérieure du déni plausible sur les fichiers eux-mêmes :
  
  • Avantages :
    
    • N'exige pas que vous effaciez votre ordinateur portable
    • Fonctionne parfaitement avec un disque SSD
    • Fonctionne avec n'importe quel système d'exploitation
    • Déni plausible possible avec des adversaires "souples".
  • Inconvénients
    
    • Risque de fuites de données en ligne
    • Risque de fuites de données locales (ce qui entraînera un surcroît de travail pour nettoyer ces fuites)
• Solution C : Déni plausible Chiffrement de votre système d'exploitation (vous aurez un "système d'exploitation caché" et un "système d'exploitation leurre" fonctionnant sur l'ordinateur portable) :
  
  • Avantages :
    
    • Pas de problèmes de fuites de données locales
    • Déni plausible possible avec des adversaires "souples".
  • Inconvénients :
    
    • Nécessite Windows (cette fonction n'est pas "facilement" prise en charge sous Linux).
    • Risque de fuites de données en ligne
    • Nécessite l'effacement complet de votre ordinateur portable
    • Pas d'utilisation avec un disque SSD en raison de la nécessité de désactiver les opérations de découpage. Cela dégradera gravement les performances et la santé de votre disque SSD au fil du temps.

Comme vous pouvez le constater, l'itinéraire C n'offre que deux avantages en matière de protection de la vie privée par rapport aux autres, et il ne sera utile que contre un adversaire qui respecte la loi. N'oubliez pas https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].


C'est à vous de décider quel itinéraire vous emprunterez. La voie A est un minimum.


Veillez à toujours vérifier fréquemment la présence de nouvelles versions de Veracrypt pour vous assurer de bénéficier des derniers correctifs. Vérifiez-le en particulier avant d'appliquer des mises à jour importantes de Windows qui pourraient casser le chargeur de démarrage de Veracrypt et vous envoyer dans une boucle de démarrage.


NOTEZ QUE PAR DÉFAUT VERACRYPT PROPOSERA TOUJOURS UN MOT DE PASSE SYSTÈME EN LETTRES MOULÉES (affichez le mot de passe en guise de test). Cela peut poser des problèmes si votre entrée de démarrage utilise le clavier de votre ordinateur portable (AZERTY par exemple) car vous aurez configuré votre mot de passe en QWERTY et l'entrerez au moment du démarrage en AZERTY. Veillez donc à vérifier, lors du démarrage test, la disposition du clavier utilisée par votre BIOS. Vous pourriez ne pas réussir à vous connecter à cause de la confusion QWERTY/AZERTY. Si votre BIOS démarre en AZERTY, vous devrez saisir le mot de passe en AZERTY dans Veracrypt.

Itinéraire A et B : Chiffrement simple avec Veracrypt (tutoriel Windows)

Sautez cette étape si vous avez utilisé BitLocker plus tôt.


Vous n'avez pas besoin d'avoir un disque dur pour cette méthode et vous n'avez pas besoin de désactiver Trim pour cet itinéraire. Les fuites de Trim ne seront utiles qu'à la police scientifique pour détecter la présence d'un volume caché, mais ne seront pas très utiles autrement.


Cette méthode est assez simple et permet de crypter votre système d'exploitation actuel sans perdre de données. Veillez à lire tous les textes que Veracrypt vous montre afin de bien comprendre ce qui se passe.

• Lancez VeraCrypt
• Allez dans Paramètres :
  
  • Paramètres > Options de performance/pilote > Encrypt RAM
  • Système > Paramètres > Sécurité > Effacer les clés de la mémoire si un nouveau périphérique est inséré
  • Système > Paramètres > Windows > Activer le bureau sécurisé
• Sélectionnez Système
• Sélectionnez Encrypt System Partition/Drive
• Sélectionner Normal (Simple)
• Sélectionner Single-Boot
• Sélectionnez AES comme algorithme de cryptage (cliquez sur le bouton de test si vous souhaitez comparer les vitesses).
• Sélectionnez SHA-512 comme algorithme de hachage (parce que pourquoi pas)
• Saisissez une phrase de passe forte (plus elle est longue, mieux c'est, rappelez-vous l'annexe A2 : Lignes directrices pour les mots de passe et les phrases de passe).
• Recueillez un peu d'entropie en déplaçant votre curseur au hasard jusqu'à ce que la barre soit pleine.
• Cliquez sur Suivant pour afficher l'écran Clés générées
• Sauvegarder ou non le disque, c'est à vous de décider. Je vous recommande d'en faire un (juste au cas où), mais assurez-vous de le stocker en dehors de votre disque crypté (clé USB par exemple, ou attendez de voir la fin de ce guide pour des conseils sur les sauvegardes sûres). Ce disque de secours ne stockera pas votre phrase d'authentification et vous en aurez toujours besoin pour l'utiliser.
• Mode effacement :
  
  • Si vous n'avez pas encore de données sensibles sur cet ordinateur portable, sélectionnez Aucun
  • Si vous avez des données sensibles sur un SSD, Trim seul devrait s'en occuper mais je recommanderais 1 passage (données aléatoires) juste pour être sûr.
  • Si vous avez des données sensibles sur un disque dur, il n'y a pas de Trim et je recommande au moins 1 passage.
• Testez votre configuration. Veracrypt va maintenant redémarrer votre système pour tester le chargeur de démarrage avant le chiffrement. Ce test doit être réussi pour que le chiffrement puisse se poursuivre.
• Une fois que votre ordinateur a redémarré et que le test est réussi. Veracrypt vous demandera de lancer le processus de cryptage.
• Lancez le cryptage et attendez qu'il se termine.
• Vous avez terminé, sautez l'itinéraire B et passez aux étapes suivantes.

Il y aura une autre section sur la création de conteneurs de fichiers cryptés avec Plausible Deniability sous Windows.

Itinéraire B : Chiffrement par refus plausible avec un système d'exploitation caché (Windows uniquement)

Cette méthode n'est prise en charge que sous Windows.


Cette méthode n'est recommandée que sur un disque dur. Il n'est pas recommandé sur un disque SSD.


Votre système d'exploitation caché ne doit pas être activé (à l'aide d'une clé de produit MS). Par conséquent, cet itinéraire vous recommandera et vous guidera à travers une installation complète et propre qui effacera tout ce qui se trouve sur votre ordinateur portable.


Lisez la documentation Veracrypt https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org] (Processus de création d'un système d'exploitation caché) et https://www.veracrypt.fr/en/Security Requirements for Hidden Volumes.html [Archive.org] (Security Requirements and Precautions Pertaining to Hidden Volumes).


Voici à quoi ressemblera votre système une fois le processus terminé :

(Illustration tirée de Veracrypt Documentation, https://veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org])


Comme vous pouvez le constater, ce processus exige que vous ayez deux partitions sur votre disque dur dès le départ.


Cette procédure permet d'effectuer les opérations suivantes :

• Chiffrer votre deuxième partition (le volume extérieur) qui ressemblera à un disque vide non formaté du système d'exploitation leurre.
• Vous inviter à copier le contenu du leurre dans le volume extérieur.
  
  • C'est ici que vous copierez votre collection de films d'animation et de films pornographiques depuis un disque dur externe vers le volume externe.
• Créez un volume caché dans le volume externe de cette deuxième partition. C'est là que résidera le système d'exploitation caché.
• Clonez votre installation Windows 10 en cours d'exécution sur le volume caché.
• Effacez votre Windows 10 actuel.
• Cela signifie que votre Windows 10 actuel deviendra le Windows 10 caché et que vous devrez réinstaller un nouveau système d'exploitation leurre Windows 10.

Obligatoire si vous avez un disque SSD et que vous voulez quand même le faire à l'encontre de la recommandation : Désactiver SSD Trim dans Windows (encore une fois, ce n'est PAS du tout recommandé car la désactivation de Trim en elle-même est très suspecte).Aussi, comme mentionné précédemment, la désactivation de Trim réduira la durée de vie de votre disque SSD et aura un impact significatif sur ses performances au fil du temps (votre ordinateur portable deviendra de plus en plus lent au fil de plusieurs mois d'utilisation jusqu'à ce qu'il devienne presque inutilisable, vous devrez alors nettoyer le disque et réinstaller tout ce qu'il faut). Mais vous devez le faire pour éviter les fuites de données qui pourraient permettre à la police scientifique de vous démentir de manière plausible. Pour l'instant, le seul moyen de contourner ce problème est d'utiliser un ordinateur portable équipé d'un disque dur classique.

 

[HEISENBERG]

Étape 1 : Créer une clé USB d'installation de Windows 10

Consultez l'annexe C : Création des supports d'installation de Windows et optez pour la clé USB.

Étape 2 : Démarrer la clé USB et lancer le processus d'installation de Windows 10 (OS caché)

• Insérez la clé USB dans votre ordinateur portable
• Voir l'annexe A : Installation de Windows et procéder à l'installation de Windows 10 Home.

Étape 3 : Paramètres de confidentialité (OS caché)

Voir l'annexe B : Paramètres de confidentialité supplémentaires de Windows

Étape 4 : Démarrage de l'installation de Veracrypt et du processus de chiffrement (OS caché)

N'oubliez pas de lire https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]


Ne connectez pas ce système d'exploitation à votre réseau Wi-Fi connu. Vous devez télécharger le programme d'installation de Veracrypt à partir d'un autre ordinateur et le copier ici à l'aide d'une clé USB.

• Installer Veracrypt
• Démarrez Veracrypt
• Allez dans Paramètres :
  
  • Paramètres > Options de performance/pilote > Encrypt RAM(notez que cette option n'est pas compatible avec la mise en veille prolongée de votre ordinateur portable et signifie que vous devrez l'éteindre complètement)
  • Système > Paramètres > Sécurité > Effacer les clés de la mémoire si un nouveau périphérique est inséré
  • Système > Paramètres > Windows > Activer le bureau sécurisé
• Allez dans Système et sélectionnez Créer un système d'exploitation caché.
• Lisez attentivement toutes les invites
• Sélectionnez Single-Boot si vous y êtes invité
• Créez le volume externe en utilisant AES et SHA-512.
• Utilisez tout l'espace disponible sur la deuxième partition pour le volume externe.
• Utiliser une phrase de passe forte (voir l'annexe A2 : Lignes directrices pour les mots de passe et les phrases de passe).
• Sélectionnez "oui" pour les fichiers volumineux.
• Créez un peu d'entropie en déplaçant la souris jusqu'à ce que la barre soit pleine et sélectionnez NTFS (ne sélectionnez pas exFAT car nous voulons que ce volume externe ait l'air "normal" et NTFS est normal).
• Formater le volume externe
• Ouvrez le volume externe :
  
  • A ce stade, vous devez copier des données de leurre sur le volume externe. Vous devez donc avoir des fichiers/dossiers sensibles et non sensibles à copier sur ce volume. Au cas où vous auriez besoin de révéler un mot de passe pour ce volume. C'est un bon endroit pour votre collection d'Anime/Mp3/Movies/Pornographie.
  • Je vous recommande de ne pas remplir le volume extérieur trop ou pas assez (environ 40 %). N'oubliez pas que vous devez laisser suffisamment d'espace pour le système d'exploitation caché (qui sera de la même taille que la première partition que vous avez créée lors de l'installation).
• Utilisez une phrase de passe forte pour le volume caché (évidemment différente de celle du volume externe).
• Maintenant vous allez créer le volume caché, sélectionnez AES et SHA-512
• Remplissez la barre d'entropie jusqu'à la fin avec des mouvements de souris aléatoires.
• Formatez le volume caché
• Procédez au clonage
• Veracrypt va maintenant redémarrer et cloner le Windows où vous avez commencé ce processus dans le volume caché. Cette fenêtre deviendra votre système d'exploitation caché.
• Lorsque le clonage est terminé, Veracrypt redémarre dans le système caché.
• Veracrypt vous informe que le système caché est maintenant installé et vous invite à effacer le système d'exploitation original (celui que vous avez installé précédemment avec la clé USB).
• Utilisez 1-Pass Wipe et continuez.
• Votre système d'exploitation caché est maintenant installé, passez à l'étape suivante.

Étape 5 : Redémarrez la clé USB et relancez le processus d'installation de Windows 10 (Decoy OS)

Maintenant que le système d'exploitation caché est complètement installé, vous devez installer un système d'exploitation leurre.

• Insérez la clé USB dans votre ordinateur portable
• Consultez l'annexe A : Installation de Windows et procédez à nouveau à l'installation de Windows 10 Home (n'installez pas une autre version et restez fidèle à Home).

Étape 6 : Paramètres de confidentialité (Decoy OS)

Voir l'annexe B : Paramètres de confidentialité supplémentaires de Windows

Étape 7 : Installation de Veracrypt et début du processus de chiffrement (Decoy OS)

Nous allons maintenant chiffrer le Decoy OS :

• Installer Veracrypt
• Lancer VeraCrypt
• Sélectionner System
• Sélectionnez Encrypt System Partition/Drive
• Sélectionner Normal (Simple)
• Sélectionner Single-Boot
• Sélectionnez AES comme algorithme de cryptage (cliquez sur le bouton de test si vous voulez comparer les vitesses)
• Sélectionnez SHA-512 comme algorithme de hachage (parce que pourquoi pas)
• Entrez un mot de passe court et faible (oui, c'est sérieux, faites-le, il sera expliqué plus tard).
• Collectez un peu d'entropie en déplaçant votre curseur au hasard jusqu'à ce que la barre soit pleine.
• Cliquez sur Next (suivant) pour afficher l'écran Generated Keys (clés générées)
• Sauvegarder ou non le disque, c'est à vous de décider. Je recommande d'en faire un (juste au cas où), mais assurez-vous de le stocker en dehors de votre disque crypté (clé USB par exemple, ou attendez de voir la fin de ce guide pour des conseils sur les sauvegardes sûres). Ce disque de secours ne stockera pas votre phrase d'authentification et vous en aurez toujours besoin pour l'utiliser.
• Mode effacement : Sélectionnez 1-Pass juste pour être sûr
• Pré-tester votre configuration. Veracrypt va redémarrer votre système pour tester le chargeur de démarrage avant le cryptage. Ce test doit être réussi pour que le cryptage puisse être effectué.
• Une fois que votre ordinateur a redémarré et que le test est réussi. Veracrypt vous demandera de lancer le processus de cryptage.
• Lancez le cryptage et attendez qu'il se termine.
• Votre Decoy OS est maintenant prêt à être utilisé.

Étape 8 : Testez votre installation (Démarrage dans les deux)

Il est temps de tester votre installation.

• Redémarrez et entrez votre phrase d'authentification pour l'OS caché, vous devriez démarrer dans l'OS caché.
• Redémarrez et entrez votre phrase de passe Decoy OS, vous devez démarrer dans Decoy OS.
• Lancez Veracrypt sur l'OS leurre et montez la deuxième partition en utilisant la phrase de passe du volume externe (montez-la en lecture seule, en allant dans Options de montage et en sélectionnant Lecture seule) et il devrait monter la deuxième partition en lecture seule en affichant vos données leurre (votre collection d'Anime/Porno). Vous la montez en lecture seule maintenant parce que si vous écriviez des données dessus, vous pourriez écraser le contenu de votre système d'exploitation caché.

Étape 9 : Modifier les données leurre sur votre volume externe en toute sécurité

Avant de passer à l'étape suivante, vous devez apprendre à monter votre volume externe en toute sécurité pour y écrire du contenu. Ceci est également expliqué dans cette documentation officielle de Veracrypt https://www.veracrypt.fr/en/Protection of Hidden Volumes.html [Archive.org]


Vous devez le faire à partir d'un endroit sûr et fiable.


En fait, vous allez monter votre volume externe tout en fournissant la phrase de passe du volume caché dans les options de montage afin de protéger le volume caché contre l'écrasement. Veracrypt vous permettra alors d'écrire des données sur le volume externe sans risquer d'écraser les données du volume caché.


Cette opération ne montera pas réellement le volume caché et devrait empêcher la création de preuves médico-légales qui pourraient conduire à la découverte du système d'exploitation caché. Cependant, pendant que vous effectuez cette opération, les deux mots de passe seront stockés dans votre mémoire vive et vous serez donc toujours susceptible d'être victime d'une attaque par démarrage à froid. Pour atténuer ce risque, assurez-vous d'avoir l'option de chiffrer également votre mémoire vive.

• Ouvrez Veracrypt
• Sélectionnez votre deuxième partition
• Cliquez sur Monter
• Cliquez sur Options de montage
• Cochez l'option "Protéger le volume caché..." Option
• Entrez la phrase de passe du système d'exploitation caché
• Cliquez sur OK
• Entrez votre phrase de passe pour le volume externe
• Cliquez sur OK
• Vous devriez maintenant être en mesure d'ouvrir et d'écrire sur votre volume externe pour en modifier le contenu (copier/déplacer/supprimer/modifier...).

Étape 10 : Laissez une preuve forensique de votre volume externe (avec les données du leurre) dans votre système d'exploitation leurre.

Nous devons rendre le système d'exploitation leurre aussi plausible que possible. Nous voulons également que votre adversaire pense que vous n'êtes pas si intelligent que cela.


C'est pourquoi il est important de laisser volontairement des preuves judiciaires de votre contenu leurre dans votre système d'exploitation leurre. Ces preuves permettront aux enquêteurs de voir que vous avez monté votre volume externe fréquemment pour accéder à son contenu.


Voici de bons conseils pour laisser des preuves médico-légales :

• Lisez le contenu du volume externe à partir de votre système d'exploitation leurre (en utilisant VLC par exemple). Veillez à conserver un historique de ces lectures.
• Modifiez les documents et travaillez-y.
• Activez à nouveau l'indexation des fichiers sur le système d'exploitation leurre et incluez le volume externe monté.
• Démontez-le et montez-le fréquemment pour regarder du contenu.
• Copiez du contenu de votre volume externe vers votre système d'exploitation leurre, puis supprimez-le de manière non sécurisée (mettez-le simplement dans la corbeille).
• Installez un client Torrent sur l'OS leurre et utilisez-le de temps en temps pour télécharger des contenus similaires que vous laisserez sur l'OS leurre.
• Vous pourriez installer un client VPN sur le Decoy OS avec un de vos VPN connus (non payés en espèces).

Ne mettez rien de suspect sur le Decoy OS tel que :

• Ce guide
• Tout lien vers ce guide
• Tout logiciel d'anonymat suspect tel que Tor Browser

Remarques.

Rappelez-vous que vous aurez besoin d'excuses valables pour que ce scénario de déni plausible fonctionne :


Prenez le temps de relire la section "Explications possibles de l'existence de deux partitions Veracrypt sur un seul disque" de la documentation Veracrypt ici https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]

• Vous utilisez Veracrypt parce que vous utilisez Windows 10 Home qui ne dispose pas de Bitlocker, mais vous voulez quand même de la confidentialité.
• Vous avez deux partitions parce que vous vouliez séparer le système et les données pour faciliter l'organisation et parce qu'un ami geek vous a dit que c'était mieux pour les performances.
• Vous avez utilisé un mot de passe faible pour faciliter le démarrage du système et une phrase de passe longue et forte sur le volume externe parce que vous étiez trop paresseux pour taper une phrase de passe forte à chaque démarrage.
• Vous avez chiffré la deuxième partition avec un mot de passe différent de celui du système parce que vous ne voulez pas que quelqu'un de votre entourage puisse voir vos affaires. Et donc, vous ne vouliez pas que ces données soient accessibles à qui que ce soit.

Soyez prudent :

• Vous ne devez jamais monter le volume caché à partir du système d'exploitation leurre (JAMAIS). Si vous le faites, cela créera des preuves médico-légales du volume caché dans le système d'exploitation leurre, ce qui pourrait compromettre votre tentative de déni plausible. Si vous l'avez quand même fait (intentionnellement ou par erreur) à partir du Decoy OS, il existe des moyens d'effacer les preuves médico-légales qui seront expliqués plus loin à la fin de ce guide.
• N'utilisez jamais l'OS leurre à partir du même réseau (Wi-Fi public) que l'OS caché.
• Lorsque vous montez le volume extérieur à partir de l'OS leurre, n'écrivez aucune donnée dans le volume extérieur car cela pourrait remplacer ce qui ressemble à de l'espace vide mais qui est en fait votre OS caché. Vous devez toujours le monter en lecture seule.
• Si vous souhaitez modifier le contenu du volume extérieur, vous devez utiliser une clé USB Live OS qui exécutera Veracrypt.
• Notez que vous n'utiliserez pas l'OS caché pour effectuer des activités sensibles, cela sera fait plus tard à partir d'une VM dans l'OS caché. Le système d'exploitation caché est uniquement destiné à vous protéger contre un adversaire logiciel qui pourrait accéder à votre ordinateur portable et vous obliger à révéler votre mot de passe.
• Faites attention à toute manipulation de votre ordinateur portable. Les attaques de type "Evil-Maid" peuvent révéler votre système d'exploitation caché.

 

[HEISENBERG]

Virtualbox sur votre système d'exploitation hôte.

Rappelez-vous l'annexe W : Virtualisation.


Cette étape et les suivantes doivent être réalisées à partir du système d'exploitation hôte. Il peut s'agir de votre système d'exploitation hôte avec un simple cryptage (Windows/Linux/MacOS) ou de votre système d'exploitation caché avec un déni plausible (Windows uniquement).


Dans cet itinéraire, nous utiliserons largement le logiciel gratuit Oracle Virtualbox. Il s'agit d'un logiciel de virtualisation dans lequel vous pouvez créer des machines virtuelles qui émulent un ordinateur exécutant un système d'exploitation spécifique (si vous souhaitez utiliser autre chose comme Xen, Qemu, KVM ou VMWARE, n'hésitez pas à le faire, mais cette partie du guide ne couvre que Virtualbox pour des raisons de commodité).


Vous devez donc savoir que Virtualbox n'est pas le logiciel de virtualisation qui a les meilleurs antécédents en termes de sécurité et que certains des problèmes signalés n'ont pas été complètement résolus à ce jour. Si vous utilisez Linux avec un peu plus de compétences techniques, vous devriez envisager d'utiliser KVM à la place en suivant le guide disponible sur Whonix ici https://www.whonix.org/wiki/KVM [Archive.org] et ici https://www.whonix.org/wiki/KVM#Why_Use_KVM_Over_VirtualBox.3F [Archive.org].


Certaines mesures doivent être prises dans tous les cas :


Toutes vos activités sensibles seront effectuées à partir d'une machine virtuelle invitée fonctionnant sous Windows 10 Pro (pas Home cette fois), Linux ou MacOS.


Cela présente quelques avantages qui vous aideront grandement à rester anonyme :

• Elle devrait empêcher le système d'exploitation de la VM invitée (Windows/Linux/MacOS), les applications et toute télémétrie au sein des VM d'accéder directement à votre matériel. Même si votre VM est compromise par un logiciel malveillant, ce logiciel malveillant ne devrait pas être en mesure d'accéder à la VM et de compromettre votre ordinateur portable.
• Cela nous permettra de forcer tout le trafic réseau de votre VM cliente à passer par une autre VM de passerelle qui dirigera (torifiera) tout le trafic vers le réseau Tor. Il s'agit d'un "kill switch" du réseau. Votre VM perdra complètement sa connectivité réseau et sera hors ligne si l'autre VM perd sa connexion au réseau Tor.
• La VM elle-même qui n'a de connectivité internet qu'à travers une passerelle du réseau Tor se connectera à votre service VPN payant à travers Tor.
• Les fuites DNS seront impossibles car la VM est sur un réseau isolé qui doit passer par Tor quoi qu'il arrive.

 

[HEISENBERG]

Choisissez votre méthode de connectivité.

Il y a 7 possibilités dans cet itinéraire :

• Recommandé et préféré :
  
  • Utiliser Tor seul (Utilisateur > Tor > Internet)
  • Utiliser le VPN sur Tor (Utilisateur > Tor > VPN > Internet) dans des cas spécifiques.
• Possible si le contexte l'exige :
  
  • Utiliser VPN over Tor over VPN (Utilisateur > VPN > Tor > VPN > Internet)
  • Utiliser Tor sur VPN (Utilisateur > VPN > Tor > Internet)
• Déconseillé et risqué :
  
  • Utiliser le VPN seul (Utilisateur > VPN > Internet)
  • Utiliser VPN sur VPN (Utilisateur > VPN > VPN > Internet)
• Non recommandé et très risqué (mais possible)
  
  • Pas de VPN ni de Tor (Utilisateur > Internet)

Tor uniquement.

C'est la solution préférée et la plus recommandée.

Avec cette solution, tout votre réseau passe par Tor et cela devrait être suffisant pour garantir votre anonymat dans la plupart des cas.


Il y a cependant un inconvénient majeur : certains services bloquent/interdisent carrément les nœuds Tor Exit et n'autorisent pas la création de comptes à partir de ces nœuds.


Pour pallier ce problème, vous pouvez envisager l'option suivante : Le VPN sur Tor, mais il faut tenir compte de certains risques associés à cette option, expliqués dans la section suivante.

VPN/Proxy sur Tor.

Cette solution peut apporter des avantages dans certains cas spécifiques par rapport à l'utilisation de Tor uniquement lorsque l'accès au service de destination serait impossible à partir d'un nœud Tor Exit. En effet, de nombreux services interdisent, entravent ou bloquent Tor (voir https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor [Archive.org]).


Comme vous pouvez le voir dans cette illustration, si votre VPN/Proxy payé en cash (de préférence)/Monero est compromis par un adversaire (malgré leur déclaration de confidentialité et leur politique de non-enregistrement), ils ne trouveront qu'un compte VPN/Proxy anonyme payé en cash/Monero se connectant à leurs services à partir d'un noeud de sortie Tor.

Si un adversaire parvient à compromettre le réseau Tor, il ne révélera que l'adresse IP d'un réseau Wi-Fi public aléatoire qui n'est pas lié à votre identité.


Si un adversaire compromet votre VM OS (avec un malware ou un exploit par exemple), il sera piégé dans le réseau interne de Whonix et ne pourra pas révéler l'IP du Wi-Fi public.


Cette solution a cependant un inconvénient majeur à prendre en compte : L'interférence avec l'isolation des flux Tor.


L'isolation des flux est une technique d'atténuation utilisée pour empêcher certaines attaques par corrélation en ayant des circuits Tor différents pour chaque application. Voici une illustration pour montrer ce qu'est l'isolation de flux :

(Illustration de Marcelo Martins, https://stakey.club/en/decred-via-tor-network/ [Archive.org])


Le VPN/Proxy sur Tor se situe du côté droit, ce qui signifie que l'utilisation d'un VPN/Proxy sur Tor force Tor à utiliser un circuit pour toutes les activités au lieu de plusieurs circuits pour chacune d'entre elles. Cela signifie que l'utilisation d'un VPN/Proxy sur Tor peut quelque peu réduire l'efficacité de Tor dans certains cas et ne devrait donc être utilisé que dans certains cas spécifiques :

• Lorsque votre service de destination n'autorise pas les nœuds de sortie Tor.
• Lorsque cela ne vous dérange pas d'utiliser un circuit Tor partagé pour différents services. Comme par exemple pour l'utilisation de différents services authentifiés.

Vous devriez cependant envisager de ne pas utiliser cette méthode lorsque votre objectif est simplement de naviguer au hasard sur divers sites web non authentifiés car vous ne bénéficierez pas de l'isolation des flux et cela pourrait faciliter les attaques par corrélation au fil du temps pour un adversaire entre chacune de vos sessions (voir Votre trafic Tor/VPN anonymisé). Si votre objectif est d'utiliser la même identité à chaque session sur les mêmes services authentifiés, la valeur de l'isolation des flux est moindre car vous pouvez être corrélé par d'autres moyens.


Vous devez également savoir que l'isolation des flux n'est pas nécessairement configurée par défaut sur Whonix Workstation. Elle n'est préconfigurée que pour certaines applications (y compris le navigateur Tor).


Notez également que l'isolation des flux ne modifie pas nécessairement tous les noeuds de votre circuit Tor. Il peut parfois n'en changer qu'un ou deux. Dans de nombreux cas, l'isolation des flux (par exemple dans le Tor Browser) ne changera que le noeud de relais (intermédiaire) et le noeud de sortie tout en conservant le même noeud de garde (d'entrée).


Plus d'informations à l'adresse suivante :

• https://www.whonix.org/wiki/Stream_Isolation [Archive.org]
• https://tails.boum.org/contribute/design/stream_isolation/ [Archive.org]
• https://www.whonix.org/wiki/Tunnels/Introduction#Comparison_Table [Archive.org]

Tor sur VPN.

Vous vous demandez peut-être : Qu'en est-il de l'utilisation de Tor sur VPN au lieu de VPN sur Tor ? Eh bien, je ne le ferais pas nécessairement :

• Inconvénients
  
  • Votre fournisseur de VPN n'est qu'un autre fournisseur d'accès à Internet qui connaîtra votre IP d'origine et pourra vous désanonymiser si nécessaire. Nous ne leur faisons pas confiance. Je préfère une situation où votre fournisseur de VPN ne sait pas qui vous êtes. Cela n'apporte pas grand-chose en termes d'anonymat.
  • Cela vous amènerait à vous connecter à divers services en utilisant l'IP d'un nœud de sortie Tor, qui est interdit ou signalé dans de nombreux endroits. Cela n'apporte rien en termes de commodité.
• Avantages :
  
  • Le principal avantage est que si vous êtes dans un environnement hostile où l'accès à Tor est impossible/dangereux/suspicieux, le VPN est acceptable.
  • Cette méthode ne rompt pas non plus l'isolation du flux Tor.

Remarque : si vous avez des difficultés à accéder au réseau Tor à cause du blocage/censure, vous pouvez essayer d'utiliser Tor Bridges. Voir l'annexe X : Utilisation des passerelles Tor dans les environnements hostiles.


Il est également possible d'envisager un VPN sur Tor sur VPN (Utilisateur > VPN > Tor > VPN > Internet) en utilisant deux VPN payés en espèces/Monero à la place. Cela signifie que vous connecterez l'OS hôte à un premier VPN à partir de votre Wi-Fi public, puis Whonix se connectera à Tor et enfin votre VM se connectera à un second VPN sur Tor over VPN ( voir https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]).


Cela aura bien sûr un impact significatif sur les performances et pourrait être assez lent, mais je pense que Tor est nécessaire pour atteindre un anonymat raisonnable.


Pour y parvenir techniquement, il est facile de suivre cet itinéraire, vous avez besoin de deux comptes VPN anonymes distincts et vous devez vous connecter au premier VPN à partir de l'OS hôte et suivre l'itinéraire.


Conclusion : Ne faites cela que si vous pensez qu'utiliser Tor seul est risqué/impossible mais que les VPNs sont acceptables. Ou simplement parce que vous le pouvez et pourquoi pas.

 

[HEISENBERG]

VPN uniquement.

Cette voie ne sera ni expliquée ni recommandée.


Si vous pouvez utiliser les VPN, vous devriez être en mesure d'ajouter une couche Tor par-dessus. Et si vous pouvez utiliser Tor, alors vous pouvez ajouter un VPN anonyme sur Tor pour obtenir la solution préférée.


Se contenter d'utiliser un VPN ou même un VPN par-dessus un VPN n'a aucun sens, car il est possible de remonter jusqu'à vous au fil du temps. L'un des fournisseurs de VPN connaîtra votre véritable IP d'origine (même si c'est dans un espace public sûr) et même si vous en ajoutez un par-dessus, le second saura toujours que vous utilisiez cet autre premier service VPN. Cela ne fera que retarder légèrement votre désanonymisation. Oui, il s'agit d'une couche supplémentaire ... mais il s'agit d'une couche supplémentaire persistante et centralisée et vous pouvez être désanonymisé au fil du temps. Il s'agit simplement d'un enchaînement de trois fournisseurs de services Internet qui sont tous soumis à des demandes légales.


Pour plus d'informations, veuillez consulter les références suivantes :

• https://www.whonix.org/wiki/Compari..._VPN_Services#Tor_and_VPN_Services_Comparison [Archive.org]
• https://www.whonix.org/wiki/Why_does_Whonix_use_Tor [Archive.org]
• https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]
• https://gist.github.com/joepie91/5a9909939e6ce7d09e29#file-vpn-md [Archive.org]
• https://schub.wtf/blog/2019/04/08/very-precarious-narrative.html [Archive.org]

Dans le contexte de ce guide, Tor est nécessaire quelque part pour obtenir un anonymat raisonnable et sûr et vous devriez l'utiliser si vous le pouvez.

Pas de VPN/Tor.

Si vous ne pouvez pas utiliser de VPN ou Tor là où vous vous trouvez, vous êtes probablement dans un environnement très hostile où la surveillance et le contrôle sont très élevés.


Ne le faites pas, cela n'en vaut pas la peine et c'est trop risqué IMHO. Vous pouvez être désanonymisé presque instantanément par n'importe quel adversaire motivé qui pourrait se rendre à votre emplacement physique en quelques minutes.


N'oubliez pas de consulter la rubrique Adversaires (menaces) et l'annexe S : Vérifiez si votre réseau est surveillé/censuré à l'aide d'OONI.


Si vous n'avez absolument aucune autre option et que vous voulez quand même faire quelque chose, consultez l'annexe P : Accéder à l'internet de la manière la plus sûre possible lorsque Tor/VPN n'est pas une option (à vos risques et périls) et envisagez plutôt l 'itinéraire Tails.

Conclusion.

Malheureusement, l'utilisation de Tor seul éveillera les soupçons de nombreuses plateformes de destination. Vous serez confronté à de nombreux obstacles (captchas, erreurs, difficultés d'inscription) si vous n'utilisez que Tor. En outre, l'utilisation de Tor là où vous vous trouvez pourrait vous attirer des ennuis pour cette seule raison. Mais Tor reste la meilleure solution pour l'anonymat et doit être utilisé quelque part pour l'anonymat.

• Si votre intention est de créer des identités partagées et authentifiées persistantes sur différents services où l'accès depuis Tor est difficile, je recommande l'option VPN sur Tor (ou VPN sur Tor sur VPN si nécessaire). Elle peut être un peu moins sûre contre les attaques par corrélation en raison de la rupture de l'isolation du flux Tor, mais elle offre un bien meilleur confort d'accès aux ressources en ligne que la simple utilisation de Tor. Il s'agit d'un compromis "acceptable" pour l'IMHP si vous êtes suffisamment prudent avec votre identité.
• Si votre intention est simplement de naviguer anonymement sur des services aléatoires sans créer d'identités partagées spécifiques, en utilisant des services compatibles avec Tor, ou si vous ne voulez pas accepter le compromis de l'option précédente, je vous recommande d'utiliser la route Tor Only. Dans ce cas, je vous recommande d'utiliser Tor uniquement pour conserver tous les avantages de l'isolation des flux (ou Tor sur VPN si vous en avez besoin).
• Si le coût est un problème, je recommande l'option Tor uniquement si possible.
• Si l'accès à Tor et au VPN est impossible ou dangereux, vous n'avez pas d'autre choix que d'utiliser les wi-fis publics en toute sécurité. Voir l'annexe P : Accéder à l'internet de la manière la plus sûre possible lorsque Tor et les VPN ne sont pas une option.

Pour plus d'informations, vous pouvez également consulter les discussions ici qui pourraient vous aider à prendre votre décision :

• Projet Tor : https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TorPlusVPN [Archive.org]
• Documentation Tails :
  
  • https://gitlab.tails.boum.org/tails/blueprints/-/wikis/vpn_support/ [Archive.org]
  • https://tails.boum.org/support/faq/index.en.html#index20h2 [Archive.org]
• Documentation Whonix (dans cet ordre) :
  
  • https://www.whonix.org/wiki/Tunnels/Introduction [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_Tor_before_a_VPN [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]
• Quelques articles sur le sujet :
  
  • https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]

 

[HEISENBERG]

Obtenez un VPN/Proxy anonyme.

Sautez cette étape si vous souhaitez utiliser Tor uniquement.


Voir l'annexe O : Obtenir un VPN/Proxy anonyme

Whonix.

Sautez cette étape si vous ne pouvez pas utiliser Tor.


Cette route utilisera la virtualisation et Whonix309 dans le cadre du processus d'anonymisation. Whonix est une distribution Linux composée de deux machines virtuelles :

• La station de travail Whonix (il s'agit d'une VM dans laquelle vous pouvez mener des activités sensibles)
• La passerelle Whonix (cette VM établira une connexion au réseau Tor et acheminera tout le trafic réseau de la station de travail à travers le réseau Tor).

Ce guide proposera donc 2 variantes de cette route :

• La route Whonix uniquement où tout le trafic est routé à travers le réseau Tor (Tor Only ou Tor over VPN).

Une route hybride Whonix où tout le trafic est acheminé à travers un VPN payé en cash (de préférence)/Monero sur le réseau Tor (VPN sur Tor ou VPN sur Tor sur VPN).

Vous serez en mesure de décider quelle saveur utiliser sur la base de mes recommandations. Je recommande le second comme expliqué précédemment.


Whonix est bien entretenu et dispose d'une documentation complète et incroyablement détaillée.

Une note sur les instantanés de Virtualbox.

Plus tard, vous créerez et exécuterez plusieurs machines virtuelles dans Virtualbox pour vos activités sensibles. Virtualbox propose une fonctionnalité appelée "Snapshots" qui permet de sauvegarder l'état d'une VM à tout moment. Si, pour une raison quelconque, vous souhaitez revenir à cet état, vous pouvez restaurer cet instantané à tout moment.


Je vous recommande vivement d'utiliser cette fonctionnalité en créant un instantané après l'installation initiale / la mise à jour de chaque VM. Cet instantané doit être réalisé avant leur utilisation pour toute activité sensible/anonyme.


Cela vous permettra de transformer vos machines virtuelles en une sorte de "système d'exploitation vivant" jetable (comme Tails dont il a été question plus haut). Cela signifie que vous pourrez effacer toutes les traces de vos activités au sein d'une VM en restaurant un Snapshot à un état antérieur. Bien entendu, cette méthode ne sera pas aussi efficace que Tails (où tout est stocké en mémoire), car des traces de cette activité pourraient subsister sur votre disque dur. Des études médico-légales ont montré qu'il était possible de récupérer des données à partir d'une VM inversée. Heureusement, il existe des moyens de supprimer ces traces après la suppression ou le retour à un instantané précédent. Ces techniques seront abordées dans la section Quelques mesures supplémentaires contre la criminalistique de ce guide.

Téléchargez Virtualbox et les utilitaires Whonix.

Vous devez télécharger quelques éléments dans le système d'exploitation hôte.

• La dernière version du programme d'installation de Virtualbox en fonction de votre système d'exploitation hôte https://www.virtualbox.org/wiki/Downloads [Archive.org]
• (Sautez cette étape si vous ne pouvez pas utiliser Tor en mode natif ou via un VPN) Le dernier fichier OVA de Whonix à partir de https://www.whonix.org/wiki/Download [Archive.org] selon vos préférences (Linux/Windows, avec une interface de bureau XFCE pour la simplicité ou seulement avec le client texte pour les utilisateurs avancés).

Ceci conclut les préparatifs et vous devriez maintenant être prêt à configurer l'environnement final qui protégera votre anonymat en ligne.

Recommandations de durcissement de Virtualbox.

Pour une sécurité optimale, vous devez suivre les recommandations fournies ici pour chaque machine virtuelle Virtualbox https://www.whonix.org/wiki/Virtualization_Platform_Security#VirtualBox_Hardening [Archive.org]:

• Désactiver l'audio.
• Ne pas activer les dossiers partagés.
• Ne pas activer l'accélération 2D. Cette opération s'effectue en exécutant la commande suivante VBoxManage modifyvm "vm-id" --accelerate2dvideo on|off
• N'activez pas l'accélération 3D.
• Ne pas activer le port série.
• Retirez le lecteur de disquettes.
• Retirez le lecteur de CD/DVD.
• Ne pas activer le serveur d'affichage à distance.
• Activer PAE/NX (NX est une fonction de sécurité).
• Désactiver l'interface ACPI (Advanced Configuration and Power Interface). Cette opération s'effectue en exécutant la commande suivante VBoxManage modifyvm "vm-id" --acpi on|off
• Ne pas attacher de périphériques USB.
• Désactivez le contrôleur USB qui est activé par défaut. Définissez le périphérique de pointage sur "PS/2 Mouse" ou les changements seront annulés.

Enfin, suivez également cette recommandation pour désynchroniser l'horloge de votre VM par rapport à celle de votre système d'exploitation hôte https://www.whonix.org/wiki/Network...oof_the_Initial_Virtual_Hardware_Clock_Offset [Archive.org]


Ce décalage doit se situer dans une fourchette de 60000 millisecondes et doit être différent pour chaque VM. Voici quelques exemples (qui peuvent être appliqués ultérieurement à n'importe quelle VM) :

• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset +27931
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset +27931

Envisagez également d'appliquer ces mesures d'atténuation à partir de VirtualBox pour atténuer les vulnérabilités Spectre/Meltdown en exécutant cette commande à partir du répertoire des programmes de VirtualBox. Toutes ces mesures sont décrites ici : https://www.whonix.org/wiki/Spectre_Meltdown [Archive.org] (sachez que ces mesures peuvent avoir un impact important sur les performances de vos machines virtuelles, mais qu'elles doivent être appliquées pour une meilleure sécurité).


Enfin, vous pouvez consulter les conseils de sécurité de Virtualbox eux-mêmes à l'adresse suivante : https://www.virtualbox.org/manual/ch13.html [Archive.org]

 

[HEISENBERG]

Tor ou VPN.

Sautez cette étape si vous n'avez pas l'intention d'utiliser Tor over VPN et si vous avez seulement l'intention d'utiliser Tor ou ne pouvez pas.


Si vous avez l'intention d'utiliser Tor over VPN pour quelque raison que ce soit, vous devez d'abord configurer un réseau privé virtuel (VPN). Vous devez d'abord configurer un service VPN sur votre système d'exploitation hôte.


Rappelez-vous que dans ce cas, je recommande d'avoir deux comptes VPN. Tous deux payés en espèces/Monero (voir Annexe O : Obtenir un VPN/Proxy anonyme). L'un sera utilisé dans le système d'exploitation hôte pour la première connexion VPN. L'autre pourra être utilisé dans la VM pour réaliser un VPN sur Tor sur VPN (Utilisateur > VPN > Tor > VPN).


Si vous avez l'intention de n'utiliser que Tor over VPN, vous n'avez besoin que d'un seul compte VPN.


Voir l'annexe R : Installation d'un VPN sur votre VM ou votre système d'exploitation hôte pour les instructions.

 

[HEISENBERG]

Machines virtuelles Whonix.

Passez cette étape si vous ne pouvez pas utiliser Tor.

• Démarrez Virtualbox sur votre système d'exploitation hôte.
• Importez le fichier Whonix dans Virtualbox en suivant les instructions sur https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org]
• Démarrer les VM Whonix

Rappelez-vous à ce stade que si vous avez des problèmes de connexion à Tor à cause de la censure ou du blocage, vous devriez envisager de vous connecter en utilisant Bridges comme expliqué dans ce tutoriel https://www.whonix.org/wiki/Bridges [Archive.org].

• Mettez à jour les VM Whonix en suivant les instructions sur https://www.whonix.org/wiki/Operating_System_Software_and_Updates#Updates [Archive.org]
• Arrêtez les VM Whonix
• Prenez un instantané des VM Whonix mises à jour dans Virtualbox (sélectionnez une VM et cliquez sur le bouton Prendre un instantané). Nous y reviendrons plus tard.
• Aller à l'étape suivante

Note importante : Vous devriez également lire ces très bonnes recommandations sur https://www.whonix.org/wiki/DoNot [Archive.org] car la plupart de ces principes s'appliquent également à ce guide. Vous devriez également lire leur documentation générale ici https://www.whonix.org/wiki/Documentation [Archive.org] qui fournira également des tonnes de conseils comme ce guide.