23 décembre 2008

Illusoire anonymat

Je reçois beaucoup d'emails me questionnant sur ce sujet, et je me rends compte que ce que je tiens pour évident, du fait de ma profession, ne l'est pas pour tout le monde.

Je tiens ce blog en utilisant le pseudonyme "Zythom".
Je m'en suis déjà clairement expliqué dans ce billet et dans celui-ci.

Mon anonymat n'est pas celui du dénonciateur anonyme.

Notre Maître à tous explique très bien les raisons de son anonymat. Je n'irai pas le paraphraser...

Aliocha, journaliste anonyme qui tient le blog "La Plume d'Aliocha", a très bien expliqué l'intérêt des masques pour l'écriture dans son billet "impérieux anonymat".

Néanmoins, j'ai parfaitement conscience que cet anonymat est tout relatif.
Qui mieux que moi est bien placé pour savoir qu'il suffit d'une demande officielle de la justice pour lever cet anonymat?

Quels sont alors les éléments techniques qui permettent à un expert judiciaire, ou à un officier de police judiciaire, de "remonter" jusqu'à la personne physique? Comment procèdent-ils?

Pour illustrer la démarche, je vais prendre mon propre cas.

En tout premier lieu, en copier/collant Maître Eolas, j'existe. J'ai vérifié ce matin auprès d'experts, médecins, juristes et philosophes, qui m'ont tous confirmé mon existence. Aucun doute n'est plus permis là dessus.

Je blogue principalement depuis la maison, ou depuis mon lieu de travail lors de ma pause repas-saladette. Accessoirement depuis un hôtel ou des amis. Plus rarement depuis un point d'accès Wifi en libre service (un bar, ou un banc public à Paris).

1) Depuis la maison.
J'utilise les services d'une entreprise de télécommunication qui relie mon domicile à Internet via un réseau téléphonique. Autrement dit un fournisseur d'accès internet (FAI). Lorsque je souhaite me connecter à Internet, cette entreprise doit me fournir un numéro qui identifie chaque machine connectée à Internet. Ce numéro s'appelle l'adresse IP. A un instant t, ce numéro est affecté à une machine unique, et le FAI a l'obligation légale de conserver l'historique précis des affectations "adresse IP / abonné".
Ainsi, lorsque vous surfez sur un site, vous y laissez la trace de votre passage sous la forme de votre adresse IP. Celle-ci identifie le FAI (car il dispose d'un paquet d'adresses IP qu'il est le seul à gérer) et il suffit de lui demander le nom de l'abonné à qui telle adresse IP a été affectée tel jour à telle heure.
Bien, mais comment faire pour accéder aux données de consultation du site http://zythom.blogspot.com pour y retrouver l'adresse IP de son auteur?
Et bien, il suffit de demander tout cela poliment à l'hébergeur du site, dont les coordonnées doivent apparaître de façon très claire sur le site. Dans le cas de ce blog, vous trouverez toutes ces informations (et plus encore) dans les mentions légales.
En résumé: fichiers de log des connexions du blog -> adresse IP utilisée par l'auteur -> FAI -> identité de l'abonné -> blogueur.

2) Depuis le lieu de travail.
La situation est la même puisque le lieu de travail vous connait et que l'informaticien de votre entreprise sait qui utilise l'accès internet. La loi lui demande de conserver également les fichiers de connexions afin de pouvoir remonter jusqu'au compte informatique utilisé.
En résumé: fichiers de log des connexions du blog -> adresse IP utilisée par l'auteur -> FAI -> entreprise -> fichiers de connexions internet -> compte informatique utilisé -> blogueur.

3) Depuis un hôtel.
La situation est la même que depuis le lieu de travail car l'hôtel vous connait et que la loi lui demande de conserver également les fichiers de connexions afin de pouvoir remonter jusqu'au compte informatique utilisé par le locataire de la chambre.
En résumé: fichiers de log des connexions du blog -> adresse IP utilisée par l'auteur -> FAI -> hôtel -> fichiers de connexions internet -> compte wifi utilisé -> blogueur.

4) Chez un ami.
Les choses commencent à se compliquer...
En effet, comme dans le cas du surf depuis la maison, il est facile de remonter jusqu'à l'abonné du fournisseur d'accès à internet (votre ami). Et là, c'est à lui d'expliquer à la maréchaussée qui a utilisé sa liaison internet tel jour à telle heure...

5) Depuis un accès Wifi public en libre service.
Dans ce cas, le côté "public" de l'accès rend le surf complètement anonyme. Sauf si le blogueur est habitué d'un bar précis (ou d'un banc de Paris particulier)...

6) Les problèmes.
Ils sont nombreux, et je n'en présenterai que quelques uns.
- l'adresse IP peut être modifiée dans les fichiers de log du blog, du lieu de travail ou du FAI;
- il peut y avoir un problème de datation (heure d'été/d'hiver, dérive de l'horloge du serveur, etc.);
- l'informaticien de votre entreprise ne connait pas nécessairement toutes ses obligations légales;
- remonter jusqu'à l'identité d'un abonné n'implique pas qu'il soit la bonne personne (famille, amis, borne wifi mal protégée utilisée par le voisinage, etc.);
- les comptes informatiques dans les entreprises sont parfois utilisés par plusieurs personnes, ou protégés par des mots de passe triviaux;
- les réseaux d'anonymisation brouillent sérieusement les pistes (Tor, Freenet, I2P, etc.) mais ne sont pas infaillibles.

Pour ma part, j'ai fait le choix d'une certaine transparence: je blogue sous pseudonyme, mais mon identité est facile à obtenir via une décision judiciaire.
Et comme je le mentionne ici, beaucoup de monde la connait déjà.

J'assume pleinement tous les billets que j'ai écrits.

Mais que mon masque ne vous empêche pas d'accepter mes vœux les plus sincères pour les fêtes de Noël et de fin d'année. Pour ma part, je vais hiberner quelques temps pour profiter de ma famille, tout en préparant quelques billets, entre autres sur les suites de ce billet. My God, what a teaser!

-------------------
Image via darkroastedblend.com

6 commentaires:

  1. Bonjour Zythom, fidèle lecteur de votre blog, informaticien de métier, j'ai appris beaucoup de choses fortes intéressantes, techniquement notamment, mais pas seulement, en vous lisant. J'espère que vous tiendrez bon façe à vos éventuelles menaces déontologiques pour ne pas priver vos fidèles lecteurs du plaisir de vous lire.
    Joyeuses fêtes de fin d'année et longue vie encore à votre blog dans sa forme actuelle !
    Thierry.

    RépondreSupprimer
  2. Combien de temps les FAI doivent-ils garder les traces? Ca en fait qd même de l'info....

    RépondreSupprimer
  3. @Guillaume: Je ne suis pas juriste, mais je crois que l'article R10-13 du code des postes et des communications électroniques s'applique. Il indique une durée de un an:

    I. - En application du II de l'article L. 34-1 les opérateurs de communications électroniques conservent pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales :

    a) Les informations permettant d'identifier l'utilisateur ;
    b) Les données relatives aux équipements terminaux de communication utilisés ;
    c) Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ;
    d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
    e) Les données permettant d'identifier le ou les destinataires de la communication.

    II. - Pour les activités de téléphonie l'opérateur conserve les données mentionnées au I et, en outre, celles permettant d'identifier l'origine et la localisation de la communication.

    III. - La durée de conservation des données mentionnées au présent article est d'un an à compter du jour de l'enregistrement.

    IV. - Les surcoûts identifiables et spécifiques supportés par les opérateurs requis par les autorités judiciaires pour la fourniture des données relevant des catégories mentionnées au présent article sont compensés selon les modalités prévues à l'article R. 213-1 du code de procédure pénale.

    RépondreSupprimer
  4. Un bémol au sujet des hôtels. En général, il y a une clef WEP ou WPA donnée par le réceptionniste, changée peu souvent.

    1) Il est probable que le voisinage peut casser les clefs WEP et utiliser gratis le WiFi de l'hôtel (il existe des logiciels spécialisés).

    2) De toute façon, le gérant de l'hôtel n'a aucune idée au sujet duquel de ses clients a fait telle ou telle connexion.

    À la limite, il pourrait logguer les correspondances entre adresses MAC et adresses locales, et les connexions externes. Mais

    a) Chacun peut choisir de changer d'adresse MAC.

    b) À ma connaissance, aucun routeur ADSL/WiFi ne loggue les connexions.

    Bref, je ne vois pas très bien comment remonter à un client particulier. Bien sûr, on peut dire que si quelqu'un a posté un commentaire diffamatoire contre M. Duschmoll depuis l'hôtel où résidait justement cette nuit là M. Dupont, ennemi notoire de Duschmoll, et qu'aucun autre des clients n'avait de rapport avec Duschmoll... mais je ne sais pas si cela tiendrait en justice

    RépondreSupprimer
  5. Salut,
    Je ne suis pas vraiment d'accord avec Zythom sur la traçabilité de l'IP en entreprise lorsque la solution technique du NAT est en place.
    Les 'sessions' de chaque poste de l'informatique interne apparaissent toutes publiquement avec la même IP. Donc, se présenter avec comme unique information un couple IP/plage horaire est parfaitement inexploitable. Il faut au moins un 'objet'(url), évidement loggué par le SI interne et suffisamment discriminant (pas simplement 'www.google.com' par exemple).

    Franck

    RépondreSupprimer
  6. @Franck:
    Un responsable informatique est responsable du système qu'il a mis en place. Personnellement, pour couvrir mes obligations légales, j'ai mis en place un proxy Squid transparent sur la passerelle qui fait le NAT afin de conserver une trace de chaque connexion, avec l'IP du poste d'entreprise concerné.
    J'ai également mis en place une traçabilité des connexions sur les postes de travail.
    Voilà, voilà...

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.