Abonnez-vous à DeepL Pro pour traduire des fichiers plus volumineux.

Visitez www.DeepL.com/pro pour en savoir plus.

Page|I

Table des matières

1 INTRODUCTION...............................................................................................................1
2 CONFIGURER WINDOWS...............................................................................................2

2.1 DONNÉES TÉLÉMÉTRIQUES ................................................................................................................................2

2.1.1 O&O ShutUp10++ : L'outil antispy gratuit pour Windows 10 et 11..................................................4

2.1.2 Adresse MAC.....................................................................................................................................4

2.2 SCANNEUR DE VIRUS ........................................................................................................................................5

3 SYSTÈMES LINUX ...........................................................................................................7

3.1 MATÉRIEL INFORMATIQUE...............................................................................................................................12

3.2 PARE-FEU ....................................................................................................................................................13

3.2.1 Pare-feu non simplifié (UFW)..........................................................................................................13

3.2.2 Pare-feu QubesOS...........................................................................................................................15

4 PROTÉGER LES DONNÉES ...........................................................................................15

4.1 MOTS DE PASSE ............................................................................................................................................16

4.1.1 KeePassXC - Gestionnaire de mots de passe ...................................................................................16

4.1.2 Communication de mots de passe aux autorités de poursuite pénale .............................................16

4.1.3 Arrestation par la police (prononcer "saisie") ..................................................................................17

4.2 CRYPTAGE ...................................................................................................................................................17

4.2.1 VeraCrypt........................................................................................................................................17

4.3 SUPPRIMER DES DONNÉES EN TOUTE SÉCURITÉ ....................................................................................................25

4.3.1 Privazer...........................................................................................................................................25
5 SURF.................................................................................................................................26

5.1 NAVIGATEUR MULLVAD .................................................................................................................................26

 P a g e | II

5.2 NAVIGATEUR TOR .........................................................................................................................................27

6 VPN...................................................................................................................................28
7 DNS...................................................................................................................................30
8 CHATTEN ........................................................................................................................33

8.1 JABBER / PIDGIN ...........................................................................................................................................33

8.1.1 Off the Record (OTR) ......................................................................................................................33

8.2 PGP...........................................................................................................................................................34
9 LAVER LE BITCOIN.......................................................................................................35
BIBLIOGRAPHIE......................................................................................................................II
ANNEXE ..................................................................................................................................III
 Peite|1

1 Introduction

Dans l'ère numérique dans laquelle nous vivons aujourd'hui, l'anonymat joue un rôle de plus
en plus important. Mais pour atteindre un niveau d'anonymat réussi, nous devons comprendre
que la protection de notre identité ne dépend que pour 10 % de la technologie utilisée. Les
90% restants sont déterminés par des facteurs que nous, en tant qu'utilisateurs, pouvons
maîtriser.
Il est donc essentiel d'améliorer nos connaissances sur les possibilités et les limites des
méthodes cryptographiques comme première étape vers un anonymat efficace. Cet aspect
représente 60% de la réussite globale. Dans notre tutoriel, nous allons donc nous pencher en
détail sur les dernières techniques de cryptage et te montrer comment les utiliser efficacement
pour protéger ton identité. Mais même les meilleures connaissances sur les techniques
d'anonymat sont inutiles si nous n'avons pas la discipline nécessaire pour les appliquer de
manière cohérente. En effet, l'efficacité de l'anonymat dépend à 30% de la discipline des
utilisateurs. Nous allons donc nous pencher sur cet aspect et te donner de précieux conseils sur
la manière d'améliorer ta discipline et de maintenir ton anonymat. En combinant ces trois
piliers fondamentaux - la technologie utilisée, notre connaissance des possibilités et des
limites, et notre discipline en tant qu'utilisateurs - nous serons en mesure d'élever la protection
de notre identité à un niveau sans précédent.
Alors, mes lecteurs avides de connaissances, plongeons dans les secrets de l'anonymat.
Ensemble, nous franchirons les frontières du monde numérique et développerons une
compréhension qui fera de nous de véritables maîtres du camouflage. Prêt à lever le voile de
l'anonymat ? Alors, commençons !
 Peite|2

2 Configurer Windows
Dans Windows 10, le Device-based Tracking a été étendu. Un "Unique Advertising ID" est
généré pour chaque compte sur l'ordinateur. Cet ID est également mis à la disposition de tiers
pour une identification unique.
Données privées collectées par Microsoft dans la configuration standard :

• Les données de localisation de tous les appareils fonctionnant sous Windows sont
transmises à Microsoft. Le GPS ou les réseaux locaux sans fil sont utilisés de
préférence pour déterminer l'emplacement le plus précisément possible.

• Windows Defender transmet toutes les applications installées.

• Les données de contact des amis et des connaissances sont transmises à Microsoft si
l'on utilise des outils de Microsoft comme carnet d'adresses.

• L'UUID unique que Windows envoie lors de la communication avec les serveurs
Microsoft (par ex. lors des mises à jour de logiciels) est utilisé par la NSA et le GCHQ
comme sélecteur pour les opérations d'accès taylorisé (TAO) afin d'attaquer de
manière ciblée les ordinateurs de personnes ou d'entreprises intéressantes.

• Les clés de récupération générées automatiquement par le système de cryptage

Bitlocker font également partie des données que MS collecte dans son nuage et met à
la disposition de la NSA/FBI/CIA.

2.1 Données télémétriques

Windows 10 réagit à 1.000 - 1.200 événements qui déclenchent un message de log, lequel est
ensuite transmis aux serveurs de télémétrie de Microsoft.

Microsoft Office envoie encore plus de données. Avec le package MS Office Pro Plus, vous
payez 23.000.
25.000 événements déclenchent une transmission de données télémétriques. 20 à 30 équipes
travaillent à l'analyse des données, Microsoft n'ayant pas de vue d'ensemble sur les produits
qui transmettent des données. Le BSI a examiné de plus près les données de télémétrie pour
Windows 10 dans l'analyse SiSyPHuS Win10 (titre digne d'un prix). Le BSI est arrivé à la
conclusion que la transmission des données de télémétrie dans Windows 10 "Basic" ne peut
pas être entièrement désactivée par des paramètres. Pour se protéger contre la frénésie de
collecte de données, le BSI recommande d'activer les connexions
 Peite|3

vers les serveurs de télémétrie Windows au niveau DNS et de bloquer la résolution des noms
DNS en adresses IP. Ce blocage doit être effectué en dehors de Windows, car Windows
Defender bloque l'utilisation habituelle du fichier "%windir%\system32\dri-
vers\etc\hosts" pour bloquer les serveurs de suivi au niveau DNS à cette fin.

On peut notamment utiliser les solutions suivantes :

1. La liste des serveurs de télémétrie pourrait être gérée dans une liste noire sur le
routeur. Presque tous les routeurs offrent cette fonction de blocage des noms DNS et il
suffit de gérer une liste à un seul endroit pour tous les ordinateurs du réseau
domestique.
Dans une Fritzbox, on trouve la liste noire DNS sous "Internet - Filtres - Listes" :

2. Si l'on exploite un résolveur DNS central comme Pi-hole dans le réseau local, on peut
bloquer les noms DNS pour les serveurs de télémétrie avec la W10TelemetryBlocklist
de RPiList.
3. Si un proxy central est utilisé pour l'ensemble du trafic externe dans le réseau local, les
connexions aux serveurs de télémétrie peuvent également être bloquées sur le proxy. Le
BSI publie un exemple de configuration pour squid.
4. Le BSI publie la liste suivante de serveurs de suivi MS (mai 2022, Windows 10 21H2)
 Peite|4

2.1.1 O&O ShutUp10++ : L'outil antispy gratuit pour Windows 10 et 11

O&O ShutUp10++ vous permet de contrôler les fonctionnalités de Windows 10 et Windows

11 que vous souhaitez utiliser et les données que vous ne souhaitez pas partager. Dans une
interface utilisateur simple, vous pouvez régler facilement la manière dont Windows 10 et
Windows 11 doivent respecter votre vie privée. Des recommandations vous guident et vous
donnent des conseils sur les fonctions qui peuvent être désactivées en toute sécurité.

2.1.2 Adresse MAC

En théorie, chaque appareil réseau dans le monde peut être identifié par son adresse MAC. Une
des motivations pour masquer sa propre adresse MAC est la protection de la vie privée dans
les réseaux WLAN publics, par exemple chez le voisin. Une des raisons est que les adresses
MAC dans les réseaux LAN ou WLAN publics sont généralement envoyées sans être
cryptées. Chaque participant au réseau peut ainsi savoir quel appareil est connecté au réseau et
lire les adresses matérielles correspondantes.
Technitium MAC Address Changer permet aux utilisateurs de gérer facilement les cartes
réseau via une interface utilisateur claire. L'outil freeware offre une
 Peite|5

Aperçu de toutes les connexions, donne les adresses MAC actuelles du matériel utilisé et
contient une fonction permettant de les modifier en appuyant sur un bouton.

Mais on peut aussi utiliser des adresses matérielles aléatoires sous Windows 11 dans les
paramètres "Réseau et Internet".

2.2 Scanneur de virus

Pour 90% des utilisateurs de Windows, un scanner de virus est un outil de sécurité
indispensable, mais seuls 7% des experts en sécurité considèrent les scanners de virus comme
utiles. Pourquoi les experts en sécurité sont-ils si sceptiques et qualifient-ils ce groupe de
produits d'huile de serpent ?

1. Les scanners de virus sont des logiciels complexes qui contiennent toujours eux-
mêmes de graves erreurs pouvant être exploitées par un pirate. En particulier, les
analyseurs syntaxiques pour les formats de fichiers complexes et exotiques
contiennent toujours des erreurs. (Lacunes critiques dans les scanners antivirus de
Symantec et Norton, Trend Micro, Comodo, Kaspersky...). Étant donné qu'un antivirus
est profondément ancré dans le système et qu'il a un accès complet à tous les
composants du système, un attaquant peut compromettre complètement le système en
exploitant les bugs de l'antivirus sans que l'utilisateur ne s'en rende compte. En outre,
l'implémentation de fonctions de sécurité par les développeurs de logiciels (p. ex. la
mise en œuvre conséquente d'ASLR) est entravée par les antivirus, comme l'a rapporté
l'ancien développeur de Firefox Robert O'Callahan. Il conseille de les désinstaller.
Conclusion : les antivirus rendent les ordinateurs peu sûrs.
 Peite|6

2. De nombreux scanners de virus brisent le cryptage de transport TLS des navigateurs

web et des clients de messagerie afin de scanner les contenus cryptés. Il s'agit d'une
attaque classique de l'homme du milieu avec l'accord des utilisateurs. La sécurité du
cryptage TLS est ainsi massivement affaiblie (par ex. chez Kaspersky ou Eset). Les
navigateurs Web modernes offrent de nombreuses fonctions de sécurité pour TLS,
comme Strict Trasport Security (HSTS), Certificate Pinning (HKPS) ou, avec des
modules complémentaires, DANE/TLSA Va- lidation. En règle générale, les
virescanners ne maîtrisent pas ces fonctions de sécurité. (Je ne connais aucun produit
du secteur de l'huile de serpent avec ces fonctions de sécurité). Certains scanners de
virus ne maîtrisent même pas le TLS 1.2 moderne et rétrogradent le cryptage à la
version faible TLS 1.0.
Conclusion : les fabricants d'AV font preuve d'une négligence grave en matière
d'interception HTTPS.
3. En installant un antivirus, l'utilisateur renonce pratiquement à sa souveraineté en
matière d'installation de logiciels. C'est la tâche d'un antivirus de supprimer les
logiciels que le fabricant du logiciel juge inappropriés. Cela peut également conduire à
la désinstallation de logiciels que le client ne doit pas utiliser.
4. En règle générale, les virus grand public n'utilisent pas d'exploits 0day pour
compromettre les systèmes. Les attaques relativement coûteuses utilisant des exploits
0day ne sont utilisées que pour des attaques ciblées sur des cibles particulières, et non
pour des virus. Les virus informatiques exploitent généralement des failles connues
depuis longtemps dans les logiciels, qui ont été publiées dans différentes sources après
leur élimination par le fabricant du logiciel. Des mises à jour régulières des logiciels
utilisés et une configuration sûre du système protègent mieux contre les attaques de
virus qu'un antivirus.
Remarque : la configuration sécurisée implique en premier lieu de régler les
paramètres du Contrôle de compte d'utilisateur sur le niveau de sécurité le plus élevé.
Il est regrettable que Microsoft n'active pas cette fonction de sécurité par défaut.
5. Les virescanners commerciaux ne peuvent (et ne veulent ?) pas protéger contre de
puissants pirates qui attaquent une cible de manière ciblée avec des chevaux de Troie
subventionnés par l'État. C'est ce que l'on a pu constater avec les publications sur la
cyberarme "Regin" de la NSA.
a. Fox-IT a d'abord trouvé le cheval de Troie lors de l'analyse du cambriolage
chez #Belacom. Cependant, rien n'a été publié et les signatures n'ont pas été
ajoutées à la base de données virale. Ronald Prins de Fix-IT a déclaré après la
publication d'informations sur "Regin" par The Intercept en nov. 2014 : "Nous
 Peite|7

ne voulions pas entraver les opérations de la NSA et du GCHQ. Tout le

monde semblait a t t e n d r e que quelqu'un d'autre donne d'abord des détails
sur
 Peite|8

Regin, car ils ne voulaient pas entraver des opérations légitimes liées à la
sécurité glo- bale".
b. Le cheval de Troie a ensuite été analysé par Symantec, qui n'a rien publié non
plus. Vikram Thakur de Symantec a déclaré en nov. 2014 en guise d'excuse :
"Nous avions déjà analysé Regin l'année dernière, mais nous ne nous
sommes sentis à l'aise que maintenant pour publier des détails".
c. En été 2014, "Regin" a été retrouvé sur l'ordinateur portable d'une
collaboratrice de la chancellerie allemande. Cet incident a été passé sous silence
jusqu'en décembre 2014, date à laquelle le journal Bild l'a publié à grand
renfort de publicité (après la publication de "The Intercept"). Au début, le
gouvernement fédéral n'a pas voulu commenter ce nouveau cas d'espionnage
de la NSA et a démenti à demi-mot.
d. Ce n'est qu'après l'annonce par The Intercept de la publication d'un rapport sur
Regin que les entreprises de lutte contre les virus ont réagi et ont également
publié leurs connaissances.

Est-il possible que les entreprises aient agi par anticipation et n'aient pas eu besoin d'être
mises sous pression ? Est-ce que cela s'applique également aux produits de FinFischer ou aux
chevaux de Troie gouvernementaux de la société italienne HackingTeam ?

3 Systèmes Linux
Il existe une multitude de distributions Linux, si bien qu'en tant qu'utilisateur potentiel, on est
d'abord confronté à l'embarras du choix : Debian et ses dérivés, OpenSuSE, OpenMandriva,
Fedora, Gentoo pour les bricoleurs, des mini-distributions comme Puppy ou Fortress Linux en
tant que variante particulièrement durcie... Je ne connais pas toutes les distributions, loin s'en
faut, alors je me contente de quelques réflexions.
Avec toutes les distributions Linux, on obtient, après un processus d'installation simple et
réalisable même par des non-initiés, un système opérationnel avec beaucoup plus de logiciels
qu'avec Windows ou MacOS. En même temps, le système est largement personnalisable et
sous le contrôle de l'utilisateur, qui peut être "root". Un utilisateur de Windows qui change de
système d'exploitation cherchera en vain les programmes connus, il n'y a pas de Photoshop,
d'Explorateur Windows ou de MS Office, mais il existe de nombreuses alternatives. Rien ne
m'a jamais manqué.
 Peite|9

Les distributions d'origine Debian :

• Debian est une distribution Linux robuste avec un grand choix de logiciels. Les
mainteneurs s'efforcent surtout d'assurer la stabilité des nombreux paquets de logiciels
plutôt que d'offrir les dernières fonctionnalités. En combinaison avec les longs cycles
de release, il en résulte un système qui a souvent des problèmes avec les logiciels et le
matériel (ordinateurs portables) tout neufs, mais qui fonctionne longtemps de manière
stable après l'installation. (Pour un poste de travail, je préférerais MX Linux).

• MX Linux est basé sur Debian et est disponible avec XFCE ou KDE Desktop. Les
bureaux ont été enrichis de quelques outils qui facilitent le travail des personnes qui
passent de Windows à Linux. Pour résoudre les problèmes de Debian avec le nouveau
matériel actuel, les versions avec "Advanced Hardware Support" sont disponibles avec
un noyau Linux plus récent et de nouveaux pilotes graphiques.

• Ubuntu était censée être la meilleure Debian, avec un cycle de re-lancement fixe et
planifié. Avec des logiciels plus récents, le nouveau matériel doit être mieux pris en
charge. Le projet suit souvent ses propres voies, qui sont parfois douteuses. Le
transfert de toutes les recherches effectuées sur le bureau à des tiers comme Amazon a
par exemple été un fiasco pour la vie privée. En outre, il existe d'autres outils
envahissant la vie privée dans Ubuntu, qui contactent constamment des serveurs
Ubuntu. Certains peuvent être désinstallés, comme le crash reporter "apport" et l'outil
de soumission "whoopsie", qui contacte quotidiennement le serveur daisy.ubuntu.com.
La désinstallation de logiciels superflus est également utile pour la sécurité. Un bug
dans le Crash Reporter apport a pu être utilisé pendant des années pour compromettre
l'ordinateur à distance.
Ubuntu LTS (Long Term Support) : outre la distribution mise à jour tous les six mois,
Ubuntu existe dans une version LTS qu'il convient de mettre complètement à jour tous
les deux ans. Le Long Term Support ne s'applique qu'aux 2.300 paquets du Main
Repository. Le reste des 45.000 paquets n'est parfois mis à jour que de manière
insuffisante ou sporadique avec des supdates de sécurité.
Ubuntu Pro propose des abonnements payants pour les entreprises avec 10 ans de
support pour le dépôt Main (2.300 paquets) et le dépôt Universe (23.000+ paquets)
ainsi que quelques petites fonctionnalités supplémentaires comme le logiciel
cryptographique certifié FIPS. Pour les utilisateurs privés, il existe un abonnement
gratuit pour 5 ordinateurs maximum (pour cela, il faut créer un compte chez Ubuntu
One). L'offre se positionne comme un concurrent direct de RedHat Enterprise Linux.
 P e i t e | 10

Si vous avez créé un compte Ubuntu One et obtenu un jeton pour la sous-option
Ubuntu Pro, vous pouvez activer les dépôts pour les mises à jour à long terme et plus
rapides : sudo pro attach <Token>.
Ensuite, le système peut être mis à jour avec la commande habituelle : sudo apt full-
upgrade
Xubuntu, Kubuntu, Lubuntu ou Ubuntu Budgie sont des dérivés dans lesquels un autre
bureau est installé par défaut. Ils reprennent bien sûr entièrement la structure d'Ubuntu.
Il est possible de télécharger les dérivés et de les tester en direct avant l'installation
pour voir si cela vous convient mieux ou si vous les trouvez plus jolis. Remarque :
l'activation d'Ubuntu Pro est également recommandée pour ces dérivés.

• Linux Mint est la meilleure Ubuntu et offre avec Cinnamon un bureau élégant qui
convient particulièrement aux personnes qui passent à Windows. L'installation
standard offre un joli bureau entièrement équipé sans paquets Snap et sans outils
envahissant la vie privée comme "whoopsie". Avec Linux Mint Debian Edition
(LMDE), il existe également une variante basée sur Debian.

• ElementayOS utilise également le système de base d'Ubuntu et y place un bureau

élégant qui s'inspire fortement du design de MacOS. Toutes les applications sont
installées sous forme de flatpacks. Cela permet d'une part d'avoir des applications très
actuelles et présente d'autre part l'inconvénient de nécessiter beaucoup de ressources,
car les flatpacks apportent eux-mêmes les bibliothèques nécessaires et ne les partagent
pas avec d'autres applications. Avant le téléchargement, les développeurs demandent
une donation, mais il est possible d'indiquer 0 $.

Distributions d'origine RHEL :

• RHEL (RedHat Enterprise Linux) est une distribution Linux commerciale pour
laquelle on ne peut obtenir des mises à jour que si l'on achète une licence. RedHat se
concentre sur la sécurité dans l'environnement commercial et propose donc
l'intégration de SELinux et un choix de logiciels nettement plus restreint que Debian
(surtout dans le domaine du multimédia). Une version majeure de RHEL est
entièrement maintenue pendant 10 ans, ce qui est important pour le domaine de la
sécurité. La différence entre Debian et RedHat en matière de logiciels se remarque
déjà aux petits outils système comme "top". RedHat ne propose par défaut que "top",
tandis que Debian propose également des dérivés comme "htop" ou "atop". Ces
dérivés ne peuvent être installés dans RedHat que si l'on intègre en plus des dépôts
externes.
 P e i t e | 11

• Fedora est la version communautaire de RedHat, pour laquelle on peut obtenir des
mises à jour même sans licence. Lors de l'installation, Fedora suit une autre voie, plus
axée sur la sécurité, que les dérivés d'Ubuntu. Seul un système très minimal est installé
au lieu d'un bureau entièrement équipé et il faut installer ultérieurement les logiciels
nécessaires. Par défaut, Fedora n'installe pas de paquets Office et n'offre qu'un très
maigre support multimédia. Pour obtenir un bon support multimédia comparable à
celui d'Ubuntu, il est possible d'intégrer le dépôt RPMfusion et d'installer les paquets
multimédias souhaités (ce qui peut toutefois présenter des inconvénients en termes de
sécurité si l'on installe des codecs "mauvais" ou "moches"). On pourrait par exemple
installer le lecteur VLC : sudo dnf install vlc
Les nouvelles versions de Fedora sont publiées tous les six mois. Les mises à jour sont
fournies pour un an + quelques semaines. Il n'y a pas de versions Long Term Support
(LTS) comme pour les dérivés Ubuntu, ce qui fait que l'on doit régulièrement
actualiser complètement son système. En revanche, on obtient un système qui est
toujours innovant et à jour. Outre la version standard avec le bureau GNOME, il
existe, comme pour Ubuntu, les Fe- dora Spins avec des bureaux alternatifs comme
KDE, XFCE, LXDE, LXQT, Mate, Cinna- mon, Budgy ou SWAY. On peut
télécharger les images ISO des spins et les essayer en tant que système live avant de se
décider et d'installer une version de manière permanente.

Distributions de versions roulantes :

Une fois installée, une petite mise à jour permet d'être toujours à la pointe du développement
logiciel : telle est la philosophie des distributions Rolling Release.

• Arch Linux est le grand classique des distributions à versions mobiles.

• Manjaro est la version améliorée d'Arch Linux, qui s'adresse en particulier aux
personnes qui passent à Windows, avec un bureau élégant.

• Void Linux est un projet complètement indépendant, qui n'a pas été créé comme
scission d'une autre distribution. C'est un Linux allégé (sans systemd). Les systèmes
live (XFCE) peuvent être essayés sans danger et ensuite installés avec le com- mando
suivant : sudo void-installer

Pour éviter les problèmes lors des mises à jour, il est conseillé de mettre à jour les distributions
rolling release régulièrement et à intervalles rapprochés, afin que les modifications apportées à
l'ensemble du système restent minimes.
 P e i t e | 12

Distributions immuables :
Dans le cas des distributions immuables, l'ensemble du système d'exploitation est intégré en
tant qu'image non modifiable en lecture seule. Les mises à jour sont également fournies sous
forme d'image complète. Les logiciels supplémentaires sont généralement installés sous forme
de paquets plats (programmes GUI) ou dans des conteneurs (démons et outils CLI sous forme
de paquets binaires). Il existe également des outils permettant d'intégrer des logiciels
supplémentaires dans les images système, mais cela est déconseillé.

• Silverblue (GNOME Desktop) ou Kinoite (KDE Desktop) sont des systèmes de

bureau immuables basés sur Fedora. Outre les paquets plats, les boîtes à outils sont
également supportées en tant que conteneurs.
o Un conteneur n'est pas un environnement fermé comme une VM. Un nouveau
conteneur fournit initialement le même environnement que l'hôte. On peut lire
les données dans $HOME depuis le système hôte, mais les modifications ne
sont disponibles qu'à l'intérieur du conteneur.

o Dans un conteneur, il est possible d'installer, de com- piler, de tester, etc. des
logiciels de manière tout à fait normale avec "dnf". Ces logiciels
supplémentaires ne sont disponibles que dans ce conteneur.

• Vanilla OS est un système de bureau immuable basé sur Ubuntu, qui se veut convivial
pour les débutants. Outre les paquets plats, il est possible d'installer des logiciels
supplémentaires via "apx".

Les distributions immuables (non modifiables) sont une base pour les développeurs de
logiciels et autres bricoleurs qui aiment jouer avec leur appareil et s'énervent lorsque
l'installation se casse en cours de route.

Une distribution Linux pour des exigences de sécurité particulières :

• Qubes OS est une distribution Linux particulière. Toutes les applications fonctionnent
dans plusieurs machines virtuelles séparées avec un hyperviseur minimal basé sur
Xen, qui surveille les systèmes invités et ne leur laisse qu'un accès limité au matériel.
Qubes OS offre :
o Protection par une forte isolation des différentes applications
o accès réseau séparé pour chacune des VMs
o protection contre les BadUSB Devices grâce à une VM proxy pour les
périphériques USB, qui permet de contrôler quels périphériques USB sont
disponibles dans les VM de travail
 P e i t e | 13

o intégration graphique étendue des machines virtuelles, y compris les couleurs

pour délimiter visuellement les VM entre elles

o Les fichiers provenant de sources non sûres peuvent être affichés, édités ou
convertis en "trusted PDF" dans Disposable VMs (cette protection n'est
toutefois efficace que si l'on désactive la génération de vignettes dans le
gestionnaire de fichiers !)

QubesOS est basé sur Fedora, mais contient également un modèle pour les VM Debian et
Whonix (Tor Onion Router). Dans les templates Fedora de QubesOS, l'utilisation des repo-
sitories RPMfusion est déjà préparée, il suffit de les activer :

• sudo dnf config-manager --set-enabled rpmfusion-free

• sudo dnf config-manager --set-enabled rpmfusion-free-updates

L'inconvénient est qu'elle nécessite beaucoup plus de mémoire que d'autres distributions et
qu'elle "décourage" le travail avec l'ordinateur.

3.1 Matériel informatique

Matériel compatible avec Linux pour des exigences de sécurité particulières :

• Les NitroPads sont basés soit sur des Thinkpad Business Lap- tops un peu plus
anciens et robustes de Lenovo (X230, T430), soit sur des ordinateurs portables
modernes de NovaCustom (NS50, NV42).
o L'intégrité du BIOS de Coreboot, du TPM et du noyau du système
d'exploitation est vérifiée à l'aide d'une Nitrokey Pro ou d'une Nitrokey
Storage, qui est branchée avant le démarrage et qui clignote en vert si tout est
OK (protection BIOS Tamper).

o Les ordinateurs portables sont livrés avec Ubuntu LTS ou QubesOS comme
système d'exploitation. Un cryptage complet du disque dur est mis en place -
prêt à l'emploi. Il suffit de changer le mot de passe LUKS et le code PIN de la
Nitrokey.

o L'Intel Management Engine est désactivé et l'équipement matériel est

configurable.
 P e i t e | 14

o L'écran 12,5" du X230 est vraiment petit. Sur le bureau, un écran

supplémentaire, une souris et un clavier sont recommandés pour travailler de
manière ergonomique.

• Les ordinateurs portables Purism (Librem 14, Librem 15) et le Librem Mini offrent
également des fonctions de sécurité spéciales qui font défaut sur le matériel standard :
o Un BIOS Coreboot réduit est utilisé. L'intégrité du BIOS peut être vérifiée
avec la Librem Key (protection BIOS Tamper).

o La Librem Key peut également être utilisée comme clé pour le cryptage
complet du disque. C'est une Nitrokey modifiée qui peut être utilisée comme
clé OpenPGP ou SSH, comme stockage de mots de passe et comme jeton OTP
pour l'authentification à deux facteurs.
o Les Hardware Kill Switches pour le microphone, la caméra, le Wi-Fi et le
Bluetooth protègent contre les attaques qui transforment l'appareil en un
mouchard espion (NSA : GUMFISH).

Le système d'exploitation PureOS installé par défaut est toutefois négligé. Il est recommandé
d'installer QubesOS, qui est bien entretenu, à la place de PureOS. Les ordinateurs portables
Purism sont compatibles avec QubesOS 4.0.

3.2 Pare-feu

Il existe des distributions Linux orientées vers la sécurité, comme RHEL ou QubesOS, qui
installent par défaut un pare-feu et une interface utilisateur graphique pour la configuration,
qui bloquent dans un premier temps toutes les tentatives de connexion de l'extérieur. De
nombreuses distributions grand public comme Ubuntu(s), Linux Mint, ARCH Linux ou
Manjaro/KDE renoncent à un pare-feu lors de l'installation standard ou ne l'activent pas
automatiquement après l'installation.

3.2.1 Pare-feu non compliqué (UFW)

UFW est un pare-feu facile à configurer pour Debian, Ubuntu(s), Linux Mint, ARCH Linux
ou Manjaro, que l'on peut installer et mettre en service rapidement. Linux Mint et Manjaro
installent le pare-feu par défaut mais ne l'activent pas automatiquement. Dans De- bian et
Ubuntu(s), l'installation se fait par une commande :
 P e i t e | 15

• sudo apt install ufw

Après avoir installé UFW, il faut encore activer le pare-feu :

• sudo ufw enable

Le résultat est un pare-feu qui bloque toutes les tentatives de connexion de l'extérieur, mais
qui permet aux programmes lo- caux de communiquer avec l'extérieur. Pour de nombreux
utilisateurs, cela est probablement suffisant. Des adaptations sont possibles.

Il est possible de débloquer certains services qui doivent être accessibles de l'extérieur :

• sudo ufw allow ssh

La suppression du partage se fait en ajoutant un "delete" :

• sudo ufw delete allow ssh

La liste des services prédéfinis peut être consultée à l'aide de la commande suivante :

• sudo ufw app list

L'état du pare-feu peut être vérifié à l'aide de la commande suivante :

• sudo ufw status verbose

Et si l'on veut repartir de zéro :

• sudo ufw reset

Il ne faut pas oublier le trafic DNS. Il est possible d'indiquer plusieurs serveurs DNS.
Remarque : si l'on souhaite également bloquer le trafic HTTP et n'autoriser que le trafic
HTTPS, il faut activer le mode HTTPS seul dans le navigateur et désactiver la validation des
certificats TLS via le serveur OCSP.

Il existe un frontal graphique GUFW que l'on installe avec son gestionnaire de paquets préféré,
s'il n'est pas déjà présent, avec Debian/Ubuntu :

• sudo apt install gufw

 P e i t e | 16

3.2.2 Pare-feu QubesOS

QubesOS contient par défaut un pare-feu qui fonctionne dans sa propre VM. Dans la
configuration par défaut, les services dans les VM de travail ne peuvent pas être atteints, mais
toutes les connexions sont possibles à partir des VM de travail. Dans les paramètres de chaque
VM, il est possible de bloquer complètement le trafic de données en désactivant la mise en
réseau. Il est également possible d'appliquer des paramètres de pare-feu restrictifs en
n'autorisant les connexions sortantes que pour certains protocoles.

Remarque : lorsque des noms DNS sont indiqués dans les règles de pare-feu, ils sont convertis
une fois en adresses IP au démarrage du pare-feu et les adresses IP sont utilisées dans les
règles actives. Cela fonctionne, mais n'est pas optimal. On pourrait calculer soi-même les
adresses IP et les inscrire dans les règles de pare-feu si les adresses sont stables.

4 Protéger les données

On se rend compte que le cryptage des données sert à préserver la sphère privée au plus tard
lorsqu'une clé USB est perdue. En cas de vol d'un ordinateur portable, on ne souhaite
certainement pas voir sa collection privée de photos sur Internet (à l'exception des photos que
l'on a déjà mises en ligne sur Facebook et autres).
 P e i t e | 17

4.1 Mots de passe

4.1.1 KeePassXC - Gestionnaire de mots de passe

KeePassXC Pour des raisons de sécurité, la plupart des programmes et services Internet
nécessitent aujourd'hui de nombreux mots de passe, et surtout des mots de passe différents.
"KeePassXC" est parfait pour garder une vue d'ensemble sur une grande liste de données
d'accès.
Les mots de passe sont enregistrés dans une base de données et cryptés avec Rijndael 256 bits.
Ce cryptage est plus sûr que la moyenne et est notamment utilisé par les banques. Pour que
vous soyez le seul à accéder à vos données, scellez la base de données avec un mot de passe
master ou créez un fichier clé pour déverrouiller KeePass au moyen d'une clé USB ou d'un
DVD.

4.1.2 Communication de mots de passe aux autorités chargées de l'application de la loi

Il existe toujours des malentendus concernant la remise de clés aux autorités de poursuite
pénale en cas de saisie du support de données. En Allemagne, les dispositions légales
suivantes s'appliquent à l'accès aux supports de données :

• Si l'enquête vise le propriétaire de l'ordinateur ou du support de données, il n'est pas

nécessaire de donner les clés ou les mots de passe, car on ne doit pas s'incriminer soi-
même.
 P e i t e | 18

• Si l'enquête porte sur des tiers, le témoin est tenu de fournir des clés et des mots de
passe pour soutenir les poursuites pénales, à deux exceptions près :
o On peut invoquer le droit de refuser de témoigner pour ne pas avoir à
incriminer des parents au premier degré.
o On peut ou assure de manière crédible( !) que l'on s'incriminerait soi-même.

En cas de doute, il est préférable de consulter un avocat si l'on se trouve dans cette situation.

4.1.3 Arrestation par la police (prononcer "saisie")

Les autorités policières savent qu'il existe un cryptage puissant pour les disques durs, qui ne
peut pas être décrypté lorsqu'ils sont éteints. C'est pourquoi les spécialistes de l'arrestation de
la SEK, entre autres, sont formés à prendre possession des ordinateurs en état de marche lors
de l'"accès" et à faire une sauvegarde des données non cryptées.

• Ross Ulbricht (l'opérateur de Silk Road 2.0) a été arrêté alors qu'il administrait son
service Tor Hidden. Le FBI a pu s'emparer de l'ordinateur portable allumé et saisir
comme preuve les sessions de connexion actives sur les serveurs du site de trafic de
drogue. Ce n'était certainement pas un hasard, mais bien une intention.
• L'exploitant allemand d'un commerce d'armes illégal sur le web profond a pu, lors de
son arrestation, arracher du pied le câble d'alimentation de son ordinateur portable sans
batterie et activer ainsi le cryptage. Mais la SEK avait sans aucun doute pour mission
de saisir l'ordinateur portable lorsqu'il était allumé.

4.2 Cryptage
4.2.1 VeraCrypt

Pour obtenir la protection maximale possible avec Veracrypt, il faut toujours choisir un autre
chiffrement pour le cryptage lors de la création d'un conteneur et ne pas adopter la valeur par
défaut. Ainsi, même un attaquant doit essayer la voie lente et tester tous les crypteurs. Le
choix du chiffrement n'a pas d'importance, l'essentiel est de ne pas utiliser AES.
 P e i t e | 19

Windows est un système d'exploitation peu sûr, même le mot de passe lors de la configuration
de Windows ne peut pas faire grand-chose. Vos secrets doivent donc être bien protégés. Avec
ces instructions, vous pouvez crypter l'ensemble de votre disque dur avec VeraCrypt.

Téléchargez VeraCrypt et lancez le logiciel. Sur l'écran principal, cliquez sur Système dans le
menu, puis sur Partition système/Cryptage de disque.

Type de cryptage du système

L'option Normal est tout à fait suffisante. Le cryptage caché n'a de sens que si quelqu'un peut
être contraint de décrypter sous la menace de violence ou de conséquences juridiques.

Domaine du cryptage

Sélectionne Crypter tout le disque, le chargeur de démarrage est ainsi crypté en même temps.
Si cela n'est pas disponible, c'est parce que le chargeur de démarrage est désactivé/activé dans
le BIOS ou à cause de secure-boot. Cela se produit également lorsque plus d'un disque dur est
installé.

Si cela vous semble trop difficile, le chiffrement de la partition Windows est également un
très bon choix et une solution sûre contre toute tentative de décryptage du disque dur.
 P e i t e | 20

Nombre de systèmes d'exploitation

L'option par défaut est Un système d'exploitation. Plusieurs systèmes d'exploitation est lorsque
plusieurs systèmes d'exploitation sont installés simultanément sur votre ordinateur.

Choisir l'algorithme de cryptage

Ici, vous devriez adopter le Kuznyechik et le RIPEMD-160. Seul un système crypté avec ces
technologies, comme par exemple AES, est lui-même difficile à craquer.
 P e i t e | 21

Choisir un mot de passe

Il s'agit d'une étape particulièrement importante. Suivez les recommandations indiquées dans
la fenêtre et utilisez un mot de passe d'au moins vingt caractères combinant des lettres
majuscules et minuscules, des chiffres et des caractères spéciaux. Le cryptage le plus
compliqué ne sert à rien si votre mot de passe peut être facilement craqué.
 P e i t e | 22

Collecter des données aléatoires

Lors de cette étape, VeraCrypt génère la clé de cryptage avec des données générées
aléatoirement par les mouvements de la souris. Les clés générées automatiquement sont
considérées comme moins sûres. Il suffit de déplacer votre souris de manière aléatoire
pendant un certain temps, puis de cliquer sur Suivant.

Créer une clé

VeraCrypt affiche ici une partie de la clé générée pour contrôle. Clique sur Suivant.
 P e i t e | 23

Support de données de sauvetage

Dans cette étape, VeraCrypt crée un disque de secours. Cette étape peut être ignorée, il ne
serait pas judicieux pour les autorités d'avoir un disque de secours avec lequel elles peuvent
décrypter votre système, non ?

Effacer en toute sécurité

Lors du cryptage, VeraCrypt copie toutes les données sous forme codée sur de nouvelles
zones du disque dur. Les données avec le paramètre par défaut None sont simplement effacées
et pourraient théoriquement être récupérées avec des outils spéciaux. C'est pourquoi nous
choisissons 35-Gutmann.
 P e i t e | 24

Pré-test de cryptage du système

Démarrer le test de cryptage Avant que VeraCrypt ne commence le cryptage, un test de sécurité
doit être effectué. L'ordinateur redémarre et vous devez entrer le mot de passe que vous avez
choisi auparavant. Commencez le processus en cliquant sur Test

Redémarrer le système et indiquer le mot de passe

Au redémarrage de l'ordinateur, la demande de mot de passe de VeraCrypt apparaît avant le

logo Windows. Saisissez ici le mot de passe que vous avez choisi auparavant et appuyez sur
Entrée.

Test préliminaire terminé

Après le démarrage, VeraCrypt se charge automatiquement. Si aucun problème n'est apparu,

vous pouvez commencer le cryptage. Pour ce faire, cliquez sur Chiffrer.
 P e i t e | 25

Votre disque dur est maintenant entièrement crypté. Vous devez indiquer le mot de passe à
chaque démarrage du système. Ce n'est qu'alors que vous pourrez accéder à vos données.
Même en démontant le disque dur et en accédant au système de fichiers depuis Linux, vous ne
pourrez pas accéder à vos données.

Conseils pour les utilisateurs de Windows !

Désactiver la fonction "Auto-Update" de Windows (important pour les utilisateurs de Win10,

afin de ne pas se retrouver dans la boucle de réparation après une mise à jour automatique
suite à un chiffrement avec VeraCrypt) :

"Recherche Windows">"Gestion de l'ordinateur">"Services et

applications">"Services">Rechercher l'entrée "Windows Update">Double-clic>Régler "Type
de démarrage" sur "désactivé">"Appliquer">Confirmer avec "OK".

Désactiver le message "Formater le support de données" (par ex. pour les clés USB cryptées
VC, dès qu'elles sont insérées) :

"Recherche Windows">"services.msc", confirmer avec "Entrée">Rechercher l'entrée

"Détection de matériel shell">Double-clic>Appuyer sur "Quitter" >Définir "Type de
démarrage" sur "désactivé">"Appliquer">Confirmer avec "OK".

(Ce paramètre permet également de désactiver le POP-UP, quel que soit le support de données
inséré. Les clés USB qui sont reconnues par le système Windows se trouvent malgré tout dans
la liste sous "Ordinateurs".
 P e i t e | 26

4.3 Effacer les données en toute sécurité

Pour les SSD, la fonction TRIM doit être activée. Les cellules de mémoire d'un bloc sont
rétablies à leur état initial quelque temps après la suppression du fichier. Il n'est pas nécessaire
de prendre d'autres mesures pour un effacement sécurisé.

4.3.1 Privazer

Privazer est un outil de sécurité pour Windows capable d'effacer différents types de données
sensibles et de protéger ainsi la vie privée de l'utilisateur. Le logiciel, également disponible
avec une interface en allemand, prend en compte des informations telles que les cookies, les
journaux de messagerie, l'occupation de la mémoire, les entrées de démarrage ou les listes
d'index. Pour ce faire, le logiciel analyse aussi bien les lecteurs internes qu'externes, par
exemple les disques durs, les disques SSD et les clés USB. Le logiciel analyse potentiellement
tous les supports de données connectés (lecteurs internes, lecteurs externes, clés USB, lecteurs
MP3, cartes SD, stockage en réseau) à la recherche de traces Internet, de cookies, de journaux
de messagerie, de traces d'utilisation de logiciels, d'entrées dans le registre, d'historique
Windows, d'occupations de mémoire, d'entrées de démarrage, de listes d'index, de fichiers
temporaires ou de fichiers journaux. Vous pouvez ainsi supprimer facilement les fichiers
inutiles ou ceux qui restreignent votre sphère privée. Dans les options avancées, vous pouvez
encore modifier les processus de suppression afin de vous assurer qu'aucune donnée ne puisse
être récupérée.
 P e i t e | 27

5 Surfer
Pour ceux qui souhaitent surfer sans laisser de traces, je recommande deux navigateurs, le
navigateur Tor et le navigateur Mullvad.

5.1 Navigateur Mullvad

Le navigateur Mullvad est fourni par le fournisseur de VPN Mullvad en collaboration avec
TorProject.org. Il s'agit d'un TorBrowserBundle dans lequel le Tor Onion Router a été
supprimé et remplacé par un peu de publicité pour le service VPN de Mullvad. Avec ce
navigateur, Mullvad souhaite s'attaquer aux problèmes de suivi typiques de la navigation
anonyme via les VPN. Le navigateur Mullvad peut également être utilisé sans VPN. En ce qui
concerne la protection contre le tracking, le navigateur Mullvad suit le concept de
TorProjekt.org (pas de stockage de données à long terme et immersion dans un groupe
d'anonymat). Il n'existe cependant pas de groupe d'anonymat pour tous les utilisateurs du
navigateur Mullvad. Comme certaines caractéristiques restent spécifiques au système
d'exploitation et dépendent également du niveau de sécurité choisi, plusieurs groupes
d'anonymat apparaissent.

Adaptation de la configuration

Étant donné que le concept d'anonymat du navigateur Mullvad repose sur le fait que le plus
grand nombre possible d'utilisateurs utilisent le navigateur dans la même configuration, afin
de former des groupes d'anonymat spécifiques au système d'exploitation, seules quelques
modifications de configuration sont raisonnablement recommandées.

• Il ne faut pas modifier la taille de la fenêtre du navigateur, car il s'agit d'une

caractéristique de tra- cking fréquemment utilisée. Le navigateur démarre avec les
valeurs optimales pour le groupe d'anonymat.

• La barre d'outils des signets peut être affichée en permanence avec la combinaison de
touches CTRL+SHIFT+B. Comme l'historique de navigation n'est pas enregistré, on a
souvent besoin de signets.

• L'icône Mullvad avec la publicité pour le service VPN peut être supprimée de la barre
d'outils (si elle dérange). Pour cela, il suffit de cliquer avec le bouton droit de la souris
sur la barre d'outils et de sélectionner l'option de menu "Customize Toolbar...". Par
glisser-déposer, on peut ensuite retirer l'icône.
 P e i t e | 28

• Comme pour TorBrowser, il est possible d'adapter le niveau de sécurité en deux clics
et de limiter les techniques web dangereuses. Le niveau moyen est un bon compromis.

5.2 Navigateur Tor

Le TorBrowserBundle contient un Firefox modifié ainsi que le Tor Daemon pour différents
systèmes d'exploitation. L'installation est simple. Il suffit de télécharger l'archive appropriée
sur la page de téléchargement, de la décompresser et d'appeler le script de démarrage de
TorBrowser.

Tor Onion Router

Tor utilise un réseau de 6.000 à 7.000 nœuds répartis dans le monde entier. Dans ce pool, 3
nœuds sont à chaque fois sélectionnés pour une route qui change fréquemment. Le cryptage
en forme d'oignon garantit l'anonymat de la communication. Même si deux nœuds d'une route
ont été compromis, une observation par des tiers n'est pas possible. Comme la route change
constamment, il faudrait qu'une grande partie du réseau soit compromise pour pouvoir
désanonymiser un utilisateur de manière fiable. On peut supposer que les services secrets de
différents pays sont également actifs sur le réseau Tor et il convient de respecter les consignes
de sécurité : ne transmettre les données sensibles que par des connexions cryptées SSL, ne pas
simplement cliquer sur les avertissements SSL, désactiver les cookies et le Javascript... Tor
est alors un outil idéal pour les utilisateurs anonymes.
 P e i t e | 29

de communication. Tor Onion Router protège également le trafic de données contre les
attaques de services secrets puissants comme la NSA. En l'état actuel de la technique, il est
pratiquement impossible de calculer mathématiquement le cryptage et de désanonymiser les
utilisateurs sur la base du flux de données.

Les attaques visant à désanonymiser les utilisateurs de Tor se concentrent généralement sur
l'application client (par ex. le navigateur Web). Dans plusieurs cas connus, l'exploitation de
bugs de sécurité dans le navigateur Tor a permis d'installer un petit cheval de Troie sur
l'ordinateur des personnes ciblées, qui détermine les adresses IP et MAC de l'ordinateur et les
envoie à un serveur de l'agresseur.

6 VPN
Les réseaux privés virtuels (VPN) ont été conçus pour relier des points finaux de confiance
via des réseaux non sécurisés. Un VPN protège contre les attaques suivantes :

• Un VPN protège conceptuellement contre les attaquants qui ne pourraient que renifler
le trafic VPN crypté. C'est le modèle d'attaque qui est à la base du concept.

• En outre, les VPN modifient l'adresse IP propre qu'un service Internet peut voir. Un
VPN peut protéger contre le tracking par l'adresse IP et contourner certains blocages
géo-IP.
• Un VPN ne protège PAS contre les attaquants qui, en plus du trafic VPN crypté,
peuvent également observer le trafic non crypté qui sort derrière le serveur. Les VPN
ne sont donc PAS des services d'anonymisation bon marché.

Recommandation de sécurité du BSI et de la NSA pour les VPN à "sécurité de niveau

militaire

Dans leurs recommandations pour les VPN avec des exigences de sécurité élevées (pour les
gouvernements, l'armée, etc.), le BSI et la NSA donnent quelques conseils généraux que l'on
peut en partie respecter et mettre en œuvre facilement même si l'on n'a pas d'exigences de
sécurité extrêmes.

• L'utilisation d'un tunnel TLS quelconque sur la couche 4 de l'OSI pour les connexions
VPN devrait être évitée. Cela n'entre pas non plus en ligne de compte comme solution
de repli (donc pas de
 P e i t e | 30

OpenVPN). Le cryptage doit être effectué au niveau de la couche 3, afin que les en-têtes
TCP soient également cryptés.
• Pour les exigences de sécurité élevées, IPsec/IKEv2 est recommandé avec les suites de
chiffrement actuelles.
• Les adresses IP des points finaux doivent être configurées de manière fixe et ne
doivent pas dépendre de la résolution de noms DNS des serveurs DNS, sur laquelle on
n'a aucun contrôle.
• L'authentification des utilisateurs ne doit pas se faire avec des mots de passe, mais
avec des certificats stockés dans un module de sécurité matériel externe (donc p. ex.
Nitrokey HSM). L'infrastructure à clés publiques qui gère les certificats des
utilisateurs ne doit pas être exposée sur Internet.
• Les fonctions d'administration à distance des serveurs VPN ne doivent être accessibles
que via VPN et ne doivent pas être exposées sur Internet, quelle que soit
l'authentification utilisée.

Si l'on compare les offres concrètes des fournisseurs de VPN avec cette liste, le blabla des
relations publiques sur la "sécurité de niveau militaire" disparaît en général très rapidement.

Technologies VPN

Les logiciels nécessaires pour un VPN sont disponibles pour différents standards en tant que
logiciels open source :

• OpenVPN : est un grand classique. Le logiciel fonctionne sur la couche OSI 4 (TCP,
UDP) et utilise TLS pour crypter le trafic de données entre deux points d'extrémité. Il
fonctionne de manière similaire à HTTPS dans le navigateur. Une fois qu'un tunnel
TLS crypté a été établi, les données sont envoyées à travers ce tunnel crypté. Dans le
cas de HTTPS dans le navigateur, le trafic HTTP est transporté à travers ce tunnel et
dans le cas de l'Open VPN, toutes les données passent par le tunnel TLS. Les
connexions client-2-serveur et serveur-2-serveur sont prises en charge.

• IPsec : travaille un niveau plus bas au niveau IP (OSI Layer 3) et offre donc une plus
grande robustesse contre les pirates, car les en-têtes TCP sont également cryptés. La
norme IPsec est complexe et se compose de plusieurs parties indépendantes :
o Internet Key Exchange (IKE v1/v2) pour l'échange et la gestion des clés
o Authenticated Header (AH) pour l'authentification des appareils et des
utilisateurs
o Encapsulating Security Payload (ESP) pour le cryptage des données
 P e i t e | 31

o IPsec peut non seulement sécuriser des connexions point à point, mais aussi
réaliser des topologies complexes multi-side. Il est utilisé par les
gouvernements et l'OTAN jusqu'à VS-GEHEIM.
• WireGuard : est un projet relativement récent qui, comme IPsec, fonctionne sur la
couche 3 de l'OSI. L'objectif de WireGuard est de créer une solution VPN peu
complexe en termes de spécification et d'implémentation du protocole, simple à
utiliser et très performante. Le code source ne comprend actuellement que 4000 lignes
de code (OpenVPN+OpenSSL : 292 000 lignes). Wireguard est un VPN peer-2-peer.
Chaque pair met à disposition une plage d'adresses IP qui est couplée de manière
transparente avec les réseaux des autres pairs via une connexion cryptée. Il n'y a pas
d'authentification des utilisateurs comme dans le cas de l'Open VPN et d'IPsec.
• OpenConnect : a été développé à l'origine par Cisco. Il fonctionne avec UDP (OSI
Layer 4) et utilise DTLS pour crypter le trafic de données entre un client et un serveur.
Il ne convient pas aux connexions serveur-2-serveur, mais uniquement aux connexions
client-2-serveur.
• Iodine : cache le trafic VPN dans le trafic DNS afin de contourner les blocages VPN.
Le débit de données est nettement inférieur à celui des autres VPN.
• PPTP : le protocole de tunneling point à point de Microsoft (PPTP) est
conceptuellement cassé et ne devrait plus être utilisé.

7 DNS
DNSCrypt utilise des procédés cryptographiques pour s'assurer que l'on utilise vraiment le
serveur DNS souhaité et crypte la communication avec le serveur DNS. DNScrypt complète
donc DNSSEC en sécurisant le "dernier kilomètre" entre le serveur DNS et le PC.

Installation de DNSCrypt sous Windows

Pour Windows, Simple DNSCrypt est un package MSI facile à installer. Après l'installation
du paquet, il est possible de configurer le démon DNSCrypt via une interface graphique et de
sélectionner les serveurs DNSCrypt préférés.
 P e i t e | 32

Lors du choix du serveur, il faut veiller à ce que les DNSSEC soient pris en charge. Par
défaut, Google et Cloudflare sont également utilisés ! DNSCrypt peut aussi s'occuper
automatiquement de la sélection de 2 serveurs appropriés si l'on définit des critères.

Serveur DNS avec no-logging

Les serveurs DNS suivants, non censurés et dignes de confiance, avec politique de non-
enregistrement, validation DNSSEC et protection anti-spoofing (page de test), peuvent être
recommandés comme alternative aux serveurs DNS par défaut des fournisseurs d'accès pour
ceux qui souhaitent changer :

• Freifunk München (DNS normal, DNS-over-TLS et DNS-over-HTTPS) :

o IPv4 : 5.1.66.255
▪ IPv6 : 2001:678:e68:f000: :
▪ Nom du serveur pour DNS-over-TLS : dot.ffmuc.net
o IPv4 : 185.150.99.255
▪ IPv6 : 2001:678:ed0:f000: :
▪ Nom du serveur pour DNS-over-TLS : dot.ffmuc.net

• Censurfridns Denmark (alias UncensoredDNS) :

o IPv4 : 91.239.100.100
▪ IPv6 : 2001:67c:28a4: :
 P e i t e | 33

▪ Nom du serveur pour DNS-sur-TLS : anycast.uncensoreddns.org

Serveurs DNS non censurés gérés de manière professionnelle par les fournisseurs de VPN

Le fournisseur suédois de VPN Mullvad met également à disposition gratuitement des

serveurs DNS-over-TLS et DNS-over-HTTPS (pas de Plain-DNS). Les serveurs sont situés en
Allemagne, en Suisse, en Suède, en Grande-Bretagne, à Singapour, en Australie et aux Etats-
Unis et sont accessibles sous une IP unique.

Serveur Mullvad DoT et DoH avec filtre de publicité et de tracking :

• IPv4 : 194.242.2.3,

193.19.108.3 IPv6 :

2a07:e340::3

Nom du serveur pour DNS-over-TLS : adblock.doh.mullvad.net

Serveur Mullvad DoT et DoH sans filtre de publicité et de tracking :

• IPv4 : 194.242.2.2,

193.19.108.2 IPv6 :

2a07:e340::2

Nom du serveur pour DNS-over-TLS : doh.mullvad.net

Njalla est un fournisseur suédois de domaines, d'hébergement et de VPN axé sur la protection
de la vie privée, qui met gratuitement à disposition son serveur DNS non censuré :

Serveurs Njalla DoT et DoH SANS filtres de publicité et de

tracking :

• IPv4 : 95.215.19.53

IPv6 : 2001:67c:2354:2::53

Nom du serveur pour DNS-over-TLS : dns.njal.la

 P e i t e | 34

8 Chatter
8.1 Jabber / Pidgin

Le logiciel Pidgin est OpenSource et un réseau mondial de milliers de serveurs garantit que
Jabber ne peut pas être compromis juridiquement par des exigences légales. Jabber/XMPP n'a
jamais fait l'objet de violations de la sphère privée par des voleurs de données (p. ex. carnets
d'adresses). Le compte peut être choisi librement, indépendamment du numéro de téléphone.

8.1.1 Off the Record (OTR)

Pour installer OTR, il faut d'abord installer le plugin. Ensuite, on va dans l'onglet Outils de
Pidgin et on choisit l'option Plugins. Là, on fait défiler vers le bas jusqu'à Envoi de messages
off-the-record et on l'active. On clique ensuite sur Configurer le plugin.

Dans la configuration, créez une clé pour votre compte Jabber et activez tous les paramètres
OTR standard.

Si une conversation de chat est lancée, tu trouveras en haut de la fenêtre de chat l'onglet OTR,
clique dessus et sélectionne l'option Démarrer une conversation privée.
 P e i t e | 35

8.2 PGP

Il y a encore trop de gens qui utilisent des services non sécurisés pour envoyer leurs données
sensibles, y compris Privnote.com et Temp.pm. Vous devriez plutôt utiliser PGP pour envoyer
vos données sensibles. Qu'est-ce que PGP ? PGP (Pretty Good Pri- vacy) est un programme
qui permet de crypter et de signer des messages tels que des e-mails. Il peut être utilisé pour
une communication sécurisée et utilise des méthodes de cryptage asymétrique avec des clés
publiques et privées. Il existe de nombreux programmes pour cela, je vous présente ici le site
web PGP Tool. L'avantage est que l'on peut y accéder de n'importe où (à condition d'avoir
accès à Internet...).

Tout d'abord, vous créez votre clé publique et votre clé privée.

Vous pouvez maintenant mettre votre clé publique à la disposition du public afin qu'il puisse
vous écrire.
 P e i t e | 36

Si quelqu'un vous envoie un message, vous pouvez le décrypter et le lire en cliquant sur
"Decrypt".

9 Laver le bitcoin
9.1 Portefeuille Wasabi

Wasabi Wallet est un portefeuille Bitcoin open-source, non conservateur et axé sur la
confidentialité, avec des coinjoints intégrés.

• La fonction Coinjoin joue un rôle crucial dans la protection de votre vie privée. Si
vous ne voulez pas que votre employeur sache où vous dépensez votre argent ou qu'un
commerçant puisse savoir combien d'argent vous avez, vous devez coinjointer vos
bitcoins. Cela permet de rompre le lien avec l'historique de leurs transactions. Bien
que le protocole Coinjoin soit un peu complexe, il est très facile à utiliser dans Wasabi.
Le portefeuille effectue automatiquement des coinjoints avec tous vos fonds, de sorte
que votre argent devient privé.
 P e i t e | 37

9.2 Portefeuille Monero

Le portefeuille Monero est une partie importante du réseau Monero qui stocke les
informations nécessaires à l'envoi et à la réception de Monero. En plus des fonctions d'envoi et
de réception, le logiciel Monero Wallet conserve un historique privé de vos transactions et
vous permet de signer les messages de manière cryptographique. Il comprend également un
logiciel d'extraction de Monero et un carnet d'adresses. Un aspect important du Monero
Wallet est qu'il protège la vie privée des utilisateurs. Pour ce faire, différentes fonctionnalités
sont mises en place :

• Adresses furtives : les adresses furtives sont une partie essentielle de la sphère privée
inhérente à Monero. Elles permettent et exigent que l'expéditeur crée des adresses
uniques aléatoires pour chaque transaction au nom du destinataire. Le destinataire ne
peut publier qu'une seule adresse, mais tous ses paiements entrants sont envoyés à des
adresses uniques sur la blockchain, où ils ne peuvent être reliés ni à l'adresse publiée
du destinataire ni aux adresses d'autres transactions. Grâce à l'utilisation d'adresses
furtives, seuls l'expéditeur et le destinataire peuvent savoir où un paiement a été
envoyé.

• Signatures en anneau : une signature en anneau est un type de signature numérique

qui peut être exécutée par n'importe quel membre d'un groupe d'utilisateurs possédant
chacun des clés. Par conséquent, un message signé avec une signature en anneau est
approuvé par quelqu'un dans un groupe de personnes donné. L'une des caractéristiques
de sécurité d'une signature en anneau est qu'il devrait être mathématiquement
impossible de déterminer laquelle des clés des membres du groupe a été utilisée pour
générer la signature. Les signatures en anneau garantissent l'impossibilité de retracer
les dépenses de transaction.

Le portefeuille Monero utilise ces fonctions automatiquement. L'envoi de Monero est aussi
simple que de saisir l'adresse de destination, le montant et d'appuyer sur Envoyer. Pour
recevoir Mo- nero, il suffit de donner votre adresse publique à l'expéditeur.
 P e i t e | 38

9.3 Laver les bitcoins

La combinaison du Wasabi Wallet (un portefeuille Bitcoin) et du Monero Wallet peut être
utilisée pour masquer les transactions et améliorer la confidentialité. Voici des instructions de
base sur la manière d'y parvenir :

• Utiliser Bitcoin dans Wasabi Wallet : Commencez à utiliser le Wasabi Wal- let pour
vos transactions Bitcoin. Wasabi utilise CoinJoin pour améliorer la confidentialité.
CoinJoin est un procédé qui permet d'effectuer les transactions de plusieurs parties
comme une seule transaction afin d'améliorer la confidentialité.

• Changer Bitcoin en Monero : Après avoir rassemblé vos bitcoins dans le portefeuille
Wasabi, vous devez les convertir en Monero. Cela peut se faire via un service
d'échange fiable comme MorphToken ou un échange décentralisé comme Bisq.

• Utiliser le portefeuille Monero : Après avoir converti vos bitcoins en Monero, vous
devez stocker les Monero dans votre portefeuille Monero. Comme mentionné
précédemment, le portefeuille Monero utilise des fonctions telles que les adresses
furtives et les signatures en anneau pour améliorer la confidentialité.

• Effectuer des transactions : Effectuez les transactions de votre choix. Chaque

transaction que vous effectuez avec Monero utilise les fonctions de confidentialité
mentionnées ci-dessus.

• Reconvertir le Monero en Bitcoin : Si vous le souhaitez, vous pouvez reconvertir

votre Monero en Bitcoin et le stocker dans votre portefeuille Wasabi.
 P a g e | II

Bibliographie
 P a g e | III

Annexe