Le mythe de l’anonymat sur Internet
Etre anonyme sur Internet est un voeu pieux : cet anonymat n’existe pas pour le commun des internautes, et n’est que partiellement accessible pour une minorité d’internautes.
La dernière loi française passée inaperçue contre le terrorisme instaure une obligation de conservation des données à caractère personnel pendant un an pour toute entreprise ou particulier qui laisse à disposition d’autrui une connection Internet payante ou non ; les cybercafés mais aussi les groupements collectifs Wifi par exemple sont donc aussi concernés par cette mesure.
C’est à dire que sous couvert d’une lutte contre d’hypothétiques terroristes férus de nouvelles technologies, on va tout simplement pouvoir fouiller dans votre navigation sur Internet et mettre en relation nominativement ce que vous avez fait, quand, comment et éventuellement, pourquoi.
Comme d’habitude, cette loi "made in Sarkozy" a été passée en urgence parlementaire, décidément assez utilisée ces derniers temps, et sans aucune concertation d’aucune sorte.
Or, qu’en est-t-il actuellement de ce fameux anonymat sur Internet ?
Il convient de remettre en place certaines idées reçues qui consistent à poser des véritables escroqueries intellectuelles comme des vérités absolues : celle, en particulier, du mythe de l’anonymat protecteur sur Internet.
On est en effet beaucoup moins anonyme sur la toile que dans la vie physique de tous les jours. L’anonymat sur Internet n’existe pas pour 99% des internautes français.
Un internaute lambda souscrit un abonnement à Internet auprès de son fournisseur d’accès français qui lui attribue des données de connexion (ligne téléphonique forcément nominative, login/password avec numéro d’accès ...) qui sont complètement liées à son identité : RIB, carte bleue, contrats pour les CGV - conditions générales de vente - imposent de fait une absence d’anonymat.
Ensuite, au moment de la connection, les serveurs du FAI attribueront une adresse IP à ce compte : là encore, l’adresse IP devient la carte d’identité de l’utilisateur sur l’ensemble des sites qu’il visitera ensuite, où de nombreux logs seront conservés, pour des besoins statistiques par exemple.
Une adresse IP se compose d’une suite de 4 nombres définissant à la fois le FAI et l’origine géographique de la connection. Elle sert à localiser votre ordinateur sur le réseau mondial. Chaque FAI - fournisseur d’accés à Internet - se voit attribuer des plages d’IP et les distribue ensuite à ses clients.
Mon adresse IP en ce moment est par exemple 82.241.xx.xx et une simple commande permet de donner un nom à cette IP, à savoir originegeo-3-82-241-xx-xx.fbx.proxad.net (les xx sont des nombres de 0 à 255.)
Il convient simplement de savoir lire pour comprendre que je suis chez Free et surf à partir de originegeo avec une IP fixe que je viens de vous donner partiellement. L’IP fixe n’est pas obligatoire, mais de plus en plus courante avec les connexions haut débit (ADSL ou câble). L’IP variable est tout aussi corrélée avec votre identité, mais de manière temporaire lors de votre connexion.
En postant cet article sur AgoraVox, je viens de signer numériquement d’une manière beaucoup plus forte que lorsque j’achète une baguette à la boulangerie du coin, où la dame a peu de chances de savoir qui je suis, sauf si elle me le demande, donc si je décide de lui donner ou non mon identité.
Avant la loi contre le terrorisme, un juge pouvait tout à fait demander à un FAI de lier cette IP à mon nom et à mon adresse, ce que le FAI pouvait faire sans aucun problème, vu que ces données sont intrinsèquement liées à ma connexion Internet elle-même.
Vous voyez donc bien qu’on n’a guère besoin de rajouter une couche législative à une surveillance qui existe techniquement de fait.
Certains vous diront qu’il est possible de surfer anonymement avec des proxy. Là encore, ce surf anonyme est plus une illusion qu’une vérité technique. Un proxy n’est qu’une machine qui surfe à votre place.
Vous contactez la machine qui va aller chercher à votre place une copie du site que vous voulez visiter et va vous le restituer. En d’autres termes, il existe un intermédiaire entre vous, avec votre navigateur, et le site Web que vous visitez. Le site que vous visitez ne voit donc en théorie que la machine et son adresse IP à elle.
Cet intermédiaire peut modifier ou masquer votre identité numérique, à savoir votre IP, mais la plupart des proxy sont dits transparents, c’est-à-dire qu’avec une ligne de programmation en plus sur le site distant, on peut voir votre adresse IP réelle et beaucoup d’autres choses.
Je vous conseille de cliquer sur ce site russe ou sur celui de la CNIL en France pour vous rendre compte du détail des informations que peut donner ce genre de tests, en particulier en utilisant des proxys derrière lesquels on se croit invulnérable.
Il existe bien entendu des proxys anonymes qui vont jouer le rôle de masque qu’on leur prête et n’envoient rien comme donnée confidentielle au site distant, mais là encore il est toujours possible de remonter à la machine qui a effectué cette opération.
La meilleure manière d’utiliser un proxy anonyme est d’en installer un avec un serveur Linux, Squid (un proxy gratuit, puissant et stable) et Webmin (une interface graphique gratuite plug and play de gestion de serveur)... Vous avez votre proxy anonyme sur votre serveur personnel en 15 minutes chrono, sans aucune connaissance réseau, mais aprés ?
Rappelez-vous que l’IP vue sera celle de cette machine qui a besoin d’une connection Internet pour pouvoir fonctionner. Si vous l’hébergez chez vous, cela revient au même qu’auparavant. Si vous prenez un hébergeur, il aura lui aussi vos coordonnées, au moins bancaires, et de toutes maniéres, aura lui aussi une connection Internet louée à des distributeurs bien identifés.
Vous pouvez chaîner des proxys, c’est-à-dire multiplier le nombre d’intermédiaires, mais là encore, la pelote de laine est remontable et si vous n’avez de vraies connaissances réseaux, cette fois-ci vous serez démasqués à coup sûr. Je ne parle pas des autres indications que vous pourriez laisser sur votre parcours numérique, qui ne sont pas strictement liées à l’IP (cookie, mot de passe donné, recoupement ...)
Quand vous vous promenez dans la rue, le policier du coin qui passe à côté de vous ne connaît pas votre identité, sauf s’il vous la demande. Sur Internet, dès que vous surfez, votre identité est affichée en permanence, et visible par tous ceux qui veulent la voir.
En guise de comparaison, c’est comme si vous sortiez dans la rue avec une grosse pancarte sur le dos où étaient marqués votre nom, votre adresse et votre numéro de téléphone.
La loi contre le terrorisme vous oblige en plus à stocker ces pancartes dans le commissariat du coin, et oblige aussi les agents de la circulation que sont les FAI à noter scrupuleusement toutes les rues où vous vous rendez, le temps que vous mettez, qui vous voyez...
Quelle serait votre réaction si une loi vous obligeait dans la vie physique à sortir accompagné d’un policier qui noterait tout ce que vous faites durant la journée, puis stockerait ces informations un an, pour éventuellement les utiliser plus tard : je pense que vous prendriez le législateur pour un fou.
Je vous rassure : c’est bel et bien ce qui est arrivé avec cette loi, sans que personne ne s’émeuve de cette mesure.
L’autre délire médiatique est de croire que les terroristes présumés prendront un abonnement chez Club-Internet en payant avec leur carte bleue personnelle, ou iront donner leurs coordonnées au cybercafé du coin avant de surfer.
Que fait un terroriste numérique quand il veut dévaliser une banque virtuelle ou mettre au point un énorme complot avec son copain barbu à l’autre bout du monde ? Il fera comme dans la vie réelle : il essaiera d’emprunter, avec plus ou moins de succès, l’identité d’autrui.
Promenez-vous à la Défense à Paris, et branchez votre client Wifi, vous trouverez des tas de réseaux ouverts qui n’attendent que vous pour surfer avec l’identité de l’entreprise que vous infiltrerez sans, là non plus, aucune connaissance technique préalable.
Il vous suffira de cliquer sur connecter pour pouvoir surfer avec l’identité d’un autre : les données de connexion pourraient être conservées 20 ans que cela ne changerait rien.
Il vous suffira ensuite de ne plus utiliser l’ordinateur qui a servi à votre méfait pour être totalement sorti d’affaire au niveau numérique (au cas où l’adresse MAC de votre carte réseau ait été loggée durant la manoeuvre) : il sera alors strictement impossible qu’on puisse remonter à votre véritable identité numérique.
Ce scénario est encore valable si notre terroriste veut utiliser Internet, il peut tout aussi bien refaire le 11 septembre autour d’une bonne bière dans le troquet du coin. Sauf à mettre des mouchards dans chaque demi servi dans tous les bars français, il nous sera difficile d’être au courant de l’impensable avant qu’il n’arrive.
Nous voyons bien encore une fois que la loi ne veut protéger que ce qui l’intéresse, et que la protection de l’individu ne semble pas être le coeur de l’initiative gouvernementale en la matiére.
L’anonymat "généralisé et facile" sur Internet est un mythe entretenu pour justifier des réglementations qui nous feraient tous bondir si leurs équivalents étaient proposés dans la vie physique de tous les jours.
Cette boulimie de réglementation liberticide montre qu’Internet fait peur, car il impose une menace asymétrique complètement intolérable aux yeux de ceux qui pensent qu’une liberté partagée est un danger pour leurs monopoles politiques et/ou économiques. Internet rétablit l’individu dans la plénitude de sa responsabilité, et le place en face du choix de certaines de ses dépendances.
Cette gouvernance atomisée va à l’inverse des efforts d’un pouvoir politique qui, par définition, impose une gouvernance centralisée dans les mains de personnalités adoubées pour pouvoir mener à bien une politique cohérente.
Toute la lutte actuelle pour restreindre et contrôler encore plus nos activités sur Internet n’a qu’un seul objectif : celui de réduire notre capacité aux choix en essayant de nous convaincre que nos propres libertés nous mettent en danger.
Or la réalité actuelle est tout autre : notre vie privée est moins bien protégée sur Internet que dans le monde physique. Cette vie privée n’est pas garantie en particulier par un environnement juridique qui, à l’inverse, pousse chaque jour à en restreindre le périmètre.
Sur Internet, l’anonymat est une "exception" garantie pour quelques minorités technocrates.
Alors que le droit à l’anonymat sur Internet devrait être un cheval de bataille citoyen et vu comme un préalable nécessaire à toute vie démocratique et citoyenne au sein de cette nouvel agora, l’acharnement juridique et médiatique de ces dernières années a transformé l’image que nous avons nous-mêmes de notre propre vécu sur la toile, en nous faisant oublier les réalités techniques visibles quotidiennement par tous les acteurs du réseau.
Pour aller plus loin :
* "Guide pratique du blogueur et du cyberdissident" édité par Reporters sans frontières en 2006
* "Découvrez comment vous êtes pisté sur Internet" édité par la CNIL
Source ici