Illusion d’anonymat ce que cachent vraiment nos communications

Je vais vous parler en détails de plusieurs services

Les messageries modernes donnent l’illusion d’une communication sécurisé alors qu’en coulisse tout est bien plus flou qu’on ne le pense.

On a remplacé les lettres, les cabines et les SMS surtaxés par une jungle d’applications comme WhatsApp, Telegram, Signal, Snapchat et toutes les autres variantes.

Elles promettent un chiffrement de bout en bout des conversations que personne ne peut lire et techniquement le contenu brut des messages est souvent bien protégé.

Mais ce qui entoure le message lui même qui parle à qui à quelle heure depuis quelle appareils depuis quelle adresse IP.

Tout ce que ces applications affichent comme simple interface repose sur une architecture complexe et chaque rouage supplémentaire crée une nouvelle surface d’attaque les métadonnées se croisent se recoupent.

le décor ne se limite pas aux apps de chat il faut aussi regarder du coté des numéros jetables qui permettent d’enregistrer un compte Gmail, Telegram, un pseudo Twitch ou plusieurs comptes sans toucher à son vrai numéro.

Derrière les sites de SMS temporaires et les apps de numéros virtuels on trouve des numéros recyclés, réutilisés, partagés, souvent déjà marqués dans des listes de spam ou surveillés par les systèmes anti abus.

C’est idéale pour les arnaqueurs qui produisent des identités à la chaine et jettent des comptes pendant des campagnes de phishing.

Pour l’utilisateur lambda la promesse est celle d’un anonymat confortable.

En réalité ces services savent exactement qui paie depuis quel appareil avec quelle carte et souvent avec quel compte Google.

Les applications de type Onoff profite  justement de ce fantasme d’identité multiple en proposant des numéros VOIP qui fonctionnent en WIFI et en 4G avec SMS, appels et messagerie vocale.

Sur le papier c’est l’outil parfait pour compartimenter sa vie numérique.

Dans les faits tout est lier adresse IP, identifiants d’appareil, compte de store, moyen de paiement et même carnet d’adresses synchronisé.

C’est l’une des raisons pour lesquelles les escrocs adorent ces solutions pour appeler et harceler des victimes à la chaîne.

Mais pour l’utilisateur qui se croit totalement anonyme ses un mythe la plateforme coopère avec les autorités.

Derrière ces numéros virtuels se cachent souvent des infrastructures VOIP basées sur des PBX comme Asterisk extrêmement puissants mais souvent installés trop vite sans sécurité améliorer.

Par défaut on trouve des comptes SIP aux mots de passe faible, des interfaces d’admin ouvertes sur internet, des flux non chiffrés, des règles de firewall minimalistes.

Résultat ses d'une facilité déconcertantes de scanner des plages d’adresses de trouver des serveurs mal protégés ou pour faire du spam vocal, de la fraude téléphonique ou de l’écoute discrète.

Les serveurs SIP associés sont une proie facile un simple bot peut spammer d’invitations d’appels jusqu’à saturer les ressources similaire à une attaque DDOS ou une attaque bruteforce pour prendre le contrôle des comptes.

Pour les adresse email des services comme Proton promettent de remettre de l'ordre dans nos boîtes aux lettres numériques avec chiffrement côté client zéro accès revendiqué et stockage dans des juridictions plus protectrices basé en suisse.

Le contenu des messages échangés entre utilisateurs du même service se retrouve mieux protégé que dans une messagerie classique.

Mais l’email reste un vieux protocole les métadonnées, l’historique de connexion, les méthodes de paiement, les éventuels ponts IMAP ou les messages envoyés vers des services non chiffrés continuent de produire des fuites.

Sur le dark web des services plus obscurs promettent des adresses anonymes sur Tor des boîtes temporaires des relais sécurisé.

Ce réseau censé brouiller les pistes en faisant rebondir votre trafic à travers plusieurs relais dispersés dans le monde.

On le présente souvent comme un bouclier absolu alors qu’en réalité n’importe qui peut exploiter un nœud des défenseurs de la vie privée, des chercheurs mais aussi des services gouvernementaux ou des acteurs malveillants qui ont tout intérêt à observer ce qui passe.

Plus on se rapproche des nœuds de sortie plus le trafic peut être corréler ce qui rentre et ce qui sort pour remonter jusqu’à une adresse IP.

L’anonymat parfait n’existe pas surtout si vous combiner Tor avec de mauvaises habitudes comme laisser JavaScript activé, installer des extensions douteuses vous connecter à tes comptes habituels ou ouvrir des liens piégés.

La seule stratégie réaliste c’est de limiter la casse en désactivant JavaScript autant que possible éviter les plugins isoler votre usage de Tor du reste de votre vie numérique et éventuellement ajouter un VPN par dessus.

Ça ne rend pas votre traffic intouchable mais ça complique suffisamment le travail de corrélation.

Et pendant qu’on parle anonymat numérique les téléphones jetable de films vivent leur meilleur vie fictive.

Dans la réalité dans de nombreux pays dont une bonne partie de l’europe l’achat de cartes SIM prépayée est soumis à une obligation d’identification  pièce d’identité, enregistrement auprès de l’opérateur, parfois même validation d’adresse.

Le pack carte SIM anonyme payé en cash au tabac est devenu un souvenir pas la norme.

Une fois la SIM activée l’opérateur voit les cellules GSM utilisées les patterns de déplacement les plages horaires les interactions avec d’autres numéros.

L'idée du téléphone impossible à tracer n’est plus qu’un mythe pour scénaristes.

Parlons maintenant des couches plus anciennes d’internet des serveurs IRC continuent de tourner survivants d’une époque où SSL/TLS n’était pas systématique.

Beaucoup de ces serveurs restent vulnérables chiffrement absent ou mal configuré, comptes qui traînent avec les mêmes mots de passe depuis dix ans.

Avec une simple connaissance des failles classiques avec l'outil OWASP ZAP il est encore possible de récupérer des identifiants, de sniffer des conversations ou de prendre le contrôle de salons entiers.

Au final tout ça raconte une chose assez simple on a mis en place des couches de chiffrement sur nos communications mais on a surtout empilé des services, des ponts, des intégrations et des dépendances qui rendent l’anonymat total quasiment impossible pour le commun des mortels.