Suite à ma récente condamnation par la Cour d’Appel de Paris (appel formé par le parquet suite à ma relaxe en première instance), pas mal d’articles circulent sur Internet et je vois revenir des éléments techniques parfois mal interprétés (et souvent proches du raisonnement de la cour d’appel). En plus du classique débat sur l’authentification à la racine de l’extranet, le cas assez emblématique est celui du VPN.
Un VPN est un réseau privé virtuel. Il permet de se connecter d’un point A à un point B de manière souvent chiffrée.
L’une des citations largement reprise, c’est celle ci :
Il y avait trouvé et téléchargé huit mille documents, par l’intermédiaire d’un réseau privé virtuel (VPN) vers une adresse IP située au Panama, ce qui explique que l’opération soit passée inaperçue.
… Là, par exemple ce qui est en gras est un non-sens.
Les petits dessins
Un VPN sert aussi bien à dissimuler son identité qu’il répond au besoin contraire, c’est à dire se connecter de manière sécurisée et parfaitement authentifiée, sans craindre l’interception de données par des tiers, par exemple pour se connecter à son compte bancaire ou à l’intranet de sa rédaction, quand on est un journaliste qui couvre les jeux olympiques d’hiver à Sotchi. La vocation première d’un VPN, c’est la protection de vos données personnelles et de votre identité sur Internet. Un VPN aujourd’hui devrait être une norme, proposée sans supplément par vos fournisseurs d’accès Internet.
Un internaute sans VPN, c’est ça :
Mythbusting
- Un VPN ne vous rend pas anonyme : la sécurité et l’anonymisation sur Internet répondent à des normes autant techniques que comportementales.
- Un VPN ne vous rend pas ‘invisible’ (… ça c’est Garcimore)
- Et dans ce cas précis l’utilisation d’un VPN ne change rien du tout vu que c’est celui que commercialise ma société en configuration par défaut.
Je précise que sur la machine et le système (Debian GNU Linux) qui nous intéresse, le VPN se lance au démarrage de ma machine, l’adresse IP panaméenne m’est donc attribuée mais je peux choisir un point de sortie localisé dans un autre pays (Suisse, USA, Suède…), ou mieux si j’avais vraiment voulu brouiller les pistes, par un bridge TOR qui change mon adresse IP visible toutes les 10 minutes et spécialement dédié à renforcer l’anonymisation des connexions (mais pas de les rendre invisibles).
Si les enquêteurs sont remontés jusqu’à moi, c’est bien parce qu’ils m’avaient identifié, grâce à un tweet parfaitement public où j’appelais des journalistes à nous aider à comprendre les documents, ou peut-être justement parce que l’objet de la plainte, c’était un article sur Reflets.info… bref le VPN n’a rien à voir dans cette histoire.
Mais alors pourquoi c’est passé inaperçu ?
Tout simplement parce qu’il n’y a eu ni intrusion pour y accéder et donc justifiant de faire hurler un pare-feu, ni comportement déviant caractérisé par un téléchargement des contenus du répertoire, qui, encore une fois, ne comportait que des documents bureautiques et aucun fichier système pouvant mettre la puce à l’oreille que le repertoire n’avait pas à être public). Les octets naissent sur le papier libres et égaux en droits, et quand ils croisent le douanier du firewall de l’ANSES, ce dernier fait son travail correctement :
Accès régulier et usage régulier = rien à signaler.
Il aura fallu que l’ANSES constate un article publié sur Reflets et utilisant ces documents pour se rendre compte que ces documents, au bout du compte, c’est peut être pas normal qu’ils soient accessibles… c’est amusant car la vérification aurait par exemple pu être faite avant de porter plainte pour « piratage » non ?
Conclusion ?
Je ne suis pas Garcimore