Informations reprises du site : http://internetauxpetitsoignons.50webs.com/

Dé-router (!) les pisteurs avec Tor, Firefox portable et Privoxy

Le routage, courte explication

Le routage, c'est la gestion de la circulation des donn\xE9es sur l'Internet. Tout usage de réseau informatique implique une circulation de données, d'une machine émettrice à une machine réceptrice. Plus concrètement, dès lors que vous surfez sur internet, envoyez un mail à un correspondant, les données échangées suivent un chemin dans le réseau. Si l'on emploie une métaphore, on peut assimiler le chemin parcouru dans le réseau internet à un parcours en voiture. Lorsque vous allez de Paris à Marseille, vous suivez un itinéraire, généralement le plus court, passez des péages, prennez du carburant. À chaque phase de votre parcours, vous laissez des traces : passage devant des caméras de vidéo-surveillance, tickets de péage, paiements par carte bancaire... Il en est de même des données qui transitent sur le réseau Internet depuis votre ordinateur jusqu'à leur destination, nous allons tenter de vous décrire ces processus en restant les plus concrets possible et en illustrant notre propos par l'exemple.

Réseau

Un réseau informatique est une connexion partagée de mat\xE9riel informatique (une machine (PC, Mac, console de jeu, etc.)). C'est cette mutualisation minimale d'un canal de communication (ethernet, token ring) qui soude et forme le réseau. Dans un réseau chaque machine dispose d'une adresse unique qui permet de la différencier des autres. Si l'on fait la comparaison avec une ville, une rue est en quelque sorte un réseau. Tous les bâtiments de cette rue partagent un même canal de communication, la rue. Chaque bâtiment dispose d'une adresse qui lui est propre afin d'être différencié des autres. Lorsque qu'un habitant de la rue rend visite à l'un de ses voisins, il va au 15 ou au 17, mais ne sortant pas de la rue, il n'a pas besoin de disposer du niveau d'information supérieur, le nom de la rue. Concernant les réseaux informatiques, toute machine émettrice doit toujours savoir où envoyer ses données, sinon elle en est incapable. Dans cette logique de réseau, Toute machine connectée à un réseau et ne désirant que communiquer à l'intérieur de ce réseau n'a besoin uniquement que de connaître l'adresse à contacter directement et n'a besoin d'aide d'aucune autre machine [1]. = Dans ce cas, la gestion de la circulation des données est triviale, il n'y a en a aucune à gérer !

Inter-réseau

Un Inter-réseau est une intersection de réseaux (deux ou plus). Un inter-réseau peut aussi être une intersection d'intersection de réseau. Du point de vue de l'inter-réseau, un réseau devient un sous-réseau.

Dans son pendant urbain, un inter-réseau est un rond-point, voire une ville entière.

Intranet

Un Intranet est un inter-réseau interne à une structure. Dans le cas d'un immeuble, si l'on imagine que chaque étage est un réseau, la présence d'un escalier ou d'un ascenseur transforme l'ensemble de ces étages isolés en inter-réseau.

Internet

L'Internet est un inter-réseau global. En suivant la même métaphore, ce serait une ville mondiale ou pire globale. Toute information y circulant est donc de fait publique. N'importe quel élément de ce réseau ayant le pouvoir de placer un dispositif d'espionnage est capable de surveiller ce qui y circule. Choquant ? Dans un cadre urbain, cela reviendrait \xE0 poser une cam\xE9ra de surveillance à chaque point de passage. Pour vous rendre au travail, par exemple, vous passeriez devant la première caméra à votre porte d'entrée, puis à chaque croisement, intersection, jusqu'à la caméra de la porte d'entrée de votre lieu de travail. Dans le cas de l'Internet, ce dispositif est beaucoup plus discret [2], moins visible, mais redoutablement efficace...

Circulation

Passerelle

Rappelons que la machine émettrice doit toujours savoir où envoyer ses données, Cette contrainte évidente devient problématique dès lors que l'adresse de la machine destinataire ne relève pas directement du même sous-réseau. Dans ce cas, la machine doit connaître au minimum une machine à contacter. Cette dernière est appelée passerelle, sûrement parce qu'elle fait office de porte entre entre deux environnements clos [3]. Une fois la donnée transmise à cette passerelle, le même problème se pose, à savoir à qui transmettre la donnée. Cette question est posée à chaque machine recevant l'information jusqu'à celle pour laquelle la donnée est destinée.

Routeur

L'Internet étant un réseau de réseaux, tous les chemins mènent presque toujours à la destination choisie, comme tous les chemins mènent à Rome. Seule la durée du trajet changera.

Rien n'empêche une personne se trouvant à Paris de passer par Nantes pour se rendre à marseille. En fin de compte, en l'absence d'information suffisante cette personne ne prendra pas forcément le chemin le plus rapide. En revanche, si elle est aiguillée par d'autres connaissant le chemin le plus court, ou le plus rapide, elle arrivera sûrement plus efficacement \xE0 destination. Il en est de même des données circulant sur internet.

Dans le domaine des réseaux informatiques, les machines ayant ce rôle d'aiguillage sont appelées routeurs.

Une information circulant sur l'Internet est émise par une machine, transmise par des routeurs et finalement re\xE7ue par la machine de destination.

Considération

Dans la logique de routage actuelle de l'Internet, il est évident que la question de l'anonymat est hors champ. Toute machine recevant une information, des routeurs à la machine de destination, connaît l'adresse complète de la machine qui l'a envoyée. Cela revient à dire que lors d'un déplacement, vous "badgeriez" à chaque carrefour. Ce traçage, utile pendant les phases d'expérimentation, de test, n'est plus du tout n\xE9cessaire actuellement.

Hiérarchie

D'un point de vue conceptuel, il est important de remarquer que ce mode de fonctionnement est très hiérarchisé. Il est impossible pour la machine émettrice de définir elle même le chemin à prendre et il est impossible à la donnée de se déplacer d'elle même dans le réseau. Il est également impossible à une donnée de se déplacer sans sa plaque d'immatriculation, à savoir l'adresse de la machine émettrice.

Cette dépendance permet alors ce que l'on appelle une analyse de trafic [4].

Si un contrôle est mis en place sur un routeur, il devient possible de prendre volontairement des données, de les analyser et de relever l'adresse des machines qui les ont envoyées.

Si un contrôle est mis en place sur la machine destinataire, celle-ci disposant de l'adresse de la machine d'origine, ainsi que du chemin parcouru par la donnée, il est possible d'établir un fichage précis. Les machines n'étant pas autonomes, le lien est évident entre une voiture et son propriétaire, il en est de même s'agissant du lien homme-machine. Ficher les données émises par une machine revient à ficher son utilisateur.

Dans la rue, il est toujours possible de se d\xE9guiser, de marcher, de prendre un itinéraire évitant les caméras de surveillance et ainsi de rester anonyme, cette possibilité est rendue impossible sur l'Internet avec un tel système de gestion de la circulation des données.

À pleurer ?

Une solution permettant de protéger son anonymat de manière efficace existe, il s'agit du routage en oignon.

Le routage en oignon, courte explication

Oignon

Généralités

Un oignon est à la fois un légume et un condiment à bulbe. La particularité du bulbe de l'oignon est d'être construit en couches successives qui sont autant de réserves de tige. Tel une matriochka, chaque couche recouvre entièrement la suivante, et ainsi de suite, jusqu'au coeur.

Dans le cas d'une matriochka à dix pi\xE8ces, si vous désirez transmettre la poupée miniature (celle que l'on ne peut ouvrir) à une personne sans que celle-ci sache que cet objet vient de vous, il vous suffit choisir neuf personnes de votre connaissance, puis de glisser le nom de l'une d'elle dans chacune des poupées, soit huit noms au total. Puis transmettez cette poupée à la neuvième personne. Cette dernière ouvre la première poupée et transmet le contenu à l'adresse figurant sur papier, et ainsi de suite. À la fin de la chaîne, en supposant que tout le monde joue le jeu, le destinataire recevra sa poupée miniature, mais aura très difficilement le moyen de savoir d'où elle vient. Cette difficulté vaut pour les neuf autres personnes, qui dans le meilleur des cas ne connaissent que l'expéditeur du niveau précédent et le destinataire du niveau suivant.

Le routage en oignon est construit sur le même principe, à cette nuance près que tout le monde joue forcément le jeu. Il n'est matériellement pas possible à une machine de peler de plus d'une couche l'oignon re\xE7u.

Route

Dans un mode de transmission en oignon, c'est la machine émettrice qui construit elle-même le chemin [5] aléatoire que va prendre sa donnée, et c'est l'oignon qui renseignera au coup par coup la machine transmetteuse. L'unique renseignement fourni est l'adresse de la machine suivante sur le chemin.

Chaque machine-étape du parcours ne connait donc qu'uniquement la machine qui a transmis l'oignon et celle à laquelle elle doit le transmettre, rien d'autre, du fait de l'impossibilité par une machine de peler de plus d'une couche l'oignon re\xE7u.

Sous-réseau virtuel obscur

Puisque le routage en oignon n'est utile que s'il est possible de l'utiliser pour accéder aux services habituels, le r\xE9seau formé par toutes les machines participantes au routage en oignon n'est pas physiquement un sous-réseau. Les machines contactées ne participent pas forcément au routage en oignon, il y a bien une sorte de muraille entre la circulation d'oignons de données et la circulation classique de données.

De ce fait, l'ensemble des machines participant au routage en oignon forment un sous-réseau qui, n'étant pas physique ne peut être que virtuel. Ce réseau fonctionnant par oignon, c'est un sous-réseau obscur.

L'ensemble des machines participant à la circulation d'oignon forment donc un sous-réseau virtuel obscur.

Pourtant comme il est nécessaire d'accéder à partir de ce sous-réseau à des machines présentes sur l'Internet, certaines machines, volontaires, jouent le rôle de passerelles vers l'Internet. Pour la machine contactée, c'est cette passerelle qui est la machine cliente.

Uniformité

L'analyse de trafic internet surveille surtout les comportement anormaux [6], tel qu'un pic de trafic, la taille des données échangées, etc. Pour rendre ces construction logiques totalement inopérantes [7], les oignons, ou les morceaux d'oignons échangés ont tous la même taille et le trafic entre chaque élément du réseau virtuel obscur tend à être constant.

Persistance

Afin de permettre un dialogue, chaque étape conserve durant un temps assez court une copie de l'oignon re\xE7u. Cela permet à la machine destinatrice de renvoyer des données, tout cela sans jamais connaitre quelle machine est l'initiatrice du dialogue.

---

Notes :

[1] Rappelons que le réseau n'existe que parce que ces machines mutualisent un canal de communication, canal par lequel elles communiquent. Il est donc évident qu'à l'intérieur d'un même réseau, les machines n'ont qu'à envoyer directement l'information à la machine destinatrice par ce canal puisque cette dernière est elle aussi directement branchée dessus.

[2] Pour ne pas dire invisible.

[3] À l'intérieur d'un sous-réseau, rien d'autre n'existe. Les bords d'un sous-réseau sont pareils à une muraille infranchissable.

[4] De la même manière que le trafic d'une ville est analysé de part la hiérarchie qui existe entre les usagers et les personnes qui dessinent les routes, les emplacements des feux tricolores, des caméras dites de surveillance de trafic, les numéros des plaques d'immatriculation...

[5] Par quelles machines la donnée va transiter.

[6] Pour les caméras de surveillances dans le métro, ce serait par exemple le fait de rester à une même station alors que trois rames sont passées, de courir dans les couloirs...

[7] D'ailleurs ont-elles un jour été opérantes ?

Paquetages

• Page de Téléchargement du Kit pour Clé USB - Zip permettant de se connecter en naviguer anonymement sous Zindows, sans rien installer, uniquement en connectant une clé USB à l'ordinateur.