Comment la police vous traque derrière votre VPN ?

Il y a quelques semaines, j'ai lancé un sondage en ligne pour savoir quels outils vous utilisiez au quotidien pour protéger votre connexion internet.

Les résultats sont révélateurs.

39 % d'entre vous utilisent un VPN payant, 10 % utilisent Tor, 5 % utilisent un proxy ou un VPS, et 47 % n'utilisent rien pour se protéger ou utilisent un VPN gratuit, ce qui revient au même dans ce dernier cas.

Plus d'un tiers d'entre vous utilisent un VPN grand public payant, c'est bien et encourageant car un VPN fiable protège vos communications et réduit votre vulnérabilité.

Mais que vous soyez connecté sur le Wi-Fi d'un café, sur la box de votre voisin ou derrière un VPN, un VPS, Tor ou I2P, ou même une combinaison de tout ça sur un système d'exploitation sûr, je vais vous montrer comment, dans le cadre d'une enquête ciblée, on peut quand même remonter jusqu'à vous derrière votre adresse IP et vous exposer au grand jour.

Les forces de l'ordre et les services de renseignement n'enquêtent pas avec les mêmes outils que vous, ni sur le même terrain, ils croisent des traces techniques en ligne avec des éléments hors ligne, exploitent les points faibles des configurations.

Et surtout, les erreurs humaines.

Vous avez payé en cryptomonnaie, renseigné des données bidons, choisi un VPN comme Mullvad qui s'ouvre sans email ni identité, et vous pensez être intraçable, et bien détrompez-vous, car c'est là que beaucoup commettent une erreur et les accumulent.

La plupart des cryptomonnaies ne sont pas anonymes, les services sans log ne neutralisent pas vos propres comportements traçables et le moindre chaînon mal maîtrisé peut suffire à recoller les morceaux et à vous identifier.

Si vous débutez, retenez ceci.

L'anonymat n'est pas le pseudonymat, un pseudonyme masque un nom civil, l'anonymat vise à empêcher le lien entre une action et une personne.

Un VPN masque votre adresse IP publique et chiffre le trafic entre vous et le serveur du VPN.

Il peut vous placer virtuellement dans un autre pays et vous protéger contre les interceptions de données.

Mais face à une enquête qui cible un utilisateur précis, au mieux, ça va ralentir le travail d'identification.

Mais ça ne vous rend pas invisible.

L'anonymat total est très complexe à atteindre et seuls quelques profils aguerris s'en approchent en contrôlant l'intégralité de la chaîne technique et comportementale.

Car l'enjeu ne se limite pas aux outils, tout se joue en ligne et hors ligne, dans les corrélations temporelles, les empreintes d'usage, dans les fuites DNS, dans toutes ces habitudes qui vous trahissent.

Votre meilleur atout, c'est votre niveau de connaissance, votre compréhension des techniques d'enquête et surtout votre OPSEC, votre sécurité opérationnelle.

Qui consiste à réduire de façon cohérente toutes les surfaces d'attaque.

Allez, on est parti.

Bienvenue sur la chaîne, ça faisait un petit moment que j'avais pas posté une vidéo dédiée.

J'étais très mobilisé contre le projet européen Chat Control, vous avez certainement déjà entendu parler de ce projet de règlement qui risque d'instaurer en Europe une surveillance de masse.

Et si c'est pas le cas, je vous mets le lien de la vidéo.

En parlant de surveillance.

Aujourd'hui, plus que jamais, vous devez vous soucier de vos données.

Qui les détient, où elles sont stockées.

Et à quel point il est facile de vous identifier.

Vous devez pouvoir publier votre travail en ligne sans mettre votre identité en danger.

C'est pour ça que je vous propose une solution de serveur et d'hébergement qui rend tout ça possible, Private Alps.

Leurs serveurs sont basés en Suisse et le déploiement est instantané.

Que ce soit pour un VPS, RDP ou bien encore GPU dédié, accessible par Tor, vous payez en crypto dont le Monero.

Pas de KYC, aucune info personnelle à fournir, zéro log, aucun tracker.

Juste votre projet.

Depuis 2019, Private Alps est une référence pour des développeurs, des traders et des communautés soucieuses de la confidentialité.

Si vous voulez un hébergement qui respecte vos données, c'est celui-ci.

Déployez votre serveur aujourd'hui sur privatealps.net.

Protégez vos données parce que personne d'autre ne le fera à votre place.

Il y a 1000 façons de se connecter à Internet et il existe des millions de combinaisons possibles entre les appareils.

Ordinateur, mobile, tablette, système d'exploitation, langue, navigateur et autant d'occasions de laisser des traces uniques qui permettent de remonter jusqu'à vous.

Ici, on va poser les bases des techniques communes aux enquêtes menées par les services de police et les services de renseignement dans le monde entier.

Simplement et pas à pas.

Mais on va pas pouvoir faire du cas par cas, alors n'hésitez pas à rejoindre le Discord de la chaîne pour en parler.

Vous y trouverez un salon dédié pour les abonnés, accessible en étant membre YouTube ou en souscrivant sur Patreon.

L'information qui sert le plus souvent à vous identifier, c'est simple.

C'est votre adresse IP.

Associé à un horodatage, autrement dit, une heure précise.

Pensez à l'adresse IP comme une plaque d'immatriculation sur Internet, elle identifie le point par lequel votre trafic sort vers le réseau.

Elle existe sous deux formats.

L'IPv4 ou l'IPv6.

Chez vous, avec votre box, vous avez des adresses IP privées, une pour chaque appareil connecté à votre Wi-Fi pour vous identifier sur votre réseau en interne.

Et une IP publique, visible sur Internet.

Tous vos appareils connectés montrent la même adresse publique vue de l'extérieur et parfois, comme sur les smartphones, l'adresse IP peut être partagée avec plusieurs abonnés.

Le plus important à retenir, c'est que votre FAI, votre fournisseur d'accès Internet.

Conserve des journaux de connexion qui disent quelle IP était attribuée à quel abonnement et à quel moment.

L'IP plus l'horodatage permet de dire quelle personne, ayant souscrit à l'abonnement, se trouvait derrière l'adresse IP.

L'adresse IP, on en a besoin pour une raison simple.

Quand vous demandez une page web, votre appareil envoie de petits paquets de données avec l'adresse du destinataire, le serveur qui héberge le site.

Et la vôtre comme adresse de retour.

Les routeurs lisent ces adresses et acheminent les paquets jusqu'au bon serveur.

Puis les réponses reviennent vers vous en suivant votre IP.

Sans cette adresse, le réseau ne serait ni où livrer la page, ni comment vous la renvoyer.

Dans l'immense majorité des cas, l'échange est chiffré via HTTPS, la version sécurisée du web, vous avez déjà vu le petit cadenas dans la barre d'adresse.

Concrètement, le contenu de la page et vos requêtes sont illisibles par un tiers.

En revanche, certaines métadonnées restent visibles selon l'endroit où l'on regarde.

L'adresse IP d'origine et de destination, l'heure, la durée et le volume de votre trafic.

Ainsi que le nom du site Internet que vous avez visité.

On peut donc savoir que vous vous connectez à tel service à telle heure.

Mais on peut pas lire le contenu ni ce que vous envoyez.

L'objectif d'une enquête, c'est d'abord de trouver qui se cache derrière une adresse IP.

Parce que c'est souvent l'information la plus rapide et la plus directe à obtenir auprès des plateformes et des sites Internet en tout genre.

Mais ce n'est pas la seule piste.

Votre sécurité opérationnelle, donc c'est l'ensemble des précautions que vous prenez pour vous protéger, repose sur un maillage d'indices techniques et comportementaux.

Je vais vous l'expliquer simplement.

Imaginons que vous ayez posté sous pseudonyme, c'est un exemple bien sûr, des messages très menaçants envers le président de la République ou une personnalité importante.

Bon évidemment, c'est à ne pas faire, mais c'est utile pour comprendre le procédé.

Car je peux vous assurer.

Que ça risque d'aller très vite.

Les plateformes vont coopérer avec la justice comme elles le font pour la plupart et fournir des éléments utiles à l'enquête.

Parmi ces éléments, les plus importants, ce sont les logs de connexion.

La liste des connexions au compte avec les adresses IP utilisées et l'horodatage précis, jour, heure, minute, seconde.

Et ces logs, et bien, ils donnent aux enquêteurs une première carte temporelle des accès.

Il faut agir vite.

Certaines plateformes gardent des traces peu de temps.

Si personne ne les gèle.

À titre d'exemple, X, donc anciennement Twitter, conserve les journaux de connexion pendant environ 30 jours.

Et au maximum 90 jours sur demande de la justice.

Google de son côté les conserve plusieurs mois.

Et les durées peuvent varier selon les services et les pays, mais l'idée reste la même.

Plus tôt on demande les données et mieux c'est pour l'enquête.

Aussi, un enquêteur dispose souvent de plusieurs informations clés remontées par la plateforme.

La liste donc horodatée des IP utilisées, comme on vient de le dire, type de navigateur et parfois le modèle d'appareil, les informations déclarées sur le compte.

Donc ça va être le nom, la date de naissance et au moins un numéro de téléphone, une adresse email associée au profil.

Et avec ces éléments, et bien on peut commencer à remonter vers une identité réelle.

Pour savoir à qui appartient une adresse IP.

L'enquêteur commence par identifier l'opérateur responsable de cette adresse IP et pour cela, il peut utiliser des services publics de recherche d'IP.

Donc par exemple, What's my IP address qui indique rapidement l'aire géographique approximative.

Et le fournisseur d'accès associé.

Vous pouvez vous rendre sur ce site.

Vous allez voir votre propre adresse IP, où elle se situe et quel est le fournisseur qui gère cette adresse IP.

Ces outils donnent une première cartographie des points de sortie.

Et permettent de reclasser les adresses si elles sont multiples.

Mais ces sites Internet ne donnent pas le nom du titulaire.

Pour obtenir l'identité réelle, l'enquêteur va envoyer une réquisition au fournisseur d'accès Internet.

Et alors le fournisseur, en consultant ses journaux d'attribution d'adresse IP, et bien pourra dire quel abonnement utilisait telle adresse à telle heure.

Si vous n'avez pas utilisé de VPN et que vous étiez sur votre connexion mobile ou votre box.

L'opérateur fournira généralement les informations d'abonnement, donc ça va être le nom, le prénom, le numéro de téléphone, les moyens de paiement.

Et si vous êtes connecté depuis la box d'un parent, de votre conjoint, d'un ami ou depuis la connexion de votre lieu de travail.

L'IP remonte bien au titulaire de cette ligne.

Mais pas automatiquement à vous.

Et c'est précisément là que commence le vrai travail d'enquête, et bien il va falloir resserrer le cercle des personnes ayant eu accès à cette connexion au moment des faits.

Les enquêteurs vont s'intéresser à qui fréquente cette adresse.

Combien de personnes vivent là-bas, leur âge, leurs identités publiques et leurs profils en ligne, les abonnements téléphoniques et les moyens de paiement liés au foyer.

Et ils vont aussi lister les appareils qui se connectent habituellement, donc iPhone, Android, MacBook, PC et relever des indices logiciels comme les navigateurs utilisés, ça va être Chrome, Safari, Firefox et tous ceux que vous pouvez connaître.

La langue du système ou d'autres paramètres qui forment une empreinte technique.

Et tous ces petits détails, et bien ils permettent de distinguer un utilisateur parmi d'autres.

Mais ce n'est pas que du technique.

C'est surtout un travail de recoupement, ils vont croiser les horaires de connexion avec des éléments hors ligne.

Donc par exemple, géolocalisation des lignes mobiles, caméras de surveillance, interception des historiques de connexion, planning de travail.

Ou liste du personnel si on est sur un environnement professionnel.

Et on croise aussi les identifiants observés dans les logs, donc ça va être les comptes, les adresses email, les numéros avec les personnes susceptibles d'avoir utilisé la ligne.

Et à force de filtrer et d'affiner, et bien l'enquêteur va réduire la liste jusqu'à isoler la personne suspecte.

L'idée à retenir, c'est utiliser la connexion d'un tiers ne vous rend pas automatiquement invisible.

L'IP donne un point de départ et les enquêteurs le transforment en piste en combinant empreinte technique et éléments de votre vie réelle.

On monte d'un cran.

Vous n'utilisez toujours pas de VPN.

Pas d'inquiétude, on va venir juste après.

Vous vous connectez au Wi-Fi d'un voisin que vous captez à quelques dizaines de mètres.

Et selon les murs et la puissance.

Comment savoir que c'est pas lui le suspect ?

Et bien les enquêteurs vont comparer les horodatages de l'activité sur le web avec l'historique des connexions de la ligne du voisin obtenu auprès de son FAI.

Et si les usages ne collent pas, par exemple, que les horaires ou les sites visités sont inhabituels.

Bon bah déjà, on va l'écarter.

On va écarter le titulaire de la ligne et puis après on va chercher qui à proximité a pu utiliser sa connexion.

Il faut aussi distinguer deux scénarios.

Si vous créez un compte one shot par exemple, donc un compte sur un réseau social à usage unique et que vous ne vous reconnectez jamais.

Vous pensez réduire les traces.

Mais en réalité, d'autres signaux vont subsister.

L'empreinte du navigateur, la langue du système, les horaires, la zone géographique et à la moindre réutilisation et au premier faux pas.

Et bien la chaîne va se reconstituer.

Si au contraire, vous vous connectez de manière récurrente, et bien les chances de corrélation vont exploser.

Un jour, sans y penser, vous allez passer par votre box ou par votre connexion 5G ou celle d'un proche.

Et ces accès, et bien ils vont finir reliés entre eux.

Il faut imaginer tout ça un peu comme une chaîne.

Côté plateforme.

Le chemin est très rodé.

On va récupérer les logs de connexion du compte visé.

On voit quelles adresses IP et quels appareils ont servi.

Puis on remonte au fournisseur correspondant.

On peut aussi faire l'opération inverse, toujours par voie de réquisition, par exemple, demander à un grand service de messagerie ou un réseau social comme Facebook par exemple.

Quel compte ont utilisé telle adresse IP précise à tel créneau de données.

Dans la masse, et bien il suffit qu'apparaisse un autre compte clairement lié à vous.

Une adresse perso, un usage professionnel, un email connu pour que le faisceau d'indice se resserre.

Et c'est là qu'entre en jeu l'OPSEC, la sécurité opérationnelle.

C'est pas vraiment des trucs et astuces.

Mais c'est la cohérence de bout en bout entre vos outils et vos comportements.

Et c'est souvent l'incohérence qui va trahir plus que la technologie.

Revenons au Wi-Fi du voisin.

Une fois la ligne écartée, on va regarder le périmètre humain.

Qui habite ou travaille dans un rayon d'une cinquantaine de mètres au maximum, quel logement, quels horaires, quelle présence probable, quelle personne connue de la justice.

Et par réquisition, et bien ils vont recouper les registres utiles, donc par exemple, les opérateurs mobiles à une adresse.

Les abonnements d'énergie pour savoir qui vit à proximité.

Et y ajouter des éléments hors ligne comme les caméras par exemple.

Le croisement méthodique de toutes ces traces, et bien finit la plupart du temps par pointer vers une ou deux personnes précises.

On passe au Wi-Fi public.

Hôtel, café, restaurant, espace de coworking, même sans inscription nominative.

L'adresse IP visible sur Internet renvoie à l'établissement.

Les enquêteurs vont alors récupérer sur place les journaux de connexion du réseau.

Le contrôleur Wi-Fi et le routeur gardent la liste de toutes les connexions avec l'heure, l'adresse IP locale attribuée et surtout l'adresse MAC de chaque appareil.

L'adresse MAC pour Media Access Control est un identifiant propre à la carte réseau de votre ordinateur.

Et visible uniquement sur le réseau local sur lequel vous vous connectez.

Et elle permet de distinguer les appareils et de connaître aussi parfois la marque.

Et selon les configurations, et bien un portail d'inscription va enregistrer aussi un email, un numéro de chambre, un numéro de téléphone ou un ticket imprimé.

Et avec la fenêtre temporelle fournie par Twitter ou Gmail par exemple, et bien on va isoler les appareils connectés au même moment sur ce Wi-Fi public.

Et là, il y a deux issues fréquentes.

Soit un identifiant personnel a été saisi quelque part dans le parcours du Wi-Fi, donc avec un portail d'inscription, par exemple, je vais prendre l'exemple de du train.

Avec le portail de connexion Wi-Fi de la SNCF.

Ou alors avec un accès qui a été fait sur réservation, par exemple dans un hôtel.

Et ça, ça va relier directement à l'appareil de la personne.

Soit il faut et bien recouper.

Donc là, pareil, les enquêteurs vont regarder les caméras de l'établissement, l'agencement des tables, qui était assis où et à quelle heure, on vérifie les règlements par carte bancaire sur la tranche horaire, les réservations, les tickets de caisse.

Et en fait, ils vont confronter tous ces éléments avec les caractéristiques techniques de l'appareil qui a été observé dans les logs de connexion.

La reconnaissance faciale et bien aussi peut intervenir en support pour identifier les personnes qui étaient présentes dans l'établissement.

Et puis bien si nécessaire, ils vont élargir le contexte, par exemple, caméras extérieures pour suivre un trajet.

Relever des opérateurs mobiles pour confirmer la présence de certains téléphones dans la zone au même moment, liste du personnel et horaires.

Et est-ce que ces numéros de téléphone, et bien sont liés à des comptes en ligne, est-ce qu'ils sont connus des fichiers de police, des administrations, des banques ?

Votre présence physique dans un lieu public, croisée avec l'empreinte réseau de votre appareil.

Et la chronologie suffit souvent à rattacher une activité en ligne à une personne précise.

Si vous ne devez retenir qu'une leçon.

C'est que l'anonymat tient d'abord à la traçabilité de vos données, pas seulement au fait de cacher votre connexion.

Tout ce que vous fournissez pour naviguer et vous inscrire alimente une chaîne d'attribution.

Exemple, je crée un compte sur un réseau social.

L'adresse email utilisée n'a jamais été loguée sur une autre adresse IP qui me relie à ma vie réelle.

Je ne renseigne aucun élément de profil.

Pseudo, lieu, date de naissance, tout ça c'est bidon.

Et rien ne peut me rattacher à mon identité.

Si j'utilise un numéro de téléphone, il n'a servi à aucune communication personnelle.

N'est lié à aucun autre compte et n'a pas été activé là où je vis.

Bien, je vais limiter mes traces.

Petit conseil personnel, un numéro de téléphone parle bien plus qu'une adresse email jetable qui a été bien créé.

Et à chaque étape, demandez-vous qu'est-ce que cet identifiant a pu conserver et révéler sur moi.

Partez d'un principe simple.

La plateforme que vous utilisez, messagerie, réseau social, site web, collecte des données sur vous.

Et ces données peuvent fuiter, elles peuvent être demandées légalement, analysées et recoupées.

Faites un schéma point par point de chaque élément et la façon dont ils sont reliés entre eux.

Par exemple, je m'inscris sur une plateforme payante.

L'adresse email utilisée est utilisée derrière un VPN, mais j'ai tout de même fourni des informations.

Le service va voir une localisation approximative, un fuseau horaire, la langue du système, le type de navigateur que j'utilise.

Comment le moyen de paiement lui me relie à mon identité réelle, carte bancaire, PayPal, crypto avec ou sans vérification d'identité.

Et ainsi de suite.

Maillon par maillon, posez-vous ces questions, faites le schéma pour essayer de voir quel est le lien entre tous ces éléments qui vous concernent.

Quand je vous dis dans chaque vidéo que l'erreur se trouve entre la chaise et le clavier, c'est pas une formule.

Des cybercriminels très aguerris ont été arrêtés à cause d'une banale faille d'OPSEC et tôt ou tard, une trace exploitable vous relie à votre identité réelle.

Par exemple, Ross Ulbricht, fondateur de Silk Road, grand marché du Dark Web au début des années 2010.

Il avait posté une annonce sur un forum Bitcoin avec son email perso, [email protected].

Compte Google qui était à son nom.

Et bien en octobre 2013, il est arrêté en flagrant délit alors qu'il administre Silk Road dans une bibliothèque.

Encore un autre exemple.

Alexandre Cazes, alias Alpha02, administrateur d'AlphaBay.

Idem, plateforme illégale du Dark Web.

Et bien le courriel de bienvenue envoyé aux nouveaux inscrits sur la plateforme, et bien contenait dans son en-tête [email protected].

Donc littéralement, et bien un prénom et une année de naissance.

Les enquêteurs ont fait le lien avec un poste de 2008 sur un forum tech où Alpha02 signait Cazes.

Ça paraît dérisoire, mais les faits sont là, la mémoire d'Internet est sans limite.

Et vous ne maîtrisez pas l'immensité des traces numériques accumulées et l'addition de petites traces finit par vous compromettre.

Allez, on va revenir au début de la vidéo.

On revient à ce poste menaçant qui déclenche une enquête.

Cette fois, et bien vous avez utilisé un VPN.

L'idée, c'est pas pour les enquêteurs de percer le tunnel chiffré.

Mais d'exploiter tout ce qui gravite autour, ce que livre la plateforme visée, les métadonnées de connexion.

Et ce que le fournisseur VPN peut légalement produire.

Un VPN, donc pour schématiser, c'est un tunnel chiffré entre votre appareil et un serveur.

Votre fournisseur d'accès Internet ne voit que ce tunnel.

Le site visité ne voit que l'IP du serveur VPN.

La police, et bien va partir de cette IP de sortie avec un horodatage précis après avoir interrogé la plateforme, donc par exemple, Twitter ou Gmail.

Si le VPN conserve des journaux, il peut relier l'IP de sortie et l'heure à un compte client et parfois à l'IP d'origine de la session.

Ça, c'est ce qu'on appelle les logs.

D'où l'importance des VPN réellement no log.

Ne vous contentez pas d'un slogan.

Il faut des preuves.

On a déjà vu des services estampillés no log fournir des journaux d'identification aux enquêteurs.

Il y a des exemples connus comme PureVPN en 2017 ou IPVanish en 2016.

Et alors là, autant vous dire que c'est les catons.

À l'inverse, lors d'une perquisition chez Mullvad, VPN hébergé en Suède, et bien les enquêteurs sont repartis bredouille.

Il n'y avait strictement aucune donnée conservée sur les serveurs.

Il n'y avait rien à récupérer.

Donc ce qu'il faut retenir, c'est que les actes comptent plus que le marketing.

Même un bon VPN manipule des informations techniques pour fonctionner.

Il va avoir besoin de votre IP d'origine au moment de l'établissement de la connexion.

Et l'IP de sortie attribuée, un début et une fin de session.

Ainsi que le volume du trafic web.

La différence se joue dans la manière de les gérer.

En mémoire volatile, effacée à la fin de la session et agrégée sans lien nominatif et aucune donnée stockée durablement.

Et si possible, et bien dans une juridiction qui autorise tout ça.

Évitez les VPN gratuits.

Si c'est gratuit, vous le savez, vous êtes le produit.

Votre trafic web est une source de revenu marketing.

Prenez un service payant fiable, reconnu par la communauté cyber.

Maintenant, reste la question du compte et du paiement.

Beaucoup de VPN exigent un email, ce qui laisse des traces supplémentaires.

D'autres, comme Mullvad, vous donnent un identifiant aléatoire sans email, ce qui ne vous relie pas à votre identité réelle.

Sauf le moyen de paiement.

Justement.

Côté paiement, optez pour une solution réellement anonyme, chez Proton par exemple, vous pouvez avoir email et VPN sur le même compte.

Avec une politique de confidentialité exigeante.

Maximisez votre discrétion en ne fournissant aucune donnée personnelle.

Et en payant sans lien direct avec votre identité lorsque c'est possible, par exemple, espèce ou Monero.

Et souvenez-vous, le Bitcoin par exemple est traçable.

Un achat passé sur une plateforme avec vérification d'identité permet de remonter jusqu'à vous.

Allez, ajoutez à la liste des vulnérabilités tout ce qui relève des fuites involontaires.

Le piège classique, c'est le faux sentiment de sécurité.

Vous pensez que le VPN est connecté et en réalité, il se déconnecte 3 secondes.

Et votre trafic repart à découvert.

Votre IP réelle est visible.

La solution, ça s'appelle le Kill Switch.

C'est un coupe-circuit réseau qui bloque toute sortie Internet tant que le tunnel chiffré n'est pas établi.

Idéalement, ce coupe-circuit fonctionne au niveau du système d'exploitation.

Plutôt que comme une simple option de l'application VPN.

Autre source d'ennui.

Le split tunneling.

C'est une fonction qui autorise certaines applications à sortir en direct pendant que le reste passe par le VPN.

Donc ça, c'est vous qui l'autorisez et c'est pratique pour un site web ou une application un peu capricieuse.

Comme les portails bancaires qui refusent les connexions VPN.

Mais c'est dangereux si vous ne maîtrisez pas précisément la liste.

Si vous n'en avez pas besoin, désactivez-le.

Si vous l'utilisez, limitez-le à une application identifiée.

Et testez ensuite que tout le reste passe bien par le tunnel.

On continue avec les problèmes qui peuvent transformer votre VPN en passoire.

Et exposer votre adresse IP avec les fuites DNS et IPv6.

Le DNS, c'est l'annuaire d'Internet qui transforme un nom de site en adresse IP.

Si vos requêtes DNS vont chez le résolveur de votre fournisseur d'accès au lieu de traverser le tunnel du VPN.

Vous exposez la liste des sites consultés.

Même logique pour IPv6.

La nouvelle version des adresses Internet.

Si votre appareil l'utilise mais que votre VPN ne la gère pas.

Et bien une partie de votre trafic peut contourner le tunnel.

La règle est simple et pratique.

Faire passer le DNS dans le VPN, activer la protection DNS leak du client VPN.

Et choisir un fournisseur qui gère réellement IPv6.

À défaut, désactiver IPv6 côté appareil le temps de la session sensible.

Un test de fuite en ligne, et il y en a plusieurs, un des sites qui permet de vérifier ça.

Avant et après ce réglage, et bien va vous confirmer que tout est bien enfermé dans le tunnel VPN.

Je vais vous mettre un lien sur le Discord de la chaîne.

Côté navigateur, WebRTC est un mécanisme prévu pour gérer l'audio et la vidéo en direct dans le navigateur.

Pour fonctionner, il exploite vos interfaces réseau et peut révéler parfois l'adresse IP réelle.

Sans réglage, il peut contourner le VPN.

La parade, et bien c'est de brider ou de désactiver quand vous n'en avez pas l'usage et de vérifier que tout passe bien par le tunnel.

Autre problème, le JavaScript par exemple.

Lui est un langage que les sites exécutent dans votre navigateur pour afficher des contenus dynamiques.

C'est utile mais c'est très bavard, il peut mesurer votre environnement, appeler des ressources externes.

Et récupérer des détails sur votre appareil.

Sur des réseaux non sécurisés.

Un portail captif un peu trop intrusif.

Ou une page non chiffrée.

Et bien ça peut injecter du code malveillant.

Le VPN lui protège le trajet, mais pas le code que le site vous fait exécuter.

D'où l'intérêt d'un navigateur bien réglé et d'un bloqueur sérieux qui coupe les scripts tiers inutiles.

Et réduit la surface d'attaque.

Les navigateurs orientés vie privée comme Tor Browser ou Mullvad Browser désactivent WebRTC par défaut.

Et uniformise beaucoup d'éléments techniques.

Brave et Firefox bien configurés offrent aussi des protections solides à condition d'activer les options prévues.

Et d'utiliser un bloqueur de contenu strict pour les scripts tiers.

Je vous mets d'autres liens dans la description.

Pensez aussi aux métadonnées qui voyagent avec vos fichiers.

Une photo peut contenir des informations EXIF très précises.

Le modèle d'appareil, la date et l'heure.

Et parfois les coordonnées GPS.

Publier l'image brute, c'est parfois signer votre contenu.

Et bien sans le vouloir et laisser une trace sur Internet.

Certaines plateformes les suppriment automatiquement.

Mais d'autres non.

Et la bonne habitude, et bien quand c'est sensible, c'est de retirer ces données avant l'envoi avec un outil dédié.

Ou au minimum de désactiver l'enregistrement de la localisation dans l'appareil photo de votre téléphone.

Reste l'empreinte de votre navigateur et de votre appareil.

Ce qu'on appelle le fingerprinting.

Même avec un VPN, la combinaison de votre résolution d'écran, la taille de votre téléphone ou de votre ordinateur.

Des polices installées, des extensions, la langue du navigateur, le fuseau horaire sur lequel vous êtes connecté.

Le format de date et d'autres paramètres, et bien peut suffire à vous rendre unique.

Parmi toutes les personnes qui naviguent sur le web.

Pour une enquête, et bien cette empreinte permet de reconnaître le même navigateur sur des sessions différentes.

Et de relier entre eux des accès qui partagent la même signature.

Puis de les croiser avec des comptes déjà connus.

Mais ce n'est pas que du technique.

C'est surtout un travail de recoupement.

Ils vont croiser les horaires de connexion avec des éléments hors ligne.

Donc par exemple, géolocalisation des lignes mobiles, caméras de surveillance, interception des historiques de connexion, planning de travail.

Ou liste du personnel si on est sur un environnement professionnel.

Et on croise aussi les identifiants observés dans les logs, donc ça va être les comptes, les adresses email, les numéros avec les personnes susceptibles d'avoir utilisé la ligne.

Et à force de filtrer et d'affiner, et bien l'enquêteur va réduire la liste jusqu'à isoler la personne suspecte.

On passe au Wi-Fi public.

Hôtel, café, restaurant, espace de coworking, même sans inscription nominative.

L'adresse IP visible sur Internet renvoie à l'établissement.

Les enquêteurs vont alors récupérer sur place les journaux de connexion du réseau.

Le contrôleur Wi-Fi et le routeur gardent la liste de toutes les connexions avec l'heure, l'adresse IP locale attribuée et surtout l'adresse MAC de chaque appareil.

L'adresse MAC pour Media Access Control est un identifiant propre à la carte réseau de votre ordinateur.

Et visible uniquement sur le réseau local sur lequel vous vous connectez.

Et elle permet de distinguer les appareils et de connaître aussi parfois la marque.

Et selon les configurations, et bien un portail d'inscription va enregistrer aussi un email, un numéro de chambre, un numéro de téléphone ou un ticket imprimé.

Et avec la fenêtre temporelle fournie par Twitter ou Gmail par exemple, et bien on va isoler les appareils connectés au même moment sur ce Wi-Fi public.

Et là, il y a deux issues fréquentes.

Soit un identifiant personnel a été saisi quelque part dans le parcours du Wi-Fi, donc avec un portail d'inscription.

Par exemple, je vais prendre l'exemple de du train.

Avec le portail de connexion Wi-Fi de la SNCF.

Ou alors avec un accès qui a été fait sur réservation, par exemple dans un hôtel.

Et ça, ça va relier directement à l'appareil de la personne.

Soit il faut et bien recouper.

Donc là, pareil, les enquêteurs vont regarder les caméras de l'établissement, l'agencement des tables, qui était assis où et à quelle heure.

On vérifie les règlements par carte bancaire sur la tranche horaire, les réservations, les tickets de caisse.

Et en fait, ils vont confronter tous ces éléments avec les caractéristiques techniques de l'appareil qui a été observé dans les logs de connexion.

La reconnaissance faciale et bien aussi peut intervenir en support pour identifier les personnes qui étaient présentes dans l'établissement.

Et puis bien si nécessaire, ils vont élargir le contexte, par exemple, caméras extérieures pour suivre un trajet.

Relever des opérateurs mobiles pour confirmer la présence de certains téléphones dans la zone au même moment, liste du personnel et horaires.

Et est-ce que ces numéros de téléphone, et bien sont liés à des comptes en ligne ?

Est-ce qu'ils sont connus des fichiers de police, des administrations, des banques ?

Votre présence physique dans un lieu public, croisée avec l'empreinte réseau de votre appareil.

Et la chronologie suffit souvent à rattacher une activité en ligne à une personne précise.

Si vous ne devez retenir qu'une leçon.

C'est que l'anonymat tient d'abord à la traçabilité de vos données, pas seulement au fait de cacher votre connexion.

Tout ce que vous fournissez pour naviguer et vous inscrire alimente une chaîne d'attribution.

Exemple, je crée un compte sur un réseau social.

L'adresse email utilisée n'a jamais été loguée sur une autre adresse IP qui me relie à ma vie réelle.

Je ne renseigne aucun élément de profil.

Pseudo, lieu, date de naissance, tout ça c'est bidon.

Et rien ne peut me rattacher à mon identité.

Si j'utilise un numéro de téléphone, il n'a servi à aucune communication personnelle.

N'est lié à aucun autre compte et n'a pas été activé là où je vis.

Bien, je vais limiter mes traces.

Petit conseil personnel, un numéro de téléphone parle bien plus qu'une adresse email jetable.

Qui a été bien créé.

Et à chaque étape, demandez-vous qu'est-ce que cet identifiant a pu conserver et révéler sur moi.

Partez d'un principe simple.

La plateforme que vous utilisez, messagerie, réseau social, site web, collecte des données sur vous.

Et ces données peuvent fuiter, elles peuvent être demandées légalement, analysées et recoupées.

Faites un schéma point par point de chaque élément et la façon dont ils sont reliés entre eux.

Par exemple, je m'inscris sur une plateforme payante.

L'adresse email utilisée est utilisée derrière un VPN, mais j'ai tout de même fourni des informations.

Le service va voir une localisation approximative, un fuseau horaire, la langue du système.

Le type de navigateur que j'utilise.

Comment le moyen de paiement lui me relie à mon identité réelle, carte bancaire, PayPal, crypto avec ou sans vérification d'identité.

Et ainsi de suite.

Maillon par maillon, posez-vous ces questions, faites le schéma pour essayer de voir quel est le lien entre tous ces éléments qui vous concernent.

Quand je vous dis dans chaque vidéo que l'erreur se trouve entre la chaise et le clavier, c'est pas une formule.

Des cybercriminels très aguerris ont été arrêtés à cause d'une banale faille d'OPSEC et tôt ou tard, une trace exploitable vous relie à votre identité réelle.

Par exemple, Ross Ulbricht, fondateur de Silk Road, grand marché du Dark Web au début des années 2010.

Il avait posté une annonce sur un forum Bitcoin avec son email perso, [email protected].

Compte Google qui était à son nom.

Et bien en octobre 2013, il est arrêté en flagrant délit alors qu'il administre Silk Road dans une bibliothèque.

Encore un autre exemple.

Alexandre Cazes, alias Alpha02, administrateur d'AlphaBay.

Idem, plateforme illégale du Dark Web.

Et bien le courriel de bienvenue envoyé aux nouveaux inscrits sur la plateforme, et bien contenait dans son en-tête [email protected].

Donc littéralement, et bien un prénom et une année de naissance.

Les enquêteurs ont fait le lien avec un poste de 2008 sur un forum tech où Alpha02 signait Cazes.

Ça paraît dérisoire, mais les faits sont là, la mémoire d'Internet est sans limite.

Et vous ne maîtrisez pas l'immensité des traces numériques accumulées et l'addition de petites traces finit par vous compromettre.

Allez, on va revenir au début de la vidéo.

On revient à ce poste menaçant qui déclenche une enquête.

Cette fois, et bien vous avez utilisé un VPN.

L'idée, c'est pas pour les enquêteurs de percer le tunnel chiffré.

Mais d'exploiter tout ce qui gravite autour, ce que livre la plateforme visée, les métadonnées de connexion.

Et ce que le fournisseur VPN peut légalement produire.

Un VPN, donc pour schématiser, c'est un tunnel chiffré entre votre appareil et un serveur.

Votre fournisseur d'accès Internet ne voit que ce tunnel.

Le site visité ne voit que l'IP du serveur VPN.

La police, et bien va partir de cette IP de sortie avec un horodatage précis après avoir interrogé la plateforme.

Donc par exemple, Twitter ou Gmail.

Si le VPN conserve des journaux, il peut relier l'IP de sortie et l'heure à un compte client et parfois à l'IP d'origine de la session.

Ça, c'est ce qu'on appelle les logs.

D'où l'importance des VPN réellement no log.

Ne vous contentez pas d'un slogan.

Il faut des preuves.

On a déjà vu des services estampillés no log fournir des journaux d'identification aux enquêteurs.

Il y a des exemples connus comme PureVPN en 2017 ou IPVanish en 2016.

Et alors là, autant vous dire que c'est les catons.

À l'inverse, lors d'une perquisition chez Mullvad, VPN hébergé en Suède, et bien les enquêteurs sont repartis bredouille.

Il n'y avait strictement aucune donnée conservée sur les serveurs.

Il n'y avait rien à récupérer.

Donc ce qu'il faut retenir, c'est que les actes comptent plus que le marketing.

Même un bon VPN manipule des informations techniques pour fonctionner.

Il va avoir besoin de votre IP d'origine au moment de l'établissement de la connexion.

Et l'IP de sortie attribuée, un début et une fin de session.

Ainsi que le volume du trafic web.

La différence se joue dans la manière de les gérer.

En mémoire volatile, effacée à la fin de la session et agrégée sans lien nominatif et aucune donnée stockée durablement.

Et si possible, et bien dans une juridiction qui autorise tout ça.

Évitez les VPN gratuits.

Si c'est gratuit, vous le savez, vous êtes le produit.

Votre trafic web est une source de revenu marketing.

Prenez un service payant fiable, reconnu par la communauté cyber.

Maintenant, reste la question du compte et du paiement.

Beaucoup de VPN exigent un email, ce qui laisse des traces supplémentaires.

D'autres, comme Mullvad, vous donnent un identifiant aléatoire sans email, ce qui ne vous relie pas à votre identité réelle.

Sauf le moyen de paiement.

Justement.

Côté paiement, optez pour une solution réellement anonyme, chez Proton par exemple, vous pouvez avoir email et VPN sur le même compte.

Avec une politique de confidentialité exigeante.

Maximisez votre discrétion en ne fournissant aucune donnée personnelle.

Et en payant sans lien direct avec votre identité lorsque c'est possible, par exemple, espèce ou Monero.

Et souvenez-vous, le Bitcoin par exemple est traçable.

Un achat passé sur une plateforme avec vérification d'identité permet de remonter jusqu'à vous.

Allez, ajoutez à la liste des vulnérabilités tout ce qui relève des fuites involontaires.

Le piège classique, c'est le faux sentiment de sécurité.

Vous pensez que le VPN est connecté et en réalité, il se déconnecte 3 secondes.

Et votre trafic repart à découvert.

Votre IP réelle est visible.

La solution, ça s'appelle le Kill Switch.

C'est un coupe-circuit réseau qui bloque toute sortie Internet tant que le tunnel chiffré n'est pas établi.

Idéalement, ce coupe-circuit fonctionne au niveau du système d'exploitation.

Plutôt que comme une simple option de l'application VPN.

Autre source d'ennui.

Le split tunneling.

C'est une fonction qui autorise certaines applications à sortir en direct pendant que le reste passe par le VPN.

Donc ça, c'est vous qui l'autorisez et c'est pratique pour un site web ou une application un peu capricieuse.

Comme les portails bancaires qui refusent les connexions VPN.

Mais c'est dangereux si vous ne maîtrisez pas précisément la liste.

Si vous n'en avez pas besoin, désactivez-le.

Si vous l'utilisez, limitez-le à une application identifiée.

Et testez ensuite que tout le reste passe bien par le tunnel.

Autre source d'ennui.

Le JavaScript par exemple.

Lui est un langage que les sites exécutent dans votre navigateur pour afficher des contenus dynamiques.

C'est utile mais c'est très bavard, il peut mesurer votre environnement, appeler des ressources externes.

Et récupérer des détails sur votre appareil.

Sur des réseaux non sécurisés.

Un portail captif un peu trop intrusif ou une page non chiffrée.

Et bien ça peut injecter du code malveillant.

Le VPN lui protège le trajet, mais pas le code que le site vous fait exécuter.

D'où l'intérêt d'un navigateur bien réglé et d'un bloqueur sérieux qui coupe les scripts tiers inutiles.

Et réduit la surface d'attaque.

Les navigateurs orientés vie privée comme Tor Browser ou Mullvad Browser désactivent WebRTC par défaut.

Et uniformise beaucoup d'éléments techniques.

Brave et Firefox bien configurés offrent aussi des protections solides à condition d'activer les options prévues.

Et d'utiliser un bloqueur de contenu strict pour les scripts tiers.

Je vous mets d'autres liens dans la description.

Pensez aussi aux métadonnées qui voyagent avec vos fichiers.

Une photo peut contenir des informations EXIF très précises.

Le modèle d'appareil, la date et l'heure.

Et parfois les coordonnées GPS.

Publier l'image brute, c'est parfois signer votre contenu.

Et bien sans le vouloir et laisser une trace sur Internet.

Certaines plateformes les suppriment automatiquement.

Mais d'autres non.

Et la bonne habitude, et bien quand c'est sensible, c'est de retirer ces données avant l'envoi avec un outil dédié.

Ou au minimum de désactiver l'enregistrement de la localisation dans l'appareil photo de votre téléphone.

Reste l'empreinte de votre navigateur et de votre appareil.

Ce qu'on appelle le fingerprinting.

Même avec un VPN, la combinaison de votre résolution d'écran, la taille de votre téléphone ou de votre ordinateur.

Des polices installées, des extensions, la langue du navigateur, le fuseau horaire sur lequel vous êtes connecté.

Le format de date et d'autres paramètres, et bien peut suffire à vous rendre unique.

Parmi toutes les personnes qui naviguent sur le web.

Pour une enquête, et bien cette empreinte permet de reconnaître le même navigateur sur des sessions différentes.

Et de relier entre eux des accès qui partagent la même signature.

Puis de les croiser avec des comptes déjà connus.

Mais ce n'est pas que du technique.

C'est surtout un travail de recoupement.

Ils vont croiser les horaires de connexion avec des éléments hors ligne, donc par exemple, géolocalisation des lignes mobiles.

Caméras de surveillance.

Interception des historiques de connexion.

Planning de travail.

Ou liste du personnel si on est sur un environnement professionnel.

Et on croise aussi les identifiants observés dans les logs, donc ça va être les comptes, les adresses email, les numéros.

Avec les personnes susceptibles d'avoir utilisé la ligne.

Et à force de filtrer et d'affiner, et bien l'enquêteur va réduire la liste jusqu'à isoler la personne suspecte.

On passe au Wi-Fi public.

Hôtel, café, restaurant, espace de coworking, même sans inscription nominative.

L'adresse IP visible sur Internet renvoie à l'établissement.

Les enquêteurs vont alors récupérer sur place les journaux de connexion du réseau.

Le contrôleur Wi-Fi et le routeur gardent la liste de toutes les connexions avec l'heure, l'adresse IP locale attribuée et surtout l'adresse MAC de chaque appareil.

L'adresse MAC pour Media Access Control est un identifiant propre à la carte réseau de votre ordinateur.

Et visible uniquement sur le réseau local sur lequel vous vous connectez.

Et elle permet de distinguer les appareils et de connaître aussi parfois la marque.

Et selon les configurations, et bien un portail d'inscription va enregistrer aussi un email, un numéro de chambre, un numéro de téléphone ou un ticket imprimé.

Et avec la fenêtre temporelle fournie par Twitter ou Gmail par exemple, et bien on va isoler les appareils connectés au même moment sur ce Wi-Fi public.

Et là, il y a deux issues fréquentes.

Soit un identifiant personnel a été saisi quelque part dans le parcours du Wi-Fi, donc avec un portail d'inscription.

Par exemple, je vais prendre l'exemple de du train.

Avec le portail de connexion Wi-Fi de la SNCF.

Ou alors avec un accès qui a été fait sur réservation, par exemple dans un hôtel.

Et ça, ça va relier directement à l'appareil de la personne.

Soit il faut et bien recouper.

Donc là, pareil, les enquêteurs vont regarder les caméras de l'établissement, l'agencement des tables, qui était assis où et à quelle heure.

On vérifie les règlements par carte bancaire sur la tranche horaire, les réservations, les tickets de caisse.

Et en fait, ils vont confronter tous ces éléments avec les caractéristiques techniques de l'appareil qui a été observé dans les logs de connexion.

La reconnaissance faciale et bien aussi peut intervenir en support pour identifier les personnes qui étaient présentes dans l'établissement.

Et puis bien si nécessaire, ils vont élargir le contexte, par exemple, caméras extérieures pour suivre un trajet.

Relever des opérateurs mobiles pour confirmer la présence de certains téléphones dans la zone au même moment, liste du personnel et horaires.

Et est-ce que ces numéros de téléphone, et bien sont liés à des comptes en ligne ?

Est-ce qu'ils sont connus des fichiers de police, des administrations, des banques ?

Votre présence physique dans un lieu public, croisée avec l'empreinte réseau de votre appareil.

Et la chronologie suffit souvent à rattacher une activité en ligne à une personne précise.

Si vous ne devez retenir qu'une leçon.

C'est que l'anonymat tient d'abord à la traçabilité de vos données, pas seulement au fait de cacher votre connexion.

Tout ce que vous fournissez pour naviguer et vous inscrire alimente une chaîne d'attribution.

Exemple, je crée un compte sur un réseau social.

L'adresse email utilisée n'a jamais été loguée sur une autre adresse IP qui me relie à ma vie réelle.

Je ne renseigne aucun élément de profil.

Pseudo, lieu, date de naissance, tout ça c'est bidon.

Et rien ne peut me rattacher à mon identité.

Si j'utilise un numéro de téléphone, il n'a servi à aucune communication personnelle.

N'est lié à aucun autre compte et n'a pas été activé là où je vis.

Bien, je vais limiter mes traces.

Petit conseil personnel, un numéro de téléphone parle bien plus qu'une adresse email jetable.

Qui a été bien créé.

Et à chaque étape, demandez-vous qu'est-ce que cet identifiant a pu conserver et révéler sur moi.

Partez d'un principe simple.

La plateforme que vous utilisez, messagerie, réseau social, site web, collecte des données sur vous.

Et ces données peuvent fuiter, elles peuvent être demandées légalement, analysées et recoupées.

Faites un schéma point par point de chaque élément et la façon dont ils sont reliés entre eux.

Par exemple, je m'inscris sur une plateforme payante.

L'adresse email utilisée est utilisée derrière un VPN, mais j'ai tout de même fourni des informations.

Le service va voir une localisation approximative, un fuseau horaire, la langue du système.

Le type de navigateur que j'utilise.

Comment le moyen de paiement lui me relie à mon identité réelle, carte bancaire, PayPal, crypto avec ou sans vérification d'identité.

Et ainsi de suite.

Maillon par maillon, posez-vous ces questions, faites le schéma pour essayer de voir quel est le lien entre tous ces éléments qui vous concernent.

Quand je vous dis dans chaque vidéo que l'erreur se trouve entre la chaise et le clavier, c'est pas une formule.

Des cybercriminels très aguerris ont été arrêtés à cause d'une banale faille d'OPSEC et tôt ou tard, une trace exploitable vous relie à votre identité réelle.

Par exemple, Ross Ulbricht, fondateur de Silk Road, grand marché du Dark Web au début des années 2010.

Il avait posté une annonce sur un forum Bitcoin avec son email perso, [email protected].

Compte Google qui était à son nom.

Et bien en octobre 2013, il est arrêté en flagrant délit alors qu'il administre Silk Road dans une bibliothèque.

Encore un autre exemple.

Alexandre Cazes, alias Alpha02, administrateur d'AlphaBay.

Idem, plateforme illégale du Dark Web.

Et bien le courriel de bienvenue envoyé aux nouveaux inscrits sur la plateforme, et bien contenait dans son en-tête [email protected].

Donc littéralement, et bien un prénom et une année de naissance.

Les enquêteurs ont fait le lien avec un poste de 2008 sur un forum tech où Alpha02 signait Cazes.

Ça paraît dérisoire, mais les faits sont là, la mémoire d'Internet est sans limite.

Et vous ne maîtrisez pas l'immensité des traces numériques accumulées et l'addition de petites traces finit par vous compromettre.

Allez, on va revenir au début de la vidéo.

On revient à ce poste menaçant qui déclenche une enquête.

Cette fois, et bien vous avez utilisé un VPN.

L'idée, c'est pas pour les enquêteurs de percer le tunnel chiffré.

Mais d'exploiter tout ce qui gravite autour, ce que livre la plateforme visée, les métadonnées de connexion.

Et ce que le fournisseur VPN peut légalement produire.

Un VPN, donc pour schématiser, c'est un tunnel chiffré entre votre appareil et un serveur.

Votre fournisseur d'accès Internet ne voit que ce tunnel.

Le site visité ne voit que l'IP du serveur VPN.

La police, et bien va partir de cette IP de sortie avec un horodatage précis après avoir interrogé la plateforme.

Donc par exemple, Twitter ou Gmail.

Si le VPN conserve des journaux, il peut relier l'IP de sortie et l'heure à un compte client et parfois à l'IP d'origine de la session.

Ça, c'est ce qu'on appelle les logs.

D'où l'importance des VPN réellement no log.

Ne vous contentez pas d'un slogan.

Il faut des preuves.

On a déjà vu des services estampillés no log fournir des journaux d'identification aux enquêteurs.

Il y a des exemples connus comme PureVPN en 2017 ou IPVanish en 2016.

Et alors là, autant vous dire que c'est les catons.

À l'inverse, lors d'une perquisition chez Mullvad, VPN hébergé en Suède, et bien les enquêteurs sont repartis bredouille.

Il n'y avait strictement aucune donnée conservée sur les serveurs.

Il n'y avait rien à récupérer.

Donc ce qu'il faut retenir, c'est que les actes comptent plus que le marketing.

Même un bon VPN manipule des informations techniques pour fonctionner.

Il va avoir besoin de votre IP d'origine au moment de l'établissement de la connexion.

Et l'IP de sortie attribuée, un début et une fin de session.

Ainsi que le volume du trafic web.

La différence se joue dans la manière de les gérer.

En mémoire volatile, effacée à la fin de la session et agrégée sans lien nominatif et aucune donnée stockée durablement.

Et si possible, et bien dans une juridiction qui autorise tout ça.

Évitez les VPN gratuits.

Si c'est gratuit, vous le savez, vous êtes le produit.

Votre trafic web est une source de revenu marketing.

Prenez un service payant fiable, reconnu par la communauté cyber.

Maintenant, reste la question du compte et du paiement.

Beaucoup de VPN exigent un email, ce qui laisse des traces supplémentaires.

D'autres, comme Mullvad, vous donnent un identifiant aléatoire sans email, ce qui ne vous relie pas à votre identité réelle.

Sauf le moyen de paiement.

Justement.

Côté paiement, optez pour une solution réellement anonyme, chez Proton par exemple, vous pouvez avoir email et VPN sur le même compte.

Avec une politique de confidentialité exigeante.

Maximisez votre discrétion en ne fournissant aucune donnée personnelle.

Et en payant sans lien direct avec votre identité lorsque c'est possible, par exemple, espèce ou Monero.

Et souvenez-vous, le Bitcoin par exemple est traçable.

Un achat passé sur une plateforme avec vérification d'identité permet de remonter jusqu'à vous.

Allez, ajoutez à la liste des vulnérabilités tout ce qui relève des fuites involontaires.

Le piège classique, c'est le faux sentiment de sécurité.

Vous pensez que le VPN est connecté et en réalité, il se déconnecte 3 secondes.

Et votre trafic repart à découvert.

Votre IP réelle est visible.

La solution, ça s'appelle le Kill Switch.

C'est un coupe-circuit réseau qui bloque toute sortie Internet tant que le tunnel chiffré n'est pas établi.

Idéalement, ce coupe-circuit fonctionne au niveau du système d'exploitation.

Plutôt que comme une simple option de l'application VPN.

Autre source d'ennui.

Le split tunneling.

C'est une fonction qui autorise certaines applications à sortir en direct pendant que le reste passe par le VPN.

Donc ça, c'est vous qui l'autorisez et c'est pratique pour un site web ou une application un peu capricieuse.

Comme les portails bancaires qui refusent les connexions VPN.

Mais c'est dangereux si vous ne maîtrisez pas précisément la liste.

Si vous n'en avez pas besoin, désactivez-le.

Si vous l'utilisez, limitez-le à une application identifiée.

Et testez ensuite que tout le reste passe bien par le tunnel.

Autre source d'ennui.

Le JavaScript par exemple.

Lui est un langage que les sites exécutent dans votre navigateur pour afficher des contenus dynamiques.

C'est utile mais c'est très bavard, il peut mesurer votre environnement, appeler des ressources externes.

Et récupérer des détails sur votre appareil.

Sur des réseaux non sécurisés.

Un portail captif un peu trop intrusif ou une page non chiffrée.

Et bien ça peut injecter du code malveillant.

Le VPN lui protège le trajet, mais pas le code que le site vous fait exécuter.

D'où l'intérêt d'un navigateur bien réglé et d'un bloqueur sérieux qui coupe les scripts tiers inutiles.

Et réduit la surface d'attaque.

Les navigateurs orientés vie privée comme Tor Browser ou Mullvad Browser désactivent WebRTC par défaut.

Et uniformise beaucoup d'éléments techniques.

Brave et Firefox bien configurés offrent aussi des protections solides à condition d'activer les options prévues.

Et d'utiliser un bloqueur de contenu strict pour les scripts tiers.

Je vous mets d'autres liens dans la description.

Pensez aussi aux métadonnées qui voyagent avec vos fichiers.

Une photo peut contenir des informations EXIF très précises.

Le modèle d'appareil, la date et l'heure.

Et parfois les coordonnées GPS.

Publier l'image brute, c'est parfois signer votre contenu.

Et bien sans le vouloir et laisser une trace sur Internet.

Certaines plateformes les suppriment automatiquement.

Mais d'autres non.

Et la bonne habitude, et bien quand c'est sensible, c'est de retirer ces données avant l'envoi avec un outil dédié.

Ou au minimum de désactiver l'enregistrement de la localisation dans l'appareil photo de votre téléphone.

Reste l'empreinte de votre navigateur et de votre appareil.

Ce qu'on appelle le fingerprinting.

Même avec un VPN, la combinaison de votre résolution d'écran, la taille de votre téléphone ou de votre ordinateur.

Des polices installées, des extensions, la langue du navigateur, le fuseau horaire sur lequel vous êtes connecté.

Le format de date et d'autres paramètres, et bien peut suffire à vous rendre unique.

Parmi toutes les personnes qui naviguent sur le web.

Pour une enquête, et bien cette empreinte permet de reconnaître le même navigateur sur des sessions différentes.

Et de relier entre eux des accès qui partagent la même signature.

Puis de les croiser avec des comptes déjà connus.

Mais ce n'est pas que du technique.

C'est surtout un travail de recoupement.

Ils vont croiser les horaires de connexion avec des éléments hors ligne, donc par exemple, géolocalisation des lignes mobiles.

Caméras de surveillance.

Interception des historiques de connexion.

Planning de travail.

Ou liste du personnel si on est sur un environnement professionnel.

Et on croise aussi les identifiants observés dans les logs, donc ça va être les comptes, les adresses email, les numéros.

Avec les personnes susceptibles d'avoir utilisé la ligne.

Et à force de filtrer et d'affiner, et bien l'enquêteur va réduire la liste jusqu'à isoler la personne suspecte.

On passe au Wi-Fi public.

Hôtel, café, restaurant, espace de coworking, même sans inscription nominative.

L'adresse IP visible sur Internet renvoie à l'établissement.

Les enquêteurs vont alors récupérer sur place les journaux de connexion du réseau.

Le contrôleur Wi-Fi et le routeur gardent la liste de toutes les connexions avec l'heure, l'adresse IP locale attribuée et surtout l'adresse MAC de chaque appareil.

L'adresse MAC pour Media Access Control est un identifiant propre à la carte réseau de votre ordinateur.

Et visible uniquement sur le réseau local sur lequel vous vous connectez.

Et elle permet de distinguer les appareils et de connaître aussi parfois la marque.

Et selon les configurations, et bien un portail d'inscription va enregistrer aussi un email, un numéro de chambre, un numéro de téléphone ou un ticket imprimé.

Et avec la fenêtre temporelle fournie par Twitter ou Gmail par exemple, et bien on va isoler les appareils connectés au même moment sur ce Wi-Fi public.

Et là, il y a deux issues fréquentes.

Soit un identifiant personnel a été saisi quelque part dans le parcours du Wi-Fi, donc avec un portail d'inscription.

Par exemple, je vais prendre l'exemple de du train.

Avec le portail de connexion Wi-Fi de la SNCF.

Ou alors avec un accès qui a été fait sur réservation, par exemple dans un hôtel.

Et ça, ça va relier directement à l'appareil de la personne.

Soit il faut et bien recouper.

Donc là, pareil, les enquêteurs vont regarder les caméras de l'établissement, l'agencement des tables, qui était assis où et à quelle heure.

On vérifie les règlements par carte bancaire sur la tranche horaire, les réservations, les tickets de caisse.

Et en fait, ils vont confronter tous ces éléments avec les caractéristiques techniques de l'appareil qui a été observé dans les logs de connexion.

La reconnaissance faciale et bien aussi peut intervenir en support pour identifier les personnes qui étaient présentes dans l'établissement.

Et puis bien si nécessaire, ils vont élargir le contexte, par exemple, caméras extérieures pour suivre un trajet.

Relever des opérateurs mobiles pour confirmer la présence de certains téléphones dans la zone au même moment, liste du personnel et horaires.

Et est-ce que ces numéros de téléphone, et bien sont liés à des comptes en ligne ?

Est-ce qu'ils sont connus des fichiers de police, des administrations, des banques ?

Votre présence physique dans un lieu public, croisée avec l'empreinte réseau de votre appareil.

Et la chronologie suffit souvent à rattacher une activité en ligne à une personne précise.

Si vous ne devez retenir qu'une leçon.

C'est que l'anonymat tient d'abord à la traçabilité de vos données, pas seulement au fait de cacher votre connexion.

Tout ce que vous fournissez pour naviguer et vous inscrire alimente une chaîne d'attribution.

Exemple, je crée un compte sur un réseau social.

L'adresse email utilisée n'a jamais été loguée sur une autre adresse IP qui me relie à ma vie réelle.

Je ne renseigne aucun élément de profil.

Pseudo, lieu, date de naissance, tout ça c'est bidon.

Et rien ne peut me rattacher à mon identité.

Si j'utilise un numéro de téléphone, il n'a servi à aucune communication personnelle.

N'est lié à aucun autre compte et n'a pas été activé là où je vis.

Bien, je vais limiter mes traces.

Petit conseil personnel, un numéro de téléphone parle bien plus qu'une adresse email jetable.

Qui a été bien créé.

Et à chaque étape, demandez-vous qu'est-ce que cet identifiant a pu conserver et révéler sur moi.

Partez d'un principe simple.

La plateforme que vous utilisez, messagerie, réseau social, site web, collecte des données sur vous.

Et ces données peuvent fuiter, elles peuvent être demandées légalement, analysées et recoupées.

Faites un schéma point par point de chaque élément et la façon dont ils sont reliés entre eux.

Par exemple, je m'inscris sur une plateforme payante.

L'adresse email utilisée est utilisée derrière un VPN, mais j'ai tout de même fourni des informations.

Le service va voir une localisation approximative, un fuseau horaire, la langue du système.

Le type de navigateur que j'utilise.

Comment le moyen de paiement lui me relie à mon identité réelle, carte bancaire, PayPal, crypto avec ou sans vérification d'identité.

Et ainsi de suite.

Maillon par maillon, posez-vous ces questions, faites le schéma pour essayer de voir quel est le lien entre tous ces éléments qui vous concernent.

Quand je vous dis dans chaque vidéo que l'erreur se trouve entre la chaise et le clavier, c'est pas une formule.

Des cybercriminels très aguerris ont été arrêtés à cause d'une banale faille d'OPSEC et tôt ou tard, une trace exploitable vous relie à votre identité réelle.

Par exemple, Ross Ulbricht, fondateur de Silk Road, grand marché du Dark Web au début des années 2010.

Il avait posté une annonce sur un forum Bitcoin avec son email perso, [email protected].

Compte Google qui était à son nom.

Et bien en octobre 2013, il est arrêté en flagrant délit alors qu'il administre Silk Road dans une bibliothèque.

Encore un autre exemple.

Alexandre Cazes, alias Alpha02, administrateur d'AlphaBay.

Idem, plateforme illégale du Dark Web.

Et bien le courriel de bienvenue envoyé aux nouveaux inscrits sur la plateforme, et bien contenait dans son en-tête [email protected], donc littéralement, et bien un prénom et une année de naissance, les enquêteurs ont fait le lien avec un poste de 2008 sur un forum tech où Alpha02 signait Cazes.

Ça paraît dérisoire, mais les faits sont là, la mémoire d'Internet est sans limite.

Et vous ne maîtrisez pas l'immensité des traces numériques accumulées et l'addition de petites traces finit par vous compromettre.

Allez, on va revenir au début de la vidéo.

On revient à ce poste menaçant qui déclenche une enquête.

Cette fois, et bien vous avez utilisé un VPN.

L'idée, c'est pas pour les enquêteurs de percer le tunnel chiffré.

Mais d'exploiter tout ce qui gravite autour, ce que livre la plateforme visée, les métadonnées de connexion.

Et ce que le fournisseur VPN peut légalement produire.

Un VPN, donc pour schématiser, c'est un tunnel chiffré entre votre appareil et un serveur.

Votre fournisseur d'accès Internet ne voit que ce tunnel.

Le site visité ne voit que l'IP du serveur VPN.

La police, et bien va partir de cette IP de sortie avec un horodatage précis après avoir interrogé la plateforme.

Donc par exemple, Twitter ou Gmail.

Si le VPN conserve des journaux, il peut relier l'IP de sortie et l'heure à un compte client et parfois à l'IP d'origine de la session.

Ça, c'est ce qu'on appelle les logs.

D'où l'importance des VPN réellement no log.

Ne vous contentez pas d'un slogan.

Il faut des preuves.

On a déjà vu des services estampillés no log fournir des journaux d'identification aux enquêteurs.

Il y a des exemples connus comme PureVPN en 2017 ou IPVanish en 2016.

Et alors là, autant vous dire que c'est les catons.

À l'inverse, lors d'une perquisition chez Mullvad, VPN hébergé en Suède, et bien les enquêteurs sont repartis bredouille.

Il n'y avait strictement aucune donnée conservée sur les serveurs.

Il n'y avait rien à récupérer.

Donc ce qu'il faut retenir, c'est que les actes comptent plus que le marketing.

Même un bon VPN manipule des informations techniques pour fonctionner.

Il va avoir besoin de votre IP d'origine au moment de l'établissement de la connexion.

Et l'IP de sortie attribuée, un début et une fin de session.

Ainsi que le volume du trafic web.

La différence se joue dans la manière de les gérer.

En mémoire volatile, effacée à la fin de la session et agrégée sans lien nominatif et aucune donnée stockée durablement.

Et si possible, et bien dans une juridiction qui autorise tout ça.

Évitez les VPN gratuits.

Si c'est gratuit, vous le savez, vous êtes le produit.

Votre trafic web est une source de revenu marketing.

Prenez un service payant fiable, reconnu par la communauté cyber.

Maintenant, reste la question du compte et du paiement.

Beaucoup de VPN exigent un email, ce qui laisse des traces supplémentaires.

D'autres, comme Mullvad, vous donnent un identifiant aléatoire sans email, ce qui ne vous relie pas à votre identité réelle.

Sauf le moyen de paiement.

Justement.

Côté paiement, optez pour une solution réellement anonyme, chez Proton par exemple, vous pouvez avoir email et VPN sur le même compte.

Avec une politique de confidentialité exigeante.

Maximisez votre discrétion en ne fournissant aucune donnée personnelle.

Et en payant sans lien direct avec votre identité lorsque c'est possible, par exemple, espèce ou Monero.

Et souvenez-vous, le Bitcoin par exemple est traçable.

Un achat passé sur une plateforme avec vérification d'identité permet de remonter jusqu'à vous.

Allez, ajoutez à la liste des vulnérabilités tout ce qui relève des fuites involontaires.

Le piège classique, c'est le faux sentiment de sécurité.

Vous pensez que le VPN est connecté et en réalité, il se déconnecte 3 secondes.

Et votre trafic repart à découvert.

Votre IP réelle est visible.

La solution, ça s'appelle le Kill Switch.

C'est un coupe-circuit réseau qui bloque toute sortie Internet tant que le tunnel chiffré n'est pas établi.

Idéalement, ce coupe-circuit fonctionne au niveau du système d'exploitation.

Plutôt que comme une simple option de l'application VPN.

Autre source d'ennui.

Le split tunneling.

C'est une fonction qui autorise certaines applications à sortir en direct pendant que le reste passe par le VPN.

Donc ça, c'est vous qui l'autorisez et c'est pratique pour un site web ou une application un peu capricieuse.

Comme les portails bancaires qui refusent les connexions VPN.

Mais c'est dangereux si vous ne maîtrisez pas précisément la liste.

Si vous n'en avez pas besoin, désactivez-le.

Si vous l'utilisez, limitez-le à une application identifiée.

Et testez ensuite que tout le reste passe bien par le tunnel.

Autre source d'ennui.

Le JavaScript par exemple.

Lui est un langage que les sites exécutent dans votre navigateur pour afficher des contenus dynamiques.

C'est utile mais c'est très bavard, il peut mesurer votre environnement, appeler des ressources externes.

Et récupérer des détails sur votre appareil.

Sur des réseaux non sécurisés.

Un portail captif un peu trop intrusif ou une page non chiffrée.

Et bien ça peut injecter du code malveillant.

Le VPN lui protège le trajet, mais pas le code que le site vous fait exécuter.

D'où l'intérêt d'un navigateur bien réglé et d'un bloqueur sérieux qui coupe les scripts tiers inutiles.

Et réduit la surface d'attaque.

Les navigateurs orientés vie privée comme Tor Browser ou Mullvad Browser désactivent WebRTC par défaut.

Et uniformise beaucoup d'éléments techniques.

Brave et Firefox bien configurés offrent aussi des protections solides à condition d'activer les options prévues.

Et d'utiliser un bloqueur de contenu strict pour les scripts tiers.

Je vous mets d'autres liens dans la description.

Pensez aussi aux métadonnées qui voyagent avec vos fichiers.

Une photo peut contenir des informations EXIF très précises.

Le modèle d'appareil, la date et l'heure.

Et parfois les coordonnées GPS.

Publier l'image brute, c'est parfois signer votre contenu.

Et bien sans le vouloir et laisser une trace sur Internet.

Certaines plateformes les suppriment automatiquement.

Mais d'autres non.

Et la bonne habitude, et bien quand c'est sensible, c'est de retirer ces données avant l'envoi avec un outil dédié.

Ou au minimum de désactiver l'enregistrement de la localisation dans l'appareil photo de votre téléphone.

Reste l'empreinte de votre navigateur et de votre appareil.

Ce qu'on appelle le fingerprinting.

Même avec un VPN, la combinaison de votre résolution d'écran, la taille de votre téléphone ou de votre ordinateur.

Des polices installées, des extensions, la langue du navigateur, le fuseau horaire sur lequel vous êtes connecté.

Le format de date et d'autres paramètres, et bien peut suffire à vous rendre unique.

Parmi toutes les personnes qui naviguent sur le web.

Pour une enquête, et bien cette empreinte permet de reconnaître le même navigateur sur des sessions différentes.

Et de relier entre eux des accès qui partagent la même signature.

Puis de les croiser avec des comptes déjà connus.

Mais ce n'est pas que du technique.

C'est surtout un travail de recoupement.

Ils vont croiser les horaires de connexion avec des éléments hors ligne, donc par exemple, géolocalisation des lignes mobiles.

Caméras de surveillance.

Interception des historiques de connexion.

Planning de travail.

Ou liste du personnel si on est sur un environnement professionnel.

Et on croise aussi les identifiants observés dans les logs, donc ça va être les comptes, les adresses email, les numéros.

Avec les personnes susceptibles d'avoir utilisé la ligne.

Et à force de filtrer et d'affiner, et bien l'enquêteur va réduire la liste jusqu'à isoler la personne suspecte.

On passe au Wi-Fi public.

Hôtel, café, restaurant, espace de coworking, même sans inscription nominative.

L'adresse IP visible sur Internet renvoie à l'établissement.

Les enquêteurs vont alors récupérer sur place les journaux de connexion du réseau.

Le contrôleur Wi-Fi et le routeur gardent la liste de toutes les connexions avec l'heure, l'adresse IP locale attribuée et surtout l'adresse MAC de chaque appareil.

L'adresse MAC pour Media Access Control est un identifiant propre à la carte réseau de votre ordinateur.

Et visible uniquement sur le réseau local sur lequel vous vous connectez.

Et elle permet de distinguer les appareils et de connaître aussi parfois la marque.

Et selon les configurations, et bien un portail d'inscription va enregistrer aussi un email, un numéro de chambre, un numéro de téléphone ou un ticket imprimé.

Et avec la fenêtre temporelle fournie par Twitter ou Gmail par exemple, et bien on va isoler les appareils connectés au même moment sur ce Wi-Fi public.

Et là, il y a deux issues fréquentes.

Soit un identifiant personnel a été saisi quelque part dans le parcours du Wi-Fi, donc avec un portail d'inscription.

Par exemple, je vais prendre l'exemple de du train.

Avec le portail de connexion Wi-Fi de la SNCF.

Ou alors avec un accès qui a été fait sur réservation, par exemple dans un hôtel.

Et ça, ça va relier directement à l'appareil de la personne.

Soit il faut et bien recouper.

Donc là, pareil, les enquêteurs vont regarder les caméras de l'établissement, l'agencement des tables, qui était assis où et à quelle heure.

On vérifie les règlements par carte bancaire sur la tranche horaire, les réservations, les tickets de caisse.

Et en fait, ils vont confronter tous ces éléments avec les caractéristiques techniques de l'appareil qui a été observé dans les logs de connexion.

La reconnaissance faciale et bien aussi peut intervenir en support pour identifier les personnes qui étaient présentes dans l'établissement.

Et puis bien si nécessaire, ils vont élargir le contexte, par exemple, caméras extérieures pour suivre un trajet.

Relever des opérateurs mobiles pour confirmer la présence de certains téléphones dans la zone au même moment, liste du personnel et horaires.

Et est-ce que ces numéros de téléphone, et bien sont liés à des comptes en ligne ?

Est-ce qu'ils sont connus des fichiers de police, des administrations, des banques ?

Votre présence physique dans un lieu public, croisée avec l'empreinte réseau de votre appareil.

Et la chronologie suffit souvent à rattacher une activité en ligne à une personne précise.

Si vous ne devez retenir qu'une leçon.

C'est que l'anonymat tient d'abord à la traçabilité de vos données, pas seulement au fait de cacher votre connexion.

Tout ce que vous fournissez pour naviguer et vous inscrire alimente une chaîne d'attribution.

Exemple, je crée un compte sur un réseau social.

L'adresse email utilisée n'a jamais été loguée sur une autre adresse IP qui me relie à ma vie réelle.

Je ne renseigne aucun élément de profil.

Pseudo, lieu, date de naissance, tout ça c'est bidon.

Et rien ne peut me rattacher à mon identité.

Si j'utilise un numéro de téléphone, il n'a servi à aucune communication personnelle.

N'est lié à aucun autre compte et n'a pas été activé là où je vis.

Bien, je vais limiter mes traces.

Petit conseil personnel, un numéro de téléphone parle bien plus qu'une adresse email jetable.

Qui a été bien créé.

Et à chaque étape, demandez-vous qu'est-ce que cet identifiant a pu conserver et révéler sur moi.

Partez d'un principe simple.

La plateforme que vous utilisez, messagerie, réseau social, site web, collecte des données sur vous.

Et ces données peuvent fuiter, elles peuvent être demandées légalement, analysées et recoupées.

Faites un schéma point par point de chaque élément et la façon dont ils sont reliés entre eux.

Par exemple, je m'inscris sur une plateforme payante.

L'adresse email utilisée est utilisée derrière un VPN, mais j'ai tout de même fourni des informations.

Le service va voir une localisation approximative, un fuseau horaire, la langue du système.

Le type de navigateur que j'utilise.

Comment le moyen de paiement lui me relie à mon identité réelle, carte bancaire, PayPal, crypto avec ou sans vérification d'identité.

Et ainsi de suite.

Maillon par maillon, posez-vous ces questions, faites le schéma pour essayer de voir quel est le lien entre tous ces éléments qui vous concernent.

Quand je vous dis dans chaque vidéo que l'erreur se trouve entre la chaise et le clavier, c'est pas une formule.

Des cybercriminels très aguerris ont été arrêtés à cause d'une banale faille d'OPSEC et tôt ou tard, une trace exploitable vous relie à votre identité réelle.

Par exemple, Ross Ulbricht, fondateur de Silk Road, grand marché du Dark Web au début des années 2010.

Il avait posté une annonce sur un forum Bitcoin avec son email perso, [email protected].

Compte Google qui était à son nom.

Et bien en octobre 2013, il est arrêté en flagrant délit alors qu'il administre Silk Road dans une bibliothèque.

Encore un autre exemple.

Alexandre Cazes, alias Alpha02, administrateur d'AlphaBay.

Idem, plateforme illégale du Dark Web.

Et bien le courriel de bienvenue envoyé aux nouveaux inscrits sur la plateforme, et bien contenait dans son en-tête [email protected].

Donc littéralement, et bien un prénom et une année de naissance.

Les enquêteurs ont fait le lien avec un poste de 2008 sur un forum tech où Alpha02 signait Cazes.

Ça paraît dérisoire, mais les faits sont là, la mémoire d'Internet est sans limite.

Et vous ne maîtrisez pas l'immensité des traces numériques accumulées et l'addition de petites traces finit par vous compromettre.

Allez, on va revenir au début de la vidéo.

On revient à ce poste menaçant qui déclenche une enquête.

Cette fois, et bien vous avez utilisé un VPN.

L'idée, c'est pas pour les enquêteurs de percer le tunnel chiffré.

Mais d'exploiter tout ce qui gravite autour, ce que livre la plateforme visée, les métadonnées de connexion.

Et ce que le fournisseur VPN peut légalement produire.

Un VPN, donc pour schématiser, c'est un tunnel chiffré entre votre appareil et un serveur.

Votre fournisseur d'accès Internet ne voit que ce tunnel.

Le site visité ne voit que l'IP du serveur VPN.

La police, et bien va partir de cette IP de sortie avec un horodatage précis après avoir interrogé la plateforme.

Donc par exemple, Twitter ou Gmail.

Si le VPN conserve des journaux, il peut relier l'IP de sortie et l'heure à un compte client et parfois à l'IP d'origine de la session.

Ça, c'est ce qu'on appelle les logs.

D'où l'importance des VPN réellement no log.

Ne vous contentez pas d'un slogan.

Il faut des preuves.

On a déjà vu des services estampillés no log fournir des journaux d'identification aux enquêteurs.

Il y a des exemples connus comme PureVPN en 2017 ou IPVanish en 2016.

Et alors là, autant vous dire que c'est les catons.

À l'inverse, lors d'une perquisition chez Mullvad, VPN hébergé en Suède, et bien les enquêteurs sont repartis bredouille.

Il n'y avait strictement aucune donnée conservée sur les serveurs.

Il n'y avait rien à récupérer.

Donc ce qu'il faut retenir, c'est que les actes comptent plus que le marketing.

Même un bon VPN manipule des informations techniques pour fonctionner.

Il va avoir besoin de votre IP d'origine au moment de l'établissement de la connexion.

Et l'IP de sortie attribuée, un début et une fin de session.

Ainsi que le volume du trafic web.

La différence se joue dans la manière de les gérer.

En mémoire volatile, effacée à la fin de la session et agrégée sans lien nominatif et aucune donnée stockée durablement.

Et si possible, et bien dans une juridiction qui autorise tout ça.

Évitez les VPN gratuits.

Si c'est gratuit, vous le savez, vous êtes le produit.

Votre trafic web est une source de revenu marketing.

Prenez un service payant fiable, reconnu par la communauté cyber.

Maintenant, reste la question du compte et du paiement.

Beaucoup de VPN exigent un email, ce qui laisse des traces supplémentaires.

D'autres, comme Mullvad, vous donnent un identifiant aléatoire sans email, ce qui ne vous relie pas à votre identité réelle.

Sauf le moyen de paiement.

Justement.

Côté paiement, optez pour une solution réellement anonyme, chez Proton par exemple, vous pouvez avoir email et VPN sur le même compte.

Avec une politique de confidentialité exigeante.

Maximisez votre discrétion en ne fournissant aucune donnée personnelle.

Et en payant sans lien direct avec votre identité lorsque c'est possible, par exemple, espèce ou Monero.

Et souvenez-vous, le Bitcoin par exemple est traçable.

Un achat passé sur une plateforme avec vérification d'identité permet de remonter jusqu'à vous.

Allez, ajoutez à la liste des vulnérabilités tout ce qui relève des fuites involontaires.

Le piège classique, c'est le faux sentiment de sécurité.

Vous pensez que le VPN est connecté et en réalité, il se déconnecte 3 secondes.

Et votre trafic repart à découvert.

Votre IP réelle est visible.

La solution, ça s'appelle le Kill Switch.

C'est un coupe-circuit réseau qui bloque toute sortie Internet tant que le tunnel chiffré n'est pas établi.

Idéalement, ce coupe-circuit fonctionne au niveau du système d'exploitation.

Plutôt que comme une simple option de l'application VPN.

Autre source d'ennui.

Le split tunneling.

C'est une fonction qui autorise certaines applications à sortir en direct pendant que le reste passe par le VPN.

Donc ça, c'est vous qui l'autorisez et c'est pratique pour un site web ou une application un peu capricieuse.

Comme les portails bancaires qui refusent les connexions VPN.

Mais c'est dangereux si vous ne maîtrisez pas précisément la liste.

Si vous n'en avez pas besoin, désactivez-le.

Si vous l'utilisez, limitez-le à une application identifiée.

Et testez ensuite que tout le reste passe bien par le tunnel.

Autre source d'ennui.

Le JavaScript par exemple.

Lui est un langage que les sites exécutent dans votre navigateur pour afficher des contenus dynamiques.

C'est utile mais c'est très bavard, il peut mesurer votre environnement, appeler des ressources externes.

Et récupérer des détails sur votre appareil.

Sur des réseaux non sécurisés.

Un portail captif un peu trop intrusif ou une page non chiffrée.

Et bien ça peut injecter du code malveillant.

Le VPN lui protège le trajet, mais pas le code que le site vous fait exécuter.

D'où l'intérêt d'un navigateur bien réglé et d'un bloqueur sérieux qui coupe les scripts tiers inutiles.

Et réduit la surface d'attaque.

Les navigateurs orientés vie privée comme Tor Browser ou Mullvad Browser désactivent WebRTC par défaut.

Et uniformise beaucoup d'éléments techniques.

Brave et Firefox bien configurés offrent aussi des protections solides à condition d'activer les options prévues.

Et d'utiliser un bloqueur de contenu strict pour les scripts tiers.

Je vous mets d'autres liens dans la description.

Pensez aussi aux métadonnées qui voyagent avec vos fichiers.

Une photo peut contenir des informations EXIF très précises.

Le modèle d'appareil, la date et l'heure.

Et parfois les coordonnées GPS.

Publier l'image brute, c'est parfois signer votre contenu.

Et bien sans le vouloir et laisser une trace sur Internet.

Certaines plateformes les suppriment automatiquement.

Mais d'autres non.

Et la bonne habitude, et bien quand c'est sensible, c'est de retirer ces données avant l'envoi avec un outil dédié.

Ou au minimum de désactiver l'enregistrement de la localisation dans l'appareil photo de votre téléphone.

Reste l'empreinte de votre navigateur et de votre appareil.

Ce qu'on appelle le fingerprinting.

Même avec un VPN, la combinaison de votre résolution d'écran, la taille de votre téléphone ou de votre ordinateur.

Des polices installées, des extensions, la langue du navigateur, le fuseau horaire sur lequel vous êtes connecté.

Le format de date et d'autres paramètres, et bien peut suffire à vous rendre unique.

Parmi toutes les personnes qui naviguent sur le web.

Pour une enquête, et bien cette empreinte permet de reconnaître le même navigateur sur des sessions différentes.

Et de relier entre eux des accès qui partagent la même signature.

Puis de les croiser avec des comptes déjà connus.

Mais ce n'est pas que du technique.

C'est surtout un travail de recoupement.

Ils vont croiser les horaires de connexion avec des éléments hors ligne, donc par exemple, géolocalisation des lignes mobiles.

Caméras de surveillance.

Interception des historiques de connexion.

Planning de travail.

Ou liste du personnel si on est sur un environnement professionnel.

Et on croise aussi les identifiants observés dans les logs, donc ça va être les comptes, les adresses email, les numéros.

Avec les personnes susceptibles d'avoir utilisé la ligne.

Et à force de filtrer et d'affiner, et bien l'enquêteur va réduire la liste jusqu'à isoler la personne suspecte.

On passe au Wi-Fi public.

Hôtel, café, restaurant, espace de coworking, même sans inscription nominative.

L'adresse IP visible sur Internet renvoie à l'établissement.

Les enquêteurs vont alors récupérer sur place les journaux de connexion du réseau.

Le contrôleur Wi-Fi et le routeur gardent la liste de toutes les connexions avec l'heure, l'adresse IP locale attribuée et surtout l'adresse MAC de chaque appareil.

L'adresse MAC pour Media Access Control est un identifiant propre à la carte réseau de votre ordinateur.

Et visible uniquement sur le réseau local sur lequel vous vous connectez.

Et elle permet de distinguer les appareils et de connaître aussi parfois la marque.

Et selon les configurations, et bien un portail d'inscription va enregistrer aussi un email, un numéro de chambre, un numéro de téléphone ou un ticket imprimé.

Et avec la fenêtre temporelle fournie par Twitter ou Gmail par exemple, et bien on va isoler les appareils connectés au même moment sur ce Wi-Fi public.

Et là, il y a deux issues fréquentes.

Soit un identifiant personnel a été saisi quelque part dans le parcours du Wi-Fi, donc avec un portail d'inscription.

Par exemple, je vais prendre l'exemple de du train.

Avec le portail de connexion Wi-Fi de la SNCF.

Ou alors avec un accès qui a été fait sur réservation, par exemple dans un hôtel.

Et ça, ça va relier directement à l'appareil de la personne.

Soit il faut et bien recouper.

Donc là, pareil, les enquêteurs vont regarder les caméras de l'établissement, l'agencement des tables, qui était assis où et à quelle heure.

On vérifie les règlements par carte bancaire sur la tranche horaire, les réservations, les tickets de caisse.

Et en fait, ils vont confronter tous ces éléments avec les caractéristiques techniques de l'appareil qui a été observé dans les logs de connexion.

La reconnaissance faciale et bien aussi peut intervenir en support pour identifier les personnes qui étaient présentes dans l'établissement.

Et puis bien si nécessaire, ils vont élargir le contexte, par exemple, caméras extérieures pour suivre un trajet.

Relever des opérateurs mobiles pour confirmer la présence de certains téléphones dans la zone au même moment, liste du personnel et horaires.

Et est-ce que ces numéros de téléphone, et bien sont liés à des comptes en ligne ?

Est-ce qu'ils sont connus des fichiers de police, des administrations, des banques ?

Votre présence physique dans un lieu public, croisée avec l'empreinte réseau de votre appareil.

Et la chronologie suffit souvent à rattacher une activité en ligne à une personne précise.