Vous vendez des photos ou vos vieilles tenues en latex sur internet et souhaitez rester anonyme ? Vous recevez ou vous déplacez pour des séances ? Cet article est fait pour vous.
Protéger vos comptes d’éventuels piratages
Les comptes des TdS sont particulièrement visés par des attaques et il est essentiel pour nous de redoubler de précautions.
Vérifier si on est victime de fuites de mots de passe
Des milliards de mots de passe ont été divulgués dans une grosse fuite de données récente. Vous avez 70% de chances d’être dans cette liste. Pour s’en assurer, vérifiez votre adresse mail sur le service gratuit HaveIBeenPwned. Si vous voyez un message vous expliquant que vos données ont été divulguées dans une fuite, il sera important de modifier tous vos mots de passe (et pas uniquement celui du service qui a fuité).
Utiliser des mots de passe robustes et différents
Vous allez vous dire “quelle sadique cette Madame Toska !”, mais c’est pourtant très important. Il vous faut des mots de passe longs et différents pour chaque application. La bonne nouvelle c’est que vous n’aurez pas besoin de les créer vous-même ou de vous en souvenir. Utilisez un gestionnaire de mots de passe comme Bitwarden. Celui-ci est sécurisé, open-source, et gratuit. Il synchronise vos mots de passe sur tous vos appareils et vous les propose au moment de les entrer sur vos applications. Il génère également des mots de passe très complexes et impossibles à pirater en une vie. Si vous ne voulez pas utiliser Bitwarden, le gestionnaire par défaut de votre téléphone ou navigateur peut faire l’affaire mais Bitwarden reste meilleur.
Utiliser l’authentification en deux facteurs
L’authentification en deux facteurs (2FA) ou multiples facteurs (MFA) implique qu’à chaque nouvelle connexion sur un service, une validation physique est demandée. Cette validation physique prend soit la forme d’un SMS sur votre téléphone, soit d’un code unique et temporaire généré sur une application spécialement conçue pour comme Twilio Authy. Authy est gratuite et conçue par le géant de l’informatique Twilio. Cette application est très réputée même si elle n’est pas open-source
Protéger votre trafic
Choisir un navigateur adéquat
Il est recommandé d’utiliser à minima un navigateur séparé pour votre activité. En fonction du risque dans votre zone géographique, différents types de navigateurs pourraient être recommandés. Si vous vous sentez peu menacée par vos lois, un navigateur comme Firefox ou Brave peut faire l’affaire. Firefox propose plus de fonctionnalités mais il faut les paramétrer tandis que Brave gère la protection de la vie privée par défaut. Firefox reste moins controversé que Brave. Si le niveau de menace ou le risque encouru sont plus forts, alors le navigateur Tor vous permettra de surfer plus anonymement sur le réseau Tor, un réseau composé de plusieurs proxys pour vous protéger.
Utiliser un VPN
Un logiciel VPN permet de masquer son adresse IP auprès de son fournisseur d’accès à internet et des sites que l’on visite. Il est fortement recommandé d’en utiliser un. Deux choix très intéressants sont Mullvad et iVPN qui sont conçus spécialement pour protéger votre anonymat. Ces deux VPN poussent le bouchon si loin qu’ils vous permettent même de payer anonymement, en bitcoin, ou en espèce par envoi postal.
Pour les personnes voulant une protection gratuite, Proton VPN propose des fonctionnalités limitées. Il a été conçu par les personnes derrière ProtonMail dont nous parlerons plus tard.
Changer votre résolveur DNS
Un résolveur DNS traduit les adresses IP des sites que vous visitez par leur nom de domaine. C’est l’un des outils essentiels au bon fonctionnement de l’internet que nous connaissons mais qui est relativement inconnu de la population générale. Votre résolveur est probablement fourni par votre FAI (Orange, Free, SFR…) mais il est recommandé de le changer.
Cette tâche est de loin la plus simple à accomplir. Il suffit simplement de changer un paramètre dans vos réglages Wifi. Quad9 propose un rapide guide pour changer votre résolveur DNS par le leur qui est respectueux de votre anonymat.
Protéger vos communications
Protéger vos communications par email
Il est recommandé d’utiliser un fournisseur d’e-mails chiffrés comme ProtonMail pour vous protéger vous et votre clientèle d’une potentielle fuite de données. ProtonMail applique un chiffrement de bout en bout qui rend vos mails illisibles par toute entité qui parviendrait hypothétiquement à les intercepter.
Si vous êtes trop profondément ancré dans votre utilisation de Gmail, Yahoo Mail, ou Outlook, vous pouvez toujours chiffrer vos emails grâce à un client mail (une application de bureau) comme Mozilla Thunderbird, ou une extension Firefox ou Brave comme Mailvelope.
Protéger vos communications par messages
L’idéal serait d’utiliser une application qui chiffre vos messages de bout en bout. Vous pourrez donc opter pour une application comme Signal qui oblige les participants à la conversation à partager leur numéros de téléphone (pas terrible dans l’optique de l’anonymat mais ça rassure les TdS) ou des plateformes comme Element ou Session qui ne demandent pas votre numéro de téléphone ou votre email, mais qui comme Signal, sont chiffrées de bout en bout, et open-source. Enfin, vous pouvez utiliser Status pour discuter et accepter des paiements en crypto-monnaies mais nous en parlerons un peu plus loin.
Protéger vos communication par conférence audio et vidéo
Vous voulez proposer des sessions Cam sur un outil fiable, open-source, chiffré de bout en bout et qui ne requiert pas d’inscription ? Jitsi Meet est là pour ça. Il fonctionne directement sur navigateur, qu’il s’agisse d’un ordinateur ou d’un smartphone. Il est possible de passer des appels vidéo, et audio. Quelqu’un de lourd vous harcèle ? Pas de problème, les conférences Jitsi ont des liens individuels uniques. Une personne avec laquelle vous avez déjà communiqué ne pourra plus vous recontacter si vous ne lui envoyez pas de nouveau lien.
Accepter les paiements
Les plateformes de paiement mainstream comme Paypal/Braintree et Stripe ne permettent pas les paiements pour du contenu explicite sur leur plateforme. Ces plateformes sont toutefois si grandes qu’elles ne peuvent toutefois pas vérifier chaque compte donc il est possible de passer entre les mailles du filet…pour quelques temps. Ces plateformes proposent des commissions relativement basses (entre 1% et 3,5%) mais il est impossible d’y être anonyme car votre compte bancaire doit y être relié.
OnlyFans et d’autres plateformes de communautés privées permettent des versements sans bloquer le contenu explicite mais c’est au prix d’une commission à deux chiffres et d’un perte d’anonymat. Si les serveurs d’OnlyFans sont attaqués et que les données sont divulguées, il sera simple d’établir une connexion entre vous et votre compte OnlyFans.
Une solution simple permet de résoudre ces deux problèmes mais en en créant un nouveau. Cette solution, c’est les portefeuilles de cryptomonnaie anonymes. Status est une application de tchat open-source et chiffrée de bout en bout. Elle propose en plus de cela un portefeuille de crypto, principalement pour de l’étherium. Vous pourrez ainsi discuter avec des gens et échanger de la crypto avec eux de manière relativement simple. C’est très pratique pour convenir de l’organisation d’une séance et réclamer un acompte. Status étant assez sécurisé, il vous faudra retenir votre mot de passe ainsi que votre phrase de récupération (car pas d’email ou numéro de téléphone pour récupérer un lien “mot de passe oublié”). Par ailleurs, les échanges en crypto peuvent rebuter pas mal de monde.
Pour en rester à la crypto, il est possible de se créer un portefeuille totalement anonyme grâce au portefeuille Monero. Ce portefeuille est lui aussi open-source est totalement anonyme. Le fait que ces deux outils soient open-source permet d’éviter qu’une seule personne prenne des décisions qui vous mettent en péril, mais également de limiter l’influence des émetteurs de moyens de paiement comme Visa et Mastercard.
Gérer un fichier client
Les gens vous contactent par un formulaire qui est rarement sécurisé. Je vous propose donc deux alternatives. La première est extrêmement sécurisée. Il s’agit de Cryptpad Forms, une suite bureautique chiffrée de bout en bout et open-source. Vous pourrez y créer des formulaires, les partager via un lien ou les intégrer à votre site web. Les résultats pourront apparaître sous forme de feuille, elle aussi sur Cryptpad. Le seul défaut de cette méthode ? Le rendu est un peu old school. Pour beaucoup, cette tranquillité d’esprit vaut l’interface utilisateur digne des pires versions d’Open Office.
Autre alternative, NextCloud Forms propose des formulaires sécurisés. Pour rappel, Nextcloud qui a déjà été mentionné plus haut est une suite bureautique open-source et chiffrée. Elle propose même l’auto-hébergement, c’est-à-dire la possibilité d’héberger tous vos fichiers sur un petit serveur à votre domicile plutôt que dans un datacenter.
Enfin, deux solutions moins convaincantes qui qui valent le coup d’être mentionnées : Blocksurvey qui permet de créer des jolis formulaires chiffrés de bout en bout mais qui coûte 10$/mois, et Baserow qui est un clone open-source de l’outil Airtable et qui permet de créer des formulaires gratuitement et de les stocker sur une base de données liée. C’est encore plus simple à utiliser que Google Forms + Google Sheets et en plus, vous aurez la possibilité d’héberger les données vous même donc vous gardez le contrôle des données.
Dernière possibilité si vous êtes du genre old school : Only Office 7 propose un éditeur de formulaires. Vous pourrez ainsi envoyer un document .Docx avec des champs à remplir. Onlyoffice est également open-source et propose l’auto-hébergement.
Vérifier que les fichiers que vous envoyez ne gardent pas de trace de vous
Le problème avec l’informatique c’est que ça laisse des traces. Si vous créez des documents avec Microsoft Office, assurez-vous de ne pas laisser votre nom en tant que propriétaire du document. Il en va de même pour la plupart des suites bureautiques : Google Drive, Libreoffice… une petite vérification ne coûte rien.
De même, sachez que vos photos gardent des métadonnées sur votre appareil et même des données GPS. Ces dernières peuvent être consultées par des personnes avec des compétences en informatique. Il est donc important de débarrasser vos photos de leurs données EXIF et autres. Le logiciel de bureau ExifCleaner est open-source et accomplit merveilleusement bien cette tâche.
Héberger votre site web et acheter un nom de domaine
Lorsque vous décidez de créer un site web, dans la plupart des cas, la solution que vous choisirez est WordPress.org. La bonne nouvelle c’est qu’il s’agit de la meilleure solution. La mauvaise, c’est qu’il y a quelques astuces à connaître pour vous protéger.
La première erreur est de ne pas vous protéger des annuaires Whois. Ces annuaires divulguent les véritables noms des personnes ayant acheté un nom de domaine. La plupart des fournisseurs de noms de domaines sérieux vous protègent déjà contre cela ou vous proposent une option payante pour vous protéger. Sachez que ça en vaut le prix.
Pour une protection maximale, choisissez un hébergeur spécialement conçu pour le respect de la vie privée comme OrangeWebsites ou 1984Hosting. Ces deux hébergeurs vous permettent même de payer en espèce, et donc, de ne laisser aucune trace. Vous pouvez non seulement y héberger votre site mais aussi y acheter votre nom de domaine. N’ayant jamais testé ces hébergeurs, je ne garantit pas leur niveau de performance.
Résumé du guide et checklist
- Vérifier si on est victime de fuites de mot de passe
- Utiliser des mots de passes robustes et un gestionnaire de mots de passe
- Activer l’authentification 2 facteurs sur mes applications et réseaux sociaux
- Utiliser un navigateur plus respectueux de ma vie privée
- Utiliser un VPN
- Changer de résolveur DNS pour un alternative plus anonyme comme Quad9
- Utiliser un service mail chiffré ou chiffrer mes mails existants
- Utiliser un outil de tchat chiffré de bout en bout
- Utiliser un outil de discussion audio et vidéo chiffré sans création de compte
- Accepter les paiements par crypto-monnaie avec Status ou Monero
- Utiliser un fichier client et des formulaires de contact chiffrés
- Nettoyer mes photos de leurs données Exif et GPS
- Vérifier que mon vrai nom n’est pas présent en tant que propriétaire de document
- Vérifier que le nom de domaine de mon site est protégé des annuaires Whois
- Héberger mon site par un hébergeur qui respecte l’anonymat
Voilà c’est fini pour cet article. Il est évident que tout le monde ne peut pas respecter toutes ces bonnes pratiques. N’hésitez pas à me donner votre avis en commentaire et à ajouter toute nouvelle bonne pratique que j’aurais pu oublier.
