Pour illustrer ces propos, nous allons nous baser sur le jeu de données “urgences data”, disponible sur Kaggle. Il s’agit d’un fichier CSV de ~430 MB, comprenant 336 253 lignes et 39 colonnes, sans aucune métadonnée associée. Chaque ligne correspond à la visite d’un patient dans le service d’urgences d’un hôpital (non identifié) du nord de la France, entre le 6 janvier 2016 et le 6 décembre 2020. On y trouve une multitude d’informations : date et heure d’arrivée et de sortie, moyen d’arrivée, motif, âge, un certain nombre de paramètres médicaux, tels que fréquence cardiaque, tension, température, saturation, ainsi que des booléens semblant indiquer si des examens complémentaires ont été prescrits (biologie, radio, échographie, scanner, IRM…)

Nous allons utiliser “Data Analyst”, un des “GPTs” proposé dans ChatGPT. La version gratuite étant limitée à un très petit nombre de questions, nous avons utilisé une version payante (“Personal Plus”). Nous avons interagi en anglais pour cet exercice, mais des résultats semblables auraient probablement été obtenus en français ou en néerlandais.

Analyse préliminaire

Une première étape peut consister à simplement soumettre le fichier à analyser à “Data Analyst”, et lui demander de dire ce qu’il peut y trouver. Plus formellement, une question telle que “What useful insight can you extract from those data?” nous fournit le résultat ci-dessous.

Nous obtenons un résultat qui va suivre une structure que l’on retrouvera dans presque toutes les réponses :

1. Une série de graphiques. Ici, une distribution de l’âge des patients, la répartition moyenne suivant l’heure de la journée, ainsi que la répartition de l’orientation (retour domicile, transfert interne…). Notons que sans qu’on n’ait rien eu à dire, ChatGPT a compris qu’il s’agissait de patients d’un service d’urgences ;
2. Une analyse textuelle structurée de ce qu’il a pu comprendre des données. La démographie des patients, quelles sont les heures de pointe, où vont les patients à la sortie et comment sont-ils arrivés ;
3. Des propositions stratégiques ;
4. Des propositions d’étapes suivantes. “If you’d like, I can next:“, suivi d’une série de prompts pertinents pour continuer l’analyse (qu’il faut malheureusement copier-coller).

Par ailleurs, le texte termine toujours par un lien “</>”, que l’on ne retrouve pas dans un chat ChatGPT “de base” et sur lequel on peut cliquer pour obtenir le code Python sur lequel est basé cette analyse. Celui-ci, réalisé en utilisant la bibliothèque “Pandas” de Python (un des outils open source le plus répandu d’analyse de données/data science), permet de générer les graphiques proposés, ainsi que tous les chiffres utilisés dans les descriptions. Il est donc tout à fait possible non seulement d’utiliser ce code directement, mais aussi de s’assurer que les chiffres ne sont pas totalement inventés sur la base de modèles statistiques généraux et bien calculés à partir des données fournies.

On a donc pu, en une seule phrase et à peine une minute d’attente, obtenir trois graphiques, du code Python et un texte descriptif qu’un data scientist aurait typiquement mis plusieurs heures à obtenir. Il s’agit, bien sûr, d’une première approche très sommaire. Mais on peut aller plus loin.

On peut par exemple demande de fournir une description statistique pour chaque colonne. On obtient ici en résultat une longue description très structurée, par type de variable (numérique ou catégorique) avec une série d’indicateurs : moyenne, minimum/maximum, nombre de valeurs manquantes… ainsi qu’un commentaire (“Not usable for analysis“, “Vital signs moderately complete“, “Excellent for resource utilization analysis“, “Likely categorical indicator”…). L’outil nous propose également quelques observations liées à la qualité des données (Exemple : “Outliers: Age max = 218 (likely error)“).

De façon similaire, on pourrait demander une “EDA” (Exploratory Data Analysis), qui fournira une analyse semblable, en partie redondante mais couvrant d’autres aspects.

Avec ce type de “prompt”, on a donc, en quelques minutes seulement, un premier aperçu détaillé, chiffré mais clair et facile à comprendre d’un jeu de données raisonnablement volumineux. ChatGPT comprend, ou à tout le moins se comporte comme s’il comprenait le contenu des données :

• Il calcule un “length of stay“, interprétant donc bien deux colonnes (DH_arrivee et DH_sortie). Petit bémol cependant : dans les données, l’heure d’arrivée contient une date et une heure, mais le “DH_sortie” uniquement la date (avec 00:00 comme heure), rendant le calcul peu pertinent, surtout pour les courts séjours. Mais si on lui demande comment il a calculé ce “length of stay“, il fait remarquer le problème ;
• Il “comprend” que la colonne “Code_CCMU” (avec les codes 1, 2, 3, 4, 5, P ou D) fait référence à la nomenclature française de la “Classification Clinique des Malades aux Urgences” et dénote la gravité. Il propose de faire une “severity analysis (CCMU code distribution)”, dans laquelle il interprète correctement les codes ;
• Il fait des propositions, certes un peu naïves, mais pertinentes dans le contexte, dont voici deux exemples :

Analyse par catégorie

En observant les données, nous avons remarqué deux colonnes concernant la raison d’arrivée du patient : une colonne “motif_entree”, très peu structurée (“Trauma cheville G”, “A avalé une LED avec une pile”…) et une autre “semi-structurée” : “Cardiologie: Douleur thoracique atypique”, “Pneumologie: Dyspnée sans détresse”, “Toxicologie: Alcoolisation/Ivresse aigue”… Il serait intéressant de pouvoir analyser certains éléments en fonction d’une “catégorie” : “Cardiologie”, “Pneumologie”, “Toxicologie”…

On peut tout simplement demander à ChatGPT “extract categories from motif_venue“, sans lui donner aucune information sur la façon de procéder. On reçoit alors en réponse une distribution de ce nouvel attribut, expliquant comment il l’a réalisé, ainsi que quelques commentaires pertinents sur la qualité des données :

Une question qui viendrait naturellement à l’esprit serait de voir comment celles-ci se comportent dans le temps. On peut par exemple imaginer que les problèmes pulmonaires surviennent surtout en hiver à l’époque des grippes et autres virus. Mais qu’en est-il des autres pathologies ?

Demandons à ChatGPT “Plot occurrence line charts grouped by cleansed categories, for the top 10“. Nous obtiendrons alors le graphique ci-contre, ainsi qu’une série de commentaires. On peut être surpris par la chute vertigineuse des chiffres, toutes catégories confondues, survenue début 2020. Mais toute personne n’ayant pas vécu dans une grotte à cette période en aura rapidement compris la raison… qui n’a pas échappé à ChatGPT, comme en témoigne un de ses commentaires :

“The sharp drop in early 2020 is visible across all categories — a clear COVID shock to ED visit“

Pour obtenir des tendances saisonnières, on peut demander de sommer les trois années pour lesquelles on a des données entières et de lisser les données, en considérant une moyenne glissante sur 7 jours : “For the top 10 cleansed categories, plot the number of visits per date in year (summing up values for 2017, 2018 and 2019, excluding 2016 and 2020), with a moving average of 7 days“.

Après quelques essais-erreurs de prompts pour sortir la légende du graphique ou adapter divers aspects, on obtient le résultat suivant :

Comme on s’y attendait, on peut observer que les pathologies pulmonaires (en brun) sont plus élevées en hiver qu’en été, mais ce qui est surprenant, c’est cet énorme pic à la toute fin de l’année de la stomatologie. Après s’être assuré que le pic se reproduisait bien tous les ans avec quelques prompts que nous passerons sous silence, nous avons demandé “how to explain the peak of total visits for stomatology for the last week?“. Nous avons été clairement bluffés par la pertinence de la réponse.

Deux explications, que ChatGPT n’a pas pu trouver dans le jeu de données, mais uniquement en faisant le lien avec son “savoir général”, nous paraissent très plausibles :

• Les cabinets de dentisteries sont majoritairement fermés pendant les fêtes (ou plus généralement pendant les congés, vu les deux plus petits pics) ;
• Beaucoup de monde veut “épuiser” ses possibilités de remboursement avant la fin de l’année.

Il va sans dire qu’un approfondissement serait nécessaire avant d’en tirer des décisions opérationnelles, mais on a déjà ici à très petits frais une série d’hypothèses à explorer.

Limitations

Si un premier aperçu peut sembler impressionnant, il faut cependant rester prudent. De toute évidence, un tel outil peut être un allié précieux pour un data scientist, et peut même permettre à des profils “métiers” aux compétences techniques limitées d’accéder à une première analyse. Voici quelques points d’attention issus de notre expérience sur ce jeu de données.

• On ne devient pas “data scientist” simplement parce qu’on est capable de produire des beaux graphiques ou livrer des chiffres. Encore faut-il être capable de les interpréter, de s’assurer qu’on n’est pas tombé dans un des nombreux pièges que les statistiques nous tendent ;
• Dans notre exemple, nous avons envoyé tout notre jeu de données à ChatGPT. Nous n’avons aucun contrôle sur ce qu’il en fait. Il s’agissait en l’occurrence de données publiques, mais qu’en sera-t-il avec des données confidentielles ? Il est toujours possible d’installer un LLM on-premise, mais les coûts sont autrement plus élevés et les performances moindres ;
• Nous n’avons testé qu’un exemple avec une seule table. La littérature semble montrer que ça reste valable avec une base de données plus complexe, il nous faudra encore l’expérimenter ;
• Le mode “question-réponse” permet uniquement un long dialogue linéaire. On se retrouve vite avec une longue discussion très désordonnée, plusieurs tentatives pour arriver à faire comprendre à l’outil ce que l’on veut. Si l’on veut par exemple corriger un critère en amont d’une analyse déjà faite (par exemple, la limiter à une période dans le temps, ou éliminer certains types de données), on ne peut pas revenir en arrière. Il sera nécessaire de recommencer un nouveau chat, ou de reposer toutes les questions ;
• Dans le même ordre d’idée, si les données d’entrée sont mises à jour, il sera nécessaire de recommencer toute la conversation ;
• À côté de l’aspect peu structuré, on note aussi un manque de cohérence :
  • Lors de l’extraction de la “catégorie”, nous avons demandé, outre la séparation sur la base du “:”, de corriger également certains problèmes de qualité (pour par exemple remplacer “Cardiovasculaire” par “Cardiologie” ou “Intoxications” par “Toxicologie”). Les questions qui suivaient de près ce nettoyage considéraient la version la plus élaborée. Mais quelques jours après, quand nous évoquions “cleansed categories”, ChatGPT se contentait de la séparation sur la base du “:”,
  • Nous avons posé exactement la même question à un mois d’intervalle. Les valeurs numériques fournies dans la réponse restaient cohérentes, mais le texte était radicalement différent sur la forme (bien que semblable sur le fond) ;
• Le code Python proposé à chaque question est réellement exécuté sur les serveurs de ChatGPT qui se sert du résultat pour générer sa réponse. Mais le temps d’exécution disponible est assez limité. Entraîner un modèle de Machine Learning simple (par exemple “Compute feature importance using Random Forest, with ‘scanner’ as target“) provoque souvent un timeout. Cependant, ChatGPT fait alors une série de propositions, visant à réduire le temps de calcul nécessaire (stratification, réduction du nombre d’arbres, diminution de la cardinalité de certaines variables…).

Une approche pertinente serait probablement d’utiliser ChatGPT ou un de ses concurrents pour découvrir les données, identifier rapidement des anomalies ou des problèmes de qualité, les approches possibles, les modèles de prédiction adaptés… On pourrait aussi demander de générer des graphiques, des tableaux, des chiffres… On pourra ensuite récupérer les morceaux de codes proposés qui pourront être intégrés dans un script ou un notebook consolidé. Notons que l’on peut également interagir avec les API de ChatGPT et autres Gemini. Nous aborderons cette approche dans un prochain article.

En regardant vers l’avenir, nous ne craignons pas que le GenAI remplace les data scientists. De toute évidence, l’augmentation inévitable des volumes de données de plus en plus importants et complexes ne va faire qu’accroître la nécessité de personnel capable de mener leur analyse. Mais le GenAI va indiscutablement changer leur métier. Et le GenAI va certainement remplacer les data scientists qui ne l’utilisent pas par les data scientists qui sauront s’en servir efficacement.

(NL) Recordlinkage is een Python-bibliotheek die het mogelijk maakt om records tussen twee Pandas-tabellen (bibliotheek voor gegevensmanipulatie en -analyse) te matchen (koppelen) of te ontdubbelen (dubbele records in een Pandas-tabel opsporen).

Version en français

In onze laatste blogpost hebben we de werking van de “Tor”-browser beschreven, die het mogelijk maakt om vrijwel onvindbaar op het internet te surfen. Dit is een van de twee manieren om Tor te gebruiken. De tweede manier, is om deze tool te gebruiken als toegangspoort tot het “Dark Web”. De afgelopen maanden hebben we deze duistere kant van het internet verkend. Wat is het? Wat kun je daar vinden? Hoe kun je daar je weg in vinden? In deze blogpost delen we onze bescheiden ervaring met de wereld die, hoewel hij oorspronkelijk werd opgericht om een veilige expressieruimte te bieden aan dissidenten van autoritaire regimes, vandaag in wezen een paradijs voor cybercriminelen is geworden.

Laten we beginnen met een beetje woordenschat. Eerst maken we een onderscheid tussen twee concepten die maar al te vaak door elkaar worden gehaald: het internet en het web. Internet is een infrastructuur die duizenden netwerken met elkaar verbindt, waardoor elke machine die er deel van uitmaakt, waaronder het toestel waarmee je dit artikel leest, kan communiceren met (bijna) elke andere machine (bijvoorbeeld de server die onze website host). Het internet, dat sinds begin jaren 70 bestaat, heeft de ontwikkeling van een groot aantal toepassingen mogelijk gemaakt: e-mail, bestandsoverdracht (FTP), bediening op afstand (telnet, SSH en opvolgers), messaging, videoconferenties en het (World Wide) Web, dat begin jaren 90 bij CERN ontstond en het internet echt populair heeft gemaakt. Met behulp van een “browser” (de eerste was Mosaic, die zich ontwikkelde tot Netscape en nu Firefox is, maar ook Chrome, Edge of Opera) kan interactief een document worden weergegeven dat door een webserver is gegenereerd. Het web, officieel “World Wide Web” genoemd, is dus een van de vele toepassingen die gebruikmaken van de infrastructuur van het internet. Het bestaat uit een communicatieprotocol tussen de server en de browser (HTTP/HTTPS), een protocol voor het aanwijzen van een bron (URL) en een documentformaat (HTML).

Algemeen wordt aangenomen dat de inhoud van het web in drie categorieën kan worden onderverdeeld:

• Het “Oppervlakteweb” (Surface Web, Clear Web) is het gedeelte dat rechtstreeks toegankelijk is met een browser, zonder toegangsbeperkingen en geïndexeerd door zoekmachines: deze blog, de inhoud van de meeste media, Wikipedia en tal van andere bronnen;
• Het “Deep Web” is het deel van het web dat niet door zoekmachines wordt geïndexeerd. Het is toegankelijk via een klassieke browser, zolang je het adres kent of de privégegevens (gebruikersnaam, wachtwoord, enz.) die nodig zijn om het te kunnen bezoeken. De niet-publieke inhoud op sociale media, je mailbox, de inhoud van bedrijven met beperkte toegang, …
• Het “Dark Web” is het deel van het web waarvoor specifieke tools of bepaalde configuraties vereist zijn om toegang te krijgen. Meestal heb je een browser zoals Tor nodig, maar ook een ‘.onion-adres’, een reeks van 56 tekens die onmogelijk te onthouden is (bijvoorbeeld http://juhanurmihxlp77nkq76byazcldy2hlmovfu2epvl5ankdibsot4csyd.onion/).

In deze blogpost gaat onze interesse uit naar dat laatste deel. We zouden eigenlijk eerder moeten spreken van “Dark Webs”. Daar zijn er meerdere van, die elk een eigen architectuur en verschillende technologieën gebruiken. De populairste zijn Tor en, ver achterop, I2P en Freenet (nu Hyphanet). We zullen ons in deze blogpost toespitsen op Tor.

Indien we de Tor-browser gebruiken om naar een “Clear Web”-site te surfen (bijvoorbeeld https://www.smals.be), is de client zeer goed beschermd, maar de bezochte website niet: het IP-adres kan gemakkelijk worden achterhaald, en dus ook waar de website wordt gehost, en de autoriteiten van het betreffende land kunnen de website laten sluiten of zelfs veel informatie over de gebruikers verkrijgen. Dit wordt veroorzaakt doordat het Tor-netwerk geen controle heeft over de verbinding tussen het uitgangsnode en de doelserver.

Er bestaat een manier waarop de host van een website zichzelf net zo goed kan beschermen als de client, zodat zijn IP-adres nooit wordt onthuld. Het idee is om eerst een klassieke webserver op te zetten (met bijvoorbeeld NGINX of Apache) en vervolgens op dezelfde machine een “Tor-server” te installeren (minder dan 5 minuten werk). De server genereert een “publieke sleutel” van 56 alfanumerieke tekens die als adres wordt gebruikt (in de vorm <public key>.onion), en voert deze in de gedecentraliseerde mappen van het Tor-netwerk in. Zo kan de beheerder van de betreffende website een “.onion”-adres publiceren dat niet meer toegankelijk is voor gebruikers van een klassieke browser en van waaruit het erg moeilijk, zo niet onmogelijk, is om hem te traceren. Interessant voor een dissident in een autoritair land, maar ook om een criminele onderneming veilig te beheren.

Voor meer details: zowel de client als de server gebruiken een “Tor-circuit” van 3 nodes, om elkaar te vinden op een “meeting point” waardoor zowel de client als de server volledige anonimiteit gegarandeerd is. Maar in bepaalde situaties zijn er tot 6 tussenliggende nodes. Merk op dat wanneer je verbinding maakt met de Tor-browser met een “.onion”-dienst, de verbinding end-to-end versleuteld is. Het is dus niet noodzakelijk om een extra versleutelingslaag toe te voegen met HTTPS.

Algemene opmerkingen

We hebben een paar weken besteed aan het verkennen van het Dark Web en het vertrouwd raken met deze wereld. Dat is natuurlijk niet genoeg om ons experts te noemen, maar wel voldoende om een eerste indruk te krijgen. We hebben deze verkenning uitgevoerd met Tails + Tor. We hebben uiteraard nooit iets besteld op de “markets”, hebben niet deelgenomen aan forums en hebben uiteraard geen websites bezocht die in strijd zijn met de wet en de goede zeden. Voordat we dieper ingaan op de verschillende soorten inhoud, beginnen we met enkele algemene opmerkingen:

• het beheer van “.onion”-namen is bijzonder ongebruiksvriendelijk. Ze zijn onmogelijk te onthouden en het is erg moeilijk om er zeker van te zijn dat je op de juiste site bent en niet op een “gepirateerde versie”;
• veel meer dan op het “klassieke” web zijn de adressen erg veranderlijk.
  Als je een adres op een pagina vindt (bijvoorbeeld via een zoekmachine of een “hidden wiki”, zie hieronder), is de kans groot dat het niet meer geldig is.
• een groot deel van de sites (markets, forums, zoekmachines) lijkt rechtstreeks uit het begin van de jaren 2000 te komen… een zeer “vintage” ontwerp en ergonomie, weinig gebruiksvriendelijk, waar je moeilijk naar kan kijken. Misschien onder andere omdat de meeste zijn ontworpen om zonder Javascript te kunnen werken, wat wordt aanbevolen om de risico’s te beperken;
• aangezien wantrouwen de norm is op het Dark Web, worden veel sites beschermd door een Captcha-systeem, maar deze zijn bijzonder moeilijk op te lossen. Om te voorkomen dat robots ze kunnen oplossen, zijn ze zo ingesteld dat zelfs een mens (in ieder geval ondergetekende) moeite heeft om ze op te lossen. Zie het voorbeeld hiernaast. Kun je het woord lezen?
• de meeste websites zijn bijzonder traag. Dit is waarschijnlijk te wijten aan de aard van het Tor-netwerk, dat elke aanvraag van minstens 3 (of zelfs 6) tussenliggende nodes laat lopen, die niet noodzakelijk erg krachtig zijn.

Inhoud

Toegangspunten

Het is veel moeilijker om op het Dark Web te vinden wat je zoekt dan op het “Clear Web”.
Het is duidelijk onmogelijk om een “.onion”-adres te onthouden of zelfs maar over te typen. Er zijn grofweg twee manieren om een verkenning met Tor te beginnen:

• gebruik maken van een “hidden wiki”, een directory met links die op categorie zijn gerangschikt. Er zijn er een aantal, sommige op het Clear Web, die gemakkelijk te vinden zijn door met een klassieke zoekmachine op “hidden wiki” te zoeken. Je moet er echter rekening mee houden dat een groot deel van de links niet meer werkt;
• een speciale zoekmachine gebruiken, die alleen toegankelijk is met Tor, waarvan de “.onion”-adressen gemakkelijk te vinden zijn op een “hidden wiki”. “Torch” of “Ahmia” zijn hier voorbeelden van. Verwacht echter geen prestaties die vergelijkbaar zijn met die van Google of DuckDuckGo: niet alleen zijn er weinig resultaten voor een gerichte zoekopdracht, maar vaak is de lijst met resultaten ook onduidelijk. Je weet dus niet altijd waarop je klikt.

Markets

Talrijke “markets” zijn beschikbaar op het Dark Web, die een beetje werken zoals Amazon of Bol.com. De meeste eisen betalingen in Bitcoin (of vaker Monero, waardoor er geen verband kan worden gelegd tussen twee transacties) en bieden een hele reeks producten aan die niet verkrijgbaar zijn op meer traditionele opdrachten:

• wapens en munitie, van kleine pistolen tot aanvalsgeweren.
• drugs en medicijnen, waarschijnlijk de sector met het grootste aanbod.
• valse documenten: paspoorten, rijbewijzen, identiteitskaarten, en dit voor meerdere landen.
• gestolen creditcardnummers, die des te duurder zijn naarmate de limiet hoger is. Reken op tussen 50 en 100 euro per nummer.
• vals geld.
• diensten:
  • hackers : hackers bieden tal van opties, gaande van een DDoS-aanval tot het binnendringen van een systeem of het hacken van e-mailaccounts of sociale netwerken.,
  • aanslagen op personen: er zijn tal van “diensten” beschikbaar: moord, ontvoering, agressie. Sommigen zijn echter van mening dat het hier slechts om pogingen tot afpersing gaat.

Forums

Talrijke forums zijn beschikbaar, in alle talen. Wat ze allemaal gemeen hebben, is dat de deelnemers niet traceerbaar zijn en zich dus niet inhouden om volstrekt illegale of zelfs ronduit verachtelijke verzoeken of voorstellen te doen. Beledigingen en vulgariteiten zijn de norm. Openlijk racistische berichten, voorstellen of zoektochten naar verdovende middelen, verzoeken om of verkoop van kinderpornografische inhoud…

Data leaks

Het is gemakkelijk om, al dan niet gratis, een grote hoeveelheid gestolen data te vinden, zowel op forums als op markets. Deze kunnen in twee categorieën worden ingedeeld:

• lijsten met “inloggegevens”: gebruikersnaam + wachtwoord, soms met de betreffende website. Waarschijnlijk verkregen door phishing of door een “keylogger”, moeilijk te controleren (zonder ze te hebben getest, wat we natuurlijk nooit hebben gedaan) of de data nog actueel zijn. Maar met miljoenen gegevens is het aannemelijk dat er altijd wel functionele toegangen te vinden zijn.
• Resultaten van ransomware. Wanneer hackers erin slagen om in te breken in het systeem van een bedrijf, versleutelen ze vaak alle data en eisen ze losgeld om ze weer toegankelijk te maken. En als het losgeld niet wordt betaald, publiceren veel groepen de gestolen inhoud in zijn geheel. Een aantal websites biedt “bewijsmateriaal” (meestal screenshots van enkele documenten; zie hieronder voor de hack van de Ahold Delhaize-groep door de INC Ransom-groep) voor “lopende” onderhandelingen en toegang tot grote volumes voor verlopen onderhandelingen.
  Bijvoorbeeld:    
  • data van een lokale missie in het zuidwesten van Frankrijk: lijst met de namen (geboortedata, telefoonnummers) van de gevolgde jongeren,
  • een Frans farmaceutisch bedrijf, met fabrieksplannen, contracten met partners, inhoud van een testdatabase,
  • voor een Franse vrijmetselaarsloge: interne veiligheidsanalyse, uitnodigingen, ledenlijsten en contributiebedragen,
  • voor de 200 GB aan data van de Nederlandse groep “Ahold Delhaize”, die vooral betrekking lijken te hebben op haar activiteiten in de Verenigde Staten,
  • voor een Belgisch revalidatiecentrum, naast talrijke data (beheer, aankopen, financiën, HR…), persoonlijke informatie over meer dan 30 000 patiënten (naam, voornaam, geboortedatum, pathologiecode), evenals een “export” van 380 000 patiënten met veel persoonlijke details (naam, adres, telefoonnummer, e-mailadres, nummer van het ziekenfonds… ), maar weinig medische gegevens.

Activisme

Naast de hierboven beschreven illegale activiteiten zijn er ook een aantal websites die aansluiten bij de oorspronkelijke redenen voor de oprichting van het Tor-netwerk. Hier vinden we een aantal gerenommeerde organisaties die een “.onion”-versie van hun website hebben om informatie van klokkenluiders te verzamelen: Greenpeace, CNN, The Guardian, ProPublica, de CIA…

Een aantal blogs die we als activistisch of rebels kunnen omschrijven, of strijden tegen politiegeweld, zijn op het dark web te vinden om censuur te vermijden. Het gaat vaak om websites met twee toegangen: één op het “Clear Web” en één op het Dark Web.

Conclusies

De meest “gevoelige” goederen zijn alleen verkrijgbaar van persoon tot persoon, nadat een vertrouwensrelatie is opgebouwd met degenen die ze bezitten, met name als het gaat om hacking en de bijbehorende tools. Aangezien we geen contact hebben gelegd met iemand op het Dark Web, hebben we ongetwijfeld een groot deel van wat er te vinden is gemist.

Maar wat we in slechts enkele weken tijd hebben gevonden, heeft ons ervan overtuigd dat veel overheidsinstellingen en bedrijven er goed aan zouden doen om op zijn minst na te gaan of er activiteiten te vinden zijn die verband houden met hun werkterrein, of data van hun personeel of klanten. Hoewel het vrijwel onmogelijk is om deze data te laten verdwijnen, is het raadzaam om in geval van een lek de juiste maatregelen te nemen.

Als een probleem optreedt, is het essentieel om hulp in te roepen van specialisten. In België moet, afhankelijk van de omstandigheden, dringend contact worden opgenomen met het CCB (Center for Cybersecurity Belgium) of de FCCU (Federal Computer Crime Unit, politie).

Nederlandstalige versie

Dans notre dernier article, nous avons détaillé le fonctionnement du navigateur “Tor”, qui permet de naviguer de façon quasiment intraçable sur le web. C’est une des deux façons d’utiliser Tor. La seconde, c’est d’utiliser cet outil comme portail d’entrée sur le “dark web”. Nous avons ces derniers mois exploré cette zone sombre du web. Qu’est-ce que c’est ? Qu’y trouve-t-on ? Comment s’y retrouver ? Dans cet article, nous allons partager notre modeste expérience de ce monde qui, s’il a été créé au départ pour offrir un espace d’expression sécurisé pour les dissidents de régimes autoritaires, est devenu aujourd’hui essentiellement le paradis de la cybercriminalité.

Commençons par un peu de vocabulaire. Différencions d’abord deux concepts trop souvent confondus : Internet et le Web. Internet, c’est une infrastructure, interconnectant des milliers de réseaux, permettant à n’importe quelle machine en faisant partie, dont l’appareil avec lequel vous lisez cet article, de communiquer avec (presque) n’importe quelle autre (par exemple le serveur qui héberge notre site web). Internet, qui existe depuis le début des années ’70, a permis le déploiement d’un grand nombre d’applications : le courrier électronique, le transfert de fichiers (FTP), le contrôle à distance (telnet, SSH et successeurs), les messageries, la visioconférence, ou encore le (World Wide) Web, apparu au CERN début des années ’90 et qui a réellement popularisé Internet. Il permet, à l’aide d’un “navigateur” (le premier étant Mosaic, qui a évolué en Netscape, pour devenir aujourd’hui Firefox ; mais aussi Chrome, Edge, ou Opera), d’afficher de façon interactive un document généré par un serveur Web. Le Web, de son nom complet “World Wide Web”, c’est donc une des nombreuses applications utilisant l’infrastructure d’Internet ; il est composé d’un protocole de communication entre le serveur et le navigateur (HTTP/HTTPS), d’un protocole de désignation d’une ressource (URL) et d’un format de document (HTML).

On considère en général que le contenu du Web peut être divisé en trois catégories :

• le “web de surface” (surface web, clear web) est toute la partie directement accessible avec un navigateur, sans restriction d’accès et indexée par les moteurs de recherche : ce blog, le contenu de la plupart des médias, Wikipédia ou tout un tas d’autres ressources ;
• le “deep web” est la partie du web qui n’est pas indexée par les moteurs de recherche. On peut y accéder à l’aide d’un navigateur classique, pour autant qu’on en connaisse l’adresse, ou les informations privées (nom d’utilisateur, mot de passe…) pour s’y rendre. Le contenu non public des médias sociaux, votre boite mail, le contenu d’entreprises à accès restreint…
• le “dark web” est la partie du web qui nécessitera des outils spécifiques ou des configurations particulières pour y accéder. On aura typiquement besoin d’un navigateur tel que Tor, mais également d’une “adresse .onion”, une chaine de 56 caractères impossible à retenir (par exemple http://juhanurmihxlp77nkq76byazcldy2hlmovfu2epvl5ankdibsot4csyd.onion/).

C’est cette dernière partie qui va nous intéresser dans cet article. Il faudrait en fait plutôt parler des dark webs. Il en existe plusieurs, chacun utilisant une architecture propre et des technologies différentes. Les plus populaires sont Tor, et, loin derrière, I2P et Freenet (devenu Hyphanet). Nous allons nous concentrer sur Tor dans la suite de cet article.

Si on utilise le navigateur Tor pour naviguer sur un site du “clear web” (par exemple, https://www.smals.be), le client est très bien protégé, mais pas le site visité : on peut connaitre facilement son adresse IP, et donc où il est hébergé, et les autorités du pays concerné pourront imposer sa fermeture, voire obtenir de nombreuses informations sur ses utilisateurs. Ceci parce que le réseau Tor ne contrôle pas la connexion entre son nœud de sortie et le serveur de destination.

Il existe une façon, pour l’hébergeur d’un site web, de se protéger autant que le client, de façon à ne jamais dévoiler son adresse IP. L’idée est de mettre d’abord en place un serveur web classique (avec NGINX ou Apache, par exemple), puis d’installer, sur la même machine, un “serveur Tor” (moins de 5 minutes de travail). Celui-ci va générer une “clé publique” de 56 caractères alphanumériques qui servira d’adresse (de la forme <clé publique>.onion), et la renseigner auprès des annuaires décentralisés du réseau Tor. En procédant de la sorte, le gestionnaire du site web en question peut publier une adresse “.onion”, qui ne sera plus accessible aux utilisateurs d’un navigateur classique, et à partir de laquelle il sera très difficile, voire impossible, de remonter jusqu’à lui. Intéressant pour un dissident dans un pays autoritaire, mais également pour gérer en toute sécurité un business criminel.

Pour plus de détails, à la fois le client et le serveur vont utiliser un “circuit Tor” de 3 nœuds, pour se retrouver à un “point de rendez-vous”, ce qui permet tant au client qu’au serveur d’obtenir toutes les garanties d’anonymat. Mais avec dans certaines situations jusqu’à 6 nœuds intermédiaires. Notons que lorsqu’on se connecte avec le navigateur Tor a un service “.onion”, la connexion est chiffrée de bout en bout. Il n’est donc pas nécessaire d’ajouter une couche de chiffrement en utilisant HTTPS.

Remarques générales

Nous avons passé quelques semaines à explorer le dark web et à nous familiariser avec cet univers. Clairement pas suffisant pour pouvoir se targuer d’en être devenus des experts, mais assez pour se faire une première impression. Nous avons fait cette exploration avec Tails + Tor. Nous n’avons bien sûr jamais rien commandé sur les “markets”, ne sommes pas intervenus sur les forums et ne sommes de toute évidence pas entrés sur des sites contraires à la loi et à la décence. Avant d’entrer dans plus de détails dans les différentes types de contenu, commençons par quelques remarques générales. 

• La gestion des noms “.onion” est particulièrement peu conviviale. Impossible à retenir, et très difficile de s’assurer qu’on est sur le bon site et pas sur une version “pirate” ;
• Beaucoup plus que sur le web “classique”, il y a une grande volatilité des adresses. Si vous trouvez une adresse sur une page (par exemple via un moteur de recherche ou un “hidden wiki”, voir plus bas), il y a beaucoup de chances qu’elle ne soit plus valide ;
• Une partie importante des sites (markets, forums, moteurs de recherches) semblent sortir tout droit du début des années 2000… un design et une ergonomie très “vintage”, peu conviviale, qui fait souvent presque mal aux yeux. Peut-être entre autres parce que la plupart sont conçus pour pouvoir fonctionner sans Javascript, ce qui est recommandé pour limiter les risques ;
• La méfiance étant la norme sur le dark web, de nombreux sites sont protégés par un système de Captcha, mais ceux-ci sont particulièrement difficiles à résoudre. Pour empêcher les robots de les réussir, ils sont réglés à un tel niveau que même un humain (en tout cas votre serviteur) a du mal à les réussir. Voir l’exemple ci-contre. Sauriez-vous lire le mot ?
• La plupart des sites web sont particulièrement lents. Ceci est sans doute dû à la nature même du réseau Tor, qui fait passer chaque requête par au moins 3 (voire 6) nœuds intermédiaires, pas nécessairement très puissants.

Contenu

Points d’entrée

Il est de loin plus difficile de trouver ce que l’on veut sur le dark web que sur le “clear web”. Il est clairement impossible de retenir, voire même de retaper une adresse “.onion”. Il y a principalement deux façons de démarrer une exploration avec Tor :

• utiliser un “hidden wiki”, soit un annuaire de liens classés par catégorie. Il en existe un certain nombre, certains sur le clear web facilement trouvables en cherchant “hidden wiki” avec un moteur de recherche classique. Il faut cependant s’attendre à ce qu’une part importante des liens ne marchent plus.
• se servir d’un moteur de recherche dédié, uniquement accessible avec Tor, dont on trouve facilement l’adresse “.onion” sur un “hidden wiki”. “Torch” ou “Ahmia” en sont des exemples. Il ne faut cependant pas s’attendre à des performances comparables à des Google ou autres DuckDuckGo : non seulement peu de résultats pour une recherche un peu ciblée, mais souvent une liste de résultats peu explicites. On ne sait donc pas toujours sur quoi on clique.

Markets

De nombreux “markets” sont disponibles sur le dark web, fonctionnant un peu comme Amazon ou Bol.com. La plupart exigent des paiements en Bitcoin (ou plus souvent Monero, qui empêche de faire le lien entre deux transactions), et proposent toute un série de produits qui ne sont pas accessibles sur des marchés plus classiques : 

• armes et munitions, du petit pistolet aux fusils d’assaut ;
• drogues et médicaments, probablement le secteur le plus fourni ;
• faux documents : passeports, permis de conduire, cartes d’identité, et ce pour de multiples pays ;
• numéros de cartes de crédit volés, d’autant plus cher que le plafond est élevé. Compter entre 50 et 100 euros le numéro ;
• fausse monnaie ;
• services :
  • hackers : des hackers proposent de nombreuses options, allant d’une DDoS, à la pénétration d’un système ou au piratage de comptes mail ou réseaux sociaux,
  • atteinte aux personnes : on trouve de nombreuses proposition de “services” : assassinat, enlèvement, agression. Certains estiment cependant qu’il ne s’agit là que de tentatives d’extorsion.

Forums

De nombreux forums sont disponibles, dans toutes les langues. Ils ont tous en commun que les participants étant intraçables, ils ne se privent pas pour faire des demandes ou propositions totalement illégales, voire carrément abjectes. Les insultes et vulgarités sont la norme. Messages ouvertement racistes, propositions ou recherches de stupéfiants, demande ou vente de contenu pédopornographique…

Data leaks

On peut trouver facilement, gratuitement ou non, une grande quantité de données volées, que ce soit sur des forums ou sur des markets. On pourrait les classer en deux catégories : 

• des listes de “credentials” : nom d’utilisateur + mot de passe, parfois avec le site concerné. Vraisemblablement obtenus par phishing ou par “keylogger”, difficile de s’assurer (sans les avoir testés, ce que nous n’avons bien sûr jamais fait) de l’actualité des données. Mais sur des millions de lignes, on peut imaginer qu’on trouvera toujours des accès fonctionnels ;
• des résultats de ransomware. Quand des pirates parviennent à s’introduire dans le système d’une entreprise, ils vont souvent chiffrer l’intégralité des données et exiger une rançon pour les rendre accessibles. Et si la rançon n’est pas payée, de nombreux groupes publient en intégralité le contenu volé. On peut trouver un certain nombre de sites, avec pour les négociations “en cours”, des “preuves” (captures d’écran de quelques documents, typiquement ; voir ci-dessous pour le piratage du groupe Ahold Delhaize par le groupe INC Ransom), et pour celles expirées, un accès à de grands volumes. On pourrait citer :  
  • les données d’une mission locale dans le Sud-Ouest de la France : listing avec les noms (dates de naissance, n° téléphones) des jeunes suivis,
  • une société pharmaceutique française, avec des plans d’usine, contrats avec des partenaires, contenu d’une base de données de test,
  • pour une Loge maçonnique française : analyse interne de sécurité, invitations, listes de membres et montants de cotisations,
  • pour les 200 GB de données du groupe néerlandais “Ahold Delhaize”, semble-t-il surtout concernant son activité aux États-Unis,
  • pour un pôle de revalidation belge, parmi de nombreuses données (gestion, achat, finances, RH…), des informations personnelles sur plus de 30.000 patients (nom, prénom, date de naissance, code de pathologie), ainsi qu’un “export” de 380.000 patients avec beaucoup de détails personnels (nom, adresse, téléphone, email, numéro de mutuelle…), mais peu de détails médicaux .

Activisme

À côté des activités illégales citées plus haut, on trouve aussi une série de sites web qui se rapprochent des raisons initiales de la création du réseau Tor. On va y trouver un certain nombre d’organisations ayant pignon sur rue, mais ayant une version “.onion” de leur site web pour recueillir les informations de lanceurs d’alerte : Greenpeace, CNN, The Guardian, ProPublica, la CIA…

On trouvera aussi un certain nombre de blogs que l’on pourrait qualifier d’activistes, de rebelles, en lutte contre les violences policières, et qui se mettent sur le dark web pour éviter la censure. Il s’agit souvent de sites web à deux accès : un sur le “clear web”, un autre sur le dark web.

Conclusions

Il se dit que les marchandises les plus “sensibles” ne s’obtiennent de personne à personne qu’après avoir établi une relation de confiance avec ceux qui les possèdent, en particulier en ce qui concerne le hacking et ses outils. N’étant rentré en contact avec personne sur le dark web, nous sommes sans doute passé à côté de tout un pan de ce qu’on pourrait y trouver.

Mais ce que nous avons pu y trouver en seulement quelques semaines d’exploration nous a convaincus que de nombreuses administrations et entreprises auraient tout intérêt à au minimum se demander si on y trouve des activités liées à leur domaine d’action, ou des données de leur personnel ou de leurs clients. Même s’il est quasiment impossible de faire disparaitre ces données, il conviendra de prendre les mesures adéquates en cas de fuite. En cas de problème, il est essentiel de se faire aider par des spécialistes. En Belgique, en fonction des circonstances, un appel au CCB (Center for Cybersecurity Belgium) ou la FCCU (Federal Computer Crime Unit, Police) sera à faire de tout urgence.

Grâce à de nombreux exemples concrets, vous découvrez comment il permet de naviguer sur le dark web et quel type de contenu vous y trouvez. Vous comprenez aussi que le dark web pose un certain nombre de menaces pour le secteur public, comme pour la société en général, mais qu’il offre également l’opportunité à certaines institutions de suivre des secteurs absents du web classique.

La session est animée en français, avec des slides anglais. Aucune connaissance spécifique n’est requise : les aspects techniques sont expliqués suffisamment pour permettre à chacun de suivre.

Vandy Berten ontrafelt het mysterie van het “dark web” of “ondergrondse web” tijdens zijn webinar. Hij licht toe waarom de Tor-browser is ontwikkeld en welke voordelen deze browser biedt op het vlak van privacybescherming in vergelijking met een klassieke browser.

Aan de hand van talrijke concrete voorbeelden ontdek je hoe het dark web werkt en wat voor soort inhoud je er kunt vinden. Je leert ook dat het dark web een aantal bedreigingen vormt voor de publieke sector en de samenleving in het algemeen, maar dat het bepaalde instellingen ook de kans biedt om sectoren te volgen die niet op het klassieke web aanwezig zijn.

De sessie verloopt in het Frans, met Engelstalige slides. Er is geen specifieke kennis vereist: de technische aspecten worden voldoende uitgelegd zodat iedereen kan volgen.

Recording

Presentation

Géocoder (standardiser + localiser) un grand volume d’adresses avec un outil commercial américain est un problème dans beaucoup de situations. D’une part parce que cela nécessite d’envoyer ses adresses en dehors de l’Europe, d’autre part parce que le résultat ne sera pas conforme à BeSt Address, le standard administratif de BOSA pour les adresses en Belgique. Avec bePelias, une version améliorée du géocodeur open-source Pelias adapté aux données de BeSt Address, nous proposons une solution on-premise de géocodage, ayant des performances comparables aux grandes solutions commerciales.

Presentation

In ons laatste artikel hebben we gezien wat iemand van een internetgebruiker kan achterhalen aan de hand van zijn IP-adres, cookies, Javascript-code en zelfs sporen die hij lokaal op zijn computer achterlaat. We hebben ook gesproken over de noodzaak voor iedereen om zich zo goed mogelijk te beschermen tegen pogingen om hem te observeren, of dat nu is met het oog op hacking, spionage of onderdrukking. In dit artikel bekijken we verschillende beschermingsmethoden, van de eenvoudigste (gebruik van HTTPS) tot de meest complexe (gebruik van Tails+Tor), waarbij we telkens uitleggen wat er wordt beschermd en welke beperkingen dit met zich meebrengt.

Wat we willen beschermen

Wanneer we online surfen, zijn er over het algemeen twee dingen die we willen beschermen: 

• Onze anonimiteit, namelijk wie we zijn;
• Onze vertrouwelijkheid, namelijk wat we doen.

Als je met een masker op straat loopt, kan iedereen zien wat je doet, maar niet wie je bent. Je anonimiteit wordt dus gerespecteerd, maar je vertrouwelijkheid niet. Als je thuiskomt en de gordijnen sluit, weet iemand die naar je huis kijkt dat je thuis bent (je anonimiteit is dus niet gewaarborgd), maar hij weet niet wat je doet (je privacy is gewaarborgd).

Wanneer je op een website surft, zijn er tal van entiteiten die allerlei dingen kunnen weten:

• De beheerders van de website die je bezoekt;
• Je IAP (Internet Access Provider) of de beheerder van het openbare wifi-netwerk (mogelijk gehackt) waarmee je verbonden bent;
• Indien van toepassing, de beheerder van de gebruikte VPN;
• Een virus of spyware op de computer;
• Iemand die fysieke toegang heeft tot de computer, of dat nu de politie is of iemand met minder nobele bedoelingen;
• Grote spelers zoals Facebook, Google, X of advertentienetwerken, die spyware op de meeste webpagina’s hebben geïnstalleerd.

Verder gaan we ons afvragen welke informatie deze verschillende entiteiten kunnen verkrijgen. Wat betreft anonimiteit:

• Wat is de “identiteit” (een e-mailadres, een postadres, een telefoonnummer, een gebruikersnaam op sociale media…) van de bezoeker?
• Wat is zijn IP-adres?
• Waar bevindt hij zich?
• Gebruikt hij een tool om zich te “verbergen” (VPN, Tor…)?

Wat betreft de vertrouwelijkheid (wat je doet):

• Wat is de browsegeschiedenis op de huidige website en de huidige sessie
• Idem, maar ook in het verleden
• Idem, maar voor alle bezochte websites

Eenvoudig browsen in HTTPS vs HTTP

Het is bijna onmogelijk geworden om te browsen op een website die niet beveiligd is met SSL, dus in HTTP en niet in HTTPS. Volgens het “transparency report” van Google over Chrome, blijft het aandeel van pagina’s dat via HTTPS wordt geladen in maart 2025 op 94% voor Windows, 98% voor Mac en 99% voor Android. Voor Linux-gebruikers blijft dit aandeel sinds 2021 stabiel op ongeveer 80 %.

Wat verandert er op het vlak van privacy? Niets voor de beheerders van de website die je bezoekt: zij kunnen je surfgedrag nog steeds volgen. Gebruikers van cookies van derden (Facebook, Google, data brokers en partners…) of fingerprinting (zie ons vorige artikel) kunnen je nog steeds profileren. En het heeft ook geen invloed op de sporen (cache, browsegeschiedenis…) die je activiteiten op de computer achterlaten.

Bij HTTP daarentegen kan je internetprovider (of de beheerders van de publieke access point… die heel goed door een hacker beheerd kunnen worden) of elke server op de weg naar de bezochte website de volledige URL van elke geladen pagina (in het IP-pakket dat de aanvraag bevat) en de inhoud ervan (in de retourpakketten met de inhoud) kennen. Hetzelfde geldt voor een spywareprogramma, een (hackers)programma dat op je computer is geïnstalleerd en dat in staat is om het netwerk af te luisteren (sniffing).

De mogelijkheden om af te luisteren zijn aanzienlijk beperkter bij HTTPS: niet alleen de inhoud wordt verborgen, maar ook de exacte pagina en soms zelfs de website. Laten we twee voorbeelden nemen:

• Je gaat naar de pagina https://www.facebook.com/Smals.ICT.for.Society: je browser (met behulp van je OS, we laten de details achterwege) maakt een IP-pakket met als bestemming “179.60.195.36” (of een van de andere IP-adressen van de Facebook-servers) en in de versleutelde inhoud (via SSL) een HTTP-verzoek met de tekst “geef me (GET) de inhoud van de pagina /Smals.ICT.for.Society”. Alleen je browser en de web server van bestemming kunnen de inhoud zien. Je internetprovider (of een hacker die zich ergens in het netwerk bevindt) weet alleen dat je naar Facebook bent gegaan, maar niet naar welke pagina;
• Je gaat naar de pagina /team/. Deze keer is het IP-adres (185.22.109.12) dat van onze host, die honderden andere websites host. Je IAP kan onmogelijk weten waar je naartoe bent gegaan: noch de website, noch de pagina.

Deze laatste bewering moet echter genuanceerd worden: op basis van het IP-pakket kan de IAP weliswaar niet weten welke website wordt bezocht. Maar om een domeinnaam (website.smalsrech.be) om te zetten in een IP-adres, moest een “DNS-verzoek” worden verzonden. Tenzij de netwerkconfiguratie wordt gewijzigd, wordt meestal de DNS-server van de IAP gebruikt, die vaak niet versleuteld is en dus de informatie kan kruisen. Om dit te voorkomen, kan een andere dienst worden gebruikt en versleuteld.

Hoewel de inhoud ontoegankelijk is en de bestemming vaak gedeeltelijk verborgen blijft, kan de IAP doorgaans wel het type verkeer identificeren: surfen op het internet, videostreaming, online gaming, e-mail, berichtenverkeer, gebruik van een VPN … Hierdoor kan hij de toegang tot bepaalde diensten of servers blokkeren, zoals vaak gebeurt in bepaalde landen. We kunnen hieruit concluderen dat ten opzichte van de internetprovider anonimiteit (wie je bent) niet wordt geboden, maar dat de vertrouwelijkheid (wat je doet) gedeeltelijk wordt gegarandeerd.

Privé-browsing

Alle browsers bieden een “privé”-browsingmodus, die de privacy verhoogt. Deze modus:

• Blokkeert cookies van derden;
• Wist alle cookies aan het einde van de sessie;
• Wist de cachegegevens en andere navigatiegegevens (wachtwoorden en formuliergegevens);
• Verwijdert de navigatiegeschiedenis

Deze modus doet het volgende:

• Voorkomt dat de volgende gebruiker kan zien wat je hebt gedaan;
• Voorkomt dat een website die cookies gebruikt, een verband kan leggen tussen twee sessies (tenzij je je hebt aangemeld);
• Voorkomt dat trackers die cookies van derden gebruiken, je kunnen volgen.

Deze modus verbergt het IP-adres echter niet, voorkomt tracking via fingerprinting niet en verandert niets aan wat de IAP (en dus ook justitie) kan zien, noch aan wat andere entiteiten die netwerkcommunicatie kunnen onderzoeken, zoals beheerders van bedrijfsnetwerken. Deze modus heeft bovendien geen invloed op de sporen die het besturingssysteem en de netwerkbeheerslagen kunnen achterlaten. En als er bepaalde extensies zijn geïnstalleerd, kunnen deze ook sporen achterlaten. De gedownloade bestanden worden bovendien niet gewist.

Laten we een eenvoudig voorbeeld nemen: als de gebruiker in de incognitomodus naar http://website.smalsrech.be gaat, zal dit adres niet in de browsergeschiedenis verschijnen. De browser heeft website.smalsrech.be echter wel moeten omzetten in een IP-adres, wat gebeurt via een DNS-server. Om veel oproepen naar deze dienst te voorkomen, wordt de omzetting in een cache opgeslagen, die in Windows zichtbaar is met het commando “ipconfig /displaydns”. Dit commando geeft onder andere de waarde hiernaast weer. We weten dus dat de website recent is bezocht, aangezien de cachegegevens regelmatig worden gewist. Het zou eenvoudig zijn om een klein script op de achtergrond te laten draaien dat deze query regelmatig uitvoert om precies te weten wanneer en welke websites zijn bezocht.

Privé browsen maakt je dus absoluut niet “anoniem” op het internet. Het biedt alleen een zekere vorm van privacy ten opzichte van andere gebruikers van de computer (familie, collega’s…) zonder al te veel technische kennis, maar niet ten opzichte van een entiteit die hier middelen voor kan inzetten. 

VPN

Een VPN (Virtual Private Network) is een software die alle gegevens via een beveiligde “tunnel” tussen de computer van de klant en een server van de VPN-provider doorstuurt, voordat ze toegang krijgen tot de bezochte website. Zo: 

• Ziet de IAP enkel de communicatie tussen je computer en de VPN-server;
• Ziet de website (of dienst) die je bezoekt de verzoeken alsof ze afkomstig zijn van de VPN-server.

Dit vermindert dus de mogelijkheden van de access point (IAP, wifi-hotspot…), maar in beperkte mate in vergelijking met 100% HTTPS-verbindingen: in beide gevallen is de inhoud onzichtbaar. Met een VPN ziet de IAP ook niet de IP-adressen van de bezochte diensten en kan hij, omdat alle communicatie wordt gemengd, moeilijker het type verkeer identificeren.

Wat echter onzichtbaar wordt voor de IAP, wordt transparant voor de VPN. In feite verplaatsen we het vertrouwensprobleem: moeten we meer vertrouwen hebben in een (vaak buitenlands) bedrijf dat een VPN-dienst aanbiedt of in onze IAP (die doorgaans onderworpen is aan de regels van het eigen land)?

In verschillende situaties kan het gebruik van een VPN een deel van de oplossing zijn:

• Als je redenen hebt om te vrezen voor het oog van de lokale autoriteiten, of als het internet access point niet betrouwbaar is (bijvoorbeeld een openbare wifi-hotspot);
• Als je bepaalde diensten wilt omzeilen;
• Als je geografische blokkades wilt omzeilen, aangezien de website je zal herkennen in het land waar de (eind)server van de VPN zich bevindt.

Let wel dat sommige diensten, zoals Netflix, VPN’s proberen te detecteren en te blokkeren. Het kan moeilijk zijn om deze te omzeilen. In China mogen alleen “toegestane” VPN’s (die dus in overeenstemming zijn met de autoriteiten) worden gebruikt (maar er zijn oplossingen om dit te omzeilen). Hetzelfde geldt voor Rusland.

Het gebruik van een VPN beperkt dus de mogelijkheden tot controle door de access point van het netwerk en dus door de autoriteiten, maar verplaatst deze naar de beheerders van de VPN… die vaak onderworpen zijn aan de autoriteiten van een ander land. Een VPN beperkt echter op geen enkele wijze de mogelijkheden om je te volgen via cookies of fingerprint. En het maakt het gebruik van HTTPS niet overbodig, zodat VPN-beheerders niet de mogelijkheid hebben om alle inhoud te lezen. HTTPS verhoogt de anonimiteit ten opzichte van de bezochte website, omdat de locatie kan worden verborgen.

Blokkering van trackers

Het gebruik van cookies door derden is al lang het doelwit van kritiek. Edge en Firefox blokkeren ze al grotendeels. Google had aangekondigd dat het de third party cookies in Chrome zou blokkeren, maar is daarop teruggekomen en deze worden nog steeds niet geblokkeerd. De auteur van dit artikel blokkeert al jaren alle third party cookies op al zijn toestellen, vrijwel zonder enige beperking. Het is vrij duidelijk dat third party cookies interessant zijn voor adverteerders, maar geen enkel nut hebben voor internetgebruikers.

Een plug-in voor het blokkeren van trackers, zoals Ghostery, gaat verder dan alleen het blokkeren van third party cookies: deze voorkomt ook dat de code wordt geladen en uitgevoerd, waardoor fingerprinting niet meer mogelijk is (voor zover deze door de plug-in is geïdentificeerd).

Door trackers te blokkeren, wordt tracking door elementen buiten de pagina die je bezoekt, voorkomen. Dit belet de website die je bezoekt, of het nu een sociaal netwerk of een e-commerce website is, niet om een profiel van zijn bezoekers op te bouwen wanneer ze op zijn website zijn.

Tor-browser

De Tor-browser, en meer in het algemeen het Tor-project, gaat veel verder dan de tot nu toe gepresenteerde opties om de gebruiker onvindbaar te houden en te voorkomen dat iemand hem kan traceren, zelfs met aanzienlijke middelen. Het is voornamelijk ontwikkeld om voorvechters van democratie in autoritaire landen te helpen en is grotendeels gefinancierd door de Electronic Frontier Foundation, een internationale ngo die zich inzet voor vrijheid op het internet, en zelfs door het Amerikaanse ministerie van Buitenlandse Zaken.

Deze browser, een aangepaste versie van Firefox, maakt het mogelijk om op een zeer veilige manier op het “klassieke” internet te surfen, maar ook op het “dark web”, een deel van het internet dat niet toegankelijk is met klassieke browsers (we komen hier in een volgend artikel op terug). Je vindt er mogelijkheden voor klokkenluiders om contact op te nemen met de media (NYT, BBC, The Guardian…) maar ook met officiële diensten zoals de CIA. Iraanse activisten verenigden zich na de dood van Masha Amini in 2022 op Tor om de censuur van de belangrijkste communicatiemiddelen te omzeilen. Maar er zijn ook talloze minder aanbevelenswaardige sites te vinden, zoals sites voor drugshandel, wapenhandel, gestolen gegevens of valse papieren.

We richten ons hier alleen op wat de tool te bieden heeft op het gebied van gebruikersbescherming. Het basisprincipe van het Tor-netwerk (The Onion Router) is dat elk bericht, voordat het zijn bestemming bereikt, via drie tussenliggende knooppunten (Tor-knooppunten) wordt verzonden, die willekeurig worden gekozen uit een lijst van vrijwillige servers: een ingangsknooppunt A, een tussenliggend knooppunt B en een uitgangsknooppunt C. De Tor-client “verpakt” (versleutelt) eerst zijn bericht met de privésleutel van C (inclusief het IP-adres van de bestemming D), voegt vervolgens een laag toe (zoals een ui, vandaar de naam) door te versleutelen met de sleutel van B, en ten slotte met de sleutel van A.

Door op deze manier te werk te gaan:

• Ziet de IAP, die zich tussen de klant en knooppunt A bevindt, noch het IP-adres van de bestemming, noch de inhoud;
• Het ingangsknooppunt A kent het IP-adres van de klant (ten minste van zijn modem of zijn access point), maar niet dat van de bestemming, noch zelfs het uitgangsknooppunt C: het weet alleen dat het zijn pakketten naar knooppunt B moet doorsturen, nadat het de voor hem bestemde versleutelingslaag heeft verwijderd;
• B kent noch het IP-adres van de klant, noch dat van de bestemming; hij weet alleen dat hij het van A ontvangt en naar C moet doorsturen;
• Het uitgangsknooppunt C kent alleen het IP-adres van de bestemmingsserver D (en de inhoud die aan hem moet worden doorgegeven), en niet dat van de klant of het ingangsknooppunt A;
• Voor de bestemmingsserver is het alsof het pakket afkomstig is van server C.

Met het Tor-netwerk hebben we dus een soort VPN met drie lagen, waardoor geen enkel knooppunt over de volledige informatie beschikt. Behalve de klant weet niemand zowel de bron als de bestemming van de pakketten, in tegenstelling tot een VPN, die zowel de bron (jij) als de bestemming (de website die je bezoekt) kent.

Merk op dat Tor het verkeer tussen de client en het uitgangsknooppunt beveiligt, maar niet tussen het uitgangsknooppunt en de bestemming, die niet weet (meer bepaald, niet hoeft te weten) dat het een verbinding ontvangt die via Tor verloopt (net zoals een VPN het verkeer tussen zijn servers en de bestemming niet beveiligt). Om het verkeer van begin tot eind te beveiligen, moet de klant HTTPS bovenop Tor gebruiken.

Let ook op dat DNS-query’s worden gedaan op het niveau van het uitgangsknooppunt, dat de klant niet kent. Het ingangsknooppunt dat de klant kent, weet dus niet welke DNS-query’s hij heeft gedaan.

En wat als een kwaadwillende entiteit een gehackte Tor-knooppunt zou opzetten (wat de NSA met zeer beperkt succes zou hebben geprobeerd)? Deze zou dan eerst moeten worden gekozen door de klant die hij op het oog heeft, die willekeurig drie relays kiest uit een lijst van +/- 8000 relays en deze om de 10 minuten verandert. Als deze gehackte relay door (on)gelukkige toeval als ingangsknooppunt wordt gekozen, is de enige informatie waarover hij beschikt een lijst van Tor-gebruikers (meer bepaald IP-adressen), zonder enige informatie over hun activiteiten. Als het als tussenliggende knooppunt wordt gekozen, ziet het alleen versleuteld verkeer, zonder te weten waar het vandaan komt of waar het naartoe gaat. En als het als uitgangsknooppunt wordt gekozen, kent het de bestemmingsservers, zonder te weten wie er contact mee maakt. En als het verkeer via HTTPS verloopt, kan het niets van de inhoud zien.

Maar het gebruik van Tor vereist wel enige voorzichtigheid. In 2013 ontving de universiteit van Harvard tijdens de examens een bomdreiging per e-mail. De FBI kon vaststellen dat de e-mail was verzonden via een dienst (Guerilla Mail, waarmee tijdelijke en anonieme e-mailadressen kunnen worden aangemaakt) die via Tor was gebruikt (aan de hand van de header van de e-mail). Bovendien stelden ze vast dat slechts één student van de universiteit op het moment van verzending van het bericht via het wifi-netwerk van de campus verbinding had gemaakt met Tor. Dat was voldoende om het verband te leggen.

Ross W. Ulbricht, de oprichter van Silk Road, een van de grootste (voornamelijk drugs)markten op het dark web in het begin van de jaren 2010, werd ontmaskerd omdat hij eens het adres rossulbricht@gmail.com had vermeld op een forum over cryptovaluta, onder het pseudoniem Altoid. Ditzelfde pseudoniem werd ook gebruikt op een ander forum, voor een account dat de FBI in verband had gebracht met de beheerder van Silk Road.

Deze voorbeelden hebben natuurlijk betrekking op criminele activiteiten, maar de kans is groot dat als een autoritaire staat erin zou slagen een dissident achter Tor te identificeren, hij daar geen reclame voor zou maken.

Om nog iets anoniemer te blijven en te voorkomen dat je IAP weet dat het verkeer via Tor verloopt, kun je tegenwoordig een “bridge” (een Tor-knooppunt dat niet voorkomt in openbare lijsten) gebruiken die obfuscatiemethoden toepast om het verkeer te verbergen en het zeer vergelijkbaar te maken met normaal verkeer, zodat het zeer moeilijk wordt om het gebruik van Tor te identificeren.

Naast een beveiligd communicatiekanaal gedraagt Tor zich standaard als privémodus in browsers: cookies worden tussen twee sessies gewist, alle cookies van derden worden geweigerd en er wordt niets lokaal opgeslagen (cache, geschiedenis, enz.). Daarnaast zal hij ‘mitigation’-technieken toepassen om fingerprinting te voorkomen, door geen precieze antwoorden te geven op query’s (OS, versie, lijst met lettertypes, schermresolutie, enz.). Hij zal ook expliciet toestemming vragen alvorens een Canvas- of WebGL-code uit te voeren. Het is mogelijk om nog voorzichtiger te zijn door de “beveiligde” modus te gebruiken, die alle JavaScript volledig blokkeert.

Het gebruik van Tor heeft echter een prijs: het doorlopen van 3 tussenliggende knooppunten, met meerdere versleutelingslagen en het blokkeren van verschillende functies, maakt het surfen trager en kan ertoe leiden dat een deel van de functies verloren gaat. Voor de gemiddelde gebruiker is het dus geen haalbaar alternatief voor zijn favoriete browser in het dagelijks leven. Maar voor een gebruiker die hoge eisen stelt aan privacy en anonimiteit, zelfs tijdelijk, kan het dat wel worden, mits hij adequate maatregelen neemt door zijn Tor-browsing duidelijk af te schermen van de rest: geen gebruik van login/e-mailadres/telefoonnummer dat aan zijn echte identiteit kan worden gekoppeld, geen betalingen met een gewone bankkaart, verwijdering van metagegevens voordat een bestand wordt verzonden, nooit verbinding maken met dezelfde diensten zonder Tor te gebruiken…

Tails

De zwakte van Tor ligt niet in de tool zelf, maar in het feit dat deze op een besturingssysteem draait (Windows, MacOS, Android…). En de sporen die het systeem achterlaat, zijn moeilijk te controleren. Een computer die in beslag wordt genomen, kan onthullen dat Tor werd gebruikt en wanneer. Als het systeem in slaapstand wordt gezet, waarbij de inhoud van het geheugen naar de harde schijf wordt gekopieerd, is het niet uitgesloten dat een expert er informatie uit kan halen.

Tails is een “live” besturingssysteem: het wordt op een USB-stick geïnstalleerd. Je gebruikt het door het op (bijna) elke computer aan te sluiten, zonder sporen achter te laten, noch op de computer (waarvan het hoofdbesturingssysteem niet is opgestart), noch op de stick. Het gebruikt namelijk alleen het werkgeheugen (RAM) van de computer, dat volledig wordt gewist wanneer de machine wordt uitgeschakeld, en helemaal niet de harde schijf. Het is gebaseerd op Debian en leidt alle netwerkcommunicatie via het Tor-netwerk.

Hiermee wordt een zeer hoge mate van heimelijkheid bereikt, maar met dezelfde beperkingen als bij het gebruik van Tor (traagheid, beperkte functionaliteit…), en waarbij dezelfde voorzichtigheid geboden is. Zoals vaak het geval is, ligt de fout bij een storing tussen de stoel en het toetsenbord!

Conclusie

Jezelf beschermen tijdens het surfen op het internet kan op verschillende niveaus. Surfen via HTTPS is de basis, maar is ook de norm geworden: er is bijna geen alternatief meer. “Privé” surfen biedt een zeer beperkte bescherming: het maakt het vooral mogelijk om zich (gedeeltelijk) te verbergen voor toekomstige gebruikers van de machine. Door geschikte plug-ins te gebruiken, cookies van derden te blokkeren en de mogelijkheden voor fingerprinting te beperken, kun je je ook beschermen tegen de reclamegiganten en sociale netwerken. Het is waarschijnlijk dat dit in de toekomst door sommige browsers zelf zal worden geïmplementeerd.

Door een VPN te gebruiken, beperk je de mogelijkheden van je IAP (of de beheerder van de openbare access point) en de autoriteiten om in te breken, maar je geeft deze mogelijkheden wel aan de beheerders van de VPN, die niet altijd betrouwbaar zijn. Het gebruik van Tor is relevant als je niemand vertrouwt: noch je IAP, noch de website die je bezoekt, noch de adverteerders, noch zelfs het Tor-netwerk. Maar dit gaat ten koste van de prestaties. En als je ook degenen die toegang hebben tot de computer niet kunt vertrouwen, biedt Tails extra zekerheid door alle sporen te wissen wanneer de computer wordt uitgeschakeld. 

Iedereen moet zelf het juiste beveiligingsniveau kiezen, afhankelijk van het gebruik en de vaardigheden.

Deze post is een individuele bijdrage van Vandy Berten, gespecialiseerd in data science bij Smals Research. Dit artikel is geschreven onder zijn eigen naam en weerspiegelt op geen enkele wijze de standpunten van Smals.

Dans notre dernier article, nous avons vu ce que l’adresse IP, les cookies ou du code Javascript, voire les traces laissées localement sur son ordinateur, pouvaient révéler d’un internaute lors de son utilisation du web. Nous avons également discuté de la nécessité pour chacun de se protéger au mieux des tentatives d’observation, que ce soit à des fins de piratage, d’espionnage ou de répression. Nous allons voir dans cet article différentes méthodes de protection, de la plus simple (utilisation d’HTTPS) à la plus complexe (utilisation de Tails+Tor), en expliquant chaque fois ce qui est protégé et les contraintes que cela implique.

Ce qu’on veut protéger

Quand on navigue sur le web, il y a en général deux choses que l’on veut protéger : 

• Son anonymat, à savoir qui on est ;
• Sa confidentialité, à savoir ce que l’on fait.

Si vous vous promenez dans la rue avec un masque, tout le monde peut savoir ce que vous faites, mais pas qui vous êtes. Votre anonymat est donc respecté, mais pas votre confidentialité. Si vous rentrez chez vous et fermez les rideaux, quelqu’un qui observe votre maison sait que vous y êtes rentré (votre anonymat n’est donc pas préservé), mais il ne sait pas ce que vous y faites (votre confidentialité est préservée).

Quand on navigue sur un site web, de nombreuses entités sont susceptibles de savoir des choses :

• Les gestionnaires du site web visité ;
• Votre FAI (Fournisseur d’Accès à Internet), ou le gestionnaire du wifi public (éventuellement pirate) sur lequel on est connecté ;
• Le cas échéant, le gestionnaire du VPN utilisé ;
• Un virus ou logiciel mouchard sur l’ordinateur ;
• Quelqu’un qui a un accès physique à la machine, que ce soit les forces de l’ordre ou n’importe quel individu aux ambitions peu louables ;
• Les grands acteurs comme Facebook, Google, X, ou les régies publicitaires, qui ont des mouchards sur une grande majorité des pages web.

On va dans la suite se demander ce que ces différentes entités seront susceptibles d’obtenir comme info. En ce qui concerne l’anonymat :

• Quelle est “l’identité” (une adresse email ou postale, un numéro de téléphone, un identifiant sur un média social…) du visiteur ?
• Quelle est son adresse IP ?
• Où se trouve-t-il ?
• Utilise-t-il un outil pour se “cacher” (VPN, Tor…) ?

En ce qui concerne la confidentialité (ce que vous faites) :

• Quel est l’historique de navigation sur le site courant, pour la session courante
• Idem, mais également par le passé
• Idem, mais pour l’ensemble des sites visités

Navigation simple en HTTPS vs HTTP

Il est devenu quasiment impossible de naviguer sur un site web non protégé par SSL, en HTTP et non en HTTPS. D’après le “transparency report” de Google, sur Chrome, en dehors des utilisateurs sur Linux où la proportion de pages chargées en HTTPS stagne depuis 2021 vers 80 %, cette proportion est en mars 2025 de 94 % sur Windows, 98 % sur Mac et 99% sur Android.

Qu’est-ce que ça change en termes de vie privée ? Rien pour les gestionnaires du site web que vous visitez : leur capacité à suivre vos pérégrinations n’est pas impactée. Les utilisateurs de cookies tiers (Facebook, Google, data brokers et partenaires…) ou de fingerprinting (voir notre article précédent) peuvent tout autant vous profiler. Et cela n’aura pas non plus d’impact sur les traces (cache, historique de navigation…) que laisseront vos activités sur l’ordinateur.

Par contre, en HTTP, votre FAI (ou les gestionnaires du point d’accès public… qui peut très bien être géré par un hacker) ou n’importe quel serveur sur le chemin jusqu’au site visité, peut connaitre l’URL complète de chaque page chargée (dans le paquet IP contenant la requête), ainsi que leur contenu (dans les paquets retour avec le contenu). Il en va de même pour un “mouchard”, un programme (pirate) installé sur votre ordinateur, qui serait capable d’écouter (sniffer) le réseau.

Les possibilités d’écoute sont nettement réduites en HTTPS : non seulement le contenu sera caché, mais également la page exacte, et parfois même le site. Prenons deux exemples :

• Vous vous rendez sur la page https://www.facebook.com/Smals.ICT.for.Society : votre navigateur (avec l’aide de votre système d’exploitation, passons les détails) va créer un paquet IP, avec comme destination “179.60.195.36” (ou une des autres adresses IP des serveurs de Facebook), et, dans le contenu chiffré (par SSL), une requête HTTP disant “donne-moi (GET) le contenu de la page /Smals.ICT.for.Society”. Seuls votre navigateur et le serveur web de destination peuvent voir le contenu. Votre FAI (ou un pirate sur le chemin) sait uniquement que vous êtes allé sur Facebook, mais pas sur quelle page ;
• Vous vous rendez sur la page /team/. Cette fois-ci, l’adresse IP (185.22.109.12) est celle de notre hébergeur, qui héberge des centaines d’autres sites web. Aucune possibilité pour votre FAI de savoir où vous êtes allé : ni le site web, ni la page.

Cette dernière affirmation est cependant à nuancer : certes, sur base du paquet IP, le FAI ne peut pas savoir quel site web est visité. Mais pour convertir un nom de domaine (website.smalsrech.be) en adresse IP, il a fallu envoyer une “requête DNS“. En général, à moins de changer la configuration du réseau, on utilisera le serveur DNS, souvent non chiffré, du FAI, qui pourrait donc recouper les informations. Pour éviter ceci, il est possible d’utiliser un autre service et de le chiffrer.

Cependant, bien que le contenu lui soit inaccessible et la destination souvent partiellement cachée, le FAI pourra en général identifier le type de trafic : navigation Web, streaming vidéo, jeu en ligne, mail, messagerie, utilisation d’un VPN … Ceci lui permettra de bloquer l’accès à certains services ou serveurs, comme ça se fait souvent dans certains pays. On peut en conclure que vis-à-vis du FAI, l’anonymat (qui vous êtes) n’est pas offert, mais la confidentialité (ce que vous faites) est partiellement garantie.

Navigation privée

Tous les navigateurs offrent un mode de navigation “privée”, permettant de renforcer sa vie privée. Ce mode va :

• Bloquer les cookies tiers ;
• Effacer tous les cookies à la fin de la session ;
• Effacer les données en cache et autres données de navigation (mots de passe et données de formulaires) ;
• Supprimer l’historique de navigation.

Ce mode va donc :

• Empêcher l’utilisateur suivant de savoir ce que vous avez fait ;
• Empêcher un site web qui utilise les cookies de faire le lien entre deux sessions (sauf si vous vous y êtes authentifié) ;
• Empêcher les traqueurs qui utilisent les cookies tiers de vous pister.

Il ne masque cependant pas l’adresse IP, n’empêche pas le suivi par fingerprinting, ne change rien à ce que le FAI (et donc la justice) peut voir, ni toute entité pouvant examiner les communication réseaux, comme les administrateurs du réseau d’entreprise. Par ailleurs, cela n’aura pas d’impact sur les traces que pourraient laisser le système d’exploitation et ses couches de gestion du réseau. Et si certaines extensions sont installées, elles sont également susceptibles de laisser des traces. Les fichiers téléchargés ne sont par ailleurs pas effacés.

Prenons un petit exemple : si l’utilisateur se rend sur http://website.smalsrech.be en mode incognito, on ne verra pas apparaitre cette adresse dans l’historique du navigateur. Par contre, le navigateur a dû convertir website.smalsrech.be en adresse IP, ce qui se fait au moyen d’un serveur DNS. Pour éviter de nombreux appels à ce service, la conversion est maintenue dans une cache, visible sur Windows grâce à la commande “ipconfig /displaydns”. Celle-ci affichera, entre autres, la valeur ci-contre. On sait donc que le site web a été consulté récemment, puisque les données en cache sont régulièrement effacées. Il serait facile de faire tourner un petit script en tâche de fond qui exécute cette requête régulièrement pour savoir exactement quand et quelles sites web ont été consultés.

En bref, la navigation privée ne rend absolument pas “anonyme” sur le web ; Elle offre uniquement une certaine forme de confidentialité par rapport autres utilisateurs de la machine (famille, collègues…) sans trop de compétences techniques, mais pas d’une entité qui peut y mettre les moyens. 

VPN

Un VPN (Virtual Private Network) est un logiciel qui va faire transiter toutes les données par un “tunnel” sécurisé, entre la machine du client et un serveur géré par le fournisseur de VPN, avant d’accéder au site visité. De la sorte : 

• Le FAI ne voit plus que des communications entre votre machine et le serveur du VPN ;
• Le site web (ou service) que vous visitez verra les requêtes comme si c’est le serveur du VPN qui les lui adressait.

Cela diminuera donc les possibilités du point d’accès (FAI, borne wifi…), mais de façon limitée par rapport à des connexions 100 % en HTTPS : dans les deux cas, le contenu est invisible. Avec un VPN, le FAI ne verra pas non plus les adresses IP des services visités, et, toute les communications étant mélangées, pourra plus difficilement identifier le type de trafic.

Par contre, ce qui devient invisible pour le FAI devient transparent pour le VPN. On déplace en fait simplement le problème de la confiance : doit-on plus faire confiance à une société (souvent étrangère) qui propose un service de VPN ou à son fournisseur d’accès (en général soumis eux règles de son propre pays) ?

Il y a plusieurs situations où l’utilisation d’un VPN peut être une partie de la solution :

• Si l’on a des raisons de craindre l’œil des autorités locales, ou que le point d’accès à Internet n’est pas fiable (une borne wifi publique, par exemple) ;
• Si l’on veut contourner un blocage de certains services ;
• Si l’on veut pouvoir limiter le blocage géographique, puisque le site web vous imaginera dans le pays où se trouve le serveur (final) du VPN. 

Notons que certains services, comme Netflix, tentent de détecter les VPN et les bloquent. Il peut être compliqué de les contourner. En Chine, seule les VPN “autorisés” (et donc conciliant avec les autorités) peuvent être utilisés (mais il existe des solutions de contournement). Il en est de même en Russie.

L’utilisation d’un VPN limite donc les possibilités de surveillance par le point d’accès au réseau et donc par les autorités, mais les déplacent vers les gestionnaires du VPN… souvent soumises aux autorités d’un autre pays. Cependant, le VPN ne limite en rien les capacités de pistage par cookies ou par fingerprint. Et il ne dispense pas d’utiliser HTTPS, pour ne pas laisser aux gestionnaires du VPN la possibilité de lire tout le contenu. Le VPN augmente l’anonymat vis-à-vis du site visité, puisqu’on peut le tromper sur sa localisation.

Blocage des trackers

L’utilisation des cookies tiers est depuis longtemps la cible des critiques. Edge et Firefox les bloquent déjà très largement. Google avait annoncé la fin de cookies tiers dans Chrome, mais est revenu en arrière et ceux-ci ne sont toujours pas bloqués. Depuis plusieurs années, l’auteur de ces lignes bloque totalement les cookies tiers sur tous ses appareils, quasiment sans rencontrer la moindre contrainte. Il est assez clair que les cookies tiers ont un intérêt pour les publicitaires, mais ne sont plus d’aucun intérêt pour l’internaute.

Un plugin de blocage de trackers, comme Ghostery, ira plus loin que simplement bloquer les cookies tiers : il empêchera également le chargement et l’exécution du code, qui ne pourra dès lors plus faire de fingerprinting (pour autant qu’il ait été identifié par le plugin).

En bloquant les trackers, on empêche le pistage par des éléments externes à la page que l’on est en train de visiter. Cela n’empêche en rien le site que l’on visite, que ce soit un réseau social ou un site d’e-commerce, de continuer à établir un profil de ses visiteurs quand ils sont sur son site.

Navigateur Tor

Le navigateur Tor, et plus largement le projet Tor, va beaucoup plus loin que les options présentées jusqu’ici pour permettre à son utilisateur de rester intraçable et empêcher quiconque de remonter jusqu’à lui, même avec des moyens conséquents. Il a été créé principalement dans le but d’aider les défenseurs de la démocratie dans les états autoritaires, et largement été financé par l’Electronic Frontier Foundation, une ONG internationale de protection des libertés sur Internet, et même le Département d’État des USA.

Ce navigateur, une version modifiée de Firefox, permet de naviguer sur le web “classique” de façon très sécurisée, mais également sur le “dark web”, une partie du web qui n’est pas accessible avec des navigateurs classiques (nous y reviendrons dans un prochain article). On y trouve des possibilités pour des lanceurs d’alerte de contacter des médias (NYT, BBC, The Guardian…) mais également des services officiels tels que la CIA. Des manifestants Iraniens, suite à la mort de Masha Amini en 2022, se sont organisés sur Tor pour contourner la censure des principaux moyens de communication. Mais on y trouve également d’innombrables sites moins recommandables, de trafic de drogue, d’armes, de données volées ou de faux papiers.

On va ici s’intéresser uniquement à ce que l’outil offre en termes de protection de l’utilisateur. Le principe de base du réseau Tor (pour The Onion Router) est de faire transiter chaque message, avant d’arriver à destination, par trois nœuds intermédiaires (des nœuds Tor), choisis aléatoirement parmi une liste de serveurs volontaires : un nœud d’entrée A, et nœud intermédiaire B et un nœud de sortie C. Le client Tor va d’abord “emballer” (chiffrer) son message avec la clé privée de C (y compris l’IP de destination D), puis ajoute une couche (tel un oignon, d’où le nom) en chiffrant avec la clé de B, puis enfin avec la clé de A.

En agissant de la sorte :

• Le FAI, qui se trouve entre le client et le nœud A, ne verra pas l’adresse IP de destination, ni le contenu ;
• Le nœud d’entrée A, lui, connaitra l’adresse IP du client (à tout le moins de son modem ou de son point accès), mais pas celle de destination, ni même le nœud de sortie C : il saura juste qu’il doit faire transiter ses paquets vers le nœud B, après avoir ôté la couche de chiffrement lui étant destinée ;
• B ne connaitra ni l’IP du client, ni de la destination ; il saura uniquement qu’il le reçoit de A et doit le faire transiter vers C ;
• Le nœud de sortie C connaitra uniquement l’IP du serveur de destination D (et le contenu à lui remettre), et pas celle du client ni du nœud d’entrée A ;
• Pour le serveur de destination, tout se passe comme si le paquet venait du serveur C.

Avec le réseau Tor, on a donc une sorte de VPN en 3 couches, faisant en sorte qu’aucun nœud ne possède l’information complète. Personne, à par le client, ne connait à la fois la source et la destination des paquets, contrairement au VPN qui connait à la fois la source (vous) et la destination (le site web que vous visitez).

Notons que Tor sécurise le trafic entre le client et le nœud de sortie, mais pas entre le nœud de sortie et la destination, qui ne sait pas (plus précisément, n’a pas besoin de savoir) qu’elle reçoit une connexion transitant par Tor (tout comme un VPN ne sécurise pas le trafic entre ses serveurs et la destination). Pour que le trafic soit sécurisé de bout en bout, il faut que le client utilise HTTPS au-dessus de Tor.

Notons également que les requêtes DNS se font au niveau du nœud de sortie, qui ne connait pas le client. Le nœud d’entrée qui connait le client ne sait donc pas quelles requêtes DNS il a faites.

Et si une entité mal intentionnée mettait en place un nœud Tor pirate (ce qui aurait été tenté par la NSA avec un succès très limité) ? Il faudrait d’abord qu’il soit choisi par le client qu’elle vise, qui choisit aléatoirement trois relais parmi une liste de +/- 8000 relais, et en change toutes les 10 minutes. Si par (mal)chance ce relai pirate est choisi comme nœud d’entrée, la seule information à sa disposition serait une liste d’utilisateurs (d’adresses IP, plus précisément) Tor, sans aucune information sur les activités. S’il est choisi comme nœud intermédiaire, il ne verra que du trafic crypté, sans savoir ni d’où il vient, ni où il va. Et s’il est choisi en nœud de sortie, il connaitra les serveurs de destination, sans savoir qui les contacte. Et si le trafic est en HTTPS, il ne pourra rien voir du contenu.

Mais utiliser Tor ne dispense pas d’une certaine prudence. En 2013, une alerte à la bombe arrive par mail à l’université d’Harvard, en pleine période d’examens. Le FBI a pu déterminer que le mail avait été envoyé depuis un service (Guerilla Mail, permettant de créer des adresses email temporaires et anonymes) qui avait été utilisé depuis Tor (grâce au header du mail). Par ailleurs, ils ont également pu déterminer qu’un (seul) étudiant de l’université s’était connecté à Tor depuis le Wifi du campus au moment de l’envoi du message. Ce qui a suffi à faire le lien.

Ross W. Ulbricht, le fondateur de Silk Road, un des plus gros marché (essentiellement de drogue) au début des années 2010 sur le dark web, a été démasqué parce qu’il a un jour renseigné l’adresse rossulbricht@gmail.com sur un forum de cryptomonnaie, sous le pseudonyme de Altoid. Et ce même pseudonyme était également utilisé sur un autre forum, pour un compte que le FBI avait associé au gérant de Silk Road.

Ces exemples concernent bien sûr des activités criminelles ; mais il y a fort à parier que si un état autoritaire parvenait à identifier un dissident derrière Tor, il n’en ferait pas la publicité.

Pour rester encore un peu plus anonyme et empêcher son FAI de savoir que le trafic passe par Tor, il est aujourd’hui possible d’utiliser un “bridge” (un nœud Tor qui n’apparait pas dans les listes publiques) qui utilisera des méthodes d’obfuscation, faisant en sorte de masquer le trafic pour le rendre très similaire à un trafic normal, de sorte qu’il devienne très difficile d’identifier l’utilisation de Tor.

En dehors de la sécurisation du canal de communication, Tor va par défaut se comporter comme les modes privés des navigateurs : effacement des cookies entre deux sessions, refus de tous les cookies tiers, aucun enregistrement local (cache, historique…). Il va par ailleurs appliquer des techniques de “mitigation” pour empêcher le fingerprinting, en ne donnant pas de réponses précises aux requêtes (OS, version, liste des polices, résolution d’écran…). Il va également demander un accord explicite avant d’exécuter un code de Canvas ou WebGL. Il est possible d’être encore plus prudent en adoptant le mode “sécurisé”, qui va bloquer tout Javascript.

L’utilisation de Tor a cependant un coût : le passage par 3 nœuds intermédiaires, avec de multiples couches de chiffrement et le blocage de plusieurs fonctionnalités vont rendre la navigation plus lente, et potentiellement faire perdre une partie des fonctionnalités. Ce n’est donc pas, pour l’utilisateur Lambda, une alternative viable à son navigateur favori dans la vie de tous les jours. Mais pour un utilisateur qui a des besoins poussés en confidentialité et anonymat, même temporairement, ça peut le devenir à partir du moment où il applique des mesures adéquates en cloisonnant de façon claire sa navigation Tor du reste : pas d’utilisation de login/adresse email/numéro de téléphone liable à sa vraie identité, pas de payement avec une carte de banque classique, effacement des métadonnées avant envoi d’un fichier, ne jamais se connecter aux mêmes services sans utiliser Tor…

Tails

La faiblesse de Tor ne réside pas dans l’outil lui-même, mais dans le fait qu’il tourne sur un système d’exploitation (Windows, MacOS, Android…). Et il est difficile de contrôler les traces que le système laisse. Un ordinateur saisi peut révéler que Tor a été utilisé, et quand. Et s’il est mis en hibernation, procédé par lequel le contenu de la mémoire est copié sur le disque, on n’est pas à l’abri qu’un expert puisse en tirer de l’information.

Tails est un système d’exploitation “live” : il s’installe sur une clé USB. On l’utilise en le branchant à (presque) n’importe quel ordinateur, sans laisser la moindre trace, ni sur l’ordinateur (dont le système d’exploitation principal n’a pas démarré), ni sur la clé. Il va en effet uniquement utiliser la mémoire vive (RAM) de l’ordinateur, qui s’efface complètement à l’arrêt de la machine, et pas du tout son disque. Il est basé sur Debian et fera passer toute communication réseau par le réseau Tor.

On atteint donc un niveau de furtivité très élevé. Mais avec les mêmes contraintes que l’utilisation simple de Tor (lenteur, limitation des fonctionnalités…), et avec la même prudence à avoir. Comme souvent, s’il y a une défaillance, elle se trouve entre la chaise et le clavier !

Pour conclure

Se protéger en navigant sur le web peut se faire à de multiples niveaux. Naviguer en HTTPS est la base, mais c’est aussi devenu la norme : on ne peut presque plus faire autrement. La navigation “privée” offre une protection très limitée : elle permet principalement de se cacher (partiellement) aux futurs utilisateurs de la machine. L’utilisation de plugins adéquats, en bloquant les cookies tiers et limitant les possibilités de fingerprinting, permettra de se protéger également des géants de la publicités ou des réseaux sociaux. Il est probable que ça soit dans le futur implémenté par certains navigateurs eux-mêmes.

En utilisant un VPN, on limitera les possibilités d’intrusion de son FAI (ou du gestionnaire du point d’accès publique) et des autorités, mais on les offrira aux gestionnaires du VPN, pas toujours dignes de confiance. L’utilisation de Tor est pertinente si on ne fait confiance à personne : ni au FAI, ni au site visité, ni aux publicitaires, ni même au réseau Tor. Mais ça se fera au dépend de performances réduites. Et si on ne peut pas non plus faire confiance à ceux qui pourraient accéder à la machine, Tails offrira une garantie supplémentaire, en effaçant toute trace à l’extinction de la machine. 

À chacun de trouver le niveau de protection adéquat, en fonction de son utilisation et de ses compétences.

Ce post est une contribution individuelle de Vandy Berten, spécialisé en data science chez Smals Research. Cet article est écrit en son nom propre et n’impacte en rien le point de vue de Smals.

Is het mogelijk om in alle rust op het web te surfen? Kan iemand discreet zien wat we doen en zo ja, wat kunnen de gevolgen daarvan zijn? Een relatief wijdverspreide idee is dat enkel de ordediensten ons kunnen observeren en zolang we niets crimineels doen, hoeven we ons geen zorgen te maken. Maar de werkelijkheid is complexer dan dat. Privébedrijven (“data brokers“), waarover onze overheden slechts zeer beperkte controle hebben, hebben toegang tot aanzienlijke volumes data, waarmee ze een zeer precies profiel kunnen opstellen van de meeste internetgebruikers. Is dat nu de prijs die we betalen om over gratis diensten te beschikken?

We leven in een snel evoluerende wereld… De actualiteit toont ons dat een verkiezing ertoe kan leiden dat ideeën of acties die aanvaardbaar waren plots voor serieuze problemen kunnen zorgen. Een voorbeeld daarvan is de onderzoeker die de VS niet binnen mocht omdat hij tijdens privételefoongesprekken zijn verzet tegen de nieuwe overheid uitte. Of het feit dat “de Amerikaanse overheden dit soort dienst gebruikten om vrouwen te identificeren die naar abortusklinieken gingen waar abortus verboden is.” Een LGBT+- of klimaatactivist kan zich in gevaar voelen als hij naar een almaar groter aantal landen reist.

We weten trouwens nooit waar deze gegevens terechtkomen. Ze kunnen gebruikt worden voor phishing of bedrijfsspionage.

Waar komen deze gegevens vandaan? Grotendeels van ons online gedrag. In wat volgt, zullen we kijken naar hoe deze data brokers, en in sommige gevallen de overheden van een land, of ze nu bevriend zijn of niet, erachter kunnen komen wat wij aan het doen zijn. We gaan het hebben over IP-adres, cookies en fingerprinting.

In een volgend artikel zullen we zien hoe we ons privéleven kunnen beschermen tegen deze methodes.

De misvatting rond het IP-adres

In de media, in series of van pseudospecialisten horen we vaak dat ons IP-adres onze “identiteitskaart” is of de afdruk van de computer die we gebruiken. Diegenen die het IP-adres kennen kunnen zo goed als alles te weten komen over ons en ons in een oogwenk identificeren. Laten we deze zeer wijd verspreide misvatting even ontkrachten. 

Wat is een IP-adres?

Opdat computer A (bijvoorbeeld uw computer of smartphone) kan communiceren met server B (gewoonlijk een website of mailserver) moeten de twee een “publiek” IP-adres (voor “Internet Protocol”) verkrijgen dat bestaat uit een opvolging van 4 cijfers tussen 0 en 255 (voor IPv4; zie hier voor IPv6) Voorbeeld: 178.144.72.179. Computer A gaat dan een groot aantal “IP-pakketten” genereren met, naast de inhoud, het IP-adres van bestemming (server B, die meestal de website host die je bezoekt) en zijn eigen IP waarop hij het antwoord ontvangt (de inhoud van de pagina’s). 

Kan ik mijn IP-adres bekijken? Je kan het rechtstreeks aan je toestel vragen. Bijvoorbeeld: 

• In Windows: typ “cmd + Enter” in het menu “Starten”, daarna “ipconfig + Enter”;
• In Android: “Instellingen > Over de Telefoon > Informatie over de status”.

Maar je kan het ook aan een website vragen zoals https://www.mon-ip.com/. We stellen echter vast dat die bijna nooit het adres toont dat gegeven wordt door het toestel. De eerste methode geeft het privé-IP-adres, het tweede het publieke. Om het verschil te begrijpen moet je iets verder graven in het toekenningsmechanisme van IP-adressen. We maken een onderscheid tussen het eenvoudige geval van een verbinding met een modem thuis en de meer complexe gevallen van verbindingen met breder gedeelde netwerken (de ‘hotspot’ van de operator – waarmee je bij sommige operators verbinding kunt maken met de wifi van een willekeurige modem – of het 3/4/5 G mobiele netwerk).

Voor het eerste scenario nemen we het voorbeeld van een computer die via wifi of een bekabeld netwerk verbonden is met een modem thuis (of het nu glasvezel, ADSL of kabel is). Deze modem wijst dynamisch een IP-adres toe. In bijna alle gevallen zal dit een “privé”-adres zijn, zoals “192.168.1.x”, waarbij “x” een klein getal is, vaak kleiner dan 20. Miljarden computers hebben tegelijkertijd dit IP-adres, dus het geeft helemaal geen persoonlijke informatie. Het is niet dit IP-adres dat de website die je bezoekt ontvangt.

Je modem ontvangt ook een ander IP-adres van de internetprovider (ISP – Internet Service Provider). Als je geen VPN gebruikt (zie ons volgende artikel), is het dit adres dat de website die je bezoekt zal zien (bijvoorbeeld te bezichtigen via een site zoals https://www.mon-ip.com/). Dit komt omdat je modem in elk pakket het IP-adres van je toestel vervangt door zijn eigen IP-adres (we zullen niet ingaan op de mechanismen die ervoor zorgen dat de pakketten aan de juiste machine worden toegewezen).

Een gelijkaardige situatie zal zich voordoen als je verbinding maakt met het wifinetwerk in een café, restaurant of station: alle internetgebruikers zullen verschijnen met hetzelfde IP-adres in de ogen van de websites die ze bezoeken.

Het tweede geval (“hotspot” of 3/4/5G mobiel netwerk) zal niet verschillen: het IP-adres dat je ontvangt is niet het adres dat de website die je bezoekt zal zien. Het wordt gedeeld door alle bezoekers achter dezelfde hotspot. En het zal veel dynamischer zijn en waarschijnlijk veranderen telkens wanneer je opnieuw verbinding maakt.

Levert dit informatie op?

Dit openbare IP-adres, dat zichtbaar is voor de dienst die je bezoekt, is daarom niet erg informatief en is slechts losjes gekoppeld aan een computer:

• Het is dynamisch en kan tussen twee bezoeken veranderen. Terwijl het IP-adres dat is toegewezen aan een modem, die zelden de verbinding met het netwerk verbreekt, stabiel kan zijn gedurende meerdere dagen of zelfs weken, is dit veel minder het geval voor verbindingen met een hotspot of het mobiele netwerk, die meerdere keren per dag kunnen veranderen;

• Het wordt gedeeld, dus het is hetzelfde voor alle toestellen in een gezin, of erger nog, alle klanten in een restaurant. Het is bijna nooit het IP-adres van je toestel dat de website ontvangt;

• Het is niet bestand tegen roaming: als je met een telefoon overschakelt van 4G naar het wifithuisnetwerk en vervolgens overschakelt naar de wifi-hotspot, krijg je tijdens dezelfde sessie drie verschillende IP-adressen te zien.

Een website of dienst die je IP-adres kent, weet eigenlijk niet veel over je: alleen je operator en, in het beste geval, een benadering van je locatie (je kunt er gemakkelijk 100 kilometer naast zitten). Deze locatie kan worden gebruikt om een geografische blokkade toe te passen, om de toegang tot een bepaalde bron te beperken tot de inwoners van een bepaald land, maar niet om erachter te komen in welke wijk je woont.

Aan de andere kant kan je ISP met een gerechtelijk bevel en het exacte tijdstip van verbinding de exacte modem traceren die verbinding heeft gemaakt met een bepaald IP-adres. Maar als deze modem van een publieke wifi-hotspot is, zal het zo goed als onmogelijk zijn voor de hotspotbeheerder om de precieze persoon te identificeren die zich achter een verbinding verbergt, tenzij een e-mailadres of telefoonnummer moest opgegeven worden dat werd geverifieerd voordat toegang werd verleend (wat zelden het geval is). Bovendien zijn er genoeg landen waarop een Belgische operator niet zal reageren, en omgekeerd.

Een IP-adres kan worden vergeleken met een dynamische nummerplaat, die waarschijnlijk regelmatig verandert. Het vertelt je niet wie er achter het stuur zit: soms is het een gezinswagen (met 4 of 5 mensen erin die je niet uit elkaar kunt houden), soms is het een bus, als je verbonden bent met een openbare wifi. En we weten niet of dezelfde nummerplaat die we de dag ervoor hebben gezien op dezelfde auto hing.

Concluderend kan een particuliere entiteit (website, mobiele app, enz.) niet veel doen met je IP-adres. Uiteindelijk zal alleen de toegangsprovider (of de werkgever als de toegang via een bedrijfswerkplek verloopt) echt iets kunnen doen met het IP-adres, en die zal dat enkel doen als de rechtbank dat beveelt (in hetzelfde land of een ‘bevriend’ land). Het zal ook erg moeilijk zijn om iemand te identificeren die verbinding heeft gemaakt vanaf een openbaar netwerk, tenzij er verschillende bronnen worden gecombineerd, zoals bewakingscamera’s of gegevens van mobiele operators.

En de IP van bestemming?

Als iemand een pakket zou kunnen onderscheppen, zouden ze dan alleen al aan het IP-adres van bestemming kunnen zien welke site je bezoekt? Dat hangt ervan af! Voor ‘grote’ diensten (Wikipedia, Facebook, Google…), ja, omdat deze servers vaste, niet-gedeelde IP-adressen hebben. Maar voor talloze kleinere websites niet: het IP-adres zal alleen dat van de hostingprovider zijn (OVH, PlanetHoster, Amazon AWS…), gedeeld door duizenden verschillende websites of diensten. De mapping met de exacte website wordt gemaakt op hogere niveaus, na decodering van de gegevens (als de verbinding wordt gemaakt in https, wat de norm is geworden), en is daarom ontoegankelijk voor de ISP of elke andere entiteit onderweg.  

Cookies

Als een IP-adres een website of andere dienst niet toelaat om zijn bezoekers te volgen, kunnen ze dat doen via cookies. Laten we nog een mythe ontrafelen: een cookie is geen spion, geen virus, geen lijst met bezochte pagina’s of een klein programma dat op uw computer draait om er informatie uit te pompen of u in de gaten te houden. Zoals al in een eerder artikel is uitgelegd, is een cookie een klein ‘onschadelijk’ bestand dat door een website op je computer geplaatst wordt wanneer je een pagina laadt, en dat het vervolgens kan ophalen wanneer je terugkeert naar dezelfde site. Het is een fundamenteel mechanisme waarmee websites een vlot bezoek kunnen garanderen door dezelfde parameters te behouden (zoals taal, inhoud van een winkelmandje of ingelogde gebruiker).

Maar het is ook een mechanisme dat de website in staat stelt om de verschillende aanvragen die van dezelfde machine komen met elkaar in verband te brengen. Zo kan hij alle pagina’s reconstrueren die je op die site hebt geraadpleegd en een “profiel” opbouwen om zijn boodschap beter te richten of deze informatie zelfs aan adverteerders te verkopen. Anderzijds zal een website nooit de cookies van een andere website kunnen raadplegen om te weten te komen wat je daar doet.

Maar het fundamentele probleem met betrekking tot privacybescherming heeft meer te maken met één bepaald type, de “third-party cookie”, die al in detail is besproken in een eerder artikel. Dit zijn cookies die gekoppeld zijn aan onderdelen van een webpagina die afkomstig zijn van een andere site, zoals knoppen om een artikel te delen op sociale media, ingesloten video’s van YouTube en dergelijke, of elementen waarmee websitebeheerders statistieken kunnen verkrijgen met tools zoals Google Analytics. Maar ook reclame-inserts, waarvan de meeste worden beheerd door reclamebureaus en niet door de sites zelf.

Dankzij deze cookies kan Facebook bijvoorbeeld (maar ook X, Google, LinkedIn en vele anderen) een webgebruiker volgen op alle pagina’s die hij bezoekt, op voorwaarde dat er een Facebook-knop (like, share…) aanwezig is op de pagina… wat op heel veel pagina’s het geval is. Merk op dat Facebook de volledige URL ontvangt en dus ver kan gaan in zijn ‘profilering’. Maar ook in de informatie die ze kunnen doorgeven aan de overheden en doorverkopen aan data brokers.

Er zijn een aantal manieren om jezelf te beschermen tegen deze profilering, zoals het blokkeren van cookies van derden, het installeren van plugins zoals Ghostery (zie hier voor meer informatie), of zelfs het regelmatig verwijderen van alle cookies. Daarnaast beginnen sommige browsers, zoals Edge of Firefox, steeds vaker al deze ‘trackers’ meteen te blokkeren. Maar dit kan nadelig zijn voor de gebruikerservaring. We komen hierop terug in ons volgende artikel.

Fingerprinting

Door het blokkeren of beperken van de mogelijkheden van cookies, in het bijzonder third-party cookies, werden adverteerders geconfronteerd met een groot probleem: hun mogelijkheid om een gebruiker van pagina naar pagina te volgen werd sterk verminderd en de mogelijkheid om een nauwkeurig profiel op te stellen en dus gepersonaliseerde en winstgevende reclame aan te bieden, werd ernstig aangetast.

Er moest dus een alternatief worden gevonden. En het was gebaseerd op de volgende vaststelling: een eenvoudig JavaScript-script kan een schat aan informatie verkrijgen over de browser en de computer waarop deze draait: de exacte versie van de browser, het besturingssysteem, de lijst met geïnstalleerde plugins, de schermresolutie, de lijst met geïnstalleerde lettertypes, de tijdzone, de taal van de gebruiker, etc. Hoewel geen van deze informatie een gebruiker onafhankelijk op een unieke manier kan identificeren, is de kans dat een andere bezoeker precies dezelfde combinatie van al deze informatie heeft extreem klein. Met deze combinatie kan dus een zeer precieze afdruk (fingerprint) bekomen worden van de gebruiker en kan hij van pagina tot pagina opgevolgd worden.

Toen browsers dachten een oplossing te vinden door minder specifiek te zijn in de antwoorden op deze vragen (door bijvoorbeeld “Chrome 135” te antwoorden in plaats van “Chrome 135.0.7049.85” voor de browserversie), duurde het niet lang voordat het alternatief werd bedacht, met de “canvas fingerprinting”. Dit is gebaseerd op HTML5’s “Canvas” en bestaat uit het onzichtbaar creëren van een complexe afbeelding die verschillende vormen en tekst combineert. Afhankelijk van het type grafische kaart, de exacte versie van de driver, het processormodel, het besturingssysteem en de versie van de geïnstalleerde lettertypen, zal de afbeelding heel lichtjes verschillen. Onwaarneembaar voor het menselijk oog, maar genoeg om twee licht verschillende computers te onderscheiden. En om een computer te vinden die terugkeert, zelfs enkele weken later. Een vergelijkbare benadering op basis van de geluidskaart bestaat ook.

Tools zoals https://coveryourtracks.eff.org/ of https://amiunique.org/ zorgen ervoor dat er getest kan worden hoe uniek je browser is. Hoe unieker een bezoeker, hoe groter de kans dat hij zeer precies gevolgd kan worden.

Lokale sporen

Naast de mogelijkheden om activiteiten op afstand te volgen, laat surfen op het web ook talloze sporen achter op de computer, die kunnen worden gebruikt door een hacker of als de computer in beslag wordt genomen door de overheden (ook in het buitenland). De browsergeschiedenis, de inhoud van alle cookies, gegevens in de cache, het hibernatiebestand, systeemlogboeken, sporen achtergelaten door browserextensies (plugins), de DNS-cache (zie bijvoorbeeld ‘ipconfig /displaydns’ onder Windows)…

Hoe kan je je ertegen beschermen?

Kun je je privacy beschermen? In het volgende artikel verkennen we verschillende methoden: het gebruik van een VPN, ‘incognito’ (Chrome), ‘InPrivate’ (Edge) of ‘private’ (Firefox) modus, speciale plugins, Tor-browser. We zullen precies bekijken wat elk van hen beschermt en welke beperkingen ze toevoegen.

Jezelf beschermen op het web is niet alleen een zaak voor criminelen of houders van zeer gevoelige geheimen: het belangt iedereen aan. In het digitale tijdperk, waarin onze levens steeds meer met elkaar vervlochten zijn, wordt iedereen – van de eenvoudige gebruiker van een sociaal netwerk tot de professional die met gevoelige gegevens werkt – blootgesteld aan een verscheidenheid aan online risico’s. Cyberaanvallen, identiteitsdiefstal en de verspreiding van gevoelige gegevens kunnen een bedreiging vormen voor iedereen.

Daarom is het uiterst belangrijk dat iedereen zich bewust is van het belang van cyberveiligheid. Door de juiste beveiligingspraktijken toe te passen, kunnen we niet alleen onze eigen gegevens beschermen, maar ook bijdragen aan een veiligere online omgeving voor iedereen. Kortom, bescherming op het web is een collectieve verantwoordelijkheid die waakzaamheid en inzet van iedereen vereist.

Deze post is een individuele bijdrage van Vandy Berten, gespecialiseerd in data science bij Smals Research. Dit artikel is geschreven onder zijn eigen naam en weerspiegelt op geen enkele wijze de standpunten van Smals.

Peut-on naviguer sur le web en toute tranquillité ? Quelqu’un peut-il voir discrètement ce qu’on fait et si oui, quelles peuvent en être les conséquences ? Dans un imaginaire relativement répandu, seules les forces de l’ordre peuvent nous observer, et tant que l’on ne fait rien de criminel, on n’a aucune raison de s’inquiéter. La réalité est cependant plus complexe que ça. Des entreprises privées (des “data brokers“), sur lesquelles nos autorités n’ont qu’un contrôle très limité, ont accès à des volumes considérables de données, permettant d’établir un profil très précis de la plupart des internautes. Est-ce simplement le prix à payer pour avoir des services gratuits ?

Nous vivons dans un monde qui évolue vite ; L’actualité récente nous a montré qu’une élection peut faire en sorte que des idées ou actions qui étaient acceptables peuvent soudain mener à de sérieux ennuis. On peut citer l’exemple de ce chercheur qui n’a pas pu entrer aux USA parce qu’il exprimait, dans des conversations privées sur son téléphone, son opposition à la nouvelle administration. Ou le fait que “les autorités américaines utilisaient ce genre de service pour identifier les femmes qui se rendaient dans des cliniques où l’IVG est interdite.” Un militant pour la cause LGBT+ ou climatique pourrait se sentir en danger lors de ses déplacements dans un nombre grandissant de pays.

On ne sait par ailleurs jamais dans quelles mains tombent ces données. Elles peuvent servir à faciliter une tentative de phishing ou de l’espionnage industriel.

D’où proviennent ces données ? En grande partie de notre comportement sur le web. Nous allons voir dans la suite ce qui permet à ces data brokers, mais aussi, dans certains cas, aux autorités d’un pays, ami ou non, de savoir ce que l’on y fait. Nous parlerons d’adresse IP, de cookies et de “fingerprinting”.

Dans un prochain article, nous verrons comment on peut protéger sa vie privée face à ces méthodes.

Le fantasme de l’adresse IP

On entend souvent dire, dans les médias, les séries, ou par des pseudo-spécialistes, que son adresse IP est la “carte d’identité” ou l’empreinte de l’ordinateur que l’on utilise, et que quiconque la connaît peut à peu près tout savoir de nous et nous identifier en un clin d’œil. Commençons par déconstruire ce fantasme très largement exagéré. 

C’est quoi une adresse IP ?

Pour qu’un ordinateur A (par exemple, votre ordinateur ou votre smartphone) puisse communiquer avec un serveur B (typiquement un site web ou un serveur de mail), les deux doivent obtenir une adresse IP “publique” (pour “Internet Protocol”), composée d’une séquence de 4 nombres entre 0 et 255 (pour IPv4 ; voir ici pour l’IPv6). Exemple : 178.144.72.179. L’ordinateur A va alors générer un grand nombre de “paquets IP”, avec, outre le contenu, l’adresse IP de destination (le serveur B, qui héberge le site web que vous visitez, typiquement) et sa propre IP, permettant de recevoir la réponse (le contenu des pages). 

Peut-on voir son adresse IP ? On peut la demander directement à son appareil. Par exemple : 

• Sous Windows : taper “cmd + Enter” dans le menu démarrer, puis “ipconfig + Enter” ;
• Sur Android : “Paramètres > À propos du Téléphone > Information sur le statut”.

Mais on peut aussi demander à un site web tel que https://www.mon-ip.com/. On constate cependant que l’adresse montrée par ce type de site web n’est quasiment jamais celle donnée par l’appareil. La première méthode donne l’adresse IP privée, la seconde l’adresse IP publique. Pour en comprendre la différence, il faut aller un peu plus loin dans le mécanisme d’attribution des adresses IP. Nous distinguerons le cas simple de la connexion à un modem domestique des cas plus complexes de connexions à des réseaux plus largement partagés (“hotspot” de l’opérateur – qui permet, chez certains opérateurs, de se connecter au Wifi de n’importe quel modem -, ou réseau mobile 3/4/5 G).

Pour le premier cas de figure, prenons l’exemple d’un ordinateur connecté via Wifi ou réseau filaire à un modem domestique (peu importe qu’il s’agit de la fibre, l’ADSL ou le câble). Ce modem va lui attribuer dynamiquement une adresse IP. Dans quasiment la totalité des cas, il s’agira d’une adresse “privée” de type “192.168.1.x”, où “x” est un petit nombre, souvent inférieur à 20. Des milliards d’ordinateurs ont cette adresse IP au même moment, qui n’apporte donc strictement aucune information personnelle. Ce n’est pas cette adresse IP que le site web que vous visitez recevra.

Votre modem obtiendra par ailleurs également une autre adresse IP de la part de l’opérateur (ou FAI, pour Fournisseur d’Accès à Internet – ISP en anglais). Si vous n’utilisez pas de VPN (voir notre prochain article), c’est cette adresse que le site web que vous visitez verra (à voir, par exemple, avec un site comme https://www.mon-ip.com/). Ceci parce que votre modem changera dans chaque paquet l’adresse IP de votre appareil avec sa propre adresse IP (nous passerons sous silence les mécanismes qui permettent, au retour, d’attribuer les paquets à la bonne machine).

Une situation très similaire se produira si vous vous connectez au réseau Wifi d’un café, d’un restaurant ou d’une gare : tous les internautes apparaîtront avec la même adresse IP aux yeux des sites web visités.

Le second cas de figure (“hotspot” ou réseau mobile 3/4/5G) ne sera pas très différent : l’adresse IP que vous recevrez n’est pas celle que le site web que vous visitez verra. Cette dernière sera partagée par tous les visiteurs derrière le même point d’accès. Et sera beaucoup plus dynamique, avec un probable changement à chaque reconnexion.

Ça donne de l’information ?

Cette adresse IP publique, visible par le service que vous consultez, est donc en fait très peu informative et n’est que peu liée à un ordinateur :

• Elle est dynamique, et peut changer entre deux visites. Si l’adresse IP attribuée à un modem, qui se déconnecte rarement du réseau, peut être stable sur plusieurs jours, voire semaines, c’est beaucoup moins le cas des connexions à un hotspot ou au réseau mobile, qui peuvent changer plusieurs fois par jour ;
• Elle est partagée, et est donc la même pour tous les appareils d’une même famille, voire pire, tous les clients d’un restaurant. Ce n’est quasiment jamais l’adresse IP de votre appareil que le site web reçoit ;
• Elle ne résiste pas à l’itinérance : si, avec un téléphone, vous passez de la 4G au réseau Wifi de la maison, pour ensuite passer au hotspot Wifi, vous présenterez 3 adresses IP différentes durant la même session.

Un site web ou un service qui connaît votre adresse IP ne connait donc vraiment pas grand-chose de vous : votre opérateur, et, au mieux, une approximation de votre localisation (on peut facilement avoir 100 kilomètres d’erreur). Cette localisation permettra éventuellement d’appliquer un blocage géographique, pour limiter une ressource aux habitants d’un pays, mais pas de savoir dans quel quartier vous habitez.

Par contre, sur réquisition de la justice et avec l’heure exacte de connexion, votre FAI peut retrouver le modem précis qui s’est connecté avec une adresse IP donnée. Mais si ce modem est celui d’une borne Wifi publique, à moins qu’il n’ait fallu fournir une adresse email ou un numéro de téléphone qui a été vérifié avant d’octroyer l’accès (ce qui est rarement le cas), il sera quasiment impossible pour le gestionnaire du point d’accès d’identifier la personne précise cachée derrière une connexion. Il y a par ailleurs un tas de pays auxquels un opérateur belge ne répondra pas, et vice-versa.

On peut comparer l’adresse IP à une plaque d’immatriculation dynamique, qui est susceptible de changer régulièrement. Celle-ci ne vous permet pas de savoir qui est au volant : parfois, il s’agit d’une voiture familiale (avec 4 ou 5 personnes à l’intérieur que vous ne pouvez pas distinguer), parfois d’un bus, si vous êtes connecté à un Wifi public. Et on ne sait pas si la même plaque observée la veille était sur la même voiture.

En conclusion, une entité privée (site web, app mobile…) ne peut pas faire grand-chose de votre adresse IP. Au final, seul le fournisseur d’accès (ou l’employeur si l’accès se fait via un poste de travail d’entreprise) pourra réellement faire quelque chose de l’adresse IP, et le fera uniquement sur réquisition de la justice (du même pays ou d’un pays “ami”). Il sera par ailleurs très difficile d’identifier quelqu’un qui s’est connecté depuis un réseau public, à moins de combiner plusieurs sources, comme les caméras de surveillance ou les données des opérateurs mobiles.

Et l’IP de destination ?

Si une entité quelconque parvenait à intercepter un paquet, peut-elle savoir le site que vous visitez rien qu’avec l’adresse IP de destination ? Ça dépend ! Pour des services “majeurs” (Wikipedia, Facebook, Google…), oui, parce que ces serveurs ont des adresses IP fixes non partagées. Mais pour d’innombrables sites web de plus petite ampleur, non : l’adresse IP sera uniquement celle de l’hébergeur (OVH, PlanetHoster, Amazon AWS…), partagé par des milliers de sites web ou services divers. La correspondance avec site web exact se fait aux niveaux supérieurs, après décryptage des données (si la connexion se fait en https, ce qui est devenu la norme), et donc inaccessible au FAI ou à n’importe quelle autre entité sur le chemin.  

Les cookies

Si l’adresse IP ne permet pas à un site web ou autre service de suivre ses visiteurs, ils peuvent le faire au travers de cookies. Déconstruisons à nouveau un mythe : un cookie n’est pas un espion, un virus, voire une liste de pages visitées ou un petit programme qui tourne sur votre ordinateur pour pomper de l’information ou vous surveiller : comme déjà présenté dans un article précédent, un cookie est un petit fichier “inoffensif” qu’un site web dépose sur votre ordinateur quand vous en chargez une page, et qu’il pourra récupérer par la suite lorsque vous reviendrez sur le même site. C’est au départ un mécanisme fondamental qui permet aux sites web d’assurer une visite fluide en gardant les mêmes paramètres (comme la langue, le contenu d’un panier, ou l’utilisateur connecté).

Mais c’est aussi un mécanisme qui permet au site web de lier les différentes requêtes provenant de la même machine. Ceci lui permet donc de reconstituer l’ensemble des pages que vous avez consultées sur ce site et de se constituer un “profil” pour mieux cibler son message, voire, pour vendre cette information à des publicitaires. Par contre, un site web ne pourra jamais consulter les cookies d’un autre site web pour savoir ce que vous y faites.

Mais le problème fondamental en ce qui concerne la protection de la vie privée est plutôt lié à un type particulier, le “cookies tiers”, déjà présenté en détails dans un article précédent. Ce sont les cookies qui sont liés aux morceaux d’une page web qui proviennent d’un autre site, comme les boutons permettant de partager un article sur les médias sociaux, les vidéos embarquées provenant de YouTube et consorts, ou les éléments permettant aux gestionnaires d’un site web d’obtenir des statistiques avec des outils tels que Google Analytics. Mais aussi les encarts publicitaires, qui sont pour la plupart gérés par des régies publicitaires et pas par les sites eux-mêmes.

Grâce à ces cookies, Facebook, par exemple (mais aussi X, Google, LinkedIn, et bien d’autres) peut suivre un internaute sur toutes les pages qu’il parcourt, pour autant qu’un bouton Facebook (like, share…) soit présent sur la page, ce qui est le cas sur une très grande quantité de pages. Notons que Facebook reçoit l’URL complète et peut donc aller très loin dans son “profilage”. Mais aussi dans les informations qu’ils peuvent transmettre aux autorités et revendre aux data brokers.

Pour se protéger de ce profilage, il existe plusieurs solutions, comme le blocage de cookies tiers, ou l’installation de plugins comme “Ghostery” (voir ici pour plus de détails), voire la suppression régulière de tous les cookies. Par ailleurs, certains navigateurs, comme Edge ou Firefox, commencent de plus en plus à bloquer directement tous ces “trackeurs”. Mais ceci peut se faire au détriment de l’expérience utilisateur. Nous y reviendrons dans notre prochain article.

Le “fingerprinting”

En bloquant ou en limitant les possibilités des cookies, en particulier des cookies tiers, les publicitaires ont été confrontés à un problème important : leur capacité à suivre un utilisateur de page en page étant fortement diminuée, la possibilité de créer un profil précis et donc de proposer des publicités personnalisées et rentables s’en est retrouvée fortement impactée.

Il fallait donc trouver une alternative. Et elle s’est basée sur le constat suivant : un simple script Javascript peut obtenir une foule d’informations sur le navigateur et l’ordinateur sur lequel il tourne : la version exacte du navigateur, du système d’exploitation, la liste des plugins installés, la résolution de l’écran, la liste des polices installées, le fuseau horaire, la langue de l’utilisateur… Si aucune de ces informations ne permet indépendamment d’identifier de façon unique un utilisateur, la probabilité qu’un autre visiteur ait exactement la même combinaison de toutes ces informations est extrêmement faible. Cette combinaison permet donc, avec une grande précision, d’obtenir une empreinte (fingerprint) de l’utilisateur, et de le suivre de page en page.

Quand les navigateurs ont pensé trouver la parade en étant moins précis sur la réponse à ces questions (en répondant par exemple “Chrome 135” au lieu de “Chrome 135.0.7049.85” pour la version du navigateur), l’alternative n’a pas tardé à être imaginée, avec le “canvas fingerprinting“. Celle-ci se base sur les “Canvas” de HTML5, et consiste à créer, de façon invisible, une image complexe, combinant des formes diverses et du texte. En fonction du type de carte de graphique, de la version exacte de son driver, du modèle de processeur, du système d’exploitation, de la version des polices installées, l’image sera très légèrement différente. Imperceptible pour l’œil humain, mais suffisant pour distinguer deux ordinateurs légèrement différents. Et pour retrouver un ordinateur qui revient, même plusieurs semaines plus tard. Une approche semblable basée sur la carte son existe également.

Des outils tels que https://coveryourtracks.eff.org/ ou https://amiunique.org/ permettent de tester à quel point son navigateur est unique. Plus un visiteur est unique, plus grande est la possibilité de le suivre précisément.

Les traces locales

Outre les possibilités de suivi d’activité à distance, la navigation sur le web laisse aussi d’innombrables traces sur l’ordinateur, qui peuvent être exploitées par un pirate ou s’il est saisi par les autorités (y compris à l’étranger). L’historique de navigation, le contenu de tous les cookies, les données en cache, le fichier d’hibernation, les logs système, les traces laissées par les extensions des navigateurs (plugins), la cache DNS (voir par exemple ‘ipconfig /displaydns’ sous Windows)…

Comment s’en protéger ?

Peut-on protéger sa vie privée ? Nous explorerons dans le prochain article plusieurs méthodes : utilisation d’un VPN, mode “incognito” (Chrome), “InPrivate” (Edge) ou “privé” (Firefox), plugins dédiés, navigateur Tor. Nous verrons pour chacune d’entre elles ce qu’elles protègent exactement, mais également les contraintes qu’elles ajoutent.

Se protéger sur le web, ça ne concerne pas que les criminels ou les détenteurs de secrets très sensibles : tout le monde est concerné. À l’ère numérique, où nos vies sont de plus en plus interconnectées, chaque individu, du simple utilisateur de réseaux sociaux au professionnel travaillant avec des données sensibles, est exposé à divers risques en ligne. Les cyberattaques, le vol d’identité, et la collecte de données personnelles par des entreprises ou des tiers malveillants sont des menaces qui touchent tout le monde, sans distinction.

Il est donc essentiel que chacun prenne conscience de l’importance de la cybersécurité. En adoptant des pratiques de sécurité appropriées, nous pouvons non seulement protéger nos propres données, mais aussi contribuer à un environnement en ligne plus sûr pour tous. En somme, la protection sur le web est une responsabilité collective qui nécessite la vigilance et l’engagement de chacun.

Ce post est une contribution individuelle de Vandy Berten, spécialisé en data science chez Smals Research. Cet article est écrit en son nom propre et n’impacte en rien le point de vue de Smals.