(NL) Maak kennis met het dark web!
Het dark web roept vaak beelden op van illegaliteit, maar wat schuilt er werkelijk achter de anonimiteit? Roald Santens (Smals Academy) en Vandy Berten (Smals Research) nemen je mee op een verkenningstocht door de krochten van het internet. Je leert hoe de techniek achter anonieme netwerken werkt, wat de gevaren zijn voor organisaties, en waarom het dark web ook waardevolle kansen biedt. Kijk en luister hier waarom (Frans gesproken, NL ondertitels zijn beschikbaar).

(FR) À la découverte du dark web !
Le dark web évoque souvent des images d’illégalité, mais que se cache-t-il réellement derrière cet anonymat ? Roald Santens (Smals Academy) et Vandy Berten (Smals Research) vous emmènent explorer les profondeurs de l’internet. Vous découvrirez le fonctionnement technique des réseaux anonymes, les dangers pour les organisations, ainsi que les opportunités précieuses que le dark web peut offrir. Regardez et écoutez ici pour découvrir pourquoi.

(EN) Discover the Dark Web!
The dark web often evokes images of illegal activity, but what truly lies behind that anonymity? Roald Santens (Smals Academy) and Vandy Berten (Smals Research) take you on an exploration through the depths of the internet. You will learn how the technology behind anonymous networks works, the risks organizations face, and why the dark web also offers valuable opportunities. Watch and listen here to find out (French speaking, EN subtitles available).

Version en français

In onze laatste blogpost hebben we de werking van de “Tor”-browser beschreven, die het mogelijk maakt om vrijwel onvindbaar op het internet te surfen. Dit is een van de twee manieren om Tor te gebruiken. De tweede manier, is om deze tool te gebruiken als toegangspoort tot het “Dark Web”. De afgelopen maanden hebben we deze duistere kant van het internet verkend. Wat is het? Wat kun je daar vinden? Hoe kun je daar je weg in vinden? In deze blogpost delen we onze bescheiden ervaring met de wereld die, hoewel hij oorspronkelijk werd opgericht om een veilige expressieruimte te bieden aan dissidenten van autoritaire regimes, vandaag in wezen een paradijs voor cybercriminelen is geworden.

Laten we beginnen met een beetje woordenschat. Eerst maken we een onderscheid tussen twee concepten die maar al te vaak door elkaar worden gehaald: het internet en het web. Internet is een infrastructuur die duizenden netwerken met elkaar verbindt, waardoor elke machine die er deel van uitmaakt, waaronder het toestel waarmee je dit artikel leest, kan communiceren met (bijna) elke andere machine (bijvoorbeeld de server die onze website host). Het internet, dat sinds begin jaren 70 bestaat, heeft de ontwikkeling van een groot aantal toepassingen mogelijk gemaakt: e-mail, bestandsoverdracht (FTP), bediening op afstand (telnet, SSH en opvolgers), messaging, videoconferenties en het (World Wide) Web, dat begin jaren 90 bij CERN ontstond en het internet echt populair heeft gemaakt. Met behulp van een “browser” (de eerste was Mosaic, die zich ontwikkelde tot Netscape en nu Firefox is, maar ook Chrome, Edge of Opera) kan interactief een document worden weergegeven dat door een webserver is gegenereerd. Het web, officieel “World Wide Web” genoemd, is dus een van de vele toepassingen die gebruikmaken van de infrastructuur van het internet. Het bestaat uit een communicatieprotocol tussen de server en de browser (HTTP/HTTPS), een protocol voor het aanwijzen van een bron (URL) en een documentformaat (HTML).

Algemeen wordt aangenomen dat de inhoud van het web in drie categorieën kan worden onderverdeeld:

• Het “Oppervlakteweb” (Surface Web, Clear Web) is het gedeelte dat rechtstreeks toegankelijk is met een browser, zonder toegangsbeperkingen en geïndexeerd door zoekmachines: deze blog, de inhoud van de meeste media, Wikipedia en tal van andere bronnen;
• Het “Deep Web” is het deel van het web dat niet door zoekmachines wordt geïndexeerd. Het is toegankelijk via een klassieke browser, zolang je het adres kent of de privégegevens (gebruikersnaam, wachtwoord, enz.) die nodig zijn om het te kunnen bezoeken. De niet-publieke inhoud op sociale media, je mailbox, de inhoud van bedrijven met beperkte toegang, …
• Het “Dark Web” is het deel van het web waarvoor specifieke tools of bepaalde configuraties vereist zijn om toegang te krijgen. Meestal heb je een browser zoals Tor nodig, maar ook een ‘.onion-adres’, een reeks van 56 tekens die onmogelijk te onthouden is (bijvoorbeeld http://juhanurmihxlp77nkq76byazcldy2hlmovfu2epvl5ankdibsot4csyd.onion/).

In deze blogpost gaat onze interesse uit naar dat laatste deel. We zouden eigenlijk eerder moeten spreken van “Dark Webs”. Daar zijn er meerdere van, die elk een eigen architectuur en verschillende technologieën gebruiken. De populairste zijn Tor en, ver achterop, I2P en Freenet (nu Hyphanet). We zullen ons in deze blogpost toespitsen op Tor.

Indien we de Tor-browser gebruiken om naar een “Clear Web”-site te surfen (bijvoorbeeld https://www.smals.be), is de client zeer goed beschermd, maar de bezochte website niet: het IP-adres kan gemakkelijk worden achterhaald, en dus ook waar de website wordt gehost, en de autoriteiten van het betreffende land kunnen de website laten sluiten of zelfs veel informatie over de gebruikers verkrijgen. Dit wordt veroorzaakt doordat het Tor-netwerk geen controle heeft over de verbinding tussen het uitgangsnode en de doelserver.

Er bestaat een manier waarop de host van een website zichzelf net zo goed kan beschermen als de client, zodat zijn IP-adres nooit wordt onthuld. Het idee is om eerst een klassieke webserver op te zetten (met bijvoorbeeld NGINX of Apache) en vervolgens op dezelfde machine een “Tor-server” te installeren (minder dan 5 minuten werk). De server genereert een “publieke sleutel” van 56 alfanumerieke tekens die als adres wordt gebruikt (in de vorm <public key>.onion), en voert deze in de gedecentraliseerde mappen van het Tor-netwerk in. Zo kan de beheerder van de betreffende website een “.onion”-adres publiceren dat niet meer toegankelijk is voor gebruikers van een klassieke browser en van waaruit het erg moeilijk, zo niet onmogelijk, is om hem te traceren. Interessant voor een dissident in een autoritair land, maar ook om een criminele onderneming veilig te beheren.

Voor meer details: zowel de client als de server gebruiken een “Tor-circuit” van 3 nodes, om elkaar te vinden op een “meeting point” waardoor zowel de client als de server volledige anonimiteit gegarandeerd is. Maar in bepaalde situaties zijn er tot 6 tussenliggende nodes. Merk op dat wanneer je verbinding maakt met de Tor-browser met een “.onion”-dienst, de verbinding end-to-end versleuteld is. Het is dus niet noodzakelijk om een extra versleutelingslaag toe te voegen met HTTPS.

Algemene opmerkingen

We hebben een paar weken besteed aan het verkennen van het Dark Web en het vertrouwd raken met deze wereld. Dat is natuurlijk niet genoeg om ons experts te noemen, maar wel voldoende om een eerste indruk te krijgen. We hebben deze verkenning uitgevoerd met Tails + Tor. We hebben uiteraard nooit iets besteld op de “markets”, hebben niet deelgenomen aan forums en hebben uiteraard geen websites bezocht die in strijd zijn met de wet en de goede zeden. Voordat we dieper ingaan op de verschillende soorten inhoud, beginnen we met enkele algemene opmerkingen:

• het beheer van “.onion”-namen is bijzonder ongebruiksvriendelijk. Ze zijn onmogelijk te onthouden en het is erg moeilijk om er zeker van te zijn dat je op de juiste site bent en niet op een “gepirateerde versie”;
• veel meer dan op het “klassieke” web zijn de adressen erg veranderlijk.
  Als je een adres op een pagina vindt (bijvoorbeeld via een zoekmachine of een “hidden wiki”, zie hieronder), is de kans groot dat het niet meer geldig is.
• een groot deel van de sites (markets, forums, zoekmachines) lijkt rechtstreeks uit het begin van de jaren 2000 te komen… een zeer “vintage” ontwerp en ergonomie, weinig gebruiksvriendelijk, waar je moeilijk naar kan kijken. Misschien onder andere omdat de meeste zijn ontworpen om zonder Javascript te kunnen werken, wat wordt aanbevolen om de risico’s te beperken;
• aangezien wantrouwen de norm is op het Dark Web, worden veel sites beschermd door een Captcha-systeem, maar deze zijn bijzonder moeilijk op te lossen. Om te voorkomen dat robots ze kunnen oplossen, zijn ze zo ingesteld dat zelfs een mens (in ieder geval ondergetekende) moeite heeft om ze op te lossen. Zie het voorbeeld hiernaast. Kun je het woord lezen?
• de meeste websites zijn bijzonder traag. Dit is waarschijnlijk te wijten aan de aard van het Tor-netwerk, dat elke aanvraag van minstens 3 (of zelfs 6) tussenliggende nodes laat lopen, die niet noodzakelijk erg krachtig zijn.

Inhoud

Toegangspunten

Het is veel moeilijker om op het Dark Web te vinden wat je zoekt dan op het “Clear Web”.
Het is duidelijk onmogelijk om een “.onion”-adres te onthouden of zelfs maar over te typen. Er zijn grofweg twee manieren om een verkenning met Tor te beginnen:

• gebruik maken van een “hidden wiki”, een directory met links die op categorie zijn gerangschikt. Er zijn er een aantal, sommige op het Clear Web, die gemakkelijk te vinden zijn door met een klassieke zoekmachine op “hidden wiki” te zoeken. Je moet er echter rekening mee houden dat een groot deel van de links niet meer werkt;
• een speciale zoekmachine gebruiken, die alleen toegankelijk is met Tor, waarvan de “.onion”-adressen gemakkelijk te vinden zijn op een “hidden wiki”. “Torch” of “Ahmia” zijn hier voorbeelden van. Verwacht echter geen prestaties die vergelijkbaar zijn met die van Google of DuckDuckGo: niet alleen zijn er weinig resultaten voor een gerichte zoekopdracht, maar vaak is de lijst met resultaten ook onduidelijk. Je weet dus niet altijd waarop je klikt.

Markets

Talrijke “markets” zijn beschikbaar op het Dark Web, die een beetje werken zoals Amazon of Bol.com. De meeste eisen betalingen in Bitcoin (of vaker Monero, waardoor er geen verband kan worden gelegd tussen twee transacties) en bieden een hele reeks producten aan die niet verkrijgbaar zijn op meer traditionele opdrachten:

• wapens en munitie, van kleine pistolen tot aanvalsgeweren.
• drugs en medicijnen, waarschijnlijk de sector met het grootste aanbod.
• valse documenten: paspoorten, rijbewijzen, identiteitskaarten, en dit voor meerdere landen.
• gestolen creditcardnummers, die des te duurder zijn naarmate de limiet hoger is. Reken op tussen 50 en 100 euro per nummer.
• vals geld.
• diensten:
  • hackers : hackers bieden tal van opties, gaande van een DDoS-aanval tot het binnendringen van een systeem of het hacken van e-mailaccounts of sociale netwerken.,
  • aanslagen op personen: er zijn tal van “diensten” beschikbaar: moord, ontvoering, agressie. Sommigen zijn echter van mening dat het hier slechts om pogingen tot afpersing gaat.

Forums

Talrijke forums zijn beschikbaar, in alle talen. Wat ze allemaal gemeen hebben, is dat de deelnemers niet traceerbaar zijn en zich dus niet inhouden om volstrekt illegale of zelfs ronduit verachtelijke verzoeken of voorstellen te doen. Beledigingen en vulgariteiten zijn de norm. Openlijk racistische berichten, voorstellen of zoektochten naar verdovende middelen, verzoeken om of verkoop van kinderpornografische inhoud…

Data leaks

Het is gemakkelijk om, al dan niet gratis, een grote hoeveelheid gestolen data te vinden, zowel op forums als op markets. Deze kunnen in twee categorieën worden ingedeeld:

• lijsten met “inloggegevens”: gebruikersnaam + wachtwoord, soms met de betreffende website. Waarschijnlijk verkregen door phishing of door een “keylogger”, moeilijk te controleren (zonder ze te hebben getest, wat we natuurlijk nooit hebben gedaan) of de data nog actueel zijn. Maar met miljoenen gegevens is het aannemelijk dat er altijd wel functionele toegangen te vinden zijn.
• Resultaten van ransomware. Wanneer hackers erin slagen om in te breken in het systeem van een bedrijf, versleutelen ze vaak alle data en eisen ze losgeld om ze weer toegankelijk te maken. En als het losgeld niet wordt betaald, publiceren veel groepen de gestolen inhoud in zijn geheel. Een aantal websites biedt “bewijsmateriaal” (meestal screenshots van enkele documenten; zie hieronder voor de hack van de Ahold Delhaize-groep door de INC Ransom-groep) voor “lopende” onderhandelingen en toegang tot grote volumes voor verlopen onderhandelingen.
  Bijvoorbeeld:    
  • data van een lokale missie in het zuidwesten van Frankrijk: lijst met de namen (geboortedata, telefoonnummers) van de gevolgde jongeren,
  • een Frans farmaceutisch bedrijf, met fabrieksplannen, contracten met partners, inhoud van een testdatabase,
  • voor een Franse vrijmetselaarsloge: interne veiligheidsanalyse, uitnodigingen, ledenlijsten en contributiebedragen,
  • voor de 200 GB aan data van de Nederlandse groep “Ahold Delhaize”, die vooral betrekking lijken te hebben op haar activiteiten in de Verenigde Staten,
  • voor een Belgisch revalidatiecentrum, naast talrijke data (beheer, aankopen, financiën, HR…), persoonlijke informatie over meer dan 30 000 patiënten (naam, voornaam, geboortedatum, pathologiecode), evenals een “export” van 380 000 patiënten met veel persoonlijke details (naam, adres, telefoonnummer, e-mailadres, nummer van het ziekenfonds… ), maar weinig medische gegevens.

Activisme

Naast de hierboven beschreven illegale activiteiten zijn er ook een aantal websites die aansluiten bij de oorspronkelijke redenen voor de oprichting van het Tor-netwerk. Hier vinden we een aantal gerenommeerde organisaties die een “.onion”-versie van hun website hebben om informatie van klokkenluiders te verzamelen: Greenpeace, CNN, The Guardian, ProPublica, de CIA…

Een aantal blogs die we als activistisch of rebels kunnen omschrijven, of strijden tegen politiegeweld, zijn op het dark web te vinden om censuur te vermijden. Het gaat vaak om websites met twee toegangen: één op het “Clear Web” en één op het Dark Web.

Conclusies

De meest “gevoelige” goederen zijn alleen verkrijgbaar van persoon tot persoon, nadat een vertrouwensrelatie is opgebouwd met degenen die ze bezitten, met name als het gaat om hacking en de bijbehorende tools. Aangezien we geen contact hebben gelegd met iemand op het Dark Web, hebben we ongetwijfeld een groot deel van wat er te vinden is gemist.

Maar wat we in slechts enkele weken tijd hebben gevonden, heeft ons ervan overtuigd dat veel overheidsinstellingen en bedrijven er goed aan zouden doen om op zijn minst na te gaan of er activiteiten te vinden zijn die verband houden met hun werkterrein, of data van hun personeel of klanten. Hoewel het vrijwel onmogelijk is om deze data te laten verdwijnen, is het raadzaam om in geval van een lek de juiste maatregelen te nemen.

Als een probleem optreedt, is het essentieel om hulp in te roepen van specialisten. In België moet, afhankelijk van de omstandigheden, dringend contact worden opgenomen met het CCB (Center for Cybersecurity Belgium) of de FCCU (Federal Computer Crime Unit, politie).

Nederlandstalige versie

Dans notre dernier article, nous avons détaillé le fonctionnement du navigateur “Tor”, qui permet de naviguer de façon quasiment intraçable sur le web. C’est une des deux façons d’utiliser Tor. La seconde, c’est d’utiliser cet outil comme portail d’entrée sur le “dark web”. Nous avons ces derniers mois exploré cette zone sombre du web. Qu’est-ce que c’est ? Qu’y trouve-t-on ? Comment s’y retrouver ? Dans cet article, nous allons partager notre modeste expérience de ce monde qui, s’il a été créé au départ pour offrir un espace d’expression sécurisé pour les dissidents de régimes autoritaires, est devenu aujourd’hui essentiellement le paradis de la cybercriminalité.

Commençons par un peu de vocabulaire. Différencions d’abord deux concepts trop souvent confondus : Internet et le Web. Internet, c’est une infrastructure, interconnectant des milliers de réseaux, permettant à n’importe quelle machine en faisant partie, dont l’appareil avec lequel vous lisez cet article, de communiquer avec (presque) n’importe quelle autre (par exemple le serveur qui héberge notre site web). Internet, qui existe depuis le début des années ’70, a permis le déploiement d’un grand nombre d’applications : le courrier électronique, le transfert de fichiers (FTP), le contrôle à distance (telnet, SSH et successeurs), les messageries, la visioconférence, ou encore le (World Wide) Web, apparu au CERN début des années ’90 et qui a réellement popularisé Internet. Il permet, à l’aide d’un “navigateur” (le premier étant Mosaic, qui a évolué en Netscape, pour devenir aujourd’hui Firefox ; mais aussi Chrome, Edge, ou Opera), d’afficher de façon interactive un document généré par un serveur Web. Le Web, de son nom complet “World Wide Web”, c’est donc une des nombreuses applications utilisant l’infrastructure d’Internet ; il est composé d’un protocole de communication entre le serveur et le navigateur (HTTP/HTTPS), d’un protocole de désignation d’une ressource (URL) et d’un format de document (HTML).

On considère en général que le contenu du Web peut être divisé en trois catégories :

• le “web de surface” (surface web, clear web) est toute la partie directement accessible avec un navigateur, sans restriction d’accès et indexée par les moteurs de recherche : ce blog, le contenu de la plupart des médias, Wikipédia ou tout un tas d’autres ressources ;
• le “deep web” est la partie du web qui n’est pas indexée par les moteurs de recherche. On peut y accéder à l’aide d’un navigateur classique, pour autant qu’on en connaisse l’adresse, ou les informations privées (nom d’utilisateur, mot de passe…) pour s’y rendre. Le contenu non public des médias sociaux, votre boite mail, le contenu d’entreprises à accès restreint…
• le “dark web” est la partie du web qui nécessitera des outils spécifiques ou des configurations particulières pour y accéder. On aura typiquement besoin d’un navigateur tel que Tor, mais également d’une “adresse .onion”, une chaine de 56 caractères impossible à retenir (par exemple http://juhanurmihxlp77nkq76byazcldy2hlmovfu2epvl5ankdibsot4csyd.onion/).

C’est cette dernière partie qui va nous intéresser dans cet article. Il faudrait en fait plutôt parler des dark webs. Il en existe plusieurs, chacun utilisant une architecture propre et des technologies différentes. Les plus populaires sont Tor, et, loin derrière, I2P et Freenet (devenu Hyphanet). Nous allons nous concentrer sur Tor dans la suite de cet article.

Si on utilise le navigateur Tor pour naviguer sur un site du “clear web” (par exemple, https://www.smals.be), le client est très bien protégé, mais pas le site visité : on peut connaitre facilement son adresse IP, et donc où il est hébergé, et les autorités du pays concerné pourront imposer sa fermeture, voire obtenir de nombreuses informations sur ses utilisateurs. Ceci parce que le réseau Tor ne contrôle pas la connexion entre son nœud de sortie et le serveur de destination.

Il existe une façon, pour l’hébergeur d’un site web, de se protéger autant que le client, de façon à ne jamais dévoiler son adresse IP. L’idée est de mettre d’abord en place un serveur web classique (avec NGINX ou Apache, par exemple), puis d’installer, sur la même machine, un “serveur Tor” (moins de 5 minutes de travail). Celui-ci va générer une “clé publique” de 56 caractères alphanumériques qui servira d’adresse (de la forme <clé publique>.onion), et la renseigner auprès des annuaires décentralisés du réseau Tor. En procédant de la sorte, le gestionnaire du site web en question peut publier une adresse “.onion”, qui ne sera plus accessible aux utilisateurs d’un navigateur classique, et à partir de laquelle il sera très difficile, voire impossible, de remonter jusqu’à lui. Intéressant pour un dissident dans un pays autoritaire, mais également pour gérer en toute sécurité un business criminel.

Pour plus de détails, à la fois le client et le serveur vont utiliser un “circuit Tor” de 3 nœuds, pour se retrouver à un “point de rendez-vous”, ce qui permet tant au client qu’au serveur d’obtenir toutes les garanties d’anonymat. Mais avec dans certaines situations jusqu’à 6 nœuds intermédiaires. Notons que lorsqu’on se connecte avec le navigateur Tor a un service “.onion”, la connexion est chiffrée de bout en bout. Il n’est donc pas nécessaire d’ajouter une couche de chiffrement en utilisant HTTPS.

Remarques générales

Nous avons passé quelques semaines à explorer le dark web et à nous familiariser avec cet univers. Clairement pas suffisant pour pouvoir se targuer d’en être devenus des experts, mais assez pour se faire une première impression. Nous avons fait cette exploration avec Tails + Tor. Nous n’avons bien sûr jamais rien commandé sur les “markets”, ne sommes pas intervenus sur les forums et ne sommes de toute évidence pas entrés sur des sites contraires à la loi et à la décence. Avant d’entrer dans plus de détails dans les différentes types de contenu, commençons par quelques remarques générales. 

• La gestion des noms “.onion” est particulièrement peu conviviale. Impossible à retenir, et très difficile de s’assurer qu’on est sur le bon site et pas sur une version “pirate” ;
• Beaucoup plus que sur le web “classique”, il y a une grande volatilité des adresses. Si vous trouvez une adresse sur une page (par exemple via un moteur de recherche ou un “hidden wiki”, voir plus bas), il y a beaucoup de chances qu’elle ne soit plus valide ;
• Une partie importante des sites (markets, forums, moteurs de recherches) semblent sortir tout droit du début des années 2000… un design et une ergonomie très “vintage”, peu conviviale, qui fait souvent presque mal aux yeux. Peut-être entre autres parce que la plupart sont conçus pour pouvoir fonctionner sans Javascript, ce qui est recommandé pour limiter les risques ;
• La méfiance étant la norme sur le dark web, de nombreux sites sont protégés par un système de Captcha, mais ceux-ci sont particulièrement difficiles à résoudre. Pour empêcher les robots de les réussir, ils sont réglés à un tel niveau que même un humain (en tout cas votre serviteur) a du mal à les réussir. Voir l’exemple ci-contre. Sauriez-vous lire le mot ?
• La plupart des sites web sont particulièrement lents. Ceci est sans doute dû à la nature même du réseau Tor, qui fait passer chaque requête par au moins 3 (voire 6) nœuds intermédiaires, pas nécessairement très puissants.

Contenu

Points d’entrée

Il est de loin plus difficile de trouver ce que l’on veut sur le dark web que sur le “clear web”. Il est clairement impossible de retenir, voire même de retaper une adresse “.onion”. Il y a principalement deux façons de démarrer une exploration avec Tor :

• utiliser un “hidden wiki”, soit un annuaire de liens classés par catégorie. Il en existe un certain nombre, certains sur le clear web facilement trouvables en cherchant “hidden wiki” avec un moteur de recherche classique. Il faut cependant s’attendre à ce qu’une part importante des liens ne marchent plus.
• se servir d’un moteur de recherche dédié, uniquement accessible avec Tor, dont on trouve facilement l’adresse “.onion” sur un “hidden wiki”. “Torch” ou “Ahmia” en sont des exemples. Il ne faut cependant pas s’attendre à des performances comparables à des Google ou autres DuckDuckGo : non seulement peu de résultats pour une recherche un peu ciblée, mais souvent une liste de résultats peu explicites. On ne sait donc pas toujours sur quoi on clique.

Markets

De nombreux “markets” sont disponibles sur le dark web, fonctionnant un peu comme Amazon ou Bol.com. La plupart exigent des paiements en Bitcoin (ou plus souvent Monero, qui empêche de faire le lien entre deux transactions), et proposent toute un série de produits qui ne sont pas accessibles sur des marchés plus classiques : 

• armes et munitions, du petit pistolet aux fusils d’assaut ;
• drogues et médicaments, probablement le secteur le plus fourni ;
• faux documents : passeports, permis de conduire, cartes d’identité, et ce pour de multiples pays ;
• numéros de cartes de crédit volés, d’autant plus cher que le plafond est élevé. Compter entre 50 et 100 euros le numéro ;
• fausse monnaie ;
• services :
  • hackers : des hackers proposent de nombreuses options, allant d’une DDoS, à la pénétration d’un système ou au piratage de comptes mail ou réseaux sociaux,
  • atteinte aux personnes : on trouve de nombreuses proposition de “services” : assassinat, enlèvement, agression. Certains estiment cependant qu’il ne s’agit là que de tentatives d’extorsion.

Forums

De nombreux forums sont disponibles, dans toutes les langues. Ils ont tous en commun que les participants étant intraçables, ils ne se privent pas pour faire des demandes ou propositions totalement illégales, voire carrément abjectes. Les insultes et vulgarités sont la norme. Messages ouvertement racistes, propositions ou recherches de stupéfiants, demande ou vente de contenu pédopornographique…

Data leaks

On peut trouver facilement, gratuitement ou non, une grande quantité de données volées, que ce soit sur des forums ou sur des markets. On pourrait les classer en deux catégories : 

• des listes de “credentials” : nom d’utilisateur + mot de passe, parfois avec le site concerné. Vraisemblablement obtenus par phishing ou par “keylogger”, difficile de s’assurer (sans les avoir testés, ce que nous n’avons bien sûr jamais fait) de l’actualité des données. Mais sur des millions de lignes, on peut imaginer qu’on trouvera toujours des accès fonctionnels ;
• des résultats de ransomware. Quand des pirates parviennent à s’introduire dans le système d’une entreprise, ils vont souvent chiffrer l’intégralité des données et exiger une rançon pour les rendre accessibles. Et si la rançon n’est pas payée, de nombreux groupes publient en intégralité le contenu volé. On peut trouver un certain nombre de sites, avec pour les négociations “en cours”, des “preuves” (captures d’écran de quelques documents, typiquement ; voir ci-dessous pour le piratage du groupe Ahold Delhaize par le groupe INC Ransom), et pour celles expirées, un accès à de grands volumes. On pourrait citer :  
  • les données d’une mission locale dans le Sud-Ouest de la France : listing avec les noms (dates de naissance, n° téléphones) des jeunes suivis,
  • une société pharmaceutique française, avec des plans d’usine, contrats avec des partenaires, contenu d’une base de données de test,
  • pour une Loge maçonnique française : analyse interne de sécurité, invitations, listes de membres et montants de cotisations,
  • pour les 200 GB de données du groupe néerlandais “Ahold Delhaize”, semble-t-il surtout concernant son activité aux États-Unis,
  • pour un pôle de revalidation belge, parmi de nombreuses données (gestion, achat, finances, RH…), des informations personnelles sur plus de 30.000 patients (nom, prénom, date de naissance, code de pathologie), ainsi qu’un “export” de 380.000 patients avec beaucoup de détails personnels (nom, adresse, téléphone, email, numéro de mutuelle…), mais peu de détails médicaux .

Activisme

À côté des activités illégales citées plus haut, on trouve aussi une série de sites web qui se rapprochent des raisons initiales de la création du réseau Tor. On va y trouver un certain nombre d’organisations ayant pignon sur rue, mais ayant une version “.onion” de leur site web pour recueillir les informations de lanceurs d’alerte : Greenpeace, CNN, The Guardian, ProPublica, la CIA…

On trouvera aussi un certain nombre de blogs que l’on pourrait qualifier d’activistes, de rebelles, en lutte contre les violences policières, et qui se mettent sur le dark web pour éviter la censure. Il s’agit souvent de sites web à deux accès : un sur le “clear web”, un autre sur le dark web.

Conclusions

Il se dit que les marchandises les plus “sensibles” ne s’obtiennent de personne à personne qu’après avoir établi une relation de confiance avec ceux qui les possèdent, en particulier en ce qui concerne le hacking et ses outils. N’étant rentré en contact avec personne sur le dark web, nous sommes sans doute passé à côté de tout un pan de ce qu’on pourrait y trouver.

Mais ce que nous avons pu y trouver en seulement quelques semaines d’exploration nous a convaincus que de nombreuses administrations et entreprises auraient tout intérêt à au minimum se demander si on y trouve des activités liées à leur domaine d’action, ou des données de leur personnel ou de leurs clients. Même s’il est quasiment impossible de faire disparaitre ces données, il conviendra de prendre les mesures adéquates en cas de fuite. En cas de problème, il est essentiel de se faire aider par des spécialistes. En Belgique, en fonction des circonstances, un appel au CCB (Center for Cybersecurity Belgium) ou la FCCU (Federal Computer Crime Unit, Police) sera à faire de tout urgence.

In ons laatste artikel hebben we gezien wat iemand van een internetgebruiker kan achterhalen aan de hand van zijn IP-adres, cookies, Javascript-code en zelfs sporen die hij lokaal op zijn computer achterlaat. We hebben ook gesproken over de noodzaak voor iedereen om zich zo goed mogelijk te beschermen tegen pogingen om hem te observeren, of dat nu is met het oog op hacking, spionage of onderdrukking. In dit artikel bekijken we verschillende beschermingsmethoden, van de eenvoudigste (gebruik van HTTPS) tot de meest complexe (gebruik van Tails+Tor), waarbij we telkens uitleggen wat er wordt beschermd en welke beperkingen dit met zich meebrengt.

Wat we willen beschermen

Wanneer we online surfen, zijn er over het algemeen twee dingen die we willen beschermen: 

• Onze anonimiteit, namelijk wie we zijn;
• Onze vertrouwelijkheid, namelijk wat we doen.

Als je met een masker op straat loopt, kan iedereen zien wat je doet, maar niet wie je bent. Je anonimiteit wordt dus gerespecteerd, maar je vertrouwelijkheid niet. Als je thuiskomt en de gordijnen sluit, weet iemand die naar je huis kijkt dat je thuis bent (je anonimiteit is dus niet gewaarborgd), maar hij weet niet wat je doet (je privacy is gewaarborgd).

Wanneer je op een website surft, zijn er tal van entiteiten die allerlei dingen kunnen weten:

• De beheerders van de website die je bezoekt;
• Je IAP (Internet Access Provider) of de beheerder van het openbare wifi-netwerk (mogelijk gehackt) waarmee je verbonden bent;
• Indien van toepassing, de beheerder van de gebruikte VPN;
• Een virus of spyware op de computer;
• Iemand die fysieke toegang heeft tot de computer, of dat nu de politie is of iemand met minder nobele bedoelingen;
• Grote spelers zoals Facebook, Google, X of advertentienetwerken, die spyware op de meeste webpagina’s hebben geïnstalleerd.

Verder gaan we ons afvragen welke informatie deze verschillende entiteiten kunnen verkrijgen. Wat betreft anonimiteit:

• Wat is de “identiteit” (een e-mailadres, een postadres, een telefoonnummer, een gebruikersnaam op sociale media…) van de bezoeker?
• Wat is zijn IP-adres?
• Waar bevindt hij zich?
• Gebruikt hij een tool om zich te “verbergen” (VPN, Tor…)?

Wat betreft de vertrouwelijkheid (wat je doet):

• Wat is de browsegeschiedenis op de huidige website en de huidige sessie
• Idem, maar ook in het verleden
• Idem, maar voor alle bezochte websites

Eenvoudig browsen in HTTPS vs HTTP

Het is bijna onmogelijk geworden om te browsen op een website die niet beveiligd is met SSL, dus in HTTP en niet in HTTPS. Volgens het “transparency report” van Google over Chrome, blijft het aandeel van pagina’s dat via HTTPS wordt geladen in maart 2025 op 94% voor Windows, 98% voor Mac en 99% voor Android. Voor Linux-gebruikers blijft dit aandeel sinds 2021 stabiel op ongeveer 80 %.

Wat verandert er op het vlak van privacy? Niets voor de beheerders van de website die je bezoekt: zij kunnen je surfgedrag nog steeds volgen. Gebruikers van cookies van derden (Facebook, Google, data brokers en partners…) of fingerprinting (zie ons vorige artikel) kunnen je nog steeds profileren. En het heeft ook geen invloed op de sporen (cache, browsegeschiedenis…) die je activiteiten op de computer achterlaten.

Bij HTTP daarentegen kan je internetprovider (of de beheerders van de publieke access point… die heel goed door een hacker beheerd kunnen worden) of elke server op de weg naar de bezochte website de volledige URL van elke geladen pagina (in het IP-pakket dat de aanvraag bevat) en de inhoud ervan (in de retourpakketten met de inhoud) kennen. Hetzelfde geldt voor een spywareprogramma, een (hackers)programma dat op je computer is geïnstalleerd en dat in staat is om het netwerk af te luisteren (sniffing).

De mogelijkheden om af te luisteren zijn aanzienlijk beperkter bij HTTPS: niet alleen de inhoud wordt verborgen, maar ook de exacte pagina en soms zelfs de website. Laten we twee voorbeelden nemen:

• Je gaat naar de pagina https://www.facebook.com/Smals.ICT.for.Society: je browser (met behulp van je OS, we laten de details achterwege) maakt een IP-pakket met als bestemming “179.60.195.36” (of een van de andere IP-adressen van de Facebook-servers) en in de versleutelde inhoud (via SSL) een HTTP-verzoek met de tekst “geef me (GET) de inhoud van de pagina /Smals.ICT.for.Society”. Alleen je browser en de web server van bestemming kunnen de inhoud zien. Je internetprovider (of een hacker die zich ergens in het netwerk bevindt) weet alleen dat je naar Facebook bent gegaan, maar niet naar welke pagina;
• Je gaat naar de pagina /team/. Deze keer is het IP-adres (185.22.109.12) dat van onze host, die honderden andere websites host. Je IAP kan onmogelijk weten waar je naartoe bent gegaan: noch de website, noch de pagina.

Deze laatste bewering moet echter genuanceerd worden: op basis van het IP-pakket kan de IAP weliswaar niet weten welke website wordt bezocht. Maar om een domeinnaam (website.smalsrech.be) om te zetten in een IP-adres, moest een “DNS-verzoek” worden verzonden. Tenzij de netwerkconfiguratie wordt gewijzigd, wordt meestal de DNS-server van de IAP gebruikt, die vaak niet versleuteld is en dus de informatie kan kruisen. Om dit te voorkomen, kan een andere dienst worden gebruikt en versleuteld.

Hoewel de inhoud ontoegankelijk is en de bestemming vaak gedeeltelijk verborgen blijft, kan de IAP doorgaans wel het type verkeer identificeren: surfen op het internet, videostreaming, online gaming, e-mail, berichtenverkeer, gebruik van een VPN … Hierdoor kan hij de toegang tot bepaalde diensten of servers blokkeren, zoals vaak gebeurt in bepaalde landen. We kunnen hieruit concluderen dat ten opzichte van de internetprovider anonimiteit (wie je bent) niet wordt geboden, maar dat de vertrouwelijkheid (wat je doet) gedeeltelijk wordt gegarandeerd.

Privé-browsing

Alle browsers bieden een “privé”-browsingmodus, die de privacy verhoogt. Deze modus:

• Blokkeert cookies van derden;
• Wist alle cookies aan het einde van de sessie;
• Wist de cachegegevens en andere navigatiegegevens (wachtwoorden en formuliergegevens);
• Verwijdert de navigatiegeschiedenis

Deze modus doet het volgende:

• Voorkomt dat de volgende gebruiker kan zien wat je hebt gedaan;
• Voorkomt dat een website die cookies gebruikt, een verband kan leggen tussen twee sessies (tenzij je je hebt aangemeld);
• Voorkomt dat trackers die cookies van derden gebruiken, je kunnen volgen.

Deze modus verbergt het IP-adres echter niet, voorkomt tracking via fingerprinting niet en verandert niets aan wat de IAP (en dus ook justitie) kan zien, noch aan wat andere entiteiten die netwerkcommunicatie kunnen onderzoeken, zoals beheerders van bedrijfsnetwerken. Deze modus heeft bovendien geen invloed op de sporen die het besturingssysteem en de netwerkbeheerslagen kunnen achterlaten. En als er bepaalde extensies zijn geïnstalleerd, kunnen deze ook sporen achterlaten. De gedownloade bestanden worden bovendien niet gewist.

Laten we een eenvoudig voorbeeld nemen: als de gebruiker in de incognitomodus naar http://website.smalsrech.be gaat, zal dit adres niet in de browsergeschiedenis verschijnen. De browser heeft website.smalsrech.be echter wel moeten omzetten in een IP-adres, wat gebeurt via een DNS-server. Om veel oproepen naar deze dienst te voorkomen, wordt de omzetting in een cache opgeslagen, die in Windows zichtbaar is met het commando “ipconfig /displaydns”. Dit commando geeft onder andere de waarde hiernaast weer. We weten dus dat de website recent is bezocht, aangezien de cachegegevens regelmatig worden gewist. Het zou eenvoudig zijn om een klein script op de achtergrond te laten draaien dat deze query regelmatig uitvoert om precies te weten wanneer en welke websites zijn bezocht.

Privé browsen maakt je dus absoluut niet “anoniem” op het internet. Het biedt alleen een zekere vorm van privacy ten opzichte van andere gebruikers van de computer (familie, collega’s…) zonder al te veel technische kennis, maar niet ten opzichte van een entiteit die hier middelen voor kan inzetten. 

VPN

Een VPN (Virtual Private Network) is een software die alle gegevens via een beveiligde “tunnel” tussen de computer van de klant en een server van de VPN-provider doorstuurt, voordat ze toegang krijgen tot de bezochte website. Zo: 

• Ziet de IAP enkel de communicatie tussen je computer en de VPN-server;
• Ziet de website (of dienst) die je bezoekt de verzoeken alsof ze afkomstig zijn van de VPN-server.

Dit vermindert dus de mogelijkheden van de access point (IAP, wifi-hotspot…), maar in beperkte mate in vergelijking met 100% HTTPS-verbindingen: in beide gevallen is de inhoud onzichtbaar. Met een VPN ziet de IAP ook niet de IP-adressen van de bezochte diensten en kan hij, omdat alle communicatie wordt gemengd, moeilijker het type verkeer identificeren.

Wat echter onzichtbaar wordt voor de IAP, wordt transparant voor de VPN. In feite verplaatsen we het vertrouwensprobleem: moeten we meer vertrouwen hebben in een (vaak buitenlands) bedrijf dat een VPN-dienst aanbiedt of in onze IAP (die doorgaans onderworpen is aan de regels van het eigen land)?

In verschillende situaties kan het gebruik van een VPN een deel van de oplossing zijn:

• Als je redenen hebt om te vrezen voor het oog van de lokale autoriteiten, of als het internet access point niet betrouwbaar is (bijvoorbeeld een openbare wifi-hotspot);
• Als je bepaalde diensten wilt omzeilen;
• Als je geografische blokkades wilt omzeilen, aangezien de website je zal herkennen in het land waar de (eind)server van de VPN zich bevindt.

Let wel dat sommige diensten, zoals Netflix, VPN’s proberen te detecteren en te blokkeren. Het kan moeilijk zijn om deze te omzeilen. In China mogen alleen “toegestane” VPN’s (die dus in overeenstemming zijn met de autoriteiten) worden gebruikt (maar er zijn oplossingen om dit te omzeilen). Hetzelfde geldt voor Rusland.

Het gebruik van een VPN beperkt dus de mogelijkheden tot controle door de access point van het netwerk en dus door de autoriteiten, maar verplaatst deze naar de beheerders van de VPN… die vaak onderworpen zijn aan de autoriteiten van een ander land. Een VPN beperkt echter op geen enkele wijze de mogelijkheden om je te volgen via cookies of fingerprint. En het maakt het gebruik van HTTPS niet overbodig, zodat VPN-beheerders niet de mogelijkheid hebben om alle inhoud te lezen. HTTPS verhoogt de anonimiteit ten opzichte van de bezochte website, omdat de locatie kan worden verborgen.

Blokkering van trackers

Het gebruik van cookies door derden is al lang het doelwit van kritiek. Edge en Firefox blokkeren ze al grotendeels. Google had aangekondigd dat het de third party cookies in Chrome zou blokkeren, maar is daarop teruggekomen en deze worden nog steeds niet geblokkeerd. De auteur van dit artikel blokkeert al jaren alle third party cookies op al zijn toestellen, vrijwel zonder enige beperking. Het is vrij duidelijk dat third party cookies interessant zijn voor adverteerders, maar geen enkel nut hebben voor internetgebruikers.

Een plug-in voor het blokkeren van trackers, zoals Ghostery, gaat verder dan alleen het blokkeren van third party cookies: deze voorkomt ook dat de code wordt geladen en uitgevoerd, waardoor fingerprinting niet meer mogelijk is (voor zover deze door de plug-in is geïdentificeerd).

Door trackers te blokkeren, wordt tracking door elementen buiten de pagina die je bezoekt, voorkomen. Dit belet de website die je bezoekt, of het nu een sociaal netwerk of een e-commerce website is, niet om een profiel van zijn bezoekers op te bouwen wanneer ze op zijn website zijn.

Tor-browser

De Tor-browser, en meer in het algemeen het Tor-project, gaat veel verder dan de tot nu toe gepresenteerde opties om de gebruiker onvindbaar te houden en te voorkomen dat iemand hem kan traceren, zelfs met aanzienlijke middelen. Het is voornamelijk ontwikkeld om voorvechters van democratie in autoritaire landen te helpen en is grotendeels gefinancierd door de Electronic Frontier Foundation, een internationale ngo die zich inzet voor vrijheid op het internet, en zelfs door het Amerikaanse ministerie van Buitenlandse Zaken.

Deze browser, een aangepaste versie van Firefox, maakt het mogelijk om op een zeer veilige manier op het “klassieke” internet te surfen, maar ook op het “dark web”, een deel van het internet dat niet toegankelijk is met klassieke browsers (we komen hier in een volgend artikel op terug). Je vindt er mogelijkheden voor klokkenluiders om contact op te nemen met de media (NYT, BBC, The Guardian…) maar ook met officiële diensten zoals de CIA. Iraanse activisten verenigden zich na de dood van Masha Amini in 2022 op Tor om de censuur van de belangrijkste communicatiemiddelen te omzeilen. Maar er zijn ook talloze minder aanbevelenswaardige sites te vinden, zoals sites voor drugshandel, wapenhandel, gestolen gegevens of valse papieren.

We richten ons hier alleen op wat de tool te bieden heeft op het gebied van gebruikersbescherming. Het basisprincipe van het Tor-netwerk (The Onion Router) is dat elk bericht, voordat het zijn bestemming bereikt, via drie tussenliggende knooppunten (Tor-knooppunten) wordt verzonden, die willekeurig worden gekozen uit een lijst van vrijwillige servers: een ingangsknooppunt A, een tussenliggend knooppunt B en een uitgangsknooppunt C. De Tor-client “verpakt” (versleutelt) eerst zijn bericht met de privésleutel van C (inclusief het IP-adres van de bestemming D), voegt vervolgens een laag toe (zoals een ui, vandaar de naam) door te versleutelen met de sleutel van B, en ten slotte met de sleutel van A.

Door op deze manier te werk te gaan:

• Ziet de IAP, die zich tussen de klant en knooppunt A bevindt, noch het IP-adres van de bestemming, noch de inhoud;
• Het ingangsknooppunt A kent het IP-adres van de klant (ten minste van zijn modem of zijn access point), maar niet dat van de bestemming, noch zelfs het uitgangsknooppunt C: het weet alleen dat het zijn pakketten naar knooppunt B moet doorsturen, nadat het de voor hem bestemde versleutelingslaag heeft verwijderd;
• B kent noch het IP-adres van de klant, noch dat van de bestemming; hij weet alleen dat hij het van A ontvangt en naar C moet doorsturen;
• Het uitgangsknooppunt C kent alleen het IP-adres van de bestemmingsserver D (en de inhoud die aan hem moet worden doorgegeven), en niet dat van de klant of het ingangsknooppunt A;
• Voor de bestemmingsserver is het alsof het pakket afkomstig is van server C.

Met het Tor-netwerk hebben we dus een soort VPN met drie lagen, waardoor geen enkel knooppunt over de volledige informatie beschikt. Behalve de klant weet niemand zowel de bron als de bestemming van de pakketten, in tegenstelling tot een VPN, die zowel de bron (jij) als de bestemming (de website die je bezoekt) kent.

Merk op dat Tor het verkeer tussen de client en het uitgangsknooppunt beveiligt, maar niet tussen het uitgangsknooppunt en de bestemming, die niet weet (meer bepaald, niet hoeft te weten) dat het een verbinding ontvangt die via Tor verloopt (net zoals een VPN het verkeer tussen zijn servers en de bestemming niet beveiligt). Om het verkeer van begin tot eind te beveiligen, moet de klant HTTPS bovenop Tor gebruiken.

Let ook op dat DNS-query’s worden gedaan op het niveau van het uitgangsknooppunt, dat de klant niet kent. Het ingangsknooppunt dat de klant kent, weet dus niet welke DNS-query’s hij heeft gedaan.

En wat als een kwaadwillende entiteit een gehackte Tor-knooppunt zou opzetten (wat de NSA met zeer beperkt succes zou hebben geprobeerd)? Deze zou dan eerst moeten worden gekozen door de klant die hij op het oog heeft, die willekeurig drie relays kiest uit een lijst van +/- 8000 relays en deze om de 10 minuten verandert. Als deze gehackte relay door (on)gelukkige toeval als ingangsknooppunt wordt gekozen, is de enige informatie waarover hij beschikt een lijst van Tor-gebruikers (meer bepaald IP-adressen), zonder enige informatie over hun activiteiten. Als het als tussenliggende knooppunt wordt gekozen, ziet het alleen versleuteld verkeer, zonder te weten waar het vandaan komt of waar het naartoe gaat. En als het als uitgangsknooppunt wordt gekozen, kent het de bestemmingsservers, zonder te weten wie er contact mee maakt. En als het verkeer via HTTPS verloopt, kan het niets van de inhoud zien.

Maar het gebruik van Tor vereist wel enige voorzichtigheid. In 2013 ontving de universiteit van Harvard tijdens de examens een bomdreiging per e-mail. De FBI kon vaststellen dat de e-mail was verzonden via een dienst (Guerilla Mail, waarmee tijdelijke en anonieme e-mailadressen kunnen worden aangemaakt) die via Tor was gebruikt (aan de hand van de header van de e-mail). Bovendien stelden ze vast dat slechts één student van de universiteit op het moment van verzending van het bericht via het wifi-netwerk van de campus verbinding had gemaakt met Tor. Dat was voldoende om het verband te leggen.

Ross W. Ulbricht, de oprichter van Silk Road, een van de grootste (voornamelijk drugs)markten op het dark web in het begin van de jaren 2010, werd ontmaskerd omdat hij eens het adres rossulbricht@gmail.com had vermeld op een forum over cryptovaluta, onder het pseudoniem Altoid. Ditzelfde pseudoniem werd ook gebruikt op een ander forum, voor een account dat de FBI in verband had gebracht met de beheerder van Silk Road.

Deze voorbeelden hebben natuurlijk betrekking op criminele activiteiten, maar de kans is groot dat als een autoritaire staat erin zou slagen een dissident achter Tor te identificeren, hij daar geen reclame voor zou maken.

Om nog iets anoniemer te blijven en te voorkomen dat je IAP weet dat het verkeer via Tor verloopt, kun je tegenwoordig een “bridge” (een Tor-knooppunt dat niet voorkomt in openbare lijsten) gebruiken die obfuscatiemethoden toepast om het verkeer te verbergen en het zeer vergelijkbaar te maken met normaal verkeer, zodat het zeer moeilijk wordt om het gebruik van Tor te identificeren.

Naast een beveiligd communicatiekanaal gedraagt Tor zich standaard als privémodus in browsers: cookies worden tussen twee sessies gewist, alle cookies van derden worden geweigerd en er wordt niets lokaal opgeslagen (cache, geschiedenis, enz.). Daarnaast zal hij ‘mitigation’-technieken toepassen om fingerprinting te voorkomen, door geen precieze antwoorden te geven op query’s (OS, versie, lijst met lettertypes, schermresolutie, enz.). Hij zal ook expliciet toestemming vragen alvorens een Canvas- of WebGL-code uit te voeren. Het is mogelijk om nog voorzichtiger te zijn door de “beveiligde” modus te gebruiken, die alle JavaScript volledig blokkeert.

Het gebruik van Tor heeft echter een prijs: het doorlopen van 3 tussenliggende knooppunten, met meerdere versleutelingslagen en het blokkeren van verschillende functies, maakt het surfen trager en kan ertoe leiden dat een deel van de functies verloren gaat. Voor de gemiddelde gebruiker is het dus geen haalbaar alternatief voor zijn favoriete browser in het dagelijks leven. Maar voor een gebruiker die hoge eisen stelt aan privacy en anonimiteit, zelfs tijdelijk, kan het dat wel worden, mits hij adequate maatregelen neemt door zijn Tor-browsing duidelijk af te schermen van de rest: geen gebruik van login/e-mailadres/telefoonnummer dat aan zijn echte identiteit kan worden gekoppeld, geen betalingen met een gewone bankkaart, verwijdering van metagegevens voordat een bestand wordt verzonden, nooit verbinding maken met dezelfde diensten zonder Tor te gebruiken…

Tails

De zwakte van Tor ligt niet in de tool zelf, maar in het feit dat deze op een besturingssysteem draait (Windows, MacOS, Android…). En de sporen die het systeem achterlaat, zijn moeilijk te controleren. Een computer die in beslag wordt genomen, kan onthullen dat Tor werd gebruikt en wanneer. Als het systeem in slaapstand wordt gezet, waarbij de inhoud van het geheugen naar de harde schijf wordt gekopieerd, is het niet uitgesloten dat een expert er informatie uit kan halen.

Tails is een “live” besturingssysteem: het wordt op een USB-stick geïnstalleerd. Je gebruikt het door het op (bijna) elke computer aan te sluiten, zonder sporen achter te laten, noch op de computer (waarvan het hoofdbesturingssysteem niet is opgestart), noch op de stick. Het gebruikt namelijk alleen het werkgeheugen (RAM) van de computer, dat volledig wordt gewist wanneer de machine wordt uitgeschakeld, en helemaal niet de harde schijf. Het is gebaseerd op Debian en leidt alle netwerkcommunicatie via het Tor-netwerk.

Hiermee wordt een zeer hoge mate van heimelijkheid bereikt, maar met dezelfde beperkingen als bij het gebruik van Tor (traagheid, beperkte functionaliteit…), en waarbij dezelfde voorzichtigheid geboden is. Zoals vaak het geval is, ligt de fout bij een storing tussen de stoel en het toetsenbord!

Conclusie

Jezelf beschermen tijdens het surfen op het internet kan op verschillende niveaus. Surfen via HTTPS is de basis, maar is ook de norm geworden: er is bijna geen alternatief meer. “Privé” surfen biedt een zeer beperkte bescherming: het maakt het vooral mogelijk om zich (gedeeltelijk) te verbergen voor toekomstige gebruikers van de machine. Door geschikte plug-ins te gebruiken, cookies van derden te blokkeren en de mogelijkheden voor fingerprinting te beperken, kun je je ook beschermen tegen de reclamegiganten en sociale netwerken. Het is waarschijnlijk dat dit in de toekomst door sommige browsers zelf zal worden geïmplementeerd.

Door een VPN te gebruiken, beperk je de mogelijkheden van je IAP (of de beheerder van de openbare access point) en de autoriteiten om in te breken, maar je geeft deze mogelijkheden wel aan de beheerders van de VPN, die niet altijd betrouwbaar zijn. Het gebruik van Tor is relevant als je niemand vertrouwt: noch je IAP, noch de website die je bezoekt, noch de adverteerders, noch zelfs het Tor-netwerk. Maar dit gaat ten koste van de prestaties. En als je ook degenen die toegang hebben tot de computer niet kunt vertrouwen, biedt Tails extra zekerheid door alle sporen te wissen wanneer de computer wordt uitgeschakeld. 

Iedereen moet zelf het juiste beveiligingsniveau kiezen, afhankelijk van het gebruik en de vaardigheden.

Deze post is een individuele bijdrage van Vandy Berten, gespecialiseerd in data science bij Smals Research. Dit artikel is geschreven onder zijn eigen naam en weerspiegelt op geen enkele wijze de standpunten van Smals.

Dans notre dernier article, nous avons vu ce que l’adresse IP, les cookies ou du code Javascript, voire les traces laissées localement sur son ordinateur, pouvaient révéler d’un internaute lors de son utilisation du web. Nous avons également discuté de la nécessité pour chacun de se protéger au mieux des tentatives d’observation, que ce soit à des fins de piratage, d’espionnage ou de répression. Nous allons voir dans cet article différentes méthodes de protection, de la plus simple (utilisation d’HTTPS) à la plus complexe (utilisation de Tails+Tor), en expliquant chaque fois ce qui est protégé et les contraintes que cela implique.

Ce qu’on veut protéger

Quand on navigue sur le web, il y a en général deux choses que l’on veut protéger : 

• Son anonymat, à savoir qui on est ;
• Sa confidentialité, à savoir ce que l’on fait.

Si vous vous promenez dans la rue avec un masque, tout le monde peut savoir ce que vous faites, mais pas qui vous êtes. Votre anonymat est donc respecté, mais pas votre confidentialité. Si vous rentrez chez vous et fermez les rideaux, quelqu’un qui observe votre maison sait que vous y êtes rentré (votre anonymat n’est donc pas préservé), mais il ne sait pas ce que vous y faites (votre confidentialité est préservée).

Quand on navigue sur un site web, de nombreuses entités sont susceptibles de savoir des choses :

• Les gestionnaires du site web visité ;
• Votre FAI (Fournisseur d’Accès à Internet), ou le gestionnaire du wifi public (éventuellement pirate) sur lequel on est connecté ;
• Le cas échéant, le gestionnaire du VPN utilisé ;
• Un virus ou logiciel mouchard sur l’ordinateur ;
• Quelqu’un qui a un accès physique à la machine, que ce soit les forces de l’ordre ou n’importe quel individu aux ambitions peu louables ;
• Les grands acteurs comme Facebook, Google, X, ou les régies publicitaires, qui ont des mouchards sur une grande majorité des pages web.

On va dans la suite se demander ce que ces différentes entités seront susceptibles d’obtenir comme info. En ce qui concerne l’anonymat :

• Quelle est “l’identité” (une adresse email ou postale, un numéro de téléphone, un identifiant sur un média social…) du visiteur ?
• Quelle est son adresse IP ?
• Où se trouve-t-il ?
• Utilise-t-il un outil pour se “cacher” (VPN, Tor…) ?

En ce qui concerne la confidentialité (ce que vous faites) :

• Quel est l’historique de navigation sur le site courant, pour la session courante
• Idem, mais également par le passé
• Idem, mais pour l’ensemble des sites visités

Navigation simple en HTTPS vs HTTP

Il est devenu quasiment impossible de naviguer sur un site web non protégé par SSL, en HTTP et non en HTTPS. D’après le “transparency report” de Google, sur Chrome, en dehors des utilisateurs sur Linux où la proportion de pages chargées en HTTPS stagne depuis 2021 vers 80 %, cette proportion est en mars 2025 de 94 % sur Windows, 98 % sur Mac et 99% sur Android.

Qu’est-ce que ça change en termes de vie privée ? Rien pour les gestionnaires du site web que vous visitez : leur capacité à suivre vos pérégrinations n’est pas impactée. Les utilisateurs de cookies tiers (Facebook, Google, data brokers et partenaires…) ou de fingerprinting (voir notre article précédent) peuvent tout autant vous profiler. Et cela n’aura pas non plus d’impact sur les traces (cache, historique de navigation…) que laisseront vos activités sur l’ordinateur.

Par contre, en HTTP, votre FAI (ou les gestionnaires du point d’accès public… qui peut très bien être géré par un hacker) ou n’importe quel serveur sur le chemin jusqu’au site visité, peut connaitre l’URL complète de chaque page chargée (dans le paquet IP contenant la requête), ainsi que leur contenu (dans les paquets retour avec le contenu). Il en va de même pour un “mouchard”, un programme (pirate) installé sur votre ordinateur, qui serait capable d’écouter (sniffer) le réseau.

Les possibilités d’écoute sont nettement réduites en HTTPS : non seulement le contenu sera caché, mais également la page exacte, et parfois même le site. Prenons deux exemples :

• Vous vous rendez sur la page https://www.facebook.com/Smals.ICT.for.Society : votre navigateur (avec l’aide de votre système d’exploitation, passons les détails) va créer un paquet IP, avec comme destination “179.60.195.36” (ou une des autres adresses IP des serveurs de Facebook), et, dans le contenu chiffré (par SSL), une requête HTTP disant “donne-moi (GET) le contenu de la page /Smals.ICT.for.Society”. Seuls votre navigateur et le serveur web de destination peuvent voir le contenu. Votre FAI (ou un pirate sur le chemin) sait uniquement que vous êtes allé sur Facebook, mais pas sur quelle page ;
• Vous vous rendez sur la page /team/. Cette fois-ci, l’adresse IP (185.22.109.12) est celle de notre hébergeur, qui héberge des centaines d’autres sites web. Aucune possibilité pour votre FAI de savoir où vous êtes allé : ni le site web, ni la page.

Cette dernière affirmation est cependant à nuancer : certes, sur base du paquet IP, le FAI ne peut pas savoir quel site web est visité. Mais pour convertir un nom de domaine (website.smalsrech.be) en adresse IP, il a fallu envoyer une “requête DNS“. En général, à moins de changer la configuration du réseau, on utilisera le serveur DNS, souvent non chiffré, du FAI, qui pourrait donc recouper les informations. Pour éviter ceci, il est possible d’utiliser un autre service et de le chiffrer.

Cependant, bien que le contenu lui soit inaccessible et la destination souvent partiellement cachée, le FAI pourra en général identifier le type de trafic : navigation Web, streaming vidéo, jeu en ligne, mail, messagerie, utilisation d’un VPN … Ceci lui permettra de bloquer l’accès à certains services ou serveurs, comme ça se fait souvent dans certains pays. On peut en conclure que vis-à-vis du FAI, l’anonymat (qui vous êtes) n’est pas offert, mais la confidentialité (ce que vous faites) est partiellement garantie.

Navigation privée

Tous les navigateurs offrent un mode de navigation “privée”, permettant de renforcer sa vie privée. Ce mode va :

• Bloquer les cookies tiers ;
• Effacer tous les cookies à la fin de la session ;
• Effacer les données en cache et autres données de navigation (mots de passe et données de formulaires) ;
• Supprimer l’historique de navigation.

Ce mode va donc :

• Empêcher l’utilisateur suivant de savoir ce que vous avez fait ;
• Empêcher un site web qui utilise les cookies de faire le lien entre deux sessions (sauf si vous vous y êtes authentifié) ;
• Empêcher les traqueurs qui utilisent les cookies tiers de vous pister.

Il ne masque cependant pas l’adresse IP, n’empêche pas le suivi par fingerprinting, ne change rien à ce que le FAI (et donc la justice) peut voir, ni toute entité pouvant examiner les communication réseaux, comme les administrateurs du réseau d’entreprise. Par ailleurs, cela n’aura pas d’impact sur les traces que pourraient laisser le système d’exploitation et ses couches de gestion du réseau. Et si certaines extensions sont installées, elles sont également susceptibles de laisser des traces. Les fichiers téléchargés ne sont par ailleurs pas effacés.

Prenons un petit exemple : si l’utilisateur se rend sur http://website.smalsrech.be en mode incognito, on ne verra pas apparaitre cette adresse dans l’historique du navigateur. Par contre, le navigateur a dû convertir website.smalsrech.be en adresse IP, ce qui se fait au moyen d’un serveur DNS. Pour éviter de nombreux appels à ce service, la conversion est maintenue dans une cache, visible sur Windows grâce à la commande “ipconfig /displaydns”. Celle-ci affichera, entre autres, la valeur ci-contre. On sait donc que le site web a été consulté récemment, puisque les données en cache sont régulièrement effacées. Il serait facile de faire tourner un petit script en tâche de fond qui exécute cette requête régulièrement pour savoir exactement quand et quelles sites web ont été consultés.

En bref, la navigation privée ne rend absolument pas “anonyme” sur le web ; Elle offre uniquement une certaine forme de confidentialité par rapport autres utilisateurs de la machine (famille, collègues…) sans trop de compétences techniques, mais pas d’une entité qui peut y mettre les moyens. 

VPN

Un VPN (Virtual Private Network) est un logiciel qui va faire transiter toutes les données par un “tunnel” sécurisé, entre la machine du client et un serveur géré par le fournisseur de VPN, avant d’accéder au site visité. De la sorte : 

• Le FAI ne voit plus que des communications entre votre machine et le serveur du VPN ;
• Le site web (ou service) que vous visitez verra les requêtes comme si c’est le serveur du VPN qui les lui adressait.

Cela diminuera donc les possibilités du point d’accès (FAI, borne wifi…), mais de façon limitée par rapport à des connexions 100 % en HTTPS : dans les deux cas, le contenu est invisible. Avec un VPN, le FAI ne verra pas non plus les adresses IP des services visités, et, toute les communications étant mélangées, pourra plus difficilement identifier le type de trafic.

Par contre, ce qui devient invisible pour le FAI devient transparent pour le VPN. On déplace en fait simplement le problème de la confiance : doit-on plus faire confiance à une société (souvent étrangère) qui propose un service de VPN ou à son fournisseur d’accès (en général soumis eux règles de son propre pays) ?

Il y a plusieurs situations où l’utilisation d’un VPN peut être une partie de la solution :

• Si l’on a des raisons de craindre l’œil des autorités locales, ou que le point d’accès à Internet n’est pas fiable (une borne wifi publique, par exemple) ;
• Si l’on veut contourner un blocage de certains services ;
• Si l’on veut pouvoir limiter le blocage géographique, puisque le site web vous imaginera dans le pays où se trouve le serveur (final) du VPN. 

Notons que certains services, comme Netflix, tentent de détecter les VPN et les bloquent. Il peut être compliqué de les contourner. En Chine, seule les VPN “autorisés” (et donc conciliant avec les autorités) peuvent être utilisés (mais il existe des solutions de contournement). Il en est de même en Russie.

L’utilisation d’un VPN limite donc les possibilités de surveillance par le point d’accès au réseau et donc par les autorités, mais les déplacent vers les gestionnaires du VPN… souvent soumises aux autorités d’un autre pays. Cependant, le VPN ne limite en rien les capacités de pistage par cookies ou par fingerprint. Et il ne dispense pas d’utiliser HTTPS, pour ne pas laisser aux gestionnaires du VPN la possibilité de lire tout le contenu. Le VPN augmente l’anonymat vis-à-vis du site visité, puisqu’on peut le tromper sur sa localisation.

Blocage des trackers

L’utilisation des cookies tiers est depuis longtemps la cible des critiques. Edge et Firefox les bloquent déjà très largement. Google avait annoncé la fin de cookies tiers dans Chrome, mais est revenu en arrière et ceux-ci ne sont toujours pas bloqués. Depuis plusieurs années, l’auteur de ces lignes bloque totalement les cookies tiers sur tous ses appareils, quasiment sans rencontrer la moindre contrainte. Il est assez clair que les cookies tiers ont un intérêt pour les publicitaires, mais ne sont plus d’aucun intérêt pour l’internaute.

Un plugin de blocage de trackers, comme Ghostery, ira plus loin que simplement bloquer les cookies tiers : il empêchera également le chargement et l’exécution du code, qui ne pourra dès lors plus faire de fingerprinting (pour autant qu’il ait été identifié par le plugin).

En bloquant les trackers, on empêche le pistage par des éléments externes à la page que l’on est en train de visiter. Cela n’empêche en rien le site que l’on visite, que ce soit un réseau social ou un site d’e-commerce, de continuer à établir un profil de ses visiteurs quand ils sont sur son site.

Navigateur Tor

Le navigateur Tor, et plus largement le projet Tor, va beaucoup plus loin que les options présentées jusqu’ici pour permettre à son utilisateur de rester intraçable et empêcher quiconque de remonter jusqu’à lui, même avec des moyens conséquents. Il a été créé principalement dans le but d’aider les défenseurs de la démocratie dans les états autoritaires, et largement été financé par l’Electronic Frontier Foundation, une ONG internationale de protection des libertés sur Internet, et même le Département d’État des USA.

Ce navigateur, une version modifiée de Firefox, permet de naviguer sur le web “classique” de façon très sécurisée, mais également sur le “dark web”, une partie du web qui n’est pas accessible avec des navigateurs classiques (nous y reviendrons dans un prochain article). On y trouve des possibilités pour des lanceurs d’alerte de contacter des médias (NYT, BBC, The Guardian…) mais également des services officiels tels que la CIA. Des manifestants Iraniens, suite à la mort de Masha Amini en 2022, se sont organisés sur Tor pour contourner la censure des principaux moyens de communication. Mais on y trouve également d’innombrables sites moins recommandables, de trafic de drogue, d’armes, de données volées ou de faux papiers.

On va ici s’intéresser uniquement à ce que l’outil offre en termes de protection de l’utilisateur. Le principe de base du réseau Tor (pour The Onion Router) est de faire transiter chaque message, avant d’arriver à destination, par trois nœuds intermédiaires (des nœuds Tor), choisis aléatoirement parmi une liste de serveurs volontaires : un nœud d’entrée A, et nœud intermédiaire B et un nœud de sortie C. Le client Tor va d’abord “emballer” (chiffrer) son message avec la clé privée de C (y compris l’IP de destination D), puis ajoute une couche (tel un oignon, d’où le nom) en chiffrant avec la clé de B, puis enfin avec la clé de A.

En agissant de la sorte :

• Le FAI, qui se trouve entre le client et le nœud A, ne verra pas l’adresse IP de destination, ni le contenu ;
• Le nœud d’entrée A, lui, connaitra l’adresse IP du client (à tout le moins de son modem ou de son point accès), mais pas celle de destination, ni même le nœud de sortie C : il saura juste qu’il doit faire transiter ses paquets vers le nœud B, après avoir ôté la couche de chiffrement lui étant destinée ;
• B ne connaitra ni l’IP du client, ni de la destination ; il saura uniquement qu’il le reçoit de A et doit le faire transiter vers C ;
• Le nœud de sortie C connaitra uniquement l’IP du serveur de destination D (et le contenu à lui remettre), et pas celle du client ni du nœud d’entrée A ;
• Pour le serveur de destination, tout se passe comme si le paquet venait du serveur C.

Avec le réseau Tor, on a donc une sorte de VPN en 3 couches, faisant en sorte qu’aucun nœud ne possède l’information complète. Personne, à par le client, ne connait à la fois la source et la destination des paquets, contrairement au VPN qui connait à la fois la source (vous) et la destination (le site web que vous visitez).

Notons que Tor sécurise le trafic entre le client et le nœud de sortie, mais pas entre le nœud de sortie et la destination, qui ne sait pas (plus précisément, n’a pas besoin de savoir) qu’elle reçoit une connexion transitant par Tor (tout comme un VPN ne sécurise pas le trafic entre ses serveurs et la destination). Pour que le trafic soit sécurisé de bout en bout, il faut que le client utilise HTTPS au-dessus de Tor.

Notons également que les requêtes DNS se font au niveau du nœud de sortie, qui ne connait pas le client. Le nœud d’entrée qui connait le client ne sait donc pas quelles requêtes DNS il a faites.

Et si une entité mal intentionnée mettait en place un nœud Tor pirate (ce qui aurait été tenté par la NSA avec un succès très limité) ? Il faudrait d’abord qu’il soit choisi par le client qu’elle vise, qui choisit aléatoirement trois relais parmi une liste de +/- 8000 relais, et en change toutes les 10 minutes. Si par (mal)chance ce relai pirate est choisi comme nœud d’entrée, la seule information à sa disposition serait une liste d’utilisateurs (d’adresses IP, plus précisément) Tor, sans aucune information sur les activités. S’il est choisi comme nœud intermédiaire, il ne verra que du trafic crypté, sans savoir ni d’où il vient, ni où il va. Et s’il est choisi en nœud de sortie, il connaitra les serveurs de destination, sans savoir qui les contacte. Et si le trafic est en HTTPS, il ne pourra rien voir du contenu.

Mais utiliser Tor ne dispense pas d’une certaine prudence. En 2013, une alerte à la bombe arrive par mail à l’université d’Harvard, en pleine période d’examens. Le FBI a pu déterminer que le mail avait été envoyé depuis un service (Guerilla Mail, permettant de créer des adresses email temporaires et anonymes) qui avait été utilisé depuis Tor (grâce au header du mail). Par ailleurs, ils ont également pu déterminer qu’un (seul) étudiant de l’université s’était connecté à Tor depuis le Wifi du campus au moment de l’envoi du message. Ce qui a suffi à faire le lien.

Ross W. Ulbricht, le fondateur de Silk Road, un des plus gros marché (essentiellement de drogue) au début des années 2010 sur le dark web, a été démasqué parce qu’il a un jour renseigné l’adresse rossulbricht@gmail.com sur un forum de cryptomonnaie, sous le pseudonyme de Altoid. Et ce même pseudonyme était également utilisé sur un autre forum, pour un compte que le FBI avait associé au gérant de Silk Road.

Ces exemples concernent bien sûr des activités criminelles ; mais il y a fort à parier que si un état autoritaire parvenait à identifier un dissident derrière Tor, il n’en ferait pas la publicité.

Pour rester encore un peu plus anonyme et empêcher son FAI de savoir que le trafic passe par Tor, il est aujourd’hui possible d’utiliser un “bridge” (un nœud Tor qui n’apparait pas dans les listes publiques) qui utilisera des méthodes d’obfuscation, faisant en sorte de masquer le trafic pour le rendre très similaire à un trafic normal, de sorte qu’il devienne très difficile d’identifier l’utilisation de Tor.

En dehors de la sécurisation du canal de communication, Tor va par défaut se comporter comme les modes privés des navigateurs : effacement des cookies entre deux sessions, refus de tous les cookies tiers, aucun enregistrement local (cache, historique…). Il va par ailleurs appliquer des techniques de “mitigation” pour empêcher le fingerprinting, en ne donnant pas de réponses précises aux requêtes (OS, version, liste des polices, résolution d’écran…). Il va également demander un accord explicite avant d’exécuter un code de Canvas ou WebGL. Il est possible d’être encore plus prudent en adoptant le mode “sécurisé”, qui va bloquer tout Javascript.

L’utilisation de Tor a cependant un coût : le passage par 3 nœuds intermédiaires, avec de multiples couches de chiffrement et le blocage de plusieurs fonctionnalités vont rendre la navigation plus lente, et potentiellement faire perdre une partie des fonctionnalités. Ce n’est donc pas, pour l’utilisateur Lambda, une alternative viable à son navigateur favori dans la vie de tous les jours. Mais pour un utilisateur qui a des besoins poussés en confidentialité et anonymat, même temporairement, ça peut le devenir à partir du moment où il applique des mesures adéquates en cloisonnant de façon claire sa navigation Tor du reste : pas d’utilisation de login/adresse email/numéro de téléphone liable à sa vraie identité, pas de payement avec une carte de banque classique, effacement des métadonnées avant envoi d’un fichier, ne jamais se connecter aux mêmes services sans utiliser Tor…

Tails

La faiblesse de Tor ne réside pas dans l’outil lui-même, mais dans le fait qu’il tourne sur un système d’exploitation (Windows, MacOS, Android…). Et il est difficile de contrôler les traces que le système laisse. Un ordinateur saisi peut révéler que Tor a été utilisé, et quand. Et s’il est mis en hibernation, procédé par lequel le contenu de la mémoire est copié sur le disque, on n’est pas à l’abri qu’un expert puisse en tirer de l’information.

Tails est un système d’exploitation “live” : il s’installe sur une clé USB. On l’utilise en le branchant à (presque) n’importe quel ordinateur, sans laisser la moindre trace, ni sur l’ordinateur (dont le système d’exploitation principal n’a pas démarré), ni sur la clé. Il va en effet uniquement utiliser la mémoire vive (RAM) de l’ordinateur, qui s’efface complètement à l’arrêt de la machine, et pas du tout son disque. Il est basé sur Debian et fera passer toute communication réseau par le réseau Tor.

On atteint donc un niveau de furtivité très élevé. Mais avec les mêmes contraintes que l’utilisation simple de Tor (lenteur, limitation des fonctionnalités…), et avec la même prudence à avoir. Comme souvent, s’il y a une défaillance, elle se trouve entre la chaise et le clavier !

Pour conclure

Se protéger en navigant sur le web peut se faire à de multiples niveaux. Naviguer en HTTPS est la base, mais c’est aussi devenu la norme : on ne peut presque plus faire autrement. La navigation “privée” offre une protection très limitée : elle permet principalement de se cacher (partiellement) aux futurs utilisateurs de la machine. L’utilisation de plugins adéquats, en bloquant les cookies tiers et limitant les possibilités de fingerprinting, permettra de se protéger également des géants de la publicités ou des réseaux sociaux. Il est probable que ça soit dans le futur implémenté par certains navigateurs eux-mêmes.

En utilisant un VPN, on limitera les possibilités d’intrusion de son FAI (ou du gestionnaire du point d’accès publique) et des autorités, mais on les offrira aux gestionnaires du VPN, pas toujours dignes de confiance. L’utilisation de Tor est pertinente si on ne fait confiance à personne : ni au FAI, ni au site visité, ni aux publicitaires, ni même au réseau Tor. Mais ça se fera au dépend de performances réduites. Et si on ne peut pas non plus faire confiance à ceux qui pourraient accéder à la machine, Tails offrira une garantie supplémentaire, en effaçant toute trace à l’extinction de la machine. 

À chacun de trouver le niveau de protection adéquat, en fonction de son utilisation et de ses compétences.

Ce post est une contribution individuelle de Vandy Berten, spécialisé en data science chez Smals Research. Cet article est écrit en son nom propre et n’impacte en rien le point de vue de Smals.