Nos boucliers numériques. 1- Le proxy

Nos boucliers numériques : Proxy, VPN, TOR.

Dans l’article Éviter la pub sur le Web,  je mentionne ces solutions – que sont proxies, VPN et réseaux d’anonymisation – pour éviter d’être harcelé par la pub personnalisée, d’être envahi d’adwares et spywares, et de se mettre en danger, depuis que les malfaisants du Net ont trouvé pratique d’utiliser la pub pour y glisser des malwares. Je n’y donne cependant que des indications générales.

Ces 3 types de solutions ont en commun de nous offrir à nous, utilisateurs du Web, des moyens de cacher notre identité numérique, et de chiffrer notre activité sur internet. Ces protections sont de plus en plus utiles, malheureusement, mais ne sont pas pour autant d’une efficacité absolue. Comme tout bouclier, quoi !

 

En fait, cela dépend du “modèle de menace” contre laquelle on veut se protéger. On en rediscutera après la présentation de ces trois solutions, qui, du fait de leur longueur, sont présentés en 3 articles successifs.

1 – Le Proxy

a) Qu’est-ce qu’un proxy ?

C’est un dispositif intermédiaire entre moi, utilisateur d’internet, et mon destinataire, par exemple un site internet que je veux consulter. Ci-dessous, une connexion  directe, sans proxy, et une connexion avec un proxy matériel, que l’on appelle “serveur mandataire”.
Le terme anglais proxy se traduit habituellement par intermédiaire, mandataire, (par) procuration. On donne procuration au proxy de chercher pour nous. On trouve ce type de dispositif dans les entreprises, les universités, les organismes où de nombreuses personnes utilisent internet.

proxyAvecSans

On trouve d’autres types de proxies, notamment les proxies Http et web, qui sont des services d’intermédiation auxquels on peut souscrire soi-même. C’est à ces derniers que l’on s’intéressera surtout, parce qu’ils peuvent proposer de cacher notre identité.

b) A quoi servent les proxies en général ?

Ils relaient nos requêtes internet, en assurant diverses fonctions :
– les serveurs proxy servent à accélérer la navigation, en stockant et en fluidifiant les requêtes (mise en cache, compression des données, répartition de la charge, optimisation de la bande passante).
ils filtrent les données, par ex. en limitant la publicité (ex. de la Freebox), en bloquant les contenus trop lourds, en interdisant certains protocoles (P2P, java)… ce qui allège la charge du fournisseur d’accès. Ils peuvent aussi ouvrir l’accès à des ressources aux personnes autorisées (exemple typique des articles scientifiques des bases de données internationales).
– ils permettent une journalisation des requêtes (logging)  et l’établissement de statistiques sur les habitudes de navigation des utilisateurs ; ils assurent l’identification et éventuellement l’authentification des utilisateurs.
– ils assument une fonction de sécurisation du réseau interne à l’organisme, en filtrant les flux d’entrée sur l’intranet pour contrer les attaques et bloquer les malwares (firewall), en interdisant l’accès aux données protégées, et en filtrant les flux sortants par bannissement de sites/domaines interdits ou dangereux.

L’énoncé de ces fonctions en montre les conséquences bonnes et mauvaises :
– ils nous protègent et facilitent notre navigation ;
– mais ils nous surveillent (contrôlent l’accès au net) et limitent notre liberté d’action. En outre, cela peut conduire à une falsification de l’information et plus généralement son appauvrissement.
Sécurité contre liberté en quelque sorte, l’augmentation de l’une diminuant symétriquement l’autre.

c) Intérêts et limites d’un proxy web

Les serveurs proxy s’imposent à nous, même s’il existe toujours de petits malins qui parviennent à en contourner les contraintes ; les fournisseurs d’accès (notamment) peuvent aussi mettre en place des proxies invisibles (ou transparents, cad qui n’exigent pas de configuration par le client) et qui opèrent alors à l’insu de l’utilisateur.
Mais on peut souscrire volontairement à un proxy web, car il apporte un certain nombre d’avantages :
* contourner des filtrages. Le cas typique est celui de l’accès à des chaînes TV américaines, interdit aux non-résidents, parce que le proxy fournit une IP qui fait croire que le téléspectateur est sur le sol américain (ex. hulu). Cas plus intéressant, celui de l’accès à des sites d’information étrangers censurés par les autorités du pays. Plus trivialement, le contournement des filtres d’un proxy d’établissement (en utilisant par ex. Ghost navigator, OranjeProxy, ou un site proxy, car il y en a trop pour que l’établissement les censure tous).
* cacher son identité au destinataire de la requête, pour éviter le tracking et la surveillance.  Cette catégorie est appelée proxy anonymiseur. Il empêche la géolocalisation (c’est celle du proxy qui apparaît), cache l’identité de l’utilisateur (c’est l’IP du proxy). Il masque la config du PC et autres métadonnées fournies automatiquement lors d’une requête, et qui permettent habituellement  de nous identifier précisément (Cf. panopticlic) et de savoir ce que l’on cherche.
* bloquer la publicité : on est débarrassé des popups, cookies, adwares/spywares, et brouillage des informations autorisant le pistage et le profilage de l’internaute.
* souvent le proxy web fournit en plus des moyens de sécurisation plus puissants que ceux de l’utilisateur. Il bloque en principe les spywares, rootkits, malwares, etc.

Génial, non ? Oui, mais…il y a aussi de sérieux inconvénients !

* une première limite est que l’on accède au proxy à travers son navigateur, ou son client FTP, qu’il faut configurer à cet effet ; en dehors, et parfois même en dedans si l’on utilise certaines extensions, notre identité est révélée par les autres applications qui accèdent à internet. A la différence du VPN.
* diverses requêtes peuvent échouer, si elles exigent une connexion directe, ou être bloquées par le site distant, s’il nécessite de s’identifier ou/et authentifier : par ex. l’accès aux réseaux sociaux, à Skype, à YouTube, l’accès à sa banque en ligne… Certains protocoles sont interdits (P2P, IRC, VOIP…)…), comme certaines applications (Flash, Javascript,  Active X…). Ces limitations peuvent être réduites en modifiant les paramétrages de son navigateur.
* les proxies web (ou http et FTP) sont le plus souvent gratuits. Souvent éphémères, ils offrent le plus souvent des connexions de mauvaise qualité, ne fournissent aucun service (absence de hotline), et ils sont insaisissables en cas de problème. La plupart se rémunèrent par la pub, d’autres font un tracking très intrusif pour vendre l’information qu’ils recueillent sur vous, et certains ont des visées carrément criminelles. Voir à ce sujet cet article (en anglais) : Pourquoi les proxies sont gratuits. Il est plus prudent de s’orienter vers des proxies payants.
* Le problème majeur cependant, c’est que si le proxy web auquel vous avez souscrit cache votre identité au destinataire, et qu’éventuellement il crypte les données qu’il véhicule, il connait tout de vous : vous lui avez fourni vos coordonnées, y compris bancaires si c’est un payant, il possède votre ID, votre géolocalisation, connait votre config dans le détail. Il sait aussi quels sites vous visitez et quand, quels identifiants et mots de passe vous utilisez sur les sites qui en réclament (sites d’achat, banque, etc.), conserve les logs (certains prétendent ne pas les enregistrer, mais c’est impossible à vérifier). De toutes façons, aux USA comme dans de plus en plus d’États Européens, la législation impose aux FAI et autres fournisseurs de services (comme les proxies) de se soumettre aux investigations des autorités.
* En outre, le chiffrement que les proxies anonymiseurs sont susceptibles de proposer ne garantit que le contenu (et il est probable qu’ils en possèdent les clés de déchiffrement, ne serait-ce que pour pouvoir satisfaire aux injonctions judiciaires). Les métadonnées, les logs, restent de toutes façons parfaitement exploitables, sauf exceptions. Elles le sont aussi, d’ailleurs et en premier, par notre FAI, bien sûr, qui sait donc que l’on se connecte à un proxy (et à tout autre dispositif d’anonymisation). Alors à moins d’être chez FDN…

Ces restrictions concernant les proxies payants ne sont pas forcément gênantes, cela ne concerne qu’une minorité d’usagers qui doivent faire face à certains “modèles de menaces” (comme je l’expliquerai plus loin).

d) Où trouver des proxies  gratuits et payants ?

Aujourd’hui, on ne trouve plus guère que des proxies gratuits, car les proxies payants ont migré vers des offres plus attractives, notamment les VPN. C’est le cas typique du proxy Hide My Ass (“cache mes fesses”), acclamé en 2014 et 2015 comme le meilleur VPN, de Squidproxies, ou de Netscop, qui proposent les deux solutions, avec des fonctionnalités avancées en matière de sécurité.
Je mets à part Orbot, ainsi que Privoxy, des Libre/Open Source dont on reparlera dans le chapitre sur TOR.

Je précise que, n’ayant aucune expérience personnelle de ces prestataires, je ne les recommande en aucune façon !

Ces deux sites francophones vous permettront de faire vos recherches :
VPN Dock  propose des proxies gratuits, en conseillant cependant les payants.
Center Blog  fait de même.
Par ailleurs, il existe des fournisseurs de listes de proxies, comme Proxy List  (french en traduction automatique parfois difficilement compréhensible !) et bien d’autres, dont Free-proxy.fr, qui proposent surtout ou exclusivement des listes “à jour” de proxies gratuits. En voici quelques autres, mais votre moteur de recherche en trouvera d’autres :
* http://www.my-proxy.com/free-proxy-list.html
* http://www.publicproxyservers.com/proxy/list1.html
* http://multiproxy.org/anon_proxy.htm

Puisque les proxies passent par le navigateur, il existe des extensions (plugins, addons) qui facilitent leur fonctionnement, comme AnonymoX ou FoxyProxy. Mais l’add-on anonymox n’est pas intéressant, et vous renvoie vers leur produit payant et cher. FoxyProxy fonctionne sous Chrome, mais pas sous Firefox, et je ne l’ai pas essayé. Les autres extensions qu’on trouve sont peu convaincantes et souvent anciennes (et sur Firefox et les autres principaux navigateurs, leur politique de suppression progressive des extensions les voue à la disparition).
Par contre, il existe des navigateurs dits sécurisés. Les plus connus sont ceux de Comodo, qui sont au nombre de 3 : Dragon Internet Browser est un clone de Chromium, et dispose de toutes les fonctionnalités de Chrome, avec un dispositif de protection antiviral. Ice Dragon est lui un clone de Firefox, avec toutes ses fonctionnalités et le même dispositif antiviral et de Secure DNS. Il y a enfin Chromodo Private Internet Browser, mais je ne vois pas trop en quoi il se distingue des précédents, le site n’est pas vraiment explicite ou je parle trop mal anglais ? Comodo est une firme américaine, qui avait été dénoncée il y a plusieurs années pour ses accointances avec la NSA… Quoiqu’il en soit, votre navigateur couplé avec votre Suite de Sécurité doit pouvoir vous offrir (au moins) autant de protection.
Epic Browser est tout différent, puisqu’il s’agit d’un navigateur spécialement conçu pour servir de proxy. Je commence à le tester sous Windows et pour l’instant il marche bien. Ses défauts ? encore très récent, en anglais, hébergé en Hollande mais américain (ou plus exactement indien mais avec siège américain). A l’usage, un certain nombre de sites sont inaccessibles, la navigation est parfois très lente, et il faut faire attention à ce que la connexion soit toujours en mode sécurisé (c’est visible dans la barre d’adresse). Évitez donc de l’utiliser en mode non sécurisé, car alors vous allez être envahi de pubs et de redirections vers des sites chelou : il n’est pas possible d’installer les plugins qui nous protègent sur les autres navigateurs. Conclusion : on est complètement à l’abri quand on est en mode proxy, et si on a besoin d’aller sur des sites inaccessibles avec le proxy, on utilise son navigateur habituel !…
On peut citer aussi Surfeasy, le proxy fourni comme add-on par Opera (et qui appartient au groupe Opéra). Il faut s’inscrire sur le site du proxy avec un compte pas forcément valide, puisque ayant utilisé un compte “pourriel”, celui-ci n’a pas reçu de notification d’inscription, à valider en cliquant sur le lien par ex. Bon, il connait de toutes façons votre IP. On n’a droit qu’à 500 Mo offerts, mais on peut en “gagner” d’autres en fournissant son numéro de mobile ou en suscitant d’autres adhésions, si l’on veut vraiment que son identité soit bien cernée ! Bien sûr, il propose de basculer sur un VPN à 4 $/mois, ce qui est très raisonnable. Le proxy offre des ID dans plusieurs continents (USA ou Canada, pays euroépen, Brésil, Afrique du Sud,…).

e) Précautions à prendre

Considérez que la plupart des comparateurs de proxies et de VPN, et les fournisseurs de listes, sont liés aux prestataires qu’ils recommandent, et ils proposent presque tous les mêmes choix.

Épluchez soigneusement les détails de l’offre du prestataire payant (pour les gratuits, ça ne sert à rien), à la fois sur la qualité technique et sur la confidentialité/sécurité du produit. Et regardez sur les forums ce qu’on en dit (en sachant que les avis doivent être eux aussi pris avec circonspection). Écartez les offres obscures, bien sûr, mais plus encore les offres “trop belles pour être honnêtes”, celles qui par ex. vous garantissent un anonymat total ! S’il faut préférer les offres qui ont leurs serveurs dans des pays réellement démocratiques (= qui ne pratiquent pas la surveillance généralisée), évitez aussi les pays où règne la loi de la jungle.

Vérifiez que votre proxy du moment fonctionne bien en https et qu’il cache effectivement votre IP !  Il existe plusieurs techniques pour le vérifier, comme celle exposée par Tux-Planet, mais la plus simple est quand même d’aller sur un site comme localiser-IP.com (ou mon-ip.com, etc.), sans puis avec proxy. Sous Linux, la commande ifconfig.me est plus puissante. En tapant directement http://ifconfig.me/ dans la barre d’adresse URL du navigateur, quelque soit votre système, vous aurez non seulement votre IP, mais tout ce que vous transmettez comme infos (referer, user-agent, etc.) en navigant. Un expert a mis à disposition Proxy Checker pour creuser davantage (merci ahmed pour l’info).

Chiffrez les documents que vous transmettez par le proxy, et utilisez un mot de passe à usage exclusif. Certains proxies proposent, comme les VPN, un chiffrement des données, et pas seulement de la connexion, cela suffit pour la plupart des usages d’un proxy, mais selon le “modèle de menace” auquel vous êtes confronté, il peut être préférable d’utiliser un programme de chiffrement libre/open source recommandé par les experts (au hasard, veracrypt).

On trouve des sites qui expliquent comment configurer un proxy sur son navigateur (par ex. free-proxy.fr, ou le manuel Floss), mais si vous choisissez un proxy permanent, il vous fournira son mode d’emploi. Suivez-le avec soin, sinon vous n’en tirerez pas la protection escomptée. Préférez un proxy qui active socks (5.0. si possible).

Le chapitre Nos boucliers numériques 2- Le VPN n’est pas encore en ligne, un peu de patience !