Introduction

Cet article est le début sur une série d'autres articles qui vont traiter de l'anonymat en ligne j'vais pas vous balancer les citations d'Edward Snowden et tout ça on va rentrer directement dans le sujet. Veuillez noter que Paranoïa & Prévention seront vos amis dans n'importe quel cadre relatif à l'anonymat.

Il est important de noter qu'il va vous falloir quelques connaissances sur les protocoles du modèle OSI et 2 ou 3 neuronnes pour agir de manière anonyme.

Le sommaire ci-dessous représente l'ensemble des articles que je vais mettre en place (ce serait trop gros en un seul) on va traiter un sujet par articles.

Sommaire

Petit Tips : Le sommaire est présent pour que vous puissiez aller chercher les sujets qui vous intérressent directement. Faits Ctrl+F puis Copiez-Collez le titre du sujet

1. Threat Modelling

2. OSINT : Retrouver ses traces en ligne

   • Pourquoi ?¿
   • Les usernames
   • Les E-mails
   • Les comptes sur les réseaux sociaux
   • Les photos
   • Les sites webs (les vôtres)
   • Les numéros de téléphones
   • Les Data Breachs
   • Ressources

3. Choisir son matériel

   • Pourquoi ?¿
   • Comment acheter
     • Acheter du Prêt-à-Porter
     • Acheter puis assembler
   • Les Antennes Wifi
   • Cage de Faraday
   • Télémétrie Nvidia
   • Intel IME & AMT
   • Spectre & Meltdown
   • Les PC Portables
   • Les Routeurs

4. Mots de passes

   • Sécurité des mots de passes
   • Vérifier les leaks
   • Stockage des mots de passes
     • Stockage Papier
     • KeePassXC
     • Stockage : VPS
   • Clés Physiques
     • Yubikey
     • OnlyKey
     • NitroKey
     • RubberDuKey

5. TOR - VPN - VPS - PROXY

   • TOR
   • VPN
   • VPS
   • Proxy
     • HTTP
       • Squid
     • SOCKS5
       • Dante
       • Shadowsocks
   • Combinaisons

6. DNS

   • Pourquoi ?¿
     • Redirecteurs
     • Censure
   • DoH
   • DoT
   • Différences entre DoT & DoH

7. Télémétrie

   • Pourquoi ?¿
   • Comment et Ou là désactiver
   • Toute télémétrie n'est pas nécessairement mauvaise

8. Cryptomonnaies

   • CEX & DEX
     • Table de Comparaison
     • KYC
   • Wallets
     • Différent types de Wallets
     • Wallets axés sur la confidentialité
   • Bitcoin
     • Technologies Utilisées
     • Pourquoi ce n'est pas confidentiel
     • Solutions quand y'a pas le choix
   • Pourquoi le Monero et SEULEMENT le Monero
     • Technologies utilisées
     • Monero Daemon
   • Litecoin
     • Technologies utilisées
   • Alternatives à Monero (Quand y'a pas le choix)
     • Zcash
     • Dash
     • Grin
     • Beam

9. Messageries

   • Types de réseaux de communications
     • Réseau Centralisé
     • Réseau Fédéré
     • Réseau P2P
     • Routage Anonyme
     • Table des comparaisons
   • Applications de Messageries
   • On est jamais mieux servi que par soi même

10. Notions à retenir sur les protocoles en général

    • Comme dans Street Fighter : Toujours choisir le rang S
      • Table
    • Dans les réseaux internes
    • Dans Active Directory

11. Quel OS ?

    • Tails (The Amnesic Incognito Live System)
    • QubesOS
    • Whonix
    • Arch Linux
    • Comparaison des systèmes

12. Les téléphones

    • Triangulation
    • Law Enforcement Recovery Softwares
      • Android
      • iOS
    • Pegasus
    • Burner Phones
    • Cartes SIM
    • OS
      • GrapheneOS
      • CopperheadOS
      • /e/OS

13. Chiffrement et Hachage

    • Le Chiffrement
      • Comment ça fonctionne ?
      • AES-256 : Présentation Technique
    • Le Hachage
      • Comment ça fonctionne ?
      • SHA-512 : Présentation Technique
    • Pourquoi utiliser les Deux ?
    • Chiffer son Disque Dur (Debian ou Arch)
    • Chiffrer un Fichier/Dossier unique

14. Info et Dark Web

    • Se tenir informé
      • Veille Technologique
      • Automatisation de SELF-OSINT
    • L'Anonymat sur le Dark/Deep Web**
      • La DNM
      • Partage d'informations
      • Les liens
      • Les points d'entrées
      • JavaScript (lol)
15. • Configurer son Browser
      • Tor & Mozilla
      • DuckDuckGo
    • GPG & PGP
      • Pourquoi ?¿
      • Configurer ses premières clés
      • Déchiffrer un message
      • Envoyer un message
      • Kleopatra

16. Créer une nouvelle identité

    • Créer des comptes
      • Réseaux Sociaux
      • CryptoMarkets
      • Achats en lignes
      • Service Mail
      • Téléphones
    • Changer de Style
      • Ne parlez jamais d'infos liées à vous
      • Votre calligraphie
    • Oubliez votre carière de mannequin
    • Optionnel : Sur le Dark Web
    • Sécuriser son matériel
    • A compléter...

17. Sessions RDP

    • RDP & xRDP
      • RDP
      • XRDP
      • Tableau Comparatif
    • Ce qui est capturé lors d'une session
    • Comment se protéger

18. Attaques de Désanonymisation

    • Attaque par Analyse de Traffic
    • Browser Fingerprinting
    • Attaques par Corrélation
    • Exploitation du noeud de sortie
    • Ingéniérie Sociale & Comportementalisme

Threat Modeling

Le Threat Modeling ou Modèle de Menace en fait c'est le principe de savoir quelle OPSec tu vas choisir en fonction du contexte. A titre d'exemple tu vas pas te protéger de la même manière selon si tu veux esquiver la censure de la corée du nord ou te cacher parceque t'as merdé avec la NSA.

Il est important de partir du principe que contre un ennemi motivé et qui à les ressources nécessaires, il sera presque impossible de se cacher à moins d'avoir soi même les resources nécessaires :).
C'est comme se battre contre un gorille, fondamentalement même Mike Tyson (qui a essayé de corrompre un gardien de zoo pour le faire) n'a absolument aucune chance à moins d'être armé (et on parle d'un fusil à pompe là pas d'un petit couteau a beurre. Mais ducoup la solution est présente même si l'ennemi semble invincible, maintenant essayez de vous battre contre 500 gorilles de la planète des singes vous verrez que fusil à pompe ou pas ça servira à rien autant se faire Hara Kiri ça ira plus vite.

C'est ce petit aparté là que je voulais faire le Htchikner's Guide d'anonymous planet vous fait un topic complet là dessus moi perso j'ai la flemme sachant qu'avec ce résumé normalement vous avez tout compris.

OSINT : Retrouver ses traces en ligne

Pourquoi ?¿

Marrant que pour devenir anonyme il faille trouver par tous les moyens votre identité sur le web non ? Bah c'est grâce à ça qu'on va pouvoir localiser les fuites actuelles de votre identité et les supprimer autant que faire se peut.

Vous pouvez visiter l'OSINT Framework qui regroupe pas mal de ressources qu'on aura pas forcément détaillé dans cet article.

On va pas devenir des professionnels de l'OSINT ici mais il est important de comprendre que pour retrouver les traces de quelqu'un en ligne ça fonctionne un peu comme une toile d'araignée. Chaque élément trouvé est ajouté à la toile et peut être relié à d'autres pour former des éléments logiques qui mènereont vers des conclusions grâce à des éléments cohérents.

Les usernames

Vos usernames sont des points d'entrée vers d'autres endroits. Ce sont eux qui sont disponibles sur l'ensemble des comptes que vous avez créés en ligne et qui sont reliés à tout un tas d'autre liens vous concernant comme les emails, les mots de passes, les numéros de téléphones, etc.... C'est pour ca qu'il existe une variété d'outils en ligne pour vérifier l'existence d'username que vous auriez pu utiliser sur tels ou tels sites. En voici quelques-uns :

• WhatsMyName
• NameChk
• NameCheckr
• That's Them
• Name CheckUp
• Etc...

De plus vous pouvez faire des recherches dans vos propres comptes pour voir si vous n'avez pas fait mention d'autre chose par exemple si vous avez balancé votre pseudo minecraft sur Twitter, etc... Voici quoi faire :

• Aller dans vos boîtes mails, entrez vos usernames potentiels pour voir si des comptes sur certaines plateformes existent et doivent être supprimés
• Retrouvez-les dans les chats sur des forums, sur la play, ou sur les réseaux sociaux
• Faites des Google Dorks (Recherche par filtre) avec vos usernames
• Demandez à vos amis

Quoi qu'il en soit partez du principe que vous auriez pu en oublier.

Les E-mails

Les E-mails sont les clés vers votre perte en tant qu'utilisateur anonyme. Ils sont une mine d'or d'informations et de liaisons à des comptes en lignes surtout que c'est pratiquement les seules informations qui soit réellement valable légalement en ligne donc si vous êtes dans un pays censuré ça fait chier. Y'a plusieurs manières de retrouver ses E-mails, notamment grâce à des outils :

En ligne

• Hunter
• VoilaNorbert -> Nom + Prénom + Domain (ex: Miguel + Sandoval + gmail.com)
• Infoga
• Skymem -> Recherche d'Emails sur un domaine
• MXToolBox

Programmes

• GHunt
• theHarvester

Les comptes sur les réseaux sociaux

Re-téléchargez les applications puis essayez de vous connecter avec vos numéros / emails vos pseudonymes apparaîtront. Sinon y'a des outils pour tout ! Puis n'oubliez pas que les Google Dorks sont vos amis Facebook

• FB Lookup ID
• FB Identity

Instagram

• Inflact
• OsintGram

Twitter
Vous pouvez utiliser le dorking par :

• géolocalisation geocode:36.1143855,-115.1727518,1km
• date SearchTerm since:2016-03-01 until:2016-03-02
• Cherchez les #
• Si vous avez de l'argent utilisez la Twitter API

Ou alors les outils disponibles en ligne

• Twitter Advanced Search
• Twitter Wayback Machine
• GeoSocial Footprint -> Retrouver les Tweet d'un utilisateur
• TweepsMap -> Rechercher des # sur la map

Reddit
Utilisez les outils en ligne

• RedditMetis
• Reddit Archive
• Subreddits
• RoadToLarissa

LinkedIn
Utilisez les Programmes

• LinkedINT
• ScrapedIn
• InSpy

TikTok
Google Dork : site:tiktok.com @pseudo
Utilisez les #
Sinon y'a cet outil : Osint Combine TikTok QuickSearch

Les photos

Les photos que vous prenez et postez sur vos réseaux sociaux contiennent des informations d'une valeur inestimable quand il s'agit de savoir qui vous êtes, où vous habitez, avec qui vous traînez, etc... On peut :

• Calculer la longitude et latitude sur la base des éléments de la photo (Emplacement du Soleil, Monuments, Couleur de L'herbe, etc...)
• Extraire les exifs ou métadonnées qui vont nous permettre, selon la photo de récupérer plus ou moins d'informations (Localisation, Type d'appareil utilisé, Watermarks, etc...)
• Voir vos amis et votre famille :) (Même votre chien peut-être un problème)

Pour les supprimer en principe si vous avez suivi les étapes précédents vous devriez les avoir trouvées sinon prenez une photo de votre tête ou de celle de votre entourage (Famille, Animaux, Amis, Collègues en Entreprise, etc...) puis faites des recherches par Google Image.

Les sites webs (les vôtres)

Les sites webs sont des points d'entrées qui doivent être accessibles au public. Vous devez garder en tête toutes les notions de sécurités possibles et imaginables relatives à votre site :

• Mettre les headers HTTPS de sécurité
• Utiliser les dernières versions de TLS
• Rediriger tout le trafic vers HTTPS
• Mettre des Captchas (Pour éviter les bots et le scraping)
• Banir les ip de : Shodan, Censys, ZoomEye, Fullhunt, Wayback Machine et tout autre engin de recherche en gros.
• Bien nettoyer les données de formulaires pour éviter les failles XSS ou SQLi
• Utiliser les dernières version de vos Frameworks
• Vérifier vos configurations & versions de Nginx/Apache2 selon ce que vous utilisez.
• Etc...

Les numéros de téléphones

Les numéros de téléphones permettent entre autre le phishing mais aussi de savoir qui vous êtes, qui vous a attribué ce numéro de téléphone, ou est-ce que vous avez appelé pour la dernière fois... Bref faut pas les mettre à disposition à nos chers amis d'internet c'est pas bien pour notre projet là. Des outils comme Twilio Lookup ou NumVerify vous diront certaines informations sur vous. Qui pourront être des facteurs aggravant dans le cadre de SIM Swapping ou autre. Prenez soin de ne laisser aucune traces

Les Data Breaches

Les brèches de données sont monnaies courantes sur n'importe quel type de site web tout est vulnérable faut le savoir, et si ça l'est pas maintenant ça le sera plus tard. Je vais lister quelques outils/sites qui regroupent des bases de données qui ont sautées pour voir si vos infos apparraissent à l'intérieur.

• Breach Forums -> Disponible sur le darkweb
• LeakCheck
• HaveIBeenPwned?
• Dehashed
• Snusbase
• H8Mail
• Scylla
• LeakScraper

Ressources

Je vais mettre des outils d'OSINT généralistes qui regroupent plusieurs des fonctionnalités mentionnées plus haut.

• recon-ng
• Maltego
• SpiderFOOT
• MetaGooFil
• theHarvester
• IntelligenceX

Passer à l'article suivant

Partie 2: Choisir son matériel

Autres Guides sur l'Anonymat

• Privacy Guides : Un guide pour l'anonymat sur internet plutôt complet
• Privacy Tools : Quelques outils pour aider à la """vie privée"""
• HackTrickZ BOOK : Un bouquin plutot balaise sur le hacking
• Pentesting Tools : Des outils de pentest disponible sur le web que vous voyez un peu ce que vous pouvez faire depuis chez vous
• DNM Bible