Mon blog-notes à moi que j'ai

Blog personnel d'un sysadmin, tendance hacker

L'auto-hébergement à l'heure de la surveillance de masse

Il y a quelques temps, je faisais état de mon scepticisme quant à une démocratisation de l’auto-hébergement. Mes reproches à l’époque portaient sur des points techniques, la solution, elle, étant humaine: que les gens se regroupent en associations mélangeant des profils techniques et non techniques.
Depuis, plusieurs projets ont vu le jour. Ils tentent de résoudre le problème technique, avec plus ou moins de bonheur. Je ne m’étendrai pas sur ce point, n’ayant pu, faute de temps et de motivation, décortiquer les-dits projets pour m’en faire une idée précise. Ils ont néanmoins tous comme point commun de vouloir déporter la gestion du service entre les mains de l’utilisateur final.

L’autre fait marquant depuis 2 ans, c’est également le vote de lois liberticides qui visent à légaliser la surveillance de masse 1. Les réactions face à ces lois n’ont pas manqué.
L’auto-hébergement fait partie des solutions préconisées pour échapper à la surveillance de masse. L’argument ici est de considérer que la maîtrise du stockage de nos informations apporte une sécurité accrue et améliore la protection de notre vie privée.

Mais, à pratiquer l’auto-hébergement, sommes-nous pour autant bien cachés?

En effet, les principales dispositions de la loi renseignement, et son avatar portant sur la surveillance internationale, concernent principalement la collecte d’informations sur les réseaux. Sous cet angle, l’auto-hébergement apporte-t-il une quelconque protection?

En fait, pas vraiment. Ce serait même le contraire.

Pour vivre heureux, vivons cachés

Sur le réseau…

L’auto-hébergement peut, par analogie, être comparé au fait d’habiter une maison isolée au fin fond de la campagne, au bout d’une route qui ne mène nulle part ailleurs. Dans ce cas de figure:

Toute personne empruntant cette route est soit vous-même, soit quelqu’un qui vous rend visite.

On a connu plus discret. Ce n’est sans doute pas pour rien que, dans tous les bons romans d’espionnage, les rencontres discrètes s’effectuent dans des lieux publics, de préférence aux heures d’affluence. C’est ce qui s’appelle se « noyer dans la masse ».

L’analogie est-elle pertinente sur Internet?

Oui si vous utilisez un domaine générique et non votre propre nom de domaine. Une adresse en gmail.com est, du strict point de vue du réseau, plus anonyme qu’une adresse en jbfavre.org. L’utilisation d’un domaine générique couplée au chiffrement vous permet donc de masquer vos communications de manière plus efficace.

Prenons un exemple concret: Bob et Alice veulent communiquer par mail. Bob a son propre domaine, Alice utilise un domaine générique.

  1. Alice envoie le mail au serveur SMTP de son prestataire avec du chiffrement
  2. Les serveurs du prestataire transmet le mail au serveur de Bob, là encore avec du chiffrement
  3. Bob consulte le mail au moyen d’une connexion chiffrée

Ici, sauf à avoir accès aux log du prestataire d’Alice, il est très difficile d’affirmer que le mail envoyé par Alice est à destination de Bob. On peut éventuellement tenter une analyse temporelle pour corréler la connexion réseau d’Alice (1.) à celle du prestataire (2.), mais celle-ci est contournable, y compris pour des prestataires de taille réduite: un délai aléatoire pendant lequel le mail reste sur les serveurs du prestataire avant d’être envoyé au serveur de destination suffit à rendre la corrélation plus compliquée 2.

Par opposition, Bob est particulièrement vulnérable: tout mail arrivant sur son domaine lui est nécessairement destiné.

Il est donc beaucoup plus pertinent de se noyer dans la masse des utilisateurs d’un service de mail au domaine générique que d’avoir son propre domaine.

… Et le serveur

Si l’on veut espérer passer sous les radars, il est donc préférable de ne pas gérer en propre son service, mais bien de l’externaliser. Reste à choisir le prestataire.
Il faut lui faire suffisamment confiance pour garantir la disponibilité du service, mais également la confidentialité des informations que vous lui confiez, et ce de manière pérenne.

Le choix d’une entreprise peut se révéler pertinent: a priori, une entreprise remplit ces conditions.

Mais ce n’est pas suffisant: plus un prestataire est gros, plus il aura de chances d’attirer l’attention des autorités, donc d’orienter vers lui la surveillance (pour de pures raisons d’efficacité, il est préférable de ratisser large).
D’autre part, les objectifs d’une entreprise diffèrent très vraisemblablement des vôtres: là où vous souhaitez protéger votre vie privée et bénéficier d’un service de qualité, l’entreprise cherchera d’abord à gagner de l’argent (c’est l’essence même d’une entreprise et sa condition de survie). Si nécessaire, l’entreprise peut donc décider de gagner de l’argent au détriment de votre vie privée.

Il peut même advenir que l’entreprise soit obligée de coopérer avec les autorités, y compris à votre insu.
Dans ce cas précis, je doute qu’il y ait légion de Lavabit, ce qui signifie que la probabilité que l’entreprise se saborde est plus faible que la probabilité d’une coopération, secrète ou non, avec les gouvernements.

L’objectif d’une association n’étant pas de gagner de l’argent, on peut se sentir plus serein quant au partage des objectifs. Ceux-ci étant de plus définis et partagés entre les membres, on peut se dire que ça offre les garanties suffisantes.
Néanmoins, le fonctionnement d’une association est soumis à la disponibilité de ses bénévoles. De plus, le bénéfice de la mutualisation n’est acquis qu’à partir d’une certaine taille: partager un hébergement de mail à 2 ou 3 copains ne vous protégera de rien.

Enfin, il est impératif de s’assurer des dispositions prises par le prestataire pour assurer la confidentialité des informations qu’il sera amené à stocker, ainsi que de leur utilisation: chiffrer les mails sur le serveur ne sert pas à grand chose si les log sont exploités, transmis (ou vendus) à des tierces parties.

L’important ici est de considérer la relation de confiance que vous aurez avec votre prestataire.

En conclusion

Les métadonnées étant actuellement nécessaires au bon déroulement de toute communication sur Internet, s’en affranchir totalement est au mieux difficile, au pire actuellement illusoire.

Il faut donc faire un choix entre 2 extrêmes:

  1. maîtriser de bout en bout le service que l’on utilise (auto-héberger ses mails par exemple) au risque de devenir visible
  2. utiliser un service générique pour se fondre dans la foule, au risque de voir ses données révélées de gré ou de force

Ce choix n’est pas simple à réaliser et dépend de chacun. Mais la plupart des gens n’ont pas intérêt à s’auto-héberger. Il feraient bien mieux de se regrouper en association ou de monter de petites entreprises s’ils en ont l’envie et les compétences.

En tout état de cause, se regrouper permet de se cacher de manière plus efficace. Le tout est de trouver la limite à partir de laquelle la taille de l’organisation joue contre ses membres.
Encore une fois, l’exemple des FAI associatifs en la matière devrait être étudié et suivi.


  1. non, le projet de loi sur la surveillance internationale n’est pas encore voté, mais oui il le sera sans aucun doute, et très vraisemblablement en l’état voire pire.

  2. ce type d’attaque est possible avec TOR, mais complexe à mettre en place.