dimanche 15 mars 2015

L'IP et le rectorat


Je lis dans la presse :

Un collégien de 3ème de Castres (Tarn) est poursuivi pour avoir falsifié son bulletin de notes en ligne, rapporte La Dépêche du Midi jeudi 12 mars. Sa moyenne a gagné 2 points, passant de 8,76 à 10,62. Il se serait fait passer pour le principal pour récupérer, par e-mail auprès du rectorat, des codes d'accès au système informatique de l'établissement. Convoqué au commissariat, l'adolescent a nié les faits. L'IP de son ordinateur a pourtant été identifié par les enquêteurs, saisis d'une plainte en novembre dernier pour "accès frauduleux dans un système de traitement automatisé de données".
 
Analysons-cet article sous un angle technique, ne serait-ce que dans le but de vous éviter à l’avenir les mêmes erreurs, quand vous désirerez changer vos notes dans le système de l’Education Nationale.

Adresses IP
L’adresse IP est effectivement l’élément permanent qui permettra aux enquêteurs de vous retrouver, si vous ne prenez pas les bonnes précautions. Il s’agit de l’adresse IP de la Box de l’opérateur (Orange, Free …). L’adresse IP de ma Freebox est par exemple 82.234.112.67. On l’appelle l’IP Externe. Elle est permanente et non changeable. On ne peut pas se connecter à Internet sans elle.

Il ne faut pas confondre cette première adresse IP avec une deuxième adresse IP que vous trouvez, elle, sur votre PC (Configuration Réseau / Propriétés de la Connexion), et qui est l’IP Interne (192.168.1.150). Il s'agit d'un identifiant unique sur le réseau composé de tous les PC et tablettes, et téléphones portables de la maison, qu’ils soient connectés en filaire, en WiFi, ou par courant porteur sur la Box. "192.168" est la racine de tous les réseaux internes dans le monde entier.
Cette adresse Interne change très souvent, dans une plage de valeurs possibles (par exemple 192.168.1.100 – 1.199), même parfois à chaque connexion de votre matériel à la Box de la maison.


Il faut véritablement voir le réseau Interne (192.168.x.y) et le réseau externe (82.234.x.y Free) comme plus ou moins étanches l’un par rapport à l’autre, avec votre Box qui joue le rôle de passerelle et filtre les trafics entrant et sortant avec des règles différentes. Cette étanchéité ne s'applique pas la NSA évidemment, ou aux services de sécurité, qui peuvent arriver sur votre PC à travers la Box, et même démarrer la WebCam pour regarder dans la pièce, sans même allumer la lampe témoin.
Mail au Rectorat
Quand vous enverrez un mail au rectorat pour leur demander les codes d’accès à votre lycée, vous enverrez un message qui va circuler :
  • d’abord sur le réseau interne (192.168) puis
  • dans le réseau externe (82.234.x.y Free), puis de là
  • au réseau Orange qui héberge l’Education Nationale (83.450.x.y Orange),
  • puis de là au réseau de votre Rectorat (72.656.x.y hébergé par Bouygues).
Et toutes ces adresses de transit sont stockées dans les systèmes des opérateurs, et seront remises aux enquêteurs qui en feraient la demande. Ou plus exactement, les enquêteurs feront semblant d’en faire la demande aux opérateurs, afin de garder un visage légaliste à ces opérations, mais ils sont en fait capables de les obtenir par leurs propres moyens. Y compris l’adresse postale de vos parents où sont envoyées les factures de l'abonnement Internet.

Et un beau matin, les policiers tireront la chevillette, et la bobinette cherra nécessairement.


Comment éviter de devoir laisser choir la bobinette ?

1) D’abord créer une adresse Mail anonyme que vous aurez construite pour cet usage unique : Par exemple « Proviseur.Collège.Albert.De.Meung@Gmail.com». Empruntez pour ce faire un poste en libre-service au CIO, ou bien le téléphone portable d’un copain que vous n’aimez pas trop.
 
2a) Ne pas utiliser un matériel à vous, car chaque matériel électronique est identifié de manière unique au monde par le Mac. Il s’agit là d’une simple précaution afin de brouiller les pistes, car le Mac ne peut être rattaché à vous directement, sauf pour un téléphone portable que vous auriez acheté directement chez l’opérateur.
 
2b) Si vous décidez quand même d’utiliser un matériel à vous pour construire cette adresse alors en tous cas le faire en étant connecté au Wifi du CIO du Collège. Ainsi cette adresse sera référencée comme appartenant au Collège Albert de Meung en cas d’enquête ultérieure.
 
3) Evidemment l’adresse en « Gmail.com » est un pis-aller qui pourrait déclencher la suspicion d’un employé du Rectorat un peu regardant. Je recommande donc d’acheter chez Gandi le domaine « AlbertDeMeung» ou « Albert_De_Meung » ou équivalent, qui vous permettra de disposer d’adresses du type « Proviseur.Collège@AlbertDeMeung.com ». C’est beaucoup plus crédible, pour un investissement qui ne dépasse pas 15 Euros.
 
4) Inutile de préciser qu’aucune de ces précautions n'est utile si vous payez le moindre frais avec votre carte bleue ou celle de vos parents, plutôt qu’en cash.
 
5) En tous cas l’idée impérative c’est de ne pas construire cette adresse en étant connecté à sa propre Freebox.
 
6) Une fois l’adresse activée, envoyez vos mails au Rectorat uniquement depuis un Wifi publique, idéalement toujours celui du Collège, éventuellement celui de la Bibliothèque municipale.

7) Ne jamais envoyer de mails au travers de la connexion 2G ou 3G de votre portable.
Si vous devez nécessairement utiliser un téléphone portable pour ces communications, alors changez la puce pour celle d’une carte avec unités prépayées (5 euros).
Comme la question du Mac demeure, il est recommandé d’investir dans un téléphone portable pourri (20 Euros à la Gare du Nord), que l’on ne pourra vous associer.

8) En revanche vous pouvez consulter vos mails depuis n’importe quel support, depuis la maison. La consultation ne laisse pas de traces utilisables. Ce principe d'inocuité de la consultation reste vrai tant que votre compte n'est pas sous surveillance active (c'est à dire après déclenchement de la suspicion). Une fois sous surveillance, même la consultation est observée.

9) Précaution avant de lancer l’opération : Procurez-vous un ou plusieurs mails légitimes du Proviseur, sur un sujet quelconque, par exemple à propos des vacances scolaires, adressés à vos parents par exemple. Avec ces mails, faites des forward au Rectorat en remplaçant l’expéditeur original par votre adresse toute neuve « Proviseur.Collège@AlbertDeMeung.com ».
Personne au rectorat ne réagira à ces messages anodins (précisez "Pour votre information" en tête du message), et le système de messagerie du Rectorat aura enregistré votre adresse, qui ne sera plus considérée comme du Spam, lors de vos envois ultérieurs.
 

10) A l’issue de l’opération ne plus utiliser cette adresse Mail, jamais, même en consultation. Et résiliez l’abonnement du nom de domaine éventuellement utilisé. La durée de rétention des informations étant de 6 à 12 mois chez les opérateurs, vous avez même un chance que les enquêteurs se penchent trop tard sur votre dossier.