Risques inhérents à Ceno et Ouinet

Comme pour tout système informatique suffisamment complexe et surtout aussi innovant, l’utilisation du Navigateur Ceno (et de n’importe quel client Ouinet en général) n’est pas exempte de certains risques. Dans cette section, nous les rassemblerons et les décrirons pour vous aider à comprendre leurs implications en fonction des différents rôles que pourriez jouer lors de l’utilisation de Ceno :

  • en tant qu’utilisateur qui parcourt des sites Web
  • en tant que propagateur qui partage sur le cache distribué du contenu qu vous avez déjà visité
  • en tant que pont qui permet aux autres utilisateurs d’atteindre un injecteur

En tant qu’utilisateur

Les ponts peuvent-ils voir ma communication avec le serveur d’origine ?

Non. Le seul rôle d’un pont est de transmettre le trafic brut entre un client et un injecteur. Cette communication est toujours chiffrée et les ponts ne disposent pas des clés privées nécessaires pour accéder au contenu de la communication.

Les injecteurs peuvent-ils voir ma communication avec le serveur d’origine ?

Oui et non, Quand l’utilisateur demande un contenu en mode de navigation publique, toutes les données privées (telles que les mots de passe et les témoins) sont d’abord supprimées de la demande par le client et ce n’est qu’ensuite que la demande est chiffrée et transmise à l’injecteur, qui procède au déchiffrement.

En revanche, quand la demande utilise le mode de navigation privée, elle n’est pas modifiée par le client, mais la communication est entièrement chiffrée pour le serveur d’origine. Cela signifie que dans ce cas, l’injecteur ne peut pas déchiffrer le contenu.

Note technique : Seules les demandes HTTP GET sont candidates à l’injection, les paramètres de la demande étant supprimés, ainsi que tous les champs d’en-tête HTTP, à l’exception d’un ensemble limité de champs fondamentaux et qui préservent la confidentialité.

Les injecteurs peuvent-ils voir mon adresse IP ?

Oui. Toutefois, les injecteurs ne peuvent pas faire la différence entre une demande qui provient d’un utilisateur de Ceno et une autre d’un pont. Les demandes adressées à l’injecteur ne peuvent donc pas se voir attribuer une adresse IP d’origine de manière fiable.

Mes données privées peuvent-elles être divulguées au cache distribué ?

Il faut espérer que non. Comme mentionnée plus haut, le Navigateur Ceno s’efforce de supprimer toute donnée privée (mots de passe, témoins…) de toute demande d’injection. De plus, l’injecteur même ne propage rien ; en fait, son seul but est de signer le contenu afin que les clients Ouinet puissent le propager. Cela signifie qu’une fois le contenu revenu au client, il est analysé à nouveau et si le serveur d’origine a indiqué qu’il était de nature privée, Ceno ne le propagera pas non plus.

Toutefois, il peut arriver que certaines pages web mal conçues ou malveillantes puissent recueillir des informations (comme un couriel dans un formulaire ou l'empreinte numérique d'un navigateur à l'aide de JavaScript) et les insèrent dans l'URL d'un autre lien en tant que composants normaux du chemin d'accès (par exemple, http://example.com/subscribe/you@example.org). Si vous craignez qu'une page puisse faire cela, mieux vaut être prudent et utiliser la navigation privée pour cette page.

Le serveur d'origine peut-il savoir si j'utilise Ceno ?

Probablement pas. Lorsque Ceno contacte directement un serveur d'origine, il se comporte normalement, comme Firefox pour Android le ferait, de sorte que votre appareil a l'apparence d'une application Firefox normale de la même version.

Cependant, lorsqu'il utilise un injecteur pour obtenir du contenu depuis son serveur d'origine, il y existe (au moins) deux façons pour ce dernier de savoir si Ceno ou Ouinet est impliqué :

  1. L'adresse source de la connexion atteignant le serveur d'origine se trouve dans l'essaim d'injecteurs (puisque la connexion provient bien de l'injecteur) ;
  2. La présence ou l’absence de certains renseignements dans la demande de contenu caractérise Ouinet. Cela se produit quand l’injecteur demande le contenu parce que votre client lui a demandé de récupérer et de signer ce contenu, car l’injecteur supprime de la demande les renseignements propres à votre appareil particulier.

Veuillez noter qu’elles ne font que marquer la demande comme provenant de Ouinet, mais elles ne la relient pas à vous ni à votre appareil particulier. Toutefois, si, pour l’une des raisons mentionnées dans la question précédente, la demande contenait encore des renseignements personnels, ils pourraient être utilisés pour vous identifier en tant qu’utilisateur de Ceno.

De manière générale, si un site web (comme un site gouvernemental) attend de vous que vous soyez identifiable en tant qu'individu, à partir d'une région spécifique (ou d'un [intranet national][National intranet]), nous vous recommandons d'utiliser un navigateur web classique au lieu de Ceno.

En tant que diffuseur

Quelles sont les données diffusées à partir de mon appareil ?

Actuellement, le seul contenu diffusé par Ceno est le contenu web non privé demandé en mode de navigation publique. Cela signifie en outre que les utilisateurs ne diffusent pas de contenu auquel ils n'ont pas déjà accédé eux-mêmes.

Quelqu'un peut-il savoir ce que je diffuse ?

Oui et non. Toute personne ayant un certain niveau de compréhension des opérations de Ouinet pourrait concevoir un outil pour découvrir les adresses IP à partir desquelles un contenu particulier est partagé (comme avec BitTorrent). Cependant, il n'est pas possible de cibler une adresse IP spécifique et d'obtenir une liste des contenus partagés par les clients derrière celle-ci.

En tant que passerelle

Les autres peuvent-ils trouver mon adresse IP ?

Oui, chaque navigateur Ceno capable de communiquer avec les injecteurs enregistrera son adresse IP dans l'essaim de passerelles où d'autres clients Ouinet pourront les trouver.

Est-il possible que j'aide quelqu'un à accéder à du contenu illégal dans mon pays ?

Oui, mais les ponts ne font que relayer les communications chiffrées entre un client Ouinet et un injecteur. Cela signifie qu’un pont ne demandera jamais directement un contenu à un autre serveur au nom de quelqu’un d’autre.

[Intranet national] : https://en.wikipedia.org/wiki/National_intranet