Tails.
Tails est idéal pour cela ; vous n'avez pas à vous inquiéter, même si vous utilisez un disque SSD. Éteignez-le et tout disparaît dès que la mémoire se désintègre.
Whonix.
Notez qu'il est possible d'exécuter Whonix en mode Live sans laisser de traces lorsque vous arrêtez les VM, pensez à lire leur documentation ici
https://www.whonix.org/wiki/VM_Live_Mode [Archive.org] et ici
https://www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic [Archive.org].
MacOS.
Système d'exploitation invité.
Revenez à un snapshot précédent sur Virtualbox (ou tout autre logiciel VM que vous utilisez) et effectuez une commande Trim sur votre Mac à l'aide de l'Utilitaire de disque en exécutant à nouveau un premier secours sur l'OS hôte comme expliqué à la fin de la section suivante.
Système d'exploitation hôte.
La plupart des informations de cette section peuvent également être trouvées dans ce guide
https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org].
Base de données de quarantaine (utilisée par Gatekeeper et XProtect).
MacOS (jusqu'à Big Sur inclus) conserve une base de données SQL de quarantaine de tous les fichiers que vous avez téléchargés à partir d'un navigateur. Cette base de données est située dans ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.
Vous pouvez l'interroger vous-même en lançant la commande suivante dans le terminal : sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent"
Évidemment, il s'agit d'une mine d'or pour la criminalistique et vous devriez la désactiver :
- Exécutez la commande suivante pour effacer complètement la base de données : :>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
- Exécutez la commande suivante pour verrouiller le fichier et empêcher l'écriture de l'historique des téléchargements : sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Enfin, vous pouvez également désactiver Gatekeeper en lançant la commande suivante dans le terminal :
- sudo spctl --master-disable
Reportez-vous à cette section de ce guide pour plus d'informations
https://github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect [Archive.org]
En plus de cette base de données pratique, chaque fichier sauvegardé comporte également des attributs HFS+/APFS détaillés indiquant, par exemple, quand il a été téléchargé, avec quoi et à partir d'où.
Vous pouvez visualiser ces attributs en ouvrant un terminal et en tapant mdls nom du fichier et xattr -l nom du fichier sur n'importe quel fichier téléchargé à partir de n'importe quel navigateur.
Pour supprimer ces attributs, vous devrez le faire manuellement à partir du terminal :
- Exécutez xattr -d com.apple.metadata:kMDItemWhereFroms nomdufichier pour supprimer l'origine.
- Vous pouvez également utiliser -dr pour le faire de manière récursive sur un dossier/disque entier
- Exécutez xattr -d com.apple.quarantine nom du fichier pour supprimer la référence à la quarantaine.
- Vous pouvez également utiliser -dr pour le faire de manière récursive sur l'ensemble d'un dossier/disque.
- Vérifiez en lançant xattr --l nom-de-fichier et il ne devrait pas y avoir de sortie.
(Notez qu'Apple a supprimé l'option pratique xattr -c qui permettait de supprimer tous les attributs en une seule fois ; vous devrez donc effectuer cette opération pour chaque attribut de chaque fichier).
Ces attributs et entrées seront conservés même si vous effacez l'historique de votre navigateur, ce qui est évidemment mauvais pour la vie privée (n'est-ce pas ?) et je ne connais aucun outil pratique pour traiter ces attributs et entrées pour le moment.
Heureusement, il existe des solutions pour éviter ce problème, car ces attributs et entrées sont définis par les navigateurs. J'ai donc testé plusieurs navigateurs (sur MacOS Catalina et Big Sur) et voici les résultats à la date de publication de ce guide :
| Navigateur | Entrée de la base de données de quarantaine | Attribut du fichier de quarantaine | Attribut du fichier d'origine |
|---|
| Safari (Normal) | Oui | Oui | Oui |
| Safari (fenêtre privée) | Non | Non | Non |
| Firefox (Normal) | Oui | Oui | Oui |
| Firefox (fenêtre privée) | Non | Non | Non |
| Chrome (Normal) | Oui | Oui | Oui |
| Chrome (fenêtre privée) | Partiel (horodatage uniquement) | Non | Non |
| Ungoogled-Chromium (Normal) | Non | Non | Non |
| Ungoogled-Chromium (Fenêtre privée) | Non | Non | Non |
| Brave (Normal) | Partiel (horodatage uniquement) | Non | Non |
| Brave (Fenêtre privée) | Partiel (horodatage uniquement) | Non | Non |
| Brave (fenêtre Tor) | Partiel (horodatage uniquement) | Non | Non |
| Navigateur Tor | Non | Non | Non |
Comme vous pouvez le constater par vous-même, la solution la plus simple consiste à utiliser des fenêtres privées. Ceux-ci n'écrivent pas ces attributs d'origine/quarantaine et ne stockent pas les entrées dans la base de données QuarantineEventsV2.
La suppression de QuarantineEventsV2 est facile comme expliqué ci-dessus. La suppression des attributs demande un peu de travail.
Brave est le seul navigateur testé qui ne stocke pas ces attributs par défaut dans les opérations normales.
Divers artefacts.
En outre, MacOS conserve divers journaux des appareils montés, des appareils connectés, des réseaux connus, des analyses, des révisions de documents, etc.
Voir cette section de ce guide pour savoir où trouver et comment supprimer ces artefacts
: https://github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts [Archive.org]
La plupart de ces artefacts peuvent être supprimés à l'aide de divers outils commerciaux tiers, mais je recommanderais personnellement d'utiliser le logiciel gratuit et bien connu Onyx, que vous pouvez trouver ici
: https://www.titanium-software.fr/en/onyx.html [Archive.org]. Malheureusement, il s'agit d'un logiciel fermé, mais il est notarié et signé, et il est fiable depuis de nombreuses années.
Forcer une opération Trim après le nettoyage.
- Si votre système de fichiers est APFS, vous n'avez pas à vous préoccuper de l'opération Trim, qui se produit de manière asynchrone lorsque le système d'exploitation écrit des données.
- Si votre système de fichiers est HFS+ (ou tout autre système que APFS), vous pouvez exécuter First Aid sur votre disque système à partir de l'Utilitaire de disque qui devrait effectuer une opération de découpage dans les détails(https://support.apple.com/en-us/HT210898 [Archive.org]).
Linux (Qubes OS).
Veuillez tenir compte de leurs directives
https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md [Archive.org]
Si vous utilisez Whonix sur Qubes OS, merci de suivre certains de leurs guides :
Linux (non-Qubes).
Système d'exploitation invité.
Revenez à un instantané précédent de la VM invitée sur Virtualbox (ou tout autre logiciel VM que vous utilisez) et exécutez une commande trim sur votre ordinateur portable en utilisant fstrim --all. Cet utilitaire fait partie du paquet util-linux sur Debian/Ubuntu et devrait être installé par défaut sur Fedora. Passez ensuite à la section suivante.
Système d'exploitation hôte.
Normalement, vous ne devriez pas avoir de traces à nettoyer dans le système d'exploitation hôte puisque vous faites tout à partir d'une VM si vous suivez ce guide.
Néanmoins, il se peut que vous souhaitiez nettoyer certains journaux. Il suffit d'utiliser cet outil pratique
: https://web.archive.org/web/https://github.com/sundowndev/go-covermyass (instructions sur la page, pour télécharger, allez dans les versions, ce dépôt a été récemment supprimé).
Après le nettoyage, assurez-vous que l'utilitaire fstrim est installé (il devrait l'être par défaut sur Fedora) et qu'il fait partie du paquet util-linux sur Debian/Ubuntu. Il suffit ensuite de lancer fstrim --all sur le système d'exploitation hôte. Cela devrait suffire pour les disques SSD, comme expliqué précédemment.
Envisagez l'utilisation de Linux Kernel Guard comme mesure supplémentaire
https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG [Archive.org]
Windows.
Système d'exploitation invité.
Revenez à un snapshot précédent sur Virtualbox (ou tout autre logiciel VM que vous utilisez) et effectuez une commande trim sur votre Windows en utilisant Optimize comme expliqué à la fin de la section suivante.
Système d'exploitation hôte.
Maintenant que vous avez effectué un certain nombre d'activités avec vos machines virtuelles ou votre système d'exploitation hôte, vous devez prendre le temps de vous protéger.
La plupart de ces étapes ne devraient pas être entreprises sur le système d'exploitation leurre en cas d'utilisation d'un déni plausible. En effet, vous voulez que votre adversaire ait accès à des traces leurres/plausibles d'activités raisonnables mais non secrètes. Si tout est propre, vous risquez d'éveiller les soupçons.
Données de diagnostic et télémétrie.
Commençons par nous débarrasser de toutes les données de diagnostic qui pourraient encore exister :
(Sautez cette étape si vous utilisez Windows 10 AME)
- Après chaque utilisation de vos appareils Windows, allez dans Paramètres, Confidentialité, Diagnostic et rétroaction, et cliquez sur Supprimer.
Ensuite, ré-randomisons les adresses MAC de vos machines virtuelles et l'adresse Bluetooth de votre système d'exploitation hôte.
- Après chaque arrêt de votre VM Windows, changez son adresse MAC pour la prochaine fois en allant dans Virtualbox > Sélectionnez la VM > Paramètres > Réseau > Avancé > Rafraîchir l'adresse MAC.
- Après chaque utilisation de votre OS hôte Windows (votre VM ne devrait pas avoir de Bluetooth du tout), allez dans le gestionnaire de périphériques, sélectionnez Bluetooth, désactivez le périphérique et réactivez-le (cela forcera une randomisation de l'adresse Bluetooth).
Journaux d'événements.
Les journaux d'événements de Windows conservent de nombreuses informations susceptibles de contenir des traces de vos activités, telles que les périphériques montés (y compris les volumes NTFS Veracrypt, par
exemple294), vos connexions réseau, des informations sur les plantages d'applications et diverses erreurs. Il est toujours préférable de les nettoyer régulièrement. Ne faites pas cela sur le système d'exploitation Decoy.
- Démarrez, recherchez Event Viewer et lancez Event Viewer :
- Allez dans les journaux Windows.
- Sélectionnez et effacez les 5 journaux en cliquant sur le bouton droit de la souris.
Historique de Veracrypt.
Par défaut, Veracrypt enregistre un historique des volumes et des fichiers récemment montés. Vous devez vous assurer que Veracrypt n'enregistre jamais l'historique. Encore une fois, ne faites pas cela sur le système d'exploitation leurre si vous utilisez un déni plausible pour le système d'exploitation. Nous devons conserver l'historique du montage du volume leurre dans le cadre du déni plausible.
- Lancez Veracrypt
- Assurez-vous que la case "Ne jamais enregistrer l'historique" est cochée (elle ne doit pas l'être sur le système d'exploitation leurre).
Vous devez maintenant nettoyer l'historique de toutes les applications que vous avez utilisées, y compris l'historique du navigateur, les cookies, les mots de passe enregistrés, les sessions et l'historique des formulaires.
Historique du navigateur.
- Brave (au cas où vous n'auriez pas activé le nettoyage à la sortie)
- Allez dans Paramètres
- Aller dans Boucliers
- Allez dans Effacer les données de navigation
- Sélectionnez Avancé
- Sélectionnez "Tout le temps".
- Cochez toutes les options
- Effacer les données
- Navigateur Tor
- Fermez simplement le navigateur et tout est nettoyé.
Historique Wi-Fi.
Il est maintenant temps d'effacer l'historique du Wi-Fi auquel vous vous connectez. Malheureusement, Windows conserve une liste des réseaux passés dans le registre, même si vous les avez "oubliés" dans les paramètres Wi-Fi. Pour autant que je sache, aucun utilitaire ne nettoie encore ces réseaux (BleachBit ou PrivaZer par exemple), vous devrez donc le faire manuellement :
- Lancez Regedit à l'aide de ce tutoriel : https://support.microsoft.com/en-us...ndows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 [Archive.org]
- Dans Regedit, entrez ceci dans la barre d'adresse : Ordinateur\CKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
- Vous y verrez une série de dossiers sur la droite. Chacun de ces dossiers est une "clé". Chacune de ces clés contient des informations sur votre réseau Wi-Fi actuel connu ou sur les réseaux que vous avez utilisés par le passé. Vous pouvez les explorer une par une et voir la description sur le côté droit.
- Supprimez toutes ces clés.
Shellbags.
Comme expliqué précédemment, les Shellbags sont essentiellement des historiques des volumes/fichiers accédés sur votre ordinateur. Rappelez-vous que les shellbags sont de très bonnes sources d'information pour les
experts287 et que vous devez les nettoyer. En particulier si vous avez monté un "volume caché" n'importe où. Encore une fois, vous ne devez pas faire cela sur le système d'exploitation Decoy.
- Téléchargez Shellbag Analyzer & Cleaner à partir de https://privazer.com/en/download-shellbag-analyzer-shellbag-cleaner.php [Archive.org]
- Lancez-le
- Analyser
- Cliquer sur Nettoyer et sélectionner :
- Dossiers supprimés
- Dossiers sur le réseau / périphériques externes
- Résultats de la recherche
- Sélectionnez avancé
- Cochez toutes les options sauf les deux options de sauvegarde (ne pas sauvegarder)
- Sélectionnez Nettoyage du disque SSD (si vous avez un disque SSD)
- Sélectionner 1 passage (Tous les zéros)
- Nettoyer
Nettoyage par des outils supplémentaires.
Après avoir nettoyé les traces précédentes, vous devriez également utiliser des utilitaires tiers qui peuvent être utilisés pour nettoyer diverses traces. Celles-ci comprennent les traces des fichiers/dossiers que vous avez supprimés.
Veuillez vous reporter à l'
annexe H : Outils de nettoyage Windows avant de poursuivre.
PrivaZer.
Voici les étapes à suivre pour PrivaZer :
- Téléchargez et installez PrivaZer à partir de https://privazer.com/en/download.php [Archive.org]
- Exécuter PrivaZer après l'installation
- Ne pas utiliser l'assistant
- Sélectionnez Utilisateur avancé
- Sélectionnez Scan in Depth et choisissez votre cible
- Sélectionnez Tout ce que vous voulez scanner et appuyez sur Scan
- Sélectionnez ce que vous voulez nettoyer (sautez la partie "shell bag" puisque vous avez utilisé l'autre utilitaire pour cela)
- Si vous utilisez un disque SSD, vous devriez ignorer la partie nettoyage de l'espace libre et utiliser la fonction native d'optimisation de Windows (voir ci-dessous) qui devrait être plus que suffisante. Je n'utiliserais cette fonction que sur un disque dur.
- (Si vous avez sélectionné Nettoyage de l'espace libre) Sélectionnez Options de nettoyage et assurez-vous que votre type de stockage est bien détecté (disque dur ou disque SSD).
- (Si vous avez sélectionné Nettoyage de l'espace libre) Dans Options de nettoyage (Soyez prudent avec cette option car elle effacera tout l'espace libre sur la partition sélectionnée, en particulier si vous exécutez le système d'exploitation leurre. N'effacez pas l'espace libre ou quoi que ce soit d'autre sur la deuxième partition car vous risquez de détruire votre OS caché.)
- Si vous avez un disque SSD :
- Onglet Ecrasement sécurisé : Personnellement, je choisirais l'effacement normal + le découpage (le découpage lui-même devrait suffire). L'effacement sécurisé avec découpage (1 passage) peut être redondant et excessif ici si vous avez l'intention d'écraser l'espace libre de toute façon.
- Onglet Espace libre : Personnellement, et encore une fois "juste pour être sûr", je sélectionnerais le Nettoyage normal qui remplira tout l'espace libre avec des données. Je ne fais pas vraiment confiance à Smart Cleanup car il ne remplit pas tout l'espace libre du SSD avec des données. Mais encore une fois, je pense que ce n'est probablement pas nécessaire et que c'est exagéré dans la plupart des cas.
- Si vous avez un disque dur :
- Onglet Ecrasement sécurisé : Je choisirais simplement l'effacement sécurisé (1 passage).
- Espace libre : Je choisirais Smart Cleanup car il n'y a aucune raison d'écraser des secteurs sans données sur un disque dur.
- Sélectionnez Nettoyer et choisissez votre goût :
- Turbo Cleanup n'effectue qu'une suppression normale (sur le disque dur/SSD) et ne nettoie pas l'espace libre. Il n'est pas sécurisé sur un disque dur ou un disque SSD.
- Quick Cleanup effectue un effacement sécurisé (sur le disque dur) et un effacement normal + découpage (sur le disque SSD), mais ne nettoie pas l'espace libre. Je pense que c'est assez sûr pour un SSD mais pas pour un HDD.
- Le nettoyage normal effectue une suppression sécurisée (sur le disque dur) et une suppression normale + découpe (sur le disque SSD) et nettoie ensuite tout l'espace libre (Smart Cleanup sur le disque dur et Full Cleanup sur le disque SSD), ce qui devrait être sécurisé. Je pense que cette option est la meilleure pour les disques durs, mais qu'elle est complètement exagérée pour les disques SSD.
- Cliquez sur Nettoyer et attendez que le nettoyage se termine. Cela peut prendre un certain temps et remplir tout l'espace libre de données.
BleachBit.
Voici les étapes à suivre pour BleachBit :
- Obtenez et installez la dernière version de BleachBit ici https://www.bleachbit.org/download [Archive.org]
- Lancer BleachBit
- Nettoyez au moins tout ce qui se trouve dans ces sections :
- Analyse approfondie
- Windows Defender
- Windows Explorer (y compris les Shellbags)
- Système
- Sélectionnez les autres traces que vous souhaitez supprimer de la liste.
- Encore une fois, comme avec l'utilitaire précédent, je ne nettoierais pas l'espace libre d'un disque SSD car je pense que l'utilitaire d'optimisation de Windows est suffisant (voir ci-dessous) et que remplir l'espace libre d'un disque SSD compatible avec le trim est complètement exagéré et inutile.
- Cliquez sur Nettoyer et attendez. Cela prendra un certain temps et remplira tout l'espace libre avec des données sur les disques durs et les disques SSD.
Forcer un Trim avec Windows Optimize (pour les disques SSD).
Avec cet utilitaire natif de Windows 10, vous pouvez simplement déclencher un Trim sur votre SSD, ce qui devrait être plus que suffisant pour nettoyer en toute sécurité tous les fichiers supprimés qui, d'une manière ou d'une autre, auraient échappé au Trim lors de leur suppression.
Ouvrez simplement l'explorateur Windows, faites un clic droit sur votre disque système et cliquez sur Propriétés. Sélectionnez Outils. Cliquez sur Optimiser, puis à nouveau sur Optimiser. Vous avez terminé. Je pense que c'est suffisant.
