====== Tor ======
Tor est un outil conçu pour que les échanges privés restent privés et pour que des sites web que vous visitez cessent d'accumuler des informations sur vous, à votre insu, soit implicitement((En rendant votre contrôle des informations tellement difficile que vous baissez les bras.)), soit en violation pure et simple de leurs engagements ou de la législation.
===== Installer Tor (sur Debian) =====
Installer Tor sur un système propriétaire (Window$, Mac OS) c'est un peu comme installer une serrure 12 points mais laisser les clés sous le paillasson.
La meilleure manière d'installer Tor sur Debian est de le faire à partir des dépôts officiels du projet Tor (et non à partir de dépôts standard Debian). La configuration des dépôts suit la procédure classique d'ajout d'un dépôt sécurisé.
Le site officiel du Projet Tor décrit cette [[https://www.torproject.org/docs/debian.html.en|procédure, pas à pas]]. Tout se fait avec de simples copier/coller. Foncez !
En poursuivant les indication fournies sur le site officiel, vous apprendrez également comment :
* configurer vos applications pour qu'elles utilisent Tor
* configurer votre ordi pour en [[https://www.torproject.org/docs/tor-doc-relay.html.en|faire un relais Tor]] (sans phagociter votre bande passante)
===== Démarrer ou arrêter Tor =====
source : [[https://miloserdov.org/?p=3837|How to manage Tor service on Linux]] (en)
Tor est-il actif ?
$ systemctl status tor
Arrêter Tor
$ sudo systemctl stop tor
Démarrer Tor
$ sudo systemctl start tor
Ne pas lancer Tor au démarrage du système
$ sudo systemctl disable tor
Lancer Tor au démarrage du système
$ sudo systemctl enable tor
===== Installer une interface graphique =====
Afin de faciliter l'utilisation et la participation au réseau Tor, une interface graphique a été développée : Vidalia.
L'installation est sans surprise :
# apt-get install vidalia
===== Tor Browser =====
Tor sécurise le réseau que vous utilisez mais pas vos applications et encore moins les utilisations que vous en faites.
//Tor Browser// est un navigateur sécurisé qui vient remplacer Chrome (ou Chromium), Firefox, Internet Explorer, etc. Sans aucune configuration supplémentaire, //Tor Browser// vous propose un navigateur fiable, __dès son installation__. Comme son nom le suggère, Tor Browser utilise le réseau Tor pour transporter les informations entre votre ordi et les sites/services Web que vous utilisez.
==== Télécharger Tor Browser ====
La méthode la plus fiable consiste à télécharger l'application depuis le [[https://www.torproject.org/projects/torbrowser.html.en|site officiel du sous-projet Tor Browser]].
Sous Linux le résultat du téléchargement est une archive (tar.xz) et une signature (.tar.xz.asc). Avant toute autre opération, il convient de vous assurer que :
- l'application que vous avez téléchargée est authentique((Et pas une contrefaçon qui vous ferait croire que vous utilisez Tor Browser alors que vous utiliseriez une application espionne !)),
- le téléchargement s'est techniquement bien déroulé.
Afin contrôler le bon déroulement de la deuxième étape vous devez disposer d'un moyen de vérification. Pour l'obtenir, rendez-vous sur la [[https://www.torproject.org/docs/verifying-signatures.html.en|page de téléchargement sécurisé]] de //Tor Browser//. Vous y trouverez une commande ayant une forme semblable à la commande suivante. Il faut suffira de la copier-coller.
gpg --keyserver x-hkp://pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290
La ligne de commande indiquée ci-avant est un exemple !!! Rendez-vous __impérativement__ sur le site de téléchargement sécurisé de //Tor Browser//, comme indiqué plus haut.
Vous pouvez alors vérifier que le téléchargement s'est bien déroulé. Du même coup, vous allez également vous assurer que le fichier est bien celui mis à disposition sur le site de //Tor Browser//. En vous plaçant dans le répertoire où vous avez chargé l'archive et la signature, tapez la commande suivante :
gpg --verify la-version-telechargee-de-tor-browser.tar.xz.asc
En lisant attentivement les résultats affichés par cette commande, vous allez notamment voir :
pg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg: Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290
Empreinte de la sous-clef : BA1E E421 BBB4 5263 180E 1FC7 2E1A C68E D408 14E0
Ce message signifie exactement ce qu'il dit. Vous pouvez être certaine que l'application est bien celle qui était mise à votre disposition sur le site mais vous n'avez aucun moyen d'être sûre que cette signature est celle de l'équipe de développement de //Tor Browser// :-? Une autre manière de le dire est que vous ne pouvez pas savoir si le site de //Tor Browser// a été temporairement piraté ni si vos connexions internet sont détournées vers un site qui ressemble à celui de Tor mais n'est qu'un leurre((C'est exactement ce genre de souci dont //Tor Browser// vous prémunira, une fois installé, mais vous ne l'avez pas encore installé.)) !
Disons-le tout de suite, il n'existe aucun moyen d'apporter une preuve absolue. La solution proposée sur la page de téléchargement sécurisé de //Tor Browser// ("The best method is to meet the developer in person and exchange key fingerprints."(("La meilleure méthode est de rencontrer [physiquement] le développeur en personne et d'échanger des empreintes [numérique]."))) n'est pas réaliste :-(
=== Solution de vérification de la signature ===
Un moyen classique consiste à noter l'information suivante qui s'affiche sur la page de téléchargement :
Currently valid subkey fingerprints are:
5242 013F 02AF C851 B1C7 36B8 7017 ADCE F65C 2036
BA1E E421 BBB4 5263 180E 1FC7 2E1A C68E D408 14E0
05FA 4425 3F6C 19A8 B7F5 18D4 2D00 0988 5898 39A3
Comparez ces informations à celles qui sont apparues lorsque vous avez lancé la commande "gpg --verify". Dans le cas traité ici, on voit que l'empreinte de la sous-clé affichée par gpg --verify est la deuxième de la liste affichée sur le page du site :
BA1E E421 BBB4 5263 180E 1FC7 2E1A C68E D408 14E0
Notez cette information où vous voulez, par exemple sur un bout de papier.
Depuis des ordinateurs différents reliés à internet par des réseaux différents du votre, à quelques jours d'intervalle, rendez-vous sur la page de téléchargement sécurisé de Tor Browser https://www.torproject.org/docs/verifying-signatures.html.en (n'oubliez pas le http__s__) et assurez-vous que l'empreinte est toujours présente((//Asdrad Hotline// pouvant également être piraté, il est plus sûr de récupérer l'URL de la page de téléchargement sécurisé de //Tor Browser//, depuis un moteur de recherche, sur les autres ordinateurs que vous utiliserez pour votre vérification.)). Si c'est le cas, il y a tout lieu de penser que vous êtes bien sur la page de //Tor Browser// et que le site n'a pas été piraté. Vous pouvez évidemment demander à des potes de vous aider à faire cette vérification, depuis leur ordi. Dans ce dernier cas, évitez le mail((Si votre connexion internet est compromise, le mail n'est pas un moyen sûr, sauf à utiliser des outils de cryptographie forte.)) et utilisez le téléphone ou des applications de téléphonie ou de visiophonie.
==== Installer Tor Browser ====
Autant l'authentification de l'origine est compliquée, autant **l'installation de Tor Browser est simpl**e. Il vous suffit de décompresser l'archive.
Ouvrez le répertoire ainsi créé dans votre navigateur de fichiers préféré et cliquez (ou double-cliquez) sur l'icône du fichier //start-tor-browser//. L'application sera lancée. C'est tout ? Oui :-D
Bien sûr, rien ne vous empêche de créer un //lanceur// (un raccourci graphique) que vous pourrez placer sur votre bureau. La manière de le faire dépend type de bureau que vous utilisez (xfce, kde, gnome…) et déborde complètement le cadre de cette aide en ligne.
===== Installer Tor sur Android =====
Tor s'installe aussi sur Android, commme expliqué sur la page [[https://www.torproject.org/docs/android.html.en|Tor on Android]], du projet Tor. Pour ce faire, il faut installer l'application //Orbot//.
Une fois installé et activé((Suite à l'installation, il faut manuellement lancer Orbot. Les réglages par défaut stipulent que lors d'un redémarrage, Orbot sera automatiquement activé. Bien sûr, vous pouvez configurer les paramètres de fonctionnement d'Orbot.)), Orbot dotera votre appareil sous Android d'un relais sécurisé. Eb lui-même, ce relais ne vous apporte aucune sécurité. Il vous en offre la possibilité. Pour concrétiser cette possibilité, plusieurs scenarii sont possibles :
* installer un navigateur spécial((Une sorte d'équivalent de Tor Browser.)) qui utilisera exclusivement le relais Orbot pour accéder à internet,
* configurer vos applications pour qu'elles empruntent le relais Orbot, au lieu d'accéder directement à internet, comme elle le font jusqu'ici ((Cette option, n'est applicable que sur des applications hautement configurables.)),
* indiquer à Orbot quelles applications doivent utiliser ce relais pour accéder à internet,
* configurer Orbot pour que tous les échanges entre votre appareil et internet passent par le relais Orbot.
Autrement dit, si vous ne faites qu'installer et activer Orbot, votre appareil continuera à accéder à internet comme il le faisait avant, c'est-à-dire de manière non sécurisée !
==== Installer Orbot ====
Orbot est disponible sur Google Play. Vous pouvez donc l'installer comme n'importe quelle application. Mais ce n'est pas le moyen le plus sûr pour installer Orbot. Si vous souhaitez sécuriser votre utilisation d'internet, il est judicieux de commencer par sécuriser le canal par lequel vous vous procurez votre système de sécurité((Dans le monde physique, il ne viendrait à l'idée de personne d'acheter des serrures 5 points à des cambrioleurs. OK, dès qu'on touche au numérique, tout bon sens semble disparaître puisqu'il se trouvent des gens pour acheter des firewalls à Micro$oft et pour faire confiance à Facebook ou Google pour leur données personnelles.))…
Google Play n'est pas le seul canal via lequel vous pouvez vous procurer des applications fiables pour Android. Un canal parallèle, F-Droid, a été mise en place par des personnes qui ne souhaitent pas dépendre de Google. À la différence Google Play qui ne vous permet que de télécharger des applis disponibles sur le store de Google ((Ça vous parait logique ? Trouveriez-vous logique que Twitter ne vous permettre de suivre que des comptes estampillés par Twitter ?)), F-Droid vous laisse libre de choisir les //dépôts//((On ne parle plus de //store//.)) alternatifs auprès desquels vous souhaitez vous approvisionner. Par exemple, pour télécharger des apps sécurisant nos communication, on se tournera vers un dépôt validé par Tor…
On commence donc par installer F-Droid…
==== Installer F-Droid ====
Sans surprise, F-Droid s'installe depuis le [[https://f-droid.org/|site officiel de F-Droid]].
- depuis son appareil Android, faire pointer un navigateur la [[https://f-droid.org/|page d'accueil de F-Droid]],
- cliquer le bouton de téléchargement ; cela télécharge l'application qui se présentera sous la forme d'un fichier, dans votre répertoire de téléchargement habituel,
- à l'aide d'un explorateur de fichier, naviguer jusqu'au fichier téléchargé,
- ouvrir le fichier ; cela lance son installation sur votre appareil.
Voilà ! F-Droid apparait dans a liste de vos apps.
==== Lancer, configurer F-Droid et télécharger Orbot ====
Après avoir lancé //F-Droid// comme n'importe quelle app, vous pouvez configurer les dépôts que vous souhaitez exploiter. Rassurez-vous, le [[https://guardianproject.info/fdroid/|dépôt de référence]] pour télécharger Orbot, [[https://guardianproject.info/|The Guardian Project]], est déjà déclaré dans F-Droid. Vous n'avez qu'à l'activer. C'est tout…
Partant de là, F-Droid vous permet de télécharger //Orbot//. L'utilisation de F-Droid est intuitive.
==== Télécharger Orweb ====
Tant que vous êtes sur F-Droid, profitez-en pour télécharger le navigateur web sécurisé, //Orweb//. Vous suivez ainsi le premier scenario d'utilisation d'Orbot. C'est un moyen facile de se familiariser avec Orbot avant d'envisager une utilisation plus ample.