Tor est un outil conçu pour que les échanges privés restent privés et pour que des sites web que vous visitez cessent d'accumuler des informations sur vous, à votre insu, soit implicitement1), soit en violation pure et simple de leurs engagements ou de la législation.
Installer Tor sur un système propriétaire (Window$, Mac OS) c'est un peu comme installer une serrure 12 points mais laisser les clés sous le paillasson.
La meilleure manière d'installer Tor sur Debian est de le faire à partir des dépôts officiels du projet Tor (et non à partir de dépôts standard Debian). La configuration des dépôts suit la procédure classique d'ajout d'un dépôt sécurisé.
Le site officiel du Projet Tor décrit cette procédure, pas à pas. Tout se fait avec de simples copier/coller. Foncez !
En poursuivant les indication fournies sur le site officiel, vous apprendrez également comment :
source : How to manage Tor service on Linux (en)
Tor est-il actif ?
$ systemctl status tor
Arrêter Tor
$ sudo systemctl stop tor
Démarrer Tor
$ sudo systemctl start tor
Ne pas lancer Tor au démarrage du système
$ sudo systemctl disable tor
Lancer Tor au démarrage du système
$ sudo systemctl enable tor
Afin de faciliter l'utilisation et la participation au réseau Tor, une interface graphique a été développée : Vidalia.
L'installation est sans surprise :
# apt-get install vidalia
Tor sécurise le réseau que vous utilisez mais pas vos applications et encore moins les utilisations que vous en faites.
Tor Browser est un navigateur sécurisé qui vient remplacer Chrome (ou Chromium), Firefox, Internet Explorer, etc. Sans aucune configuration supplémentaire, Tor Browser vous propose un navigateur fiable, dès son installation. Comme son nom le suggère, Tor Browser utilise le réseau Tor pour transporter les informations entre votre ordi et les sites/services Web que vous utilisez.
La méthode la plus fiable consiste à télécharger l'application depuis le site officiel du sous-projet Tor Browser.
Sous Linux le résultat du téléchargement est une archive (tar.xz) et une signature (.tar.xz.asc). Avant toute autre opération, il convient de vous assurer que :
Afin contrôler le bon déroulement de la deuxième étape vous devez disposer d'un moyen de vérification. Pour l'obtenir, rendez-vous sur la page de téléchargement sécurisé de Tor Browser. Vous y trouverez une commande ayant une forme semblable à la commande suivante. Il faut suffira de la copier-coller.
gpg --keyserver x-hkp://pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290
Vous pouvez alors vérifier que le téléchargement s'est bien déroulé. Du même coup, vous allez également vous assurer que le fichier est bien celui mis à disposition sur le site de Tor Browser. En vous plaçant dans le répertoire où vous avez chargé l'archive et la signature, tapez la commande suivante :
gpg --verify la-version-telechargee-de-tor-browser.tar.xz.asc
En lisant attentivement les résultats affichés par cette commande, vous allez notamment voir :
pg: Attention : cette clef n'est pas certifiée avec une signature de confiance. gpg: Rien n'indique que la signature appartient à son propriétaire. Empreinte de clef principale : EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290 Empreinte de la sous-clef : BA1E E421 BBB4 5263 180E 1FC7 2E1A C68E D408 14E0
Ce message signifie exactement ce qu'il dit. Vous pouvez être certaine que l'application est bien celle qui était mise à votre disposition sur le site mais vous n'avez aucun moyen d'être sûre que cette signature est celle de l'équipe de développement de Tor Browser Une autre manière de le dire est que vous ne pouvez pas savoir si le site de Tor Browser a été temporairement piraté ni si vos connexions internet sont détournées vers un site qui ressemble à celui de Tor mais n'est qu'un leurre3) !
Disons-le tout de suite, il n'existe aucun moyen d'apporter une preuve absolue. La solution proposée sur la page de téléchargement sécurisé de Tor Browser (“The best method is to meet the developer in person and exchange key fingerprints.”4)) n'est pas réaliste
Un moyen classique consiste à noter l'information suivante qui s'affiche sur la page de téléchargement :
Currently valid subkey fingerprints are: 5242 013F 02AF C851 B1C7 36B8 7017 ADCE F65C 2036 BA1E E421 BBB4 5263 180E 1FC7 2E1A C68E D408 14E0 05FA 4425 3F6C 19A8 B7F5 18D4 2D00 0988 5898 39A3
Comparez ces informations à celles qui sont apparues lorsque vous avez lancé la commande “gpg –verify”. Dans le cas traité ici, on voit que l'empreinte de la sous-clé affichée par gpg –verify est la deuxième de la liste affichée sur le page du site :
BA1E E421 BBB4 5263 180E 1FC7 2E1A C68E D408 14E0
Notez cette information où vous voulez, par exemple sur un bout de papier.
Depuis des ordinateurs différents reliés à internet par des réseaux différents du votre, à quelques jours d'intervalle, rendez-vous sur la page de téléchargement sécurisé de Tor Browser https://www.torproject.org/docs/verifying-signatures.html.en (n'oubliez pas le https) et assurez-vous que l'empreinte est toujours présente5). Si c'est le cas, il y a tout lieu de penser que vous êtes bien sur la page de Tor Browser et que le site n'a pas été piraté. Vous pouvez évidemment demander à des potes de vous aider à faire cette vérification, depuis leur ordi. Dans ce dernier cas, évitez le mail6) et utilisez le téléphone ou des applications de téléphonie ou de visiophonie.
Autant l'authentification de l'origine est compliquée, autant l'installation de Tor Browser est simple. Il vous suffit de décompresser l'archive.
Ouvrez le répertoire ainsi créé dans votre navigateur de fichiers préféré et cliquez (ou double-cliquez) sur l'icône du fichier start-tor-browser. L'application sera lancée. C'est tout ? Oui
Bien sûr, rien ne vous empêche de créer un lanceur (un raccourci graphique) que vous pourrez placer sur votre bureau. La manière de le faire dépend type de bureau que vous utilisez (xfce, kde, gnome…) et déborde complètement le cadre de cette aide en ligne.
Tor s'installe aussi sur Android, commme expliqué sur la page Tor on Android, du projet Tor. Pour ce faire, il faut installer l'application Orbot.
Une fois installé et activé7), Orbot dotera votre appareil sous Android d'un relais sécurisé. Eb lui-même, ce relais ne vous apporte aucune sécurité. Il vous en offre la possibilité. Pour concrétiser cette possibilité, plusieurs scenarii sont possibles :
Autrement dit, si vous ne faites qu'installer et activer Orbot, votre appareil continuera à accéder à internet comme il le faisait avant, c'est-à-dire de manière non sécurisée !
Orbot est disponible sur Google Play. Vous pouvez donc l'installer comme n'importe quelle application. Mais ce n'est pas le moyen le plus sûr pour installer Orbot. Si vous souhaitez sécuriser votre utilisation d'internet, il est judicieux de commencer par sécuriser le canal par lequel vous vous procurez votre système de sécurité10)…
Google Play n'est pas le seul canal via lequel vous pouvez vous procurer des applications fiables pour Android. Un canal parallèle, F-Droid, a été mise en place par des personnes qui ne souhaitent pas dépendre de Google. À la différence Google Play qui ne vous permet que de télécharger des applis disponibles sur le store de Google 11), F-Droid vous laisse libre de choisir les dépôts12) alternatifs auprès desquels vous souhaitez vous approvisionner. Par exemple, pour télécharger des apps sécurisant nos communication, on se tournera vers un dépôt validé par Tor…
On commence donc par installer F-Droid…
Sans surprise, F-Droid s'installe depuis le site officiel de F-Droid.
Voilà ! F-Droid apparait dans a liste de vos apps.
Après avoir lancé F-Droid comme n'importe quelle app, vous pouvez configurer les dépôts que vous souhaitez exploiter. Rassurez-vous, le dépôt de référence pour télécharger Orbot, The Guardian Project, est déjà déclaré dans F-Droid. Vous n'avez qu'à l'activer. C'est tout…
Partant de là, F-Droid vous permet de télécharger Orbot. L'utilisation de F-Droid est intuitive.
Tant que vous êtes sur F-Droid, profitez-en pour télécharger le navigateur web sécurisé, Orweb. Vous suivez ainsi le premier scenario d'utilisation d'Orbot. C'est un moyen facile de se familiariser avec Orbot avant d'envisager une utilisation plus ample.