Outils pour utilisateurs

Outils du site


crypto:tor

Tor

Tor est un outil conçu pour que les échanges privés restent privés et pour que des sites web que vous visitez cessent d'accumuler des informations sur vous, à votre insu, soit implicitement1), soit en violation pure et simple de leurs engagements ou de la législation.

Installer Tor (sur Debian)

Installer Tor sur un système propriétaire (Window$, Mac OS) c'est un peu comme installer une serrure 12 points mais laisser les clés sous le paillasson.

La meilleure manière d'installer Tor sur Debian est de le faire à partir des dépôts officiels du projet Tor (et non à partir de dépôts standard Debian). La configuration des dépôts suit la procédure classique d'ajout d'un dépôt sécurisé.

Le site officiel du Projet Tor décrit cette procédure, pas à pas. Tout se fait avec de simples copier/coller. Foncez !

En poursuivant les indication fournies sur le site officiel, vous apprendrez également comment :

  • configurer vos applications pour qu'elles utilisent Tor
  • configurer votre ordi pour en faire un relais Tor (sans phagociter votre bande passante)

Démarrer ou arrêter Tor

source : How to manage Tor service on Linux (en)

Tor est-il actif ?

$ systemctl status tor

Arrêter Tor

$ sudo systemctl stop tor

Démarrer Tor

$ sudo systemctl start tor

Ne pas lancer Tor au démarrage du système

$ sudo systemctl disable tor

Lancer Tor au démarrage du système

$ sudo systemctl enable tor

Installer une interface graphique

Afin de faciliter l'utilisation et la participation au réseau Tor, une interface graphique a été développée : Vidalia.

L'installation est sans surprise :

# apt-get install vidalia

Tor Browser

Tor sécurise le réseau que vous utilisez mais pas vos applications et encore moins les utilisations que vous en faites.

Tor Browser est un navigateur sécurisé qui vient remplacer Chrome (ou Chromium), Firefox, Internet Explorer, etc. Sans aucune configuration supplémentaire, Tor Browser vous propose un navigateur fiable, dès son installation. Comme son nom le suggère, Tor Browser utilise le réseau Tor pour transporter les informations entre votre ordi et les sites/services Web que vous utilisez.

Télécharger Tor Browser

La méthode la plus fiable consiste à télécharger l'application depuis le site officiel du sous-projet Tor Browser.

Sous Linux le résultat du téléchargement est une archive (tar.xz) et une signature (.tar.xz.asc). Avant toute autre opération, il convient de vous assurer que :

  1. l'application que vous avez téléchargée est authentique2),
  2. le téléchargement s'est techniquement bien déroulé.

Afin contrôler le bon déroulement de la deuxième étape vous devez disposer d'un moyen de vérification. Pour l'obtenir, rendez-vous sur la page de téléchargement sécurisé de Tor Browser. Vous y trouverez une commande ayant une forme semblable à la commande suivante. Il faut suffira de la copier-coller.

gpg --keyserver x-hkp://pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290
La ligne de commande indiquée ci-avant est un exemple !!! Rendez-vous impérativement sur le site de téléchargement sécurisé de Tor Browser, comme indiqué plus haut.

Vous pouvez alors vérifier que le téléchargement s'est bien déroulé. Du même coup, vous allez également vous assurer que le fichier est bien celui mis à disposition sur le site de Tor Browser. En vous plaçant dans le répertoire où vous avez chargé l'archive et la signature, tapez la commande suivante :

gpg --verify la-version-telechargee-de-tor-browser.tar.xz.asc

En lisant attentivement les résultats affichés par cette commande, vous allez notamment voir :

pg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:             Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
   Empreinte de la sous-clef : BA1E E421 BBB4 5263 180E  1FC7 2E1A C68E D408 14E0

Ce message signifie exactement ce qu'il dit. Vous pouvez être certaine que l'application est bien celle qui était mise à votre disposition sur le site mais vous n'avez aucun moyen d'être sûre que cette signature est celle de l'équipe de développement de Tor Browser :-? Une autre manière de le dire est que vous ne pouvez pas savoir si le site de Tor Browser a été temporairement piraté ni si vos connexions internet sont détournées vers un site qui ressemble à celui de Tor mais n'est qu'un leurre3) !

Disons-le tout de suite, il n'existe aucun moyen d'apporter une preuve absolue. La solution proposée sur la page de téléchargement sécurisé de Tor Browser (“The best method is to meet the developer in person and exchange key fingerprints.”4)) n'est pas réaliste :-(

Solution de vérification de la signature

Un moyen classique consiste à noter l'information suivante qui s'affiche sur la page de téléchargement :

 Currently valid subkey fingerprints are:

    5242 013F 02AF C851 B1C7  36B8 7017 ADCE F65C 2036
    BA1E E421 BBB4 5263 180E  1FC7 2E1A C68E D408 14E0
    05FA 4425 3F6C 19A8 B7F5  18D4 2D00 0988 5898 39A3

Comparez ces informations à celles qui sont apparues lorsque vous avez lancé la commande “gpg –verify”. Dans le cas traité ici, on voit que l'empreinte de la sous-clé affichée par gpg –verify est la deuxième de la liste affichée sur le page du site :

    BA1E E421 BBB4 5263 180E  1FC7 2E1A C68E D408 14E0

Notez cette information où vous voulez, par exemple sur un bout de papier.

Depuis des ordinateurs différents reliés à internet par des réseaux différents du votre, à quelques jours d'intervalle, rendez-vous sur la page de téléchargement sécurisé de Tor Browser https://www.torproject.org/docs/verifying-signatures.html.en (n'oubliez pas le https) et assurez-vous que l'empreinte est toujours présente5). Si c'est le cas, il y a tout lieu de penser que vous êtes bien sur la page de Tor Browser et que le site n'a pas été piraté. Vous pouvez évidemment demander à des potes de vous aider à faire cette vérification, depuis leur ordi. Dans ce dernier cas, évitez le mail6) et utilisez le téléphone ou des applications de téléphonie ou de visiophonie.

Installer Tor Browser

Autant l'authentification de l'origine est compliquée, autant l'installation de Tor Browser est simple. Il vous suffit de décompresser l'archive.

Ouvrez le répertoire ainsi créé dans votre navigateur de fichiers préféré et cliquez (ou double-cliquez) sur l'icône du fichier start-tor-browser. L'application sera lancée. C'est tout ? Oui :-D

Bien sûr, rien ne vous empêche de créer un lanceur (un raccourci graphique) que vous pourrez placer sur votre bureau. La manière de le faire dépend type de bureau que vous utilisez (xfce, kde, gnome…) et déborde complètement le cadre de cette aide en ligne.

Installer Tor sur Android

Tor s'installe aussi sur Android, commme expliqué sur la page Tor on Android, du projet Tor. Pour ce faire, il faut installer l'application Orbot.

Une fois installé et activé7), Orbot dotera votre appareil sous Android d'un relais sécurisé. Eb lui-même, ce relais ne vous apporte aucune sécurité. Il vous en offre la possibilité. Pour concrétiser cette possibilité, plusieurs scenarii sont possibles :

  • installer un navigateur spécial8) qui utilisera exclusivement le relais Orbot pour accéder à internet,
  • configurer vos applications pour qu'elles empruntent le relais Orbot, au lieu d'accéder directement à internet, comme elle le font jusqu'ici 9),
  • indiquer à Orbot quelles applications doivent utiliser ce relais pour accéder à internet,
  • configurer Orbot pour que tous les échanges entre votre appareil et internet passent par le relais Orbot.

Autrement dit, si vous ne faites qu'installer et activer Orbot, votre appareil continuera à accéder à internet comme il le faisait avant, c'est-à-dire de manière non sécurisée !

Installer Orbot

Orbot est disponible sur Google Play. Vous pouvez donc l'installer comme n'importe quelle application. Mais ce n'est pas le moyen le plus sûr pour installer Orbot. Si vous souhaitez sécuriser votre utilisation d'internet, il est judicieux de commencer par sécuriser le canal par lequel vous vous procurez votre système de sécurité10)

Google Play n'est pas le seul canal via lequel vous pouvez vous procurer des applications fiables pour Android. Un canal parallèle, F-Droid, a été mise en place par des personnes qui ne souhaitent pas dépendre de Google. À la différence Google Play qui ne vous permet que de télécharger des applis disponibles sur le store de Google 11), F-Droid vous laisse libre de choisir les dépôts12) alternatifs auprès desquels vous souhaitez vous approvisionner. Par exemple, pour télécharger des apps sécurisant nos communication, on se tournera vers un dépôt validé par Tor…

On commence donc par installer F-Droid…

Installer F-Droid

Sans surprise, F-Droid s'installe depuis le site officiel de F-Droid.

  1. depuis son appareil Android, faire pointer un navigateur la page d'accueil de F-Droid,
  2. cliquer le bouton de téléchargement ; cela télécharge l'application qui se présentera sous la forme d'un fichier, dans votre répertoire de téléchargement habituel,
  3. à l'aide d'un explorateur de fichier, naviguer jusqu'au fichier téléchargé,
  4. ouvrir le fichier ; cela lance son installation sur votre appareil.

Voilà ! F-Droid apparait dans a liste de vos apps.

Lancer, configurer F-Droid et télécharger Orbot

Après avoir lancé F-Droid comme n'importe quelle app, vous pouvez configurer les dépôts que vous souhaitez exploiter. Rassurez-vous, le dépôt de référence pour télécharger Orbot, The Guardian Project, est déjà déclaré dans F-Droid. Vous n'avez qu'à l'activer. C'est tout…

Partant de là, F-Droid vous permet de télécharger Orbot. L'utilisation de F-Droid est intuitive.

Télécharger Orweb

Tant que vous êtes sur F-Droid, profitez-en pour télécharger le navigateur web sécurisé, Orweb. Vous suivez ainsi le premier scenario d'utilisation d'Orbot. C'est un moyen facile de se familiariser avec Orbot avant d'envisager une utilisation plus ample.

1)
En rendant votre contrôle des informations tellement difficile que vous baissez les bras.
2)
Et pas une contrefaçon qui vous ferait croire que vous utilisez Tor Browser alors que vous utiliseriez une application espionne !
3)
C'est exactement ce genre de souci dont Tor Browser vous prémunira, une fois installé, mais vous ne l'avez pas encore installé.
4)
“La meilleure méthode est de rencontrer [physiquement] le développeur en personne et d'échanger des empreintes [numérique].”
5)
Asdrad Hotline pouvant également être piraté, il est plus sûr de récupérer l'URL de la page de téléchargement sécurisé de Tor Browser, depuis un moteur de recherche, sur les autres ordinateurs que vous utiliserez pour votre vérification.
6)
Si votre connexion internet est compromise, le mail n'est pas un moyen sûr, sauf à utiliser des outils de cryptographie forte.
7)
Suite à l'installation, il faut manuellement lancer Orbot. Les réglages par défaut stipulent que lors d'un redémarrage, Orbot sera automatiquement activé. Bien sûr, vous pouvez configurer les paramètres de fonctionnement d'Orbot.
8)
Une sorte d'équivalent de Tor Browser.
9)
Cette option, n'est applicable que sur des applications hautement configurables.
10)
Dans le monde physique, il ne viendrait à l'idée de personne d'acheter des serrures 5 points à des cambrioleurs. OK, dès qu'on touche au numérique, tout bon sens semble disparaître puisqu'il se trouvent des gens pour acheter des firewalls à Micro$oft et pour faire confiance à Facebook ou Google pour leur données personnelles.
11)
Ça vous parait logique ? Trouveriez-vous logique que Twitter ne vous permettre de suivre que des comptes estampillés par Twitter ?
12)
On ne parle plus de store.
crypto/tor.txt · Dernière modification: 2021/01/01 13:11 de flaz