Précautions à prendre avec Tor

Le lun. 27 mai 2013 Par aegirs  | Catégorie : Anonymat

Tags :

 

Il y a quelques temps j'avais écrit un billet sur Tor (qui s'est perdu avec le changement de moteur de blog) et j'avais dit que je détaillerai les précautions à prendre avant de l'utiliser dans un environnement sensible.

Du coup chose promise chose due, voici ce petit billet détaillant l'utilisation de Tor, en mode parano. ;)

Tout d'abord la précaution évidente est d'être certain d'avoir un ordinateur sans virus, spyware, rootkit, keylogger ou autre joyeusetés du genre. Évitez Windows ou Mac.

Ensuite il vous faut un logiciel à jour qui est téléchargeable ici (et ne faites confiance à aucuns autres sites) :

https://www.torproject.org/

Notez le s dans https, ne l'oubliez pas (de toute façon, si tout va bien, ce site ne vous laisse pas le choix).

Si votre navigateur vous affiche un message parlant de problème de certificats, de site non identifié ou d'autre choses dans ce goût là, ne téléchargez pas. Il y aurait alors un fort risque que vous ne soyez pas connecté sur le vrai site et vous pourriez télécharger un faux logiciel Tor.

Pour une utilisation basique, c'est à dire juste surfer avec un navigateur web, téléchargez le "Tor Browser Bundle" adapté à votre système d'exploitation. Je ne détaillerai pas les utilisations plus poussées qui ont peu d'intérêt pour l'utilisateur moyen.

Une fois que vous aurez téléchargé le logiciel, ne le lancez pas mais téléchargez le fichier de signature lié dont l’extension est .sig (le lien est appelé sig et est situé juste en dessous du bouton de téléchargement).

Ce fichier est une signature numérique qui vous permet de vous assurer que le fichier que vous avez téléchargé corresponde à celui qu'a réellement voulu mettre en ligne le créateur du fichier et pas un autre que quelqu'un ayant piraté le site aurait pu mettre. Cela vous permettra aussi de vous assurer que le fichier n'est pas abîmé.

Pour cela il faut utiliser gpg :

http://www.gnupg.org/download/index.fr.html

Assurez vous là aussi d'avoir une version fiable.

Je ne détaillerai pas aujourd'hui l'utilisation de gpg, mais vous trouverez sans peine les explications sur le web.

Dans son utilisation, vous aurez besoin à un moment de le clé publique du signataire. Elle appartient à l'équipe de développement de Tor et l'identifiant de la clé serait (je n'ai pas pu vérifier de façon poussée et de toutes façons vous n'avez pas à me faire confiance) : EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290

Une fois tout ceci d'effectué et validé, vous pouvez lancer le navigateur packagé avec Tor. Sur la page d'accueil il doit s'afficher une confirmation que Tor fonctionne bien. Si ce n'est pas le cas vous devez bien évidemment arrêter.

Personnellement, pour confirmer que tout est ok, je conseillerai de tester un service caché de Tor (Après réflexion je ne donnerai pas de lien pour ça, ceux qui ne savent pas ce que c'est peuvent ignorer cette étape).

Une fois que tout semble bon il y reste encore des choses auxquelles faire attention.

Sachez par exemple que Tor n'anonymise pas les paquets udp, ce qui peut poser des problèmes pour les requêtes DNS, mais ce point est réglé si vous avez utilisé le "Tor Browser Bundle" conseillé plus haut.

De même, il faut savoir que les connections sont chiffrée jusqu'au nœud de sortie, mais arrivé à celui-ci la seule chose qui l'empêche de voir les informations qui transitent est de passer en https. Si vous ne le faites pas, il ne saura certes pas où vous êtes, mais il pourra voir tout ce que vous lisez, écrivez, vos mots de passes... Je vous laisse imaginer la suite.

N'ajoutez bien sûr aucunes extensions ou modules au navigateur, préférez désactiver le javascript et dites adieu aux vidéos en flash.

Un point très important, ayez bien conscience que même si on ne sait pas exactement ce que vous faites, on peut savoir que vous utilisez Tor !

Une fois que vous avez respecté tout ça vous avez de meilleures chance de ne pas être tracé, mais vous ne pourrez de toute façon jamais en être certain à 100%

J'ai probablement oublié des choses et n'hésitez pas à me les signaler.

J'espère ne pas avoir trop découragé les gens en mettant en évidence les zones d'incertitudes, mais ce qui est sûr c'est que vous prendrez moins de risque en faisant tout ça plutôt qu'en téléchargeant directement sans précautions.

 

Commentaires !