moi aussi j'aimerais bien le fin mot de l'histoire.
Pour moi tant que tu es dans le reseau tor pas de probleme tout est crypte.
Si tu sors du reseau et que tu ne fais pas une requete vers un serveur https alors tes logins sont visible et une personne qui ecoute pourra les intercepter.
Si tu sors du reseau et que tu fais une requete crypte(genre https) alors pas de soucis. Tes donnes sont cryptees.
Le protocole https n'est pas forcement utilise si? En fait ca depend du serveur si il a ete configure pour ca non?
- Edité par quarkh il y a environ 4 heures
Https est très utile ! Si tu dois te connecter sur compte via n'importe quel navigateur Web (que ce soit TOR ou un autre quelconque) HTTPS est primordiale. Après si c'est juste pour voir une page Web, ce n'est pas "si" utile mais tant que tu dois envoyer des informations personnelles, il faut que la connexion soit cryptée !
Je pense la même chose quarkh. En fait, je crois que le danger qu'il peut y avoir pour notre anonymat lors d'une visite dans le web clair, c'est que l'on ne fasse pas attention et que l'on donne des indications sur notre identité dans un paquet (du style login, adresse mail...). En fait, comme tu le dis, je pense qu'en dehors du réseau Tor, s'il est question d'identification, il faut qu'il y ait un https. Si on suit ces directives, à mon avis on est relativement tranquille.
Je pense la même chose quarkh. En fait, je crois que le danger qu'il peut y avoir pour notre anonymat lors d'une visite dans le web clair, c'est que l'on ne fasse pas attention et que l'on donne des indications sur notre identité dans un paquet (du style login, adresse mail...). En fait, comme tu le dis, je pense qu'en dehors du réseau Tor, s'il est question d'identification, il faut qu'il y ait un https. Si on suit ces directives, à mon avis on est relativement tranquille.
Corrigez-moi si je me trompe :-)
- Edité par Ryevhy il y a une minute
Pour toi, quand tu parles du réseau TOR, tu fais allusion au site en .onion ? Car pour se connecter sur un site du Web clair par le biais de TOR, il faut là aussi HTTPS ! Après, j'ai bonne confiance au réseau TOR, cependant comme j'ai dis dans des commentaires précédents, apparemment les services secrets anglais et américains ont cassés ce réseau. Est-ce vrai ? Si oui notre anonymat est en danger. Mais bon, TOR reste toute de même une bonne alternative au niveau de notre anonymat.
Pour toi, quand tu parles du réseau TOR, tu fais allusion au site en .onion ? Car pour se connecter sur un site du Web clair par le biais de TOR, il faut là aussi HTTPS !
Ah non pas du tout.
Un reseau tor c'est le fait d'utlliser plusieurs proxies(appele relais) pour faire une requete. Et le dernier relais effectue la requete avec son adresse ip.
Paul fait une requete -> relais 1 -> relais 2 -> relais 3 -> site
entre relais 1 et 3 la requete est crypte. On est dans le reseau Tor.
la question que posait ryehvy etait de savoir ce qu'il se passait apres le relais 3 c'est a dire quand on sort du reseau Tor.
Et donc si le site a contacte est en https les donnees seront cryptes sinon elle ne le seront pas. Mais c'est le serveur que l'on cherche a contacte qui determine le protocole (https). Ca n'a rien a voir avec Tor.
Pour toi, quand tu parles du réseau TOR, tu fais allusion au site en .onion ? Car pour se connecter sur un site du Web clair par le biais de TOR, il faut là aussi HTTPS !
Ah non pas du tout.
Un reseau tor c'est le fait d'utlliser plusieurs proxies(appele relais) pour faire une requete. Et le dernier relais effectue la requete avec son adresse ip.
Paul fait une requete -> relais 1 -> relais 2 -> relais 3 -> site
entre relais 1 et 3 la requete est crypte. On est dans le reseau Tor.
la question que posait ryehvy etait de savoir ce qu'il se passait apres le relais 3 c'est a dire quand on sort du reseau Tor.
Et donc si le site a contacte est en https les donnees seront cryptes sinon elle ne le seront pas. Mais c'est le serveur que l'on cherche a contacte qui determine le protocole (https). Ca n'a rien a voir avec Tor.
Pas besoin d'explications, je comprends le fonctionnement de TOR ! Après le relais 3, c'est comme si tu te connectais sur un site Web sans TOR. C'est-à-dire après le relais 3 tu passes par le FAI du relais 3 pour te connecter au site Web. Mais le problème c'est entre le relais 3 et le site internet, il n'y a pas de cryptage. Donc un hacker ou le FAI peut lire les informations échangés ! C'est pour ça que HTTPS est là : pour crypter ! Sinon, se connecter à un compte sur un site sans que le site ait HTTPS, là y a un gros soucis !
Bonne journée
PS: J'aimerais avoir la confirmation que entre son ordinateur et le relais 1, c'est bien crypté ?
Bien sûr que tout TOR est crypté : pourquoi les pédophiles et tout ce qui se fait de criminels innommables l'utiliseraient, sinon ? Pour la NSA et le FBI essayeraient de le mettre au pas si toutes les choses que vous dites visibles l'étaient ? Il n'y a que la sortie du réseau qui peut peut-être être non cryptée. Lisez un peu les articles des sites spécialisés en sécurité informatique (Zataz, Data security breach, Korben, Undernews, etc.) et vous saurez comment tous ces "trucs" fonctionnent... Mais avant, relisez le cours : tout y est expliqué ! Mais il y a aussi plus performant : Tails et I2P.
Que de réponses! Merci à toutes et à tous pour votre enthousiasme, ça me fait plaisir de savoir que je suis lu et que vous cherchez à approfondir certains points que j'ai préféré garder sous silence pour garder le cours accessible.
Tout d'abord, un point rapide sur l'état du cours. Déjà c'est très gentil de ta part @orvamix de te préoccuper de ma santé. Je vais bien, c'est juste que j'ai pas mal de choses à faire à côté du cours, et je n'ai pas vraiment le temps de venir répondre dès qu'un nouveau message est posté (mais la date de dernière connexion sur mon profil montre que je passe encore ). Sachez que je vous lis tous, et que quand je passe (ce qui est actuellement le cas ), j'essaye de répondre à toutes les questions qui ont été soulevées, donc si vous posez une question revenez de temps en temps, peut-être que je serais passé par là et que j'aurais pris le temps d'y répondre. Pour ce qui est du cours en lui-même, j'ai publié le cours en estimant qu'il était assez complet sur le sujet. C'est pourquoi il n'y a pas de grosse évolution sur le cours. D'ailleurs, si tu regardes les autres cours du site, il n'y a pas non plus de changement notable.
J'ai eu des remarques sur les énoncés des QCM et TD, et ai fait de mon mieux pour les prendre en compte afin d'ajuster les questions afin qu'elles soient le plus faciles à comprendre. Désolé encore, et merci à tous ceux qui on pris le temps de m'écrire pour me suggérer des améliorations. A mon avis maintenant c'est mieux ! Pour ce qui est de la notation pair à pair, même si ça peut parfois mener à des résultats un peu surprenants, c'est le meilleur moyen de vous faire participer de manière un peu plus personnelle que des QCM. C'est toujours une bonne manière d'apprendre que de faire un exercice et de corriger celui d'autres, même si ça demande un investissement plus important de votre part.
Enfin, merci @impossiblepossible de m'avoir corrigé pour l'avantage fiscal des donations aux associations, il y avait bien une erreur. Désolé à ce sujet, ce n'est pas mon domaine d'expertise alors j'ai écris ça en pensant que c'était vrai, vraiment. L'erreur est humaine, comme on dit. :/
Je vais commencer par un rapide rappel sur HTTPS, et à quoi ça sert sur Internet. HTTPS est une extension du protocole HTTP (qui permet de faire des requêtes à des sites Internets, votre navigateur l'a utilisé pour charger cette page par exemple), qui ajoute un chiffrage du contenu de la connexion. En effet, lorsque vous faites une requête HTTP "classique" (c'est-à-dire sans HTTPS), le contenu des paquets de votre ordinateur au site n'est pas chiffré : quiconque les intercepte est capable de lire leur contenu, qui peut aller du message que vous allez poster sur votre forum favori à vos identifiants pour ce même site. Vous l'aurez compris, le problème de HTTP c'est qu'il n'est pas adapté aux enjeux actuels du web, où la sécurité est de mise lorsque vous faites des achats sur Internet par exemple ! C'est pourquoi on a inventé HTTPS, qui chiffre le contenu des paquets utilisés pour la connexion HTTP. Ainsi, si on intercepte ces paquets, on ne peut pas en faire grand chose, contrairement aux paquets d'une connexion HTTP "classique" ! Pour être tout à fait exact, il est toujours possible de savoir qui fait la requête, et qui est son destinataire (c'est dans les métadonnées du paquet), mais il est impossible d'en extraire des identifiants par exemple.
Lorsque l'on utilise Tor pour visiter des sites du web clair, la connexion est obligatoirement chiffrée entre nous et le relais de sortie, et c'est le relais de sortie qui fait ensuite notre requête avec son adresse IP. Si cette requête utilise HTTPS, la requête est chiffrée jusqu'au site : c'est tout bon. Mais sinon, il est possible d'intercepter le contenu de la communication HTTP, et même si c'est uniquement le relais de sortie qui la fait et pas nous, ce n'est jamais bon de laisser une autre personne que le destinataire de la requête y avoir accès. C'est d'ailleurs pour cela que OpenClassrooms a mis en place HTTPS pour accéder au site : ils voulaient éviter que les boîtes noires (de la loi renseignement) qui sont désormais imposées sur le réseau Internet français ne puissent espionner de manière trop lourde nos connexions au site.
D'ailleurs, comme c'est le relais de sortie qui fait la requête à notre place, on est bien anonyme du point de vue du site web si l'on ne lui donne pas d'informations personnelles permettant de nous identifier de manière précise. Si l'on s'en tient à un pseudonyme et un mot de passe, impossible pour le site web de savoir qui vous êtes. Par contre, si on commence à donner des renseignements comme son numéro de téléphone personnel (comme sur Facebook/Google/...), là on est bien évidemment plus anonyme, même si on passe par Tor pour se connecter au site : les données du compte utilisé permettent au site de tout savoir sur nous !
En parlant de l'utilisation de Tor pour visiter des sites web du web clair, vous aurez peut-être remarqué un comportement étrange sur certains sites (comme @impossiblepossible). Sachez que les adresses IP des relais de sortie du réseau Tor sont, comme celles de tous les relais du réseau (sauf les bridges), publiques. Et, comme certaines personnes utilisent le réseau à des fins parfois peu recommandables, certains sites peuvent avoir mis en place des restrictions pour les utilisateurs de Tor. Ça peut aller du Captcha à des fonctionnalités réduites, honnêtement c'est totalement dépendant du webmestre du site en question, il suffit d'une mauvaise expérience pour que l’administrateur sombre dans une espèce de paranoïa anti-Tor (il faut dire que le réseau n'a tout de même pas bonne presse...). Je me souviens même d'un site qui affichait juste un message pour demander de désactiver Tor lorsque l'on le visitait. C'est vous dire jusqu'où ça peut aller !
Vous avez été nombreux, comme @etoileduberger,à soulever la notion de proxy, que j'ai utilisée dans le cours pour expliquer après le principe du routage en oignon (pour résumer : on met plusieurs proxy à la chaîne). En fait, le chiffrement de la connexion n'est pas systématique, cela dépend de quel proxy on utilise. Cela dit, la grande majorité des connexion aux proxy est chiffrée, par des technologies diverses en fonction du type de proxy. Par exemple pour Kproxy, qui est un proxy HTTP (il ne fait que transmettre des requêtes HTTP), le chiffrement est assuré par la connexion HTTPS. D'autres services utilisent OpenVPN pour chiffrer l'intégralité des données transmises. Bref, la connexion au proxy est souvent chiffrée, c'est pourquoi j'ai simplifié (peut-être abusivement, mais c'était plus simple pour la suite du cours) en disant que l'intégralité des connexions à des proxy étaient chiffrées.
Pour ce qui est de l'utilisation des proxy, ils sont bien évidemment plus rapides que Tor mais, comme je l'ai souligné, le problème de leur utilisation est qu'ils ont toutes les informations sur vos requêtes, c'est pourquoi je pense qu'il faut éviter de tels services, peut importe leur nationalité. Après, si vous voulez tout simplement cacher votre adresse IP, ce sont de bons outils, mais ne comptez pas sur eux pour garantir votre vie privée.
Sur le réseau Tor, seul le premier relais de la chaîne connaît votre adresse IP (mais pas votre requête !), et la seule communication que vous faites avec votre adresse IP est ce premier lien avec un relais du réseau Tor. Après, le chemin que suit votre requête est noyé dans la masse de requêtes que gère le réseau Tor, il devient donc impossible de suivre son cheminement si l'on est un acteur extérieur au réseau. C'est pourquoi il est uniquement possible de savoir que vous utilisez Tor, mais pas quelles requêtes vous faites avec (d'où l'intérêt pour contourner la censure!). J'en profite pour ajouter que la sélection du premier relais de la chaîne (le seul qui sait que vous utilisez Tor, mais pas pourquoi je le répète), que l'on nomme Guard, est faite selon des critères assez exigeants : il faut un certain nombre de jours d'ancienneté, et mettre à disposition du réseau un volume assez important de bande passante. Bref, même si cette sélection n'est pas parfaite, elle permet de compliquer la tâche aux personnes qui voudraient attaquer le réseau Tor.
J'en profite pour ajouter que le web profond n'a rien d'illégal, il y a d'ailleurs des sites tout à fait légaux dessus comme Facebook ou DuckduckGo. C'est juste certains sites qui profitent de l'anonymat fourni pour faire des activités peu recommandables, mais en soi des sites peu recommandables on en a aussi sur le web clair ! Cela dit, l'utilisation de Tor peut entraîner une surveillance, mais bon vu le nombre de personnes qui utilisent Tor je doute que celle-ci soit très poussée, et puis de toute façon on est tous déjà un peu espionnés par la NSA et autres... Et en tout cas le routage en oignon empêche que l'on puisse savoir facilement les requêtes que vous faites par le réseau Tor, ce qui n'est pas le cas si vous n'utilisez pas Tor.
Enfin, vous vous êtes aussi intéressé au financement de Tor. Déjà, il faut garder à l'esprit que la plupart des relais du réseau Tor sont gérés par des bénévoles, donc à part quelques relais de sortie, le site web et le développement du logiciel (et encore, il y a des contributions bénévoles à ce niveau là comme le projet est open source), il n'y a pas tant que ça a financer... Mais ça fait quand même quelques millions de dollars, et comme certains d'entre vous l'ont souligné, une grande partie vient du gouvernement américain. En effet, le projet Tor est avant tout un projet de recherche, et il ne faut pas oublier que l'armée utilise aussi Tor. Bref, le gouvernement américain a sûrement de bonnes raisons de financer Tor...
Et cela n'est pas forcément une question de backdoor (porte dérobée, c'est-à-dire une fonctionnalité cachée permettant, ici de casser le chiffrement rapidement) ! Certains d'entre vous ont mentionné des backdoors dans divers logiciels grand public. C'est tout à fait possible dans le cas où le service est géré par une seule et unique entité, qui peut alors avoir un accord avec le gouvernement pour ouvrir ses serveurs aux services de renseignement. Mais ce n'est pas possible dans le cas où c'est un grand nombre de particuliers qui gère le service, comme c'est le cas de Tor.
Pour comprendre tout cela, un point rapide s'impose sur la méthode de chiffrement utilisée par Tor : la cryptographie asymétrique. Celle-ci repose sur une combinaison de deux clés : une clé publique, qui permet de chiffrer le message, et une clé privée (que seul le destinataire conserve) qui permet de déchiffrer le message. L'expéditeur du message n'a accès qu'à la clé publique, et chiffre son message avec cette clé-ci, et ce n'est ensuite qu'à l'aide de la clé privée que le serveur peut déchiffrer le message... Ça peut sembler un peu magique comme ça, et pour tout vous avouer je ne connais pas non plus le rouages internes de la cryptographie. Ce qu'il faut retenir, c'est qu'il y a une bonne dose de mathématiques, et qu'avec ça on arrive à implémenter le mécanisme que je viens de vous décrire.
Ces clés privées sont absolument indispensables si l'on veut déchiffrer le message car, l'algorithme de chiffrement étant assez compliqué, il est impossible de tester toutes les possibilités une à une. Dans le cas où c'est une entité unique qui gère le service, ce n'est pas bien compliqué : il suffit de partager la clé privée avec les services de renseignement. Mais si c'est une foule de particuliers, nul doute que certains d'entre eux voudront garder la clé pour eux. Or il faut savoir que chaque relais a une clé unique (générée au hasard lors du premier lancement du relais), donc à moins d'avoir toutes les clés, impossible de déchiffrer les échanges qui se font dans le réseau Tor. C'est pour cela que je pense que le réseau Tor est assez sécurisé. Le seul moyen de casser le chiffrement serait qu'il ait une vulnérabilité cachée, mais il y a tout de même un grand nombre de spécialistes qui analysent en permanence les différents algorithmes disponibles, donc je pense qu'on peut leur faire confiance !
Enfin, un petit mot sur l'utilisation du réseau à des fins terroristes. Il est évidemment impossible de nier l'utilisation de Tor à de telles fins, mais d'une part ce n'est pas la seule, et on ne peut pas nier le rôle clé de Tor dans les révélations d'Edward Snowden. N'oublions pas enfin que Tor ne fournit pas les ceintures d'explosifs et autres : l'aspect matériel pose lui aussi des questions quant à l'efficacité de nos services de renseignement...
Vous m'avez aussi posé quelques questions techniques.
@mehdi.27 La croix rouge dans le Tor Browser peut avoir de nombreuses causes, si cela t'arrive tu peux essayer de remettre à zéro la configuration du Tor Browser en le réinstallant, le plus souvent ça règle pas mal de problèmes. Pour vérifier que le Tor Browser fonctionne bien, pense à utiliser http://check.torproject.org, ce site te permet de vérifier que tes requêtes passent bien par Tor.
@impossiblepossible Pour ce qui est de l'utilisation du clavier virtuel, pour saisir son mot de passe ou des informations sensibles, cela n'a d'intérêt que pour se protéger des virus de type Keylogger (enregistreur de frappe en français). Il s'agit de virus qui enregistrent tout ce que vous tapez sur votre clavier, et qui l'envoient au créateur du virus. Honnêtement, des infections par ce virus sont extrêmement rares, surtout si l'on est équipé d'un antivirus. Donc utiliser le clavier virtuel relève plus de la paranoïa que d'autre chose à mon avis, et puis un clavier physique c'est plus pratique quand même. D'autant plus que je ne suis pas sûr que les frappes du clavier virtuel ne soient pas enregistrées quand même par le Keylogger, afin d'assurer le fonctionnement des frappes avec tous les programmes je pense que ça passe par le même canal que les frappes du clavier physique. Note toutefois que le site de ta banque, s'il utilise un clavier virtuel, te protège bien des Keylogger car le clavier reste interne à la page web.
Désolé pour ce pavé, j'ai essayé d'apporter des réponses à toutes vos questions. J'espère que ça a été suffisamment exhaustif et que ça a répondu à la plupart d'entre elles. En tout cas, si il reste des points pas clairs, n'hésitez pas !
Actuellement en train d'essayer de me connecter au réseau Tor, en passant par Mozilla Firefox sous Windows 8.1.
Message Impossible de se connecter au port de contrôle lorsque j'ouvre dossier Start Tor Browser (j'ai désactivé les pare-feux, anti-virus et daté l'heure).
Néanmoins je suis arrivé, quelques fois, à me connecter au réseau Tor, mais la connexion demeure imparfaite puisque surgissent les problèmes suivants:
- Tor inactif (en rouge en haut à gauche, et je ne peux pas l'activer en cliquant dessus)
- IP statique --> pas le même IP sur check.torproject.org et sur MyIP
Bref ce qui m'embête pour l'instant c'est le port de contrôle, j'ai bien essayé de le définir manuellement (9050,9150..), mais pourtant d'après ce que j'ai vu nul besoin de modifier des paramètres ...
@Sergueï Je n'ai pas très bien compris ta manière de te connecter à Tor : utilises-tu Firefox ou la version de Firefox du Tor Browser ? La manière la plus simple de se connecter à Tor est d'utiliser le Tor Browser Bundle, comme je l'ai expliqué dans le cours. Normalement c'est très simple : il suffit de l'installer, puis de le lancer et tout se fait tout seul. Essaye de tout réinstaller, ça pourrait régler ton problème. Sinon, en soi un problème de connexion au port de contrôle (ou une icône rouge dans le Tor Browser) n'est pas forcément grave (il t'empêche juste d'utiliser le bouton en oignon pour changer de chemin, mais sinon tu navigues quand même en passant par Tor). Si le service http://check.torproject.org te dis que utilises Tor, c'est bon quand même !
Garde aussi à l'esprit que ton IP change régulièrement aux yeux d'Internet lorsque tu passe par Tor, étant donné que Tor change régulièrement de chemin (et donc de relais de sortie). C'est peut-être pour cela que check.torproject.org et MyIP te donnent des adresses IP différentes.
De toutes façons, les spécialistes de la sécurité informatique disent que TOR n'est réellement sûr qu'en l'accompagnant de l'usage d'un VPN. Pour faire encore mieux, vous pouvez modifier votre adresse MAC avec Technitium (il y a d'autres logiciels et solutions, mais celui-ci est facile d'usage et gratuit). Pour utiliser ce logiciel, il est préférable d'utiliser une adresse commençant par 02:xx:xx, sinon vous usurpez celle d'un tiers et ce n'est pas légal. Le 02 n'est pas utilisé par les fabricants de cartes réseau et sert juste à cacher son adresse perso pour ne pas être tracé. De plus il indique la modification par l'administrateur de la machine. C'est clair !
Oulà @ZahariaAvarra, ne confondons pas tout! CryptoWall est un logiciel malveillant qui utilise la cryptographie pour chiffrer les fichiers de l'ordinateur sur lequel il s'installe, et après ses auteurs utilisent Tor pour se faire payer... N'est-ce pas la preuve même de l'anonymat apporté par Tor (certes c'est à des fins malveillantes mais tout de même) ?
Lorsque l'on dit que tout est chiffré dans le réseau Tor, on parle des requêtes qui transitent par le réseau. Ainsi, si je fais une requête vers un site du web clair en utilisant Tor, ma requête va être chiffrée de mon ordinateur au relais de sortie, et ensuite elle peut éventuellement transiter en clair sur Internet si le site n'utilise pas HTTPS. Je ne parle absolument pas des données personnelles de ton ordinateur, mais uniquement de celles qui pourraient permettre de t'identifier personnellement lorsque tu fais une requête sur Internet (adresse IP,...). Dès lors, les différents relais du réseau Tor ne pouvant pas déchiffrer ta requête (sauf celui de sortie, mais il ne sait pas qui a fait la requête), les données personnelles de ta requête sont bien protégées si ta requête reste dans le réseau Tor : seul le destinataire y aura accès. C'est en particulier vrai si tu utilise un service du web profond (en .onion) puisque seul le relais Tor du service du web profond aura accès à ta requête en clair (celle-ci étant chiffrée jusqu'à lui en utilisant le principe du routage en oignon).
J'espère que c'est plus clair, quoiqu'il en soit utiliser Tor ne dispense pas d'un antivirus, loin de là !
Ensuite @PiBé pour ce qui est sur les possibilités d'amélioration de l'anonymat de Tor elles sont bien entendues nombreuses. Je n'ai pas voulu aller trop loin dans mon cours pour ne pas perdre tout le monde, mais si l'on veut un anonymat encore plus poussé, nul doute que Tor ne suffit pas! Je me souviens avoir entendu parler d'un groupe de hackers qui, afin d'éviter qu'on ne remonte jusqu'à eux, avaient utilisé une chaîne de proxy très longue. Je ne me souviens plus trop des détails, mais il me semble qu'il était question de faire passer plusieurs fois la requête par le réseau Tor avant sa destination. Bref, il y a moyen de rendre les choses bien plus compliquées.
@TPXP : oui, effectivement, il y a pas mal de procédés pour compliquer le traçage, mais celui qui reste le plus simple pour les personnes qui participent à ce cours (les hackers confirmés ne sont pas ici...), c'est l'usage d'un VPN de bonne qualité (pas en version gratuite qui limite souvent les fonctions). HMA (Hide My Ass) est le plus recommandé : il permet de se localiser vraiment partout...
Quoi qu'il en soit, Tor ne deviendra un réseau sûr que le jour où les gouvernements n'auront plus de prise sur lui.
Chacun est un relais, soit, mais chacun utilise le même logiciel et/ou les même méthodes de chiffrement.
Tor est sûr pour l'internaute lambda. Tout ce système de surveillance qui gravite autour de cet internaute ne déclenchera pas la moindre alerte.
Malheureusement, si j'étais un dissident tibétain, je ne l'utiliserais pas, car pas assez sûr.
Tant qu'une activité web reste légale, mais "peu avouable", Tor est un excellent moyen de communication !
Cela signifie, comme j'ai vu plus haut que c'est évoqué, que les pédophiles peuvent se rhabiller et c'est tant mieux ! (et je ne parle pas jihad et autres perversions de certains esprits embrumés)....
Quelle bonne surprise @TPXP que tu sois en quelque sorte "revenu" sur ce forum. J'étais très surpris que tu regardais quand même nos messages car je pensais que tu avais tout simplement abandonné ce forum après avoir fini ton cours. En fait, pour ainsi dire, c'est le seul cours qui intéresse vraiment sur OpenClassroom. Peut-être parce que la programmation m'attire moins que la compréhension des réseaux... mais bon on s'en fout !
J'ai lu ton pavé qui pour moi est une sorte d'approfondissement de cours. Et pour ainsi dire, il y a des choses qui se sont éclaircis dans ma tête et d'autres qui restent dans le brouillard. Tout d'abord, au départ je ne souhaitais pas utilisé TOR que pour l'anonymat, ce qui m'intéresse vraiment c'est le Web profond car franchement passer d'un ping de 20 à un ping de 500 pour aller sur internet c'est assez... enfin voilà quoi. Bref je me promène sur le Hidden Wiki, et je ne vois pas grand chose d'intéressant. Car j'ai l'impression que la plupart d'entre-vous utilise TOR que pour le Clear Web. Pourtant, peut-être quelqu'un peut m'y répondre : Qu'est ce qu'on y trouve sur le DeepWeb ? (Et ne me dites pas les gros clichés du DeepWeb (enfin plutôt Darknet) qu'on y trouve de la drogue, armes, pédophilie...).
J'ai aussi l'impression que TOR est à la fois un outil de confiance et à la fois non. Dans le sens où on dit que tout est crypté (il n'y a pas un chiffrage plus puissant que le chiffrage RSA ?), pourtant j'ai l'impression qu'à la fois TOR est superbe pour l'anonymisation et à la fois les gouvernement ont la main dessus : Qu'est-ce qui est vrai, qu'est ce qui est faux ?
De plus, vous dîtes que l'usage d'un VPN est plus sûr (Déjà, pourquoi ?) et y-a t-il des VPN qui fonctionnent sur le bénévolat (comme TOR) ? Et, étant donné que TOR (où plutôt TOR browser) est un logiciel libre, y a t-il moyen de le modifier, le paramétrer de façon qu'il soit plus sûr ? Quoi qu'il en soit je sais que le 100% sécurisé sur internet n'existe pas mais j'espère que TOR est celui qui s'en rapproche le plus.
"Les" gouvernements n'ont pas la main sur TOR, mais reçoit 60% de son financement provient du gouvernement des EUA pour soutien à la liberté d'expression (pourquoi pas...) et à la recherche scientifique. Ce qui ne veut pas dire que le gouvernement des EUA a créé TOR dans le but d'attirer les personnes en manque d'anonymat pour mieux les surveiller (pour les amateurs de théorie du complot...) Si TOR était contrôlé par le gouvernement qui le finance le plus, pourquoi celui-ci demanderait une plus grande transparence quant aux serveurs qui le composent (les enquêtes de la NSA mettent un temps fou à aboutir à cause de lui) ? Et pourquoi tout ce qu'il y a de plus criminel s'en sert pour se couvrir (eh oui, orvamix, il y a ça aussi, mais il faut savoir où pour y accéder ; ce n'est pas moi qui te renseignerait...) ? Bon, TOR n'est pas parfait et il y a "meilleur" encore que lui (c'est ce qui se dit dans les milieux hackers...) : Tails et I2P (sur Wikipédia, respectivement ici et ici).
"Les" gouvernements n'ont pas la main sur TOR, mais reçoit 60% de son financement provient du gouvernement des EUA pour soutien à la liberté d'expression (pourquoi pas...) et à la recherche scientifique. Ce qui ne veut pas dire que le gouvernement des EUA a créé TOR dans le but d'attirer les personnes en manque d'anonymat pour mieux les surveiller (pour les amateurs de théorie du complot...) Si TOR était contrôlé par le gouvernement qui le finance le plus, pourquoi celui-ci demanderait une plus grande transparence quant aux serveurs qui le composent (les enquêtes de la NSA mettent un temps fou à aboutir à cause de lui) ? Et pourquoi tout ce qu'il y a de plus criminel s'en sert pour se couvrir (eh oui, orvamix, il y a ça aussi, mais il faut savoir où pour y accéder ; ce n'est pas moi qui te renseignerait...) ? Bon, TOR n'est pas parfait et il y a "meilleur" encore que lui (c'est ce qui se dit dans les milieux hackers...) : Tails et I2P (sur Wikipédia, respectivement ici et ici).
Bonjour,
Merci de ta réponse, je sais comment est financé TOR mais ça reste étrange qu'ils soient financés par les USA et tenté d'être surveillés par la NSA. Tu te considères comme un hacker ? Tails est un système d'exploitation basé sur Debian mais il utilise comme même TOR et qu'est ce qu'a I2P de plus que TOR ?
Hacker ? Certainement pas... Je ne serais sinon pas ici. Mon but est certainement de le devenir, j'essaye d'aller dans ce sens en m'informant et me formant mais le chemin risque d'être long ; et à mon âge il se pourrait bien que je ne le sois jamais... Je n'utilise pas les deux, mais I2P chiffre sur quatre couches, c'est donc importants. Pour le reste, les articles WP expliquent bien. Le gouvernement américain a financé pour avoir un réseau sûr qui serve en premier à l'armée et à la recherche, comme pour les début d'internet. Après, ils ont ouvert à tout le monde...
@Pibé Oui en effet le réseau Tor est aussi utilisé par des dissidents, grâce aux fameux Bridges ! Mais les autorités de certains pays comme la Chine ne restent pas là à rien faire, elles mettent aussi en place des moyens pour contrer Tor... C'est jeu du chat et de la souris qui n'est pas prêt de s'arrêter. Comme je l'ai dit, Tor est une première étape, il y en a bien d'autres mais je ne suis pas vraiment renseigné à ce sujet.
@orvamix Je ne me souviens pas avoir dit qu'il était préférable d'utiliser un VPN plutôt que Tor ! Tor est bien plus puissant qu'un VPN puisque le principe du routage en oignon permet un meilleur anonymat, alors que si l'on utilise un VPN ce dernier sait tout sur nos requêtes et les réponses du serveur (en particulier si celles-ci utilisent HTTP!). Puisque tu me poses la question des VPN gratuits, il en existe, le premier exemple qui me vient à l'esprit est Kproxy (mais c'est juste un proxy HTTP), mais il y a aussi VPN Gate, qui fournit une liste de proxy gratuits qui peuvent être utilisés par d'autres applications.
Pour ce qui est du financement, je pense que les Etats-Unis sont contents de voir que Tor permet de contourner la censure et donc, dans certains pays, permet de contribuer à un changement en faveur des droits de l'Homme. N'oublions pas que chez nos voisins outre-Atlantique, l'idée que les Etats-Unis est une nation à part qui a reçu de Dieu un pouvoir d'intervention pour instaurer la liberté est présente et bien implantée (d'où un certain interventionnisme, notamment militaire...). A mon avis, l'impact non négligeable de Tor pour le contournement de la censure (il a par exemple été utilisé pour coordonner les mouvements du printemps arabe dans les pays où Facebook a été censuré par les autorités), est quelque chose qui les incite à financer le réseau. Après on peut toujours préférer à cela la théorie complotiste, chacun est libre de penser ce qu'il veut à ce sujet mais cette histoire de financement ne m'inquiète pas plus que ça personnellement. Il y aussi l'utilisation par l'armée, qui montre par ailleurs que le réseau est assez sûr !
La méthode de chiffrement RSA est une méthode qui est parmi les plus sûres à l'heure actuelle... Mais il y a plusieurs manières de faire du chiffrement RSA, notamment en jouant sur la longueur des clés. Je ne suis pas vraiment expert en cryptographie, mais j'ai retenu que plus la clé est longue, plus le chiffrement sera difficile à casser. Il y a aussi une extension pour l'échange de clé dit Diffie-Hellman (sur l'article Wikipédia, le petit schéma avec des couleurs permet de bien comprendre) qui permet d'assurer un chiffrement encore plus fort. Tor est passé à cette technologie, c'est pourquoi je pense que l'on peut considérer que le chiffrement utilisé par Tor est sûr... Après je ne suis pas cryptographe, donc je n'ai guère d'autre choix que de faire confiance aux experts sur la question, mais à mon avis comme ils sont nombreux ils sont fiables !
Il est impossible de savoir si les gouvernements ont la main sur Tor, mais je pense que les efforts mis en place par certains, notamment le gouvernement chinois, pour le bloquer, montrent que le réseau Tor reste libre. En tout cas, mettre la main dessus n'est pas du tout facile, et les affaires comme celle de Silk Road montrent que casser l'anonymat du réseau nécessite des moyens importants.
Le Tor Browser étant basé sur le navigateur open source Mozilla Firefox, il est tout à fait exact que l'on peut le modifier comme on veut et le recompiler à sa guise, voici d'ailleurs les sources. Bon, ça s'était pour le détail technique, mais sinon tu peux tout à fait paramétrer ton navigateur pour qu'il soit un peu plus sécurisé sans modifier les sources, il y a quelques options disponibles. Tu as par exemple l'option "Paramètres de confidentialité et de sécurité" en cliquant sur l'oignon. Toutefois, si tu mets le niveau de sécurité au maximum, la plupart des sites risquent de rencontrer des problèmes pour fonctionner (problèmes de chargements des images/feuilles de style/scripts javascript...). Tu peux aussi interdire Javascript globalement à l'aide de l'extension NoScript (j'en ai parlé dans mon cours), avec les mêmes problèmes potentiels de navigation.
Tu as évoqué le Web Profond, à vrai dire je n'en sais pas vraiment plus que toi à ce sujet, mais j'ai montré dans mon cours que l'anonymat qu'il permettait d'avoir pouvait être utile dans mon exemple avec BitCoinFog. Il y a d'une manière générale vraiment de tout sur le Web profond, du blog perso au réseau social en passant par des wikis, ou encore des systèmes de communication sécurisés (TorBox par exemple). En un mot : il y a tout ce qu'il y a sur Internet, l'anonymat en plus ! Si tu sais ce que tu cherches, les moteurs de recherche mentionnés sur The Hidden Wiki devraient pouvoir t'aider à le trouver. Ils ne sont pas aussi intelligents que Google, mais ça aide toujours.
Je ne connais pas I2P, mais ils ont publié un comparatif avec Tor. Je n'ai pas trop creusé le sujet, mais j'ai retenu que la liste des pairs n'est pas centralisée, ce qui rend plus impossible un arrêt du réseau en saisissant les serveurs maîtres (Tor repose sur quelques serveurs principaux qui constituent le Consensus, ce sont ces serveurs qui attribuent aux relais leurs différents drapeaux par exemple). Un autre point de différenciation avec le réseau Tor est que le chemin utilisé par le relais de sortie pour te renvoyer la réponse est différent de celui que tu as utilisé pour lui envoyer ta requête. Cela rend plus difficile le pistage des utilisateurs car il faut saisir deux fois plus de relais pour avoir une chance d'avoir tous les relais utilisés par une requête. C'est une autre manière de voir les choses, après il faut bien garder à l'esprit que le réseau est beaucoup plus petit que Tor et donc potentiellement bien plus vulnérable si un attaquant commence à faire fonctionner un grand nombre de relais !
Un dernier mot sur Tails. Il s'agit juste d'un système d'exploitation que l'on peut démarrer depuis une clé USB et qui dirige toutes les requêtes par Tor, comme si on avait fait un "torify" général (c'est ce que fait Tallow sur Windows par exemple). Il y a aussi quelques outils de cryptographie, et surtout comme le système est chargé uniquement dans la mémoire vive de l'ordinateur (qui est effacée dès que l'ordinateur est éteint), toutes les traces sont effacées dès que l'on quitte Tails. Ce sont ces différences qui font de Tails le couteau suisse de celui qui veut utiliser un ordinateur anonymement.
× Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
× Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.
TPXP
TPXP
TPXP
TPXP