Mettre à jour Debian via Tor - apt-transport-tor

, par  Genma , popularité : 3%

De même que l’on souhaitera mettre à jour ses clefs GPG via Tor (cf mon billet sur Parcimonie), on peut souhaiter mettre à jour sa distribution Debian via Tor. C’est pour répondre à cette problématique qu’a été lancé le projet apt-transport-tor dont les sources sont disponibles ici https://github.com/diocles/apt-transport-tor

Pour rappel, le port utilisé par apt est le port 80 et donc cela ne pose pas de soucis de faire une mise à jour via Tor.

But du projet

La description du projet décrit assez bien le but du projet de façon assez simple : il est décrit comme étant un moyen simple d’installer ses packages Debian par Tor. Comme indiqué sur la page du projet : Le téléchargement des paquets Debian sur Tor empêche un attaquant qui reniflait votre connexion réseau d’être en mesure de dire quels paquets vous récupérez, et même d’associé votre trafic au fait que votre système tourne sous Debian.
Toutefois, cela ne signifie vous défend pas :
 d’un adversaire passif global (qui pourraient potentiellement corréler le trafic du noeud de sortie avec votre trafic Tor local)
 d’un attaquant qui regarderait la taille de vos téléchargements, et qui ferait une supposition avisée sur le contenu
 d’un attaquant qui a compromis votre machine
Enfin, les vitesses de téléchargement seront plus lentes via Tor.

Comment ça marche

Le paquet implémente une méthode d’acquisition des paquets en cherchant des URLS du type "tor+http://" or "tor+https://" dans le fichier sources.list.

Les dépôts Debian utilisés sont les dépôts standards (on ne parle pas d’utiliser des dépôts Debian en Hidden services ou fichiers cachés), ou de dépôts alternatifs. On se connecte aux mêmes dépôts qu’habituellement, mais via une connexion Tor ce qui permet d’être anonyme vis à vis du serveur du dépôt.

Rq : sur la page de documentation, les liens indiqués pour le source liste sont sous la forme http. Http et non HttpS. Mais ce n’est pas un problème. Bien qu’il n’y ait pas de dépôt officiel Debian en HTTPS, les paquets Debian étant signé via GPG, le risque de compromission du paquet ne se pose pas. Voir à ce sujet mon billet Vérifier l’intégrité des paquets Debian.

Différence avec un torrify apt-get install

Je me suis posé la question de la différence entre l’utilisation de cette commande et une commande du type torrify apt-get install (Voir La commande Torify pour plus de détails).

J’ai eu la réponse suivante : torify / torsocks is a huge hack with Linux library preloading. Not very clean, can leak DNS, etc. With apt-transport-tor, you use the Tor SOCKS5 proxy directly (and correctly) que je traduirais par >torify / torsocks se basent sur des hacks énormes de librairies préchargées de Linux. Ce n’est pas très propre, il y peut y avoir des fuites de DNS (les DNS Leak). Avec la commande apt-transport-tor, on utilise directement et correctement le proxy Tor SOCKS5.