Retour sur le billet de Darkredman Tor, un projet (presque) inutile

, par  Genma , popularité : 3%

Darkredman a écrit un billet intitulé Tor, un projet (presque) inutile !. Il y a plusieurs choses intéressantes dans son billet, qui sous un titre un peu provocateur, apporte pas mal de notions et concepts qu’il faut approfondir et pour lesquels il faut aller plus loin. Ce sont sur ces différents points sur lesquels je voudrais apporter ma contribution.

Petit rappel sur TOR

Je cite ici un commentaire de Z░Ø░Ø░M░O░R░P░H░ sur mon appel à contribution sur Diaspora-fr.org

“Our goal is anonymous connections, not anonymous communication” - Onion Routing

L’objectif du système a clairement été annoncé dès le début du projet : « Notre but est l’anonymat des connections, et non pas la communication anonyme »… il s’agit en gros de cacher où tu es et où tu vas, mais pas qui tu es !

Je pense qu’il faut garder cette remarque à l’esprit pour la suite de l’analyse.

Sur le sujet de l’empreinte numérique

Je sais que sur la mailing-liste de Tails ou de Tor, il y a des questions à ce sujet, sur le fait d’ajouter ou non des extensions au navigateur et le fait que personnaliser son navigateur réduit l’anonymat... Ce n’est pas pour rien si Le TorBrowser Bundle est un bundle.

Je dois encore creuser le sujet, je pense que je reviendrai là-dessus dans un billet dédié et je vous invite à tester vous-mêmes votre navigateur sur https://panopticlick.eff.org/.

Analyse des écrits

votre manière d’écrire qu’on peut coupler avec un système bayésien. Alors écrire un commentaire en tant que « Anonymous » quelque part ne sert à rien si vous écrivez comme à l’habitude.

Effectivement, je confirme ce point. Dans ma Conférence à l’Epita - Chiffrement et anonymat, reprenez le contrôle de votre vie privée, je disais qu’il est en effet possible d’identifier quelqu’un en étudiant la typographie, le style, le vocabulaire, la culture, les idées, la fréquence des mots utilisés, la tournure de phrase, le genre. Ces techniques sont utilisées pour déterminer qui se cache derrière des Anonymous par exemple.

Dans mon cas, je sais que j’écris sur le blog depuis plus de 10 ans, que je fais des conférences publiques et que je suis don on ne peut plus concerner par ce problème. Je n’ai donc pas (pour l’instant) pas de blog sur une autre identité (ma véritable identité) mais que si je devais me lancer, il faudrait que je prenne en compte ce point, que je me force à écrire et m’exprimer d’une façon différente.

Tor sous Windows

utiliser un réseau Tor en étant sous Windows ou Mac ça ne sert strictement à rien !

Je ne serai pas aussi catégorique. Tor apporte deux choses bien distinctes : la lutte contre la censure, le filtrage. Et de l’anonymat. Tout dépend donc ce que l’on cherche. Tout dépend du modèle de menace que l’on a, contre qui on veut se protéger.

Sous Windows, Tor permet d’outrepasser un proxy, d’outrepasser une censure. D’avoir un "relatif" anonymat. Si on veut aller plus loin, avoir un anonymat plus sérieux, il n’y a pas que l’usage de Tor. Tor est un outil parmi d’autre. Un anonymat peut voler en éclat de plein de façon, voici deux exemples parmi d’autre : Comment un pseudonymat peut voler en éclat ?, Comment un simple mail peut trahir un anonymat ?.

Les métadonnées indirectes

on peut retrouver vos habitudes telles que les heures auxquelles vous vous connectez ce qui agrémente votre empreinte numérique

Tout à fait d’accord. L’heure à laquelle on poste sur un blog peut donner des indications. Ce sont des métadonnées comme tant d’autres. D’où l’intérêt de programmer des publications de billets, toute le temps à la même heure. Il y a aussi l’heure/le fuseau horaire de son PC... Le live-cd Tails prend en compte ces paramètres par exemple en proposant de le changer.

Il y a aussi les métadonnées que l’on laisse dans des photos et autres documents...

Aller plus loin dans cette réflexion

Tor est un outil parmi d’autre et ne suffit pas. Il y a un comportement minimaliste à adopter, voir Vous voulez que Tor marche vraiment ? par exemple. Il faut être sûr de son TorBrowser (Comment vérifier l’intégrité du TorBrowser quand on le télécharge ?)

Pour aller plus loin on utilisera Tails. Il faut Comprendre comment Tor fonctionne. Il faut inclure Tor dans son modèle de menace, aller toujours plus loin dans la compréhension d’Internet, des risques, des possibilités, de toutes les traces que l’on peut laisser.

Il faut penser à utiliser des connexions httpS et encore Https le cadenas ne suffit pas.

La sécurité informatique, ça ne s’improvise pas. Ca s’apprend. C’est long, difficile et compliqué. Pour aider, je sais que personnellement, je coanime des Café vie privée/Chiffrofêtes. J’apprends. Tous les jours. Je synthétise ce que j’apprends dans des billets que je publie sur ce blog pour diffuser mes connaissances et compréhensions acquises.