Le blog de Genma
Vous êtes ici : Accueil » Veille Technologique » Retour sur le billet de Darkredman Tor, un projet (presque) inutile

Retour sur le billet de Darkredman Tor, un projet (presque) inutile

D 30 janvier 2015     H 09:00     A Genma     C 1 messages   Logo Tipee

TAGS : Tor Anonymat Tails

Darkredman a écrit un billet intitulé Tor, un projet (presque) inutile !. Il y a plusieurs choses intéressantes dans son billet, qui sous un titre un peu provocateur, apporte pas mal de notions et concepts qu’il faut approfondir et pour lesquels il faut aller plus loin. Ce sont sur ces différents points sur lesquels je voudrais apporter ma contribution.

Petit rappel sur TOR

Je cite ici un commentaire de Z░Ø░Ø░M░O░R░P░H░ sur mon appel à contribution sur Diaspora-fr.org

“Our goal is anonymous connections, not anonymous communication” - Onion Routing

L’objectif du système a clairement été annoncé dès le début du projet : « Notre but est l’anonymat des connections, et non pas la communication anonyme »… il s’agit en gros de cacher où tu es et où tu vas, mais pas qui tu es !

Je pense qu’il faut garder cette remarque à l’esprit pour la suite de l’analyse.

Sur le sujet de l’empreinte numérique

Je sais que sur la mailing-liste de Tails ou de Tor, il y a des questions à ce sujet, sur le fait d’ajouter ou non des extensions au navigateur et le fait que personnaliser son navigateur réduit l’anonymat... Ce n’est pas pour rien si Le TorBrowser Bundle est un bundle.

Je dois encore creuser le sujet, je pense que je reviendrai là-dessus dans un billet dédié et je vous invite à tester vous-mêmes votre navigateur sur https://panopticlick.eff.org/.

Analyse des écrits

votre manière d’écrire qu’on peut coupler avec un système bayésien. Alors écrire un commentaire en tant que « Anonymous » quelque part ne sert à rien si vous écrivez comme à l’habitude.

Effectivement, je confirme ce point. Dans ma Conférence à l’Epita - Chiffrement et anonymat, reprenez le contrôle de votre vie privée, je disais qu’il est en effet possible d’identifier quelqu’un en étudiant la typographie, le style, le vocabulaire, la culture, les idées, la fréquence des mots utilisés, la tournure de phrase, le genre. Ces techniques sont utilisées pour déterminer qui se cache derrière des Anonymous par exemple.

Dans mon cas, je sais que j’écris sur le blog depuis plus de 10 ans, que je fais des conférences publiques et que je suis don on ne peut plus concerner par ce problème. Je n’ai donc pas (pour l’instant) pas de blog sur une autre identité (ma véritable identité) mais que si je devais me lancer, il faudrait que je prenne en compte ce point, que je me force à écrire et m’exprimer d’une façon différente.

Tor sous Windows

utiliser un réseau Tor en étant sous Windows ou Mac ça ne sert strictement à rien !

Je ne serai pas aussi catégorique. Tor apporte deux choses bien distinctes : la lutte contre la censure, le filtrage. Et de l’anonymat. Tout dépend donc ce que l’on cherche. Tout dépend du modèle de menace que l’on a, contre qui on veut se protéger.

Sous Windows, Tor permet d’outrepasser un proxy, d’outrepasser une censure. D’avoir un "relatif" anonymat. Si on veut aller plus loin, avoir un anonymat plus sérieux, il n’y a pas que l’usage de Tor. Tor est un outil parmi d’autre. Un anonymat peut voler en éclat de plein de façon, voici deux exemples parmi d’autre : Comment un pseudonymat peut voler en éclat ?, Comment un simple mail peut trahir un anonymat ?.

Les métadonnées indirectes

on peut retrouver vos habitudes telles que les heures auxquelles vous vous connectez ce qui agrémente votre empreinte numérique

Tout à fait d’accord. L’heure à laquelle on poste sur un blog peut donner des indications. Ce sont des métadonnées comme tant d’autres. D’où l’intérêt de programmer des publications de billets, toute le temps à la même heure. Il y a aussi l’heure/le fuseau horaire de son PC... Le live-cd Tails prend en compte ces paramètres par exemple en proposant de le changer.

Il y a aussi les métadonnées que l’on laisse dans des photos et autres documents...

Aller plus loin dans cette réflexion

Tor est un outil parmi d’autre et ne suffit pas. Il y a un comportement minimaliste à adopter, voir Vous voulez que Tor marche vraiment ? par exemple. Il faut être sûr de son TorBrowser (Comment vérifier l’intégrité du TorBrowser quand on le télécharge ?)

Pour aller plus loin on utilisera Tails. Il faut Comprendre comment Tor fonctionne. Il faut inclure Tor dans son modèle de menace, aller toujours plus loin dans la compréhension d’Internet, des risques, des possibilités, de toutes les traces que l’on peut laisser.

Il faut penser à utiliser des connexions httpS et encore Https le cadenas ne suffit pas.

La sécurité informatique, ça ne s’improvise pas. Ca s’apprend. C’est long, difficile et compliqué. Pour aider, je sais que personnellement, je coanime des Café vie privée/Chiffrofêtes. J’apprends. Tous les jours. Je synthétise ce que j’apprends dans des billets que je publie sur ce blog pour diffuser mes connaissances et compréhensions acquises.

1 Messages

  • J’apprécie ton retour sur mon article, je n’avais encore jamais remarqué cette déclaration “Our goal is anonymous connections, not anonymous communication” et effectivement construire un anonymat va au delà de la simple utilisation de Tor et qu’il faut aller au delà de ça. C’est vrai que dans le cas de Windows et MacOS Tor apporte un moyen d’outrepasser la censure.

    ░Z░Ø░Ø░M░O░R░P░H░ écrit aussi "L’un des principaux écueils du système, ce n’est pas l’empreinte numérique qui nous distinguerait de tous les autres utilisateurs, c’est le simple fait d’utiliser TOR !! Il suffit d’utiliser TOR pour être repéré…" Alors oui dans le sens d’être repéré comme personne rejetant l’espionnage de masse. Mais pas en terme d’identité si la chaine de l’anonymat est intacte mais c’est un fait intéressant de penser que les ONG de surveillance puisse chercher là où les gens se cachent le plus.

    J’ai remarqué que dans les billets autour du sujet, peu de gens parlent du "cercle de confiance" concernant les contacts ou concernant les logiciels par exemple beaucoup de gens font confiance à CryptoCat alors que moi pas et que j’aurai plutôt confiance à Bitmessage qui est "trustless" et "fully distributed".

    Chose à part, j’ai aussi remarqué le commentaire "Il est apparemment impossible de lire le billet mentionné sans activer le Javascript dans son navigateur. Pour la protection de la vie privée, ça commence mal :-)" j’ai remarqué que il y a un souci avec Wordpress pour le CSS mais avec Diaspora c’est pire on ne peut pas lire le contenu sans javascript par exemple, de plus activer javascript ne veut pas forcément dire pas d’anonymat. Ça dépend du code sous-jacent.

    Je pense creuser le sujet d’anonymat plus globalement sans me focaliser sur Tor dans mes prochains billets.