Tor Browser : Anonymement vôtre
Tor Browser est un Firefox version ESR, très modifié, qui permet aux internautes d’être anonymes sur le web. Il est livré bien paramétré, avec les modules NoScript et HTTPS Everywhere. Il est tout simple à installer et à utiliser
Quelques malentendus au sujet de Tor Browser
Tor, The Onion Router a mauvaise presse parce qu’il est disponible, comme le web, comme l’internet, comme l’informatique en général, pour tout le monde, honnêtes gens du monde entier et malfrats en tous genre du monde entier. Il offre à tout le monde la possibilité d’être anonyme sur le web.
Tor n’a pourtant pas tort car c’est grâce à Tor Browser que des honnêtes gens vivant dans des régimes répressifs ou dictatoriaux peuvent s’exprimer, informer le reste du monde et échapper aux arrestations ou à la mort. Par exemple, si le malheureux Raif Badawi avait écrit son blog en passant par Tor et en restant très prudent, il aurait peut-être échappé à son arrestation, sa condamnation et ses terrifiantes conséquences.
Tor n’a pas tort non plus de nous offrir de l’anonymat à nous autres, gens ordinaires, qui vivons dans des pays qui dérivent de plus en plus loin de la démocratie et qui nous assujettissent injustement à un espionnage généralisé.
Tor n’a pas tort non plus de nous offrir de l’anonymat car nous tous, internautes du monde entier, sommes assujettis au vol de nos données personnelles par des monopoles comme Google, Facebook, Microsoft, Apple, Amazon, et par de nombreuses entreprises qui prennent au piège de leur «cloud» des naïfs et des opportunistes.
Bien sûr, GNU/Linux comme système installé sur nos ordinateurs, Firefox bien paramétré, accompagnés de modules appropriés, nous aident à nous protéger mais rien ne cache notre IP, par exemple. Bien sûr, il existe des VPN mais aucun n’est vraiment sûr, pas même Bitmask (un OpenVPN paramétré et prêt à l’emploi) tant qu’il est encore en version bêta.
Installation dans Debian GNU/Linux
Dans Debian, Tor Browser est très facile à installer, grâce au paquet torbrowser-launcher
.
Ce paquet existe pour Debian Wheezy (dépôt Backports à ajouter) et pour Debian Jessie. Dans les deux cas, il faut ajouter le dépôt contrib
— pas besoin d’ajouter le dépôt nonfree
, pour autant, restez libres
Ce programme installe Tor et Tor Browser, puis deux icônes dans le menu général de votre environnement de bureau, comme vous le montre cette image :
- L’icône Tor Browser qui lance le navigateur
- L’icône Tor Browser Launcher Settings qui permet quelques réglages éventuels et que vous pouvez ensuite oublier complètement.
Voici une image de ce que vous pouvez voir dans le menu général de LXDE :
Tor Browser Launcher s’occupe en arrière-plan de vérifier si le navigateur est à jour et vous indique très clairement qu’une mise à jour est nécessaire, dans la fenêtre du navigateur une fois que celui-ci est lancé, à l’aide d’un avertissement bien visible — clic sur l’icône de l’oignon que Tor Browser vous indique par une grosse flèche noire. Ce que montre cette image :
NB : cette fenêtre d’avertissement a disparu car désormais Tor Browser se met à jour automatiquement (en principe).
S’il y a une mise à jour disponible comme sur l’image ci-dessus, une fois qu’elle est terminée, vous pouvez cliquer sur le lien «Test for Tor Network Settings» et vous verrez votre IP, qui n’est évidemment pas celle que vous attribue votre FAI, et qui change régulièrement. Voici une image qui vous montre cette page avec un message rassurant et une IP temporaire :
Explorez ce que cache l’icône de l’onion et familiarisez-vous avec les quelques paramètres disponibles d’emblée et les quelques informations qui vous sont donnés.
Vous voilà anonymes mais il n’y a pas de miracles pour le rester. Je vous laisse lire les bons conseils en lien sur la page d’accueil de Tor Browser. Aller sur Facebook en passant par l’URL ONION de Facebook (oui, cette entreprise cherche sans cesse à plaire au plus grand nombre) ne garantit pas du tout votre anonymat qui sera perdu si vous vous connectez
Au cours de votre navigation, l’IP peut changer. L’IP de la page de Test n’est donc que temporaire. Vous pouvez aussi modifier la route pour accéder à tel site web et donc votre IP va encore changer.
À noter, en particulier, le patch HTML5 Canvas Image Extraction qui est plus agréable pour l’internaute que le module CanvasBlocker.
ONION et le web
Malgré tout ce que racontent les médias, il n’y a pas de «Dark web», un web sous-terrain, invisible, parallèle à celui que nous voyons tous les jours. Il existe un TLD ONION
, comme il existe d’autres TLD, tel que ORG ou NET ou COM, etc. Mais pour accéder aux sites web qui ont une URL se terminant par .onion
, il faut Tor Browser.
À titre d’exemple, voici deux sites web très recommandables, avec leurs URL en ONION :
- Riseup.net :
nzh3fv6jc6jskki3.onion
- Le méta-moteur de recherche Searx, offert par la Quadrature du Net :
lqdnwwwmaouokzmg.onion
En cliquant sur un des liens de la page d’accueil de Tor Browser, vous serez dirigés vers l’URL en ONION du projet Tor. Bonne lecture
Tor Browser accède à tous les TLD, par exemple, à ce site web vive-gnulinux.fr.cr
(avec son TLD FR.CR). Sauf si un site web bloque l’accès de Tor ou si le module HTTPS Everywhere bloque un site qui n’offre aucune connexion sécurisée.
Les inconvénients de Tor Browser
Même si la vitesse d’accès au web est maintenant convenable, grâce à l’augmentation du nombre d’utilisateurs (ou plutôt de relais, etc.), il y a quelques inconvénients à utiliser Tor Browser. Ils sont évidemment très mineurs si votre liberté ou votre vie est en danger :
- Les serveurs voient que vous passez par Tor et peuvent compliquer, voire bloquer l’accès à des sites web.
Les sites web hébergés par Cloud Flare, sont vraiment pénibles à consulter (ex. oscaro.com, site web de pièces pour automobile. - Tor Browser vous conseille de conserver la fenêtre tel qu’elle est au démarrage du navigateur pour que votre navigation ne se distingue pas dans la meule de foin par la taille réelle de votre écran. Or, c’est une fenêtre plutôt petite, qui rend la lecture souvent difficile.
- Si vous montez le curseur de sécurité ou si vous modifiez NoScript pour le rendre plus efficace, vous risquez de perdre un peu ou beaucoup d’anonymat — mais si c’est pour être assaillis par des images indésirables, ce n’est pas très encourageant.
- Le moteur de recherche Disconnect ne me donne pas confiance. Il est possible d’installer Searx, bien sûr mais est-il risqué de modifier la liste des moteurs de recherche et Searx présente peut-être aussi des inconvénients ?
Il faudrait savoir si les utilisateurs de Tor Browser bloquent le plus d’éléments possible ou le moins possible, bref, il faudrait connaître leurs habitudes pour savoir comment se fondre dans la masse. Bien entendu, une telle étude est impossible.
Cependant, il est vraisemblable que la plupart des internautes ne veulent pas être gênés dans leur visite d’un site web, ni par des images trop envahissantes, ni par trop de scripts bloqués qui rendent les pages web toutes dénudées et parfois impraticables. Donc, j’imagine qu’un niveau moyen de sécurité est assez sûr mais sur certains sites, cela risque de ne pas bloquer les images envahissantes, qui recouvrent parfois le lien ou le texte qui vous intéresse.
L’inconvénient majeur, de mon point de vue, est que je n’ai pas encore trouvé de documentation précise sur les degrés de sécurité dont on peut jouer avec le curseur ni sur la configuration de NoScript. C’est peut-être simplement que cela se trouve ailleurs que sur le site de Tor. Il n’y a pas non plus encore de forum convenable pour Tor et Tor Browser.
Je complèterai ou corrigerai cet article si je trouve des réponses à mes questions. En attendant, bonne découverte, si vous n’avez pas encore essayé Tor Browser
Pour aller plus loin
Si vous avez des questions, lisez le blog de Tor et n’hésitez pas à faire des remarques sur le blog à propos de Tor Browser ; en ce moment, c’est Tor Browser 6.0.4.
Assurez-vous bien sûr d’avoir la version la plus récente de Tor Browser et de Tor. Dans Debian Jessie, Tor est toujours bien à jour grâce au dépôt « Backports » (actuellement, Tor est en version 0.2.8.7-1~bpo8+1) mais selon les cas, Tor Browser peut ne pas se mettre à jour.
En tous cas, c’est une petite équipe qui s’occupe de Tor Browser, et la tâche est difficile. Vos remarques peuvent aider à améliorer TB.
La photo est tirée de la Galerie des amoureux du Logiciel libres (campagne de la FSFE). À l’occasion de la Saint-Valentin, cette jeune femme a écrit sur son ardoise en forme de philactère : «J’♥ Tor car il sauve des vies en Turquie».
Excellente conférence, donnée au Chaos Computer Club, fin décembre 2015 : Tor onion services: more useful than you think (lien de téléchargement).
Pour les dégrés de sécurité, voir « 4.8.1 Security Slider » dans le document « The Design and Implementation of the Tor Browser [DRAFT] »:
https://www.torproject.org/projects/torbrowser/design/#fingerprinting-linkability
Merci beaucoup pour le lien, iamel, je pense que je devrais trouver des réponses dans ce document — je vais m’y plonger
Et une documentation très détaillée sur NoScript :
http://assiste.com/NoScript.html
Merci iamel pour la doc sur NoScript. Personnellement, je me débrouille bien avec NoScript mais je n’ai rien fait de détaillé (juste des copies d’écran) car NoScript n’est pas accepté facilement par tous les internautes.
J’ai commencé à lire la doc d’Assist.com. C’est une bonne base, à adapter, pas à gober tout cru et il y a des choses qui ne concernent que les windowsiens, bien sûr.
Et ce qui est piquant, c’est que NoScript voit qu’il y a sur Assist.com des requêtes vers Google Analytics, sur des pages dénonçant les espions tiers, c’est pas mal
Un petit bonjour en passant, depuis TorBrowser, pour voir comment ça marche sur “Liberté GNU/Linux” mais pas en anonyme