Théorie

Dans une communication sur ce réseau :

1. Lorsque l’utilisateur veut visiter une page, la requête va passer par un proxy "Onion Proxy" ou OP qui va faire appel à Tor pour construire un circuit depuis sa machine jusqu’au serveur du site (routage). Ce chemin est choisi de façon aléatoire entre les différents noeuds Tor appelé "Onion Routers" ou OR. Lors de la création du circuit, Tor collecte les adresses des noeuds qui seront utilisés ainsi que les clefs de chiffrement associées.
2. Tor va ensuite chiffrer les données à l’aide des clefs récupérées. Pour assurer l’anonymat, le chiffrement sera effectué avec la clef du dernier noeud, puis de l’avant dernier, ... jusqu’au premier noeud. Le requête se retrouve ainsi "recouverte" par un certain nombre de couches, d’où l’analogie avec l’oignon.
3. Chaque noeud reçoit le paquet qu’il peut déchiffrer partiellement et transmet le paquet au prochain noeud et ainsi de suite. Attn, le dernier noeud de tout réseau Tor a accès aux données en clair ! Gardez à l’esprit que le serveur sur lequel vous vous connectez n’est pas sécurisé.

En « + » vert les ordinateurs tor, en rouge le chemin en clair et en vert un chemin crypté.
Après un certain temps le circuit change aléatoirement.

En somme avec Tor :
– On se protéger de l’analyse de trafic, une forme de surveillance des réseaux qui menace l’anonymat et la confidentialité des personnes,
– On échappe à la GeoIP, ce qui permet par exemple de contourner des restrictions si on est en Chine...

En pratique

Tor est disponible sous forme de paquetage :

Ou depuis les dernières sources disponibles : http://www.torproject.org/download-unix.html.fr

Installation de Privoxy :

Pour que Privoxy utilise Tor, il va falloir modifier le fichier de configuration /etc/privoxy/config :

P.S. ne pas oublier le point final !

Puis relancer privoxy :

Enfin pour utiliser Tor il va falloir configurer le navigateur pour passer par le proxy port 8118 et le port 9050 pour SOCKS.

Pour vérifier que tout fonctionne correctement, on peut utiliser l’outil de vérification en ligne de Tor https://check.torproject.org ou charger la page http://whatismyipaddress.com pour visualiser l’adresse IP et sa géolocalisation.

Et pour les applications autres que les navigateurs ?

– Pour les commandes shell il y a la commande torify,
– Pour la messagerie Thunderbird on utilisera l’extension MultiProxy Switch
– Et pour la messagerie instantannée on configurera directement le proxy de type SOCKS 5 sur le port 9050 de la machine locale (127.0.0.1).

Bien sûr la manipulation peut être rapidement fastidieuse, entre le mode avec ou sans Tor, aussi il y a un outil bien pratique pour Firefox : Torbutton qui permet d’activer / désactiver l’utilisation de Tor d’un simple clic.

P.S. une distrib (ou plutot deux) utilisent Tor comme protocole par defaut : Incognito (Gentoo) et maintenant Amnesia (Debian).
On notera aussi la distribution live odebian basée sur Debian, la réponse anti-Loppsi en France.

Tor dans la poche

Des packs de navigation Tor vous permet d’utiliser Tor sans avoir à installer de logiciel ; Il peut même fonctionner directement depuis une clef USB et est livré avec un navigateur web pré-configuré et complet :

– Tor Browser Bundle
– PortableTor
– Torpark

Les "inconvénients" de Tor

– La lenteur : chiffrer puis déchiffrer à chaque requête induit une certaine lenteur. Pour cela un petit test avec l’option "—spider" de wget avec ou sans torify s’impose...

– De plus Tor pas certaines choses genre le streaming Youtube. Donc utiliser Tor demande des sacrifices.

– L’origine du trafic peut-être très simplement identifiée par de nombreux scripts écrit en Flash, ActiveX, Java, JavaScript ou tout autres langages utilisés sur les serveurs HTTP. Il est indispensable de bloquer l’exécution de ces scripts sur le navigateur utilisant Tor, via TorButton ou encore NoScript, ou d’utiliser un navigateur minimal comme Links ou ELinks.

– Contrôler les modules du navigateur web pour être sûr de ne pas révéler l’adresse IP au travers de ces modules.
L’extension NoScript ou TorButton permettra de contrôler cela.

– Dans le même genre, les cookies peuvent permettre de vous authentifier si vous retourner sur un site déjà visité. Penser à purger les cookies avant de lancer Tor. Notez que l’extension TorButton sécurise automatiquement les cookies.

– Et pour pousser le vice, il est possible d’utiliser l’extension RefControl pour paramétrer la valeur de HTTP_Referer, qui peut permettre de suivre votre parcours si on laisse les serveurs transmettre normalement un Referer.

– Garder à l’esprit que des noeuds malvaillant ou mal configurés peuvent renvoyer de mauvaises pages ou attenter des attaques par phishing !

– Tor rend anonyme l’origine de la communication mais ne chiffre en aucune manière les données qui transitent ; Il est possible pour le détenteur d’un nœud de sorti du réseau Tor d’enregistrer les requêtes passant sur son serveur, enregistrements pouvant contenir identifiants et mots de passe ! Il est donc très vivement conseillé de ne jamais vérifier vos mails, vous connectez sur un site avec identifiants (Banques / Webmails / Forums / Etc) ou autres activités impliquant identifiants et mots de passe. Utiliser pour cela HTTPS ou des mécanismes d’authentification.

– Tor n’offre pas d’anonymat face à une capacité d’écoute au départ et à l’arrivée d’une requête. Une entité ayant la possibilité d’accéder aux données de connexions des FAI et des hébergeurs peut analyser le trafic et trouver l’origine de celui-ci. Ce type d’écoute est très lourd à mettre en œuvre et n’est pas à la portée de tous. Mais cette limite de Tor le rend vulnérable dans le cadre d’écoute par des agences gouvernementales "BigBrother-Like".

– De plus, Tor ne protège pas contre une attaque globale qui serait capable d’observer votre trafic ainsi que le trafic de tous les noeuds de sortie. Il lui serait facile, grâce à un type d’attaque nommée attaque temporelle, de retrouver la trace de vos communications.

– Attn. le projet Tor, démarré en 2004, est toujours en phase de développement intense, la conception ou la mise en oeuvre des techniques qu’il emploie peuvent comporter des bugs et des imperfections !

Autres solutions

– Se faire un VPN (Réseau Privé Virtuel, donc chiffré) sur un serveur étranger, qui lui ira télécharger pour vous et transmettra les fichiers chiffrés.

– Passage par un proxy anonyme : publicproxer.com

– Proxify : ce n’est pas un logiciel, mais un site tenant lieu de proxy (http://proxify.co.uk). Mais ne pas oublier, qu’en utilisant de tels sites, on ne passe que par un seul proxy qui n’a rien de sûr et qui ne chiffre pas les données !

– iMule : un logiciel de peer-to-peer qui utilise le réseau I2P, une couche réseau logicielle entièrement sécurisée et anonyme.