utiliser Tor ne remplace pas les habitudes de sécurité

Un des risques les plus important est le risque lié aux nœuds de sortie. En effet cet élément, bien qu’essentiel au fonctionnement du réseau, met le propriétaire de celui-ci dans une situation privilégiée pour observer ce qui transite sur le réseau, Tor ne garantissant plus le chiffrage des données à ce point. Cette personne ne pourra pas voir où vous êtes mais verra tout ce que vous faite et pourrait l’utiliser à mauvais escient. Des « attaques » de ce genre se sont déjà pratiquées et d’autres sont certainement en cours en ce moment.

Facebooktwitterlinkedinmailby feather

Si vous tenez à votre vie privée sur internet, vous avez certainement entendu parler de Tor et c’est à priori une bonne solution. Cependant avant de l’utiliser il faut bien en comprendre le fonctionnement et les risques associés. Ce billet est écrit par Aegirs, un gars qui a commencé à se mettre au libre il y a bientôt une dizaine d’année (déjà ?! ^^’) et qui s’intéresse entre autre à l’auto-hébergement.

 

Capture du 2013-11-17 13:33:00

Un des risques les plus important est le risque lié aux nœuds de sortie. En effet cet élément, bien qu’essentiel au fonctionnement du réseau, met le propriétaire de celui-ci dans une situation privilégiée pour observer ce qui transite sur le réseau, Tor ne garantissant plus le chiffrage des données à ce point. Cette personne ne pourra pas voir où vous êtes mais verra tout ce que vous faite et pourrait l’utiliser à mauvais escient. Des « attaques » de ce genre se sont déjà pratiquées et d’autres sont certainement en cours en ce moment.

Il existe heureusement des moyens simples de se protéger et il sont tout simplement les mêmes que ceux que vous utilisez, peut-être sans y faire attention, sur différents sites web. Je parle principalement de la connexion en HTTPS qui chiffre les communications et de tous les systèmes similaires En utilisant ceci, le nœud de sortie sera incapable de voir ce qui transite entre le site web et vous.

Si jamais vous utilisez pour vous connecter, ce qui est conseillé, le « Tor Browser Bundle » vous n’aurez pas trop à vous en soucier car celui-ci est fournit avec le module https everywhere qui force, quand c’est possible, l’utilisation du https. Ce navigateur n’est pas le seul moyen d’accéder au réseau Tor et il existe des cas où on ne peut pas l’utiliser, comme lorsqu’on veut accéder à ses mails via son client messagerie, ou qu’on souhaite faire passer l’ensemble des communications des applications de son téléphone ou de son ordinateur via ce réseau.

Dans ce cas, il faut s’assurer que l’ensemble des applications utilisent des systèmes de chiffrement pour communiquer sur la toile, sinon vous avez un risque nettement plus élevé que la normale de vous faire voler des données sensibles, comme par exemple vos logins, mots de passe correspondance mail…

Il existe un autre risque à prendre en compte : Tor gère les connexion TCP mais pas les connections UDP. Ce qui peut être problématique (pour rappel, les requêtes DNS se font en UDP). Il existe des moyens de régler ce point, mais quand vous utilisez un logiciel vous permettant de faire passer les connections via le réseau Tor, assurez vous que cette problématique est bien prise en compte…

  • Les liens qui vont bien

Tor, c’est quoi donc ?
Orbot, le Tor sur mobile
Tails, la clé live qui utilise automatiquement le réseau Tor
Le blog de l’auteur de ce billet
Quand Tor tourne en daemon

This post has already been read 1994 times!

twitterlinkedinby feather

Auteur : Ju

Manager en sécurité informatique, je travaille sur le secteur depuis plusieurs années après une reconversion réussie suite à 12 annés dans le journalisme. J'adore la recherche, Je suis certifiée Iso/CEI 27001 Lead Auditeur (PECB) – ISLA1006895-2015-09. Parfois, je donne des cours et des conférences, et j’ai eu deux livres publiés par un éditeur… il y a fort longtemps.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *