# Questions et réponses générales sur Tor
-FAQ officielle du projet Tor : [https://support.torproject.org/fr/](https://support.torproject.org/fr/)
+FAQ officielle du projet Tor : <https://support.torproject.org/fr/>
Les questions non adressées par la FAQ officielle sont ci-dessous, dans l'attente de leur transfert vers les pages officielles.
Ce qui peut se traduire par :
« L'identification d'empreinte de navigateur est une technique puissante, qui devrait être considérée au même titre que les cookies, adresses IP et supercookies quand il s'agit de la vie privée en ligne et de la traçabilité des utilisateurices. Bien qu'elles ne soient pas particulièrement stables, les navigateurs révèlent tellement d'informations de configuration et de version qu'ils demeurent globalement traçables. Il y a des implications à la fois pour les politique en matière de vie privée et de design technique.
- Les législateurices devraient commencer à traiter les enregistrements d'empreintes comme pouvant potentielelment identifier des personnes, et déterminer la limite de durée pendant laquelle elles peuvent être associées avec des identités et des journaux (logs) sensibles comme les flux de clics et les termes cherchés. »
+ Les législateurices devraient commencer à traiter les enregistrements d'empreintes comme pouvant potentiellement identifier des personnes, et déterminer la limite de durée pendant laquelle elles peuvent être associées avec des identités et des journaux (logs) sensibles comme les flux de clics et les termes cherchés. »
<a id="publicit"></a>
## Publicité
Tor lui-même ne supprime pas la publicité.
La désactivation (optionnelle) de javascript dans le navigateur Tor supprime certaines publicités de la même façon que dans un navigateur habituel sans javascript. Le support de javascript est activé par défaut car de nombreux sites web ne fonctionnent pas correctement sans. Il est néanmoins possible de le désactiver manuellement en augmentant le « niveau de sécurité » du Tor Browser, pour les utilisateurs les plus paranoïaques, le support du javascript augmentant la surface d'attaque du navigateur.
-Le Navigateur Tor fourni dans Tails [https://tails.boum.org] inclut également le module uBlock Origin, un bloqueur de publicités.
+Le Navigateur Tor fourni dans [Tails](https://tails.net] inclut également le module uBlock Origin, un bloqueur de publicités.
* Tor ne peut pas être sûr, la majorité des nœuds sont activés par la NSA !
* Existe t il un moyen (tuto) qui explique comment héberger un relai Tor chez soi pour les nuls / novices en informatique ?
Pour les novices en informatique, on recommande l'installation de snowflake. Ca s'installe en quelques clics comme une extension de Firefox. Avec ça, ton navigateur et ta connexion deviennent un relay de type « bridge » qui permet de contourner la censure. C'est utile, pas risqué, et ne prend pas beaucoup de ressources.
-https://snowflake.torproject.org/
-https://addons.mozilla.org/en-US/firefox/addon/torproject-snowflake/
+<https://snowflake.torproject.org/>
+<https://addons.mozilla.org/en-US/firefox/addon/torproject-snowflake/>
-Sinon, installer un relai en tant que novice ne semble pas une bonne idée. C'est possible mais il y a un risque de ne pas bien comprendre ce qui se passe sur la connexion, notamment, et d'avoir des impacts négatifs. Pour nous, il ne faut pas le faire si l'on ne comprend pas cette doc-là : https://community.torproject.org/fr/relay/
+Sinon, installer un relai en tant que novice ne semble pas une bonne idée. C'est possible mais il y a un risque de ne pas bien comprendre ce qui se passe sur la connexion, notamment, et d'avoir des impacts négatifs. Pour nous, il ne faut pas le faire si l'on ne comprend pas cette doc-là : <https://community.torproject.org/fr/relay/>
-* Est-ce que c'est dangereux de faire tourner un noeud de sortie ?
+* Est-ce que c'est dangereux de faire tourner un nœud de sortie ?
-Au sens intégrité physique, non. Au sens juridique, faire tourner un relai Tor est légal, mais peut vous amener à avoir affaire aux forces de l'ordre ou à la Justice dans le cadre d'enquêtes : convocation à la Gendarmerie ou à la Police, réquisitions judiciaires, convocation au tribunal (situations réelles pour des opérateurs de noeuds de sortie en France). Dans le cadre de Nos oignons, c'est l'association qui endosse le risque juridique. Soutenez Nos oignons :) !
+Au sens intégrité physique, non. Au sens juridique, faire tourner un relai Tor est légal, mais peut vous amener à avoir affaire aux forces de l'ordre ou à la Justice dans le cadre d'enquêtes : convocation à la Gendarmerie ou à la Police, réquisitions judiciaires, convocation au tribunal (situations réelles pour des opérateurs de nœuds de sortie en France). Dans le cadre de Nos oignons, c'est l'association qui endosse le risque juridique. Soutenez Nos oignons :) !
-* Est-ce que je peux me retrouver noeud de sortie sans le savoir ?
+* Est-ce que je peux me retrouver nœud de sortie sans le savoir ?
Non. Pour devenir nœud de sortie, il faut obligatoirement configurer manuellement Tor en ce sens.
* Qu'est ce qu'un service caché ?
-Il s'agit simplement des « Tor onion services », ou sites en .onion. La rubrique « Services Onion » de la FAQ officielle vous donnera plus d'informations.
+Il s'agit simplement des « Tor onion services », ou sites en .onion. La rubrique « Services Onion » de la [FAQ officielle](https://support.torproject.org/fr/faq/) vous donnera plus d'informations.
<a id="udp-tcp"></a>
## UDP / TCP
<a id="couts"></a>
## Coûts
-Un relai coûte environ 1 300€ par an pour 220MiB/s de bande passante. Ce coût peut paraître élevé quand on connait les bandes passantes du moindre VPS aujourd'hui. Cependant Nos oignons gère spécifiquement des relais de [sortie](https://support.torproject.org/fr/glossary/#exit), les plus exposés. Cela nécessite un hébergeur prêt à faire une délégation d'IP et à gérer les risques / inconvénients avec nous. Par ailleurs, Tor est gourmant en CPU, ne fonctionne pas en multithreading et permet de mettre 8 instances par IP maximum, en IP v4 et v6. Aussi, pour maximiser la bande passante, il faut multiplier les instances et les IP. L'ensemble de ces contraintes génèrent les coûts auxquels nous arrivons.
+Un relai coûte environ 1 300€ par an pour 220MiB/s de bande passante. Ce coût peut paraître élevé quand on connait les bandes passantes du moindre VPS aujourd'hui. Cependant Nos oignons gère spécifiquement des relais de [sortie](https://support.torproject.org/fr/glossary/#exit), les plus exposés. Cela nécessite un hébergeur prêt à faire une délégation d'IP et à gérer les risques / inconvénients avec nous. Par ailleurs, Tor est gourmand en CPU, ne fonctionne pas en multithreading et permet de mettre 8 instances par IP maximum, en IP v4 et v6. Aussi, pour maximiser la bande passante, il faut multiplier les instances et les IP. L'ensemble de ces contraintes génèrent les coûts auxquels nous arrivons.
Aujourd'hui, Nos oignons c'est un budget annuel de 15 000 € environ. Chaque don compte, merci !
Si vous souhaitez savoir si une connexion provient du réseau Tor, vous pouvez utiliser l'outil ExoneraTor. En renseignant l'adresse IP et la date, ce service vous indiquera si la connexion provient d'un relai de sortie Tor ou non.
Vous pouvez également facilement vérifier que l'un de nos serveurs était bien relai de sortie à un moment donné, en adaptant l'URL suivante à l'IP et la date souhaitée :
-https://metrics.torproject.org/exonerator.html?ip=89.234.157.254×tamp=2019-03-10&lang=fr
+<https://metrics.torproject.org/exonerator.html?ip=89.234.157.254×tamp=2019-03-10&lang=fr>
(l'IP indiquée ici est celle de « marylou1 », et la date le 10 mars 2019).
-Les adresses IP de nos relais peuvent être trouvées sur cette page : https://nos-oignons.net/Services/index.fr.html .
+Les adresses IP de nos relais peuvent être trouvées sur cette page : <https://nos-oignons.net/Services/index.fr.html>.
<a id="diversite"></a>
## Diversité
-* Nos oignons ne participe pas à la diversité puisqu'un seul acteur gère tous ces noeuds
+* Nos oignons ne participe pas à la diversité puisqu'un seul acteur gère tous ces nœuds
Nos oignons est justement un acteur de la décentralisation puisque les serveurs sont chez des hébergeurs différents, et généralement pas les majeurs. Nous avons actuellement (fin 2024) 39 relais de sortie répartis chez 7 opérateurs qui ne sont pas, volontairement, des opérateurs dominants. Ainsi, si un hébergeur, une route a un problème, le système Tor n'est pas remis en cause. À ce jour nous représentons environ 2% du trafic de sortie. L'objectif est de se maintenir, ou de grandir un peu, mais de ne jamais dépasser les 5%, justement pour que le critère de décentralisation ne soit pas un problème.
## Quelle faille a été exploitée dans le cas Silkroad ?
La faille n'était pas dûe à Tor (ni l'infrastructure que constitue le réseau Tor, ni le logiciel client du même nom). Dread Pirate Roberts a commis quelques imprudences, comme : se faire livrer plusieurs faux passeports (plusieurs identités avec la même photo, la sienne) dans le même colis, qui a été intercepté par les autorités, et
-demander sans anonymat, sur un serveur public, comment réaliser ceci ou cela sur un site web, et utilser le bout de code qu'on lui a fourni, tel quel, sur son site caché.
+demander sans anonymat, sur un serveur public, comment réaliser ceci ou cela sur un site web, et utiliser le bout de code qu'on lui a fourni, tel quel, sur son site caché.
<a id="quelque-chose-a-cacher"></a>
## Qu'est ce que ça m'apporte, Tor ? / Tor c'est pour les gens qui ont quelque chose à cacher
- la prévention des attaques type « man-in-the-middle »,
- la difficulté de censure…
-Quand une utilisatrice de Facebook se connecte à https://facebookcorewwwi.onion/ plutôt qu'à https://facebook.com/, c'est toutes ces garanties de sécurité supplémentaires qu'elle obtient.
+Quand une utilisatrice de Facebook se connecte à <https://www.facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion/> plutôt qu'à <https://facebook.com/>, c'est toutes ces garanties de sécurité supplémentaires qu'elle obtient.
-Le cas de la Catalogne est également à observer sur la question : L'état espagnol est allé jusqu'à arrêter le directeur du TLD `.cat` afin de rendre l'accès aux sites impossibles. La diffusion de Tor et la mise à disposition de `.onion` aurait rendu une telle opération complètement inefficace. Le tracking — euphémisme de surveillance — généralisé des outils de communication numériques est un problème de société, et la diffusion des façons de s'en protéger une responsabilité sociale. Ces thèmes sont développés dans la conférence gesticulée : https://youtu.be/ujrJuPQ5Apg (notamment de 1 :44 :15 à 1:46:00).
+Le cas de la Catalogne est également à observer sur la question : L'état espagnol est allé jusqu'à arrêter le directeur du TLD `.cat` afin de rendre l'accès aux sites impossibles. La diffusion de Tor et la mise à disposition de `.onion` aurait rendu une telle opération complètement inefficace. Le tracking — euphémisme de surveillance — généralisé des outils de communication numériques est un problème de société, et la diffusion des façons de s'en protéger une responsabilité sociale. Ces thèmes sont développés dans la conférence gesticulée : <https://youtu.be/ujrJuPQ5Apg> (notamment de 1 :44 :15 à 1:46:00).
- Lunar
+ \- Lunar
<a id="deep-web"></a>
## « Deep web » et « Dark web » ?
-Sur l'utilisation du réseau Tor, ce lien reprend des éléments présentés en 2017 par Roger Dingledine, un des fondateurs de Tor, à la convention DEFCON. Il explique que pour lui le Darkweb n'existe pas. Le trafic vers les sites en .onion représente seulement 3% du trafic. Il est négligeable et les gens utilisent Tor très majoritairement pour protéger leur vie privée sur des sites tout à fait usuels. Facebook est par ailleurs un des sites les plus visités via Tor. https://www.theregister.com/2017/07/29/tor_dark_web/
+Sur l'utilisation du réseau Tor, ce lien reprend des éléments présentés en 2017 par Roger Dingledine, un des fondateurs de Tor, à la convention DEFCON. Il explique que pour lui le Darkweb n'existe pas. Le trafic vers les sites en .onion représente seulement 3% du trafic. Il est négligeable et les gens utilisent Tor très majoritairement pour protéger leur vie privée sur des sites tout à fait usuels. Facebook est par ailleurs un des sites les plus visités via Tor. <https://www.theregister.com/2017/07/29/tor_dark_web/> (en anglais)
Le « dark web » ou le « deep web » tel qu'on le croise dans les journaux
-est un mythe <https://www.wired.com/2015/06/dark-web-know-myth/>. On a pu le
-voir dans de nombreux articles, quasi-systématiquement associé à des activités illégales. Pourtant rien de neuf… Cela fait vingt ans que les médias nous parlent d'Internet comme d'un repère de criminels. On a vu de nombreux sujets nous expliquant qu'on pouvait y trouver des bombes (France 2, août 1995)<https://www.ina.fr/video/CAB95042655/recette-bombe-internet-video.html>,
-des terroristes (France 2, juillet 1996)<https://www.ina.fr/video/CAB96041748/internet-et-terrorisme-video.html>,
-des pédophiles (France 3, mai 1996)<https://www.ina.fr/video/CAC96019023/tout-images-internet-et-pedophilie-video.html>,
-du trafic de médicaments (France 2, mars 1999)<https://www.ina.fr/video/CAB99013245/medicaments-internet-video.html>,
-du trafic de cigarettes (France, février 2004)<https://www.ina.fr/video/2490750001026/trafic-de-cigarettes-sur-internet-video.html>,
-du « piratage » de musique (France 2, décembre 1999)
-<https://www.ina.fr/video/CAB99049361/piratage-de-musique-sur-internet-video.html,
-et des nazis (France 3, février 2000)<https://www.ina.fr/video/CAC00009860/internet-site-neo-nazi-video.html>.
+[est un mythe](https://www.wired.com/2015/06/dark-web-know-myth/). On a pu le
+voir dans de nombreux articles, quasi-systématiquement associé à des activités illégales. Pourtant rien de neuf… Cela fait vingt ans que les médias nous parlent d'Internet comme d'un repère de criminels. On a vu de nombreux sujets nous expliquant qu'on pouvait y trouver des bombes [(France 2, août 1995)](https://www.ina.fr/video/CAB95042655/recette-bombe-internet-video.html),
+des terroristes [(France 2, juillet 1996)](https://www.ina.fr/video/CAB96041748/internet-et-terrorisme-video.html),
+des pédophiles [(France 3, mai 1996)](https://www.ina.fr/video/CAC96019023/tout-images-internet-et-pedophilie-video.html),
+du trafic de médicaments [(France 2, mars 1999)](https://www.ina.fr/video/CAB99013245/medicaments-internet-video.html),
+du trafic de cigarettes [(France, février 2004)](https://www.ina.fr/video/2490750001026/trafic-de-cigarettes-sur-internet-video.html),
+du « piratage » de musique [(France 2, décembre 1999)](https://www.ina.fr/video/CAB99049361/piratage-de-musique-sur-internet-video.html),
+et des nazis [(France 3, février 2000)](https://www.ina.fr/video/CAC00009860/internet-site-neo-nazi-video.html).
Le seul sujet régulièrement associé au « dark web » pour lequel nous n'avons pas trouvé d'équivalent dans les archives de l'INA, mais qui avait été déjà abordé à l'époque, c'est le trafic de drogues.
Entre temps, l'usage d'Internet s'est répandu et participe de nos jours à l'essentiel
de nos activités économiques et sociales. Au point d'avoir été jugé essentiel à
-l'exercice des libertés d'expression et de communication par le conseil constitutionnel
-en 2009.<http://www.conseil-constitutionnel.fr/decision/2009/2009-580-dc/decision-n-2009-580-dc-du-10-juin-2009.42666.html>
+l'exercice des libertés d'expression et de communication par le [conseil constitutionnel
+en 2009](https://www.conseil-constitutionnel.fr/actualites/communique/decision-n-2009-580-dc-du-10-juin-2009-communique-de-presse).
Que faut-il alors penser du « grand méchant dark web » ? Même si des épiphénomènes peuvent paraître nouveaux, le fond ne l'est pas nécessairement. Les criminels ont besoin de communiquer pour s'organiser. Ils utilisent donc les technologies à leur disposition pour le faire. À part pour les crimes concernant précisément une
technologie — on ne peut pas faire des arnaques aux numéros surtaxés
d'intermédiaires. Pour la messagerie instantanée, Ricochet permet lui
aussi de se passer d'intermédiaire. Ces technologies rendent impossible
un blocage tel que celui qui a empêché 100 millions de personnes
-d'utiliser WhatsApp au Brésil pendant 24 heures.<http://www.lemonde.fr/pixels/article/2016/05/03/bresil-whatsapp-de-nouveau-autorisee-apres-24-heures-de-blocage_4913137_4408996.html>
+d'utiliser WhatsApp au Brésil pendant 24 heures.<https://www.lemonde.fr/pixels/article/2016/05/03/bresil-whatsapp-de-nouveau-autorisee-apres-24-heures-de-blocage_4913137_4408996.html>
Dans un pays où la répression est forte, c'est l'anonymat que rend
possible Tor qui peut permettre de retrouver la liberté de
de données)
Tor est efficace contre la surveillance de masse. Au sein de documents
-datant de 2012 fournis par Edward Snowden<http://www.theguardian.com/world/interactive/2013/oct/04/tor-stinks-nsa-presentation-document>,
+datant de 2012 fournis par Edward Snowden <https://www.theguardian.com/world/interactive/2013/oct/04/tor-stinks-nsa-presentation-document>,
on peut lire que la NSA reconnaît que la façon dont est conçu Tor
ne permet de reconstituer l'origine et la destination que d'une fraction
des échanges qui traversent le réseau, sans qu'il soit possible à
Même s'il ne fait pas tout, Tor est aujourd'hui le seul système
facilement utilisable qui permet de retrouver la liberté d'opinion sur
-Internet. Si la peur de la surveillance nous empêche de nous informer<http://www.reuters.com/article/us-wikipedia-usage-idUSKCN0XO080>
+Internet. Si la peur de la surveillance nous empêche de nous informer <https://www.reuters.com/article/us-wikipedia-usage-idUSKCN0XO080>
comment pourra-t-on encore comprendre le monde ?
projects / website.git / blobdiff