Discussion :

[janor]

Je suis tombé par hasard sur un article démontant le côté sécuritaire de TOR:
http://arquilliere.blog.rhonealpesjo...et-la-securite

Je voulais l'installer sur un proxy, d'après l'article il serait surtout une source d'insécurité, qu'en pensez vous ?

[kaymak]

Hello,

Je pense que c'est assez clair dans le billet. Tu peux aussi lire ceci http://arstechnica.com/security/news...-passwords.ars et ceci http://en.wikipedia.org/wiki/Tor_(anonymity_network) ou http://www.xmcopartners.com/article-tor.html en cas de doute.

Je connaissais déjà ce réseau de nom, mais ne l'avait jamais utilisé, cet article est très intéressant car je n'avais pas du tout conscience de ces lacunes.

Par contre je suis étonné de constater qu'aucune contre mesure ne soit déjà installé : /


bref. A ne pas utiliser de préférences, ou bien peut être seulement sur lynx xd


a plus

[sevyc64]

Attention, contrairement à ce qui est dit un peu partout, y compris sur le site officiel, Tor ne garantie pas l'anonymat de la connexion, il ne fait que grandement compliquer la tache d'identification. Celle-ci devient dure à réaliser, mais n'est pas impossible pour autant.

Ce qui est rarement dit aussi (il faut lire les petites lignes pour l'apprendre), c'est le "... de nombreux proxys ..." correspond en réalité à exactement 3 proxys. Le protocole Tor est constitué ainsi, qu'il ne fait jamais appel à plus de 3 proxys pour transporter un paquet.

[janor]

Ok, je vois, je comprends, en même temps, ya pas beaucoup de monde sur TOR, dommage que le système ait aiguisé les crocs de certains...

Je suis sous linux, mais bon c'est clair que si tout les requins ont envahi le système, linux ou pas, c'est un peu craignos...

Mais, bon il doit être possible de faire un filtre sur un proxy, utiliser tor en fonction des sites... Le mettre en OFF par défaut...

Si le proxy tourne sur ubuntu serveur à jour et un minimum sécurisé, ça devrait limiter les risques quand même...

Parce que sinon pour être anonyme sans passer par des proxy privés, ya plus qu'à se mettre à la zombification, c'est pas tip top...

[sevyc64]

Tor pour naviguer (relativement) anonymement, OUI
Tor pour naviguer sécurisé, NON

Il faut simplement en garder conscience. Après ce n'est pas parce que les données peuvent être interceptées qu'elles le seront automatiquement. Mais il faut juste faire attention à ne pas fournir d'informations critiques durant une session Tor.

Comme il a été dit dans les articles, pas de login/mdp durant une session Tor. On ne consulte pas non plus ses données bancaires, etc ....

Ensuite, pour activer/désactiver Tor, il existe une extension pour Firefox, TorButton, qui permet d'activer/désactiver rapidement l'utilisation du proxy par FF. Elle marche très bien sous Windows, mais je ne sais pas si elle est compatible avec d'autres OS

[janor]

Ce qui m'ennuie surtout c'est quand ils disent que les pirates modifient le flux de données, c'est facile j'imagine de rajouter un javascript tout bête qui pointe sur un server et qui tente de t'envoyer des données pas gentilles sur ubuntu il doit y avoir peu de risques mais bon c'est pas rassurant. Voir je sais pas, mais ça doit de plus être possible avec un javascript de déterminer ta vrai ip... Déjà je crois que sur windows, le javascript peut déterminer ton adresse MAC !!! (vu que le javascript s'execute en local).

Du coup installer tor sur un proxy n'est pas du tout l'idéal même avec des règles de filtrage (désactivé pour la banque, activé pour tout les sites de tracing par exemple).

Ou alors il faudrait se connecter avec thor à un proxy sécurisé de confiance qui accepte toutes les connexions en crypté, les redirige en clair, ainsi les pirates ne peuvent pas lire ou modifier les données transitant (ou difficilement), et pour tout le monde tu viens de ce proxy, si le proxy est analysé et qu'on regarde ses logs on sait pas que c'est toi puisque t'es passé par thor... !

ça doit se faire, mais surement très compliqué

[janor]

J'ai trouvé cela en passant:

" Danger ! Surveillance constante ! Tor un système anonyme, et quoi encore !

Attention, dès que vous vous connectez au réseau Tor, avant même d'avoir navigué sur le net, votre ordinateur se connecte automatiquement avec tous vos ports libres sur des machines du Massachusetts Institute of Technology (avec le port 9031), ainsi que Harvard University et d'autres organismes d?états au service de la recherche. Tout ça, essentiellement grâce à Vidalia, qui identifie votre IP.

Et si vous décidez de lancer uniquement Tor, la Stanford university network se connecte par défaut avec votre PC, dès le lancement de Tor.

Quoi que vous fassiez, vous êtes identifié par des services institutionnel.


Remarque, c'est pas con... Pour trouver ceux qui ont quelque chose à cacher il suffit de leur donner un logiciel qui les identifient eux et leurs fichiers cryptés. "