Sécurité Anonymat avec des Logiciels Libres

Posté par . Modéré par Florent Zara.
Tags :
0
23
sept.
2005
Sécurité
Secuobs.com propose un tutoriel sur un ensemble de logiciels libres (Tor, Privoxy, Switchproxy) permettant d'assurer le respect de votre privée. Cet anonymat peut être assuré pour l'ensemble des applications reposant sur le protocole TCP (Transport Control Protocol) sous GNU/Linux.

Vous y trouverez également des informations sur la conférence tenue par Roger Dingledine (mainteneur du projet Tor) lors du Woodstock numérique What The Hack qui a réuni plus de 3000 participants (hackers et geeks) en juillet dernier près de Eindhoven aux Pays-Bas.

Ce tutoriel fait parti d'un dossier sur ce rassemblement, vous y trouverez notamment un article sur la pétition commune de XS4ALL et l'EDRI contre la rétention des données de connexion.

L'acceptation du projet de directive se joue en ce moment même au parlement européen, votre soutien est plus que le bienvenu.

Privacy is not a crime...
  • # ?

    Posté par . Évalué à  3 .

    Sur le tutoriel sur Tor/Privoxy/SwitchProxy on trouve :
    Merci à W!T!H! pour l'accueil chaleureux & l'organisation sans failles,
    condoléance au premier campement de nos confrères de LINUXFR
    qui n'a pas résisté aux catastrophes naturelles
    foudroyante & nocturne (DDOS)

    Quelqu'un a compris a reference a linuxfr ?
    • [^] # Re: ?

      Posté par (page perso) . Évalué à  3 .

      Il y avait des membres de l'équipe du site à W!T!H!, qui souhaitent rester anonymes :).
  • # Sous Gentoo

    Posté par (page perso) . Évalué à  7 .

    Ce HOWTO décrit sensiblement les mêmes astuces:
    http://gentoo-wiki.com/HOWTO_Anonymity_with_Tor_and_Privoxy(...)

    Par contre, dommage que le seul proxy toujours cité dans ce cas soit privoxy... Je l'utilise depuis longtemps et j'en suis très satisfait, mais bon le projet est mort maintenant... Et je n'ai trouvé aucun remplacant à la hauteur
  • # Comment ça marche ?

    Posté par . Évalué à  3 .

    C'est très bien d'avoir un tutoriel pour savoir comment faire, mais, j'aurais aimer savoir comment ça marche, par quel principe devient-on "anonymisé" ?
    • [^] # Re: Comment ça marche ?

      Posté par . Évalué à  2 .

      par des proxy !
      en gros un ordi sur le net veut bien se faire passer pour toi et récuperer tes pages web avec son adresse ip.
      Si en plus tu utilise l'encryption il lui est pratqiuemnt impossible de savoir ce que tu fais.
      Et en faisais du chainage de proxy (un proxy qui va sur un proxy qui va sur un poxy...) il est tres dur de remonter jusqu'a toi.
      Tres dur ne veut pas dire impossible !
      • [^] # Re: Comment ça marche ?

        Posté par . Évalué à  3 .

        L'inconvénient du chaînage de proxys, c'est que du coup, il faut être très patient pour surfer, un abonnement adsl se transformant très rapidement en un accès 56k :-)
        • [^] # Re: Comment ça marche ?

          Posté par . Évalué à  4 .

          C'est l'avantage de switch proxy pour mozilla qui te permet de choisir à partir de quand tu veux passer par un proxy ou un chainage de proxy et inversement.

          Pour ce qui est des utilisations type irc ou gaim, ca ne change pas grand chose en vitesse tant que tu fais du textuel.

          Pour des applications plus gourmandes en contenu comme le p2p ou les transferts de fichiers par dcc et direct download ce n'est effectivement pas la meilleure solution si ta priorité reste la vitesse.
  • # Un peu plus d'informations

    Posté par (page perso) . Évalué à  10 .

    Privoxy est un proxy local qui va filtrer les informations qui entrent et sortent. Il est capable de modifier le contenu d'une page web, gêre les cookies, supprime le publicité, etc.
    http://www.privoxy.org/(...)

    Tor est un outil permettant de travailler sur Internet en cachant son IP. Le principe est que la connexion TCP passe par plusieurs noeuds pour atteindre un noeud de sortie, dont la liste est connue. De plus les connexions entre noeuds sont cryptées, et il est impossible de remonter à la source d'une connexion à partir de la destination.
    http://tor.eff.org/(...)

    SwitchProxy est une extension Firefox permettant de changer facilement de proxy (filtre en entrée/sortie, qui peut être Privoxy par exemple) :
    https://addons.mozilla.org/extensions/moreinfo.php?application=firef(...)

    Hum, là où j'ai perdu le fil : comment sont gêrées les connexions UDP ? Une résolution DNS est bien faite en UDP nan ? Et je lis sur Wikipédia "Firefox fait la demande de résolution DNS à travers Privoxy. Privoxy passe cette demande à Tor".

    Tor est apparement basé sur l'idée du "Onion Routing", et Wikipédia EN a un article pas mal à ce sujet :
    http://en.wikipedia.org/wiki/Onion_Routing(...)

    Haypo
    • [^] # Re: Un peu plus d'informations

      Posté par . Évalué à  4 .

      La description du paquet debian est tres bien faite (d'ailleur dans le tuto il le compile...) :

      Description: anonymizing overlay network for TCP
      Tor is a connection-based low-latency anonymous communication system which
      addresses many flaws in the original onion routing design.
      .
      In brief, Onion Routing is a connection-oriented anonymizing communication
      service. Users choose a source-routed path through a set of nodes, and
      negotiate a "virtual circuit" through the network, in which each node
      knows its predecessor and successor, but no others. Traffic flowing down
      the circuit is unwrapped by a symmetric key at each node, which reveals
      the downstream node.
      .
      Basically Tor provides a distributed network of servers ("onion
      routers"). Users bounce their tcp streams (web traffic, ftp, ssh, etc)
      around the routers, and recipients, observers, and even the routers
      themselves have difficulty tracking the source of the stream.
      .
      Note that Tor does no protocol cleaning. That means there is a danger that
      application protocols and associated programs can be induced to reveal
      information about the initiator. Tor depends on Privoxy and similar protocol
      cleaners to solve this problem.
      .
      Client applications can use the Tor network by connecting to the local
      onion proxy. If the application itself does not come with socks support
      you can use a socks client such as tsocks. Some web browsers like mozilla
      and web proxies like privoxy come with socks support, so you don't need an
      extra socks client if you want to use Tor with them.
      .
      This package enables only the onion proxy by default, but it can be configured
      as a relay (server) node.
      .
      Remember that this is development code -- don't rely on the current Tor
      network if you really need strong anonymity.
      .
      The latest information can be found at http://tor.eff.org/,(...) or on the
      mailing lists, archived at http://archives.seul.org/or/talk/(...) or
      http://archives.seul.org/or/announce/.(...)
      • [^] # Re: Un peu plus d'informations

        Posté par . Évalué à  2 .

        Punaise, c'est le genre de description que j'aimerais voir pour les paquets Mandriva ça :-)

        Et le summum, ce serait ce genre de description en localisé !
        • [^] # Re: Un peu plus d'informations

          Posté par . Évalué à  2 .

          Pour faire mentir les moinsseurs fous, bien qu'il n'est pas vrai que tous les paquetages Mandriva soient aussi peu détaillés, lancez rpmdrake et allez regarder la description de netwag-5.4.0-1mdk. Pour information, la description dans rpmdrake est vierge à l'heure actuelle :-)

          Bon, j'admet que c'est de moins en moins fréquent, mais bon, il n'est tout de même pas si rare de tomber sur un paquetage qui reprend uniquement son nom dans la description, ou qui se limite à 2 ou 3 mots ne voulant presque rien dire.

          Dans le genre, il y a pam_mount, smi-tools, magma, etc.

          En ce qui concerne la localisation des descriptions de paquets, cela me semble essentiel pour que Linux puisse vraiment être « prêt pour le desktop », car en effet, beaucoup de monsieur-tout-le-monde ne sont pas en mesure de comprendre l'anglais, encore moins lorsqu'il s'agit d'un anglais technique en petit-chinois.
    • [^] # Re: Un peu plus d'informations

      Posté par . Évalué à  2 .

      Une résolution DNS est bien faite en UDP nan ?
      Pas forcémenet ; le tcp est aussi accepté
  • # Cette niouze est une honte !

    Posté par . Évalué à  -1 .

    Grâce à cet attirail, les pédonazis et les pirates peuvent agir en toute impunité ! C'est de la complicité que ceci.

    Vivement que notre courageux gouvernement ait l'audace d'obliger les FAI à filtrer directement à la source !
    • [^] # Re: Cette niouze est une honte !

      Posté par . Évalué à  3 .

      Blague à part, le filtrage à la source est impossible contre Tor, vu que le FAI ne sait pas quelle est la page demandée, non ?
      • [^] # Re: Cette niouze est une honte !

        Posté par (page perso) . Évalué à  1 .

        le filtrage à la source est impossible contre Tor


        Mais quelle source ? :)

        La liste des noeuds Tor est publique. Il suffit de la parcourir pour identifier tous les noeuds de sortie et les filtrer. Et personne ne viendra chez toi depuis un noeud Tor public.
        • [^] # Re: Cette niouze est une honte !

          Posté par . Évalué à  2 .

          oui ça se fait déjà d'ailleurs ...

          http://www.gentoo.org/news/en/gwn/20050905-newsletter.xml(...) -->

          Gentoo Forums TOR rejection policy alleviated

          As reported earlier, TOR users were recently blocked from the Gentoo Forums. Thanks to feedback from the TOR user community the Forums infrastructure lead, Tom Knight, has changed the TOR policy to allow read-only access to the Forums. All TOR users can now browse the Forums again without having to change any settings. TOR users who want to post to the forums will have to add the following to their exit policy:
    • [^] # Re: Cette niouze est une honte !

      Posté par (page perso) . Évalué à  3 .

      Grâce à cet attirail ... des chinois qui pourront s'exprimer librement.

      Les recherches sur le nucléaire ne visaient pas à fabriquer une bombe.

      Haypo
      • [^] # Re: Cette niouze est une honte !

        Posté par . Évalué à  3 .

        >Grâce à cet attirail ... des chinois qui pourront s'exprimer librement.

        Euh, peut-être, mais j'ai du mal a comprendre ce qui pourrait empecher le gouvernement Chinois d'imposer aux FAI de filtrer les paquets émis depuis et vers tous les noeuds Tor?

        Certes, la source est rendu anonyme une fois que le paquet rentre dans Tor, mais encore faut-il y arriver..
        Et j'ai bien l'impression que le gouvernement Chinois peut demander ce qu'il veut aux FAI, ils le font, cf la recente affaire avec Yahoo qui a aidé le gouvernement Chinois a mettre un homme en prison..

        On pourrait même imaginer qu'ils demandent aux FAI de logger tous les paquets émis vers n'importe quel noeud Tor et vienne gentiment cogner à ta porte le lendemain en te demandant pourquoi tu as voulu te rendre anonyme, certes ils ne peuvent pas casser le chiffrage, mais bon courage pour leur dire que c'était juste par curiosité et que tu n'as rien fait de "mal" (ps: je crois qu'il faut présenter une pièce d'identité dans les cybercafés).

        Bon je ne suis pas un expert ni sur Tor, ni sur ce que peut demander ou pas le gouvernement Chinois aux FAI, mais j'ai quand même un doute..
        Si je me trompes dans mon raisonnement, je serais heureux de l'apprendre.
        • [^] # Re: Cette niouze est une honte !

          Posté par (page perso) . Évalué à  5 .

          Euh, peut-être, mais j'ai du mal a comprendre ce qui pourrait empecher le gouvernement Chinois d'imposer aux FAI de filtrer les paquets émis depuis et vers tous les noeuds Tor?


          C'est amha un problème structurel de Tor.

          Pour être efficace, la système doit proposer un grand nombre de noeud à l'utilisateur. Ainsi, on réduit les chances de voir le trafic analysé et de se faire remonter. Or, une grosse infrastructure est d'une part difficile à diffuser de manière privée, et d'autre difficile à maîtriser en terme de confiance.

          Et là, on un gros problème. Si un utilisateur, dans un pays dont le gouvernement surveille le trafic, veulent sortir en utilisant un système comme Tor (ou similaire), ils doivent utiliser des noeuds privés, en externe comme en interne. Mais comment diffuser cette information de manière secrête ? Comment diffuser des révocations efficaces de manière secrête ? Etc.

          De plus, qu'est-ce qui empêchera les autorités suscitées de proposer elles-même une infrastructure par les mêmes moyens. Comme cela se fait secrêtement, il y aura moins de monde pour vérifier les bonnes intentions des propriétaires des noeuds. Et comme l'entité est puissante, elle peut proposer énormément plus de noeuds que les gens de bonne foi. On ne perdra certes pas la confidentialité des échanges, mais on y perdra énormément en anonymisation. Or, c'est super important, parce que...

          certes ils ne peuvent pas casser le chiffrage, mais bon courage pour leur dire que c'était juste par curiosité et que tu n'as rien fait de "mal"


          Dans les pays à régime autoritaire, on n'a que faire de savoir ce que tu faisais vraiment. On ne s'embarasse pas de détail : tu es louche, tu vas en tôle. Point. En outre, la fait de proposer une infrastructure permet de tracer les noeuds utilisés, en externe pour les filtrer et en interne pour les "descendre".

          D'ailleurs, c'est un réflexion rigolote sur tous les services anonymisants commerciaux ou plus ou moins privés qu'on trouve sur la toile : quelle confiance peut-on accorder à un système anonymisant non communautaire sous le contrôle d'un individu ou d'une entité ? Perso, je me suis déjà fait une bonne idée sur la question ;)

          Enfin, comme précisé dans la documentation de Tor, le système ne protège pas de l'analyse des messages qui sont postés avec (mots utilisés, tournure des phrases, etc.). Et contrairement à ce que beaucoup de gens pensent, c'est terriblement efficace.
          • [^] # Re: Cette niouze est une honte !

            Posté par . Évalué à  2 .

            http://www.indymedia.org.uk/en/static/security.html(...) -->

            Second, it doesn't hide the fact that you're *using* Tor: an eavesdropper won't know where you're going or what you're doing there, but she or he will know that you've taken steps to disguise this information, which might get you into trouble -- for example, Chinese dissidents hiding from their government might worry that the very act of anonymizing their communications will target them for investigation. Third, Tor is still under active development and still has bugs. And, since the Tor network is still relatively small, it's possible that a powerful attacker could trace users. Even in its current state, though, we believe Tor is much safer than direct connections.

            http://secunia.com/advisories/16424/(...) <-- surement la fameuse backdoor de la rumeur ...

            http://secunia.com/advisories/15764/(...)

            Aider ce projet est d'intêret public, multiplier les noeuds si vous êtes en capacité de le faire.

            Quelques vidéos interessantes de w!t!h! sur ces sujets :

            http://rehash.xs4all.nl/wth/rawtapes/wth_tor_hidden_services/wth_to(...)
            http://rehash.xs4all.nl/tmp/wth-anonymous-communication-58.mp4(...)
            http://rehash.xs4all.nl/tmp/wth_future_anonymity_networks_118.mp4(...)
            • [^] # Re: Cette niouze est une honte !

              Posté par (page perso) . Évalué à  3 .

              And, since the Tor network is still relatively small, it's possible that a powerful attacker could trace users. Even in its current state, though, we believe Tor is much safer than direct connections.


              Tor est censé pouvoir encore apporter un niveau de confiance élevé avec la moitié de ses noeuds corrompus. Toujours ce problème du nombre de noeuds :)

              Sinon, juste un remarque. Héberger un noeud de sortie Tor n'est pas anodin en termes de responsabilité. Si un utilisateur du réseau fait des conneries en sortant de chez toi, c'est pour ta pomme.


              Aider ce projet est d'intêret public, multiplier les noeuds si vous êtes en capacité de le faire.


              100% agree.

              Puisqu'on est dans le déballage de liens, voilà les slides qu'une excellente conférence d'Adam Shostack à laquelle j'ai pu assister sur justement la publication anonyme de blogs (désolé, PPT inside) :

              http://www.recon.cx/recon2005/papers/Adam_Shostack/anonblogging-rec(...)

              Il discute de Tor certes, mais également de tous les problèmes techniques ou non qui l'entoure. Très intéressant.
            • [^] # Re: Cette niouze est une honte !

              Posté par . Évalué à  1 .

              > Aider ce projet est d'intêret public, multiplier les noeuds si vous êtes en capacité de le faire.

              Je ne vois pas trop en quoi cela va aider le probleme de base: la liste des noeuds entrants doit être publique pour que tu puisse l'utiliser, si elle est publique, un gouvernement maitrisant le réseau peut bloquer ou plus vicieux logger toute les adresses IP sources de ceux qui accède à ces noeuds et même si la liste devient trop grosse, il suffit d'en prendre une partie au hasard, et la tu es b*** si tu y fais un acces et qu'il est dans l'échantin loggé..

              Donc pour pouvoir l'utiliser de manière sûre, il faut soit:
              - rendre anonyme la source: comme je l'ai dit plus haut les cybercafés ne permettent pas cela en Chine: il faut s'identifier pour aller dans un cybercafé, pirater l'ordinateur de quelqu'un pour l'utiliser comme redirection c'est faisable mais pas très moral: le gars va avoir de *gros* ennui.
              - utiliser un noeud Tor "inconnu" de l'ennemi, et croiser les doigts très forts pour qu'il reste inconnu.

              Bref, cela ne me parait pas tres pratique à utiliser sans risques pour les Chinois aux moins, contrairement a ce que disait la personne auquel je répondais originellement.
              • [^] # Re: Cette niouze est une honte !

                Posté par . Évalué à  1 .

                Il est d'intêret public pour mon propre pays & ceux où il est encore possible de faire quelque chose. Je n'ai pas envie de prendre le risque de subir un jour ce que la Chine ou l'Iran subit aujourd'hui.

                Les problèmes soulevés par l'utilisation des pass de type navigo, le projet européen sur la retention des données de connexion, la prolifération des puces rfid ou à un degré moindre sur ce sujet les brevets logiciels et j'en passe, ne me laissent pas insensible sur les dérives possibles à l'utilisation de ces technologies à l'avenir. Le passé est plein d'enseignements sur la nature humaine et son imperméabilité aux exces.

                Cf. la keynote de Simon Davies à Blackhat Amsterdam 2005 -> http://blackhat.com/html/bh-media-archives/bh-archives-2005.html#EU(...)

                Si il y a des spécialistes du sujet, est-ce qu'il imaginable d'avoir une solution (non détectable par les services de filtrage de ces pays) basée sur de la stéganographie avec upload d'images non tendancieuses vers un ou des pseudo services externes dédiés de stockage d'images personnelles ; puis extraction automatisée du message depuis l'image stéganographiée, parsage & publication sur un site de blog publiquement indépendant (whois & serveurs d'hébergement différents, etc, etc.) ?
    • [^] # Re: Cette niouze est une honte !

      Posté par . Évalué à  3 .

      n'oublie pas les spammeurs et les zigotos à la Caméléon, sos-racaille qui peuvent s'amuser à harceler n'importe qui ainsi en toute impunité.

      l'anonymat, c'est bien gentil mais les méchants savent très bien s'en servir
    • [^] # Re: Cette niouze est une honte !

      Posté par . Évalué à  0 .

      Tes remarques ne sont pas fausses et je peux les comprendre, seulement as-tu pris le problème dans son intégralité ? Ce genre d'outils peut aussi t'aider à te protéger ainsi que tes proches contre ce genre d'individus mal intentionnés.

      Sur le même principe que celui que tu appliques, est ce que l'on doit interdire les voitures à tout le monde pour les irresponsables qui les utilisent en état d'ébriété ? Applicable surement à d'autres exemples.

      Pour les Hackers, sachent qu'ils font le ménage devant leur porte et qu'ils sont surement les plus réactifs au problème de la pédophilie sur Internet avec un travail régulier en collaboration avec les forces de police en charge de ce type d'affaire malgré les relations conflictuelles & l'historique entre les deux parties.
    • [^] # Re: Cette niouze est une honte !

      Posté par (page perso) . Évalué à  2 .

      Grâce à cet attirail, les pédonazis et les pirates peuvent agir en toute impunité! C'est de la complicité que ceci.

      Un logiciel reste un logiciel. Son usage n'est pas mauvais, ça dépend de ce qu'on en fait.

      Prenons le p2p. Il peut servir à échanger des photos nazies et des trucs sous copyright, mais aussi de la musique libre et des distributions GNU/Linux! Doit-on interdire les manifestations parce que les casseurs peuvent en profiter pour brûler des voitures? Doit-on tout simplement censurer internet, sous prétexte qu'il y a des sites pédophiles dessus? Doit-on interdire les téléphones portables parce que ça permet aux terroristes de déclencher des bombes? Et les avions de ligne parce qu'ils s'écrasent dans des gratte-ciels?

      Tant que tu y es, plutôt que d'interdire cet attirail, autant interdire directement internet.

      Vivement que notre courageux gouvernement ait l'audace d'obliger les FAI à filtrer directement à la source !

      Et qu'il lise nos courriels, installe des caméras chez nous, nous mette des puces électroniques pour pouvoir nous localiser 24h/24, mette des détecteurs de metaux et organise des fouilles corporelles à chaque coin de rue? :-) Quelle chouette état, dis-donc! C'est sûr, comme ça, on se sentira mieux en sécurité ;-)
    • [^] # ton message est une honte! (même si, je l'espère, c'était humoristique)

      Posté par (page perso) . Évalué à  -2 .

      Ton humour est abominable :-( yark!

      et je ne sais si tu as fait exprès de mélanger pédophilie et neo nazi, mais même s'ils sont aussi horribles l'un que l'autre, il ne faut pas les mélanger. On ne lutte pas contre eux avec les mêmes armes!
  • # RSF - Guide pratique du blogger et du cyberdissident

    Posté par (page perso) . Évalué à  2 .

    Pour votre information

    Article de libération : http://www.liberation.fr/page.php?Article=325529(...) (Un Outil pour déjouer la censure)

    Article de Reporters Sans Frontières (RSF) : http://www.rsf.org/rubrique.php3?id_rubrique=527(...)
    Et aussi : http://www.rsf.org/article..php3?id_article=15084(...)

    Le livre couteraît 10 ¤ seulement, il est disponible en librairie depuis le 22 septembre dernier. :-)


    L'article de RSF mentionne entre autre 2 des solutions libres dont tu parles : Tor et Privoxy.
    Ce livre est très intéressant! A lire et acheter, pour soutenir RSF.

    Note : je ne suis aucunement associé à RSF !

    Jean-Christophe
  • # Mega Man In The Middle ?

    Posté par . Évalué à  2 .

    <mode parano>

    http://tor.eff.org//eff/tor-legal-faq.html(...) :

    Should I snoop on the plaintext that exits through my Tor server?

    No. You are technically capable of monitoring or logging plaintext that exits your node if you modify the Tor source code or install additional software to enable such snooping. However, Tor server operators in the U.S. can create legal and possibly even criminal liability for themselves under state or federal wiretap laws if they affirmatively monitor, log, or disclose Tor users' communications, while non-U.S. operators may be subject to similar laws. Do not examine the contents of anyone's communications without first talking to a lawyer.


    => utiliser Tor, c'est faire confiance à tous les noeuds par lesquels passeront ma connection ? Comment puis je etre certain qu'il n'y a pas un petit malin au_milieu/en_sortie du reseau Tor qui loggue mes user/pass et modifie les pages que je suis en train de lire ?

    D'après moi, utiliser un proxy ou un réseau de proxy, c'est potentiellement augmenter les risques de diffuser des informations personnelles à des individus malintentionnés. (oups, je viens d'envoyer mon numéro de CB et je n'ai pas désactivé Tor/changer de proxy avec switchproxy)

    </mode parano>

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.