Journal Oignons sur la route

Posté par . Licence CC by-sa
20
9
juil.
2013

Suite à un article sur la dernère alpha du Tor browser bundle je me suis dit que ça pourrait être pas mal d’essayer la chose qui semblait être un fantasme de crypto-communiste. Pour ce faire:

Téléchargez l’archive correspondant à votre architecture:

wget https://archive.torproject.org/tor-package-archive/torbrowser/3.0a2/tor-browser-linux64-3.0-alpha-2_fr.tar.xz

Décompressez là, et lancez le bouzin:

    ./start-tor-browser

Vous venez de lire un tutoriel sur Tor, ce qui fait maintenant de vous un crypto-communiste.

Tor browser utilise Firefox ESR, qui est la version "entreprise" du navigateur, actuellement en version 17, avec des backports de sécurité. Les utilisateurs du panda roux ne devraient donc pas être dépaysés, même si quelques modifications par rapport au navigateur ont été effectuées:
- noscript est installé par défaut, même si javascript est autorisé par défaut. Ce sont les autres protections qu’apporte noscript qui sont intéressantes.
- https everywhere est également de la partie

Un bouton "Tor" est disponible, qui permet en un click de générer une "nouvelle identité". Cela a pour effet de fermer Tor browser, et donc supprimer tout l’historique, les cookies, et autres données personnelles. Le démon tor est également relancé, ce qui peut éventuellement vous donner un autre point de sortie. Je n’ai pas noté de changement systématique lors de mes tests, mais c’est loin d’être un problème car rien ne permet de vous différencier d’un autre utilisateur de tor sur le même point de sortie.

Attention avec le tor browser bundle à ne pas installer de plugins (il n’y en a aucun par défaut), car ceux ci (comme flash) peuvent être utilisés pour effectuer des connexions directes.

Pour aller plus loin, on peut vouloir utiliser tor pour autre chose que le web. Tor redirige en effet l’ensemble des connexions IP. Lancez le démon:

LD_LIBRARY_PATH=./Lib/ ./App/tor -f Data/Tor/torrc # lorsque apt-get install tor est juste trop difficile

Il démarre un proxy socks sur le port 9150; puis connectez vous en ssh quelque part:

    ssh -o ProxyCommand='nc --proxy localhost:9150 --proxy-type socks4 %h %p' user@host # netcat-openbsd (fedora, etc.)
    ssh -o ProxyCommand='nc -x localhost:9150 %h %p' user@host # netcat-traditional (debian, etc.)

Pour télécharger un fichier:

    curl -x socks5://localhost:9150 https://linuxfr.org/journaux > journaux.html

Il y a pleins d’autres choses à découvrir dans ce bundle, amusez vous bien !

  • # Tails rocks

    Posté par . Évalué à -2. Dernière modification le 09/07/13 à 02:31.

    On l'appelle version entreprise pour faire bien. C'est une version long terme de firefox…
    C'est peut-être pour cela que debian propose iceweasel en version ESR ?

    Je sais qu'avec TOR on peut rediriger les connexions mais je n'ai jamais essayé.
    Merci pour l'info: à partager.

    A titre personnel, j'utilise The Amnesic Incognito Live System - Wikipedia, the free encyclopedia lorsque je veux faire du tor, même si j'ai sous le coude un TOR modifié que j'utilise parfois.
    Il a l'avantage d'être sous debian… et fonctionne nickel.

    C'est dommage qu'en France nous ne sommes pas assez nombreux pour utiliser TOR.
    (l'extension https everywhere fonctionne très bien par exemple.)

  • # Utiliser Tor

    Posté par (page perso) . Évalué à 9.

    Il y a un truc que je ne comprend pas avec Tor (enfin, des tas de choses en fait), c'est pourquoi pour l'utiliser il faut que chacune des applications permettant d'accéder à internet le prenne en compte elle même. Niveau sécurité ça ne m'a pas l'air terrible car il suffit qu'une seule application utilisée n'utilise pas Tor pour remettre en cause la sécurité des communications (je pense particulièrement à des cas comme des résistants dans une dictature ou leur sécurité physique est intrinsèquement liée à Tor).

    N'y aurait-il pas un moyen de le placer dans les couches basses de la couche réseau du système pour l'activer et le désactiver sur tout, ou sur des applications spécifiques, mais ce sans que les applications aient particulièrement à prendre Tor en compte ?
    Un genre de PulseOnion quoi…

    • [^] # Re: Utiliser Tor

      Posté par . Évalué à 2.

      Et bien déjà, il faut que ton application puisse parler en chiffrer autrement ça n'a pas grand intérêt: le noeud de sortie peut capter ton traffic..

      • [^] # Re: Utiliser Tor

        Posté par . Évalué à 6.

        Tout dépend du but recherché. Le but de TOR, ce n'est pas de masquer le contenu, c'est de marquer la source du contenu.

        S'il s'agit de publier des informations dans un pays répressif par exemple, l'objectif n'est pas de protéger le contenu, mais l'identité de celui qui en est à l'origine.

        • [^] # Re: Utiliser Tor

          Posté par . Évalué à 4.

          Et dans une application comme FTP (et bien d'autre), ton traffic contient ton adresse IP, donc si tu ne chiffre pas ton traffic, le noeud de sortie peut t'identifier.

          S'il s'agit de publier des informations dans un pays répressif par exemple, l'objectif n'est pas de protéger le contenu, mais l'identité de celui qui en est à l'origine.

          Soit dit en passant j'ai toujours été sceptique de l'intérêt dans le cas que tu décris, dans un pays répressif le gouvernement peut demander au FAI de lui indiquer qui utilise Tor, l'utilisation de Tor en elle-même est suspecte..

          • [^] # Re: Utiliser Tor

            Posté par . Évalué à 3. Dernière modification le 09/07/13 à 11:16.

            Soit dit en passant j'ai toujours été sceptique de l'intérêt dans le cas que tu décris, dans un pays répressif le gouvernement peut demander au FAI de lui indiquer qui utilise Tor, l'utilisation de Tor en elle-même est suspecte..

            Il faudrait déjà pouvoir détecter ces communications. L'Iran avait réussi un temps à le filtrer mais des corrections ont été apportées pour mieux brouiller le protocole et le traffic depuis ce pays est revenu à la normale.

            Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

            • [^] # Re: Utiliser Tor

              Posté par . Évalué à 4.

              Il faudrait déjà pouvoir détecter ces communications. L'Iran avait réussi un temps à le filtrer mais des corrections ont été apportées pour mieux brouiller le protocole et le traffic depuis ce pays est revenu à la normale.

              Faire passer du traffic Tor comme du traffic chiffré normal est un début, mais bon ça reste hautement risqué à utiliser: si tu as obtenu l'adresse IP d'une gateway Tor, le gouvernement peut l'avoir aussi..

    • [^] # Re: Utiliser Tor

      Posté par . Évalué à 4.

      Comme TOR ouvre une proxy SOCKS sur ta machine, il suffit donc que ton application ne gère par particulièrement TOR, mais les proxy SOCKS, déjà ça élargie la gamme.

      De plus si une application ne gère par les proxy socks, et qu'elle est dynamiquement liée, un outil génial comme tsocks fonctionne très bien. Il charge le programme avec un LD_PRELOAD qui fait le boulot d'interception et de redirection du traffic réseau vers le proxy SOCKS.

      • [^] # Re: Utiliser Tor

        Posté par (page perso) . Évalué à 1.

        Question con :
        Et pour que toutes les applications X passent automatiquement par le proxy, ça marche si on fait tsocks startx ?

        De ses yeux vastes comme des océans, encroûtés de chassie et de poussière d'astéroïdes, Elle fixe le But Ultime.

        • [^] # Re: Utiliser Tor

          Posté par . Évalué à 5.

          Je ne sais pas bien. X étant setuid root, je ne sais pas si la variable d'environnement LD_PRELOAD n'est pas perdue en route.

          Par contre pour que avoir la variable dans ton environnement, rien ne t'empeche de mettre dans ton .xinitrc.Xsession, un truc du genre :

          source /usr/bin/tsocks -on
          
    • [^] # Re: Utiliser Tor

      Posté par (page perso) . Évalué à 1.

      Une première solution, pas très user-friendly, serait d'utiliser gconf-editor pour configurer le proxy utilisé pour toute la session graphique.

      Sinon, tu as proxydriver qui te permet de configurer un proxy général pour tout Gnome ou KDE.

      De ses yeux vastes comme des océans, encroûtés de chassie et de poussière d'astéroïdes, Elle fixe le But Ultime.

    • [^] # Re: Utiliser Tor

      Posté par (page perso) . Évalué à 4. Dernière modification le 09/07/13 à 09:58.

      Déclarer des variables *proxy (genre http_proxy, ftp_proxy, etc.) et espérer que les applis vont les utiliser. Ou tout préfixer par tsocks pour détourner toutes les commandes réseau vers un proxy socks donné à coup de LD_PRELOAD.

      Mais on peut toujours tomber sur des cas pénibles : dans le premier cas, si on imagine une playlist accessible en http (donc via http_proxy) mais contenant une URL rtsp: ou une URI sip:, on va être embêté de ne pas avoir un proxy pour ces protocoles là. Et même dans le second cas, on va s'apercevoir que les requêtes DNS passent à côté par exemple.

      Théoriquement on peut probablement toujours se greffer niveau noyau et contrôler tout le réseau sortant.

      • [^] # Re: Utiliser Tor

        Posté par . Évalué à 3.

        Et même dans le second cas, on va s'apercevoir que les requêtes DNS passent à côté par exemple.

        Avec SOCKS 5 (et 4a) elles ne devraient pas passer à coté. Après il y a le risque d'un programme mal codé qui fait la résolution DNS dans tout les cas, c'est pour cela que je préfère en règle générale de passer via tsocks, car lui je sais qu'il fait le boulot.

        • [^] # Re: Utiliser Tor

          Posté par . Évalué à 4.

          J'en profite pour parler de torsocks, qui fonctionne pareil que tsocks, mais qui à quelques patches sympas en plus, dans l'optique de tor. C'est à dire, un peu plus d'appels interceptés, et il ne grogne pas quand il voit un .onion.

    • [^] # Re: Utiliser Tor

      Posté par . Évalué à 5.

      Je crois qu'il y a des techniques pour créer une interface virtuelle à partir d'un proxy socks, il reste plus qu'à configurer ses tables de routage pour utiliser cette interface. Là j'ai pas retrouvé, mais c'était dans un linuxmag.

      Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

      • [^] # Re: Utiliser Tor

        Posté par . Évalué à 2.

        Sinon, le wiki Tor (je crois) mentionne une technique de proxying transparent, avec laquelle toutes les communications réseau d'un utilisateur donné seront routées par Tor. Je dois avoir les règles iptables correspondantes quelque-part, si je cherche bien.

    • [^] # Re: Utiliser Tor

      Posté par (page perso) . Évalué à 4. Dernière modification le 09/07/13 à 15:06.

      Il y a un truc que je ne comprend pas avec Tor (enfin, des tas de choses en fait), c'est pourquoi pour l'utiliser il faut que chacune des applications permettant d'accéder à internet le prenne en compte elle même. Niveau sécurité ça ne m'a pas l'air terrible car il suffit qu'une seule application utilisée n'utilise pas Tor pour remettre en cause la sécurité des communications (je pense particulièrement à des cas comme des résistants dans une dictature ou leur sécurité physique est intrinsèquement liée à Tor).

      Pour préciser : il me semble que ton navigateur peut utiliser Tor en toute sécurité, si à côté tu fais du Bittorent (ou autre application réseau) sans passer par Tor. Tu seras simplement anonyme uniquement pour ton « buttinage » via le navigateur. Je ne vois pas en quoi le fait d'utiliser une application « non sécurisée », à côté d'une application « sécurisée par Tor », compromettrait la sécurité de l'application « sécurisée ».

      Dans ce cas là, dire :

      pour l'utiliser il faut que chacune des applications permettant d'accéder à internet le prenne en compte elle même

      peut prêter à confusion (cela ne remet pas en cause ta remarque sur le portage de Tor dans les couches basses).

      Et j'aimerai bien qu'on me confirme, car si je me trompe, c'est que j'ai loupé un truc.

  • # Quelques interrogation sur la résolution des noms

    Posté par . Évalué à 5. Dernière modification le 09/07/13 à 10:04.

    Il démarre un proxy socks sur le port 9150; puis connectez vous en ssh quelque part:

    ssh -o ProxyCommand='nc --proxy localhost:9150 --proxy-type socks4 %h %p' user@host # netcat-openbsd (fedora, etc.)
    ssh -o ProxyCommand='nc -x localhost:9150 %h %p' user@host # netcat-traditional (debian, etc.)

    Déjà je me pose des questions sur le -x. J'utilise la variante openbsd de netcat et le -x. Enfin…

    Ma seconde intérogation est socks4. Avec socks4, la résolution doit forcément être faite avant l'utilisation du proxy. Donc niveau anonymat, c'est bof.

    Et enfin mon intérogation finale est la suivante : avec socks4a et socks5, netcat fait t'il la résolution avant d'utiliser le proxy, où utilise t'il directement le proxy ?

    • [^] # Re: Quelques interrogation sur la résolution des noms

      Posté par . Évalué à 3.

      Excellente question, qui contient déjà en partie la réponse. Déjà je me suis trompé dans le journal, et netcat-traditional ne supporte tout simplement pas de proxy donc seule la variante netcat-openbsd est valable. Il est conseillé d’utiliser tsocks pour contourner ce problème.

      Quant à la résolution, je peux me tromper, mais il me semble que netcat la réalise avant d’utiliser le proxy:
      http://sources.debian.net/src/netcat-openbsd/1.105-7/socks.c#L72

      Le bilan c’est qu’il faut préferer tsocks, en version 1.5+ avec la résolution de nom forcée via le proxy.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.