Journal Mozilla fait tourner des nœuds Tor

Posté par . Licence CC by-sa
Tags :
24
8
fév.
2015

En novembre 2014, Mozilla et le projet Tor avaient annoncé la naissance du projet Polaris qui a pour but de rapprocher les développeurs de Mozilla de ceux de Tor afin de sécuriser davantage Firefox tandis que Mozilla devrait héberger des nœuds Tor.

Pour rappel, Tor est un réseau en oignon qui anonymise le trafic. Le routage en oignon fait rebondir les échanges TCP au sein d’Internet ; chaque nœud du réseau ne connait donc que le nœud précédent et le suivant. Il ne chiffre donc pas le contenu et il est plus que conseillé d'utiliser https en supplément ainsi que dedésactiver javascript, flash, java et compagnie afin de garantir au maximum cet anonymat.

Le 28 janvier dernier, Arzhel a publié un billet sur le blog de Mozilla pour indiquer que Mozilla avait reconditionné 12 serveurs pour faire tourner des nœuds du réseau Tor pour un total de 2x10 Gb/s de bande passante. C'est donc une très bonne nouvelle pour ce réseau anonyme. Pour Mozilla il est question ici de faire une démonstration de faisabilité. Cela permettra à l'administrateur réseau de se faire la main sur ce genre de projet. Cela explique pourquoi l'ensemble des serveurs se trouvent sur le territoire américain … À terme, les serveurs devraient migrer vers une autre destination non encore définie.

Côté matériel, Arzhel indique utiliser une paire de switchs Juniper et trois serveurs HP SL170zG6 comprenant 48 Go de mémoire vive et deux Xeon L5640.

À noter que les nœuds ne sont pas des nœuds de sortie. Arzhel explique qu'il n'est en charge que du côté technique et qu'il ne connait pas le côté juridique. Espérons donc que le service juridique de Mozilla suive car c'est typiquement ce genre d'associations qui peuvent « prendre le risque » d'héberger des nœuds de sortie (à l'instar de nos-oignons.net)

  • # Mouais

    Posté par (page perso) . Évalué à 10.

    Bon, je vais casser l'ambiance :

    C'est donc une très bonne nouvelle pour ce réseau anonyme. (…) À noter que les nœuds ne sont pas des nœuds de sortie.

    Mouais : si j'ai bien suivi, Tor ne manque pas trop de nœuds intermédiaires, mais manque de nœuds de sortie.
    Donc peut-être une bonne nouvelle pour Mozilla pour faire "je suis pote avec les gens aimant Tor", mais sans doute neutre pour Tor.

    Il aurait peut-être fallu attendre d'avoir des nœuds de sortie avant de se faire de la publicité à ce sujet, car ce sont les nœuds de sortie qui engagent surtout la responsabilité et c'est ça qui pose le plus de problème.

    pour un total de 2x10 Gb/s de bande passante.

    "they are far from running at their maximal bandwidth"


    Mais bon, perso, j'attendrai de Mozilla sur la vie privée qu'ils arrêtent d'abord de me pister et filer mes infos à Google à coup de Google Analytics surtout avec le DoNotTrack activé qui dit que je ne veux pas de Google Analytics entre autre (même si ce point est limite, vu que ça a été trop pratique, le "track" n'a pas été défini), la ça me fait un peu trop publicité sans réellmeent faire attention à la vie privée des gens quand c'est son propre business qui est en jeu.

    • [^] # Re: Mouais

      Posté par (page perso) . Évalué à 2.

      si j'ai bien suivi, Tor ne manque pas trop de nœuds intermédiaires, mais manque de nœuds de sortie.
      Donc peut-être une bonne nouvelle pour Mozilla pour faire "je suis pote avec les gens aimant Tor", mais sans doute neutre pour Tor.

      Il aurait peut-être fallu attendre d'avoir des nœuds de sortie avant de se faire de la publicité à ce sujet, car ce sont les nœuds de sortie qui engagent surtout la responsabilité et c'est ça qui pose le plus de problème.

      C'est tout au moins un premier pas comme décrit dans l'article, une preuve de faisabilité avant de regarder l'aspect plus juridique qui apparaît lorsque l'on décide de devenir un nœud de sortie.

      Mais bon, perso, j'attendrai de Mozilla sur la vie privée qu'ils arrêtent d'abord de me pister et filer mes infos à Google à coup de Google Analytics surtout avec le DoNotTrack activé qui dit que je ne veux pas de Google Analytics entre autre (même si ce point est limite, vu que ça a été trop pratique, le "track" n'a pas été défini)<

      Mozilla a mis fin au contrat mondial avec Google pour avoir davantage d'autonomie en fin Novembre 2014:
      Korben
      Génération NT
      Ars Technica
      The Register

      On peut se poser la question si le mode privé ne pourrait pas tirer parti de TOR…

      • [^] # Re: Mouais

        Posté par (page perso) . Évalué à 8.

        Mozilla a mis fin au contrat mondial avec Google pour avoir davantage d'autonomie en fin Novembre 2014

        Ou alors, c'est parce que Google payait moins vu qu'ils en ont moins besoin.
        Question de façon de voir, sans doute.

        Ca n'enlève absolument rien au sujet Google Analytics.

    • [^] # Re: Mouais

      Posté par (page perso) . Évalué à 4.

      Mouais : si j'ai bien suivi, Tor ne manque pas trop de nœuds intermédiaires, mais manque de nœuds de sortie.

      Juste pour contrer ce point, ça n'est vrai que pour les services hors TOR; si on ne considère que les services cachés, ce qu'a fait Mozilla renforce le réseau.

      Peut-être que Mozilla a dans les cartons de pousser les gens à utiliser les services cachés, par exemple en résolvant lui-même les .onion ?

      • [^] # Re: Mouais

        Posté par . Évalué à 5. Dernière modification le 09/02/15 à 01:34.

        Avant de penser à faire des choses compliquées, faudrait déjà faire les choses simples. Par exemple que firefox arrête de leaks à tout bout de champs le fait que le navigateur soit français, même lorsqu'on sélectionne "anglais" dans tout les intl. & false sur detectLang … faut aller modifier tout les langpacks- pour que Google ne sache vraiment pas quelle langue utiliser pour ton navigateur, et se contente de la référence d'ip.

        C'est pas la peine de se toucher le kiki à faire des trucs complexes pour la privacie si les configurations simples ne permettent pas ce qu'elles annoncent.

        /*moment mauvaise humeur

    • [^] # Re: Mouais

      Posté par . Évalué à 1.

      Vivement ton commentaire lorsque Facebook arrivera officiellement sur Tor.
      ;-)

      • [^] # Re: Mouais

        Posté par . Évalué à 5.

        Il faut quoi pour que ça devienne officiel ?

    • [^] # Re: Mouais

      Posté par . Évalué à 4.

      Ta as raison, ils auraient mieux fait de ne rien faire, il n’y aurait rien eu à leur reprocher.

      Ils ne sont peut-être pas impeccables, mais les procès d’intention sur leur pureté sont quand même pénibles.

      • [^] # Re: Mouais

        Posté par . Évalué à 9.

        tu as lu le commentaire de Zenitram ? Il dit simplement que le projet n'est pas très cohérent : d'un côté on trace les utilisateurs, et de l'autre on dit vouloir favoriser Tor, dont le but est justement d'améliorer la vie privée…

        • [^] # Re: Mouais

          Posté par . Évalué à 0.

          Justement, c’est un peu la confusion des genres. Utiliser un bidule d’analyse des visiteurs, quel que soit le bidule choisi, ne permet pas de te tracer, juste de savoir (un tout petit peu) ce que tu es au moment de la visite.

          J’en ai déjà utilisé plusieurs, principalement Piwik, et c’est pénible à gérer soi-même, je comprends tout à fait ceux qui utilisent un service tiers pour s’occuper de ça, c’est pas mal de soucis en moins (pour ma part, j’y ai tout simplement renoncé, je ne voulais pas utiliser un service tiers). Mais ici, ce n’est pas Mozilla qui trace, c’est Google qui trace via les sites qui utilisent éventuellement le même service, ce n’est pas du tout la même chose. Mozilla est bien incapable de savoir ce que tu fais avec son analytics en dehors de son site. Alors, certes, ce n’est pas un comportement impeccable, mais leur casser les couilles sur ça, c’est un peu de la casuistique technologique (traduction: du pinaillage de docteurs), surtout que tout le monde sait que le “do not track” est d’une logique incertaine (Piwik, par exemple, si le do not track est activé, fonctionne toujours, mais n’enregistre pas l’IP, c’est la seule différence, je crois). Alors, si tu es logique, tu installes un bloqueur quelconque, c’est bien plus efficace, ça ne manque pas parmi les extensions de Firefox, et ton problème de traçage est (presque) résolu. Mozilla n’est certainement pas un problème de ce côté-là.

        • [^] # Re: Mouais

          Posté par . Évalué à 10. Dernière modification le 09/02/15 à 12:06.

          Ouais, enfin, il ne dit pas que ça, ce dont tu parles c'est uniquement ce qu'il dit en aparté à la fin. Zenitram critique aussi Mozilla parce que ce ne sont pas des nœuds de sortie, et parce que selon lui Mozilla se fait ici de la publicité à bon compte. Personnellement, je trouve que c'est mieux que rien.

          J'ai pas mal de reproches à faire à Mozilla, cela fait un moment que je trouvais qu'ils avaient perdu l'esprit qui m'avait fait adorer Phoenix et que Firefox était devenu lourd et que son ergonomie était parfois douteuse, au point que je préférais et préfère encore souvent utiliser un navigateur alternatif comme Konqueror ou Qupzilla, mais certainement pas Chrome, qui me fait apprécier Mozilla à chaque fois que je dois l'utiliser.

          Cela dit, ces navigateurs alternatifs ont aussi leur lot de défauts, et je dois quand même reconnaître que Mozilla a (enfin) fait des efforts ces derniers temps quant à l'amélioration de Firefox côté consommation de ressources, même si je ne supporterai jamais d'avoir un foutu javascript sur un onglet qui soit capable de geler l'ensemble des fenêtres Firefox, voire le bureau entier, et j'apprécierai en effet de ne pas être pisté quand j'utilise ce qui pourrait s'apparenter à un fer de lance du logiciel libre.

          Maintenant, le respect de la vie privée est peut-être la dernière chose que Zenitram est en droit de critiquer, car aussi bon son logiciel MediaInfo puisse-t-il être, il en propose une version à destination de Madame Michu volontairement empaquetée avec une blinde de spywares/adwares/malwares et autres merdes de toolbars et remplacement du moteur de recherche, et certains (commentaire de kissglay dans le lien AVG plus bas, qui pointe vers le sourceforge de MediaInfo) vont jusqu'à l'accuser d'avoir sciemment retiré la version « portable », afin de forcer le téléchargement de la version publicitaire (conseillée, par ailleurs) par les gens qui ne s'y connaissent pas. Ça fait vraiment le mec qui se moque de la paille dans l'œil de son voisin quand lui a une poutre.

          Une amie est passée par l'excellent site de Framasoft, a suivi le lien vers MediaInfo, a téléchargé le logiciel par le lien préconisé, et s'est retrouvée, sans avoir été prévenue à aucun moment lors de l'installation, avec Snap.do, OpenCandy, une barre publicitaire dont j'ai oublié le nom (ici ils parlent de AVG toolbar et les commentaires sont très explicites), sa page d'accueil et son moteur de recherche du navigateur Web remplacés, et une merde publicitaire qui faisait apparaître des pubs (certains parlent de Mezaa machin, mais il me semble que c'était autre chose que je lui ai nettoyé).

          Tout ça en une pauvre petite installation de MediaInfo, un « logiciel libre », qui a nécessité un nettoyage en profondeur, et ce jusque dans l'about:config du navigateur, et dans les tréfonds de la base de registre.

    • [^] # Re: Mouais

      Posté par . Évalué à 3.

      Cela fait parti d'une initiative plus large:

      https://wiki.mozilla.org/Polaris

  • # Chiffrement

    Posté par (page perso) . Évalué à 2.

    Je ne comprend pas cette phrase :

    Il ne chiffre donc pas le contenu et il est plus que conseillé d'utiliser https en supplément ainsi que de désactiver javascript, flash, java et compagnie afin de garantir au maximum cet anonymat.

    qui pour moi est en opposition avec cette partie d'article

    Tor fait bien du chiffrement ? Au niveau TCP ? Au dessus de TCP, il y a bien de l'application, non ?

    Merci d'éclairer ma lanterne.

    Il avait aussi le plus grand respect de l'humour parce que c'était une des meilleures armes que l'homme eût jamais forgées pour lutter contre lui-même.

    • [^] # Re: Chiffrement

      Posté par (page perso) . Évalué à 7. Dernière modification le 08/02/15 à 14:35.

      Tor ne chiffre que de dans le réseau.

      Les données qui sortent de Tor, si elles circulent en clair (en HTTP par exemple) peuvent être interceptées.

  • # Précision

    Posté par (page perso) . Évalué à 4.

    Pour rappel, Tor est un réseau en oignon qui anonymise le trafic. Le routage en oignon fait rebondir les échanges TCP au sein d’Internet ; chaque nœud du réseau ne connait donc que le nœud précédent et le suivant.

    En fait, la connexion va passer uniquement par 3 nœuds, le garde, le relais (bridge) et le nœud de sortie.

    Le garde (point d’entré) ne connaît que la source, le nœud de sortie ne connaît que la destination et le bridge est aveugle.

    • [^] # Re: Précision

      Posté par . Évalué à 3.

      Un nœud connaît-il son rôle ?

      • [^] # Re: Précision

        Posté par (page perso) . Évalué à 7.

        Un drapeau lui est apposé dans l’annuaire des nœuds.

        En somme, tous les nœuds sont relais (bridge) et certain ont le drapeau de garde ou de nœud de sortie. Comme ça les « clients » choisissent des gardes, les gardes choisissent des relais et les relais des nœud de sortie.

        Je sais pas si ce que je dis correspond à 100% à la réalité ni si j’emploie le bon vocabulaire. Je n’opère un nœud que depuis peu de temps et j’ai surtout lu cet article : The lifecycle of a new relay. Si quelqu’un de mieux instruit que moi veut préciser ou contredire mes propos, qu’il n’hésite pas.

    • [^] # Re: Précision

      Posté par . Évalué à 7.

      sur un noeud de sortie, c'est possible de limiter les connections vers :
      -les sites pedo terroriste pirate ?

      genre pouvoir avoir un noeud de sortie en France respectant les loi francaises ?

      • [^] # Re: Précision

        Posté par (page perso) . Évalué à 5.

        Tu peux bloquer par adresses IP et ports avec la directive ExitPolicy. Le man dit : Set an exit policy for this server. Each policy is of the form "accept|reject ADDR[/MASK][:PORT]".

        Je n’opère pas de nœud de sortie (ExitPolicy reject *) mais voilà la configuration de base que j’appliquerai dans le cas contraire :

        ExitPolicy reject 10.0.0.0/8
        ExitPolicy reject 127.0.0.0/8
        ExitPolicy reject 169.254.0.0/16
        ExitPolicy reject 172.16.0.0/12
        ExitPolicy reject 192.168.0.0/16
        
        IPv6Exit 1
        
        ExitPolicy reject6 2001:db8::/32
        ExitPolicy reject6 fc00::/7
        ExitPolicy reject6 fe80::/10
        ExitPolicy reject6 ff00::/8
        • [^] # Re: Précision

          Posté par . Évalué à 5.

          Ça ressemble assez à la politique de sortie de nos-oignons.net. Voir par exemple le nœud de sortie marylou.

      • [^] # Re: Précision

        Posté par . Évalué à 5.

        J'ai peur que ça ne crée plus de problèmes que ça n'en résoud. Existe-t-il des blacklists officielles de sites terroristo-pédo-nazis? Si tu te fais ta propre liste, tu pourrais te faire reprocher d'avoir été particulièrement sympa avec certains sites notoires. D'autre part, si tu commences comme ça, tu vas vouloir couvrir toutes les activités illégales, et pas seulement les pires saloperies : la came, les trucs pour pirater les cartes bleues, les virus, les médocs frelatés, la prostitution… Tu vas aussi vouloir limiter les activités récréatives qui bouffent toute la bande passante, type streaming porno. Au final, tu vas contrôler internet encore plus qu'un État le ferait, et de manière encore plus arbitraire, ce qui pose bien la question de fond : est-il vraiment "bien" de participer à Tor?

        • [^] # Re: Précision

          Posté par . Évalué à 5.

          A ce niveau là, autant faire une whiteliste soi-disant qui aide des opposants politiques : les réseaux sociaux reconnu, et les trucs genre wikileaks.

          "La première sécurité est la liberté"

          • [^] # Re: Précision

            Posté par . Évalué à 3.

            C'est pour ça que la manière dont on pose la question est importante : est-ce qu'on veut se mettre en conformité avec la loi (d'un point de vue purement juridique), et dans ce cas, on se considère comme un FAI (on se contente d'implémenter les décisions de justice), ou est-ce qu'on se place sur un point de vue moral, et qu'on souhaite offrir un anonymat légitime (par exemple, liberté d'expression pour les opposants politiques). Dans le premier cas, je pense que c'est inutile (parce qu'on n'est pas un FAI, et que même si on l'était, il suffirait d'attendre d'être contacté pour bloquer certaines IP, il n'y a pas grand chose à faire préventivement), et dans le deuxième cas, non seulement ça me semble impossible, mais en plus ce n'est carrément pas compatible avec le principe de Tor. De ce que je comprend du principe de Tor, c'est qu'on assume l'"irresponsabilité" de sa démarche ; on sait qu'une grosse partie de traffic est par nature illégal et/ou immoral, voire carrément gerbant, mais qu'on assume ça.

            • [^] # Re: Précision

              Posté par . Évalué à 4.

              Si Tor sait comment rediriger les requêtes bloquées, cela ne me déranges pas plus que ça. Cela fait augmenter globalement la bande passante disponible.

              "La première sécurité est la liberté"

        • [^] # Re: Précision

          Posté par (page perso) . Évalué à 2.

          Oui, mais Tor ne serait réellement filtré que si tous les opérateurs de nœuds de sortie faisaient du filtrage. Si tu as ExitPolicy reject *:443, tu ne relaieras pas de connexion à destination du port 443 et c'est tout. Ça ne veut pas dire que quelqu'un d'autre ne le relaiera pas.

          Personnellement, si j'avais les épaules pour faire tourner un nœud de sortie (l'exploitation n'est pas la même) je ne ferai sûrement pas ça, mais je peux comprendre que certains aient envie de se protéger.

      • [^] # Re: Précision

        Posté par (page perso) . Évalué à 2.

        L'intérêt de ce genre de réseau, c'est d'offrir un accès à internet imperméable à la censure. De plus, il est impossible de faire une liste exhaustive. Le mieux est de laisser un internet complétement libre, qui permet les dérives, mais qui permet également à tous de s'exprimer.

    • [^] # Re: Précision

      Posté par . Évalué à 2.

      Le garde (point d’entré) ne connaît que la source, le nœud de sortie ne connaît que la destination et le bridge est aveugle.

      heu, comment il sait à qui envoyer le bordel ?
      il envoie au hasard jusqu'a un noeud de sortie qui lui decodera la destination reel ?

      au risque que le paquet fasse le tour de la planete pour atteindre une machine à coté de chez toi ?

      • [^] # Re: Précision

        Posté par (page perso) . Évalué à 6.

        Je ne sais pas comment le nœud de sortie a connaissance de la destination. J’ai surtout lu des articles de vulgarisations.

        Je t’encourage à lire les explications officielles et l’article que j’ai cité quelques commentaires plus haut si tu veux un peu mieux comprendre.

        au risque que le paquet fasse le tour de la planete pour atteindre une machine à coté de chez toi ?

        Là c’est un peu le principe de Tor : anonymiser les communications réseaux. Tant pis si ça fait le tour de la planète (Tor n’en sait rien) pour joindre ton voisin.

  • # anonymat et javascript

    Posté par . Évalué à 1.

    il est plus que conseillé d'utiliser https en supplément ainsi que dedésactiver javascript, flash, java et compagnie afin de garantir au maximum cet anonymat.

    Hum… impossible de retrouver le bout de texte que j'avais trouvé à ce sujet, mais justement, pour être anonyme désactiver javascript n'est pas vraiment recommandé. Parce que pour être vraiment anonyme, il faut se fondre dans la masse et faire comme tout le monde, hors, les gens navigant sans javascript sont rares (les autres informaticiens que j'ai côtoyé m'ont plus regardé comme un alien qu'autre chose quand j'ai dit que je n'ai pas JS par défaut…). Le seul truc que ça bloque, c'est une grande quantité d'ads, les trucs qui te popent à la tronche, les sites qui tuent ton CPU, et les sites qui utilisent JS pour les liens (de plus en plus… sigh). Dans le tas, il se peut qu'il y ait quelques trackers, mais ce n'est pas pour autant que ça permet de contourner toutes les méthodes de tracking.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.