À propos de Tor

Comme mentionné ci-dessus, il est possible pour un observateur qui peut espionner à la fois vous et soit le site web de destination ou votre nœud de sortie Tor de corréler les timings de votre trafic lorsqu'il entre sur le réseau Tor et quand il en ressort. Tor ne se défend pas contre un tel modèle de menace.

En un sens plus restreint, notez que si un censeur ou un organisme d’application de la loi a la capacité d'obtenir des observations spécifiques de certaines parties du réseau, il est possible pour eux de vérifier leur suspicion que vous parlez régulièrement à votre ami en observant le trafic aux deux extrémités et en corrélant le timing de ce trafic en particulier. Encore une fois, ça n'est utile que pour vérifier que des parties déjà suspectes communiquent bien ensemble. Dans la plupart des pays, la suspicion nécessaire pour obtenir un mandat est déjà plus importante que la corrélation de timing pourrait fournir.

De plus, comme Tor réutilise les circuits pour de multiples connexions TCP, il est possible d'associer du trafic anonyme et non anonyme sur un nœud de sortie donné, faites donc attention aux applications qui utilisent Tor en même temps. N'hésitez pas à lancer plusieurs clients Tor pour chacune de ces applications.

Internet fonctionne en mode différé (Store and Forward), qui peut facilement s'expliquer avec une analogie avec le courrier postal : les données sont transmises en blocs appelés datagrammes IP ou paquets. Chaque paquet contient une adresse IP source (de l'expéditeur) et une adresse IP de destination (du destinataire), tout comme les lettres en papier affichent l'adresse du destinataire et de l'expéditeur. La route entre l'expéditeur et le destinataire impliquent de passer par de multiples routeurs. Chacun de ces routeurs inspecte l'adresse IP de destination et transmet le paquet au prochain routeur le plus proche de cette destination. Ainsi, chaque routeur entre l'expéditeur et le destinataire voient que l'expéditeur communique avec le destinataire. Tout particulièrement, votre fournisseur d'accès Internet est en mesure de faire un profilage exhaustif de votre utilisation d'Internet. De la même façon, chaque serveur de l'Internet qui voit passer vos paquets peut profiler vos comportements.

Le but de Tor est d'améliorer la protection de votre vie privée en envoyant votre trafic à travers une série de proxies (intermédiaires). Vos communications sont chiffrées par plusieurs couches de chiffrement et sont routées jusqu'au destinataire via plusieurs noeuds à travers le réseau Tor. Plus de détails sur ce processus sont expliqués dans cette visualisation. Notez que votre fournisseur d'accès Internet peut voir que vous communiquez avec des noeuds Tor. De même, les serveurs de l'Internet voient qu'ils sont accédés depuis le réseau Tor.

De manière générale, Tor essaie de résoudre trois problèmes de vie privée :

Premièrement, Tor empêche les sites web et autres services de connaître votre localisation, qu'ils peuvent utiliser pour construire des bases de données sur vos habitudes et vos intérêts. Avec Tor, vos connexions Internet ne dévoilent pas par défaut vos données personnelles – vous avez le choix, pour chaque connexion, de quelles informations vous souhaitez révéler.

Deuxièmement, Tor empêche les gens d'espionner votre trafic localement (comme votre FAI ou quelqu'un qui a accès à votre Wi-Fi domestique ou à votre routeur) et de voir à quelles informations vous accédez et à quels serveurs vous vous connectez. Cela les empêche aussi de restreindre ce que vous pouvez apprendre et publier – si vous arrivez à accéder au réseau Tor, vous pouvez joindre n'importe quel site de l'Internet.

Troisièmement, Tor route vos connexions à travers plusieurs relais Tor ; ainsi, aucun relai Tor ne peut savoir ce que vous faites. Du fait que ces relais sont opérés par des organisations ou des individus différents, la distribution de la confiance fournit plus de sécurité que la vieille approche du proxy unique.

Cependant, il y a des situations dans lesquelles Tor ne résout pas complètement ces problèmes de vie privée : voir la section ci-dessous sur les attaques possibles.

Le nom « Tor » peut désigner différentes composantes.

Tor est un programme que vous pouvez exécuter sur votre ordinateur et qui contribue à votre sécurité sur Internet. Il vous protège en faisant rebondir vos communications autour d’un réseau distribué de relais gérés par des bénévoles du monde entier : il empêche quelqu’un qui surveille votre connexion Internet de connaître les sites que vous visitez, et il empêche les sites que vous visitez de connaître votre emplacement physique. Cet ensemble de relais volontaires est appelé le réseau Tor.

La façon dont la plupart des gens utilisent Tor est avec le Navigateur Tor, qui est une version de Firefox qui corrige de nombreux problèmes de protection des renseignements personnels. Pour plus de précisons sur Tor, consulter notre page À propos.

Le Projet Tor est un organisme sans but lucratif (charité) qui maintient et développe le logiciel Tor.

Tor est le réseau de routage en oignon. Quand nous commencions la conception de nouvelle génération et la mise en œuvre du routage en oignon en 2001, 2002, nous disions aux gens que nous travaillions sur le routage en oignon, et ils disaient « Super. Lequel ? » Même si l’expression « routage en oignon » fait partie du vocabulaire courant, Tor est né du projet du routage en oignon géré par le Laboratoire de recherche navale.

(Il a aussi une belle signification en allemand et en turc).

Note : Même s’il est provenu d’un acronyme à l’origine, Tor ne s’écrit pas « TOR ». Seule la première lettre est en majuscule. En fait, nous pouvons généralement repérer les personnes qui n’ont lu aucun de nos sites Web (et qui ont plutôt appris tout ce qu’elles savent sur Tor à partir d’articles de presse) par le fait qu’elles l’orthographient mal.

Non, il ne les supprime pas. Vous devez utiliser un programme distinct qui comprend votre application et votre protocole et sait comment nettoyer ou "frotter" les données qu’il envoie. Le Navigateur Tor essaie de garder les données au niveau de l’application, comme la chaîne de l’agent utilisateur, uniforme pour tous les utilisateurs. Cependant, le Navigateur Tor ne peut rien faire pour le texte que vous tapez dans les formulaires.

Un fournisseur de mandataire typique met en place un serveur quelque part sur Internet et vous permet de l’utiliser pour relayer votre trafic. Cela crée une architecture simple et facile à administrer. Les utilisateurs entrent et sortent tous par le même serveur. Le fournisseur peut facturer l’utilisation du mandataire, ou financer ses coûts par des publicités sur le serveur. C’est la configuration la plus simple, vous n’avez rien à installer. Il vous suffit de pointer votre navigateur vers leur serveur mandataire. Les fournisseurs de mandataire simples sont de bonnes solutions si vous ne voulez pas de protection de votre vie privée et de votre anonymat en ligne et si vous faites confiance au fournisseur pour ne pas faire de mauvaises choses. Certains fournisseurs de mandataire simples utilisent le protocole SSL pour sécuriser votre connexion vers eux, ce qui vous protège contre les écoutes électroniques locales, telles que celles dans un café qui offre un accès Wi-Fi gratuit à Internet.

Les simples fournisseurs de mandataire créent également un point d’échec unique. Le fournisseur d’accès sait à la fois qui vous êtes et ce que vous naviguez sur l’internet. Ils peuvent voir votre trafic quand il passe par leur serveur. Dans certains cas, ils peuvent même voir à l’intérieur de votre trafic chiffré quand ils le transmettent à votre site bancaire ou à des magasins de commerce électronique. Vous devez avoir confiance dans le fait que le fournisseur ne surveille pas votre trafic, n’injecte pas ses propres publicités dans votre flux de trafic et n’enregistre pas vos données personnelles.

Tor fait passer votre trafic par au moins 3 serveurs différents avant de l’envoyer à la destination. Comme il y a une couche de chiffrement séparée pour chacun des trois relais, quelqu’un qui surveille votre connexion Internet ne peut pas modifier, ou lire, ce que vous envoyez dans le réseau Tor. Votre trafic est chiffré entre le client Tor (sur votre ordinateur) et l’endroit où il sort ailleurs dans le monde.

Le premier serveur ne voit-il pas qui je suis ?

Possiblement. Un mauvais premier des trois serveurs peut voir le trafic Tor chiffré provenant de votre ordinateur. Il ne sait toujours pas qui vous êtes et ce que vous faites sur Tor. Il voit simplement "Cette adresse IP utilise Tor". Vous êtes toujours protégé contre ce nœud qui vous permet de savoir qui vous êtes et où vous allez sur l’internet.

Le troisième serveur ne peut pas voir mon trafic ?

Possiblement. Un mauvais tiers des trois serveurs peut voir le trafic que vous avez envoyé dans Tor. Il ne saura pas qui a envoyé ce trafic. Si vous utilisez le chiffrement (tel que HTTPS). Il ne connaîtra que la destination. See this visualization of Tor and HTTPS to understand how Tor and HTTPS interact.

Oui.

Les logiciels de Tor sont des logiciels libres (site en anglais). Cela signifie que nous vous accordons les droits de redistribuer les logiciels de Tor modifiés ou non, soit moyennant des frais soit gratuitement. Vous n’avez pas à nous demander de permission particulière.

Cependant, si vous souhaitez redistribuer les logiciels de Tor, vous devez respecter notre LICENCE (page en anglais). Cela signifie essentiellement que vous devez inclure notre fichier « LICENSE » avec toute partie des logiciels de Tor que vous distribuez.

La plupart des gens qui nous posent cette question ne veulent pas seulement distribuer le logiciel Tor, cependant. Ils veulent distribuer le Navigateur Tor. This includes Firefox Extended Support Release and the NoScript extension. Vous devrez également suivre la licence de ces programmes. Ces deux extensions Firefox sont distribuées sous la licence publique générale GNU, tandis que Firefox ESR est publié sous la licence publique Mozilla. La façon la plus simple de respecter leurs licences est d’inclure le code source de ces programmes partout où vous incluez les paquets eux-mêmes.

Aussi, vous devez vous assurer de ne pas confondre vos lecteurs sur ce qu’est Tor, qui le fabrique et quelles sont les propriétés qu’il fournit (et ne fournit pas). Voir notre FAQ sur les marques de commerce pour plus de détails.

Il existe de nombreux autres programmes que vous pouvez utiliser avec Tor, mais nous n’avons pas effectué de recherche assez poussée des problèmes d’anonymat au niveau de l’application sur chacun d’eux pour recommander une configuration sûre. Vous trouverez sur notre wiki une liste d’instructions gérée par la communauté afin de torifier des applications particulières. Ajoutez à cette liste et aidez-nous à la maintenir exacte !

La plupart des gens utilisent le Navigateur Tor, qui comprend tout ce dont vous avez besoin pour parcourir la Toile en toute sécurité en utilisant Tor. Utiliser Tor avec d'autres navigateurs est dangereux et déconseillé.

Il n’y a absolument aucune porte dérobée dans Tor.

Nous connaissons des avocats brillants qui disent qu’il est peu probable que quelqu’un puisse essayer de nous en faire ajouter une dans notre territoire (É.-U.). Si l’on nous le demandait, nous nous battrions et, d’après les avocats, nous gagnerions probablement.

Nous n’ajouterons jamais de porte dérobée dans Tor. Nous pensons qu’aux yeux de nos utilisateurs, il serait terriblement irresponsable d’ajouter une porte dérobée dans Tor, et un mauvais précédent pour les logiciels de sécurité en général. Si jamais nous mettions délibérément une porte dérobée dans notre logiciel de sécurité, cela ruinerait notre réputation professionnelle. Personne ne fera plus jamais confiance à nos logiciels - pour d’excellentes raisons !

Cela dit, il existe un grand nombre d’attaques subtiles que des personnes pourraient tenter. Quelqu’un pourrait se faire passer pour nous ou s’introduire de force dans nos ordinateurs, ou quelque chose de la sorte. Tor est à code source ouvert et vous devriez toujours vérifier la présence de choses suspectes dans la source (ou au moins les différences depuis la dernière version). Si nous (ou les distributeurs qui vous ont donné Tor) ne vous donnons pas accès au code source, c’est un signe certain que quelque chose de drôle pourrait se passer. Vous devriez aussi vérifier les signatures PGP  des ces versions, pour s'assurer que personne n'a déterioré les sites de distribution.

De plus, des bogues accidentels dans Tor pourraient affecter votre anonymat. Nous trouvons et corrigeons régulièrement des bogues relatifs à l’anonymat. Aussi, assurez-vous de toujours garder vos versions de Tor à jour.

Tor (like all current practical low-latency anonymity designs) fails when the attacker can see both ends of the communications channel. For example, suppose the attacker controls or watches the Tor relay you choose to enter the network, and also controls or watches the website you visit. In this case, the research community knows no practical low-latency design that can reliably stop the attacker from correlating volume and timing information on the two sides.

So, what should we do? Suppose the attacker controls, or can observe, C relays. Suppose there are N relays total. If you select new entry and exit relays each time you use the network, the attacker will be able to correlate all traffic you send with probability around (c/n)2. But profiling is, for most users, as bad as being traced all the time: they want to do something often without an attacker noticing, and the attacker noticing once is as bad as the attacker noticing more often. Thus, choosing many random entries and exits gives the user no chance of escaping profiling by this kind of attacker.

The solution is "entry guards": each Tor client selects a few relays at random to use as entry points, and uses only those relays for their first hop. If those relays are not controlled or observed, the attacker can't win, ever, and the user is secure. If those relays are observed or controlled by the attacker, the attacker sees a larger fraction of the user's traffic - but still the user is no more profiled than before. Thus, the user has some chance (on the order of (n-c)/n) of avoiding profiling, whereas they had none before.

You can read more at An Analysis of the Degradation of Anonymous Protocols, Defending Anonymous Communication Against Passive Logging Attacks, and especially Locating Hidden Servers.

Restricting your entry nodes may also help against attackers who want to run a few Tor nodes and easily enumerate all of the Tor user IP addresses. (Even though they can't learn what destinations the users are talking to, they still might be able to do bad things with just a list of users.) However, that feature won't really become useful until we move to a "directory guard" design as well.

Tor uses a variety of different keys, with three goals in mind: 1) encryption to ensure privacy of data within the Tor network, 2) authentication so clients know they're talking to the relays they meant to talk to, and 3) signatures to make sure all clients know the same set of relays.

Encryption: first, all connections in Tor use TLS link encryption, so observers can't look inside to see which circuit a given cell is intended for. Further, the Tor client establishes an ephemeral encryption key with each relay in the circuit; these extra layers of encryption mean that only the exit relay can read the cells. Both sides discard the circuit key when the circuit ends, so logging traffic and then breaking into the relay to discover the key won't work.

Authentication: Every Tor relay has a public decryption key called the "onion key". Each relay rotates its onion key every four weeks. When the Tor client establishes circuits, at each step it demands that the Tor relay prove knowledge of its onion key. That way the first node in the path can't just spoof the rest of the path. Because the Tor client chooses the path, it can make sure to get Tor's "distributed trust" property: no single relay in the path can know about both the client and what the client is doing.

Coordination: How do clients know what the relays are, and how do they know that they have the right keys for them? Each relay has a long-term public signing key called the "identity key". Each directory authority additionally has a "directory signing key". The directory authorities provide a signed list of all the known relays, and in that list are a set of certificates from each relay (self-signed by their identity key) specifying their keys, locations, exit policies, and so on. So unless the adversary can control a majority of the directory authorities (as of 2021 there are 10 directory authorities), they can't trick the Tor client into using other Tor relays.

How do clients know what the directory authorities are?

The Tor software comes with a built-in list of location and public key for each directory authority. So the only way to trick users into using a fake Tor network is to give them a specially modified version of the software.

How do users know they've got the right software?

When we distribute the source code or a package, we digitally sign it with GNU Privacy Guard. See the instructions on how to check Tor Browser's signature.

In order to be certain that it's really signed by us, you need to have met us in person and gotten a copy of our GPG key fingerprint, or you need to know somebody who has. If you're concerned about an attack on this level, we recommend you get involved with the security community and start meeting people.

Tor va réutiliser le même circuit pour de nouveaux flux TCP pendant 10 minutes, tant que le circuit fonctionne correctement. (Si le circuit échoue, Tor va changer de circuit immédiatement.)

Mais notez qu'une unique connexion TCP (par exemple une longue connexion IRC) va rester sur le même circuit pour toujours. Nous ne basculons pas les connexions d'un ciruit au suivant. Otherwise, an adversary with a partial view of the network would be given many chances over time to link you to your destination, rather than just one chance.