Services Onion

Les services onions permettent aux gens de naviguer et aussi de publier dans l’anonymat, même de publier des sites Web anonymes.

Les services onion sont également utilisés pour les conversations et le partage de fichiers sans métadonnées, pour une interaction plus sûre entre les journalistes et leurs sources, comme avec SecureDrop ou OnionShare, pour des mises à jour logicielles plus sûres et pour des moyens plus sûrs d'accéder à des sites web populaires tels que Facebook.

Ces services utilisent le domaine de premier niveau (TLD) à usage spécial .onion (au lieu de .com, .net, .org, etc.) et ne sont accessibles que par le réseau Tor.

Icône Onion

Lorsque vous accédez à un site web qui utilise un service en onion, le navigateur Tor affichera dans la barre d'URL une icône en forme d'oignon qui indique l'état de votre connexion : sécurisée et utilisant un service en onion.

Pour en savoir plus sur les services en onion, lisez Comment fonctionnent les services en onion ?

Onion-Location est un en-tête HTTP que les sites web peuvent utiliser pour annoncer leur homologue en onion. Si le site web que vous visitez dispose d'un site en onion, une bulle de suggestion violette s'affichera dans la barre d'URL, indiquant ".onion disponible". Lorsque vous cliquez sur ".onion disponible", le site web est rechargé et redirigé vers son équivalent en onion. Pour l'instant, Onion-Location est disponible pour le navigateur Tor (Windows, macOS et GNU/Linux). Vous pouvez en savoir plus sur Onion-Location dans le Manuel du navigateur Tor. Si vous êtes un opérateur de service onion, apprenez comment configurer Onion-Location dans votre site onion.

Comment savoir si j'utilise des services onion v2 ou v3 ?

Vous pouvez identifier les adresses onion v3 par leur longueur de 56 caractères, par exemple l'adresse v2 du Projet Tor:http://expyuzz4wqqyqhjn.onion/, et l'adresse v3 du Projet Tor : http://2gzyxa5ihm7nsggfxnu52rck2vv4rvmdlkiu3zzui5du4xyclen53wid.onion/

Si vous êtes administrateur d'un service onion, vous devez passer à la version 3 des services onion dès que possible. Si vous êtes un utilisateur, veillez à mettre à jour vos signets avec les adresses en onion v3 du site web.

Quel est le calendrier pour l'abandon de la v2 ?

En septembre 2020, Tor a commencé à avertir les opérateurs et les clients des services onion que la version 2 sera dépréciée et obsolète à partir de la version 0.4.6. Le navigateur Tor a commencé à avertir les utilisateurs en juin 2021.

En juillet 2021, la version 0.4.6 de Tor ne supportera plus la v2 et le support sera supprimé dans le code de base.

En octobre 2021, nous publierons de nouvelles versions stables du client Tor pour toutes les séries prises en charge qui désactiveront la v2.

Vous pouvez en savoir plus en lisant le blog du projet Tor calendrier de dépréciation de la version 2 des services onion.

Puis-je continuer à utiliser mon adresse onion v2 ? Puis-je accéder à mon onion v2 après le mois de septembre ? S'agit-il d'un changement incompatible avec le passé ?

Les adresses onion V2 sont fondamentalement non sécurisées. Si vous disposez d'un onion v2, nous vous recommandons de migrer dès maintenant. Il s'agit d'un changement incompatible avec le passé : les services onions v2 ne sont plus accessibles depuis septembre 2021.

Quelle est la recommandation pour les développeurs pour la migration ? Des conseils sur la manière de diffuser les nouvelles adresses v3 ?

Dans torrc, pour créer une adresse version 3, il suffit de créer un nouveau service comme vous l'avez fait pour votre service v2, avec ces deux lignes :

HiddenServiceDir /full/path/to/your/new/v3/directory/
HiddenServicePort <virtual port> <target-address>:<target-port>

La version par défaut est désormais fixée à 3, de sorte qu'il n'est pas nécessaire de la définir explicitement. Redémarrez Tor et recherchez la nouvelle adresse dans votre répertoire. Si vous souhaitez continuer à faire fonctionner votre service version 2 jusqu'à ce qu'il soit obsolète afin de fournir un chemin de transition à vos utilisateurs, ajoutez cette ligne au bloc de configuration de votre service version 2 :

HiddenServiceVersion 2

Cela vous permettra d'identifier dans votre fichier de configuration quelle version est utilisée.

Si vous avez configuré Onion-Location sur votre site web, vous devez définir l'en-tête avec votre nouvelle adresse v3. Pour obtenir de la documentation technique sur l'exécution des services onion, veuillez consulter la page Services onion sur notre portail communautaire.

Je n'ai pas vu l'annonce, puis-je avoir plus de temps pour migrer ?

Non, les connexions aux onions v2 vont commencer à échouer maintenant, d'abord lentement, puis soudainement. Il est temps de passer à la v3.

Les services commenceront-ils à ne pas pouvoir être atteints en septembre, ou avant déjà ?

Déjà, les points d'introduction ne sont plus dans Tor 0.4.6, donc ils ne seront plus accessibles si les opérateurs de relais se mettent à jour.

En tant qu'administrateur de site web, puis-je rediriger les utilisateurs de mon onion v2 vers la v3 ?

Oui, cela fonctionnera jusqu'à ce que l'adresse onion v2 soit inaccessible. Vous pouvez encourager les utilisateurs à mettre à jour leurs signets.

Les services onion v3 vont-ils contribuer à atténuer les problèmes de DDoS ?

Oui, nous travaillons en permanence à l'amélioration de la sécurité des services onion. Parmi les tâches figurant sur notre feuille de route, citons ESTABLISH_INTRO Cell DoS Defense Extension, Res tokens : Anonymous Credentials for Onion Service DoS Resilience, et A First Take at PoW Over Introduction Circuits. Pour une vue d'ensemble de ces propositions, lisez l'article de blog détaillé Comment arrêter le déni de service des onions.

Si vous ne parvenez pas à atteindre le service en onion que vous souhaitez, assurez-vous que vous avez saisi correctement l'adresse en onion de 56 caractères ; même une petite erreur empêchera le navigateur Tor d'atteindre le site. Si vous ne parvenez toujours pas à vous connecter au service onion, veuillez réessayer ultérieurement. Il pourrait y avoir un problème temporaire de connexion ou les opérateurs du site pourraient avoir permis qu’il soit hors ligne, sans avertissement.

Vous pouvez également vous assurer que vous êtes en mesure d'accéder à d'autres services en onion en vous connectant au service en onion de DuckDuckGo.

Un service onion authentifié est un service onion qui exige que vous fournissiez un jeton d'authentification (dans ce cas, une clé privée) avant d'accéder au service. La clé privée n'est pas transmise au service et n'est utilisée que pour déchiffrer son descripteur localement. Vous pouvez obtenir les identifiants d'accès auprès de l'opérateur du service onion. Contactez l'opérateur et demandez lui l'accès. En savoir plus sur comment utiliser l'authentification onion dans le navigateur Tor. If you want to create an onion service with client authentication, please see the Client Authorization section in the Community portal.

Quand vous naviguez sur un service onion, le Navigateur Tor affiche différentes icônes onion dans la barre d’adresse indiquant la sécurité de la page Web en cours.

Image d'un onion Un oignon signifie :

  • Le service en onion est servi par HTTP ou HTTPS avec un certificat émis par l'autorité de certification.
  • Le service en onion est servi par HTTPS avec un certificat auto-signé.

Image d'un onion avec une barre rouge Un oignon avec une barre rouge signifie :

  • Le service en onion est servi par un script provenant d'une URL non sécurisée.

Image d'un onion avec un panneau d'avertissement Un oignon avec un signe de prudence signifie :

  • Le service en onion est servi par HTTPS avec un certificat expiré.
  • Le service en onion est servi par HTTPS avec un mauvais domaine.
  • Le service en onion est servi avec une forme mixte par le biais d'une URL non sécurisée.

Les sites Web qui ne sont accessibles que par Tor sont appelés « onion » et se terminent par le domaine de premier niveau .onion. Par exemple, l'onion de DuckDuckGo est https://duckduckgogg42xjoc72x3sjasowoarfbgcmvfimaftt6twagswzczad.onion/. Vous pouvez accéder à ces sites Web en utilisant le Navigateur Tor. L’adresse doit être partagée avec vous par l’hôte du site Web, car les onions ne sont pas indexés dans les moteurs de recherche de façon habituelle, comme les sites Web ordinaires le sont.