La signature numérique est un processus qui garantit qu’un paquet précis a été généré par ses développeurs et n’a pas été altéré. Ci-dessous, nous expliquons pourquoi cela est important et comment vérifier que le programme Tor que vous téléchargez est bien celui que nous avons créé, et qu’il n’a pas été modifié par un assaillant.

Chaque fichier sur notre page de téléchargement est accompagné d'un fichier étiqueté "signature" avec le même nom que le paquet et l'extension ".asc". Ces fichiers .asc sont des signatures OpenPGP. Ils vous permettent de vérifier que le fichier que vous avez téléchargé est exactement celui que nous vous voulions que vous obteniez. Cela peut varier d'un navigateur à l'autre, mais généralement vous pouvez télécharger ce fichier avec un clic-droit sur le lien "signature" et en sélectionnant l'option "Enregistrer en tant que".

Par exemple, torbrowser-install-win64-9.0_fr-US.exe est accompagné de torbrowser-install-win64-9.0_fr-US.exe.asc. Ce sont des exemples de noms de fichiers et ils ne correspondent pas exactement aux noms de fichiers que vous téléchargez.

Ci-dessous, nous vous expliquons comment vous pouvez, sur différents systèmes d’exploitation, vérifier la signature numérique du fichier téléchargé. Veuillez noter qu’une signature est datée dès que le paquet a été signé. Par conséquent, chaque fois qu’un nouveau fichier est téléversé, une nouvelle signature est générée avec une date différente. Tant que vous aurez vérifié la signature, vous ne devriez pas vous inquiéter si la date indiquée varie.

Installer de GnuPG

Avant tout, GnuPG doit être installé avant que vous puissiez vérifier les signatures.

Pour les utilisateurs de Windows :

Si vous utilisez Windows, téléchargez Gpg4win (site en anglais) et exécutez son programme d’installation.

Afin de vérifier la signature, vous devrez taper quelques commandes dans la ligne de commande de Windows, cmd.exe.

Pour les utilisateurs de macOS :

Si vous utilisez macOS, vous pouvez installer GPGTools.

Afin de vérifier la signature, vous devrez taper quelques commandes dans le terminal (dans « Applications »).

Pour les utilisateurs de GNU/Linux :

Si vous utilisez GNU/Linux, GnuPG se trouve déjà probablement sur votre système, car il est préinstallé sur la plupart des versions de Linux.

Afin de vérifier la signature, vous devrez taper quelques commandes dans une fenêtre de terminal. La façon de le faire peut varier en fonction de votre version.

Obtenir la clé des développeurs de Tor

L’équipe du Navigateur Tor signe les versions du Navigateur Tor. Importez la clé de signature des développeurs du Navigateur Tor (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290) :

gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

Cela devrait vous afficher quelque chose telle que :

gpg: clef 4E2C6E8793298290 : clef publique « Tor Browser Developers (signing key) <torbrowser@torproject.org> » importée
gpg : Quantité totale traitée : 1
gpg:               importées : 1
pub   rsa4096 2014-12-15 [C] [expires: 2025-07-21]
      EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid           [ inconnue] Tor Browser Developers (signing key) <torbrowser@torproject.org>
sub   rsa4096 2018-05-26 [S] [expires: 2020-12-19]

Si vous recevez un message d'erreur, c'est que quelque chose a mal tourné et vous ne pouvez pas poursuivre tant que vous n'avez pas compris pourquoi cela n'a pas fonctionné. Vous pouvez peut-être importer la clé en utilisant la section solution de rechange (using a public key) à la place.

Après avoir importé la clé, vous pouvez l'enregistrer vers un fichier (en l'identifiant par son empreinte ici) :

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

This command results in the key being saved to a file found at the path ./tor.keyring, i.e. in the current directory. Si ./tor.keyring n'existe pas après avoir lancé cette commande, quelque chose a mal tourné et vous ne pouvez pas poursuivre tant que vous n'avez pas compris pourquoi cela n'a pas marché.

Vérifier la signature

Pour vérifier la signature du paquet que vous avez téléchargé, vous devez télécharger le fichier de signature « .asc » correspondant, ainsi que le fichier du programme d’installation même, et le vérifier à l’aide d’une commande qui demande à GnuPG de contrôler le fichier que vous avez téléchargé.

Les exemples ci-dessous supposent que vous avez téléchargé ces deux fichiers dans votre dossier « Téléchargements ». Notez que ces commandes utilisent des noms de fichiers d'exemple et que le vôtre sera différent : vous aurez téléchargé une version différente de la 9.0 et vous n'aurez peut-être pas choisi la version anglaise (en-US).

Pour les utilisateurs de Windows :

gpgv --keyring .\tor.keyring Downloads\torbrowser-install-win64-9.0_en-US.exe.asc Downloads\torbrowser-install-win64-9.0_en-US.exe

Pour les utilisateurs de macOS :

gpgv --keyring ./tor.keyring ~/Téléchargements/TorBrowser-9.0-osx64_en-US.dmg.asc ~/Téléchargements/TorBrowser-9.0-osx64_en-US.dmg

Pour les utilisateurs de GNU/Linux (changez 64 en 32 si vous avez le paquet 32 bits) :

gpgv --keyring ./tor.keyring ~/Téléchargements/tor-browser-linux64-9.0_en-US.tar.xz.asc ~/Téléchargements/tor-browser-linux64-9.0_en-US.tar.xz

Le résultat de la commande devrait produire quelque chose comme ceci :

gpgv: Signature faite le lun 08 jui 2019 07:06:17 EDT
gpgv:                avec la clef RSA EB774491D9FF06E2
gpgv: Bonne signature de « Tor Browser Developers (signing key) <torbrowser@torproject.org> »

Si vous obtenez des messages d'erreur contenant "Aucun fichier ou répertoire de ce type", soit quelque chose s'est mal passé lors d'une des étapes précédentes, soit vous avez oublié que ces commandes utilisent des noms de fichiers d'exemple et le vôtre sera un peu différent.

Solution de rechange (utilisation d'une clé publique)

Si vous rencontrez des erreurs que vous ne pouvez pas corriger, n'hésitez pas à [télécharger et utiliser cette clé publique] (https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf) à la place. Vous pouvez également utiliser la commande suivante :

curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

Tor Browser Developers key is also available on keys.openpgp.org and can be downloaded from https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. If you're using MacOS or GNU/Linux, the key can also be fetched by running the following command:
$ gpg --keyserver keys.openpgp.org --search-keys torbrowser@torproject.org

Vous voudrez peut-être aussi en apprendre davantage sur GnuPG (site en anglais).