La signature numérique est un processus qui garantit qu’un paquet précis a été généré par ses développeurs et n’a pas été altéré. Ci-dessous, nous expliquons pourquoi cela est important et comment vérifier que le programme Tor que vous téléchargez est bien celui que nous avons créé, et qu’il n’a pas été modifié par un assaillant.

Chaque fichier sur notre page de téléchargement est accompagné d’un fichier portant le même nom que le paquet ainsi que l’extension « .asc ». Ces fichiers .asc sont des signatures GPG. Ils vous permettent de vérifier que le fichier que vous avez téléchargé est exactement celui que nous vous voulions que vous obteniez. Par exemple, torbrowser-install-8.0.8_fr-US.exe est accompagné de torbrowser-install-8.0.8_fr-US.exe.asc. Pour obtenir une liste qui indique quel développeur signe quel paquet, consultez notre page des clés de signature (page en anglais).

Ci-dessous, nous vous expliquons comment vous pouvez, sur différents systèmes d’exploitation, vérifier la signature numérique du fichier téléchargé. Veuillez noter qu’une signature est datée dès que le paquet a été signé. Par conséquent, chaque fois qu’un nouveau fichier est téléversé, une nouvelle signature est générée avec une date différente. Tant que vous aurez vérifié la signature, vous ne devriez pas vous inquiéter si la date indiquée varie.

Windows

Avant tout, GnuPG doit être installé avant que vous puissiez vérifier les signatures. Téléchargez-le de https://gpg4win.org/download.html.

Une fois installé, utilisez GnuPG pour importer la clé qui a signé votre paquet. Afin de vérifier la signature, vous devrez taper quelques commandes dans la ligne de commande de Windows, cmd.exe.

L’équipe du Navigateur Tor signe les versions du Navigateur Tor. Importez sa clé (0x4E2E2C6E8793298290) en lançant cmd.exe et en tapant :

gpg.exe --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290

Après avoir importé la clé, vous pouvez vérifier que l’empreinte est correcte :

gpg.exe --fingerprint 0x4E2C6E8793298290

Vous devriez voir :

pub   rsa4096/0x4E2C6E8793298290 2014-12-15 [C] [expires: 2020-08-24]
      Key fingerprint = EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
uid                   [ unknown] Tor Browser Developers (signing key) <torbrowser&at;torproject.org>
sub   rsa4096/0xEB774491D9FF06E2 2018-05-26 [S] [expires: 2020-09-12]
      Key fingerprint = 1107 75B5 D101 FB36 BC6C  911B EB77 4491 D9FF 06E2

Pour vérifier la signature du paquet que vous avez téléchargé, vous devrez aussi télécharger le fichier « .asc ». En supposant que vous avez téléchargé le paquet et sa signature sur votre bureau, exécutez :

gpg.exe --verify C:\\Users\\Alice\\Desktop\\torbrowser-install-win64-8.0.8_en-US.exe.asc C:\\Users\\Alice\\Desktop\\torbrowser-install-8.0.8_en-US.exe

Veuillez remplacer « Alice » par votre propre nom d’utilisateur.

La sortie devrait retourner « Bonne signature » :

gpg: Signature faite le 03/22/19 19:46:24 Est (heure d’été)
gpg: avec la clef RSA EB774491D9FF06E2
gpg: Bonne signature de « Tor Browser Developers (signing key) <torbrowser@torproject.org> » [inconnu]
gpg: Attention : cette clef n’est pas certifiée avec une signature de confiance.
gpg: Rien n’indique que la signature appartient à son propriétaire.
Empreinte de clef principale : EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
     Empreinte de la sous-clef : 1107 75B5 D101 FB36 BC6C  911B EB77 4491 D9FF 06E2

Actuellement, les empreintes numériques valides des sous-clés sont :

1107 75B5 D101 FB36 BC6C  911B EB77 4491 D9FF 06E2

Notez qu’il y a un avertissement, car vous n’avez pas attribué d’indice de confiance à cette personne. Cela signifie que GnuPG a vérifié que la clé a créé cette signature, mais c’est à vous de décider si cette clé appartient vraiment au développeur. La meilleure méthode consiste à rencontrer le développeur en personne et à échanger les empreintes des clés.

macOS et Linux

GnuPG doit être installé avant que vous puissiez vérifier les signatures. Si vous utilisez macOS, vous pouvez le télécharger de https://www.gpgtools.org/. Si vous utilisez Linux, GnuPG se trouve déjà probablement sur votre système, car il est préinstallé sur la plupart des versions de Linux.

L’étape suivante consiste à utiliser GnuPG pour importer la clé qui a signé votre paquet. L’équipe du Navigateur Tor signe les versions du Navigateur Tor. Importez sa clé (0x4E2E2C6E8793298290) en lançant le terminal (sous « Applications » dans macOS) et en tapant :

gpg --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290

Après avoir importé la clé, vous pouvez vérifier que l’empreinte est correcte :

gpg --fingerprint 0x4E2C6E8793298290

Vous devriez voir :

pub   rsa4096/0x4E2C6E8793298290 2014-12-15 [C] [expires: 2020-08-24]
      Key fingerprint = EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
uid                   [ unknown] Tor Browser Developers (signing key) <torbrowser&at;torproject.org>
sub   rsa4096/0xEB774491D9FF06E2 2018-05-26 [S] [expires: 2020-09-12]
      Key fingerprint = 1107 75B5 D101 FB36 BC6C  911B EB77 4491 D9FF 06E2

Pour vérifier la signature du paquet que vous avez téléchargé, vous devrez aussi télécharger le fichier « .asc ». En supposant que vous avez téléchargé le paquet et sa signature dans votre dossier Téléchargements, exécutez :

Pour les utilisateurs de macOS :

gpg --verify ~/Downloads/TorBrowser-8.0.8-osx64_fr.dmg{.asc,}

Pour les utilisateurs de Linux (changez 64 en 32 si vous avez le paquet 32 bits) :

gpg --verify tor-browser-linux64-8.0.8_fr.tar.xz{.asc,}

La sortie devrait retourner « Bonne signature » :

gpg: Signature faite le ven 22 mar 2019 19:51:43 EDT
gpg:                avec la clef RSA EB774491D9FF06E2
gpg: Bonne signature de « Tor Browser Developers (signing key) <torbrowser@torproject.org> » [inconnu]
gpg: Attention : cette clef n’est pas certifiée avec une signature de confiance.
gpg: Rien n’indique que la signature appartient à son propriétaire.
Empreinte de clef principale : EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
     Empreinte de la sous-clef : 1107 75B5 D101 FB36 BC6C 911B EB77 4491 D9FF 06E2

Actuellement, les empreintes numériques valides des sous-clés sont :

1107 75B5 D101 FB36 BC6C  911B EB77 4491 D9FF 06E2

Notez qu’il y a un avertissement, car vous n’avez pas attribué d’indice de confiance à cette personne. Cela signifie que GnuPG a vérifié que la clé a créé cette signature, mais c’est à vous de décider si cette clé appartient vraiment au développeur. La meilleure méthode consiste à rencontrer le développeur en personne et à échanger les empreintes des clés.

Voir https://www.gnupg.org/documentation/ pour en savoir plus sur GnuPG.